Polityka Prywatności:
dla Aplikacji mobilnej „MOJA OHANA”
Wersja: 1.0. Data wejścia w życie: 15.10.2025 r.
1. Kto jest Administratorem? Administratorem danych jest Moja Ohana Mnich spółka jawna, ul. Bolesława Prusa 1/34, 50-319 Wrocław, KRS 0001103755, NIP 8982307499, REGON 528563786. Kontakt dedykowany do spraw prywatności: privacy@mojaohana.com. Nie wyznaczyliśmy IOD (art. 37 RODO). („Administrator”, „my”).
2. Zakres tej Polityki: Dokument dotyczy wyłącznie aplikacji mobilnej „MOJA OHANA” (iOS/Android) i powiązanej infrastruktury (API, hosting, backupy). Polityka nie obejmuje sklepu internetowego zlokalizowanego na https://mojaohana.com/ gdzie oferowane są inne cyfrowe i fizyczne produkty ani platformy kursowej.
3. Słowniczek skrótów i definicje:
3.1.RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
3.2.UPK – ustawa z dnia 30.05.2014 r. o prawach konsumenta. (Dz.U.2024.1796 t.j. z dnia 2024.12.06)
3.3.UŚUDE – ustawa z dnia 18.07.2002 r. o świadczeniu usług drogą elektroniczną. (Dz.U.2024.1513 t.j. z dnia 2024.10.14)
3.4.UGC – wszelkie dane i materiały wprowadzane lub przesyłane przez Użytkownika (np. dane relacji rodzinnych, notatki, odpowiedzi w testach, pliki, refleksje, narracje, skrzynia zasobów);
3.5.Dane wrażliwe – szczególne kategorie danych z art. 9 RODO (np. dane o zdrowiu, seksualności, światopoglądzie).
3.6. Personalizacja/AI – generowanie analiz, rekomendacji i wskazówek w oparciu o dane Użytkownika; bez skutków prawnych w rozumieniu art. 22 RODO (patrz §14).
3.7.Profilowanie – dowolne zautomatyzowane przetwarzanie danych osobowych polegające na ich wykorzystaniu do oceny niektórych czynników osobowych osoby fizycznej (np. preferencji, zachowania, zdrowia). W Aplikacji „Moja Ohana” profilowanie ma charakter „miękki” (dopasowanie treści edukacyjnych) i nie prowadzi do decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających (więcej w §14).
3.8. Partner – np. pracodawca/ubezpieczyciel zapewniający dostęp do Aplikacji Moja Ohana
3.9. Retencja – czas przechowywania danych (i sposób ich usuwania/anonimizacji) dla danego celu przetwarzania.
3.10. „Privacy-by-design” – ochrona danych w fazie projektowania i domyślna ochrona danych.
3.11. Rozliczalność(art. 5 ust. 2 RODO) to obowiązek wykazania, że przestrzegane są zasady RODO. (ślady i dowody)
4. Skąd mamy dane?
4.1.Bezpośrednio od Ciebie — rejestracja, testy, uzupełnianie drzewa rodzinnego, dziennik, narracje, refleksje, pliki, zdjęcia, także w skrzyni zasobów, zgody.
4.2.Automatycznie — logi techniczne, telemetryka, crash-reports (w zakresie bezpieczeństwa i utrzymania).
4.3. Od partnera (jeśli korzystasz z dostępu pracowniczego/ubezpieczeniowego) — wyłącznie identyfikatory aktywacji i statusy; bez UGC i wyników. Nie pozyskujemy od Partnera wyników, testów, ani UGC, jak również nie przekazujemy Partnerowi żadnych danych typu UGC, wyników testów itd.,
5. Zasady ogólne przetwarzania
5.1. Minimalizacja i privacy-by-design – przetwarzamy wyłącznie to, co potrzebne do działania modułów. Nie łączymy danych wrażliwych z Aplikacji z danymi marketingowymi ze Sklepu bez Twojej zgody.
5.2. Usługa dla osób 18+.
5.3.Dane wrażliwe przetwarzamy tylko po odrębnej, wyraźnej zgodzie (checkbox nie jest zaznaczony domyślnie). Zgodę można zawsze cofnąć. (jest taka możliwość w Aplikacji).
