Polityka prywatnościPolityka prywatności
Polityka prywatności
Ostatnia aktualizacja: 2026-05-30
Administrator danych
Administratorem danych w SkinBoard jest operator projektu, Rafał Nowak, działający jako osoba prywatna (osoba fizyczna) z siedzibą w Polsce. SkinBoard jest prowadzony jako osobisty, niezarejestrowany projekt, dlatego nie posiada numeru rejestracji działalności gospodarczej ani numeru VAT/NIP. Jeśli potrzebujesz adresu pocztowego operatora — na przykład w celu przesłania formalnego wniosku dotyczącego ochrony danych — udostępnimy go na żądanie, korzystając z danych kontaktowych poniżej. W sprawach prywatności — dostęp, eksport, sprostowanie, usunięcie, sprzeciw — pisz na: support@skinboard.app lub przez stronę Kontakt. Jeśli mieszkasz w UE/EOG/UK i nie jesteś zadowolony z naszej odpowiedzi, możesz złożyć skargę do lokalnego organu ochrony danych. W Polsce jest to Urząd Ochrony Danych Osobowych (UODO).
Przegląd
SkinBoard to osobiste narzędzie do śledzenia portfela i cen przedmiotów z Counter-Strike 2. Ta Polityka prywatności wyjaśnia, jakie dane zbieramy, do czego ich używamy, komu je udostępniamy, jak długo je przechowujemy oraz jakie masz prawa.
Jakie dane zbieramy
• Dane profilu Steam udostępniane przez Steam OpenID przy logowaniu: Steam ID (64-bit numeryczny), nazwa, publiczny URL awatara. Nie widzimy Twojego hasła Steam. • Dane portfela tworzone w aplikacji: pozycje ekwipunku, ceny zakupu/sprzedaży, historia transakcji, salda rynków oraz Twoje notatki i ustawienia. • Zgłoszenia z formularza Kontakt: gdy do nas napiszesz, otrzymujemy Twoje imię, adres email, treść wiadomości oraz adres IP — patrz "Okres przechowywania". • Dane techniczne: logi HTTP (URL, status, czas), ślady błędów, adres IP (rate-limiting i obrona przed nadużyciami).
Do czego używamy danych
• Aby uwierzytelnić Cię przez Steam OpenID i utrzymać sesję (ciasteczko HttpOnly + krótkotrwały JWT). • Aby renderować dashboardy, ekwipunek, historię ROI i widoki porównań cen. • Aby odpowiadać na zapytania przesłane przez formularz Kontakt. • Aby diagnozować błędy, bronić się przed nadużyciami i poprawiać wydajność. Nie sprzedajemy Twoich danych, nie prowadzimy reklam śledzących, nie udostępniamy brokerom danych ani nie używamy ich do trenowania modeli ML.
Udostępnianie i podmioty przetwarzające
Używamy niewielkiej liczby dostawców (''sub-procesorów'') ściśle do działania serwisu: • Dostawca hostingu / bazy danych freakhosting.com — placeholder — obsługuje aplikację i bazę Postgres (dane w spoczynku szyfrowane na poziomie dysku). • Dostawca email / SMTP zoho.eu — placeholder — używany wyłącznie do dostarczania wiadomości z formularza Kontakt do operatora. Treść Twojej wiadomości, imię i email przechodzą przez tego dostawcę. Jego własna polityka prywatności reguluje, jak długo przechowuje metadane. • Steam (Valve) — tylko w zakresie wymaganym do logowania OpenID i pobierania publicznych pól profilu. Nie udostępniamy danych w celach marketingowych ani analitycznych. Udostępniamy wyłącznie, gdy wymaga tego prawo lub gdy jest to konieczne do działania serwisu.
Cookies i pamięć przeglądarki
• Ciasteczko uwierzytelniające (sb_session, HttpOnly, Secure, SameSite=Lax): ustawiane po logowaniu Steam, utrzymuje sesję. Usuwane przy wylogowaniu lub usunięciu konta. JWT w środku jest krótkotrwały i rotowany. • Local storage przeglądarki: zapamiętuje preferencje UI (wybrany rynek, tryb kompaktowy, układ kolumn, motyw). Czyszczone przy czyszczeniu danych witryny. • Stan zgody na cookies: jeden klucz zapisujący, że potwierdziłeś baner zgody. Nie używamy ciasteczek analitycznych ani reklamowych od stron trzecich.
Okres przechowywania
• Dane portfela: przechowywane przez cały okres istnienia konta. Po usunięciu konta (patrz "Twoje prawa") usuwamy Twoje dane osobowe w ciągu 30 dni — z wyjątkiem przypadków, gdy wymaga tego prawo (np. dokumentacja podatkowa). • Zgłoszenia z formularza Kontakt: wiadomość trafia do skrzynki operatora przez dostawcę SMTP. Kopie usuwamy w ciągu 90 dni od ostatniej aktywności w wątku. • Logi serwera (HTTP, błędy, IP): rotowane automatycznie; nic starszego niż 14 dni nie jest przechowywane. • Kopie zapasowe bazy: szyfrowane, rotowane codziennie; najstarszy snapshot do 30 dni. • Logi o znaczeniu dla bezpieczeństwa (nieudane logowania, sygnały nadużyć): do 90 dni na potrzeby śledztwa.
Twoje prawa
W zależności od jurysdykcji (UE/EOG/UK: RODO), masz prawo do: • Dostępu — zobaczyć, jakie dane o Tobie posiadamy. • Przenoszalności / eksportu — otrzymać swoje dane w formacie do odczytu maszynowego. Użyj Ustawienia → Eksport, który wywołuje /api/auth/me/export i zwraca JSON. • Sprostowania — poprawić nieprawidłowe dane (przeważnie self-serve w aplikacji). • Usunięcia — usunąć konto i wszystkie dane osobowe. Użyj Ustawienia → Usuń konto, który wywołuje /api/auth/me DELETE i usuwa rekordy w ciągu 30 dni. • Sprzeciwu / ograniczenia — poproś nas o zatrzymanie lub wstrzymanie przetwarzania. • Wycofania zgody w dowolnym momencie. Prawa możesz egzekwować również mailem na support@skinboard.app. Odpowiadamy w ciągu 30 dni.
Bezpieczeństwo
• Brak przechowywania haseł — logowanie przez Steam OpenID. • Sesje używają ciasteczek HttpOnly + Secure + SameSite=Lax; JWT w środku jest krótkotrwały (okno 7-dniowe) i podpisany kluczem z możliwością rotacji (lista JWT_SECRETS). • Obrona CSRF na żądaniach zmieniających stan przez nagłówek X-Requested-With. • Restrykcyjna Content-Security-Policy, HSTS (2 lata, includeSubDomains), X-Frame-Options=DENY i inne nowoczesne nagłówki bezpieczeństwa. • Połączenia z bazą używają TLS. Kopie zapasowe szyfrowane w spoczynku. • Rate-limiting na endpointach auth + kontakt + admin spowalnia credential-stuffing i brute force. • Role z minimalnymi uprawnieniami + automatyczne łatki. • Logi o znaczeniu dla bezpieczeństwa do 90 dni.
Zmiany polityki
Możemy aktualizować tę Politykę prywatności. Data "Ostatnia aktualizacja" u góry strony zawsze odzwierciedla najnowszą wersję. Istotne zmiany są podświetlane na dashboardzie przy najbliższym logowaniu.
Masz pytania do tego dokumentu? Napisz przez Kontakt