Polityka Prywatności

Ostatnia aktualizacja: 30 marca 2026 r.

§ 1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

Boost Makers Kamil Herbut

NIP: 6121882864

REGON: 526193457

Adres siedziby: Brzeźnik 120, 59-700 Bolesławiec

Adres e-mail: boostmakers@interia.pl

Telefon: +48 781 573 441

Administrator prowadzi serwis internetowy BoostMakers ECU Map Editor (dalej: „Serwis"), umożliwiający edycję map sterowników silnika (ECU). Administrator przetwarza dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO") oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.).

§ 2. Cele i podstawy prawne przetwarzania danych

Twoje dane osobowe są przetwarzane w następujących celach i na następujących podstawach prawnych:

Cel przetwarzania	Zakres danych	Podstawa prawna
Świadczenie usług drogą elektroniczną — umożliwienie korzystania z Serwisu, przesyłania plików ECU, edycji map	Adres e-mail, hasło (w postaci skrótu kryptograficznego), imię (opcjonalnie), przesłane pliki ECU, projekty, edycje map	Art. 6 ust. 1 lit. b RODO — niezbędność do wykonania umowy o świadczenie usług
Obsługa płatności za usługi — realizacja transakcji za pośrednictwem operatora Stripe	Adres e-mail, dane transakcyjne (identyfikator płatności, kwota, data). Dane karty płatniczej przetwarzane są wyłącznie przez Stripe Inc.	Art. 6 ust. 1 lit. b RODO — niezbędność do wykonania umowy
Prowadzenie konta użytkownika — rejestracja, uwierzytelnianie, zarządzanie kontem	Adres e-mail, hasło (hash), imię (opcjonalnie)	Art. 6 ust. 1 lit. b RODO — niezbędność do wykonania umowy
Marketing bezpośredni własnych usług — informacje o nowych funkcjach, promocjach, aktualizacjach Serwisu	Adres e-mail	Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na promowaniu własnych usług
Analityka i statystyki — analiza ruchu w Serwisie za pomocą Google Analytics	Zanonimizowany adres IP, identyfikatory cookies (_ga, _gid, _gat), dane o sesji (czas, źródło wejścia, odwiedzone podstrony)	Art. 6 ust. 1 lit. a RODO — zgoda użytkownika wyrażona poprzez akceptację plików cookies
Realizacja obowiązków prawnych i podatkowych — wystawianie faktur, prowadzenie dokumentacji księgowej	Dane niezbędne do wystawienia faktury (imię i nazwisko lub firma, adres, NIP)	Art. 6 ust. 1 lit. c RODO — niezbędność do wypełnienia obowiązku prawnego ciążącego na Administratorze (ustawa o rachunkowości, ordynacja podatkowa)

§ 3. Zakres zbieranych danych

W zależności od sposobu korzystania z Serwisu Administrator zbiera następujące kategorie danych osobowych:

Dane konta użytkownika

Adres e-mail (wymagany do rejestracji i logowania)
Hasło — przechowywane wyłącznie w postaci skrótu kryptograficznego (hash); Administrator nie ma dostępu do hasła w postaci jawnej
Imię — podanie jest opcjonalne i służy personalizacji interfejsu

Dane związane z korzystaniem z usług

Przesłane pliki ECU (pliki binarne sterowników silnika)
Projekty utworzone w Serwisie
Edycje i modyfikacje map dokonane przez użytkownika

Dane płatności

Obsługa płatności realizowana jest przez zewnętrznego operatora — Stripe Inc. Administrator nie przechowuje numerów kart płatniczych ani kodów CVV/CVC. Administrator otrzymuje od Stripe jedynie identyfikator transakcji, kwotę, datę i status płatności.

Dane analityczne

Zanonimizowany adres IP (funkcja anonymizeIp w Google Analytics)
Pliki cookies analityczne: _ga, _gid, _gat
Dane o sesji: czas trwania, źródło wejścia, przeglądane podstrony, typ urządzenia

Logi serwera

Adres IP
Ciąg identyfikacyjny przeglądarki (user-agent)
Data i godzina żądania HTTP
Adres URL żądanego zasobu
Kod odpowiedzi HTTP

§ 4. Odbiorcy danych

Twoje dane osobowe mogą być przekazywane następującym kategoriom odbiorców:

