Wersja obowiązująca od 2026-05-09
Niniejszy dokument określa zasady przetwarzania i ochrony danych osobowych użytkowników korzystających z aplikacji mobilnej oraz platformy ePolanka (dalej: "Serwis"). Dokument został sporządzony w oparciu o przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO/GDPR), brytyjskiego UK GDPR oraz właściwe przepisy krajowe Królestwa Belgii.
1. Administrator danych osobowych
Administratorem danych osobowych jest Dawid Sladeczek, prowadzący działalność gospodarczą z biurem operacyjnym pod adresem: Groeneweg 17, 9320 Aalst, Belgia.
Numer identyfikacyjny KBO/BTW: BE1034429477.
Kontakt w sprawach ochrony prywatności: privacy@epolanka.com.
W sprawach nieuregulowanych niniejszą Polityką zastosowanie mają przepisy Królestwa Belgii jako kraju siedziby Administratora, co nie ogranicza praw konsumenckich przysługujących Użytkownikowi w kraju jego stałego pobytu.
2. Zakres i charakter przetwarzanych danych
Administrator przetwarza dane niezbędne do realizacji funkcji Serwisu:
-
Dane uwierzytelniające - adres e-mail, zaszyfrowane skróty haseł (zarządzane przez Supabase Auth), unikalne identyfikatory sesji.
-
Dane geolokalizacyjne - precyzyjne współrzędne geograficzne, przetwarzane wyłącznie na podstawie dobrowolnej zgody systemowej w celu dopasowania ofert lokalnych.
-
Dane profilowe i treści - nazwa użytkownika, avatar, treści ogłoszeń (praca, nieruchomości, usługi), korespondencja wewnętrzna.
-
Dane finansowe - przetwarzane bezpośrednio przez operatora Stripe; Administrator nie gromadzi pełnych numerów kart płatniczych.
-
Dane weryfikacyjne - w przypadku kont firmowych informacje z publicznych rejestrów przedsiębiorców (VIES, KBO).
3. Podstawy prawne przetwarzania
-
Art. 6 ust. 1 lit. b RODO - niezbędność do wykonania umowy o świadczenie usług drogą elektroniczną.
-
Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes Administratora (bezpieczeństwo, przeciwdziałanie oszustwom).
-
Art. 6 ust. 1 lit. a RODO - dobrowolna zgoda (marketing, powiadomienia push, lokalizacja).
-
Art. 6 ust. 1 lit. c RODO - wypełnienie obowiązków prawnych, w tym sprawozdawczości w ramach dyrektywy DAC7 (raportowanie dochodów z najmu i usług).
-
Art. 9 ust. 2 lit. a RODO - wyraźna zgoda na przetwarzanie danych szczególnej kategorii w module wsparcia (zdrowie psychiczne, terapia).
4. Dane szczególnych kategorii i tryb anonimowy
Moduł wsparcia obejmuje kategorie wrażliwe w rozumieniu art. 9 RODO (m.in. psychologia, terapia, grupy wsparcia, logopedia). Tego rodzaju zapytania są przetwarzane wyłącznie po wyrażeniu wyraźnej zgody i są dostępne wyłącznie dla wybranego specjalisty oraz Użytkownika.
Serwis udostępnia tryb anonimowy - identyfikator Użytkownika składającego zapytanie nie jest ujawniany odbiorcy ani innym uczestnikom platformy. Maskowanie odbywa się na poziomie bazy danych, nie tylko interfejsu.
5. Ochrona małoletnich
Z Serwisu mogą korzystać wyłącznie osoby, które ukończyły 16 lat. Administrator nie zbiera świadomie danych osobowych osób poniżej tego wieku. Jeśli ustalimy, że konto należy do osoby małoletniej, niezwłocznie usuwamy konto i powiązane dane.
6. Odbiorcy danych i transfery międzynarodowe
Dane mogą być przekazywane zaufanym partnerom technologicznym na podstawie Umów Powierzenia Przetwarzania (DPA):
-
Supabase Inc. - hosting baz danych w regionie UE.
-
Stripe Payments Europe Ltd. - procesowanie płatności i weryfikacja tożsamości.
