Polityka prywatności

Ochrona danych osobowych.

Dokument określa zasady przetwarzania danych osobowych w ramach platformy WAAM Box, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Poniżej precyzyjny zakres zbieranych informacji, cele przetwarzania, okresy retencji oraz Twoje prawa — rozpisane odrębnie dla każdego typu konta, w zależności od roli, jaką pełnisz w ekosystemie.

Cztery zasady

Nasza umowa z Tobą — podstawy.

Minimalizacja danych

Zbieramy dokładnie to, co jest potrzebne do działania platformy i rozliczeń. Ani jednego pola więcej.

Brak sprzedaży danych

Nie sprzedajemy danych brokerom, sieciom reklamowym ani marketerom. Nigdy. To nie jest źródło naszych przychodów.

Brak trackerów

Strona i aplikacja nie zawierają Google Analytics, Meta Pixel, Hotjar ani podobnych narzędzi. Nie budujemy profili reklamowych.

Kontrola po Twojej stronie

Eksport danych w JSON, usunięcie konta, wycofanie zgód — wszystko samodzielnie z poziomu ustawień. Bez pisania mejli, bez czekania.

Administrator danych

WAAM Sp. z o.o.

Administratorem Twoich danych osobowych w rozumieniu RODO jest WAAM Sp. z o.o. z siedzibą w Lublinie, wpisana do Rejestru Przedsiębiorców KRS. W sprawach związanych z ochroną danych osobowych pisz bezpośrednio na adres e-mail poniżej — odpowiadamy w ciągu 7 dni.

Adres

ul. Fryderyka Chopina 41/2
20-023 Lublin, Polska

E-mail

support@waambox.app

KRS

0000778530

NIP

7162825993

Dane per typ konta

Każda rola ma inny zakres. Tu masz wszystko rozpisane.

Użytkownik aplikacji, twórca, deweloper, fundacja, producent — każda rola pełni inną funkcję na platformie i wymaga innego zakresu danych. Poniżej szczegóły.

Użytkownik aplikacji mobilnej

Wrzucasz butelki, zbierasz bony

Konto w aplikacji WAAM Box pozwala Ci akumulować bony kaucyjne z RVM-ów i sklepów oraz wymieniać je na nagrody od partnerów lub przekazywać fundacjom.

Zakres zbieranych danych

Dane konta — adres e-mail, hasło (hash bcrypt), nick, flaga weryfikacji e-maila, data utworzenia konta
OAuth (opcjonalnie) — ID konta Google/Apple, jeśli zalogowałeś się przez social login — hasło wtedy nie jest ustawiane
Saldo i bony — aktualne saldo bonów kaucyjnych, historia zdarzeń (emisja, rezerwacja, konsumpcja, wygaśnięcie)
Depozyty — identyfikator maszyny RVM lub sklepu, przy którym wrzucono opakowanie, data i wartość bonu
Zamówienia i wymiany — pozycje wymienione na nagrody (ebooki, kursy, punkty w grach), przekazania do fundacji
Geolokalizacja — tylko przy raportowaniu kolejki przy RVM — moment pojedynczego pingu GPS, tylko po Twojej jawnej zgodzie w apce
Punkty promocyjne — saldo `promoPoints` — osobny licznik za zgłoszenia kolejek i inne aktywności promocyjne
Zgłoszenia support — treść wiadomości, kategoria, status, historia wątku, liczba nieprzeczytanych
Tokeny sesji i urządzenia — token refresh, identyfikator urządzenia mobilnego, token push (jeśli włączone powiadomienia)

Cel przetwarzania

Uwierzytelnienie i bezpieczny dostęp do konta
Ewidencja bonów kaucyjnych i rozliczeń z operatorem kaucyjnym
Historia dla Ciebie + wykrywanie nadużyć (np. podwójna wymiana tego samego bonu)
Wyświetlanie kolejek przy RVM na mapie (dane zanonimizowane — agregaty, bez Twojego ID)

Dostęp

Zespół WAAM Sp. z o.o. (support, bezpieczeństwo), dostawca hostingu bazy danych, operator kaucyjny (wyłącznie identyfikatory bonów, nie dane osobowe).

