Dokumenty

Polityka prywatności

W tym dokumencie wyjaśniamy jakie dane zbiera aplikacja Bebik, w jakim celu, na jakiej podstawie prawnej oraz jakie przysługują Ci prawa. Dokument zgodny z RODO (rozporządzenie 2016/679) i polskimi przepisami o ochronie danych osobowych.

Obowiązuje od
24 kwietnia 2026 r.
Ostatnia aktualizacja
24 kwietnia 2026 r.
Wersja
1.0

1. Administrator danych

Administratorem danych osobowych w aplikacji Bebik (dalej: Aplikacja lub Serwis) jest AIR LABS Krzysztof Bączkiewicz, jednoosobowa działalność gospodarcza, NIP 7842446875 (dalej: Administrator, my). Dane rejestrowe działalności widoczne są w CEIDG (ceidg.gov.pl).

W sprawach ochrony danych skontaktuj się z nami na kontakt@bebik.pl. Nie wyznaczyliśmy inspektora ochrony danych (IOD) — nie wymaga tego art. 37 RODO w naszym przypadku. W sprawach związanych z płatnościami administratorem danych jest Stripe Payments Europe, Ltd. (patrz § 4).

2. Jakie dane zbieramy

2.1. Dane konta rodzica / opiekuna

  • adres e-mail (wymagany do logowania i komunikacji serwisowej),
  • hasło (przechowywane wyłącznie w postaci skrótu — my nie mamy do niego dostępu),
  • imię lub pseudonim (opcjonalnie, używane w interfejsie),
  • strefa czasowa i język interfejsu.

2.2. Dane dziecka (w tym dane dotyczące zdrowia)

Podajesz je dobrowolnie, w ramach funkcji Aplikacji. Są to dane szczególnych kategorii w rozumieniu art. 9 RODO (dane dotyczące zdrowia), przetwarzane na podstawie Twojej wyraźnej zgody (art. 9 ust. 2 lit. a RODO):

  • imię dziecka, data urodzenia, płeć,
  • karmienia (godziny, pierś lewa/prawa, ilość mleka, butelka/pierś, notatki),
  • sen i drzemki (początek, koniec, wybudzenia),
  • pieluszki (kolor, konsystencja, godzina),
  • pomiary (waga, wzrost, obwód głowy),
  • szczepienia wykonane i planowane wg PSO,
  • kamienie milowe rozwojowe, notatki i obserwacje,
  • inne zdarzenia dnia zarejestrowane przez Ciebie w Aplikacji.

2.3. Dane płatnicze

Dane karty płatniczej i innych instrumentów płatniczych nie są przez nas przechowywane — obsługuje je Stripe Payments Europe, Ltd. działający jako Merchant of Record (Stripe Managed Payments). Przechowujemy jedynie pseudonimizowany identyfikator klienta Stripe (np. cus_…), identyfikator subskrypcji, status płatności oraz datę rozpoczęcia i zakończenia okresu rozliczeniowego — dane te są nam niezbędne do weryfikacji aktywnego planu i naliczania limitów.

Fakturę lub paragon za subskrypcję wystawia Stripe bezpośrednio Użytkownikowi i przesyła na podany adres e-mail. Polityka prywatności Stripe: stripe.com/privacy.

2.4. Dane techniczne

  • adres IP (w logach technicznych, dla bezpieczeństwa),
  • typ przeglądarki, system operacyjny, rozdzielczość,
  • identyfikator sesji, identyfikator urządzenia PWA,
  • logi zdarzeń w Aplikacji (diagnostyka, wykrywanie nadużyć).

