| Wersja dokumentu | 1.0 |
| Data | 24 lutego 2026 |
| Administrator danych | Sławomir Szostak (osoba fizyczna — deweloper) |
| Kontakt | [email protected] |
| Prawo właściwe | RODO (UE) 2016/679; Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych |
| Organ nadzorczy | UODO (Urząd Ochrony Danych Osobowych), ul. Stawki 2, 00-193 Warszawa |
| Harmonogram przeglądów | Co najmniej raz w roku lub po istotnej zmianie w działaniach przetwarzania |
Spis treści
1. Wprowadzenie i zakres
1.1 Cel niniejszej oceny
Niniejsza Ocena Skutków dla Ochrony Danych (DPIA) została przeprowadzona zgodnie z art. 35 RODO w celu systematycznej oceny ryzyk dla praw i wolności osób fizycznych wynikających z przetwarzania danych osobowych w aplikacji WildStash.
Ocena jest podejmowana proaktywnie, przed publicznym uruchomieniem aplikacji, ponieważ aplikacja przetwarza dane lokalizacyjne — kategorie danych, która w połączeniu z tożsamością użytkownika może ujawniać wzorce zachowań i fizyczną lokalizację osób.
1.2 Dlaczego DPIA jest konieczne
DPIA jest wymagane na mocy art. 35 ust. 1 RODO, gdy przetwarzanie „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.” Spełnione są następujące kryteria z wytycznych Grupy Roboczej Art. 29 (WP248 rev.01):
- Przetwarzanie danych lokalizacyjnych — współrzędne GPS przesyłane przez użytkowników podczas tworzenia stanowisk (ang. „spot”) mogą w ujęciu zbiorczym ujawniać wzorce przemieszczania się lub stałe lokalizacje.
- Systematyczne monitorowanie obszarów publicznie dostępnych — stanowiska są mapowane w lokalizacjach publicznych, a zagregowany zbiór danych mógłby potencjalnie służyć do monitorowania aktywności na tych obszarach.
- Innowacyjne wykorzystanie technologii — trzypoziomowy model widoczności (publiczny/grupowy/prywatny) wprowadza niestandardowy mechanizm kontroli dostępu, który wymaga dokładnej oceny.
1.3 Zakres
Niniejsza DPIA obejmuje całość przetwarzania danych osobowych realizowanego przez aplikację mobilną WildStash i jej infrastrukturę backendową, w szczególności:
- Tworzenie kont użytkowników i uwierzytelnianie
- Tworzenie stanowisk (współrzędne GPS, opisy, dane o gatunkach, zdjęcia)
- Trzypoziomowy system widoczności (publiczny, grupowy, prywatny)
- Tworzenie grup, członkostwo i udostępnianie stanowisk
- Przesyłanie, przechowywanie i serwowanie zdjęć
- Wzbogacanie danych o gatunkach z zewnętrznych API
Przetwarzanie przez podmioty przetwarzające (Cloudflare) jest oceniane w zakresie, w jakim dane osobowe są im przekazywane lub przez nie przetwarzane.
2. Opis przetwarzania
2.1 Charakter przetwarzania
WildStash to aplikacja mobilna do społecznościowego mapowania dzikich roślin (owoców, ziół, krzewów, drzew owocowych, grzybów) w publicznie dostępnych lokalizacjach. Użytkownicy tworzą zlokalizowane geograficznie „stanowiska” na interaktywnej mapie, opatrując je informacjami o gatunkach, opisami i fotografiami.
