Dokumenty Grajli
Polityka prywatności Platformy Grajli
Ostatnia aktualizacja: [data ostatniej aktualizacji] · wersja robocza do audytu prawnego
Polityka opisuje kategorie danych i cele przetwarzania w Platformie Grajli. Przed wdrożeniem wymaga weryfikacji pod kątem faktycznej konfiguracji produkcyjnej, dostawców i okresów retencji.
§1. Administrator danych
- Administratorem danych osobowych jest [pełna nazwa spółki] z siedzibą w [adres], wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem [KRS], NIP: [NIP], REGON: [REGON], dalej Administrator albo Operator.
- Kontakt w sprawach danych osobowych jest możliwy pod adresem [adres e-mail do kontaktu], przez formularz kontaktowy w Platformie albo przez inne kanały wskazane w Platformie.
- Administrator przetwarza dane zgodnie z RODO, ustawą o ochronie danych osobowych, ustawą o świadczeniu usług drogą elektroniczną, ustawą o prawach konsumenta oraz właściwymi przepisami polskimi i unijnymi.
§2. Kategorie przetwarzanych danych
- W związku z Kontem Administrator może przetwarzać adres e-mail, hasło w zabezpieczonej formie, imię i nazwisko albo nazwę wyświetlaną, avatar, numer telefonu, status weryfikacji, rolę, identyfikator publiczny, ustawienia prywatności i daty aktywności.
- W związku z profilami profesjonalistów, studiów i zespołów Administrator może przetwarzać opisy, specjalizacje, lokalizacje, portfolio, zdjęcia, usługi, cenniki, dostępność, wyposażenie, linki, social media, role członków zespołu, dane właścicieli i statystyki profilu.
- W związku z Ofertami, zleceniami i aplikacjami Administrator może przetwarzać tytuły, opisy, kategorie, typy projektów, budżety, ceny, terminy, wymagania, załączniki, statusy aplikacji, odpowiedzi, negocjacje i informacje o aktywności.
- W związku z Rezerwacjami Administrator może przetwarzać dane Klienta, Usługodawcy, studia, profesjonalisty lub zespołu, nazwę usługi, datę i godzinę, status, cenę, zaliczkę, dopłatę, notatki, identyfikatory płatności i dane kontaktowe potrzebne do realizacji świadczenia.
- W związku z komunikacją Administrator może przetwarzać treść wiadomości, dane nadawcy i odbiorcy, datę wysłania, status odczytania oraz powiązania z rezerwacją, zleceniem, aplikacją, zespołem lub współpracą.
- W związku z plikami i dokumentami Administrator może przetwarzać pliki, nazwy plików, typy plików, komentarze, dane autora, dane dostępu oraz informacje techniczne dotyczące przechowywania.
- W związku z bezpieczeństwem Administrator może przetwarzać adres IP, dane urządzenia i przeglądarki, dane sesji, próby logowania, tokeny techniczne, dane 2FA w zabezpieczonej formie oraz logi aktywności.
§3. Rozliczenia i przyszłe integracje płatnicze
- W MVP Administrator może przetwarzać deklarowany status bezpośredniego rozliczenia Rezerwacji, kwotę i informacje przekazane przez strony w związku z jej przebiegiem. Administrator nie otrzymuje danych instrumentu płatniczego użytego poza Platformą.
- Jeżeli integracja Stripe zostanie w przyszłości uruchomiona, Administrator może przetwarzać identyfikatory klienta Stripe, konta Stripe Connect, sesji Checkout lub PaymentIntent oraz statusy operacji w zakresie opisanym przed uruchomieniem tej funkcji.
- Jeżeli integracja Stripe zostanie w przyszłości uruchomiona, dane instrumentów płatniczych i dane wymagane do weryfikacji Stripe Connect będą przetwarzane zgodnie z zasadami Stripe, który może działać jako niezależny administrator danych albo podmiot przetwarzający zależnie od operacji.
§4. Google Calendar i integracje
- Po dobrowolnym połączeniu Google Calendar Administrator może przetwarzać informację o połączeniu, adres e-mail kalendarza, identyfikator kalendarza, token dostępowy, token odświeżający, datę wygaśnięcia tokenów, status synchronizacji, błędy synchronizacji oraz dane zajętości i wydarzeń w zakresie potrzebnym do funkcji kalendarza.
- Użytkownik może odłączyć Google Calendar w Platformie. Po odłączeniu Administrator usuwa lub dezaktywuje tokeny dostępu, chyba że dalsze przechowywanie określonych danych jest wymagane przez prawo, bezpieczeństwo, rozliczenia lub ochronę roszczeń.
§5. Cele i podstawy prawne
- Dane są przetwarzane w celu utworzenia i prowadzenia Konta, publikowania profili i Ofert, obsługi rezerwacji, zleceń, aplikacji, zespołów, komunikacji, opinii, plików, powiadomień i supportu. Podstawą jest art. 6 ust. 1 lit. b RODO.
- Dane są przetwarzane w celu zapisania statusu bezpośredniego rozliczenia Rezerwacji, obsługi zgłoszeń oraz obowiązków księgowych i podatkowych Administratora. Podstawą jest art. 6 ust. 1 lit. b i c RODO.
- Dane są przetwarzane w celu bezpieczeństwa, przeciwdziałania oszustwom, spamowi, naruszeniom Regulaminu i nadużyciom. Podstawą jest art. 6 ust. 1 lit. f RODO.
