Polityka prywatności

1. Kto jest administratorem

Serwis Attention Snapshot prowadzi Maksymilian Wójcik jako osoba fizyczna prowadząca działalność na własny rachunek, z siedzibą w Polsce. Na potrzeby Ogólnego Rozporządzenia o Ochronie Danych (RODO) Maksymilian Wójcik jest administratorem danych osobowych przetwarzanych za pośrednictwem tego serwisu.

Attention Snapshot to pięciominutowy, anonimowy test wzorców uwagi typowych dla ADHD. Serwis został zaprojektowany z myślą o prywatności: nie ma kont użytkowników, nie zbieramy adresów e-mail, nie używamy zewnętrznych narzędzi analitycznych ani reklamowych ciasteczek śledzących na chwilę pisania tej polityki.

We wszystkich sprawach związanych z prywatnością prosimy o kontakt na privacy@attentionsnapshot.com. Adres pocztowy podajemy na żądanie e-mailowe — nie publikujemy adresu zamieszkania na stronie.

2. Jakie dane zbieramy

Podczas wykonywania testu przetwarzamy:

• Twoje odpowiedzi na pytania testu (oceny porządkowe od 0 do 4 dla każdego pytania).
• Wynik, pasma nasilenia i typ wzorca obliczone z odpowiedzi, wraz z poziomem pewności i czasem rozwiązywania testu.
• Anonimowy identyfikator wersji aplikacji (żeby móc dopasować raport do wersji silnika obliczeń, który go wygenerował).
• Losowo wygenerowany identyfikator UUID przypisany do Twojego raportu. Ten UUID jest jedynym uchwytem do konkretnego raportu i jedyną drogą, by go odnaleźć na żądanie.
• Twój adres IP — wyłącznie w pamięci, wyłącznie do tymczasowego ograniczania liczby zapytań, nigdy nie zapisujemy go w bazie.
• Jeśli zdecydujesz się zapłacić za pełny raport: identyfikator sesji Stripe Checkout powiązany z UUID Twojego raportu. Numery kart i inne dane płatnicze obsługuje wyłącznie Stripe — nigdy nie trafiają na nasze serwery.

3. Jakich danych NIE zbieramy

• Nie zbieramy imienia, nazwiska, adresu e-mail ani numeru telefonu — nie ma kont użytkowników.
• Nie używamy ciasteczek śledzących, reklamowych ani zewnętrznych narzędzi analitycznych (Google Analytics, Mixpanel itp.) na chwilę pisania tej polityki.
• Nie widzimy numerów kart, dat ważności ani kodów CVC — trafiają one bezpośrednio do Stripe.
• Nie używamy fingerprintingu przeglądarki ani śledzenia między witrynami.
• Nie zbieramy danych lokalizacyjnych poza tym, co przejściowo ujawnia adres IP (i czego nie zapisujemy).

4. W jakim celu przetwarzamy te dane

Jedynym celem przetwarzania jest obliczenie i wyświetlenie Twojego raportu z testu. Nie sprzedajemy ani nie udostępniamy Twoich danych podmiotom trzecim w celach marketingowych ani żadnych innych. Nie używamy Twoich odpowiedzi do trenowania modeli uczenia maszynowego.

Podstawa prawna w rozumieniu art. 6 RODO: dla raportów płatnych — wykonanie umowy z Tobą (art. 6 ust. 1 lit. b). Dla samego obliczenia wyniku przed płatnością — nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) polegający na świadczeniu usługi, której zażądałeś, wypełniając kwestionariusz.

5. Jak długo przechowujemy dane

Raporty są usuwane automatycznie. Nie chcemy ich trzymać i nie potrzebujemy ich.

• Nieopłacone raporty są automatycznie usuwane 24 godziny po utworzeniu.
• Opłacone raporty są automatycznie usuwane 90 dni po dokonaniu płatności. Po tym czasie raport i wszystkie powiązane z nim odpowiedzi są usuwane z bazy.
• Odpowiedzi na poszczególne pytania są przechowywane w tabeli powiązanej (public_report_answers) i kaskadowo usuwane razem z raportem nadrzędnym.
• Stripe przechowuje dane transakcyjne zgodnie ze swoją polityką i obowiązującymi przepisami finansowymi — to jest poza naszą kontrolą.

6. Podmioty trzecie (procesorzy)

Korzystamy z następujących procesorów. Z każdym z nich łączy nas odpowiednia umowa powierzenia przetwarzania danych (DPA).

• Vercel (USA, krawędź EU): hostuje statyczne pliki strony. Dostępna DPA zgodna z RODO; ruch z UE jest obsługiwany z europejskich centrów danych.
• Railway (USA): hostuje backend Ktor i bazę Postgres. Dostępna DPA zgodna z RODO.
• Stripe Payments Europe (Irlandia): obsługuje płatność $9. Zgodność PCI-DSS i RODO. My widzimy tylko identyfikator sesji Stripe; Stripe widzi dane karty.
• Google (USA): Search Console do danych indeksowania SEO. Nie udostępniamy Google żadnych danych użytkowników. W przyszłości może pojawić się Google AdSense (z ciasteczkami) — przed jego wdrożeniem zaktualizujemy tę politykę i dodamy banner zgody.
• Microsoft Bing (USA): Webmaster Tools do danych indeksowania SEO. Nie udostępniamy Microsoftowi żadnych danych użytkowników.

