Polityka prywatności

Ostatnia modyfikacja: 25 maja 2022 r.

Korzystając ze strony internetowej proton.me i z Konta Proton.me („Konto”) oraz wszystkich powiązanych z nim funkcji, w tym Proton Mail, Proton Contacts, Proton Calendar i Proton Drive („Usługi”) oświadczasz, że rozumiesz, że Twoje dane związane z korzystaniem z naszych Usług są przetwarzane zgodnie z poniższą Polityką prywatności. Niniejsza polityka określa (i) jakie dane gromadzimy poprzez dostęp do Usług i korzystania z Usług; (ii) wykorzystanie takich danych; oraz (iii) zabezpieczenia wprowadzone w celu ochrony danych użytkownika. Niniejsza Polityka prywatności ma być odczytywana i rozumiana jako uzupełnienie naszego Regulaminu.

Uwaga: Proton VPN podlega innej Polityce. Odwiedź stronę protonvpn.com/privacy-policy w celu uzyskania dodatkowych szczegółów.

1. Ramy prawne

Usługi są obsługiwane przez firmę Proton AG („Spółka”, „My”), z siedzibą przy Route de la Galaise 32, 1228 Plan-les-Ouates, Genewa, Szwajcaria. Jest ona zatem regulowana szwajcarskimi przepisami ustawowymi i regulacjami. Dodatkowe informacje na temat ram prawnych można znaleźć w naszym >raporcie przejrzystości oraz na naszej stronie pomocy dla organów ścigania.

Działamy również w zgodności z RODO. Wyznaczony przedstawiciel Spółki w Unii Europejskiej (w szczególności do celów dot. art. 27 RODO) to Proton Europe sàrl, rue de Grünewald 94, L-1912 Luksemburg.

2. Gromadzenie i wykorzystanie danych

Naszą nadrzędną polityką jest gromadzenie jak najmniejszej ilości informacji o użytkownikach (w tym danych osobowych) w celu zapewnienia im w pełni prywatnego doświadczenia użytkownika podczas korzystania z Usług. Nie dysponujemy środkami technicznymi umożliwiających dostęp do treści zaszyfrowanych wiadomości e-mail, plików i wydarzeń w kalendarzu.

Gromadzenie danych ogranicza się do następujących elementów:

2.1 Odwiedzanie naszej strony internetowej: korzystamy z lokalnej instalacji samodzielnie opracowanych narzędzi analitycznych. Dane z analizy są anonimizowane w miarę możliwości i przechowywane lokalnie (a nie w chmurze). Adresy IP nie są zachowywane i przechowywane dla takich analiz.

2.2 Utworzenie Konta: podanie danych osobowych w celu utworzenia Konta nie jest konieczne, ale użytkownik może podać zewnętrzny adres e-mail do celów powiadamiania lub odzyskiwania hasła. Jeśli zdecydujesz się go podać, ten adres e-mail zostanie powiązany z Twoim Kontem (w celu odzyskania hasła lub wysyłania powiadomień). Dane te będą wykorzystywane wyłącznie do kontaktu z Tobą w sprawie ważnych powiadomień o Usługach, przesyłania Ci informacji związanych z bezpieczeństwem, weryfikacji konta lub wysłania linku do odzyskania hasła po włączeniu odpowiedniej opcji. Możemy również informować Cię o nowych usługach Proton, które mogą Cię zainteresować. Podstawą prawną przetwarzania jest zgoda, a użytkownik może w każdej chwili usunąć te dane w panelu Ustawienia konta.

Aby zachować integralność Usług, musimy podejmować działania w celu uniknięcia tworzenia kont przez spamerów. Dzieje się tak dlatego, że jeśli spamerzy używają Proton Mail do wysyłania wiadomości, adresy IP Proton Mail mogą zostać zablokowane przez głównych dostawców poczty, takich jak Gmail, Yahoo, Outlook itp. Aby realizować nasz uzasadniony interes polegający na zapobieganiu tworzeniu kont przez spamujące boty lub spamerów, stosujemy różne metody weryfikacji osoby. Weryfikacja może być również wymagana dla niektórych poufnych operacji oprócz tworzenia konta w celu ochrony przed atakami brute-force. Możesz zostać poproszona(-y) o zweryfikowanie za pomocą hCAPTCHA (lub reCAPTCHA w przypadku, gdy hCAPTCHA jest niedostępny), wiadomości e-mail lub SMS-a. Podane adresy IP, adresy e-mail i numery telefonów są tymczasowo zapisywane w celu wysłania Ci kodu weryfikacyjnego oraz w celu ochrony przed spamem. Okres tymczasowego przechowania danych zależy od naszych uzasadnionych interesów ochrony usługi przed spamem, a także od wszelkich obowiązujących szwajcarskich wymogów prawnych, których musimy przestrzegać. Jeśli dane te są zapisywane na stałe, zawsze są zapisywane jako kryptograficzny skrót, co gwarantuje, że oryginalne wartości nie mogą być przez nas odszyfrowane. Dowiedz się więcej