2.2 Kategorie osób, których dane dotyczą
| Kategoria | Opis |
|---|---|
| Zarejestrowani użytkownicy | Osoby, które zakładają konto w celu dodawania stanowisk, dołączania do grup i interakcji ze społecznością |
| Anonimowi goście | Osoby przeglądające publiczną mapę bez konta (nie są zbierane dane osobowe poza standardowymi nagłówkami HTTP) |
2.3 Kategorie danych osobowych
| Kategoria danych | Konkretne elementy danych | Wrażliwość |
|---|---|---|
| Dane konta | Adres e-mail, nazwa użytkownika, skrót hasła (PBKDF2-SHA-512) | Standardowe dane osobowe |
| Dane lokalizacyjne | Współrzędne GPS (szerokość i długość geograficzna) stanowisk tworzonych przez użytkownika; indeks geohash | Dane osobowe o znaczeniu behawioralnym |
| Zdjęcia | Fotografie roślin/lokalizacji przesłane przez użytkowników (metadane EXIF usuwane po stronie klienta) | Standardowe dane osobowe (mogą przypadkowo zawierać cechy identyfikujące) |
| Członkostwo w grupach | Nazwy grup, listy członków, kody zaproszeniowe | Standardowe dane osobowe |
| Metadane użytkowania | Znaczniki czasu tworzenia stanowisk, potwierdzenia stanowisk | Standardowe dane osobowe |
| Dane techniczne | Adres IP, typ urządzenia (z nagłówków HTTP) | Standardowe dane osobowe (niepowiązane z profilem użytkownika) |
2.4 Operacje przetwarzania
| Operacja | Opis | Podstawa prawna |
|---|---|---|
| Rejestracja konta | Zbieranie adresu e-mail, nazwy użytkownika i hasła w celu utworzenia konta | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Tworzenie stanowisk | Przechowywanie współrzędnych GPS, gatunku, opisu i poziomu widoczności stanowiska | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Przetwarzanie lokalizacji | Wykorzystanie GPS urządzenia do wspomagania umieszczania stanowiska (tylko na wyraźne działanie użytkownika) | Art. 6 ust. 1 lit. a — zgoda |
| Przesyłanie i przechowywanie zdjęć | Odbieranie, przechowywanie i serwowanie zdjęć przesłanych przez użytkowników | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Funkcjonalność grup | Zarządzanie tworzeniem grup, członkostwem i udostępnianiem stanowisk | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Egzekwowanie widoczności | Stosowanie reguł kontroli dostępu, aby zapewnić, że prywatne/grupowe stanowiska nie są ujawniane nieautoryzowanym użytkownikom | Art. 6 ust. 1 lit. b — wykonanie umowy; art. 6 ust. 1 lit. f — prawnie uzasadniony interes (bezpieczeństwo) |
| Monitorowanie bezpieczeństwa | Ograniczanie szybkości zapytań, zapobieganie nadużyciom poprzez analizę adresów IP | Art. 6 ust. 1 lit. f — prawnie uzasadniony interes |
| Wzbogacanie danych o gatunkach | Zapytania do Wikipedia, Wikidata, GBIF, Perenual w celu pozyskania informacji o gatunkach | Brak danych osobowych |
2.5 Przepływy danych
graph TD
A["📱 Urządzenie użytkownika\n(Android)"] --> B["🔒 Przetwarzanie lokalne"]
B --> B1["Usuwanie metadanych EXIF\n(przed przesłaniem)"]
B --> B2["EncryptedSharedPreferences\n(tokeny JWT, AES-256)"]
B --> C["🔐 HTTPS / TLS 1.3"]
C --> D["⚡ Cloudflare Workers\n(warstwa API, przetwarzanie na krawędzi)"]
D --> E["🗄️ Cloudflare D1\n(SQLite, jurysdykcja UE)"]
D --> F["📦 Cloudflare R2\n(magazyn obiektów, jurysdykcja UE)"]
D --> G["⚡ Cloudflare KV\n(cache, jurysdykcja UE)"]
E --- E1["Użytkownicy, stanowiska,\ngrupy, gatunki, tłumaczenia"]
F --- F1["Zdjęcia stanowisk, awatary,\nobrazy referencyjne gatunków"]
G --- G1["Cache danych o gatunkach,\nciągi i18n"]
style A fill:#2D6A4F,color:#fff,stroke:#1B4332
style C fill:#E09F3E,color:#2B2D2E,stroke:#C88A2E
style D fill:#3A8B5C,color:#fff,stroke:#2D6A4F
style E fill:#E8F0E4,color:#2B2D2E,stroke:#2D6A4F
style F fill:#E8F0E4,color:#2B2D2E,stroke:#2D6A4F
style G fill:#E8F0E4,color:#2B2D2E,stroke:#2D6A4F
style B fill:#F0F5ED,color:#2B2D2E,stroke:#D4DDD0
style B1 fill:#FAFAF5,color:#5F6368,stroke:#D4DDD0
style B2 fill:#FAFAF5,color:#5F6368,stroke:#D4DDD0
style E1 fill:#FAFAF5,color:#5F6368,stroke:#D4DDD0
style F1 fill:#FAFAF5,color:#5F6368,stroke:#D4DDD0
style G1 fill:#FAFAF5,color:#5F6368,stroke:#D4DDD0
2.6 Podmiot przetwarzający
Cloudflare, Inc. działa jako jedyny podmiot przetwarzający dane. Aneks dotyczący przetwarzania danych (DPA) Cloudflare został zaakceptowany — zawiera on Standardowe Klauzule Umowne UE. Całość przechowywania danych (D1, R2, KV) jest ograniczona do jurysdykcji UE. Cloudflare jest certyfikowanym uczestnikiem Ramowego Programu Ochrony Prywatności Danych UE-USA (EU-US Data Privacy Framework).
