Polityka prywatności serwisu Spherun.com
Ostatnia aktualizacja: 2026-07-05
1. Administrator danych
Administratorem danych osobowych jest Paweł Pilichowski, prowadzący jednoosobową działalność gospodarczą w Polsce („Administrator”). Kontakt w sprawach ochrony danych: contact@spherun.com.
2. Zakres i cel przetwarzania danych
Administrator przetwarza dane zgodnie z RODO na następujących podstawach:
- Rejestracja i konto: Adres e-mail, nick, hasło (hash) — Art. 6 ust. 1 lit. b RODO (wykonanie umowy). Uwierzytelnianie przez Zitadel.
- Płatności i podatki: Dane rozliczeniowe, kraj, identyfikatory transakcji Stripe (VAT-OSS, eksport usług) — Art. 6 ust. 1 lit. c RODO (obowiązek prawny).
- Analityka i telemetria: Identyfikatory sesji, zdarzenia w grze, cookies przez PostHog (hosting EU: eu.i.posthog.com) — Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes: ulepszanie produktu).
- Anti-cheat: Adres IP, sygnatury przeglądarki/sprzętu — Art. 6 ust. 1 lit. f RODO (bezpieczeństwo i fair play).
- Czat w czasie rzeczywistym: Treść wiadomości, znaczniki czasu, identyfikator nadawcy — Art. 6 ust. 1 lit. b RODO (funkcje społecznościowe) oraz lit. f RODO (moderacja, spam, bezpieczeństwo). Logi przechowywane przez okres niezbędny do moderacji lub obrony przed roszczeniami.
3. Odbiorcy danych (podmioty przetwarzające)
3.1. Zitadel
Zitadel AG (dostawca tożsamości) przetwarza dane uwierzytelniania: adres e-mail, nick, hash hasła, identyfikator konta (sub), status weryfikacji e-mail oraz metadane logowania. Infrastruktura Zitadel jest utrzymywana w regionie Unii Europejskiej. Polityka prywatności Zitadel: https://zitadel.com/privacy-policy.
3.2. Stripe
Stripe Payments Europe, Ltd. / Stripe Inc. przetwarzają dane płatnicze przekazywane w ramach checkoutu:
- adres e-mail (identyfikacja klienta i potwierdzenia),
- dane karty płatniczej (wprowadzane bezpośrednio w formularzu Stripe — Administrator nie przechowuje numeru karty ani CVV),
- kraj rozliczeniowy, numer VAT/NIP (gdy podany), identyfikatory transakcji i subskrypcji,
- dane wymagane przez moduł Stripe Tax (VAT-OSS, eksport usług).
Polityka prywatności Stripe: https://stripe.com/privacy.
3.3. PostHog
PostHog, Inc. (instancja EU: eu.i.posthog.com) — analityka produktowa, zdarzenia w grze i telemetria sesji. Szczegóły cookies w sekcji 7.
3.4. OVH Cloud
OVH Groupe SA (OVH Cloud) — hosting całej infrastruktury produkcyjnej w centrach danych na terenie Unii Europejskiej, w tym:
- serwery gry i czatu w czasie rzeczywistym (WebSocket),
- baza danych PostgreSQL (konta, profile, statystyki, płatności),
- cache Dragonfly (Redis-compatible) — stan areny, sesje meczów,
- kolejka RabbitMQ (synchronizacja statystyk, zadania w tle),
- frontend Next.js (aplikacja webowa spherun.com).
Dane przetwarzane na serwerach OVH obejmują wszystkie kategorie wymienione w sekcji 2, w zakresie niezbędnym do działania Serwisu.
3.5. IFIRMA
IFIRMA S.A. (ifirma.pl) — księgowość i deklaracje VAT-OSS na podstawie dokumentów rozliczeniowych przekazywanych przez Administratora.
4. Transfer danych poza EOG
Ze względu na globalny charakter usługi i infrastrukturę (Stripe, PostHog) dane mogą być przetwarzane poza EOG, w tym w USA. Administrator stosuje Standardowe Klauzule Umowne (SCC) oraz szyfrowanie transportu.
5. Prawa użytkowników
Graczowi przysługuje prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie. Skargę można złożyć do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
6. Okres przechowywania danych
| Kategoria | Okres przechowywania |
|---|---|
| Konto użytkownika (e-mail, nick, profil, build skilli) | Do momentu usunięcia konta na żądanie; kopie zapasowe do 90 dni po usunięciu |
| Statystyki i mecze (rankingi, historia meczów, XP) | Przez czas aktywności konta; po usunięciu konta — anonimizacja lub usunięcie w ciągu 30 dni |
| Płatności, Stripe, księgowość | Identyfikatory transakcji i dokumenty księgowe — 5 lat od końca roku podatkowego (obowiązek prawny); dane w Stripe zgodnie z polityką Stripe |
| Logi serwerowe i bezpieczeństwo (IP, anti-cheat, błędy aplikacji) | Do 90 dni; logi związane z incydentem bezpieczeństwa — do czasu zakończenia postępowania |
| Logi czatu (moderacja) | Do czasu zakończenia moderacji lub upływu terminu przedawnienia roszczeń |
| Analityka PostHog | Do 12 miesięcy od zdarzenia; identyfikatory sesji zgodnie z ustawieniami projektu PostHog EU |
Po upływie wskazanych okresów dane są usuwane lub anonimizowane, chyba że dalsze przechowywanie wynika z obowiązku prawnego.
7. Pliki cookies i podobne technologie
Serwis używa cookies i localStorage/sessionStorage w następujących celach:
| Nazwa / źródło | Cel | Czas trwania | Wymagane |
|---|---|---|---|
Auth.js session (authjs.session-token / __Secure-authjs.session-token) | Utrzymanie zalogowanej sesji użytkownika (JWT) | Do 30 dni lub do wylogowania | Tak (konto) |
PostHog (ph_*, eu.i.posthog.com) | Analityka produktowa, identyfikator odwiedzającego, zdarzenia w grze | Do 12 miesięcy (cookie) / sesja | Nie |
| NEXT_LOCALE | Zapamiętanie wybranego języka interfejsu | 365 dni | Nie |
spherun_pending_nick (pendingNick) | Tymczasowe przechowanie nicku podczas rejestracji/logowania | 10 minut (cookie) / do zamknięcia karty (sessionStorage) | Nie |
Rezygnacja z analityki: PostHog można zablokować przez ustawienia przeglądarki (blokada cookies third-party / eu.i.posthog.com), rozszerzenia blokujące śledzenie lub sygnał „Do Not Track”, jeśli jest respektowany. Cookies niezbędne do logowania (Auth.js) nie podlegają rezygnacji bez utraty dostępu do konta.
8. Realizacja praw RODO
Wnioski dotyczące praw z sekcji 5 (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw) należy kierować na contact@spherun.com.
- Administrator odpowiada w terminie do 30 dni od otrzymania wniosku.
- W celu weryfikacji tożsamości Administrator może poprosić o potwierdzenie adresu e-mail przypisanego do konta lub dodatkowe informacje umożliwiające jednoznaczną identyfikację wnioskodawcy.
- Usunięcie konta: Po pozytywnej weryfikacji Administrator usuwa konto w Zitadel, dane profilu i statystyki powiązane z tożsamością użytkownika (z zastrzeżeniem okresów z sekcji 6 dla dokumentów księgowych i obowiązków prawnych). Aktywne subskrypcje Premium należy anulować przed usunięciem konta lub w trakcie procedury — szczegóły w Regulaminie.