Polityka prywatności

ver 1.2 — 27 kwietnia 2026 r.

Aktualizacje: v1.1 — dodano Google Analytics 4 (zgoda wymagana); v1.2 — scalono Politykę cookies w jeden dokument (§ 11 zawiera pełną listę cookies, kategorie, zarządzanie zgodą).

§ 1. Postanowienia ogólne

  1. Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych Użytkowników korzystających z platformy TossBros dostępnej pod adresem tossbros.pl (dalej jako „Platforma").
  2. Platforma TossBros to aplikacja webowa umożliwiająca kolekcjonowanie, wymianę i zarządzanie fizycznymi coinami NFC w formie cyfrowej kolekcji.
  3. Korzystanie z Platformy oznacza akceptację zasad przetwarzania danych opisanych w niniejszej Polityce Prywatności.

§ 2. Administrator danych osobowych

  1. Administratorem danych osobowych jest TOSS BROS sp. z o.o. z siedzibą w Warszawie (02-584), przy ul. Łowickiej 1/5 lok. 2, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0001245644, o kapitale zakładowym 5 000,00 zł (dalej jako „Administrator").
  2. NIP: 5214168001, REGON: 544928991.
  3. Kontakt w sprawach dotyczących danych osobowych: kontakt@tossbros.pl.

§ 3. Jakie dane osobowe zbieramy

  1. Administrator zbiera i przetwarza następujące dane osobowe Użytkowników:

    DaneŹródłoObowiązkowe
    Adres e-mailLogowanie (link e-mail lub Google OAuth)Tak
    Nickname (pseudonim, 3–20 znaków)Formularz konfiguracji profiluTak
    Zdjęcie profilowe (URL)Google OAuth lub ustawione ręcznieNie
    Imię / nazwa wyświetlanaGoogle OAuth lub ustawione ręcznieNie
    Identyfikator użytkownika (UID)Nadawany automatycznie przy rejestracjiAutomatycznie
    Dane dotyczące kolekcji coinówSkanowanie NFC / przypisywanie i odepinanie coinówAutomatycznie
    Historia zdarzeń coinówPrzypisywanie, odepinanie i skanowanie coinówAutomatycznie
    Historia skanów NFCSkanowanie coinówAutomatycznie
    Adres IPUsługa uwierzytelniania (ochrona przed nadużyciami)Automatycznie
    Dane analityczne Google Analytics 4 (identyfikator _ga, zanonimizowany IP, informacje o przeglądarce/urządzeniu, źródło ruchu, zdarzenia interakcji)Wyłącznie po wyrażeniu zgody na cookies analityczneNie (wymagana zgoda)

  2. Administrator nie zbiera następujących danych:

    • Haseł — logowanie odbywa się bezhasłowo (link e-mail) lub przez konto Google.
    • Danych płatniczych — Platforma nie posiada systemu płatności.
    • Danych lokalizacyjnych — Platforma nie żąda dostępu do lokalizacji urządzenia.
    • Danych reklamowych — Platforma nie używa pikseli reklamowych, sygnałów Google Signals ani sygnałów personalizacji reklam (ad_storage, ad_user_data, ad_personalization pozostają w trybie denied).

