POLITYKA
PRYWATNOŚCI.
Jak Hashe chroni Twoją prywatność.
Ostatnia aktualizacja: marzec 2026
Hashe jest zaprojektowany, aby zbierać praktycznie żadnych danych osobowych. Twoje wiadomości są szyfrowane end-to-end, nie możemy ich odczytać. Żadnych reklam, żadnego udostępniania danych podmiotom trzecim. Strona internetowa korzysta z analityki self-hosted bez cookies (Umami).
1. Administrator danych
Aplikacja Hashe jest wydawana przez:
- DEVOLIM
- SIREN: 948 000 757
- Kontakt: [email protected]
DEVOLIM działa jako administrator danych w rozumieniu Ogólnego Rozporządzenia o Ochronie Danych (RODO).
2. Zbierane dane
2.1 Co zbieramy
Hashe zbiera absolutne minimum niezbędne do działania usługi:
- Hashe ID - losowo generowany anonimowy identyfikator, niepowiązany z Twoją tożsamością
- Identyfikator urządzenia (device ID) - używany do uwierzytelniania
- Platforma - iOS lub Android, wymagana do powiadomień push
- Klucze publiczne - klucze szyfrowania Signal Protocol (klucz tożsamości, podpisany prekey, prekeys)
- Token skrzynki - do odbierania powiadomień push
2.2 Czego NIE zbieramy
Hashe nie zbiera, nie przechowuje ani nie przetwarza żadnych z poniższych danych:
- Treści wiadomości (szyfrowane end-to-end, nieczytelne dla naszych serwerów)
- List kontaktów
- Danych lokalizacyjnych
- Adresu e-mail
- Numeru telefonu
- Adresu IP (nieprzechowywany, nierejestrowany)
- Metadanych komunikacji (kto z kim rozmawia, kiedy, jak długo)
- Zdjęć, plików ani mediów w postaci jawnej
3. Szyfrowanie i bezpieczeństwo
Wszystkie komunikacje są chronione przez Signal Protocol, złoty standard szyfrowania end-to-end:
- AES-256-GCM - szyfrowanie symetryczne wiadomości i plików
- Curve25519 - wymiana kluczy Diffie-Hellmana na krzywej eliptycznej
- Double Ratchet - automatyczne odnawianie kluczy z każdą wiadomością (Perfect Forward Secrecy)
- Sealed Sender - tożsamość nadawcy jest zaszyfrowana, niewidoczna nawet dla serwera
Serwer nie może odczytać, odszyfrować ani powiązać wiadomości z nadawcą. Tylko odbiorca, używając swojego klucza prywatnego przechowywanego wyłącznie na swoim urządzeniu, może odszyfrować wiadomości.
4. Przechowywanie danych
- Zaszyfrowane wiadomości w tranzycie - usuwane po odebraniu przez odbiorcę lub automatycznie po maksymalnie 24 godzinach, jeśli nie zostały odebrane
- Dane konta - przechowywane tak długo, jak konto jest aktywne. Usuwane całkowicie po usunięciu konta
- Zaszyfrowane pliki i media - taki sam czas jak wiadomości: usuwane po odebraniu lub po maksymalnie 24 godzinach
5. Przechowywanie lokalne
Twoje dane (wiadomości, kontakty, notatki, klucze prywatne) są przechowywane lokalnie na Twoim urządzeniu w zaszyfrowanej bazie danych Hive (AES-256-GCM).