3. Cele i podstawy prawne przetwarzania

  • Świadczenie usługi Bebik (rejestracja, logowanie, zapis i prezentacja zdarzeń dziecka, wspólne konto, eksporty) — art. 6 ust. 1 lit. b RODO (wykonanie umowy), a w zakresie danych dotyczących zdrowia dziecka — art. 9 ust. 2 lit. a RODO (wyraźna zgoda rodzica).
  • Rozliczenia i księgowość — art. 6 ust. 1 lit. c RODO (obowiązek prawny, m.in. ustawa o rachunkowości, przepisy podatkowe).
  • Bezpieczeństwo, zapobieganie nadużyciom, obrona przed roszczeniami — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora).
  • Analityka i rozwój produktu w oparciu o zagregowane, zanonimizowane statystyki korzystania — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes), w sposób uniemożliwiający identyfikację użytkownika lub dziecka.
  • Komunikacja serwisowa (potwierdzenia, przypomnienia szczepień, informacje o zmianach regulaminu) — art. 6 ust. 1 lit. b i f RODO.
  • Marketing własnych usług kierowany do aktualnych użytkowników — art. 6 ust. 1 lit. f RODO, z prawem wyrażenia sprzeciwu w dowolnej chwili.

Nie prowadzimy profilowania wpływającego na decyzje prawne ani nie udostępniamy identyfikujących danych dziecka stronom trzecim w celach marketingowych.

4. Odbiorcy danych

Dane mogą być udostępniane wyłącznie zaufanym podmiotom, niezbędnym do świadczenia usługi:

  • Hetzner Online GmbH (Niemcy, EOG) — hosting serwerów aplikacji i bazy danych, zarządzane przez Laravel Forge. Umowa powierzenia zgodnie z art. 28 RODO.
  • Stripe Payments Europe, Ltd. — obsługa płatności w modelu Merchant of Record. Stripe jest odrębnym administratorem w zakresie przetwarzania danych płatniczych (imię i nazwisko, adres rozliczeniowy, dane karty, e-mail do przesłania faktury).
  • Dostawca transakcyjnych e-maili (np. usługi SMTP/AWS SES) w EOG — wysyłka przypomnień i potwierdzeń.
  • Google Cloud Messaging / Apple Push Service — doręczenie push-notyfikacji. Otrzymują jedynie zaszyfrowany payload i endpoint urządzenia (bez treści identyfikujących dziecko).
  • Dostawcy narzędzi analitycznych — otrzymują wyłącznie zanonimizowane lub zagregowane statystyki (brak identyfikatorów użytkownika i dziecka).
  • Biuro rachunkowe, doradcy prawni i podatkowi — w zakresie niezbędnym do rozliczeń Usługodawcy (AIR LABS Krzysztof Bączkiewicz).
  • Organy publiczne — na ich uzasadnione żądanie, w zakresie wymaganym prawem.

Z podmiotami przetwarzającymi w naszym imieniu zawieramy umowę powierzenia przetwarzania danych zgodną z art. 28 RODO.

Drugi rodzic lub opiekun, któremu nadasz wspólny dostęp do karty dziecka, uzyskuje dostęp do danych Twojego dziecka zgodnie z nadanym zakresem (edycja lub tryb podglądu) — to Ty decydujesz o tym dostępie i możesz go w każdej chwili cofnąć.

5. Przekazywanie danych poza EOG

Dane są przechowywane na serwerach w Europejskim Obszarze Gospodarczym. Jeżeli w drodze wyjątku jakikolwiek proces wymagałby transferu poza EOG (np. integracja z zewnętrzną usługą), stosujemy standardowe klauzule umowne zatwierdzone przez Komisję Europejską oraz dodatkowe zabezpieczenia techniczne i organizacyjne wymagane orzecznictwem TSUE.

6. Okres przechowywania

  • Dane konta i dziecka — przez czas korzystania z Aplikacji oraz do 30 dni po usunięciu konta (okres ten służy ewentualnemu odtworzeniu konta na Twoje żądanie).
  • Dane rozliczeniowe i faktury — przez 5 lat od końca roku, w którym powstał obowiązek podatkowy (ustawa o rachunkowości, Ordynacja podatkowa).
  • Logi techniczne i logi bezpieczeństwa — do 12 miesięcy, z wyjątkiem zdarzeń związanych z nadużyciami, które możemy przechowywać do upływu terminu przedawnienia roszczeń.
  • Korespondencja z obsługą — do 3 lat od ostatniego kontaktu.
  • Zanonimizowane statystyki — bezterminowo, w formie wykluczającej identyfikację osoby.

