Jak to działa O nas Panel właściciela Zacznij testować

Polityka prywatności

Zasady przetwarzania danych osobowych w aplikacji vitamy.app

Data wejścia w życie: 1 listopada 2025 r.

§1 Wprowadzenie

  1. Niniejsza Polityka Prywatności (dalej: „Polityka") opisuje zasady przetwarzania danych osobowych w związku z korzystaniem z aplikacji Vitamy (dalej: „Aplikacja"), dostępnej pod adresem https://vitamy.app.
  2. Polityka stanowi realizację obowiązku informacyjnego wynikającego z art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO").
  3. Terminy pisane wielką literą, które nie zostały zdefiniowane w Polityce, mają znaczenie nadane im w Regulaminie Aplikacji dostępnym pod adresem vitamy.app/regulamin.

§2 Administrator danych

  1. Administratorem danych osobowych, o których mowa w § 4 ust. 1 poniżej (dane Usługobiorców oraz osób odwiedzających stronę https://vitamy.app), jest:
    Tomasz Nowak
    ul. Tomaszowska 108, 93-643 Łódź
    tel: 538 635 001
    prowadzący działalność nierejestrowaną w rozumieniu art. 5 ust. 1 ustawy — Prawo przedsiębiorców

    (dalej: „Administrator" lub „Vitamy").
  2. Kontakt z Administratorem w sprawach dotyczących przetwarzania danych osobowych jest możliwy za pośrednictwem:
    1. poczty elektronicznej — pod adresem: kontakt@vitamy.app,
    2. poczty tradycyjnej — pod adresem wskazanym w ust. 1 powyżej.
  3. Administrator nie wyznaczył Inspektora Ochrony Danych. Obowiązek wyznaczenia IOD nie powstaje wobec Administratora na podstawie art. 37 ust. 1 RODO.

§3 Role Administratora i Podmiotu przetwarzającego

  1. W relacji z Usługobiorcami (właścicielami obiektów noclegowych korzystającymi z Aplikacji w ramach zawartej Umowy), Administrator działa jako administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO.
  2. W relacji z Gośćmi Usługobiorców (osobami, którym Usługobiorca udostępnia funkcjonalności Aplikacji w ramach świadczenia usługi noclegowej — np. poprzez kod QR), Administrator działa jako podmiot przetwarzający (procesor) w rozumieniu art. 4 pkt 8 RODO. Administratorem danych osobowych Gości jest Usługobiorca (właściciel obiektu), który powierza Administratorowi ich przetwarzanie na zasadach wynikających z Regulaminu oraz odrębnej umowy powierzenia, jeżeli zostanie zawarta.
  3. Postanowienia niniejszej Polityki dotyczą głównie relacji, w której Vitamy działa jako Administrator. Dla roli Podmiotu przetwarzającego szczegółowe zasady przetwarzania określa umowa powierzenia lub, w jej braku, standardowe warunki powierzenia stosowane przez Administratora na podstawie art. 28 RODO.

§4 Zakres, cele i podstawy prawne przetwarzania danych

4.1. Usługobiorcy (właściciele obiektów)

W związku z zawarciem i wykonaniem Umowy Administrator przetwarza następujące kategorie danych Usługobiorców:

Kategoria danychPrzykłady
Dane kontaktowe i identyfikacyjneimię, nazwisko, adres e-mail, numer telefonu
Dane uwierzytelniającehasło (w postaci zahaszowanej), tokeny sesji, kody weryfikacji dwuskładnikowej (SMS MFA)
Dane o obiekcie noclegowymnazwa obiektu, adres, opis, zdjęcia, konfiguracja usług i zasobów
Dane rozliczeniowewybrany plan subskrypcji, historia płatności, metoda płatności, identyfikatory transakcji
Dane techniczneadres IP, data i czas ostatniego logowania, typ urządzenia, logi systemowe
Korespondencjawiadomości kierowane do Administratora (e-mail, zgłoszenia)

Cele i podstawy prawne przetwarzania:

  1. Zawarcie i wykonanie Umowy (art. 6 ust. 1 lit. b RODO) — świadczenie Usługi, utrzymanie Konta, obsługa płatności, wsparcie techniczne.
  2. Realizacja obowiązków prawnych (art. 6 ust. 1 lit. c RODO) — wystawianie rachunków, prowadzenie dokumentacji rozliczeniowej, odpowiedzi na żądania uprawnionych organów.
  3. Uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) — zapewnienie bezpieczeństwa Aplikacji, zapobieganie nadużyciom, prowadzenie analityki technicznej w celu usprawniania Aplikacji, dochodzenie i obrona przed roszczeniami.

