Polityka Prywatności i Plików Cookies

Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych Użytkowników korzystających z aplikacji w modelu SaaS pod nazwą "wynajmij.pro" (dalej: "Aplikacja"). Dokument ten został przygotowany w oparciu o przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: "RODO") oraz obowiązujące przepisy krajowe, w tym ustawę Prawo komunikacji elektronicznej.

1. Podwójna rola w przetwarzaniu danych (Administrator i Procesor)

Aplikacje działające w modelu chmurowym (SaaS) z reguły pełnią podwójną rolę w procesie przetwarzania danych osobowych. W związku z tym, w zależności od rodzaju przetwarzanych danych, właściciel Aplikacji występuje w jednej z dwóch ról:

A. Administrator Danych Osobowych:

Administratorem danych osobowych swoich bezpośrednich Klientów (przedsiębiorców zakładających Konto Firmowe, osób korzystających z Wersji Demo, które podały swoje dane w formularzu kontaktowym) jest Happy Shark Błażej Łukaszewski z siedzibą w Wieszkowo 46c/12 64-010 Krzywiń, NIP: 6981826718, e-mail: kontakt@wynajmij.pro. Wobec tych danych Usługodawca samodzielnie decyduje o celach i sposobach ich przetwarzania.

B. Podmiot Przetwarzający (Procesor):

W stosunku do danych wprowadzanych do Aplikacji przez samych Klientów (np. danych ich własnych klientów detalicznych, danych z rezerwacji urządzeń dmuchanych, w tym danych przetwarzanych w ramach dedykowanego portalu dla klienta końcowego oraz na potrzeby powiadomień SMS i e-mail), Administratorem pozostaje Klient (właściciel Konta Firmowego). Właściciel Aplikacji "wynajmij.pro" działa w tym wypadku wyłącznie jako Podmiot Przetwarzający (Procesor) i przetwarza te dane na podstawie udokumentowanego polecenia Administratora w ramach zintegrowanej Umowy Powierzenia Przetwarzania Danych Osobowych, która stanowi nierozerwalny załącznik do Regulaminu Aplikacji.

2. Źródło danych i wymóg ich podania

Dane osobowe gromadzone przez Administratora pochodzą bezpośrednio od samych Użytkowników (np. poprzez wypełnienie formularza rejestracyjnego, formularza kontaktowego, logowania do panelu lub z poziomu portalu rezerwacji).

Podanie danych osobowych jest dobrowolne, jednakże w ściśle określonych przypadkach jest ono warunkiem niezbędnym do zawarcia umowy i prawidłowego świadczenia usług lub weryfikacji tożsamości:

• Dla właściciela Konta Firmowego (Biznes/PRO): podanie imienia, nazwiska, nazwy firmy, numeru telefonu oraz adresu e-mail jest obowiązkowe.
• Dla Użytkownika (współpracownika przypisanego do firmy): podanie adresu e-mail oraz hasła jest obowiązkowe.
• Dla Klienta końcowego (najemcy): podanie numeru telefonu oraz jednorazowego kodu dostępu jest obowiązkowe w celu autoryzacji w zewnętrznym portalu i uzyskania wglądu w szczegóły rezerwacji.

Brak podania powyższych obowiązkowych danych uniemożliwi założenie konta lub uwierzytelnienie dostępu do panelu. Podawanie wszelkich innych danych jest całkowicie dobrowolne.

3. Cele i podstawy prawne przetwarzania danych przez Administratora

Twoje dane osobowe zbierane podczas rejestracji oraz korzystania z Aplikacji przetwarzamy w następujących celach:

