pingtoren

Polityka prywatności

Ostatnia aktualizacja: 2026-04-18

Ta strona wyjaśnia, jakie dane osobowe zbieramy, po co je zbieramy, jak długo je trzymamy i jakie masz prawa. Piszemy zwykłym językiem — bez prawniczych ozdobników.

Kim jesteśmy

Usługę prowadzi pingtoren. W każdej sprawie dotyczącej prywatności napisz do:

Kontakt: privacy@pingtoren.com

Jakie dane przetwarzamy

Zbieramy tylko to, co niezbędne do działania usługi:

  • Informacje o koncie — Twój adres e-mail i jednokierunkowy hash hasła. Jeśli zdecydujesz się zalogować przez GitHub, trzymamy też Twoją nazwę użytkownika GitHub, zweryfikowany główny adres e-mail, wyświetlaną nazwę i URL awatara, zaimportowane za Twoim wyraźnym pozwoleniem na ekranie zgody GitHuba.
  • Treść usługi — URL-e, nazwy, harmonogramy, adresaci alertów i ustawienia monitorów, które tworzysz.
  • Dane operacyjne — wyniki każdego sprawdzenia, które dla Ciebie wykonujemy (status, czas odpowiedzi, ewentualny błąd), incydenty i zagregowane statystyki dzienne.
  • Metadane techniczne — adres IP i user agent żądania, trzymane w krótkotrwałych logach serwera na potrzeby bezpieczeństwa i debugowania.

Po co je przetwarzamy i na jakiej podstawie prawnej

Każdemu celowi odpowiada pojedyncza podstawa prawna z art. 6 RODO:

  • Świadczenie usługi monitoringu (uruchamianie sprawdzeń, wysyłanie alertów, pokazywanie Twoich danych).
    Wykonanie umowy — art. 6 ust. 1 lit. b.
  • Utrzymanie bezpieczeństwa usługi i zapobieganie nadużyciom (limity, fraud, ochrona konta).
    Prawnie uzasadniony interes — art. 6 ust. 1 lit. f.
  • Diagnozowanie błędów i utrzymywanie niezawodności (logi serwera).
    Prawnie uzasadniony interes — art. 6 ust. 1 lit. f.
  • Spełnienie obowiązków prawnych (np. odpowiedź na żądania organów).
    Obowiązek prawny — art. 6 ust. 1 lit. c.

Kto otrzymuje Twoje dane

Twoje dane przetwarzamy my i kilku dostawców usług działających na naszą prośbę:

  • AWS Europe S.à r.l. (Luksemburg) — nasz dostawca infrastruktury chmurowej. Używamy go do hostingu, logowania, przechowywania danych i wysyłki powiadomień e-mail. Wszystko działa we Frankfurcie. Inne regiony mogą uruchamiać Twoje sprawdzenia monitoringu, jeśli wyraźnie je włączysz — szczegóły w sekcji Infrastruktura poniżej.
  • Plausible Insights OÜ (Estonia) — przyjazna prywatności analityka webowa. Szczegóły w sekcji Analityka poniżej.
  • GitHub, Inc. (Stany Zjednoczone) — tylko jeśli zdecydujesz się logować kontem GitHub. Czytamy Twoją nazwę użytkownika, zweryfikowany główny e-mail, wyświetlaną nazwę i URL awatara, żeby Cię uwierzytelnić. GitHub, Inc. posiada certyfikację EU–US Data Privacy Framework, która pokrywa ten transfer.

Gdzie dane są przechowywane i transfery międzynarodowe

Wszystkie dane kont, monitorów i operacyjne są przechowywane w Europejskim Obszarze Gospodarczym (Frankfurt, Niemcy).

Transfery poza EOG

Domyślnie nie przekazujemy danych poza EOG. Dwie rzeczy mogą to zmienić, obie pod Twoją wyraźną kontrolą: logowanie GitHubem (Twoje logowanie trafia do GitHub, Inc. w USA, pokryte certyfikacją EU–US Data Privacy Framework GitHuba) oraz włączenie sprawdzeń monitoringu z regionów spoza UE. Pełny obraz w sekcji Infrastruktura poniżej.