-
Geoapify GmbH - obsługa usług mapowych i geokodowania.
Dodatkowo dane firm są weryfikowane wobec publicznych rejestrów: VIES (Komisja Europejska) oraz KBO (Belgia). W tym przypadku rejestry są zarówno źródłem danych weryfikacyjnych, jak i odbiorcą zapytań Administratora.
Transfery poza Europejski Obszar Gospodarczy (EOG) lub Wielką Brytanię odbywają się wyłącznie w oparciu o Standardowe Klauzule Umowne (SCC) lub decyzje Komisji Europejskiej o adekwatności poziomu ochrony.
7. Retencja danych
-
Dane konta - do czasu usunięcia konta lub po 24 miesiącach całkowitej nieaktywności.
-
Dokumentacja finansowa - 5 lat zgodnie z belgijskim prawem podatkowym.
-
Logi techniczne - do 12 miesięcy w celach diagnostycznych i bezpieczeństwa.
-
Wiadomości w komunikatorze - 12 miesięcy od ostatniej aktywności konwersacji.
-
Powiadomienia - 90 dni od oznaczenia jako przeczytane.
8. Prawa Użytkownika
-
Dostępu do danych oraz otrzymania ich kopii (art. 15 RODO) - dostępne w sekcji Profil > Prywatność.
-
Sprostowania (poprawienia) danych (art. 16 RODO).
-
Usunięcia danych ("prawo do bycia zapomnianym", art. 17 RODO) - dostępne w sekcji Profil > Prywatność.
-
Ograniczenia przetwarzania oraz przenoszenia danych (art. 18 i 20 RODO).
-
Wniesienia sprzeciwu wobec przetwarzania (art. 21 RODO).
-
Cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (art. 7 ust. 3 RODO).
-
Wniesienia skargi do organu nadzorczego: w Belgii Gegevensbeschermingsautoriteit (GBA / APD), w Polsce Prezes UODO, w Wielkiej Brytanii Information Commissioner's Office (ICO).
9. Profilowanie i zautomatyzowane decyzje
Serwis dopasowuje wyświetlane oferty oraz powiadomienia geo-alertów do wybranych przez Użytkownika tagów i jego lokalizacji. Stanowi to profilowanie w rozumieniu art. 4 pkt 4 RODO, ale nie wywołuje wobec Użytkownika skutków prawnych ani nie wpływa istotnie na jego sytuację (art. 22 ust. 1 RODO nie ma zastosowania).
Użytkownik może w dowolnej chwili wyłączyć powiadomienia oraz zarządzać tagami w sekcji Profil > Powiadomienia.
10. Cookies i przechowywanie lokalne
W wersji webowej Serwis korzysta z mechanizmu localStorage przeglądarki w celu utrzymania sesji uwierzytelniającej (Supabase Auth). Nie używamy plików cookies stron trzecich w celach reklamowych ani analitycznych bez zgody Użytkownika.
W aplikacji mobilnej tokeny sesji są przechowywane w bezpiecznym magazynie systemu operacyjnego (Keychain w iOS, EncryptedSharedPreferences w Android).
11. Środki bezpieczeństwa
Administrator stosuje rygorystyczne standardy ochrony, w tym szyfrowanie transmisji (TLS/HTTPS), mechanizmy Row Level Security (RLS) na poziomie bazy danych, weryfikację podpisów dla webhooków płatności oraz stały monitoring logów bezpieczeństwa. Wszystkie listy fizyczne kierowane na adres operacyjny w Aalst są procesowane z zachowaniem poufności.
Naruszenia ochrony danych są zgłaszane organowi nadzorczemu w terminie 72 godzin od stwierdzenia, zgodnie z art. 33 RODO, a w razie wysokiego ryzyka także bezpośrednio osobom, których dane dotyczą (art. 34 RODO).
12. Zmiany polityki
Niniejsza polityka może podlegać aktualizacjom. O istotnych zmianach Użytkownicy zostaną poinformowani za pośrednictwem aplikacji co najmniej 14 dni przed wejściem w życie. Aktualna wersja jest zawsze dostępna pod adresem /legal/privacy.