Stripe Inc. — operator płatności internetowych. Stripe przetwarza dane płatnicze w celu realizacji transakcji. Polityka prywatności Stripe dostępna jest pod adresem: stripe.com/privacy.
Google LLC — dostawca usługi Google Analytics. Google przetwarza zanonimizowane dane analityczne w celu generowania statystyk dotyczących ruchu w Serwisie. Polityka prywatności Google dostępna jest pod adresem: policies.google.com/privacy.
Dostawca usług hostingowych — podmiot świadczący usługi serwerowe, na których działa Serwis. Dostawca hostingu przetwarza dane wyłącznie w zakresie niezbędnym do zapewnienia prawidłowego funkcjonowania infrastruktury technicznej.
Biuro rachunkowe — w zakresie niezbędnym do realizacji obowiązków księgowych i podatkowych.

Administrator nie sprzedaje danych osobowych podmiotom trzecim. Dane są udostępniane wyłącznie w zakresie niezbędnym do realizacji wskazanych celów.

§ 5. Przekazywanie danych do państw trzecich

W związku z korzystaniem z usług Stripe Inc. oraz Google LLC, Twoje dane osobowe mogą być przekazywane do Stanów Zjednoczonych Ameryki, tj. państwa trzeciego w rozumieniu RODO.

Transfer danych odbywa się na podstawie:

EU-U.S. Data Privacy Framework (DPF) — zarówno Stripe Inc., jak i Google LLC posiadają certyfikację w ramach DPF, co oznacza, że Komisja Europejska uznała, iż podmioty te zapewniają odpowiedni stopień ochrony danych osobowych (decyzja wykonawcza Komisji Europejskiej z dnia 10 lipca 2023 r.).
Standardowe klauzule umowne (SCC) — jako dodatkowe zabezpieczenie Administrator stosuje standardowe klauzule umowne przyjęte decyzją Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r., zapewniające odpowiedni poziom ochrony danych podczas transferu.

Administrator na bieżąco monitoruje ważność mechanizmów transferu i w razie potrzeby wdraża dodatkowe środki zabezpieczające zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (EROD).

§ 6. Okres przechowywania danych

Twoje dane osobowe są przechowywane przez okres niezbędny do realizacji celów, w jakich zostały zebrane:

Kategoria danych	Okres przechowywania
Dane konta użytkownika (e-mail, hash hasła, imię, pliki ECU, projekty, edycje map)	Do momentu usunięcia konta przez użytkownika + 30 dni (okres na ewentualne przywrócenie konta)
Dane rozliczeniowe i faktury	5 lat od końca roku podatkowego, w którym powstał obowiązek podatkowy — zgodnie z art. 74 ustawy o rachunkowości oraz art. 86 § 1 Ordynacji podatkowej
Logi serwera (adres IP, user-agent, znaczniki czasu)	12 miesięcy od daty zapisu
Dane analityczne Google Analytics	14 miesięcy — zgodnie z ustawieniami retencji danych w Google Analytics
Dane przetwarzane na podstawie zgody	Do momentu wycofania zgody
Dane przetwarzane w celu marketingu bezpośredniego	Do momentu wniesienia sprzeciwu (art. 21 ust. 2 RODO)

Po upływie wskazanych okresów dane są trwale usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osoby, której dotyczą.

§ 7. Prawa osoby, której dane dotyczą

Na podstawie RODO przysługują Ci następujące prawa w odniesieniu do Twoich danych osobowych:

Prawo dostępu do danych (art. 15 RODO) — masz prawo uzyskać od Administratora potwierdzenie, czy przetwarzane są Twoje dane osobowe, a jeżeli ma to miejsce, uzyskać dostęp do nich oraz informacje o celach przetwarzania, kategoriach danych, odbiorcach i planowanym okresie przechowywania.
Prawo do sprostowania danych (art. 16 RODO) — masz prawo żądać niezwłocznego sprostowania nieprawidłowych danych osobowych lub uzupełnienia niekompletnych danych.
Prawo do usunięcia danych (art. 17 RODO) — masz prawo żądać usunięcia swoich danych osobowych, gdy dane nie są już niezbędne do celów, w których zostały zebrane, cofnąłeś zgodę na przetwarzanie, wniosłeś skuteczny sprzeciw, dane były przetwarzane niezgodnie z prawem lub muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.
Prawo do ograniczenia przetwarzania (art. 18 RODO) — masz prawo żądać ograniczenia przetwarzania, gdy kwestionujesz prawidłowość danych, przetwarzanie jest niezgodne z prawem (a sprzeciwiasz się usunięciu), Administrator nie potrzebuje już danych (ale są potrzebne Tobie do ustalenia, dochodzenia lub obrony roszczeń) lub wniosłeś sprzeciw na mocy art. 21 ust. 1 RODO.
Prawo do przenoszenia danych (art. 20 RODO) — masz prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłać je innemu administratorowi, gdy przetwarzanie odbywa się na podstawie zgody lub umowy i jest prowadzone w sposób zautomatyzowany.
Prawo do sprzeciwu (art. 21 RODO) — masz prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f RODO), w tym wobec profilowania. W przypadku sprzeciwu wobec przetwarzania danych na potrzeby marketingu bezpośredniego Administrator niezwłocznie zaprzestanie przetwarzania danych w tym celu.
Prawo do cofnięcia zgody — w zakresie, w jakim dane przetwarzane są na podstawie zgody (art. 6 ust. 1 lit. a RODO), masz prawo cofnąć zgodę w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem.
Prawo do wniesienia skargi do organu nadzorczego — jeżeli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO):