• Zawarcie i wykonanie umowy o świadczenie usług (SaaS): Przetwarzanie danych takich jak nazwa firmy, NIP, adres e-mail, numer telefonu jest niezbędne do założenia Konta Firmowego, weryfikacji dostępu oraz realizacji płatności manualnych. Podstawą prawną jest niezbędność przetwarzania do wykonania umowy (art. 6 ust. 1 lit. b RODO).
• Uwierzytelnienie użytkownika (logowanie SMS / kod jednorazowy OTP): Przetwarzanie numeru telefonu w celu weryfikacji tożsamości oraz zapewnienia bezpieczeństwa dostępu do danych. Podstawą prawną jest niezbędność do wykonania usługi (art. 6 ust. 1 lit. b RODO) oraz prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).
• Realizacja obowiązków prawnych i księgowych: Przetwarzanie danych do celów wystawiania i archiwizowania faktur, w tym z wykorzystaniem Krajowego Systemu e-Faktur (KSeF). Podstawą prawną jest obowiązek prawny ciążący na Administratorze (art. 6 ust. 1 lit. c RODO).
• Obsługa Wersji Demo i formularzy opinii (Feedback): W przypadku dobrowolnego podania imienia i adresu e-mail w formularzu zwrotnym Wersji Demo, dane przetwarzane są w celu udzielenia odpowiedzi na zgłoszenie. Podstawą prawną jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).
• Zapewnienie bezpieczeństwa i monitorowanie błędów: System automatycznie gromadzi logi techniczne, raporty błędów oraz logi zdarzeń autoryzacyjnych (które mogą zawierać dane takie jak adres IP, identyfikator urządzenia lub czas logowania). Przetwarzanie to ma na celu wyłącznie zapewnienie integralności sieci, diagnostykę IT oraz ochronę infrastruktury przed atakami (np. typu brute-force), co obejmuje m.in. czasowe blokowanie dostępu po serii nieudanych prób logowania. Podstawą prawną jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).

Brak profilowania: Dane osobowe Użytkowników nie są wykorzystywane do zautomatyzowanego podejmowania decyzji, w tym nie są poddawane profilowaniu, które mogłoby wywoływać wobec nich skutki prawne lub w podobny sposób na nich wpływać.

4. Odbiorcy danych i transfer poza EOG (Sub-procesorzy)

Do prawidłowego świadczenia zaawansowanych usług w modelu SaaS, Administrator korzysta z zaufanych dostawców infrastruktury informatycznej, którzy mogą mieć dostęp do danych jako tzw. dalsze podmioty przetwarzające (Sub-procesorzy). Należą do nich:

• LH.pl Sp. z o.o. – dostawca usług hostingowych (w tym domeny), którego serwery zlokalizowane są fizycznie na terytorium Rzeczypospolitej Polskiej.
• Vercel Inc. – dostawca środowiska i platformy hostingowej dla aplikacji frontendowej. Infrastruktura dla naszego projektu dystrybuowana jest w obrębie regionów europejskich.
• Supabase Inc. – dostawca chmurowej infrastruktury bazodanowej i usług autoryzacji. Klastry bazodanowe obsługujące Aplikację zlokalizowane są na serwerach w regionie "eu-central-1" (Frankfurt, Niemcy).
• Vercom S.A. (EmailLabs) – operator systemu dostarczania komunikacji e-mail.
• LINK Mobility Poland Sp. z o.o. (SMSAPI) – operator bramki wiadomości SMS (wysyłanie kodów weryfikacyjnych i powiadomień).
• Google LLC – w zakresie integracji interfejsu map i tras (Google Maps). W ramach korzystania z Google Maps mogą być przetwarzane dane takie jak adres IP oraz dane lokalizacyjne związane z wyświetlaną trasą.

Zabezpieczenia transferu do państw trzecich:

Dane powierzone do Aplikacji są przechowywane na terytorium Europejskiego Obszaru Gospodarczego (EOG). Należy jednak pamiętać, że niektórzy z naszych kluczowych dostawców technologicznych (Supabase Inc., Vercel Inc., Google LLC) to podmioty mające siedzibę główną w Stanach Zjednoczonych (USA), co z perspektywy RODO może wiązać się z potencjalnym dostępem do danych z terytorium państwa trzeciego.

W takich przypadkach gwarantujemy, że transfer danych odbywa się wyłącznie z zastosowaniem najwyższych i prawnie uznanych zabezpieczeń, w szczególności w oparciu o ramy EU-US Data Privacy Framework (DPF) (decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony w USA dla certyfikowanych podmiotów) oraz wdrożone Standardowe Klauzule Umowne (SCC).