2.7 Retencja danych
| Dane | Okres przechowywania |
|---|---|
| Dane konta (e-mail, nazwa użytkownika, skrót hasła) | Do momentu usunięcia konta przez użytkownika |
| Stanowiska i zdjęcia | Do momentu usunięcia przez użytkownika lub usunięcia konta |
| Logi serwera (adres IP, info o urządzeniu) | 30 dni (standardowa retencja Cloudflare) |
| Tokeny odświeżania | 30 dni (automatyczne wygaśnięcie) |
3. Ocena konieczności i proporcjonalności
3.1 Konieczność
Każda kategoria przetwarzanych danych osobowych jest ściśle niezbędna do realizacji podstawowej funkcjonalności aplikacji:
- Adres e-mail — wymagany do uwierzytelniania i odzyskiwania konta. Żaden alternatywny identyfikator nie jest zbierany.
- Skrót hasła — wymagany do uwierzytelniania opartego na poświadczeniach. Przechowywany jest wyłącznie skrót; hasło w postaci jawnej nigdy nie jest utrwalane.
- Współrzędne GPS — podstawowym celem aplikacji jest geograficzne mapowanie stanowisk z roślinami. Bez danych lokalizacyjnych usługa nie może funkcjonować.
- Zdjęcia — opcjonalne, inicjowane przez użytkownika. Zdjęcia wzbogacają informacje o stanowisku i umożliwiają weryfikację społecznościową. Użytkownicy sami decydują, czy przesłać zdjęcia.
- Dane grup — niezbędne do wdrożenia grupowego poziomu widoczności, kluczowej funkcji aplikacji.
- Nazwa użytkownika — minimalny identyfikator do interakcji społecznej. Użytkownicy sami wybierają swoją nazwę wyświetlaną.
3.2 Proporcjonalność
Następujące środki zapewniają proporcjonalność przetwarzania do celu:
- Minimalizacja danych — zbierane są wyłącznie niezbędne dane. Brak analityki, identyfikatorów reklamowych, odcisków urządzeń czy ciągłego śledzenia lokalizacji.
- Ograniczenie celu — dane są wykorzystywane wyłącznie na potrzeby usługi WildStash. Brak zastosowań wtórnych, sprzedaży danych czy profilowania.
- Kontrola użytkownika — użytkownicy kontrolują widoczność każdego tworzonego stanowiska. Prywatne stanowiska są widoczne tylko dla autora. Grupowe stanowiska są widoczne tylko dla wybranych członków grupy.
- Usuwanie EXIF — metadane zdjęć (w tym osadzone współrzędne GPS) są usuwane na urządzeniu przed przesłaniem, co zapobiega przypadkowemu ujawnieniu precyzyjnych danych lokalizacyjnych.
- Brak ciągłego śledzenia — aplikacja uzyskuje dostęp do GPS urządzenia tylko wtedy, gdy użytkownik wyraźnie o to poprosi (aby wycentrować mapę lub ustawić lokalizację stanowiska). Brak śledzenia lokalizacji w tle.