Infrastruktura i lokalizacja danych

Gdzie żyją Twoje dane

Twoje konto, monitory, wyniki sprawdzeń, które zbieramy, i historia incydentów są przechowywane w jednym miejscu: Frankfurt, Niemcy. Żaden inny region nie trzyma kopii Twoich danych.

Dane w spoczynku są szyfrowane AES-256 kluczem, który sami posiadamy i kontrolujemy — rotowany według naszego harmonogramu, audytowany przy każdym użyciu i możliwy do unieważnienia w dowolnej chwili. Dane w tranzycie zawsze idą przez HTTPS z nowoczesnym TLS (1.2 lub wyżej).

Monitoring z innych regionów

Gdy skonfigurujesz monitor, żeby sprawdzenia szły z USA lub Azji-Pacyfiku, sprawdzenie uruchamia się w tym regionie, a wynik zapisuje się z powrotem we Frankfurcie. Podczas każdego sprawdzenia ustawienia monitora, które wprowadziłeś — URL celu, metoda HTTP, nagłówki, body żądania i dane basic-auth, jeśli ich używasz — są używane w tamtym regionie do tego jednego sprawdzenia i odrzucane, gdy się kończy. Nic z Twoich danych nie zostaje poza Frankfurtem.

Domyślnie

Nowe monitory sondują tylko z Europy. Dodatkowe regiony dodaje się tylko wtedy, gdy sam je włączysz per monitor.

Dostępne regiony sondujące
  • Europa — Frankfurt i Irlandia
  • USA — N. Virginia i Oregon
  • Azja-Pacyfik — Singapur i Tokio

Podmiot kontraktowy i zabezpieczenia transgraniczne

Nasza infrastruktura chmurowa działa na podstawie umowy z AWS Europe S.à r.l. (Luksemburg), regulowanej przez AWS EU Data Processing Addendum ze standardowymi klauzulami umownymi. Jeśli logujesz się GitHubem, to uwierzytelnianie obsługuje GitHub, Inc. (USA), pokryte certyfikacją EU–US Data Privacy Framework.

Suwerenność danych i amerykańska ustawa CLOUD Act

Nasz dostawca infrastruktury chmurowej ma amerykańską spółkę matkę (Amazon.com, Inc.), co oznacza, że jej zagraniczne spółki zależne podlegają prawu USA, w tym ustawie CLOUD Act. Zbudowaliśmy usługę z tą świadomością:

Co zrobiliśmy
  • Twoje dane nigdy nie opuszczają Europy. Frankfurt to jedyne miejsce, gdzie żyją — nie replikujemy ich, nie cache'ujemy i nie robimy kopii zapasowych gdzie indziej.
  • Wszystko w spoczynku jest szyfrowane kluczem, który sami trzymamy i kontrolujemy. Rotujemy go, audytujemy jego użycie i w razie czego możemy go całkowicie unieważnić.
  • Zbieramy tylko te dane osobowe, których usługa faktycznie potrzebuje do działania. Bez profilowania, bez identyfikatorów reklamowych, bez śledzenia behawioralnego.

Jeśli działasz w regulowanej branży, sektorze publicznym albo kontekście krytycznej infrastruktury, gdzie potrzebujesz pełnej unijnej suwerenności, możemy rozważyć dedykowane wdrożenie u europejskiego dostawcy chmury (na przykład Hetzner lub Scaleway) na podstawie umowy. Napisz na privacy@pingtoren.com, żeby porozmawiać.

Jak długo trzymamy Twoje dane

Dane trzymamy tylko tak długo, jak wymaga tego cel:

  • Konto (e-mail, hash hasła, profil) — do czasu usunięcia konta.
  • Konfiguracje monitorów i incydenty — do usunięcia monitora lub konta.
  • Surowe wyniki sprawdzeń — 7 dni (kroczące).
  • Dzienne zagregowane statystyki — 400 dni.
  • Logi żądań serwera — 14 dni.

Twoje prawa

Zgodnie z RODO masz następujące prawa dotyczące swoich danych osobowych:

  • Dostęp — otrzymanie kopii danych, które o Tobie mamy.
  • Sprostowanie — poprawienie nieprawidłowych danych.
  • Usunięcie („prawo do bycia zapomnianym”) — poproszenie nas o skasowanie Twoich danych.
  • Ograniczenie — ograniczenie sposobu przetwarzania Twoich danych.
  • Przenoszenie — otrzymanie danych w formacie maszynowo czytelnym.
  • Sprzeciw — sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie.
  • Wycofanie zgody — w dowolnej chwili, dla wszystkiego, co bazuje na zgodzie.