§ 4. Cele i podstawy prawne przetwarzania danych

  1. Administrator przetwarza dane osobowe w następujących celach i na następujących podstawach prawnych:

    Cel przetwarzaniaPodstawa prawna (RODO)Kategorie danych
    Utworzenie i obsługa konta użytkownikaArt. 6 ust. 1 lit. b — wykonanie umowyE-mail, nickname, UID
    Kolekcjonowanie coinów NFCArt. 6 ust. 1 lit. b — wykonanie umowyUID, dane coinów, historia skanów
    Przypisywanie i odepinanie coinówArt. 6 ust. 1 lit. b — wykonanie umowyUID, nickname, zdjęcie właściciela
    Wyświetlanie publicznego profiluArt. 6 ust. 1 lit. f — uzasadniony interesNickname, zdjęcie, liczba coinów
    Ochrona przed nadużyciamiArt. 6 ust. 1 lit. f — uzasadniony interesAdres IP, identyfikatory sesji
    Marketing własnych produktów i usługArt. 6 ust. 1 lit. f RODO — uzasadniony interes (treść marketingowa). Wysyłka komunikatów drogą elektroniczną (e-mail, push) dodatkowo wymaga zgody Użytkownika na podstawie art. 172 ustawy — Prawo komunikacji elektronicznej (PKE)E-mail. Zgoda na kanał komunikacji może być cofnięta w każdej chwili; cofnięcie nie wpływa na zgodność z prawem wcześniejszej wysyłki
    Statystyki ruchu (Google Analytics 4) — pomiar wykorzystania Platformy w celu jej ulepszaniaArt. 6 ust. 1 lit. a RODO — zgoda Użytkownika; art. 173 ustawy — Prawo komunikacji elektronicznej (cookies analityczne). Zgoda może zostać cofnięta w każdej chwili przez przycisk „Zarządzaj cookies" w stopce lub w Polityce cookiesIdentyfikator klienta (_ga), zanonimizowany IP, dane przeglądarki/urządzenia, źródło ruchu, zdarzenia interakcji
  2. Podanie danych osobowych jest dobrowolne, lecz niezbędne do korzystania z funkcji Platformy. Bez podania adresu e-mail i nickname'u nie jest możliwe utworzenie konta.
  3. Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec Użytkownika skutki prawne lub w podobny sposób istotnie na niego wpływały (art. 22 RODO).

§ 5. Publiczność profilu Użytkownika

  1. Profile Użytkowników na Platformie TossBros są publicznie dostępne. Oznacza to, że następujące dane są widoczne dla wszystkich Użytkowników Platformy:
    • Nickname (pseudonim)
    • Zdjęcie profilowe (jeśli ustawione)
    • Liczba posiadanych coinów
    • Data dołączenia do Platformy
  2. Dane dotyczące coinów (aktualny właściciel, historia zdarzeń, numer seryjny) są również publicznie widoczne na stronach poszczególnych coinów.
  3. Historia zdarzeń coinów (przypisanie, odepnięcie, skanowanie) jest publicznie widoczna na stronach poszczególnych coinów.
  4. Publiczna widoczność profili jest niezbędna do prawidłowego funkcjonowania Platformy z następujących powodów:
    • Weryfikowalność unikalnych przedmiotów — każdy coin NFC istnieje w jednym egzemplarzu; publiczny profil właściciela pozwala potwierdzić autentyczność posiadania.
    • Kultura kolekcjonowania — prezentowanie kolekcji jest integralną częścią doświadczenia kolekcjonerskiego.
    • Transparentna historia przedmiotów — jawna historia zdarzeń buduje zaufanie między Użytkownikami i zapobiega oszustwom.
    Podstawą prawną jest uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).
  5. Ze względu na charakter Platformy (publiczny rejestr kolekcjonerski) nie ma możliwości ustawienia profilu jako prywatnego. Użytkownik, który nie chce, aby jego dane były publicznie widoczne, może usunąć konto (§ 9). Pseudonim (nickname) widoczny publicznie nie musi zawierać prawdziwych danych osobowych Użytkownika.

§ 6. Odbiorcy danych osobowych

  1. Odbiorcami danych osobowych Użytkowników mogą być:

    a) Google LLC

    Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) działa jako podmiot przetwarzający (processor) na podstawie stosownych warunków przetwarzania danych. Google LLC świadczy na rzecz Administratora usługi infrastruktury chmurowej obejmujące:

    • Uwierzytelnianie użytkowników — obsługa logowania (link e-mail, konto Google). Dane: adres e-mail, adres IP, identyfikatory sesji.
    • Przechowywanie danych — baza danych użytkowników i coinów. Dane: dane profilowe, dane transakcyjne.
    • Przetwarzanie logiki biznesowej — obsługa profili, przypisywania/odepinania i skanów coinów. Dane: przetwarzane zgodnie z wykonywaną operacją.
    • Przechowywanie plików — grafiki serii i modele 3D coinów. Dane: pliki mediowe (brak danych osobowych).

    b) Google Ireland Limited (Google Analytics 4)

    Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irlandia) działa jako podmiot przetwarzający dla danych analitycznych zbieranych przez Google Analytics 4 (property G-TR1PXD2TDL) — wyłącznie po wyrażeniu zgody przez Użytkownika. Dane mogą być przekazywane do Google LLC w USA na zasadach opisanych w § 7. Stosujemy Google Consent Mode v2 z domyślnym denied oraz anonimizację IP. Sygnały reklamowe (ad_storage, ad_user_data, ad_personalization) pozostają wyłączone.

    c) Inni Użytkownicy Platformy

    W zakresie publicznie widocznych danych profilu (§ 5) oraz w ramach historii zdarzeń coinów.

    d) Organy państwowe

    Podmioty uprawnione do uzyskania danych na podstawie obowiązującego prawa (np. sądy, organy ścigania) — wyłącznie na podstawie odpowiednich przepisów prawa.