2.3 Działalność na Koncie Proton Mail: ze względu na ograniczenia protokołu SMTP mamy dostęp do następujących metadanych poczty e-mail: adresy e-mail nadawcy i odbiorcy; adres IP, z którego pochodzą przychodzące wiadomości; temat wiadomości oraz godziny wysłania i odebrania wiadomości. NIE mamy dostępu do treści zaszyfrowanej wiadomości, ale niezaszyfrowane wiadomości wysyłane od zewnętrznych dostawców na Konto użytkownika lub z Proton Mail do zewnętrznych niezaszyfrowanych usług poczty e-mail są skanowane w poszukiwaniu spamu i wirusów w celu realizacji uzasadnionego interesu ochrony integralności naszych Usług i użytkowników. Takie wiadomości przychodzące są skanowane pod kątem spamu w pamięci, a następnie zaszyfrowane i zapisane na dysku. Nie mamy technicznej możliwości skanowania treści wiadomości po ich zaszyfrowaniu. Posiadamy również dostęp do następujących zapisów aktywności na Koncie: liczby wysłanych wiadomości, ilości wykorzystanego miejsca do przechowywania, łącznej liczby wiadomości, czasu ostatniego logowania. Dane Użytkownika nigdy nie są wykorzystywane do celów reklamowych.

2.4 Działalność na Koncie Proton Calendar: Usługa musi mieć dostęp do niektórych właściwości zdarzeń w celu ich efektywnego pobierania i indeksowania, a także wysyłania wymaganych powiadomień i alarmów. W tym celu mamy dostęp do następujących metadanych: nazwa i opis kalendarza, unikatowy identyfikator wydarzenia (UID), data rozpoczęcia i zakończenia (w tym strefa czasowa), reguła powtarzania (w tym daty lub godziny wykluczenia), status uczestnictwa uczestników, informacje o organizatorze (tylko po wysłaniu lub otrzymaniu zaproszenia), alarmy i powiadomienia, czas utworzenia i aktualizacji wydarzenia oraz status zdarzenia (potwierdzone lub anulowane). NIE mamy dostępu do opisu wydarzeń, ich podsumowania lub tytułu, lokalizacji i adresów e-mail uczestników.

2.5 Działalność na Koncie Proton Drive: dla celów operacyjnych Usługa musi mieć dostęp do następujących niezaszyfrowanych metadanych: znaczników czasu utworzenia pliku/folderu i jego modyfikacji, uprawnień pliku/folderu, typu pliku, twórcy pliku/folderu. Podczas udostępniania pliku lub folderu, musimy zarejestrować, którzy użytkownicy są właścicielami lub mogą uzyskać dostęp do wspomnianego udostępnionego pliku lub folderu. Podczas udostępniania adresów URL mamy dostęp do czasu utworzenia i ostatniego dostępu, liczby dostępów do adresu URL i do twórcy adresu. NIE mamy jednak dostępu do zawartości plików, nazw plików i folderów oraz podglądów miniaturki. Takie dane podlegają szyfrowaniu end-to-end. Przechowujemy tylko rozmiar zaszyfrowanych plików, a nie rozmiar oryginalnego niezaszyfrowanego pliku. W przypadku zgłoszenia nadużycia udostępnionego adresu URL przez stronę trzecią, ta ostatnia ma dostęp do hasła użytego do odszyfrowania pliku (plików), które przesyła do nas. Jedynie w takich przypadkach możemy uzyskać dostęp do zawartości pliku (plików).

Oprócz szyfrowania end-to-end cała treść jest również kryptograficznie podpisana przez użytkownika przed wysłaniem jej do nas. Oznacza to, że zawsze możesz sprawdzić podpis wszelkich treści, które otrzymujesz z naszych serwerów, co chroni przed fałszerstwami (np. ze strony złośliwego aktora).

