Ostatnia aktualizacja / Last updated: 2026-06-07
Dla wersji iOS / App Store oraz ogólnie: administratorem danych jest Maciej Siemiński, kontakt: mail@macsiem.dev.
Dla wersji Google Play (Android): administratorem danych jest LICENCEPRO POLSKA Sp. z o.o., ul. Huculska 6, 00-730 Warszawa, Polska, kontakt: mail@macsiem.dev.
BabySteps to aplikacja dla rodziców i opiekunów do zapisywania kamieni milowych dziecka, wspomnień, zdjęć, notatek, ustawień rodziny, przypomnień i eksportów. Aplikacja jest skierowana do dorosłych. Nie tworzymy kont dzieci i nie prosimy dziecka o samodzielne podawanie danych.
Dane wpisane przez rodzica są najpierw przechowywane lokalnie w aplikacji. Obejmuje to w szczególności:
Główna baza lokalna używa zaszyfrowanego MMKV. Klucz szyfrowania jest przechowywany w systemowym SecureStore / Keychain / Android Keystore, gdy jest dostępny.
BabySteps może działać lokalnie. Funkcje konta, rodziny, synchronizacji i backupu są opcjonalne. Gdy rodzic włącza te funkcje, aplikacja może używać Apple Sign-In lub Google Sign-In oraz backendu Cloudflare Worker.
Przy logowaniu aplikacja wysyła token tożsamości Apple lub Google do backendu, który zwraca sesję aplikacji. Lokalnie zapisywane mogą być: identyfikator użytkownika, token sesji, data wygaśnięcia, dostawca logowania oraz adres e-mail lub Apple Private Relay, jeżeli dostawca go zwróci.
Przy rodzinnej synchronizacji backend może przetwarzać techniczne dane potrzebne do połączenia urządzeń: kod zaproszenia, identyfikatory rodziny i członków, klucze publiczne, znaczniki czasu oraz zaszyfrowane wpisy i zdjęcia. Zdjęcia i dane rodzinne są projektowane jako szyfrowane przed wysłaniem. Backend może przechowywać zaszyfrowane dane, identyfikator pliku, rozmiar i datę aktualizacji, aby umożliwić synchronizację lub przywrócenie backupu.
Recovery phrase / fraza odzyskiwania służąca do odszyfrowania backupu pozostaje po stronie użytkownika. Bez niej nie da się odszyfrować backupu.
Aplikacja używa powiadomień lokalnych do przypomnień. Jeśli rodzic udzieli zgody na powiadomienia push i aktywny jest system ogłoszeń, aplikacja może zarejestrować anonimowy identyfikator urządzenia i Expo push token w Cloudflare Worker. W takim przypadku przetwarzane mogą być także: platforma, język, wersja aplikacji, kanał wydania, informacja Premium i daty heartbeat. Dane te służą do wysłania ważnych komunikatów aplikacji, a nie do tworzenia kont dziecka.
Aplikacja ma skonfigurowane Sentry do diagnostyki błędów i awarii. Raport może zawierać techniczne informacje o awarii, urządzeniu, systemie, wersji aplikacji i śladzie stosu. Kod aplikacji zawiera ochronę przed wysyłaniem treści rodzinnych i nie ustawia identyfikatora użytkownika w Sentry.
BabySteps zawiera Google AdMob i może wyświetlać banery reklamowe w bezpłatnej wersji aplikacji. Aplikacja jest przeznaczona dla dorosłych rodziców i opiekunów, nie jest zgłaszana jako aplikacja dla dzieci ani jako usługa kierowana do dzieci. Na Androidzie aplikacja deklaruje uprawnienie AD_ID, a na iOS może pokazać systemową zgodę ATT wymaganą przez platformę. Odmowa zgody nie blokuje działania aplikacji.