5. Środki bezpieczeństwa (Security)

Rozumiemy krytyczne znaczenie poufności informacji w obrocie profesjonalnym (B2B). Aplikacja "wynajmij.pro" została zaprojektowana zgodnie z zasadami Privacy by Design, zapewniając ochronę gromadzonych baz na wielu poziomach architektury IT. Wykorzystujemy m.in.:

• Szyfrowanie transmisji: Cały ruch sieciowy między urządzeniem Użytkownika a Aplikacją jest zabezpieczony zaawansowanym protokołem kryptograficznym HTTPS/SSL.
• Logiczna separacja danych (Multi-tenancy): Środowisko bazy danych zostało zbudowane w taki sposób, aby dane poszczególnych firm były od siebie ściśle odizolowane.
• Zaawansowana kontrola dostępu (RLS): Integracja autoryzacji za pomocą mechanizmu Row Level Security gwarantuje, że zapytania do bazy są filtrowane na poziomie silnika, uniemożliwiając nieautoryzowany odczyt rekordów należących do innego najemcy.
• Zabezpieczenia anty-bot i Rate Limiting: Proaktywne systemy filtrowania (Cloudflare Turnstile) chronią formularze dostępowe przed spamem, a wbudowane mechanizmy autoryzacji automatycznie wymuszają czasowe blokady (np. na 15 minut) w przypadku powtarzających się nieudanych prób logowania, zapobiegając atakom słownikowym.

6. Czas przechowywania danych (Retencja i Soft Delete)

Zgodnie z unijną zasadą ograniczenia przechowywania, dane nie mogą być przetwarzane dłużej, niż jest to niezbędne do celów, dla realizacji których zostały zebrane. W Aplikacji "wynajmij.pro" obowiązują następujące okresy retencji:

• Konta Firmowe (Płatne i Starter): W przypadku rezygnacji z usług, Konto Firmowe przechodzi w tryb miękkiego usunięcia (Soft Delete) na okres 30 dni, aby umożliwić ewentualny eksport danych. Po tym czasie następuje bezpowrotne usunięcie (Hard Delete) całego środowiska bazy danych z serwerów.
• Konta w Wersji Demo: Z uwagi na testowy charakter usługi, wszystkie wygenerowane konta oraz wprowadzone w nich dane ulegają całkowitemu, automatycznemu zniszczeniu podczas nocnych procesów czyszczenia infrastruktury (usuwane są konta starsze niż 24 godziny).
• Dane księgowe (Faktury): Dokumenty rozliczeniowe przechowywane są przez okres 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku.
• Dane z formularza Feedback: Przechowywane do momentu zakończenia korespondencji w danej sprawie, a następnie archiwizowane przez okres niezbędny do zabezpieczenia ewentualnych roszczeń.
• Logi techniczne i zdarzenia bezpieczeństwa: Logi błędów oraz zapisy zdarzeń autoryzacyjnych do systemu przechowywane są w celach bezpieczeństwa na zasadzie cyklu kroczącego i ulegają trwałemu usunięciu/nadpisaniu bezpośrednio po upływie 14 dni od momentu ich wygenerowania.

7. Prawa osób, których dane dotyczą

Każdemu Użytkownikowi, którego dane przetwarza Administrator, przysługuje szeroki katalog praw wynikających z RODO:

1. Prawo żądania dostępu do swoich danych osobowych oraz otrzymania ich kopii (art. 15 RODO).
2. Prawo do sprostowania (poprawiania) swoich danych (art. 16 RODO).
3. Prawo do usunięcia danych, tzw. "prawo do bycia zapomnianym" (art. 17 RODO).
4. Prawo do ograniczenia przetwarzania danych (art. 18 RODO).
5. Prawo do przenoszenia danych w ustrukturyzowanym formacie (art. 20 RODO). Użytkownik ma możliwość eksportu swoich danych w ustrukturyzowanym formacie umożliwiającym ich dalsze przetwarzanie.
6. Prawo do sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora (art. 21 RODO).
7. Prawo wniesienia skargi do organu nadzorczego – w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych (PUODO) z siedzibą w Warszawie.

W celu realizacji swoich praw, Użytkownik może skontaktować się z Administratorem pod adresem e-mail: kontakt@wynajmij.pro. W przypadku, gdy Aplikacja występuje jedynie w roli Podmiotu Przetwarzającego (wobec danych klientów końcowych wprowadzonych przez Usługobiorcę), żądania te należy kierować bezpośrednio do właściciela Konta Firmowego. Żądania realizowane są nie później niż w terminie 30 dni od ich otrzymania. Administrator nie wyznaczył Inspektora Ochrony Danych, ponieważ nie ma takiego obowiązku.