Prezes Urzędu Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa

Strona internetowa: uodo.gov.pl

W celu realizacji powyższych praw skontaktuj się z Administratorem za pośrednictwem adresu e-mail: boostmakers@interia.pl. Administrator udzieli odpowiedzi bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania. W wyjątkowych przypadkach termin ten może zostać przedłużony o kolejne 60 dni, o czym zostaniesz poinformowany.

§ 8. Pliki cookies

Serwis wykorzystuje pliki cookies (ciasteczka), czyli niewielkie pliki tekstowe zapisywane na urządzeniu końcowym użytkownika, zgodnie z art. 173 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 nr 171 poz. 1800 ze zm.) oraz przepisami Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady (Dyrektywa ePrivacy).

Wykaz plików cookies stosowanych w Serwisie

Nazwa cookie	Dostawca	Cel	Okres ważności
`PHPSESSID`	Serwis (własny)	Plik cookie sesyjny niezbędny do prawidłowego funkcjonowania Serwisu. Służy do obsługi sesji użytkownika (utrzymanie stanu zalogowania, przechowywanie danych sesji po stronie serwera).	Do zamknięcia przeglądarki (sesyjny)
`_ga`	Google Analytics	Plik cookie analityczny służący do rozróżniania unikalnych użytkowników poprzez przypisanie losowo wygenerowanego identyfikatora. Umieszczany w każdym żądaniu strony w celu obliczania danych o odwiedzających, sesjach i kampaniach.	2 lata
`_gid`	Google Analytics	Plik cookie analityczny służący do identyfikacji sesji użytkownika. Przechowuje i aktualizuje unikalną wartość dla każdej odwiedzonej podstrony.	24 godziny
`_gat`	Google Analytics	Plik cookie służący do ograniczania częstotliwości żądań wysyłanych do serwerów Google Analytics (throttling), co zapobiega przeciążeniu serwisu przy dużym natężeniu ruchu.	1 minuta

Zarządzanie plikami cookies w przeglądarce

Możesz w każdej chwili zmienić ustawienia dotyczące plików cookies w swojej przeglądarce, w tym zablokować ich zapisywanie lub usunąć już zapisane pliki. Poniżej znajdziesz instrukcje dla najpopularniejszych przeglądarek:

Google Chrome — Ustawienia → Prywatność i bezpieczeństwo → Pliki cookie i inne dane witryn. Więcej informacji: support.google.com/chrome/answer/95647
Mozilla Firefox — Ustawienia → Prywatność i bezpieczeństwo → Ciasteczka i dane stron. Więcej informacji: support.mozilla.org/pl/kb/ciasteczka
Apple Safari — Preferencje → Prywatność → Zarządzaj danymi strony internetowej. Więcej informacji: support.apple.com/pl-pl/guide/safari/sfri11471
Microsoft Edge — Ustawienia → Pliki cookie i uprawnienia witryny → Zarządzaj plikami cookie i danymi witryny oraz usuwaj je. Więcej informacji: support.microsoft.com

Ograniczenie stosowania plików cookies może wpłynąć na niektóre funkcjonalności Serwisu, w szczególności na możliwość zalogowania się i korzystania z usług wymagających uwierzytelnienia.

§ 9. Google Analytics

Serwis korzysta z usługi Google Analytics dostarczanej przez Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) w celu analizy sposobu korzystania z Serwisu przez użytkowników.