- Dane mogą być przetwarzane w celu marketingu, newslettera lub komunikacji handlowej, jeżeli Użytkownik wyraził zgodę albo gdy przetwarzanie jest dopuszczalne na podstawie uzasadnionego interesu Administratora.
- Dane są przetwarzane w celu wykonania obowiązków prawnych, obsługi reklamacji, zgłoszeń, DSA, roszczeń, podatków i księgowości. Podstawą jest art. 6 ust. 1 lit. c lub f RODO.
§6. Dane publiczne i widoczne dla innych Użytkowników
- Część danych może być publiczna lub widoczna dla innych Użytkowników, jeżeli wynika to z funkcji Platformy. Dotyczy to w szczególności nazwy profilu, zdjęcia, opisu, lokalizacji, specjalizacji, portfolio, cen, opinii, ocen, liczby opinii, dostępności i linków podanych przez Użytkownika.
- Dane związane z Rezerwacją, zleceniem, zespołem albo współpracą mogą być widoczne dla stron tej relacji oraz osób uprawnionych w ramach zespołu, supportu lub administracji Platformy.
§7. Odbiorcy danych i transfer poza EOG
- Odbiorcami danych mogą być dostawcy hostingu, baz danych, przechowywania plików, poczty e-mail, SMS, push, analityki, diagnostyki, bezpieczeństwa, księgowości, prawa, administracji oraz usług połączonych przez Użytkownika, w szczególności Google. Stripe może zostać odbiorcą danych wyłącznie, jeżeli integracja płatnicza zostanie w przyszłości uruchomiona i Użytkownik z niej skorzysta.
- Dane mogą być ujawniane innym Użytkownikom w zakresie funkcji Platformy oraz uprawnionym organom publicznym, jeżeli wymagają tego przepisy prawa.
- Dane mogą być przekazywane poza Europejski Obszar Gospodarczy wyłącznie na podstawach przewidzianych przez RODO, w szczególności decyzji stwierdzającej odpowiedni stopień ochrony, standardowych klauzul umownych lub innych właściwych zabezpieczeń.
- Administrator nie sprzedaje danych osobowych Użytkowników.
§8. Okres przechowywania
- Dane Konta są przechowywane przez okres korzystania z Konta, a po jego usunięciu przez okres potrzebny do wykonania obowiązków prawnych, obsługi sporów, reklamacji, rozliczeń, bezpieczeństwa i roszczeń.
- Dane o deklarowanym statusie rozliczenia Rezerwacji, dane podatkowe, księgowe, dokumenty sprzedaży i dane sporów są przechowywane przez okres wymagany prawem oraz przez okres przedawnienia roszczeń. Jeżeli integracja płatnicza zostanie w przyszłości uruchomiona, dane wypłat, zwrotów i chargebacków będą przechowywane na zasadach opisanych przed jej uruchomieniem.
- Dane przetwarzane na podstawie zgody są przechowywane do czasu jej cofnięcia, chyba że istnieje inna podstawa prawna dalszego przetwarzania.
- Logi techniczne, dane bezpieczeństwa i dane zgłoszeń są przechowywane przez okres adekwatny do celu bezpieczeństwa, wykrywania nadużyć, obsługi zgłoszeń i ochrony roszczeń.
§9. Prawa Użytkownika
- Użytkownikowi przysługuje prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu, cofnięcia zgody oraz wniesienia skargi do organu nadzorczego.
- Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed cofnięciem. Żądanie usunięcia danych może nie obejmować danych, których dalsze przechowywanie jest wymagane przez prawo, rozliczenia, bezpieczeństwo, spory albo roszczenia.
- W celu realizacji praw Użytkownik może skontaktować się z Administratorem pod adresem [adres e-mail do kontaktu]. Administrator może poprosić o potwierdzenie tożsamości, jeżeli jest to konieczne dla ochrony danych.
§10. Profilowanie, ranking i automatyczne mechanizmy
- Platforma może stosować automatyczne mechanizmy wspierające sortowanie wyników, rekomendacje, wykrywanie nadużyć, bezpieczeństwo kont, przeciwdziałanie spamowi, analizę aktywności i dopasowanie Ofert.
- Mechanizmy te nie służą do podejmowania decyzji wywołujących wobec Użytkownika skutki prawne lub podobnie istotnie na niego wpływających, chyba że jest to dopuszczalne na podstawie prawa i Użytkownik otrzyma wymagane informacje.
§11. Bezpieczeństwo, dzieci i zmiany Polityki
- Administrator stosuje środki techniczne i organizacyjne, w tym kontrolę dostępu, zabezpieczenia sesji, szyfrowanie lub zabezpieczenie wybranych danych, ograniczenia dostępu administracyjnego, kopie zapasowe, monitoring bezpieczeństwa i uwierzytelnianie dwuskładnikowe, jeżeli jest aktywne albo wymagane.
- Platforma nie jest przeznaczona dla dzieci poniżej wieku wymaganego przez prawo do samodzielnego korzystania z usług społeczeństwa informacyjnego. Osoba niepełnoletnia może korzystać z Platformy wyłącznie w zakresie dopuszczalnym przez prawo.
- Administrator może zmienić Politykę prywatności w przypadku zmiany prawa, funkcji Platformy, dostawców, sposobu przetwarzania danych albo konieczności doprecyzowania informacji przekazywanych Użytkownikom.
Powiązane dokumenty
Pytania dotyczące dokumentów można kierować na adres kontakt@grajli.pl.