Retencja

Dane konta — do czasu usunięcia konta przez Ciebie. Historia bonów — 5 lat od wygaśnięcia bonu (wymogi księgowe operatora). Logi geolokalizacji — 30 dni (do weryfikacji zgłoszeń kolejek).

Twórca treści edukacyjnych

Sprzedajesz ebooki, kursy i materiały

Konto twórcy pozwala publikować produkty edukacyjne (e-booki, kursy, materiały do pobrania), uczestniczyć w kampaniach partnerów i otrzymywać prowizje od sprzedaży.

Zakres zbieranych danych

Dane konta — e-mail, hasło (hash), imię i nazwisko / nazwa twórcy, flaga weryfikacji
Dane rozliczeniowe — forma działalności (osoba fizyczna / JDG / spółka), NIP, REGON, numer rachunku bankowego IBAN, adres do faktury
Dokumenty weryfikacyjne — skany dokumentów potwierdzających status sprzedawcy (CEIDG, wpis do KRS) — jeśli wymagane
Produkty — tytuły, opisy, pliki do pobrania, ceny w bonach, grafiki okładek
Sprzedaż — historia zamówień, kwoty, kupujący (zanonimizowani po ID), faktury wystawione przez WAAM w Twoim imieniu
Kampanie — udział w kampaniach marek, prowizje, raporty sprzedaży
Zgłoszenia support — treść, kategoria, historia wątku

Cel przetwarzania

Prowadzenie ewidencji sprzedawcy i rozliczeń podatkowych (JPK, raporty do US)
Weryfikacja tożsamości przed dopuszczeniem do sprzedaży
Wypłaty prowizji i księgowanie faktur
Wyświetlanie produktów w katalogu platformy

Dostęp

Zespół WAAM, księgowość (outsourcing), dostawca płatności (przy ewentualnym rozliczeniu fiat), US i organy podatkowe na żądanie ustawowe.

Retencja

Dane konta — do usunięcia. Dokumenty rozliczeniowe i faktury — 5 lat od końca roku podatkowego (ustawa o rachunkowości, ordynacja podatkowa).

Deweloper gier (studio gamedev)

Integrujesz grę z systemem bonów

Konto dewelopera pozwala na integrację swojej gry z ekosystemem WAAM Box poprzez API: użytkownicy wymieniają bony na punkty/elementy w Twoim tytule.

Zakres zbieranych danych

Dane konta — e-mail, hasło (hash), imię i nazwisko osoby kontaktowej
Dane studia — nazwa studia, strona WWW, krótki opis, forma prawna, NIP, adres
Weryfikacja — status weryfikacji konta dewelopera (zweryfikowane / odrzucone z powodem), data decyzji
Klucze API — klucz API (wygenerowany samodzielnie przez Ciebie po akceptacji), data wydania, data ostatniego użycia
Zasoby — zarejestrowane gry, konfiguracje integracji SDK, webhooki
Logi API — metadane wywołań (endpoint, timestamp, status, rate limit) — bez body — przez 90 dni do celów bezpieczeństwa
Zgłoszenia support — treść, kategoria, historia wątku

Cel przetwarzania

Udzielenie dostępu do API po pozytywnej weryfikacji
Monitorowanie nadużyć i wykrywanie podejrzanej aktywności
Raportowanie Ci zużycia limitów i błędów
Rozliczenia z integracji (jeśli dotyczą)

Dostęp

Zespół WAAM (devrel, bezpieczeństwo), administratorzy platformy. Klucze API są trzymane w formie zaszyfrowanej — nie pokazujemy ich nikomu po wygenerowaniu.

Retencja

Dane konta — do usunięcia. Logi API — 90 dni. Dokumenty weryfikacyjne — 5 lat (wymogi księgowe).