Google Analytics wykorzystuje pliki cookies (_ga, _gid, _gat) do zbierania informacji o Twojej aktywności w Serwisie. Zebrane dane są anonimowe i zagregowane — nie pozwalają na bezpośrednią identyfikację użytkownika.

W celu ochrony Twojej prywatności Administrator wdrożył następujące mechanizmy:

Anonimizacja adresu IP — aktywowana jest funkcja anonymizeIp, która powoduje, że Google obcina (maskuje) ostatni oktet adresu IPv4 (lub ostatnie 80 bitów adresu IPv6) przed zapisaniem. Dzięki temu pełny adres IP nie jest nigdy zapisywany na serwerach Google.
Retencja danych — okres przechowywania danych analitycznych ustawiony jest na 14 miesięcy, po czym dane są automatycznie usuwane.
Brak łączenia danych — Administrator nie łączy danych zbieranych przez Google Analytics z danymi osobowymi użytkowników.

Możesz zablokować zbieranie danych przez Google Analytics, instalując oficjalną wtyczkę do przeglądarki: Google Analytics Opt-out Browser Add-on.

Więcej informacji o sposobie przetwarzania danych przez Google Analytics znajdziesz pod adresem: support.google.com/analytics/answer/6004245.

§ 10. Profilowanie i automatyczne podejmowanie decyzji

Administrator nie podejmuje wobec użytkowników decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, które wywoływałyby wobec użytkownika skutki prawne lub w podobny sposób istotnie na niego wpływały.

Dane analityczne zbierane przez Google Analytics służą wyłącznie do tworzenia zbiorczych statystyk dotyczących ruchu w Serwisie i nie są wykorzystywane do podejmowania zindywidualizowanych decyzji wobec użytkowników.

§ 11. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych osobowych, w tym ochronę przed nieuprawnionym dostępem, utratą, zniszczeniem lub ujawnieniem, zgodnie z art. 32 RODO. W szczególności Administrator wdraża następujące zabezpieczenia:

Szyfrowanie transmisji danych — komunikacja między przeglądarką użytkownika a serwerami Serwisu jest szyfrowana z użyciem protokołu SSL/TLS (certyfikat HTTPS), co zapewnia poufność przesyłanych danych.
Hashowanie haseł — hasła użytkowników przechowywane są wyłącznie w postaci skrótu kryptograficznego (hash) z wykorzystaniem bezpiecznych algorytmów. Administrator nie ma możliwości odczytania haseł w postaci jawnej.
Ograniczony dostęp — dostęp do danych osobowych mają wyłącznie osoby upoważnione, w zakresie niezbędnym do realizacji powierzonych im zadań. Dostęp do panelu administracyjnego jest zabezpieczony uwierzytelnianiem.
Regularne kopie zapasowe — dane są regularnie archiwizowane w celu zapewnienia możliwości ich odtworzenia w przypadku awarii.
Monitoring bezpieczeństwa — Administrator monitoruje infrastrukturę techniczną pod kątem potencjalnych zagrożeń bezpieczeństwa.

§ 12. Zmiany polityki prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności w przypadku zmian przepisów prawa, zmian technologicznych lub organizacyjnych mających wpływ na przetwarzanie danych osobowych, bądź w wyniku rozwoju oferty Serwisu.

O wszelkich istotnych zmianach w Polityce Prywatności Administrator poinformuje użytkowników z wyprzedzeniem co najmniej 14 dni przed wejściem zmian w życie, za pośrednictwem:

komunikatu wyświetlonego po zalogowaniu się do Serwisu,
wiadomości e-mail wysłanej na adres przypisany do konta użytkownika.

Data ostatniej aktualizacji niniejszej Polityki Prywatności jest zawsze wskazana na początku dokumentu. Korzystanie z Serwisu po dacie wejścia w życie zmian oznacza akceptację zaktualizowanej Polityki Prywatności.

§ 13. Kontakt

W sprawach związanych z ochroną danych osobowych oraz w celu realizacji przysługujących Ci praw możesz skontaktować się z Administratorem:

Boost Makers Kamil Herbut

Adres: Brzeźnik 120, 59-700 Bolesławiec

E-mail: boostmakers@interia.pl

Telefon: +48 781 573 441

Administrator dokłada wszelkich starań, aby odpowiadać na zapytania w możliwie najkrótszym czasie, nie później niż w terminie 30 dni od dnia otrzymania wiadomości.