3.3 Prawa osób, których dane dotyczą
Następujące prawa wynikające z RODO są w pełni obsługiwane:
| Prawo | Implementacja |
|---|---|
| Dostęp (art. 15) | GET /users/me/data-export — eksport JSON wszystkich danych osobowych |
| Sprostowanie (art. 16) | Edycja profilu w aplikacji (nazwa użytkownika, e-mail, hasło) |
| Usunięcie (art. 17) | DELETE /users/me/account — trwałe usunięcie konta, wszystkich stanowisk i wszystkich zdjęć |
| Przenoszenie danych (art. 20) | GET /users/me/data-export — format JSON czytelny maszynowo |
| Ograniczenie przetwarzania (art. 18) | Wniosek ręczny na adres [email protected] |
| Sprzeciw (art. 21) | Wniosek ręczny na adres [email protected] |
| Wycofanie zgody (art. 7 ust. 3) | Użytkownik może w każdej chwili zaprzestać przesyłania danych lokalizacyjnych; usunięcie konta powoduje usunięcie wszystkich danych |
4. Ocena ryzyk
4.1 Metodologia
Każde ryzyko jest oceniane w dwóch wymiarach:
- Prawdopodobieństwo: Bardzo niskie / Niskie / Średnie / Wysokie / Bardzo wysokie
- Dotkliwość: Znikoma / Niska / Średnia / Wysoka / Krytyczna
Wynikowy Poziom ryzyka jest określany przez połączenie prawdopodobieństwa i dotkliwości:
| Prawdopodobieństwo / Dotkliwość | Znikoma | Niska | Średnia | Wysoka | Krytyczna |
|---|---|---|---|---|---|
| Bardzo niskie | Akceptowalne | Akceptowalne | Niskie | Średnie | Średnie |
| Niskie | Akceptowalne | Niskie | Niskie | Średnie | Wysokie |
| Średnie | Niskie | Niskie | Średnie | Wysokie | Wysokie |
| Wysokie | Niskie | Średnie | Wysokie | Wysokie | Bardzo wysokie |
| Bardzo wysokie | Średnie | Średnie | Wysokie | Bardzo wysokie | Bardzo wysokie |
4.2 Rejestr ryzyk
Ryzyko 1: Ujawnienie prywatnej lokalizacji Średnie
| Atrybut | Ocena |
|---|---|
| Opis | Lokalizacje prywatnych lub grupowych stanowisk użytkownika mogą zostać ujawnione nieautoryzowanym stronom poprzez podatność API, SQL injection lub obejście kontroli dostępu |
| Dotknięte dane | Współrzędne GPS, szczegóły stanowisk |
| Wpływ na osoby | Ujawnienie sekretnych lokalizacji zbierania; potencjalne nękanie lub eksploatacja ujawnionych lokalizacji |
| Prawdopodobieństwo | Niskie — wszystkie zapytania SQL używają parametryzowanych instrukcji; widoczność jest egzekwowana na poziomie zapytania za pomocą podzapytań EXISTS; dedykowana funkcja getSpotWithAccessCheck() centralizuje kontrolę dostępu |
| Dotkliwość | Wysoka — ujawnia prywatne lokalizacje użytkownika, które celowo zdecydował się ukryć |
| Poziom ryzyka | Średni |
Istniejące środki zaradcze:
- Trzypoziomowa widoczność egzekwowana na poziomie SQL za pomocą podzapytań EXISTS
- Scentralizowana funkcja
getSpotWithAccessCheck()zapewnia spójną kontrolę dostępu - Wszystkie zapytania SQL są parametryzowane (brak konkatenacji ciągów)
- Współrzędne prywatnych/grupowych stanowisk nigdy nie pojawiają się w publicznych odpowiedziach API
- Ograniczenie szybkości: 100 zapytań/min anonimowo, 300 zapytań/min po uwierzytelnieniu
- Prywatne zdjęcia serwowane przez Workers z walidacją tokenu, nigdy przez bezpośredni URL R2
Ryzyko szczątkowe po zastosowaniu środków zaradczych: Niskie
Ryzyko 2: Profilowanie wzorców zbieractwa Niskie
| Atrybut | Ocena |
|---|---|
| Opis | Atakujący lub administrator mógłby analizować znaczniki czasu i lokalizacje tworzenia stanowisk w celu odtworzenia wzorców przemieszczania się użytkownika, stałych tras zbieractwa lub lokalizacji domu/pracy |
