Polityka Prywatności Aplikacji RajdPK

1. Kto odpowiada za Twoje dane?

Administratorem danych w aplikacji jest Samorząd Studencki Politechniki Krakowskiej, a dokładnie Komisja Cyfryzacji SSPK oraz Sztab Wydarzenia. Dostęp do systemu ma wyłącznie bardzo wąskie grono 6 osób, w tym szefowie rajdu i sekcji IT. W razie jakichkolwiek pytań lub próśb związanych z prywatnością, kontakt odbywa się pod adresem e-mail: s.it@samorzad.pk.edu.pl.

2. Jakie dane zbieramy i dlaczego?

Zależy nam tylko na tych informacjach, które pozwalają na udział w wydarzeniu i prawidłowe korzystanie z aplikacji. Przetwarzane dane to imię, nazwisko, adres e-mail oraz kod zaproszenia. Rejestracja wymaga również hasła, które jest natychmiast szyfrowane jednostronnym algorytmem przez narzędzia autoryzacji (Google Firebase). Nikt z administracji nie ma dostępu do jawnego hasła ani nie ma technicznej możliwości zalogowania się na konta użytkowników. Zdjęcie profilowe nie jest obowiązkowe, ale w przypadku dodania, jest pobierane z konta Google lub Apple w zależności od ustawień urządzenia.

Aplikacja nie ma dostępu do mikrofonu, nie nagrywa wideo i nie zbiera żadnych ukrytych informacji. W środowisku aplikacji poruszają się wyłącznie zalogowani i zatwierdzeni użytkownicy (z zastrzeżeniem nagłych interwencji technicznych).

3. Do czego aplikacja potrzebuje uprawnień urządzenia?

Aby platforma działała w pełni poprawnie, niezbędne są następujące uprawnienia z poziomu systemu operacyjnego telefonu:

Lokalizacja: wymagana do obsługi mapy rajdu i bieżącej nawigacji.

Dostęp do zdjęć: konieczny do swobodnego pobierania, udostępniania i zapisywania obrazów wewnątrz społeczności.

Powiadomienia push: służące do błyskawicznego przesyłania kluczowych komunikatów organizacyjnych ze sztabu.

4. Bezpieczeństwo i brak podmiotów trzecich

Cała infrastruktura utrzymywana jest na zabezpieczonych serwerach Google Firebase (Firestore oraz Cloud Functions). Nie są używane żadne narzędzia do śledzenia zachowań, analizy wydajności czy zbierania logów błędów (takich jak Firebase Crashlytics czy Performance Monitoring). Dane są całkowicie wyłączone ze śledzenia, profilowania i analizy. Nie są udostępniane ani sprzedawane żadnym stronom trzecim.

Choć wydarzenie wspierają sponsorzy, są oni całkowicie odcięci od infrastruktury. Nie otrzymują żadnych statystyk z aplikacji ani informacji o aktywności uczestników.

5. Treści generowane przez użytkowników i moderacja

Wszystkie wgrane materiały są widoczne dla uczestników. Każdy zalogowany użytkownik może przeglądać, pobierać i udostępniać zdjęcia. Ze względów bezpieczeństwa oraz wymogów sklepów z aplikacjami wdrożono rygorystyczne mechanizmy moderacji: jeśli użytkownik trafi na treść, którą uzna za nieodpowiednią, posiada funkcję jej natychmiastowego zgłoszenia. Dodatkowo, użytkownik ma możliwość zablokowania konta osoby, której zachowanie uznaje za niewłaściwe. Administracja ma obowiązek rozpatrzyć raport w ciągu maksymalnie 12 godzin i, jeśli to konieczne, całkowicie usunąć wskazane zdjęcie oraz zablokować dostęp osobom łamiącym regulamin.

6. Kontrola nad danymi i ich usuwanie

Każda osoba ma pełne prawo do zarządzania cyfrowym śladem, który po sobie zostawia. Z poziomu profilu można w każdej chwili usunąć swoje zdjęcia, opublikowane treści oraz całe konto. Skutkuje to całkowitym i bezpowrotnym skasowaniem wszystkich informacji z serwerów – proces ten jest nieodwracalny, a treści przepadają na zawsze. Jeśli z powodów technicznych użytkownik nie może wykonać tego samodzielnie, może złożyć wniosek na adres s.it@samorzad.pk.edu.pl. Po weryfikacji tożsamości, administrator trwale wykasuje dane w jego imieniu.

7. Czas przechowywania danych

Informacje nie są trzymane w nieskończoność po zakończeniu wydarzenia. Wszystkie dane, konta oraz treści wgrane do aplikacji przechowywane są na serwerach najpóźniej do dnia 30.06.2026 roku. Po tym terminie baza zostaje wymazana i jakakolwiek opcja pobrania plików z aplikacji przestanie być dostępna.