Fundacja / organizacja pożytku publicznego

Zbierasz na swoją zbiórkę

Konto fundacji pozwala uruchamiać publiczne kampanie zbiórkowe, do których użytkownicy mogą przekazywać swoje bony kaucyjne. Wypłaty realizuje operator kaucyjny bezpośrednio na Twoje konto.

Zakres zbieranych danych

Dane organizacji — nazwa, KRS, NIP, REGON, status OPP, adres siedziby
Osoba kontaktowa — imię i nazwisko, stanowisko, e-mail, hasło (hash)
Dane bankowe — numer rachunku IBAN do wypłat zebranych kwot
Dokumenty weryfikacyjne — skan wpisu do KRS, potwierdzenie statusu OPP, wymagane w procesie onboardingu
Kampanie — tytuły, opisy, cele kwotowe, kategorie, grafiki
Zebrane środki — historia przekazań bonów przez userów, kwoty, daty, status wypłaty
Zgłoszenia support — treść, kategoria, historia wątku

Cel przetwarzania

Weryfikacja statusu OPP (wymóg prawny — tylko zweryfikowane OPP mogą zbierać)
Publikacja kampanii w katalogu platformy
Przekazanie zbiorczych kwot operatorowi kaucyjnemu, który realizuje przelew
Raportowanie transparentne (publicznie widoczne sumy zebrane na kampanię)

Dostęp

Zespół WAAM (weryfikacja, support), operator kaucyjny (tylko IBAN i suma do wypłaty), organy skarbowe i nadzorcze na żądanie ustawowe.

Retencja

Dokumenty weryfikacyjne i rozliczenia — 5 lat (rachunkowość + wymogi KRS). Historia kampanii — bezterminowo (publiczny rejestr beneficjentów).

Producent / operator butelkomatów

Zarządzasz flotą maszyn RVM

Konto producenta pozwala integrować maszyny z platformą, otrzymywać prowizje za bony wyemitowane przez Twoje urządzenia i zarządzać flotą przez panel administracyjny.

Zakres zbieranych danych

Dane firmy — nazwa spółki, KRS, NIP, REGON, adres siedziby
Osoba kontaktowa — imię i nazwisko, e-mail, hasło (hash), telefon służbowy
Flota maszyn — identyfikatory RVM, lokalizacja instalacji, grupa przypisana, operator lokalny, multiplikator punktów
Telemetria — stan zapełnienia, sesje, błędy, status online/offline — dane techniczne bez powiązania z konkretnym userem
Bony wyemitowane — liczba bonów i ich sumaryczna wartość per maszyna (do obliczenia prowizji)
Program prowizyjny — ustalony % od wolumenu, historia wypłat, FV i rozliczenia
Dane bankowe — IBAN do wypłat prowizji
Zgłoszenia support — treść, kategoria, historia wątku

Cel przetwarzania

Identyfikacja maszyn i przypisanie emitowanych bonów do właściwego operatora
Rozliczenia prowizyjne
Monitorowanie stanu floty (zapełnienia, awarie)
Alertowanie o potencjalnych problemach (np. raporty kolejek bez telemetrii → alarm serwisowy)

Dostęp

Zespół WAAM (operations, bezpieczeństwo), operator kaucyjny (dane rozliczeniowe), księgowość.

Retencja

Dane telemetryczne — 12 miesięcy (agregaty dłużej). Rozliczenia — 5 lat. Dane konta — do usunięcia.

OAuth / social login

Logowanie przez Google lub Apple — co zapisujemy.

Co dostajemy od providera

→Twój zweryfikowany adres e-mail
→Unikalny identyfikator (Google ID / Apple ID)
→Imię i zdjęcie profilowe (jeśli udostępnione)

Powiązanie z istniejącym kontem

Jeśli masz już konto lokalne z tym samym e-mailem, logowanie przez Google/Apple automatycznie je łączy — nie tworzymy duplikatu. Dotychczasowe hasło nadal działa, a Ty zyskujesz drugą metodę logowania.

