Regulamin korzystania z OCS Polityka prywatności

Wersja: 14.3 Data obowiązywania:
OCS — Open Chat Secured

Dokument łączy Regulamin świadczenia usług („Regulamin”) oraz Politykę prywatności („Polityka”). OCS to komunikator z pełnym E2EE. Ten dokument opisuje zasady korzystania, odpowiedzialności oraz jakie metadane przetwarzamy i na jakiej podstawie.

1. Definicje

OCS – aplikacja komunikatora „Open Chat Secured” dostępna pod app.ocsproject.org.

Użytkownik – osoba korzystająca z OCS.

E2EE – szyfrowanie end-to-end; klucze treści znajdują się wyłącznie na urządzeniach Użytkowników.

Metadane – minimalne dane niebędące treścią wiadomości (np. identyfikator konta, znacznik czasu serwera).

GMK / Sender Keys – mechanizmy kryptograficzne dla grup/kanałów opisane w dokumentacji OCS.

2. Zakres usługi i konto

  • Do korzystania wymagane jest utworzenie konta z losowym numerem w przestrzeni +99; prawdziwy numer telefonu nie jest wymagany. Opcjonalnie można ustawić username i nick.
  • OCS jest udostępniany „as-is”, jako aplikacja sieciowa instalowana na urządzeniu (PWA).
  • Możesz usunąć swoje konto z poziomu aplikacji; skutkuje to usunięciem danych serwerowych przypisanych do konta zgodnie z sekcją „Retencja”.

3. Bezpieczeństwo, E2EE i odpowiedzialność

E2EE. Treść wiadomości (DM, grupy, kanały) jest szyfrowana end-to-end. Serwer przechowuje wyłącznie szyfrogramy. Klucze sesyjne znajdują się na Twoich urządzeniach.

  • Utrata urządzenia lub frazy bezpieczeństwa może spowodować brak możliwości odszyfrowania historii. Użytkownik jest odpowiedzialny za kopie zapasowe i ochronę urządzeń.
  • Gdy odbiorca jest offline, wiadomości mogą tymczasowo oczekiwać w szyfrowanej kolejce („store-and-forward”).
  • Mechanizmy anty-spam i anty-nadużycia nie analizują treści – działają wyłącznie na metadanych technicznych.

4. Zasady akceptowalnego użycia

  • Zakazane jest wykorzystywanie OCS do działań niezgodnych z prawem, naruszania praw osób trzecich, nękania, rozpowszechniania malware lub obchodzenia zabezpieczeń.
  • Zakazane jest automatyczne zbieranie danych, odwracanie inżynierii, przeciążanie infrastruktury (DoS/DDoS), tworzenie masowych kont.
  • W przypadku zgłoszeń naruszeń możemy podjąć proporcjonalne działania techniczne na poziomie konta/transportu, nie obejmujące treści E2EE.

5. Zamknięcie konta i naruszenia

Możemy czasowo ograniczyć lub zamknąć konto w razie poważnych naruszeń Regulaminu lub prawa. W miarę możliwości powiadomimy o przyczynie, z zachowaniem wymogów prawa i bezpieczeństwa.

6. Zastrzeżenia i ograniczenie odpowiedzialności

OCS jest dostarczany „w stanie takim, w jakim jest”. W zakresie dopuszczalnym przez prawo wyłączamy rękojmię i nie ponosimy odpowiedzialności za szkody pośrednie, utracone korzyści ani skutki działań osób trzecich. Żadne z postanowień nie ogranicza odpowiedzialności, której wyłączenie jest niedopuszczalne przez prawo.

7. Polityka prywatności — wprowadzenie GDPR

Szanujemy prywatność. Projektujemy OCS tak, aby serwer przetwarzał tylko to, co jest konieczne do dostarczenia wiadomości i utrzymania infrastruktury. Nie przetwarzamy treści rozmów w postaci jawnej.