6. Co zapisujemy lokalnie na urządzeniu? – Część lub całość UGC (np. refleksje w dzienniku, narracje, pliki, zdjęcia w skrzyni zasobów, dane w genosocjogramie) może być przechowywana wyłącznie lokalnie na Twoim telefonie. Odinstalowanie aplikacji/wyczyszczenie danych może spowodować trwałą utratę tych zapisów – nie mamy technicznej możliwości ich odtworzenia (zalecamy własną kopię, np. screeny na użytek własny).
7. Kategorie danych i cele przetwarzania w Aplikacji
| Cel | Zakres | Podstawa prawna | Retencja | Odbiorcy |
| Konto w Aplikacji | e-mail/login zewn., hasło/token, język, ustawienia | art. 6 ust.1b) RODO | do usunięcia konta + do 6 mies. logi | hosting, auth provider |
| Subskrypcja | identyfikator transakcji, plan, status (bez danych karty) | art. 6 ust.1 b), f) RODO | czas trwania umowy + przedawnienie | Apple/Google, operator płatności, księgowość |
| Testy/kwestionariusze | odpowiedzi w testach (UGC), w tym potencjalnie dane wrażliwe | art. 6 ust.1b) + art. 9 ust.2 a) RODO (odrębna zgoda) | do usunięcia konta/wycofania zgody | hosting (jeśli synchronizujesz) |
| Genosocjogram/Drzewo | relacje rodzinne wprowadzone przez Ciebie; zalecamy pseudonimizację danych osób trzecich | art. 6 ust 1 b) + art. 9 ust.2 a) – jeśli wpiszesz dane wrażliwe) | do usunięcia konta/wycofania zgody | hosting (jeśli synchronizujesz) |
| Dziennik/Narracje/. Skrzynia zasobów | Twoje wpisy (UGC), mogące ujawniać stan emocjonalny/zdrowotny | art. 6 ust1 b) + art. 9 ust 2 a) | do usunięcia konta/wycofania zgody | hosting (jeśli synchronizujesz) |
| Personalizacja/AI | dane wejściowe z testów/UGC w pseudonimizacji; wynik testu + dane z drzewa wysyłane tylko po zgodach | art. 6 ust1b); dla danych wrażliwych: art. 9 ust 2a) | do usunięcia konta/wycofania zgody; backupy rotacja 30–90 dni | zaufani pod-procesorzy AI/hostingu (EOG/SCC) |
| Powiadomienia push | identyfikator urządzenia push | art. 6 ust1 a) (zgoda) | do wycofania zgody | Apple/Google push service |
| Telemetryka/bezpieczeństwo | logi zdarzeń, fingerprint w granicach prawa, crash-reports | art. 6 ust.1 f) (bezpieczeństwo) | 12–24 mies. | hosting, narzędzia anty-abuse |
Pola takie jak „Pseudonim” mogą pozostawać wyłącznie lokalne, nawet jeśli wpiszesz tam dane osoby trzeciej. (To ustawienie wynika z projektu prywatności-by-design i minimalizacji danych).
8. Podstawy prawne dodatkowe:
8.1.Umowa – dostarczenie funkcji Aplikacji (konto, subskrypcja, testy, moduły aplikacji ) – art. 6 ust 1 b) RODO.
8.2.Zgoda – powiadomienia push, moduły mogące obejmować dane z art. 9 (testy, drzewo, dziennik, narracje, skrzynia zasobów), zewnętrzne analityki marketingowe – art. 6 ust 1a) oraz art. 9 ust 2 a) RODO.
8.3.Uzasadniony interes – bezpieczeństwo, telemetryka, obrona roszczeń – art. 6 ust.1 f) RODO.
8.4. Obowiązek prawny – księgowość/podatki – art. 6 ust.1c) RODO.
9. Zgody „modułowe” i ich wycofanie
9.1.Zgoda na dane wrażliwe (art. 9) – udzielana przed startem modułów mogących je ujawniać (testy, dziennik, narracje, skrzynia zasobów, genosocjogram). Cofnięcie zgody wyłącza moduły na przyszłość i nie wpływa na zgodność przetwarzania sprzed cofnięcia.
9.2. Zgoda na personalizację/AI – udzielana przed wysyłką wyniku testu i danych z drzewa Może być jednorazowa dla kategorii „personalizacja” i obejmować dalsze sesje do czasu wycofania.