Privacy Policy

Last updated: March 30, 2026

§ 1. Data Controller

The controller of your personal data is:

Boost Makers Kamil Herbut

NIP (Tax Identification Number): 6121882864

REGON (Statistical Identification Number): 526193457

Registered address: Brzeźnik 120, 59-700 Bolesławiec, Poland

Email address: boostmakers@interia.pl

Phone: +48 781 573 441

The Data Controller operates the BoostMakers ECU Map Editor online service (hereinafter: the "Service"), which enables the editing of engine control unit (ECU) maps. The Data Controller processes personal data in accordance with Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (hereinafter: "GDPR") and the Act of May 10, 2018 on the Protection of Personal Data (Ustawa o ochronie danych osobowych) (Journal of Laws 2018, item 1000, as amended).

§ 2. Purposes and legal bases for data processing

Your personal data is processed for the following purposes and on the following legal bases:

Purpose of processing	Scope of data	Legal basis
Provision of electronic services — enabling the use of the Service, uploading ECU files, editing maps	Email address, password (in the form of a cryptographic hash), first name (optional), uploaded ECU files, projects, map edits	Art. 6(1)(b) GDPR — necessity for the performance of a contract for the provision of services
Payment processing — execution of transactions through the Stripe payment operator	Email address, transaction data (payment identifier, amount, date). Payment card data is processed exclusively by Stripe Inc.	Art. 6(1)(b) GDPR — necessity for the performance of a contract
User account management — registration, authentication, account administration	Email address, password (hash), first name (optional)	Art. 6(1)(b) GDPR — necessity for the performance of a contract
Direct marketing of own services — information about new features, promotions, Service updates	Email address	Art. 6(1)(f) GDPR — legitimate interest of the Data Controller in promoting its own services
Analytics and statistics — analysis of traffic in the Service using Google Analytics	Anonymized IP address, cookie identifiers (_ga, _gid, _gat), session data (duration, referral source, pages visited)	Art. 6(1)(a) GDPR — consent of the user expressed by accepting cookies
Fulfilment of legal and tax obligations — issuing invoices, maintaining accounting records	Data necessary for issuing invoices (full name or company name, address, NIP)	Art. 6(1)(c) GDPR — necessity for compliance with a legal obligation to which the Data Controller is subject (Accounting Act, Tax Ordinance)

§ 3. Scope of collected data

Depending on how you use the Service, the Data Controller collects the following categories of personal data:

User account data

Email address (required for registration and login)
Password — stored exclusively in the form of a cryptographic hash; the Data Controller does not have access to the password in plain text
First name — providing it is optional and serves to personalize the interface

Data related to the use of services

Uploaded ECU files (binary engine control unit files)
Projects created in the Service
Edits and modifications of maps made by the user

Payment data

Payment processing is carried out by an external operator — Stripe Inc. The Data Controller does not store payment card numbers or CVV/CVC codes. The Data Controller receives from Stripe only the transaction identifier, amount, date, and payment status.

Analytical data

Anonymized IP address (anonymizeIp function in Google Analytics)
Analytical cookies: _ga, _gid, _gat
Session data: duration, referral source, pages viewed, device type

Server logs

IP address
Browser identification string (user-agent)
Date and time of the HTTP request
URL of the requested resource
HTTP response code

§ 4. Data recipients

Your personal data may be disclosed to the following categories of recipients:

Stripe Inc. — online payment operator. Stripe processes payment data for the purpose of executing transactions. Stripe's privacy policy is available at: stripe.com/privacy.
Google LLC — provider of the Google Analytics service. Google processes anonymized analytical data to generate statistics on traffic in the Service. Google's privacy policy is available at: policies.google.com/privacy.
Hosting service provider — the entity providing server services on which the Service operates. The hosting provider processes data only to the extent necessary to ensure the proper functioning of the technical infrastructure.
Accounting office — to the extent necessary to fulfil accounting and tax obligations.

The Data Controller does not sell personal data to third parties. Data is disclosed only to the extent necessary to fulfil the stated purposes.

§ 5. Transfer of data to third countries

In connection with the use of services provided by Stripe Inc. and Google LLC, your personal data may be transferred to the United States of America, i.e., a third country within the meaning of the GDPR.