| Dotknięte dane | Współrzędne GPS stanowisk, znaczniki czasu tworzenia, tożsamość użytkownika |
| Wpływ na osoby | Inwigilacja, profilowanie behawioralne, potencjalne ryzyko dla bezpieczeństwa fizycznego |
| Prawdopodobieństwo | Niskie — nie istnieje żaden potok analityczny; nie jest wykonywana żadna agregacja ani analiza wzorców; stanowiska są dyskretnymi, inicjowanymi przez użytkownika zdarzeniami; brak ciągłego śledzenia |
| Dotkliwość | Średnia — choć niepokojące, dane reprezentują jedynie dyskretne dobrowolne zgłoszenia, a nie ciągłe śledzenie |
| Poziom ryzyka | Niski |
Istniejące środki zaradcze:
- Brak ciągłego śledzenia lokalizacji — GPS wykorzystywany tylko na wyraźne działanie użytkownika
- Brak infrastruktury analitycznej lub śledzenia
- Brak agregacji danych ani analizy wzorców
- Tworzenie stanowiska jest celowym, ręcznym działaniem (nie automatycznym)
- Użytkownicy kontrolują widoczność wszystkich swoich stanowisk
- Usunięcie konta powoduje usunięcie wszystkich danych o stanowiskach
Ryzyko szczątkowe po zastosowaniu środków zaradczych: Akceptowalne
Ryzyko 3: Wyciek metadanych zdjęć Średnie
| Atrybut | Ocena |
|---|---|
| Opis | Współrzędne GPS lub inne metadane identyfikujące osadzone w danych EXIF przesłanych zdjęć mogą ujawnić precyzyjne informacje o lokalizacji, nawet dla stanowisk oznaczonych jako prywatne |
| Dotknięte dane | Metadane EXIF zdjęć (współrzędne GPS, informacje o urządzeniu, znaczniki czasu) |
| Wpływ na osoby | Ujawnienie precyzyjnej lokalizacji, w której zrobiono zdjęcie, potencjalnie ujawniając lokalizacje prywatnych stanowisk lub fizyczną pozycję użytkownika |
| Prawdopodobieństwo | Bardzo niskie — metadane EXIF są usuwane na urządzeniu Android przed przesłaniem; serwer nigdy nie otrzymuje oryginalnych danych EXIF |
| Dotkliwość | Wysoka — może ujawnić dokładną lokalizację, omijając system widoczności |
| Poziom ryzyka | Średni |
Istniejące środki zaradcze:
- Usuwanie EXIF realizowane po stronie klienta na Androidzie przed przesłaniem (w tym GPS, info o urządzeniu, znaczniki czasu)
- Zdjęcia serwowane przez Cloudflare Workers z walidacją dostępu — nigdy przez bezpośredni URL R2
- Zdjęcia prywatnych stanowisk wymagają uwierzytelnienia i weryfikacji własności/członkostwa w grupie
- Brak endpointu dostępu do surowych zdjęć
Ryzyko szczątkowe po zastosowaniu środków zaradczych: Niskie
Ryzyko 4: Dokładność danych o gatunkach — zdrowie i bezpieczeństwo Wysokie
| Atrybut | Ocena |
|---|---|
| Opis | Nieprawidłowe lub wprowadzające w błąd informacje o jadalności, toksyczności lub identyfikacji roślin mogą doprowadzić użytkowników do spożycia szkodliwych lub trujących roślin lub grzybów |
| Dotknięte dane | Opisy gatunków, informacje o jadalności, nazwy zwyczajowe |
| Wpływ na osoby | Uszczerbek na zdrowiu, zatrucie, potencjalnie zagrażające życiu konsekwencje |
| Prawdopodobieństwo | Średnie — dane o gatunkach pochodzą z autorytatywnych baz danych (Wikipedia, Wikidata, GBIF), ale stanowiska tworzone przez społeczność mogą zawierać błędne identyfikacje; w MVP nie istnieje proces eksperckiej weryfikacji |
| Dotkliwość | Krytyczna — nieprawidłowe informacje o jadalności mogą skutkować poważną chorobą lub śmiercią |