8. Raport o Wykorzystaniu Plików Cookies (Ciasteczek) i Zarządzanie Zgodami

Aplikacja "wynajmij.pro" wykorzystuje pliki cookies do zapewnienia bezpieczeństwa, stabilności oraz poprawnej funkcjonalności serwisu.

Podstawa prawna i mechanizm zgody (Cookie-Script):

Podstawą prawną stosowania plików cookies innych niż niezbędne jest Twoja dobrowolna zgoda (art. 6 ust. 1 lit. a RODO). Zarządzanie zgodami na ich wykorzystanie odbywa się za pomocą dedykowanego narzędzia Cookie-Script. Użytkownik przy pierwszej wizycie w witrynie ma możliwość dobrowolnego wyrażenia lub odmowy zgody na pliki funkcjonalne i zewnętrzne poprzez interaktywny baner.

Stosujemy następujące kategorie ciasteczek:

A. Cookies Niezbędne (Techniczne) - nie wymagają zgody

Podstawą prawną stosowania plików cookies niezbędnych jest art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa i prawidłowego działania Aplikacji). Są one kluczowe dla podstawowych funkcji Aplikacji, takich jak bezpieczne zarządzanie sesją, autoryzacja oraz ochrona przed atakami i spamem. Bez nich Aplikacja (w tym portale do rezerwacji) nie mogłaby działać prawidłowo.

Nazwa Ciasteczka	Dostawca	Cel	Czas Przechowywania
sb-<id>-auth-token	Supabase (Własne)	Przechowuje token sesji użytkownika (JWT). Umożliwia pozostanie zalogowanym po odświeżeniu strony. Pozwala na pełną izolację danych między firmami (Multi-tenancy) zgodnie z regułami RLS (Row Level Security).	Do 1 roku (lub do wylogowania)
sb-<id>-code-verifier	Supabase (Własne)	Wykorzystywane w bezpiecznym procesie logowania (PKCE) w celu zapobiegania przechwytywaniu kodów.	Sesja (tymczasowe)
__cf_bm / cf_clearance	Cloudflare (Turnstile)	Służą do odróżniania ludzi od botów. Chronią formularze logowania i portale klientów końcowych przed atakami automatycznymi (spam, brute-force) bez konieczności używania uciążliwych obrazków CAPTCHA.	Od 30 min do 1 roku

B. Cookies Funkcjonalne - wymagają dobrowolnej zgody

Służą do zapamiętywania indywidualnych preferencji interfejsu Użytkownika.

Nazwa Ciasteczka	Dostawca	Cel	Czas Przechowywania
theme	next-themes (Własne)	Zapamiętuje wybrany motyw graficzny (jasny/ciemny). Uwaga: Ustawienie to jest również często przechowywane w pamięci localStorage.	Trwałe

C. Cookies Zewnętrzne (Third-Party) - wymagają dobrowolnej zgody

Pochodzą od dostawców zewnętrznych, których bezpieczne narzędzia są zintegrowane z naszą platformą.

Nazwa Ciasteczka	Dostawca	Cel	Czas Przechowywania
NID / SNID	Google Maps	Optymalizacja geograficzna i wsparcie wyliczania tras logistycznych (w tym wyświetlanie obszaru dostawy). Używane przez Mapy Google do zapamiętywania preferencji i monitorowania limitów użycia API mapy. Uwaga: Korzystanie z tych ciasteczek może wiązać się z transferem metadanych do USA, co zabezpieczone jest na zasadach opisanych w Pkt 4.	6 miesięcy

Zarządzanie Ciasteczkami

Aplikacja nie przechowuje w ciasteczkach haseł ani pełnych danych osobowych w formie tekstowej. Tokeny sesji są silnie zaszyfrowane i zabezpieczone flagą HttpOnly (jeśli to możliwe) oraz Secure, co zapobiega ich kradzieży przez złośliwe skrypty.

Każdy Użytkownik może samodzielnie zarządzać plikami cookies, zmieniając preferencje w banerze dostarczanym przez Cookie-Script lub bezpośrednio w ustawieniach swojej przeglądarki internetowej (blokowanie lub całkowite usunięcie cookies).

9. Postanowienia końcowe

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności. O wszelkich istotnych zmianach Użytkownicy posiadający zarejestrowane Konta Firmowe zostaną poinformowani za pośrednictwem poczty elektronicznej lub poprzez odpowiedni komunikat wewnątrz panelu Aplikacji.