The data transfer is carried out on the basis of:

EU-U.S. Data Privacy Framework (DPF) — both Stripe Inc. and Google LLC hold certification under the DPF, which means that the European Commission has determined that these entities provide an adequate level of protection of personal data (implementing decision of the European Commission of July 10, 2023).
Standard Contractual Clauses (SCC) — as an additional safeguard, the Data Controller applies Standard Contractual Clauses adopted by European Commission Decision 2021/914 of June 4, 2021, ensuring an adequate level of data protection during the transfer.

The Data Controller continuously monitors the validity of transfer mechanisms and, where necessary, implements additional safeguards in accordance with the guidelines of the European Data Protection Board (EDPB).

§ 6. Data retention period

Your personal data is retained for the period necessary to fulfil the purposes for which it was collected:

Data category	Retention period
User account data (email, password hash, first name, ECU files, projects, map edits)	Until the account is deleted by the user + 30 days (period for possible account restoration)
Billing data and invoices	5 years from the end of the tax year in which the tax obligation arose — in accordance with Art. 74 of the Accounting Act (Ustawa o rachunkowości) and Art. 86 § 1 of the Tax Ordinance (Ordynacja podatkowa)
Server logs (IP address, user-agent, timestamps)	12 months from the date of recording
Google Analytics analytical data	14 months — in accordance with the data retention settings in Google Analytics
Data processed on the basis of consent	Until consent is withdrawn
Data processed for the purpose of direct marketing	Until an objection is raised (Art. 21(2) GDPR)

Upon expiry of the stated periods, data is permanently deleted or anonymized in a manner that prevents the identification of the data subject.

§ 7. Rights of the data subject

Under the GDPR, you have the following rights with respect to your personal data:

Right of access (Art. 15 GDPR) — you have the right to obtain from the Data Controller confirmation as to whether your personal data is being processed, and where that is the case, to obtain access to the data and information about the purposes of processing, the categories of data, the recipients, and the envisaged retention period.
Right to rectification (Art. 16 GDPR) — you have the right to request the prompt rectification of inaccurate personal data or the completion of incomplete data.
Right to erasure (Art. 17 GDPR) — you have the right to request the erasure of your personal data where the data is no longer necessary for the purposes for which it was collected, you have withdrawn your consent, you have lodged a valid objection, the data was processed unlawfully, or the data must be erased for compliance with a legal obligation.
Right to restriction of processing (Art. 18 GDPR) — you have the right to request restriction of processing where you contest the accuracy of the data, the processing is unlawful (and you oppose erasure), the Data Controller no longer needs the data (but you need it for the establishment, exercise, or defence of legal claims), or you have objected under Art. 21(1) GDPR.
Right to data portability (Art. 20 GDPR) — you have the right to receive your personal data in a structured, commonly used, machine-readable format and to transmit it to another controller, where processing is based on consent or a contract and is carried out by automated means.
Right to object (Art. 21 GDPR) — you have the right to object at any time to the processing of data based on the legitimate interest of the Data Controller (Art. 6(1)(f) GDPR), including profiling. In the event of an objection to the processing of data for direct marketing purposes, the Data Controller shall immediately cease processing the data for that purpose.
Right to withdraw consent — insofar as data is processed on the basis of consent (Art. 6(1)(a) GDPR), you have the right to withdraw consent at any time. The withdrawal of consent does not affect the lawfulness of processing carried out prior to such withdrawal.
Right to lodge a complaint with a supervisory authority — if you believe that the processing of your personal data infringes the provisions of the GDPR, you have the right to lodge a complaint with PUODO (President of the Personal Data Protection Office):

President of the Personal Data Protection Office (Prezes Urzędu Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Warszawa, Poland

Website: uodo.gov.pl

To exercise the above rights, please contact the Data Controller at the following email address: boostmakers@interia.pl. The Data Controller shall respond without undue delay, and no later than within 30 days of receiving the request. In exceptional cases, this period may be extended by a further 60 days, of which you will be informed.

§ 8. Cookies

The Service uses cookies, i.e., small text files stored on the user's end device, in accordance with Art. 173 of the Act of July 16, 2004 — Telecommunications Law (Prawo telekomunikacyjne) (Journal of Laws 2004 No. 171, item 1800, as amended) and the provisions of Directive 2002/58/EC of the European Parliament and of the Council (ePrivacy Directive).