| Poziom ryzyka | Wysoki |
Istniejące środki zaradcze:
- Dane o gatunkach pochodzą z autorytatywnych naukowych baz danych (Wikipedia, Wikidata, GBIF, Perenual)
- Zastrzeżenie dotyczące jadalności widoczne w Regulaminie usługi
- Akceptacja zastrzeżenia podczas onboardingu: użytkownicy muszą zaakceptować informację, że WildStash nie gwarantuje dokładności identyfikacji gatunków ani informacji o jadalności
- Ekran z zasadami bezpieczeństwa zbierania wyświetlany podczas wstępnego onboardingu
- Wpisy gatunków zawierają pole ostrzeżeń o znanych ryzykach
Dodatkowe zalecane środki:
- Wyświetlanie widocznego baneru ostrzegawczego na stronach gatunków zawierających informacje o jadalności
- Zachęcanie użytkowników do krzyżowej weryfikacji identyfikacji z przewodnikami terenowymi i źródłami eksperckimi
- Rozważenie dodania mechanizmu zgłaszania przez społeczność błędnie zidentyfikowanych gatunków
Ryzyko szczątkowe po zastosowaniu środków zaradczych: Średnie (nieodłącznie związane z każdą platformą identyfikacji roślin; nie może być w pełni wyeliminowane)
Ryzyko 5: Nieautoryzowany dostęp do kont Średnie
| Atrybut | Ocena |
|---|---|
| Opis | Atakujący mogą uzyskać dostęp do kont użytkowników poprzez credential stuffing (ponowne użycie haseł z innych wycieków), ataki brute-force lub przejęcie sesji |
| Dotknięte dane | Dane konta, wszystkie stanowiska i zdjęcia należące do skompromitowanego konta |
| Wpływ na osoby | Ujawnienie prywatnych stanowisk, modyfikacja lub usunięcie danych użytkownika, podszywanie się |
| Prawdopodobieństwo | Średnie — credential stuffing jest powszechny; użytkownicy często ponownie używają haseł w różnych serwisach |
| Dotkliwość | Średnia — ujawnienie prywatnych stanowisk i danych osobowych; brak danych finansowych zagrożonych |
| Poziom ryzyka | Średni |
Istniejące środki zaradcze:
- Hashowanie haseł: PBKDF2-SHA-512 ze 100 000 iteracji i 16-bajtową losową solą
- Tokeny dostępu JWT z 15-minutowym TTL (ogranicza okno przejęcia sesji)
- Tokeny odświeżania z 30-dniowym TTL przechowywane w Android EncryptedSharedPreferences (AES-256)
- Ograniczenie szybkości: 100 zapytań/min anonimowo, 300 zapytań/min po uwierzytelnieniu (ogranicza ataki brute-force)
- HTTPS/TLS 1.3 wymuszane przez Cloudflare (zapobiega atakom man-in-the-middle)
Ryzyko szczątkowe po zastosowaniu środków zaradczych: Niskie
Ryzyko 6: Naruszenie danych — nieautoryzowany dostęp do infrastruktury Średnie
| Atrybut | Ocena |
|---|---|
| Opis | Nieautoryzowany dostęp do bazy danych Cloudflare D1 lub magazynu R2 mógłby ujawnić wszystkie dane użytkowników, w tym informacje o kontach, lokalizacje stanowisk i zdjęcia |
| Dotknięte dane | Wszystkie dane osobowe przechowywane w systemie |
| Wpływ na osoby | Masowe ujawnienie danych kont, lokalizacji prywatnych stanowisk, zdjęć i członkostw w grupach |
| Prawdopodobieństwo | Bardzo niskie — całość infrastruktury jest zarządzana przez Cloudflare; brak bezpośredniego dostępu do bazy danych; API Workers jest jedyną ścieżką dostępu; Cloudflare posiada certyfikaty SOC 2 Type II, ISO 27001 i inne certyfikaty bezpieczeństwa |
| Dotkliwość | Wysoka — dotyczyłoby wszystkich użytkowników i wszystkich kategorii danych |
| Poziom ryzyka | Średni |
Istniejące środki zaradcze:
- Całość przechowywania danych ograniczona do jurysdykcji UE (Cloudflare D1 + R2)