Żeby skorzystać z dowolnego z tych praw, napisz na privacy@pingtoren.com. Odpowiadamy w ciągu 30 dni.

Jeśli uważasz, że źle obeszliśmy się z Twoimi danymi, możesz złożyć skargę do krajowego organu ochrony danych. W Polsce to Prezes Urzędu Ochrony Danych Osobowych (PUODO). Lista organów z UE/EOG jest dostępna na edpb.europa.eu.

Pliki cookie

Sami nie ustawiamy żadnych ciasteczek. Aplikacja działa jako single-page web app, bez ciasteczek śledzących i bez skryptów reklamowych. Nasz dostawca analityki (zobacz sekcję Analityka niżej) jest z założenia bez ciasteczek. Podczas logowania GitHubem może zostać ustawione krótkotrwałe ciasteczko sesji przez endpoint uwierzytelniania na jego własnej subdomenie; jest ono ściśle niezbędne do dokończenia przekierowania OAuth i nie wycieka na domenę naszej aplikacji.

Nie pokazujemy banera cookie, bo ta strona nie ustawia żadnych ciasteczek, które wymagałyby zgody na mocy RODO lub dyrektywy ePrivacy.

Analityka

Żeby zobaczyć, które strony są odwiedzane i jak rośnie ruch, używamy Plausible — przyjaznego prywatności, bezcasteczkowego narzędzia analityki webowej, prowadzonego przez Plausible Insights OÜ (Estonia) na infrastrukturze UE. Daje nam tylko zagregowane liczby; nie używa ciasteczek, nie zbiera danych osobowych i nie identyfikuje odwiedzających. Dzięki temu żaden baner zgody nie jest wymagany na mocy RODO ani dyrektywy ePrivacy.

Wolisz, żeby Cię nie liczyć

Dowolny blocker śledzący w przeglądarce (w tym te wbudowane w Firefoksa, Brave i Safari) zablokuje Plausible jak każdy inny skrypt zewnętrzny. Strona nadal działa normalnie.

Dane w przeglądarce

Używamy storage'u przeglądarki dla kilku rzeczy niezbędnych do działania usługi. Na gruncie ePrivacy i RODO są one wyłączone z obowiązku zgody („ściśle niezbędne” lub preferencje inicjowane przez użytkownika):

  • Tokeny sesji — trzymają Cię zalogowanego i automatycznie odświeżają sesję. Czyszczone przy wylogowaniu.
  • Preferencje wyświetlania — wybrany język, strefa czasowa i jasny/ciemny motyw.
  • Kod bezpieczeństwa logowania — krótkotrwały, ustawiany tylko podczas próby logowania GitHubem i czyszczony po powrocie.

Bezpieczeństwo

Dane są szyfrowane w tranzycie (HTTPS/TLS) i w spoczynku kluczem, który sami trzymamy i kontrolujemy. Dostęp do systemów produkcyjnych jest ściśle ograniczony i logowany audytowo. Hasła trzymamy tylko jako jednokierunkowe hashe — nigdy ich nie widzimy. Stosujemy nowoczesne praktyki bezpieczeństwa i nieustannie wzmacniamy usługę wraz z ewolucją zagrożeń.

Dzieci

Usługa nie jest adresowana do dzieci poniżej 16 roku życia. Świadomie nie zbieramy danych osobowych dzieci. Jeśli sądzisz, że dziecko zarejestrowało konto, napisz na privacy@pingtoren.com, a konto usuniemy.

Zmiany w tej polityce

Możemy aktualizować tę politykę, gdy zmieniają się nasze praktyki. Data „Ostatniej aktualizacji” na górze wskazuje ostatnią zmianę. Materialne zmiany (np. nowy procesor albo nowy cel zbierania danych) zakomunikujemy w samej usłudze, nie tylko tutaj.

Kontakt

W każdej sprawie, pytaniu, wniosku lub skardze dotyczącej prywatności napisz do:

privacy@pingtoren.com