List of cookies used in the Service

Cookie name	Provider	Purpose	Expiry
`PHPSESSID`	Service (first-party)	A session cookie essential for the proper functioning of the Service. It is used to manage the user session (maintaining login state, storing session data on the server side).	Until the browser is closed (session)
`_ga`	Google Analytics	An analytical cookie used to distinguish unique users by assigning a randomly generated identifier. It is included in every page request to calculate visitor, session, and campaign data.	2 years
`_gid`	Google Analytics	An analytical cookie used to identify user sessions. It stores and updates a unique value for each page visited.	24 hours
`_gat`	Google Analytics	A cookie used to throttle the request rate sent to Google Analytics servers, preventing overload during periods of high traffic.	1 minute

Managing cookies in your browser

You may change your cookie settings in your browser at any time, including blocking the storage of cookies or deleting cookies already stored. Below are instructions for the most popular browsers:

Google Chrome — Settings → Privacy and security → Cookies and other site data. More information: support.google.com/chrome/answer/95647
Mozilla Firefox — Settings → Privacy & Security → Cookies and Site Data. More information: support.mozilla.org
Apple Safari — Preferences → Privacy → Manage Website Data. More information: support.apple.com
Microsoft Edge — Settings → Cookies and site permissions → Manage and delete cookies and site data. More information: support.microsoft.com

Restricting the use of cookies may affect certain functionalities of the Service, in particular the ability to log in and use services that require authentication.

§ 9. Google Analytics

The Service uses the Google Analytics service provided by Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) to analyze how users interact with the Service.

Google Analytics uses cookies (_ga, _gid, _gat) to collect information about your activity within the Service. The collected data is anonymous and aggregated — it does not allow for the direct identification of the user.

To protect your privacy, the Data Controller has implemented the following measures:

IP address anonymization — the anonymizeIp function is enabled, which causes Google to truncate (mask) the last octet of the IPv4 address (or the last 80 bits of the IPv6 address) before storage. As a result, the full IP address is never stored on Google's servers.
Data retention — the retention period for analytical data is set to 14 months, after which the data is automatically deleted.
No data merging — the Data Controller does not combine data collected by Google Analytics with users' personal data.

You can block data collection by Google Analytics by installing the official browser add-on: Google Analytics Opt-out Browser Add-on.

More information about how Google Analytics processes data is available at: support.google.com/analytics/answer/6004245.

§ 10. Profiling and automated decision-making

The Data Controller does not make decisions regarding users based solely on automated processing, including profiling, as referred to in Art. 22(1) and (4) GDPR, which would produce legal effects concerning the user or similarly significantly affect them.

Analytical data collected by Google Analytics is used solely for the creation of aggregate statistics on traffic in the Service and is not used for making individualized decisions regarding users.

§ 11. Data security

The Data Controller applies appropriate technical and organizational measures to ensure the security of processed personal data, including protection against unauthorized access, loss, destruction, or disclosure, in accordance with Art. 32 GDPR. In particular, the Data Controller implements the following safeguards:

Data transmission encryption — communication between the user's browser and the Service's servers is encrypted using the SSL/TLS protocol (HTTPS certificate), ensuring the confidentiality of transmitted data.
Password hashing — user passwords are stored exclusively in the form of a cryptographic hash using secure algorithms. The Data Controller cannot read passwords in plain text.
Restricted access — access to personal data is limited to authorized persons, to the extent necessary for the performance of their assigned tasks. Access to the administration panel is secured by authentication.
Regular backups — data is regularly archived to ensure the possibility of recovery in the event of a failure.
Security monitoring — the Data Controller monitors the technical infrastructure for potential security threats.

§ 12. Changes to the Privacy Policy

The Data Controller reserves the right to amend this Privacy Policy in the event of changes in legislation, technological or organizational changes affecting the processing of personal data, or as a result of the development of the Service's offering.

The Data Controller shall inform users of any significant changes to the Privacy Policy at least 14 days before the changes take effect, by means of:

a notification displayed upon logging in to the Service,
an email sent to the address associated with the user's account.

The date of the last update of this Privacy Policy is always indicated at the beginning of the document. Continued use of the Service after the effective date of the changes constitutes acceptance of the updated Privacy Policy.

§ 13. Contact

For matters related to the protection of personal data and to exercise your rights, you may contact the Data Controller:

Boost Makers Kamil Herbut

Address: Brzeźnik 120, 59-700 Bolesławiec, Poland

Email: boostmakers@interia.pl

Phone: +48 781 573 441

The Data Controller makes every effort to respond to inquiries as soon as possible, no later than within 30 days from the date of receipt of the message.