    Na dzień publikacji niniejszej wersji Polityki Prywatności podmiotami przetwarzającymi są Google LLC (infrastruktura Firebase) oraz Google Ireland Limited (Google Analytics 4 — wyłącznie po zgodzie Użytkownika). Lista ta może ulec zmianie; każda aktualizacja zostanie odzwierciedlona w nowej wersji dokumentu.

  2. Administrator nie udostępnia danych osobowych agencjom marketingowym, brokerom danych ani innym podmiotom trzecim w celach komercyjnych.

§ 7. Przekazywanie danych do państw trzecich

  1. Dane osobowe Użytkowników mogą być przekazywane do Stanów Zjednoczonych, ponieważ usługi chmurowe Google LLC mogą przechowywać dane na serwerach zlokalizowanych w USA.
  2. Podstawą prawną przekazywania danych jest decyzja Komisji Europejskiej z dnia 10 lipca 2023 r. stwierdzająca odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (Ramy ochrony danych UE-USA). Decyzja ta została na obecnym etapie utrzymana wyrokiem Sądu Unii Europejskiej z września 2025 r. (sprawa T-553/23). Wyrok ten może zostać zaskarżony do Trybunału Sprawiedliwości UE; w razie zmiany stanu prawnego Administrator niezwłocznie dostosuje stosowane zabezpieczenia i poinformuje Użytkowników.
  3. Google LLC jest aktywnym uczestnikiem EU-US Data Privacy Framework (status możliwy do zweryfikowania na stronie dataprivacyframework.gov) i zobowiązuje się do przestrzegania zasad ochrony danych wynikających z tego programu.
  4. Dodatkowo Google LLC stosuje Standardowe Klauzule Umowne (SCCs) zatwierdzone przez Komisję Europejską jako uzupełniający mechanizm zabezpieczający.
  5. Użytkownik ma prawo uzyskać kopię stosowanych zabezpieczeń, kontaktując się z Administratorem.

§ 8. Okres przechowywania danych

  1. Dane osobowe Użytkowników są przechowywane przez następujące okresy:

    Kategoria danychOkres przechowywania
    Dane konta (e-mail, nickname, zdjęcie)Do czasu usunięcia konta na żądanie Użytkownika
    Dane coinów i historia zdarzeńPrzez cały okres funkcjonowania Platformy (integralność kolekcji). Po usunięciu konta dane identyfikujące Użytkownika w historii są anonimizowane (np. nick → Użytkownik‑1234)
    Adresy IPDo kilku tygodni (zarządzane przez Google)
    Dane analityczne Google Analytics 4 (po zgodzie)2 miesiące (domyślny okres retencji GA4 dla zdarzeń i parametrów). Cookie _ga: 24 miesiące w przeglądarce Użytkownika
    Dane tymczasowe (localStorage)Usuwane natychmiast po zakończeniu logowania
  2. Po usunięciu konta dane osobowe Użytkownika zostaną usunięte w ciągu 30 dni, z zastrzeżeniem, że:
    • Zarezerwowany nickname pozostaje zajęty (bez powiązania z danymi osobowymi) w celu zapobiegania podszywaniu się.
    • Historia zdarzeń coinów zostaje zanonimizowana (identyfikatory użytkownika zastępowane są oznaczeniem np. Użytkownik‑1234), ale nie usunięta, ze względu na integralność kolekcji.
    • W przypadku uzasadnionego podejrzenia nadużyć lub toczącego się postępowania reklamacyjnego bądź prawnego Administrator może przedłużyć okres przechowywania danych do czasu zakończenia sprawy (art. 17 ust. 3 lit. e RODO).