Providerzy OAuth (Google, Apple) są odrębnymi administratorami danych — ich polityki prywatności znajdziesz na ich stronach. My otrzymujemy tylko zakres przez Ciebie zatwierdzony przy pierwszym logowaniu.

Aplikacja mobilna — uprawnienia

O co prosi apka i dlaczego.

Tylko gdy zgłaszasz kolejkę przy RVM

Geolokalizacja (GPS)

Pojedynczy ping GPS w momencie zgłoszenia kolejki. Backend otwiera 10-minutowe okno, w którym liczy depozyty zrobione przez innych userów przy tej maszynie — jeśli Twoje zgłoszenie zostanie potwierdzone telemetrią, dostajesz punkty promocyjne. Możesz odmówić zgody — wtedy po prostu nie zgłaszasz kolejek.

Przy skanowaniu kodu QR na RVM

Aparat (kamera)

Jeśli maszyna wymaga skanu kodu do przypisania depozytu do Twojego konta. Nie robimy zdjęć ani nie zapisujemy materiału — aparat działa lokalnie, wynikiem jest tylko odczytany kod.

Opcjonalne, włączone tylko po Twojej zgodzie

Powiadomienia push

Powiadomienia o odpowiedzi w zgłoszeniu support, potwierdzeniach wymiany bonu, statusie kampanii. Token push zapisujemy — możesz go skasować wyłączając powiadomienia w systemie.

Przy pobraniu ebooka lub materiału kursu

Pamięć / pliki

Jeśli wymieniasz bony na ebook/plik — apka zapisuje go w pamięci urządzenia. Nie skanujemy innych plików, nie czytamy galerii, nie mamy dostępu do kontaktów.

Czego nie zbieramy

Wprost — czego u nas NIE ma.

Trackerów reklamowych (Google Analytics, Meta Pixel, Hotjar, TikTok Pixel) — brak

Ciągłego śledzenia lokalizacji w tle — nigdy

Listy kontaktów, historii połączeń, SMS — nigdy

Dostępu do innych aplikacji na Twoim urządzeniu — nigdy

Danych biometrycznych (odcisk palca, Face ID) — biometria stosowana lokalnie przez system, my nie otrzymujemy żadnych danych

Profili reklamowych, segmentów marketingowych, reklam personalizowanych — nie wyświetlamy reklam

Reklamowych ciasteczek third-party — nie używamy

Nagrań ekranu, heatmap, session replay — nie używamy

Pliki cookies i lokalne przechowywanie

Tylko techniczne. Dlatego nie ma baneru zgody.

Cookie sesyjne

Token uwierzytelnienia, żeby Cię nie wylogowało przy każdym kliknięciu. Kasuje się po zamknięciu karty lub wylogowaniu.

localStorage

Ustawienia interfejsu (motyw, język), cache metadanych produktów. Nie zawiera danych osobowych.

Cookies third-party

Brak. Żadne zewnętrzne domeny nie ustawiają ciasteczek przez naszą stronę — dlatego nie pytamy o zgodę na to, czego nie ma.

Z kim dzielimy dane

Podprocesorzy — lista jawna.

Korzystamy z zewnętrznych usług technicznych wyłącznie w zakresie niezbędnym do działania platformy. Wszyscy są związani umową powierzenia przetwarzania danych (DPA) zgodną z RODO.

Rola

Podmiot

Zakres danych

Hosting aplikacji i bazy danych

dostawca chmurowy (EU region)

przechowywanie bazy MongoDB, serwery Node.js, assety

Dostawca e-mail transakcyjnego

SMTP (Zoho EU / alternatywa)

wysyłka potwierdzeń rejestracji, resetów hasła, powiadomień supportu

Operator kaucyjny

zewnętrzny podmiot rynku kaucyjnego

ewidencja bonów, realizacja wypłat do fundacji i twórców

Księgowość

zewnętrzne biuro rachunkowe

faktury sprzedaży i zakupu, deklaracje podatkowe (wyłącznie dane rozliczeniowe)

Ujawnienie organom państwowym następuje wyłącznie w przypadku ważnego wezwania prawnego (sąd, prokuratura) i jedynie w niezbędnym zakresie. Nigdy nie udostępniamy danych proaktywnie.