- Aneks dotyczący przetwarzania danych (DPA) Cloudflare zaakceptowany
- Szyfrowanie w spoczynku zapewniane przez Cloudflare
- Brak bezpośredniego dostępu do bazy D1 lub magazynu R2 — wszelki dostęp przez warstwę API Workers
- Certyfikaty bezpieczeństwa infrastruktury Cloudflare (SOC 2 Type II, ISO 27001, PCI DSS)
- Dostęp przez Wrangler CLI zabezpieczony poświadczeniami konta Cloudflare
- Brak poświadczeń bazy danych ujawnionych w kodzie aplikacji (powiązanie D1 jest na poziomie środowiska)
Ryzyko szczątkowe po zastosowaniu środków zaradczych: Niskie
4.3 Podsumowanie ryzyk
| # | Ryzyko | Prawdopodobieństwo | Dotkliwość | Ryzyko początkowe | Ryzyko szczątkowe |
|---|---|---|---|---|---|
| 1 | Ujawnienie prywatnej lokalizacji | Niskie | Wysoka | Średnie | Niskie |
| 2 | Profilowanie wzorców zbieractwa | Niskie | Średnia | Niskie | Akceptowalne |
| 3 | Wyciek metadanych zdjęć | Bardzo niskie | Wysoka | Średnie | Niskie |
| 4 | Dokładność danych o gatunkach | Średnie | Krytyczna | Wysokie | Średnie |
| 5 | Nieautoryzowany dostęp do kont | Średnie | Średnia | Średnie | Niskie |
| 6 | Naruszenie danych (infrastruktura) | Bardzo niskie | Wysoka | Średnie | Niskie |
5. Środki techniczne i organizacyjne
5.1 Środki techniczne
| Środek | Opis |
|---|---|
| Szyfrowanie w tranzycie | HTTPS z TLS 1.3 wymuszane przez Cloudflare na wszystkich endpointach API |
| Hashowanie haseł | PBKDF2-SHA-512, 100 000 iteracji, 16-bajtowa losowa sól |
| Bezpieczeństwo tokenów | Tokeny dostępu JWT z 15-minutowym TTL; tokeny odświeżania z 30-dniowym TTL |
| Przechowywanie tokenów po stronie klienta | Android EncryptedSharedPreferences (AES-256) |
| Usuwanie EXIF | Wszystkie metadane zdjęć (w tym GPS) usuwane na urządzeniu przed przesłaniem |
| Egzekwowanie widoczności | Kontrola dostępu na poziomie SQL z podzapytaniami EXISTS; scentralizowany getSpotWithAccessCheck() |
| Serwowanie prywatnych zdjęć | Zdjęcia serwowane przez Workers z uwierzytelnieniem i autoryzacją; brak bezpośrednich URL-i R2 |
| Ograniczenie szybkości | 100 zapytań/min anonimowo, 300 zapytań/min po uwierzytelnieniu |
| Parametryzowane zapytania | Wszystkie zapytania SQL D1 używają parametryzowanych instrukcji zapobiegających wstrzyknięciom |
| Rezydencja danych w UE | D1 i R2 skonfigurowane z ograniczeniem jurysdykcji UE |
| Szyfrowanie w spoczynku | Zapewniane przez infrastrukturę Cloudflare |
| Brak bezpośredniego dostępu do bazy | D1 dostępny tylko przez powiązania Workers; brak zewnętrznych ciągów połączeń |
5.2 Środki organizacyjne
| Środek | Opis |
|---|---|
| Aneks dotyczący przetwarzania danych | DPA Cloudflare zaakceptowany (zawiera Standardowe Klauzule Umowne UE) |
| Polityka minimalizacji danych | Zbierane wyłącznie niezbędne dane; brak analityki, reklam ani śledzenia |
| Polityka prywatności | Opublikowana w języku polskim i angielskim, dostępna w aplikacji i na stronie internetowej |
| Regulamin usługi | Zawiera zastrzeżenie dotyczące jadalności i potwierdzenie bezpieczeństwa zbierania |
| Przepływ zgody | Rejestracja wymaga wyraźnych, domyślnie niezaznaczonych pól wyboru dotyczących zgody na przetwarzanie danych |
| Usunięcie konta | Samoobsługowo przez DELETE /users/me/account; trwale usuwa wszystkie dane użytkownika, stanowiska i zdjęcia |
