Polityka prywatności PUFF
Ostatnia aktualizacja: 12 stycznia 2026
1. Administrator danych
Administratorem Twoich danych osobowych jest:
TAM LABS SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
ul. Twarda 18, 00-105 Warszawa
Dane rejestrowe:
- KRS: 0001070536
- NIP: 5252981359
- REGON: 527013380
Kontakt: puff@puff.army
2. Jakie dane zbieramy
Dane podawane przez użytkownika:
- Dane rejestracyjne: email, hasło (zaszyfrowane)
- Dane profilowe: nazwa użytkownika, biografia
- Dane do realizacji voucherów: imię, nazwisko, adres email (do wysyłki kodów voucherów)
- Zgłoszenia: zdjęcia i filmy
Dane zbierane automatycznie - NIEZBĘDNE (bez zgody):
Przetwarzane na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO):
- Dane techniczne: adres IP (zanonimizowany), podstawowe informacje o urządzeniu
- Logi aktywności (niezbędne do świadczenia usługi i bezpieczeństwa)
- Raporty błędów (Firebase Crashlytics)
- Tokeny powiadomień push (Firebase Cloud Messaging) - jeśli włączone
Dane zbierane automatycznie - OPCJONALNE (wymagają zgody):
Przetwarzane wyłącznie za Twoją zgodą (art. 6 ust. 1 lit. a RODO):
- Identyfikatory reklamowe urządzenia (IDFA na iOS, GAID na Android)
- Szczegółowe dane analityczne
Jak zarządzać zgodami:
- Identyfikatory reklamowe:
- iOS: Ustawienia > Prywatność > Śledzenie > wyłącz dla PUFF
- Android: Ustawienia > Google > Reklamy > Wyłącz personalizację
- Powiadomienia push: Ustawienia systemowe urządzenia > Powiadomienia > PUFF
Wycofanie zgody nie wpływa na działanie aplikacji - tylko wyłącza personalizację reklam.
Dane z logowania zewnętrznego:
- Google Sign-In: adres email, nazwa wyświetlana, zdjęcie profilowe
- Dane te są pobierane tylko za zgodą użytkownika podczas logowania
Dane od podmiotów trzecich:
- Potwierdzenia płatności (Stripe)
3. Cele przetwarzania danych
Przetwarzamy dane w następujących celach:
- Świadczenie usług (rejestracja, udział w wyzwaniach, płatności)
- Bezpieczeństwo i zapobieganie nadużyciom
- Ulepszanie usług
- Komunikacja z użytkownikami
- Wypełnianie obowiązków prawnych
4. Podstawa prawna przetwarzania
Dane przetwarzamy na podstawie:
- Art. 6 ust. 1 lit. b RODO - wykonanie umowy (utworzenie konta, udział w wyzwaniach, płatności)
- Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes (bezpieczeństwo, zapobieganie nadużyciom, ulepszanie usług)
- Art. 6 ust. 1 lit. c RODO - obowiązek prawny (księgowość, dokumentacja podatkowa)
- Art. 6 ust. 1 lit. a RODO - zgoda (newsletter, spersonalizowane reklamy, śledzenie analityczne)
5. Udostępnianie danych
Twoje dane mogą być udostępniane:
- Dostawcom usług IT: Supabase, Firebase
- Procesorom płatności: Stripe
- Dostawcom logowania: Google (przy logowaniu przez Google Sign-In)
- Innym użytkownikom: dane publicznego profilu
- Organom państwowym: zgodnie z wymogami prawa
Transfer danych poza EOG:
Następujący dostawcy przetwarzają dane poza Europejskim Obszarem Gospodarczym:
Firebase (Google LLC) - USA
- Podstawa prawna: Standardowe Klauzule Umowne (SCC) - Art. 46 ust. 2 lit. c RODO
- Dodatkowe zabezpieczenia: szyfrowanie AES-256, TLS 1.3, certyfikacja ISO 27001, dane w regionie UE (europe-west1) gdzie możliwe
- Zakres danych: logi błędów, tokeny push, analityka
Stripe Inc. - USA
- Podstawa prawna: Standardowe Klauzule Umowne (SCC)
- Dodatkowe zabezpieczenia: PCI DSS Level 1, tokenizacja kart, szyfrowanie end-to-end, dane UE przez Stripe Payments Europe (Irlandia)
- Zakres danych: dane transakcyjne
Supabase Inc. - USA
- Podstawa prawna: Standardowe Klauzule Umowne (SCC)
- Dodatkowe zabezpieczenia: baza danych w regionie UE (Frankfurt), szyfrowanie AES-256, Row Level Security, SOC 2 Type II
- Zakres danych: dane konta, wyzwania, transakcje PUFF
Ocena ryzyka: Przeprowadziliśmy Transfer Impact Assessment zgodnie z EDPB. Zastosowane środki zapewniają poziom ochrony równoważny EOG.
Możesz otrzymać kopię SCC lub szczegóły zabezpieczeń: puff@puff.army
Nie sprzedajemy Twoich danych osobowych.