2.6 Komunikacja z Proton: komunikacja użytkownika z nami, taka jak prośby o wsparcie, raporty o błędach lub prośby o dodatkową funkcję, może być zapisywana przez naszych pracowników. Podstawą prawną przetwarzania jest nasz uzasadniony interes polegający na skuteczniejszym rozwiązywaniu problemów i poprawie jakości naszych Usług.

2.7 Rejestrowanie adresów IP: domyślnie nie przechowujemy stałych dzienników IP w związku z Twoim Kontem. Jednak dzienniki IP mogą być tymczasowo przechowywane w celu zwalczania nadużyć i oszustw, a Twój adres IP może zostać zachowany na stałe, jeśli jesteś zaangażowany w działania naruszające nasz regulamin (np. spamowanie, ataki DDoS na naszą infrastrukturę, ataki brute force). Podstawą prawną tego przetwarzania jest nasz uzasadniony interes ochrony naszych usług przed niegodziwą działalnością.

Jeśli włączysz uwierzytelnianie dla swojego Konta, zarejestrowane adresy IP logowania są przechowywane tak długo, jak funkcja ta jest włączona. Ta funkcja jest domyślnie wyłączona, a wszystkie zapisy są usuwane po dezaktywacji funkcji. Podstawą prawną tego przetwarzania jest zgoda i możesz w każdej chwili zgodzić się na nie lub zrezygnować z niego w panelu bezpieczeństwa swojego Konta.

2.8 Informacje o płatnościach: opieramy się na podmiotach trzecich, aby przetwarzać transakcje kartą płatniczą, oraz za pomocą PayPala i Bitcoina, i dlatego musimy udostępnić im informacje o płatności. Anonimowe płatności gotówką lub Bitcoinem i darowizny są akceptowane. Podstawą prawną tego przetwarzania jest konieczność wykonania umowy w celu świadczenia Usług.

2.9 Aplikacje natywne: Gdy użytkownik korzysta z naszych aplikacji natywnych, my (lub dostawcy platform aplikacji mobilnych) możemy zbierać określone informacje. Możemy korzystać z mobilnego oprogramowania analitycznego (np. statystyki aplikacji fabric.io i raportowania awarii, statystyki aplikacji Sklepu Play, statystyki aplikacji App Store lub samodzielne raportowanie awarii Sentry), aby wysyłać informacje o awariach do naszych programistów w celu szybkiego naprawienia błędów. Niektóre platformy, takie jak Sklep Google Play lub App Store Apple, mogą również gromadzić zbiorcze, anonimowe statystyki, które mogą podlegać ich zasadom prywatności oraz regulaminom. Takie statystyki mogą obejmować najczęściej używane urządzenia i systemy operacyjne (np. procent użycia systemu Android 6.x vs Android 7.x), łączna liczba instalacji i odinstalowywania oraz łączna liczba aktywnych użytkowników.

Nasze aplikacje nie uzyskują dostępu do informacji opartych na lokalizacji, ani nie śledzą ich z urządzenia użytkownika.

2.10 Asystent importu z opcją „Zaloguj się za pomocą Google”: Jeśli używasz naszego narzędzia Asystent importu do importowania danych z Google i uwierzytelniania za pomocą opcji „Zaloguj się za pomocą Google”, przetwarzanie przez Asystenta importu informacji otrzymanych od interfejsu API Google będzie wykonywane zgodnie z Zasadami dotyczącymi danych użytkownika usług Google API, w tym z Wymaganiami ograniczonego użytkowania.

2.11 Asystent importu z kombinacją Nazwa użytkownika i hasło: jeśli używasz narzędzia Asystent importu do importowania wiadomości e-mail od innego dostawcy usługi, przechowywane są przez nas dane logowania konta e-mail, z którego dokonywany jest import, w ograniczonym czasie trwania importu. Po dokonaniu importu dane logowania są całkowicie usuwane z naszych systemów.

Uwaga: Proton VPN podlega innej Polityce. Odwiedź stronę protonvpn.com/privacy-policy w celu uzyskania dodatkowych szczegółów.

3. Przechowywanie danych

All servers used in connection with the provision of the Services are wholly owned and operated by the Company or its subsidiaries. Only employees of the Company have physical or other access to the servers. Data is always stored in encrypted format on our servers. Offline backups, which may be stored periodically, are also encrypted. We cannot decrypt any user encrypted content on either the production servers or in the backups. Backups are kept for up to 30 days.