10. Odbiorcy danych / podmioty przetwarzające – Dane mogą być powierzane zweryfikowanym dostawcom: hosting (EOG), backup, CDN, autoryzacja, operatorzy płatności (Apple/Google), e-mail/SMS (za zgodą), push (Apple/Google), telemetryka/crash-reports, kancelarie, helpdesk, wyłącznie na podstawie umów powierzenia, z oceną środków bezpieczeństwa (TOMs).
11. Transfer poza EOG/UK Jeżeli przetwarzanie odbywa się poza EOG (np. USA), stosujemy Standardowe Klauzule Umowne /EU-US Data Privacy Framework (gdy dotyczy) i środki uzupełniające (szyfrowanie, minimalizacja, retencja). Informujemy o kategoriach dostawców w rejestrze podmiotów przetwarzających dostępnym na żądanie.
12. Retencja (jak długo przechowujemy dane).
12.1.Konto: do usunięcia + do 6 mies. logi.
12.2.Subskrypcje i rozliczenia: czas umowy + przedawnienie; dokumenty księgowe – 5 lat.
12.3.UGC/Aplikacja: do usunięcia konta/wycofania zgody; backupy rotują 30–90 dni.
12.4.Telemetryka/bezpieczeństwo: 12–24 miesiące.
13. Twoje prawa (art. 15–22 RODO). Masz prawo: dostępu, kopii, sprostowania, usunięcia („bycia zapomnianym”), ograniczenia, przeniesienia (w zakresie danych dostarczonych), sprzeciwu (art. 6 ust 1 f), wycofania zgód w dowolnym momencie oraz skargi do Prezesa UODO. Żądania kieruj na privacy@mojaohana.com; odpowiadamy niezwłocznie, najpóźniej w 1 miesiąc (możliwe przedłużenie do 2 mies. przy złożonych wnioskach).
14. AI, Personalizacja i brak zautomatyzowanego decydowania (art. 22 RODO). Przetwarzamy dane wprowadzone przez Ciebie w aplikacji (w tym, po wyrażeniu wyraźnej zgody: informacje o zdrowiu/psychice oraz wynik testu) w celu dopasowania materiałów edukacyjnych (np. medytacje, wskazówki itd). W tym zakresie korzystamy z zewnętrznej usługi przetwarzania treści działającej jako podmiot przetwarzający (processor). Udostępnianie danych do trenowania modeli jest wyłączone. Stosujemy minimalizację danych, szyfrowanie w transmisji i retencję ograniczoną do niezbędnego czasu. Jeśli przetwarzanie odbywa się poza EOG (np. USA), stosujemy SCC i/lub EU-US DPF oraz środki uzupełniające. Personalizacja może miec charakter profilowania w rozumieniu RODO, ale nie prowadzi do decyzji wywołujących skutki prawne ani w podobny sposób istotnie na Ciebie wpływających (art. 22 RODO nie ma zastosowania).
15. Zgody:
15.1. Dane wrażliwe (art. 9 RODO) — wyraźna zgoda przed rozpoczęciem testu;
15.2. Personalizacja/generowanie treści osobna zgoda przed wysłaniem wyniku testu i danych z drzewa. Zgody możesz wycofać w dowolnym momencie. Spowoduje to wyłączenie funkcji wymagających tych zgód. Pole „Pseudonim” służy wyłącznie w aplikacji i nie jest przesyłane do zewnętrznych usług przetwarzania treści.
16. Minimalizacja i pseudonimizacja – zachęcamy do pseudonimizacji osób trzecich w drzewie (inicjały, przybliżone daty). Dane mogą być agregowane/anonimizowane dla statystyk i rozwoju algorytmów w sposób uniemożliwiający ich identyfikację (po właściwej anonimizacji). Dane osób trzecich wprowadzane przez Użytkownika. Jeśli tworzysz genosocjogram masz obowiązek pseudonimizacji Nie wprowadzaj danych wrażliwych osób trzecich z danymi osobowymi.
17. Bezpieczeństwo TLS w transmisji, szyfrowanie „at rest” (tam gdzie ma zastosowanie), kontrola i ograniczenia dostępu, rejestrowanie zdarzeń, aktualizacje i przeglądy, privacy-by-design/default. Incydenty obsługuje zespół privacy; jeśli to wymagane, zgłosimy naruszenie do UODO i powiadomimy odpowiednie osoby.