- Dane lokalne nie są nigdy synchronizowane z żadną chmurą
- Jedno urządzenie = jedno konto - brak automatycznego przywracania, brak kopii zapasowej po stronie serwera
- Klucz szyfrowania jest wyprowadzany z Twojego PIN-u przez Argon2id i przechowywany w iOS Keychain / Android Keystore
6. Podstawy prawne przetwarzania
Zgodnie z artykułem 6 RODO, przetwarzanie danych przez Hashe opiera się na:
- Wykonanie umowy (art. 6.1.b) - w celu świadczenia usługi komunikatora
- Prawnie uzasadniony interes (art. 6.1.f) - w celu zapewnienia bezpieczeństwa i niezawodności usługi
- Obowiązek prawny (art. 6.1.c) - w celu spełnienia zobowiązań wynikających z LCEN
7. Podwykonawcy
Hashe korzysta z następujących podwykonawców w celu świadczenia usługi:
| Podwykonawca | Lokalizacja | Cel |
|---|---|---|
| OVH | Francja | Hosting infrastruktury |
| LWS | Francja | Hosting uzupełniający |
| Cloudflare | USA | Ochrona DDoS, CDN, szyfrowane przechowywanie mediów (R2) |
| Google FCM | USA | Powiadomienia push (Android) - brak transmisji treści |
| Apple APNs | USA | Powiadomienia push (iOS) - brak transmisji treści |
Żaden podwykonawca nie ma dostępu do treści Twoich wiadomości ani danych osobowych. Powiadomienia push nie zawierają ani imion, ani treści wiadomości.
8. Twoje prawa (RODO)
Zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych masz następujące prawa:
- Prawo dostępu - wiedzieć, jakie dane o Tobie posiadamy
- Prawo do sprostowania - poprawić nieprawidłowe dane
- Prawo do usunięcia - usunąć swoje konto i wszystkie powiązane dane (dostępne bezpośrednio w aplikacji)
- Prawo do ograniczenia przetwarzania - ograniczyć przetwarzanie Twoich danych
- Prawo do przenoszenia danych - otrzymać swoje dane w ustrukturyzowanym formacie
- Prawo do sprzeciwu - sprzeciwić się przetwarzaniu Twoich danych
- Prawo do złożenia skargi - złożyć skargę do CNIL (francuski urząd ochrony danych) lub UODO
Aby skorzystać ze swoich praw, skontaktuj się z nami pod adresem [email protected].
Uwaga: Ponieważ Hashe zbiera bardzo mało danych i nie łączy żadnych informacji z Twoją tożsamością, niektóre prawa mogą być technicznie niemożliwe do wykonania (np. nie możemy dostarczyć treści wiadomości, których nie jesteśmy w stanie odczytać).
9. Prawa według kraju
Oprócz RODO, Hashe przestrzega obowiązującego lokalnego prawodawstwa:
- CCPA (California Consumer Privacy Act) - Stany Zjednoczone: prawo do wiedzy, usunięcia i rezygnacji ze sprzedaży danych osobowych. Hashe nie sprzedaje żadnych danych.
- LGPD (Lei Geral de Proteção de Dados) - Brazylia: prawa podobne do RODO, w tym prawo do anonimizacji i blokowania nadmiernych danych.
- PDPA (Personal Data Protection Act) - Singapur/Tajlandia: zgoda, dostęp i korekta danych osobowych.
- POPIA (Protection of Personal Information Act) - RPA: zgodne z prawem przetwarzanie, minimalizacja danych i prawa dostępu.
- PIPEDA (Personal Information Protection and Electronic Documents Act) - Kanada: prawo dostępu, korekty i składania skarg do Office of the Privacy Commissioner of Canada (OPC). Hashe zbiera tylko minimalne niezbędne dane.
- PIPA (Personal Information Protection Act) - Korea Południowa: prawo dostępu, korekty, usunięcia i zawieszenia przetwarzania danych osobowych. Skargi można składać do Personal Information Protection Commission (PIPC).
- APPI (Act on the Protection of Personal Information) - Japonia: prawo do ujawnienia, korekty, zawieszenia użytkowania i składania skarg do Personal Information Protection Commission (PPC).
- Privacy Act 1988 - Australia: Australian Privacy Principles (APPs), prawo dostępu i korekty. Skargi można składać do Office of the Australian Information Commissioner (OAIC).