4.2. Goście Usługobiorców

W zakresie, w jakim Administrator przetwarza dane Gości jako Podmiot przetwarzający na zlecenie Usługobiorcy, przetwarzane są w szczególności:

Kategoria danychPrzykłady
Dane rezerwacjiimię, nazwisko, adres e-mail, numer telefonu, liczba gości, daty pobytu
Treści komunikacjiwiadomości wysyłane i odbierane za pośrednictwem Aplikacji, zgłoszenia, prośby
Dane o płatnościach Gościawybrana metoda płatności, status płatności, kwota, identyfikator transakcji
Dane z kalendarzy zewnętrznych (iCal)podstawowe informacje o rezerwacji z platform Booking.com, Airbnb itp.
Token dostępujednorazowy lub długoterminowy token magic link umożliwiający Gościowi dostęp do Aplikacji

Podstawą przetwarzania danych Gości przez Administratora jest art. 28 ust. 3 RODO — powierzenie przetwarzania przez Usługobiorcę działającego jako administrator danych Gości. Cele przetwarzania są zgodne z celami wskazanymi przez Usługobiorcę.

4.3. Osoby odwiedzające stronę vitamy.app

Od osób odwiedzających publiczną stronę Aplikacji (w tym strony marketingowe, cennik, demo) Administrator przetwarza:

Kategoria danychPrzykłady
Dane analityczneadres IP (zanonimizowany), typ przeglądarki, system operacyjny, lokalizacja przybliżona (kraj), zdarzenia na stronie
Dane z formularzy kontaktowychimię, adres e-mail, numer telefonu, treść zapytania
Cookies i podobne technologieidentyfikatory sesji, identyfikatory analityczne

Cele i podstawy prawne:

  1. Zgoda (art. 6 ust. 1 lit. a RODO) — w zakresie cookies analitycznych i marketingowych, zapisu do listy mailingowej, zapisania danych z formularza lead.
  2. Uzasadniony interes (art. 6 ust. 1 lit. f RODO) — prowadzenie statystyk ruchu w celach rozwoju produktu i marketingu, zapewnienie bezpieczeństwa strony.
  3. Podjęcie działań przed zawarciem umowy (art. 6 ust. 1 lit. b RODO) — w zakresie obsługi zapytań kontaktowych dotyczących Usługi.

§5 Odbiorcy danych (podmioty przetwarzające)

  1. W celu świadczenia Usługi Administrator korzysta z następujących podmiotów przetwarzających, którzy przetwarzają dane osobowe wyłącznie na udokumentowane polecenie Administratora i w zakresie niezbędnym do realizacji powierzonych im zadań:
DostawcaFunkcjaLokalizacja
Supabase Inc.Baza danych, uwierzytelnianie, przechowywanie plików, komunikacja czasu rzeczywistegoRegion UE (Frankfurt)
Railway Corp.Hosting aplikacjiRegion UE
Resend (Resend Inc.)Dostarczanie wiadomości e-mail transakcyjnychStany Zjednoczone
PostHog Inc.Analityka użytkowania (konfiguracja EU)Unia Europejska
Stripe Payments Europe Ltd.Obsługa płatności cyklicznychIrlandia (UE)
PayU S.A.Obsługa płatności online (BLIK, szybki przelew)Polska
ComVision sp. z o.o. (SMSAPI.pl)Wysyłka wiadomości SMSPolska
Google LLCDostarczanie czcionek (Google Fonts)Stany Zjednoczone
  1. 2.Administrator może także przekazywać dane osobowe podmiotom uprawnionym do ich uzyskania na podstawie obowiązujących przepisów prawa (np. organom ścigania, sądom, organom podatkowym), w zakresie i w celu wynikającym z tych przepisów.
  2. 3.Dane osobowe Usługobiorców nie są sprzedawane ani udostępniane podmiotom trzecim w celach marketingowych.

§6 Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

  1. Część podmiotów przetwarzających wskazanych w § 5 powyżej (w szczególności Resend oraz Google) posiada siedzibę w Stanach Zjednoczonych.
  2. Przekazanie danych do tych podmiotów odbywa się na podstawie:
    1. Standardowych klauzul umownych (Standard Contractual Clauses) przyjętych przez Komisję Europejską — na podstawie art. 46 ust. 2 lit. c RODO,
    2. Decyzji o adekwatnym stopniu ochrony danych Komisji Europejskiej dotyczącej programu EU-U.S. Data Privacy Framework (decyzja z dnia 10 lipca 2023 r.) — w zakresie, w jakim odbiorca przystąpił do tego programu.
  3. Administrator dokłada starań, aby przekazywanie danych poza EOG odbywało się wyłącznie w niezbędnym zakresie, a tam, gdzie jest to możliwe, wybiera dostawców posiadających infrastrukturę zlokalizowaną w UE.

§7 Okres przechowywania danych

  1. Dane osobowe są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane, a następnie są usuwane lub anonimizowane, z zastrzeżeniem obowiązujących przepisów prawa.
  2. Szczegółowe okresy przechowywania:
Kategoria danychOkres przechowywania
Dane Usługobiorcy (Konto)Przez okres trwania Umowy oraz 90 dni po jej rozwiązaniu (okres archiwizacji umożliwiający przywrócenie Konta i eksport danych)
Dane rozliczeniowe UsługobiorcyPrzez okres wymagany przepisami podatkowymi i rachunkowymi — co do zasady 5 lat od końca roku, w którym dokonano rozliczenia
Dane Gości (przetwarzane w imieniu Usługobiorcy)Zgodnie z instrukcjami Usługobiorcy oraz przez czas trwania Umowy; po zakończeniu dane usuwane zgodnie z § 10 ust. 9 Regulaminu
Dane z formularzy kontaktowychDo czasu zakończenia obsługi zapytania oraz przez okres 12 miesięcy po tym, chyba że obrona roszczeń wymaga dłuższego okresu
Logi systemowe i dane bezpieczeństwaDo 12 miesięcy
Dane analityczne (PostHog)Do 12 miesięcy od zebrania
Dane przetwarzane na podstawie zgodyDo czasu wycofania zgody