Reklamy mogą być dostarczane także przez partnerów mediacji AdMob: Meta Platforms, Inc. (Meta Audience Network, polityka prywatności) oraz Unity Technologies (Unity Ads, polityka prywatności). AdMob i partnerzy mediacji mogą używać identyfikatora reklamowego oraz technicznych sygnałów reklamowych do pomiaru reklam, ograniczania częstotliwości, zapobiegania nadużyciom i atrybucji, zgodnie z ustawieniami zgód użytkownika i wymaganiami platform. Dane dziecka wpisane w aplikacji nie są używane do targetowania reklam.
Zakupy i subskrypcje są obsługiwane przez Apple App Store lub Google Play. Nie otrzymujemy pełnych danych karty płatniczej. Aplikacja może lokalnie zapisać stan Premium, typ uprawnienia i datę wygaśnięcia. Przy backupie konto może zsynchronizować techniczny stan uprawnienia z backendem, aby sprawdzić dostęp do funkcji.
BabySteps jest aplikacją dla rodziców i opiekunów. Dane dotyczące dziecka są wpisywane przez dorosłego i pozostają lokalnie, chyba że rodzic świadomie użyje funkcji rodziny, synchronizacji, eksportu lub backupu. Nie sprzedajemy danych dzieci, nie tworzymy kont dzieci i nie udostępniamy danych do publicznych profili społecznościowych.
Dane mogą być przetwarzane przez dostawców usług potrzebnych do działania funkcji aplikacji: Apple i Google dla logowania, zakupów i sklepów, Google AdMob wraz z partnerami mediacji (Meta Audience Network, Unity Ads) dla reklam, Sentry dla diagnostyki awarii, Expo dla tokenów push oraz Cloudflare Workers / storage dla opcjonalnej synchronizacji, ogłoszeń i backupu. Dostawcy ci działają zgodnie z własnymi zasadami i tylko w zakresie wymaganym dla danej funkcji.
Tam, gdzie zastosowanie ma RODO, dane przetwarzamy na podstawie:
Dane lokalne pozostają na urządzeniu do czasu ich usunięcia w aplikacji lub odinstalowania aplikacji. Dane konta i zaszyfrowanego backupu na backendzie są przechowywane do czasu usunięcia konta lub żądania usunięcia. Raporty awarii Sentry są przechowywane przez 90 dni (domyślny okres Sentry). Dane żądań reklamowych przetwarza Google zgodnie z własnymi politykami retencji.
Dostawcy wymienieni w sekcji 10 (Apple, Google, Sentry, Expo, Cloudflare) mogą przetwarzać dane techniczne poza Europejskim Obszarem Gospodarczym. Takie transfery opierają się na zabezpieczeniach wymaganych przez RODO, np. standardowych klauzulach umownych Komisji Europejskiej lub decyzji o adekwatności (w tym EU–US Data Privacy Framework, gdy ma zastosowanie). Treści rodzinne przeznaczone do synchronizacji lub backupu są projektowane jako zaszyfrowane przed wysłaniem.
Użytkownik może usunąć dane lokalne przez funkcje aplikacji albo odinstalowanie aplikacji. Wylogowanie usuwa lokalną sesję konta. Jeśli konto lub backup zostały utworzone na backendzie, można poprosić o usunięcie danych, pisząc na mail@macsiem.dev. Masz prawo do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie. Masz także prawo wniesienia skargi do organu nadzorczego — w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
W sprawach prywatności i wsparcia: mail@macsiem.dev.
Last updated: 2026-06-07
For the iOS / App Store version and generally: the data controller is Maciej Siemiński, contact: mail@macsiem.dev.
For the Google Play (Android) version: the data controller is LICENCEPRO POLSKA Sp. z o.o., ul. Huculska 6, 00-730 Warszawa, Polska, contact: mail@macsiem.dev.
BabySteps is an app for parents and guardians to record a child's milestones, family memories, photos, notes, reminders, settings and exports. The app is intended for adults. We do not create child accounts and we do not ask a child to provide data directly.