10. Minimalny wiek
Hashe jest przeznaczony dla użytkowników w wieku co najmniej 13 lat.
W niektórych krajach Unii Europejskiej minimalny wiek może być podniesiony do 16 lat zgodnie z prawodawstwem krajowym.
Hashe świadomie nie zbiera danych od dzieci poniżej obowiązującego minimalnego wieku. Jeśli dowiesz się, że osoba niepełnoletnia korzysta z Hashe bez upoważnienia, skontaktuj się z nami pod adresem [email protected].
11. Pliki cookie
Hashe nie używa żadnych plików cookie, ani w aplikacji, ani na stronie internetowej.
Strona internetowa korzysta z Umami — narzędzia analitycznego self-hosted działającego na naszej własnej infrastrukturze, bez cookies, bez śledzenia między stronami i bez zbierania danych osobowych. żadne informacje umożliwiające identyfikację nie są przechowywane. Dane pozostają wyłącznie na naszych serwerach i nigdy nie są udostępniane podmiotom trzecim.
12. Transfery międzynarodowe
Minimalne dane przetwarzane przez Hashe mogą przechodzić przez podwykonawców zlokalizowanych poza Unią Europejską (patrz punkt 7). Te transfery są regulowane przez:
- Standardowe klauzule umowne (SCC) Komisji Europejskiej
- Data Privacy Framework (DPF) dla transferów do Stanów Zjednoczonych
Wszystkie dane wrażliwe (wiadomości, pliki) są szyfrowane end-to-end przed jakimkolwiek transferem, co czyni ich treść niedostępną dla jakiegokolwiek pośrednika.
13. Obowiązek LCEN
Zgodnie z francuską ustawą o zaufaniu w gospodarce cyfrowej (LCEN), Hashe jest zobowiązany do przechowywania danych połączeniowych przez okres 1 roku.
Dane te są ściśle ograniczone do zobowiązań prawnych i nie zawierają żadnych treści komunikacji. Mogą być ujawnione wyłącznie na żądanie sądowe.
14. Powiadomienie o naruszeniu
W przypadku naruszenia danych osobowych Hashe zobowiązuje się do:
- Powiadomienia CNIL w ciągu 72 godzin od uzyskania informacji o naruszeniu
- Poinformowania poszkodowanych użytkowników, jeśli naruszenie może skutkować wysokim ryzykiem dla ich praw i wolności
Uwaga: Ponieważ Hashe nie przechowuje żadnych identyfikowalnych danych osobowych, a wszystkie treści są szyfrowane end-to-end, wpływ potencjalnego naruszenia byłby skrajnie ograniczony.
15. Bezpieczeństwo danych
Hashe wdraża następujące środki techniczne i organizacyjne w celu ochrony Twoich danych:
- Szyfrowanie end-to-end (Signal Protocol) dla wszystkich komunikacji
- Szyfrowanie AES-256-GCM lokalnej bazy danych
- Przechowywanie kluczy w Secure Enclave (iOS Keychain / Android Keystore)
- Brak danych w postaci jawnej przechowywanych na serwerach
- Automatyczne usuwanie wiadomości w tranzycie po odebraniu lub wygaśnięciu
- Kod open source, możliwy do audytu przez każdego
- Infrastruktura hostowana we Francji (OVH, LWS)
16. Zmiany w niniejszej polityce
Hashe zastrzega sobie prawo do modyfikacji niniejszej polityki prywatności. W przypadku istotnej zmiany:
- Użytkownicy zostaną powiadomieni 30 dni przed wejściem zmian w życie
- Powiadomienie nastąpi za pośrednictwem aplikacji i/lub strony internetowej
- Data ostatniej aktualizacji zostanie zaktualizowana na górze tej strony
17. Kontakt
W przypadku pytań dotyczących niniejszej polityki prywatności lub ochrony Twoich danych:
- E-mail: [email protected]
- Wydawca: DEVOLIM
- SIREN: 948 000 757