8. Jakie dane przetwarzamy (wyłącznie metadane operacyjne)

  • Identyfikatory techniczne konta (losowy numer w przestrzeni +99, opcjonalny username, UUID konta) – do routingu i zaproszeń.
  • Klucze publiczne (np. X25519/Ed25519) i ich odciski – do bezpiecznej dystrybucji kluczy i weryfikacji urządzeń.
  • Tokeny powiadomień (APNs/FCM/Web Push) – bez treści wiadomości.
  • Znaczniki czasu (serwerowe) i nonce – do anty-replay i synchronizacji.
  • Adresy IP/logi bezpieczeństwa w minimalnym zakresie – wykrywanie nadużyć, diagnostyka.
  • Opcjonalne wykresy zdrowia systemu w formie danych zagregowanych/anonymizowanych (bez treści i bez budowy profili).

Brak treści w serwerze: wiadomości, pliki i media są przechowywane wyłącznie jako szyfrogramy. Podgląd miniatur może być cache’owany w formie zaszyfrowanej.

9. Po co je przetwarzamy (podstawy prawne)

  • Art. 6 ust. 1 lit. b RODO – wykonanie umowy (świadczenie usługi komunikatora, routing, powiadomienia, synchronizacja urządzeń).
  • Art. 6 ust. 1 lit. f RODO – uzasadniony interes (bezpieczeństwo, przeciwdziałanie nadużyciom, diagnostyka incydentów).
  • Art. 6 ust. 1 lit. c RODO – obowiązki prawne (np. reakcja na prawomocne nakazy właściwych organów).

10. Retencja i usuwanie

  • Kolejka wiadomości (store-and-forward): szyfrogramy do czasu doręczenia lub maks. 14 dni – po tym czasie usuwane automatycznie.
  • Logi bezpieczeństwa: maks. 30 dni, chyba że dłużej wymagają tego przepisy lub analiza incydentu.
  • Klucze publiczne i identyfikatory konta: przechowywane do czasu usunięcia konta.
  • Usunięcie konta: usuwa metadane serwerowe przypisane do konta w ciągu 7 dni. Nie ma możliwości odszyfrowania historii z innych urządzeń po usunięciu kluczy.

11. Twoje prawa (RODO)

Masz prawo do: dostępu, sprostowania, usunięcia („bycia zapomnianym”), ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu – w granicach, w jakich przetwarzamy metadane. Zgłoszenia kieruj na support@ocsproject.org. Masz też prawo złożyć skargę do organu nadzorczego (w Polsce: Prezes UODO).

12. Udostępnianie i transfery danych

  • Podmioty przetwarzające (procesorzy) – np. dostawca hostingu/VPS, CDN dla statycznych plików, dostawcy push (APNs/FCM). Zawieramy z nimi umowy powierzenia i wymagamy odpowiedniego poziomu bezpieczeństwa.
  • Organy publiczne – wyłącznie gdy jest to wymagane prawem i w niezbędnym zakresie. Z uwagi na E2EE nie mamy dostępu do treści w postaci jawnej.
  • Transfer poza EOG – wyłącznie z odpowiednimi zabezpieczeniami (np. standardowe klauzule umowne UE), jeśli dotyczy.

13. Pliki cookie i local storage

Landing może używać technicznych cookie (sesyjnych). Aplikacja OCS korzysta głównie z local storage/IndexedDB na urządzeniu do przechowywania zaszyfrowanych kluczy i ustawień. Nie stosujemy analityki i trackerów reklamowych.

14. Dzieci

OCS nie jest przeznaczony dla osób poniżej 16 roku życia. Jeśli dowiemy się o korzystaniu przez osobę poniżej progu wieku, podejmiemy kroki w celu ograniczenia konta zgodnie z prawem.

15. Zmiany dokumentu

Możemy aktualizować niniejszy dokument. Istotne zmiany zakomunikujemy w aplikacji lub na stronie. Dalsze korzystanie z OCS po wejściu zmian w życie oznacza akceptację nowej wersji.

16. Kontakt / Administrator danych

Administrator: Matthew Kołodziejko, RF48+9H4, Nipa Southern Highlands Province, Papua-Nowa Gwinea

E-mail: support@ocsproject.org Telegram: @ocsproject

W sprawach RODO skontaktuj się z nami z adresu przypisanego do konta i podaj swój numer w przestrzeni +99 lub username, abyśmy mogli zweryfikować zgłoszenie.

17. Prawo właściwe i spory

W sprawach nieuregulowanych zastosowanie ma prawo Papui Nowej Gwinei.