7. Ciasteczka

Na chwilę pisania tej polityki nie używamy żadnych ciasteczek śledzących, analitycznych ani reklamowych. Serwis zapisuje jedną pierwszostronną pozycję w localStorage, by zapamiętać preferowany język (polski / angielski) — to ustawienie funkcjonalne, nie tracker, i nigdy nie opuszcza Twojej przeglądarki.

Jeżeli w przyszłości wdrożymy Google AdSense, AdSense będzie ustawiać ciasteczka do personalizacji reklam i pomiarów. Wcześniej zaktualizujemy tę politykę i dodamy mechanizm zgody zgodny z dyrektywą ePrivacy.

8. Twoje prawa na mocy RODO

Ponieważ usługa jest anonimowa (nie mamy adresu e-mail ani konta przypisanego do raportu), w praktyce każde z poniższych praw realizujesz, pisząc na privacy@attentionsnapshot.com z dowolnego adresu i podając URL lub UUID swojego raportu, abyśmy mogli zidentyfikować właściwy zbiór danych.

Prawo dostępu (art. 15)

Możesz poprosić o kopię wszystkich danych powiązanych z UUID Twojego raportu. Odpowiemy w ciągu 30 dni.

Prawo do sprostowania (art. 16)

Ograniczone zastosowanie — nie posiadamy danych identyfikujących, które można by sprostować. Jeśli uważasz, że zapisana odpowiedź jest błędna, najprościej wykonać test ponownie.

Prawo do usunięcia (art. 17)

W każdej chwili możesz poprosić o usunięcie konkretnego raportu, podając jego URL lub UUID. Usuniemy dane w ciągu 7 dni. Pamiętaj, że automatyczne usunięcie i tak nastąpi po 24 godzinach (raport nieopłacony) lub 90 dniach (raport opłacony).

Prawo do ograniczenia przetwarzania (art. 18)

Możesz zażądać ograniczenia przetwarzania na czas rozpatrywania sporu dotyczącego Twoich danych.

Prawo do przenoszenia danych (art. 20)

Na żądanie udostępnimy dane Twojego raportu w formacie JSON — odpowiedzi, wyniki, pasma, typ wzorca — w ustrukturyzowanej, czytelnej maszynowo formie.

Prawo do sprzeciwu (art. 21)

Jeśli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu, w każdej chwili możesz wnieść sprzeciw, a my zaprzestaniemy przetwarzania, chyba że zachodzą nadrzędne, prawnie uzasadnione podstawy.

Prawo wniesienia skargi (art. 77)

Jeżeli uważasz, że przetwarzanie Twoich danych narusza RODO, masz prawo złożyć skargę do organu nadzorczego. W Polsce organem tym jest Prezes Urzędu Ochrony Danych Osobowych (UODO): ul. Stawki 2, 00-193 Warszawa.

9. Dane dzieci

Serwis udostępnia „ścieżkę dziecka" — wariant testu przeznaczony dla rodziców lub opiekunów prawnych wypełniających kwestionariusz o dziecku. Nie jest to ścieżka dla dzieci do samodzielnego użytku. Zgodnie z art. 8 RODO usługa nie jest skierowana do osób poniżej 16. roku życia i nie powinna być przez nie używana bezpośrednio. Jeśli masz mniej niż 16 lat, poproś rodzica lub opiekuna o skorzystanie z serwisu w Twoim imieniu.

10. Międzynarodowe transfery danych

Część naszych procesorów (Vercel, Railway, Google, Microsoft) ma siedzibę w Stanach Zjednoczonych. Tam, gdzie dane osobowe są przekazywane poza Europejski Obszar Gospodarczy, transfery te są zabezpieczone Standardowymi klauzulami umownymi Komisji Europejskiej (SCC) oraz równoważnymi środkami. Ruch z UE na Vercel jest tam, gdzie to możliwe, obsługiwany z europejskich centrów danych.

11. Bezpieczeństwo

Korzystamy z HTTPS w całej witrynie, rotujemy poświadczenia bazy i stosujemy zasadę najmniejszych uprawnień wśród niewielkiego grona administratorów. Ponieważ nie przechowujemy adresów e-mail, imion ani danych płatniczych, ewentualny incydent ma strukturalnie ograniczony zasięg — najgorszy scenariusz to wyciek anonimowego zestawu odpowiedzi powiązanego z losowo wygenerowanym UUID.

12. Zmiany w tej polityce

Zaktualizujemy tę politykę przy istotnych zmianach — np. wdrożeniu Google AdSense, zmianie procesora albo zmianie okresów przechowywania. Data „ostatniej aktualizacji" u góry strony zawsze odzwierciedla najnowszą wersję. Przy zmianach niebłahych poinformujemy o tym dodatkowo na stronie.

13. Kontakt

W sprawach prywatności, żądań osób, których dane dotyczą, i wszystkiego, co obejmuje ta polityka, pisz na privacy@attentionsnapshot.com. Adres korespondencyjny administratora podajemy na żądanie e-mailowe.