§ 9. Prawa Użytkownika

  1. Użytkownikowi przysługują następujące prawa wynikające z RODO:

    • Prawo dostępu do danych (art. 15 RODO) — prawo uzyskania potwierdzenia, czy dane są przetwarzane, oraz otrzymania ich kopii.
    • Prawo do sprostowania danych (art. 16 RODO) — prawo żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
    • Prawo do usunięcia danych (art. 17 RODO) — „prawo do bycia zapomnianym". Zastrzeżenie: nickname pozostaje zarezerwowany w celu zapobiegania podszywaniu się.
    • Prawo do ograniczenia przetwarzania (art. 18 RODO) — prawo żądania ograniczenia przetwarzania w określonych przypadkach.
    • Prawo do przenoszenia danych (art. 20 RODO) — prawo otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON).
    • Prawo do sprzeciwu (art. 21 RODO) — prawo wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, w szczególności wobec marketingu.
    • Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) — w zakresie przetwarzania opartego na zgodzie. Cofnięcie nie wpływa na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
  2. W celu skorzystania z powyższych praw, Użytkownik powinien skontaktować się z Administratorem drogą mailową na adres wskazany w § 2 ust. 3. Administrator udzieli odpowiedzi w terminie 30 dni od otrzymania żądania.
  3. Użytkownikowi przysługuje prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

§ 10. Wiek Użytkowników

  1. Platforma TossBros jest przeznaczona dla osób, które ukończyły 16. rok życia. Platforma nie jest skierowana do osób poniżej 16. roku życia.
  2. Zgodnie z art. 8 RODO osoby od 16. roku życia mogą samodzielnie wyrazić zgodę na przetwarzanie swoich danych osobowych w ramach usług społeczeństwa informacyjnego.
  3. Weryfikacja wieku odbywa się poprzez oświadczenie składane przy rejestracji. Jeżeli Administrator poweźmie wiadomość, że konto zostało utworzone przez osobę poniżej 16. roku życia, zastrzega sobie prawo do zablokowania konta i usunięcia danych.

§ 11. Pliki cookies i localStorage

  1. Pliki cookies (ciasteczka) to niewielkie pliki tekstowe zapisywane przez przeglądarkę na urządzeniu Użytkownika. Pozwalają stronie rozpoznać przeglądarkę przy kolejnych wizytach i zapamiętać wybrane informacje (status zalogowania, preferencje, decyzję o cookies).

    Platforma stosuje pliki cookies w dwóch kategoriach: niezbędne (zawsze aktywne, ściśle wymagane do działania serwisu) oraz analityczne (uruchamiane wyłącznie po wyrażeniu zgody przez Użytkownika). Platforma nie stosuje cookies marketingowych, reklamowych ani pikseli śledzących.

  2. Pełna lista plików cookies:

    NazwaCelDostawcaCzas życiaKategoria
    tb-consentZapisuje decyzję Użytkownika o cookiesTossBros (first-party)12 miesięcyNiezbędne
    Cookies sesji uwierzytelnianiaUtrzymanie sesji zalogowanego UżytkownikaFirebase (Google Ireland Ltd.)Sesja / do 14 dniNiezbędne
    Cookie preferencji panelu bocznegoZapamiętanie ustawienia interfejsu (open/close)TossBros (first-party)7 dniNiezbędne (funkcjonalne)
    _gaIdentyfikator klienta Google Analytics 4Google Ireland Ltd. / Google LLC24 miesiąceAnalityczne
    _ga_TR1PXD2TDLStan sesji GA4 (per property)Google Ireland Ltd. / Google LLC24 miesiąceAnalityczne
    _gidRozróżnianie użytkowników (krótkookresowe)Google Ireland Ltd. / Google LLC24 godzinyAnalityczne

    Lista cookies sesji uwierzytelniania ustawianych przez Firebase jest zarządzana przez dostawcę usługi i może się zmieniać. Ich celem jest wyłącznie obsługa logowania.

  3. Cookies niezbędne są ustawiane zawsze i nie wymagają zgody. Bez nich Platforma nie może poprawnie działać. Obejmują utrzymanie sesji zalogowanego Użytkownika oraz zapisanie wybranej decyzji o cookies. Podstawą prawną jest art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 173 ustawy — Prawo komunikacji elektronicznej (cookies niezbędne do świadczenia usługi żądanej przez Użytkownika).