6. Twoje prawa (RODO art. 15-21)
Przysługują Ci następujące prawa:
- Prawo dostępu do danych
- Prawo do sprostowania danych
- Prawo do usunięcia danych
- Prawo do ograniczenia przetwarzania
- Prawo do przenoszenia danych
- Prawo do sprzeciwu
Skargi można kierować do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
Kontakt w sprawie realizacji praw: puff@puff.army
7. Bezpieczeństwo danych
Stosujemy zaawansowane środki bezpieczeństwa:
- Szyfrowanie transmisji: TLS 1.3
- Hashowanie haseł: bcrypt
- Szyfrowanie danych: AES-256
- Kontrola dostępu
- Monitoring bezpieczeństwa
- Regularne kopie zapasowe
8. Okres przechowywania danych
Okresy retencji danych:
- Dane konta: 30 dni po usunięciu konta
- Dane transakcyjne: 5 lat (wymóg prawny)
- Dane analityczne: 2 lata
- Logi techniczne: 90 dni
Po upływie okresu dane są usuwane lub anonimizowane.
9. Ochrona nieletnich
Aplikacja PUFF jest przeznaczona wyłącznie dla osób pełnoletnich (18+).
- Nie zbieramy świadomie danych osobowych od osób poniżej 18 roku życia
- W przypadku wykrycia konta osoby nieletniej, zostanie ono niezwłocznie usunięte
- Rodzice/opiekunowie mogą zgłosić konto nieletniego na adres: puff@puff.army
Zgodność z przepisami:
- COPPA (Children's Online Privacy Protection Act) - USA
- GDPR-K (ochrona dzieci w RODO) - UE
10. Przetwarzanie danych w programie poleceń
Dane zbierane w Programie Ambasadorów:
- Kod polecający (generowany automatycznie dla każdego użytkownika)
- Historia poleceń (relacja polecający-polecony)
- Statystyki ambasadora (liczba skutecznych poleceń, aktualny poziom/tier)
- Historia bonusów (status, wartość, data utworzenia i wykorzystania)
- Saldo PUFF i historia transakcji
Dane zbierane w celach antyfraudowych:
- Hash adresu IP (zanonimizowany, jednokierunkowy)
- Informacja czy urządzenie jest fizyczne czy emulator
- Logi podejrzanej aktywności (przekroczenia limitów, nietypowe wzorce)
- Znaczniki czasowe aktywności w programie poleceń
Podstawa prawna:
Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes administratora polegający na:
- Zapobieganiu nadużyciom i oszustwom w programie poleceń
- Zapewnieniu uczciwości wobec wszystkich uczestników programu
- Ochronie przed automatyzacją i botami
Okres przechowywania:
- Dane programu poleceń: przez cały okres korzystania z aplikacji + 30 dni po usunięciu konta
- Logi antyfraudowe: 2 lata od zdarzenia
- Historia bonusów: 1 rok po wykorzystaniu lub wygaśnięciu
Udostępnianie danych:
Dane z programu poleceń nie są udostępniane osobom trzecim, z wyjątkiem:
- Dostawcy infrastruktury (Supabase) - jako procesor danych
- Organów ścigania - na podstawie prawomocnego nakazu
Osoby polecone nie mają dostępu do danych osobowych polecającego (i odwrotnie), z wyjątkiem publicznej nazwy użytkownika.
11. Pliki cookies
Aplikacja wykorzystuje technologie śledzące w celach:
- Funkcjonalnych - zapamiętywanie preferencji
- Analitycznych - analiza korzystania z aplikacji
- Marketingowych - personalizacja reklam (za zgodą)
Ustawienia cookies można zmienić w ustawieniach aplikacji.
12. Automatyczne podejmowanie decyzji
Zgodnie z art. 22 RODO informujemy, że w ramach systemu antyfraud stosujemy automatyczne profilowanie mające na celu wykrywanie nadużyć w Programie Ambasadorów.
Decyzje automatyczne mogą skutkować:
- Zablokowaniem przyznania bonusu
- Ograniczeniem funkcji konta
- Czasowym zawieszeniem możliwości poleceń
Kryteria automatycznej oceny:
- Wykrycie emulatora lub nietypowego środowiska
- Wykrycie nietypowych wzorców aktywności
- Wykrycie duplikatów urządzeń lub adresów IP
Twoje prawa (Art. 22 ust. 3 RODO):
- Prawo do interwencji człowieka
- Prawo do wyrażenia własnego stanowiska
- Prawo do zakwestionowania decyzji
Kontakt: puff@puff.army
13. Zmiany polityki prywatności
Zastrzegamy prawo do zmiany Polityki prywatności.
O istotnych zmianach informujemy przez aplikację lub email.
Dalsze korzystanie z aplikacji po zmianach oznacza ich akceptację.
14. Kontakt
W sprawach dotyczących danych osobowych:
Email: puff@puff.army
Adres:
TAM LABS SP. Z O.O.
ul. Twarda 18
00-105 Warszawa
© 2026 TAM LABS SP. Z O.O. Wszystkie prawa zastrzeżone.