Data entered by a parent is stored locally first. This includes:
The main local database uses encrypted MMKV. The encryption key is stored in the system SecureStore / Keychain / Android Keystore when available.
BabySteps can be used locally. Account, family sync and backup features are optional. When a parent enables those features, the app may use Apple Sign-In or Google Sign-In and a Cloudflare Worker backend.
During sign-in, the app sends an Apple or Google identity token to the backend, which returns an app session. The app may store a user ID, session token, expiry date, sign-in provider and email address or Apple Private Relay address if the provider returns one.
For family sync, the backend may process technical data needed to connect devices: invite code, family and member identifiers, public keys, timestamps, and encrypted entries and photos. Photos and family data are designed to be encrypted before upload. The backend may store encrypted data, blob identifiers, file size and update date to support sync or backup restore.
The recovery phrase used to decrypt a backup remains under the user's control. Without it, the backup cannot be decrypted.
The app uses local notifications for reminders. If a parent grants push notification permission and the announcement system is active, the app may register an anonymous device identifier and Expo push token with a Cloudflare Worker. In that case, platform, language, app version, release track, Premium flag and heartbeat dates may also be processed. This is used for important app announcements, not for creating child accounts.
The app has Sentry configured for crash and error diagnostics. A report may include technical information about a crash, device, operating system, app version and stack trace. The app code includes safeguards against sending family content and does not set a user identifier in Sentry.
BabySteps includes Google AdMob and may show banner ads in the free version. The app is intended for adult parents and caregivers, and is not submitted as a kids app or as a child-directed service. On Android the app declares the AD_ID permission, and on iOS it may show the system ATT permission prompt required by the platform. Refusing permission does not block the app.
Ads may also be delivered through AdMob mediation partners: Meta Platforms, Inc. (Meta Audience Network, privacy policy) and Unity Technologies (Unity Ads, privacy policy). AdMob and mediation partners may use the advertising identifier and technical ad signals for ad measurement, frequency capping, fraud prevention and attribution, according to the user's consent settings and platform requirements. Child data entered in the app is not used for ad targeting.
Purchases and subscriptions are handled by Apple App Store or Google Play. We do not receive full payment card details. The app may store local Premium state, entitlement type and expiry date. For backup, the account may sync technical entitlement status with the backend to check feature access.
BabySteps is a parent-facing app. Child-related data is entered by an adult and stays on the device unless the parent deliberately uses family sync, export or backup. We do not sell children's data, create child accounts or publish child data to public social profiles.
Data may be processed by service providers needed for app features: Apple and Google for sign-in, purchases and stores, Google AdMob together with its mediation partners (Meta Audience Network, Unity Ads) for ads, Sentry for crash diagnostics, Expo for push tokens, and Cloudflare Workers / storage for optional sync, announcements and backup. These providers operate under their own terms and only within the scope needed for the relevant feature.
Where the GDPR applies, we process data on the following legal bases:
Local data stays on the device until deleted in the app or the app is uninstalled. Account and encrypted backup data on the backend is kept until the account is deleted or deletion is requested. Sentry crash reports are retained for 90 days (Sentry default). Ad request data is processed by Google under its own retention policies.
The providers listed in section 10 (Apple, Google, Sentry, Expo, Cloudflare) may process technical data outside the European Economic Area. Such transfers rely on safeguards required by the GDPR, such as the European Commission's Standard Contractual Clauses or an adequacy decision (including the EU–US Data Privacy Framework where applicable). Family content intended for sync or backup is designed to be encrypted before upload.
You can delete local data through app features or by uninstalling the app. Signing out removes the local account session. If an account or backup was created on the backend, you can request deletion by writing to mail@macsiem.dev. You have the right to access, rectify, erase, restrict, or object to processing based on legitimate interest, and the right to data portability. You also have the right to lodge a complaint with a supervisory authority — in Poland, the President of the Personal Data Protection Office (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
Privacy and support contact: mail@macsiem.dev.