8. Twoje prawa (RODO) i podstawa prawna

Twoje dane przetwarzamy głównie po to, by umożliwić Ci korzystanie z aplikacji i udział w Rajdzie (jest to niezbędne do realizacji naszej „umowy” użytkownika). Niektóre funkcje, jak dostęp do lokalizacji, działają wyłącznie na podstawie Twojej dobrowolnej zgody, którą w każdej chwili możesz cofnąć w ustawieniach telefonu. Zgodnie z RODO, masz pełne prawo do wglądu w swoje dane, ich poprawiania, przenoszenia, usunięcia, a także prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), jeśli uznasz, że Twoja prywatność została naruszona.

9. Gdzie wędrują Twoje dane?

Ze względu na to, że nasza baza danych działa w oparciu o profesjonalne usługi Google (Firebase), dane mogą być technicznie przesyłane na serwery zlokalizowane w USA. Odbywa się to w pełni legalnie, na podstawie tak zwanych standardowych klauzul umownych zatwierdzonych przez Unię Europejską, co gwarantuje, że poziom ochrony Twoich informacji pozostaje tak samo wysoki, jak w Europie.

10. Ochrona danych dzieci

Aplikacja jest tworzona przez studentów i skierowana do pełnoletnich uczestników Rajdu. Z tego powodu nie jest przeznaczona dla osób poniżej 16. roku życia. Świadomie nie zbieramy danych od dzieci. Jeśli w jakimś przypadku zidentyfikujemy konto założone przez osobę niepełnoletnią, natychmiast i bezpowrotnie usuniemy z serwerów wszystkie powiązane z nim informacje.

Privacy Policy of the RajdPK App

1. Who is responsible for your data?

The data controller for the app is the Student Union of the Cracow University of Technology (Samorząd Studencki Politechniki Krakowskiej), specifically the SSPK Digitalization Commission and the Event Organizing Committee. Access to the system is restricted to a very narrow group of 6 people, including the heads of the rally and the IT section. For any questions or privacy-related requests, please contact us at the e-mail address: s.it@samorzad.pk.edu.pl.

2. What data do we collect and why?

We only care about the information that allows you to participate in the event and use the app properly. The processed data includes your first name, last name, e-mail address, and invitation code. Registration also requires a password, which is immediately encrypted using a one-way algorithm by authorization tools (Google Firebase). No one from the administration has access to your plaintext password, nor is there any technical possibility to log into users’ accounts. A profile picture is not mandatory, but if added, it is fetched from your Google or Apple account depending on your device settings.

The app does not access your microphone, does not record video, and does not collect any hidden information. Only logged-in and approved users can navigate the app environment (except for sudden technical interventions).

3. Why does the app need device permissions?

For the platform to work perfectly, the following operating system permissions are necessary:

• Location: required to operate the rally map and provide real-time navigation.

• Photo access: necessary to freely download, share, and save images within the community.

• Push notifications: used to instantly send key organizational messages from the organizing committee.

4. Security and no third parties

The entire infrastructure is maintained on secure Google Firebase servers (Firestore and Cloud Functions). We do not use any tools for tracking behavior, analyzing performance, or collecting crash logs (such as Firebase Crashlytics or Performance Monitoring). The data is completely excluded from tracking, profiling, and analytics. It is not shared or sold to any third parties.

Although the event is supported by sponsors, they are completely cut off from the infrastructure. They do not receive any app statistics or information about participant activity.

5. User-generated content and moderation

All uploaded materials are visible to participants. Every logged-in user can view, download, and share photos. For security reasons and to meet app store requirements, strict moderation mechanisms have been implemented: if a user encounters content they deem inappropriate, they have the feature to report it immediately. Additionally, users can block the account of anyone whose behavior they find inappropriate. The administration is obliged to review the report within a maximum of 12 hours and, if necessary, completely remove the flagged photo and block access for individuals violating the rules.

6. Data control and deletion

Every person has the full right to manage the digital footprint they leave behind. From the profile level, you can delete your photos, published content, and your entire account at any time. This results in the complete and irreversible erasure of all information from the servers – this process cannot be undone, and the content is lost forever. If, for technical reasons, a user cannot do this themselves, they can submit a request to s.it@samorzad.pk.edu.pl. After verifying their identity, the administrator will permanently delete the data on their behalf.

7. Data retention period

Information is not kept indefinitely after the event ends. All data, accounts, and content uploaded to the app are stored on the servers at the latest until June 30, 2026. After this date, the database will be wiped, and any option to download files from the app will cease to be available.

8. Your rights (GDPR) and legal basis

We process your data mainly to allow you to use the app and participate in the Rally (this is necessary to fulfill our user „contract”). Some features, like access to location, work solely based on your voluntary consent, which you can withdraw at any time in your phone settings. Under the GDPR, you have the full right to access your data, correct it, transfer it, delete it, and also the right to lodge a complaint with the President of the Personal Data Protection Office (PUODO) if you believe your privacy has been violated.

9. Where does your data go?

Because our database operates on professional Google services (Firebase), data may technically be transferred to servers located in the USA. This is done fully legally, based on so-called standard contractual clauses approved by the European Union, which guarantees that the level of protection for your information remains as high as in Europe.

10. Children’s data protection

The app is created by students and aimed at adult participants of the Rally. For this reason, it is not intended for individuals under 16 years of age. We do not knowingly collect data from children. If we identify an account created by a minor, we will immediately and irreversibly delete all associated information from the servers.