Twoje prawa (RODO)

Sześć praw. Każde dostępne jednym kliknięciem.

Rozporządzenie RODO daje Ci konkretny zestaw praw wobec Twoich danych. U nas każde z nich jest wbudowane w interfejs — nie musisz pisać mejla z prośbą.

Prawo dostępu

Możesz otrzymać kopię wszystkich Twoich danych w formacie JSON (eksport jednym kliknięciem w ustawieniach).

Prawo do sprostowania

Błędne lub nieaktualne dane możesz poprawić samodzielnie z poziomu konta.

Prawo do usunięcia („bycia zapomnianym")

Usunięcie konta kasuje dane osobowe. Dane rozliczeniowe (faktury, bony) pozostają w formie zanonimizowanej przez okres wymagany ustawą o rachunkowości.

Prawo do ograniczenia przetwarzania

Możesz zażądać wstrzymania przetwarzania do czasu wyjaśnienia sporu.

Prawo do przenoszenia danych

Eksport w formacie strukturalnym (JSON) zawiera wszystko, co niezbędne, by przenieść dane do innej usługi.

Prawo sprzeciwu

Możesz sprzeciwić się przetwarzaniu opartemu na prawnie uzasadnionym interesie administratora.

Masz wątpliwości? Najpierw napisz do nas. Zanim sięgniesz po dalsze środki prawne, daj nam szansę wyjaśnić sprawę — pisz na support@waambox.app. Odpowiadamy w ciągu 7 dni roboczych.

Usuwanie konta i retencja

Co się dzieje, kiedy usuwasz konto.

1.Natychmiast po Twoim żądaniu dane osobowe (e-mail, imię, nick, dokumenty weryfikacyjne) są kasowane z aktywnej bazy i indeksów. Twoje konto znika z platformy.

2.Dane rozliczeniowe (faktury, transakcje, historia bonów) pozostają przez okres wymagany ustawowo (5 lat od końca roku podatkowego) — ale w formie zanonimizowanej (bez e-maila, nazwiska, telefonu).

3.Kopie zapasowe bazy zawierające Twoje dane wygasają zgodnie z polityką backupów — maksymalnie 90 dni. Po tym okresie zanikają całkowicie.

4.Niezrealizowane bony kaucyjne wracają do operatora — możesz je wypłacić w sklepie przed zamknięciem konta. Po usunięciu konta tracimy możliwość przypisania ich do Ciebie.

Bezpieczeństwo i incydenty

Jeśli coś pójdzie nie tak — zasady.

Zabezpieczenia techniczne

→hasła hashowane algorytmem bcrypt
→transport HTTPS/TLS 1.2+
→klucze API zaszyfrowane w bazie
→dostęp do bazy tylko z sieci wewnętrznej
→kopie zapasowe szyfrowane, retencja 90 dni
→regularne audyty kodu (OWASP Top 10)

W razie naruszenia danych

Jeśli dojdzie do naruszenia ochrony danych osobowych o wysokim ryzyku dla Twoich praw, poinformujemy Cię o tym:

→na e-mail w ciągu 72 godzin od wykrycia
→z opisem: co się stało, jakie dane dotknięte, jakie kroki podjęliśmy
→UODO zawiadomimy w zakresie wymaganym przepisami

Znalazłeś podatność? Zgłoś ją na support@waambox.app z dopiskiem „security". Responsible disclosure jest mile widziany.

Pytania, skargi, zgłoszenia naruszeń

W sprawach związanych z prywatnością, RODO i przetwarzaniem danych pisz bezpośrednio na adres poniżej. Odpowiadamy w terminie do 7 dni roboczych, w sprawach pilnych znacznie szybciej.

support@waambox.app

Ostatnia aktualizacja: 19 kwietnia 2026 · Dane administratora