  4. Cookies analityczne (Google Analytics 4) — po wyrażeniu zgody Platforma używa Google Analytics 4 (property G-TR1PXD2TDL, dostawca: Google Ireland Limited) do anonimowych statystyk ruchu. Stosujemy Google Consent Mode v2 z ustawieniem analytics_storage = denied jako domyślnym oraz z włączoną anonimizacją IP.

    • Reklamy wyłączone — nie zbieramy sygnałów reklamowych (ad_storage, ad_user_data, ad_personalization pozostają w trybie denied).
    • Brak Google Signals i brak personalizacji reklam.
    • Dostawca: Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irlandia). Dane mogą być przekazywane do Google LLC w USA na podstawie EU-US Data Privacy Framework — szczegóły opisuje § 7.

    Podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO oraz art. 173 PKE). Zgodę można cofnąć w każdej chwili.

  5. Tymczasowy wpis localStorage — podczas logowania bezhasłowego (link e-mail) Platforma zapisuje adres e-mail w pamięci przeglądarki (localStorage). Wpis ten jest usuwany automatycznie natychmiast po zakończeniu logowania.

  6. Zarządzanie zgodą:

    • Na Platformie: kliknij przycisk poniżej lub w stopce serwisu, aby otworzyć ustawienia cookies. Możesz włączyć lub wyłączyć analitykę. Decyzja zostanie zapisana w cookie tb-consent na 12 miesięcy.
    • W przeglądarce: wszystkie pliki cookies (w tym niezbędne) można usunąć w ustawieniach przeglądarki. Usunięcie cookies sesji uwierzytelniania spowoduje wylogowanie.
    • Wyłączenie zgody usuwa istniejące pliki analityczne (_ga, _ga_TR1PXD2TDL, _gid) i zatrzymuje wysyłanie zdarzeń do Google Analytics.

  7. Cookies podmiotów trzecich — cookies analityczne są ustawiane bezpośrednio przez Google z domeny googletagmanager.com oraz google-analytics.com. Pełna polityka prywatności Google jest dostępna pod adresem policies.google.com/privacy. Cookies sesji uwierzytelniania są ustawiane przez Firebase Authentication w ramach świadczonej Administratorowi usługi przetwarzania danych.

§ 12. Bezpieczeństwo danych

  1. Administrator stosuje następujące środki techniczne i organizacyjne w celu ochrony danych osobowych:
    • Logowanie bezhasłowe — Platforma nie przechowuje haseł użytkowników. Logowanie odbywa się za pomocą jednorazowych linków e-mail lub konta Google.
    • Kontrola dostępu — reguły bezpieczeństwa zapewniają, że Użytkownicy mają dostęp wyłącznie do danych, do których są uprawnieni.
    • Hashowanie kryptograficzne — wrażliwe dane (tokeny NFC, sekrety coinów) są hashowane przed zapisem w bazie danych.
    • Operacje transakcyjne — krytyczne operacje na danych wykonywane są atomowo, zapobiegając niespójnościom.
    • Szyfrowanie danych w spoczynku — dane przechowywane w infrastrukturze chmurowej są szyfrowane.
    • Logika po stronie serwera — wszystkie wrażliwe operacje (skanowanie coinów, przypisywanie, odepinanie, zarządzanie profilami) wykonywane są po stronie serwera, a nie bezpośrednio z przeglądarki użytkownika.

§ 13. Zmiany Polityki Prywatności

  1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności.
  2. O wszelkich zmianach Użytkownicy będą informowani poprzez publikację zaktualizowanej wersji Polityki Prywatności na Platformie, ze wskazaniem daty aktualizacji i numeru wersji dokumentu.
  3. Korzystanie z Platformy po opublikowaniu zmian oznacza akceptację zaktualizowanej Polityki Prywatności.

§ 14. Kontakt

  1. W sprawach związanych z ochroną danych osobowych prosimy o kontakt:
    • E-mail: kontakt@tossbros.pl
    • Adres korespondencyjny: TOSS BROS sp. z o.o., ul. Łowicka 1/5 lok. 2, 02-584 Warszawa
  2. Administrator dołoży starań, aby odpowiedzieć na każde zapytanie w terminie 30 dni od jego otrzymania.