| Eksport danych | Samoobsługowo przez GET /users/me/data-export; format JSON |
| Ekran bezpieczeństwa onboardingu | Zasady zbierania i zastrzeżenie wyświetlane podczas wstępnej konfiguracji |
| Przegląd DPIA | Niniejsza ocena przeglądana co najmniej raz w roku lub po istotnych zmianach w przetwarzaniu |
6. Konsultacje
6.1 Osoby, których dane dotyczą
Aplikacja zapewnia jasne i dostępne informacje dla osób, których dane dotyczą, poprzez:
- Kompleksową Politykę Prywatności (dostępną w języku polskim i angielskim)
- Przepływ zgody z domyślnie niezaznaczonymi polami wyboru podczas rejestracji
- Ekran z zasadami bezpieczeństwa zbierania i zastrzeżeniem podczas onboardingu
- Dostęp w aplikacji do ustawień prywatności, eksportu danych i usunięcia konta
6.2 Inspektor Ochrony Danych
Jako indywidualny deweloper przetwarzający dane, które nie wymagają powołania IOD na mocy art. 37 RODO (brak systematycznego monitorowania na dużą skalę; brak szczególnych kategorii danych), Inspektor Ochrony Danych nie został powołany. Administrator danych (Sławomir Szostak) jest bezpośrednio odpowiedzialny za zgodność z ochroną danych i jest dostępny pod adresem [email protected].
7. Wnioski i decyzja
7.1 Ogólna ocena
Niniejsza DPIA zidentyfikowała sześć ryzyk dla praw i wolności osób, których dane dotyczą. Po zastosowaniu środków technicznych i organizacyjnych opisanych w niniejszym dokumencie:
- Pięć z sześciu ryzyk ma szczątkowy poziom ryzyka Niski lub Akceptowalny.
- Jedno ryzyko (dokładność danych o gatunkach) zachowuje szczątkowy poziom ryzyka Średni. Ryzyko to jest nieodłączne dla każdej społecznościowej platformy identyfikacji roślin i jest łagodzone przez zastrzeżenia, autorytatywne źródła danych i potwierdzenie przez użytkownika. Jest to ryzyko dla bezpieczeństwa zdrowotnego, a nie ryzyko ochrony danych per se, ale zostało uwzględnione w niniejszej ocenie ze względu na swoją dotkliwość.
7.2 Decyzja
Przetwarzanie może być kontynuowane z istniejącymi środkami zaradczymi. Ryzyka szczątkowe są akceptowalne i proporcjonalne do celów przetwarzania.
7.3 Uprzednie konsultacje z organem nadzorczym
Na mocy art. 36 RODO uprzednie konsultacje z organem nadzorczym (UODO) są wymagane wyłącznie wtedy, gdy administrator nie jest w stanie wystarczająco złagodzić wysokich ryzyk. Ponieważ wszystkie zidentyfikowane ryzyka zostały zredukowane do poziomu akceptowalnego lub niskiego dzięki opisanym powyżej środkom, uprzednie konsultacje z UODO nie są wymagane.
7.4 Bieżące zobowiązania
Administrator danych zobowiązuje się do:
- Przeglądu niniejszej DPIA co najmniej raz w roku lub w przypadku istotnej zmiany w działaniach przetwarzania.
- Monitorowania skuteczności środków zaradczych na bieżąco.
- Aktualizacji niniejszej oceny w przypadku zidentyfikowania nowych ryzyk lub zmiany prawdopodobieństwa lub dotkliwości istniejących ryzyk.
- Zgłaszania wszelkich naruszeń danych osobowych do UODO w ciągu 72 godzin i powiadamiania dotkniętych osób bez zbędnej zwłoki, zgodnie z art. 33 i 34 RODO.
8. Zatwierdzenie
| Rola | Imię i nazwisko | Data | Podpis |
|---|---|---|---|
| Administrator danych | Sławomir Szostak | 24 lutego 2026 | _________________ |
Historia zmian
| Wersja | Data | Autor | Zmiany |
|---|---|---|---|
| 1.0 | 24 lutego 2026 | Sławomir Szostak | Wstępna DPIA — ocena przedwdrożeniowa |