§8 Prawa osoby, której dane dotyczą

  1. Każdej osobie, której dane są przetwarzane przez Administratora, przysługują następujące prawa:
    1. prawo dostępu do danych oraz uzyskania ich kopii (art. 15 RODO);
    2. prawo do sprostowania danych nieprawidłowych lub niekompletnych (art. 16 RODO);
    3. prawo do usunięcia danych („prawo do bycia zapomnianym") — w przypadkach określonych w art. 17 RODO;
    4. prawo do ograniczenia przetwarzania (art. 18 RODO);
    5. prawo do przenoszenia danych — otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przekazania ich innemu administratorowi (art. 20 RODO);
    6. prawo do sprzeciwu wobec przetwarzania danych opartego na uzasadnionym interesie Administratora (art. 21 RODO);
    7. prawo do wycofania zgody — w przypadkach, gdy przetwarzanie odbywa się na podstawie zgody, bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody (art. 7 ust. 3 RODO);
    8. prawo do wniesienia skargi do organu nadzorczego — w Polsce: Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  2. W celu skorzystania ze swoich praw należy skontaktować się z Administratorem w sposób wskazany w § 2 ust. 2 Polityki. Administrator udziela odpowiedzi bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania, z możliwością przedłużenia tego terminu o kolejne dwa miesiące w przypadkach szczególnie skomplikowanych.
  3. W odniesieniu do danych Gości, dla których Administratorem jest Usługobiorca (właściciel obiektu noclegowego), żądania związane z realizacją praw należy kierować w pierwszej kolejności do Usługobiorcy. Administrator, w roli Podmiotu przetwarzającego, wspiera Usługobiorcę w realizacji jego obowiązków wynikających z RODO.

§9 Pliki cookies i podobne technologie

  1. Aplikacja oraz strona https://vitamy.app wykorzystują pliki cookies oraz podobne technologie (m.in. localStorage, sessionStorage) w następujących celach:
    1. cookies niezbędne — zapewnienie prawidłowego działania Aplikacji, sesji zalogowania, preferencji językowych. Cookies te nie wymagają zgody i nie mogą zostać wyłączone bez wpływu na funkcjonalność Aplikacji (art. 173 ust. 3 ustawy z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne).
    2. cookies analityczne — gromadzenie anonimowych (lub pseudonimizowanych) informacji o sposobie korzystania z Aplikacji, w celu rozwoju produktu. Wykorzystywane wyłącznie za zgodą osoby odwiedzającej (PostHog).
  2. Użytkownik może w każdej chwili zmienić ustawienia cookies w swojej przeglądarce internetowej — w tym zablokować lub usunąć cookies. Wyłączenie cookies niezbędnych może uniemożliwić prawidłowe działanie Aplikacji.

§10 Automatyczne podejmowanie decyzji i profilowanie

Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec osób, których dane dotyczą, skutki prawne lub w podobny sposób istotnie na nie wpływały (art. 22 RODO).

§11 Bezpieczeństwo danych

  1. Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych, w szczególności:
    1. szyfrowanie połączeń z Aplikacją (SSL/TLS);
    2. szyfrowane przechowywanie haseł (hashing);
    3. kontrolę dostępu opartą na rolach (Role-Based Access Control);
    4. wieloskładnikowe uwierzytelnianie dla kont administracyjnych;
    5. regularne kopie zapasowe;
    6. logowanie zdarzeń bezpieczeństwa.
  2. Mimo stosowania powyższych środków Administrator informuje, że żaden sposób przekazywania danych przez Internet ani sposób przechowywania danych w formie elektronicznej nie jest w pełni bezpieczny. Administrator dokłada wszelkich starań, aby chronić dane osobowe, jednak nie może zagwarantować ich absolutnego bezpieczeństwa.

§12 Zmiany Polityki Prywatności

  1. Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce Prywatności w przypadku zmiany przepisów prawa, zmiany funkcjonalności Aplikacji lub pojawienia się nowych dostawców usług.
  2. O istotnych zmianach Polityki Administrator poinformuje Usługobiorców za pośrednictwem poczty elektronicznej lub komunikatu w Aplikacji z wyprzedzeniem nie krótszym niż 7 dni przed wejściem zmian w życie.
  3. Aktualna wersja Polityki jest każdorazowo dostępna pod adresem vitamy.app/polityka-prywatnosci.

§13 Kontakt

W sprawach dotyczących przetwarzania danych osobowych można kontaktować się z Administratorem:

  • e-mail: kontakt@vitamy.app
  • adres: ul. Tomaszowska 108, 93-643 Łódź
Regulamin Strona główna