4. Sieci stron trzecich

Proton's alternative routing technology allows Proton Services to bypass many censorship blocks, but in doing so your network traffic may go through third-party networks, which we do not control. This could enable a third party to record your IP address or see that you are using Proton apps (the same information that your Internet Service Provider is able to see). These third parties cannot see your actual data, which remains encrypted. By default, alternative routing is not used for Proton apps unless they detect that censorship measures are active on your network. Alternative routing can also be disabled in the Settings panel of our mobile and desktop applications. However, doing so may cause you to be unable to access your Account from a network that is censoring Proton. Learn more

5. Podwykonawcy przetwarzania danych

W celu świadczenia Usług polegamy na różnych podwykonawcach przetwarzania danych, którzy przetwarzają różne kategorie danych. Przetwarzający dane nigdy nie przechowują danych poza zakresem swojego określonego celu. W szczególności nie przechowują danych w związku z ogólnym codziennym korzystaniem z Konta Użytkownika i Usług, które są przetwarzane wyłącznie przez Spółkę. Podwykonawcy są następujący:

5.1 Podwykonawcy Proton Group

ProtonLabs DOOEL Skopje

  • Cel: Przetwarzanie danych w związku z prośbą o wsparcie klienta lub inną bezpośrednią komunikację z firmą (punkt 2.4)
  • Lokalizacja przetwarzania danych: Macedonia

ProtonLabs Taiwan Co., Ltd

  • Cel: Przetwarzanie danych w związku z prośbą o wsparcie klienta lub inną bezpośrednią komunikację z firmą (punkt 2.4)
  • Lokalizacja przetwarzania danych: Tajwan (RCh)

5.2 Podwykonawcy stron trzecich

Zendesk, Inc.

  • Cel: Świadczenie usług związanych z przetwarzaniem danych dot. wsparcia klienta (punkt 2.4)
  • Lokalizacja przetwarzania danych: Stany Zjednoczone

Stripe, Inc.

  • Cel: Świadczenie usług związanych z przetwarzaniem danych płatniczych (punkt 2.6)
  • Lokalizacja przetwarzania danych: Stany Zjednoczone

Grupa PayPal

  • Cel: Świadczenie usług związanych z przetwarzaniem danych płatniczych (punkt 2.6)
  • Lokalizacja przetwarzania danych: Stany Zjednoczone, Singapur

6. Ujawnianie danych

Będziemy ujawniać posiadane przez nas ograniczone dane użytkownika tylko wtedy, gdy jesteśmy do tego prawnie zobowiązani na podstawie wiążącego wniosku od odpowiednich władz szwajcarskich. Będziemy stosować się do powiadomień dostarczonych drogą elektroniczną tylko wtedy, gdy są one dostarczane w pełnej zgodności z wymogami prawa szwajcarskiego. Ogólna polityka Proton polega na zakwestionowaniu wniosków, gdy jest to możliwe i gdy istnieją wątpliwości co do ważności wniosku, lub czy istnieje w nim interes publiczny. W takich sytuacjach nie zastosujemy się do wniosku do czasu wyczerpania wszystkich prawnych lub innych środków zaradczych. Zgodnie z prawem szwajcarskim podmioty postępowań sądowych muszą być powiadamiane o takich procedurach, chociaż takie powiadomienie musi pochodzić od władz, a nie od Spółki. W żadnym wypadku Proton nie może odszyfrować zaszyfrowanej zawartości wiadomości i ujawniać odszyfrowanych kopii. Zagregowane statystyki dotyczące żądań danych od właściwych władz szwajcarskich można znaleźć w naszym raporcie przejrzystości.

7. Prawo do wglądu, sprostowania, usunięcia, przenoszenia i prawo do wniesienia skargi

Za pośrednictwem interfejsu Konta użytkownik może bezpośrednio uzyskać dostęp, edytować, usuwać lub eksportować dane osobowe przetwarzane przez Spółkę podczas korzystania z Usług.

Jeśli Twoje Konto zostało zawieszone w związku z naruszeniem naszego regulaminu, a chcesz skorzystać z praw związanych z Twoimi danymi osobowymi, możesz złożyć wniosek do naszego zespołu wsparcia.

W przypadku naruszenia Twoich praw przysługuje Ci prawo wniesienia skargi do właściwego organu nadzorczego.

8. Zmiany w Polityce prywatności

Zastrzegamy sobie prawo do okresowego przeglądania i zmiany niniejszej polityki od czasu do czasu oraz powiadamiamy użytkowników, którzy włączyli preferencje powiadomienia, o zmianach w naszej Polityce prywatności. Dalsze korzystanie z Usług będzie uznawane za akceptację takich zmian.