18. Powiadomienia push i identyfikatory urządzenia. Wysyłamy je tylko po zgodzie; możesz ją wycofać w ustawieniach systemu lub w Aplikacji. Przetwarzamy identyfikator urządzenia push i ustawienia preferencji.
19. Aplikację można zakupić jedynie poprzez App Store lub Google Play. W przypadku zakupów w tych sklepach Apple/Google stosuje się zasady tych platform w zakresie rozliczeń/fakturowania/zwrotów/ prawa odstąpienia etc. Do nas trafiają wyłącznie dane niezbędne do weryfikacji statusu subskrypcji (np. identyfikator transakcji, stan ważności); nie mamy dostępu do danych karty.
20. Zmiany Polityki. Możemy zaktualizować Politykę z ważnych powodów prawnych/organizacyjnych/technologicznych; o istotnych zmianach dla usług ciągłych powiadomimy co najmniej 14 dni wcześniej na trwałym nośniku (e-mail/Konto). Archiwalne wersje dostępne na żądanie.
21. Opinie – Informujemy, czy i w jaki sposób weryfikujemy, że opinie pochodzą od klientów, którzy dokonali zakupu. Jeżeli brak weryfikacji – wyświetlamy odpowiedni komunikat.
22. Jakie uprawnienia przysługują Ci w związku z przetwarzaniem Twoich danych osobowych? RODO przyznaje Ci następujące potencjalne uprawnienia związane z przetwarzaniem Twoich danych osobowych:
- prawo dostępu do swoich danych oraz otrzymania ich kopii
- prawo do sprostowania (poprawiania) swoich danych,
- prawo do usunięcia danych (jeżeli Twoim zdaniem nie ma podstaw, abyśmy przetwarzali Twoje dane, możesz żądać, abyśmy je usunęli),
- prawo do ograniczenia przetwarzania danych (możesz żądać, abyśmy ograniczyli przetwarzanie danych wyłącznie do ich przechowywania lub wykonywania uzgodnionych z Tobą działań, jeżeli w Twojej opinii mamy nieprawidłowe dane lub przetwarzamy je bezpodstawnie),
- prawo do wniesienia sprzeciwu wobec przetwarzania danych
- prawo do przenoszenia danych
- prawo do cofnięcia zgody na przetwarzanie danych osobowych, jeżeli uprzednio taką zgodę wyraziłeś/wyraziłaś,
- prawo wniesienia skargi do organu nadzorczego (jeżeli stwierdzisz, że przetwarzamy dane niezgodnie z prawem, możesz złożyć w tej sprawie skargę do Prezesa Urzędu Ochrony Danych Osobowych lub innego właściwego organu nadzorczego).
23. Cookies i podobne technologie w aplikacji. Aplikacja mobilna nie używa plików cookie przeglądarkowych. Wykorzystujemy jednak podobne technologie (SDK/identyfikatory urządzenia, pamięć aplikacji) w następujących celach:
a. Niezbędne: logowanie i utrzymanie sesji (tokeny w Keychain/Keystore), bezpieczeństwo, weryfikacja zakupów w App Store/Google Play, obsługa powiadomień push;
b. Analityka i diagnostyka (za Twoją zgodą lub w konfiguracji ściśle niezbędnej do bezpieczeństwa): statystyki stabilności, błędy, wydajność;
c. Marketing (wyłącznie, jeśli wyrazisz zgodę; iOS: dodatkowo ATT).
Preferencjami możesz zarządzać w Ustawieniach → Prywatność. Nie łączymy tokenów bezpieczeństwa z identyfikatorami reklamowymi. Treści push nie zawierają danych wrażliwych.
24.Tokeny i bezpieczeństwo – Przechowujemy tokeny uwierzytelnienia i identyfikatory sesji lokalnie (Keychain/Keystore) wyłącznie w celu zapewnienia dostępu do konta i bezpieczeństwa. Tokeny są szyfrowane (przechowywane w Keychain/Keystore i przesyłane szyfrowanym kanałem (TLS) i nie są udostępniane podmiotom reklamowym.nosci dla aplikacji mojaohana po polsku.