7. Twoje prawa

Zgodnie z art. 15–22 RODO masz prawo do:

  • dostępu do swoich danych i otrzymania ich kopii,
  • sprostowania danych nieprawidłowych lub nieaktualnych,
  • usunięcia danych („prawo do bycia zapomnianym"),
  • ograniczenia przetwarzania,
  • przenoszenia danych w ustrukturyzowanym formacie,
  • sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu,
  • cofnięcia zgody w dowolnej chwili — cofnięcie zgody nie wpływa na legalność przetwarzania realizowanego przed jej cofnięciem.

Większość z tych praw możesz zrealizować samodzielnie z poziomu ustawień konta (edycja, eksport, usunięcie konta). Pozostałe wnioski realizujemy niezwłocznie, nie później niż w terminie miesiąca od otrzymania żądania (z możliwością wydłużenia o kolejne dwa miesiące w sprawach skomplikowanych, o czym Cię poinformujemy).

8. Prawo do wniesienia skargi

Jeżeli uważasz, że przetwarzamy Twoje dane z naruszeniem RODO, masz prawo wnieść skargę do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl). Zachęcamy jednak, by najpierw skontaktować się z nami — staramy się rozwiązywać sprawy szybko i po ludzku.

9. Zautomatyzowane decyzje i profilowanie

Nie podejmujemy decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływały.

Rekomendacje prezentowane w Aplikacji (np. okno czuwania, przypomnienia szczepień, analiza centylowa) mają charakter informacyjny. Nie stanowią porady medycznej i nie zastępują konsultacji z lekarzem.

10. Cookies, local storage, PWA

Aplikacja używa plików cookies oraz local/session storage w celach:

  • niezbędnych — utrzymanie sesji zalogowania, CSRF, preferencje interfejsu (podstawa: art. 173 ust. 3 Prawa telekomunikacyjnego, RODO art. 6 ust. 1 lit. b i f),
  • analitycznych — pomiar ruchu w sposób zagregowany, do diagnostyki i rozwoju produktu (wymagana Twoja zgoda).

Bebik jest progresywną aplikacją webową (PWA) — możesz zainstalować ją jako ikonę na ekranie głównym telefonu. Do działania wymaga aktywnego połączenia z Internetem.

11. Dane dzieci

Aplikacja jest przeznaczona dla rodziców i opiekunów dzieci w wieku 0–18 miesięcy. Dane dziecka podaje wyłącznie osoba sprawująca nad nim władzę rodzicielską lub opiekun prawny, w ramach wykonywania swoich uprawnień.

Usługi Aplikacji nie są kierowane bezpośrednio do osób niepełnoletnich. Konto w Aplikacji może założyć wyłącznie osoba pełnoletnia.

12. Bezpieczeństwo

Stosujemy techniczne i organizacyjne środki bezpieczeństwa proporcjonalne do ryzyka, m.in.:

  • szyfrowanie transmisji (TLS 1.2+),
  • haszowanie haseł silnym algorytmem,
  • kontrolę dostępu i zasadę minimalnych uprawnień,
  • segregację środowisk produkcyjnego i deweloperskiego,
  • kopie zapasowe i procedury odtwarzania,
  • rejestrowanie i monitorowanie zdarzeń bezpieczeństwa,
  • umowy powierzenia z podwykonawcami (art. 28 RODO).

W razie naruszenia ochrony danych zgłaszamy je do UODO w terminie 72 godzin oraz informujemy osoby, których dane dotyczą, jeżeli naruszenie może powodować wysokie ryzyko dla ich praw i wolności (art. 33–34 RODO).

13. Zmiany polityki

Możemy aktualizować niniejszą politykę, jeśli zmieni się zakres świadczonych usług lub przepisy prawa. O istotnych zmianach poinformujemy Cię z wyprzedzeniem — przez e-mail i komunikat w Aplikacji. Aktualna wersja jest zawsze dostępna pod adresem bebik.pl/privacy.

14. Kontakt

W każdej sprawie dotyczącej danych osobowych napisz do nas na kontakt@bebik.pl. Odpowiadamy maksymalnie w ciągu 7 dni roboczych, a na formalne wnioski realizujące prawa z RODO — w terminie jednego miesiąca.

← Wróć na stronę główną · Regulamin