Polityka prywatności
**Wersja 1.0** | **Data wejścia w życie: [do uzupełnienia]**
1. Administrator danych
Administratorem Twoich danych osobowych jest **GastroBridge**, z siedzibą w **[ADRES, Reykjavík, Islandia]**, kennitala: **[KENNITALA]** ("Administrator", "my").
Kontakt w sprawach ochrony danych: **info@gastrobridge.com**
2. Jakie dane zbieramy
2.1 Dane konta użytkownika
Imię i nazwisko, adres e-mail, numer telefonu (opcjonalny), hasło (przechowywane wyłącznie jako hash kryptograficzny w systemie Firebase Authentication - Administrator nie ma dostępu do haseł w postaci jawnej).
2.2 Dane organizacji
Nazwa prawna firmy, kennitala (numer identyfikacyjny firmy), numer VAT (VSK), adres siedziby, adres dostawy, adres magazynu, numer rachunku bankowego (IBAN), adres e-mail organizacji, numer telefonu organizacji, adres e-mail do faktur, warunki płatności, konfiguracja wysyłki.
2.3 Dane operacyjne
Historia logowań, konfiguracje konta, działania wykonywane w panelu (np. składanie zamówień, zarządzanie katalogiem), metadane zamówień i zapytań ofertowych.
2.4 Dane rozliczeniowe
Informacje o subskrypcji, historia płatności za usługi Serwisu, dane fakturowe dotyczące subskrypcji. Płatności są przetwarzane przez Stripe - Administrator nie przechowuje pełnych danych kart płatniczych.
2.5 Dane techniczne
Adres IP, nagłówki przeglądarki (user agent), pliki cookie, logi błędów, dane z Google Analytics (jeżeli wyrazisz zgodę - patrz sekcja 9).
3. Cele i podstawy prawne przetwarzania
Przetwarzanie odbywa się na podstawie Rozporządzenia (UE) 2016/679 (RODO), obowiązującego w Islandii na mocy Umowy o Europejskim Obszarze Gospodarczym, oraz islandzkiej ustawy nr 90/2018 o ochronie danych osobowych (lög um persónuvernd og vinnslu persónuupplýsinga).
| Cel | Podstawa prawna | Opis |
|---|---|---|
| Świadczenie usługi | art. 6 ust. 1 lit. b RODO | Wykonanie umowy - rejestracja konta, obsługa zamówień, komunikacja ze Sprzedającymi, zarządzanie katalogiem |
| Rozliczenia i podatki | art. 6 ust. 1 lit. c RODO | Obowiązek prawny - wystawianie faktur za usługi Serwisu (subskrypcje), prowadzenie ksiąg rachunkowych Administratora, realizacja obowiązków podatkowych Administratora |
| Bezpieczeństwo i zapobieganie nadużyciom | art. 6 ust. 1 lit. f RODO | Prawnie uzasadniony interes - ochrona przed nieautoryzowanym dostępem, wykrywanie nadużyć, logi bezpieczeństwa |
| Analityka i ulepszanie usługi | art. 6 ust. 1 lit. a RODO | Zgoda - Google Analytics, pomiar wydajności, analiza użytkowania (tylko po wyrażeniu zgody przez cookie consent) |
| Marketing własnych usług | art. 6 ust. 1 lit. a RODO | Zgoda - newsletter, informacje o nowych funkcjach, oferty (tylko po wyrażeniu dobrowolnej zgody, odwołalnej w każdym czasie) |
4. Odbiorcy danych
Twoje dane mogą być udostępniane następującym kategoriom odbiorców, wyłącznie w zakresie niezbędnym do realizacji celów opisanych w sekcji 3:
| Odbiorca | Cel | Siedziba | Region przechowywania danych |
|---|---|---|---|
| Google Cloud Platform | Hosting aplikacji (Cloud Run) | USA | EU (europe-west1 / europe-north1) |
| Firebase Authentication (Google) | Uwierzytelnianie użytkowników | USA | EU |
| MongoDB Atlas (MongoDB Inc.) | Baza danych aplikacji | USA | EU (europe-west1) |
| SendGrid (Twilio Inc.) | Wysyłka e-maili transakcyjnych | USA | EU |
| Stripe Inc. | Obsługa płatności i subskrypcji | USA | EU |
| Google Analytics (Google LLC) | Analityka użytkowania (za zgodą) | USA | EU |
Wszystkie podmioty przetwarzają dane na podstawie umów powierzenia przetwarzania i zgodnie z instrukcjami Administratora.
Dodatkowo dane mogą być udostępnione organom publicznym uprawnionym na mocy przepisów prawa (np. Skatturinn, Ríkisskattstjóri).
Administrator nie sprzedaje danych osobowych i nie udostępnia ich w celach reklamowych podmiotów trzecich.
5. Przekazywanie danych poza EOG
Podmioty przetwarzające wymienione w sekcji 4 mają siedziby w Stanach Zjednoczonych. Dane są przechowywane na serwerach w regionie EU, jednak z uwagi na siedzibę podmiotów przetwarzających może dochodzić do dostępu do danych z terytorium USA.
Islandia jest członkiem Europejskiego Obszaru Gospodarczego (EOG). Podstawa prawna przekazywania danych do USA: decyzja Komisji Europejskiej o adekwatności w ramach EU-US Data Privacy Framework (decyzja z 10 lipca 2023 r.), przyjęta również przez Wspólny Komitet EOG. Wszystkie wymienione podmioty są certyfikowane w ramach tego programu.
Dodatkowo, jako zabezpieczenie uzupełniające, stosujemy standardowe klauzule umowne UE (SCC) z podmiotami przetwarzającymi.
6. Okresy przechowywania danych
| Kategoria danych | Okres przechowywania | Podstawa |
|---|---|---|
| Dane konta | Przez czas trwania umowy + 4 lata po zakończeniu | Ogólny okres przedawnienia roszczeń w prawie islandzkim (lög nr 150/2007) |
| Dane fakturowe i podatkowe | 7 lat od końca roku podatkowego | Islandzkie prawo podatkowe (lög nr 90/2003, art. 40) |
| Logi techniczne i bezpieczeństwa | Do 12 miesięcy | Prawnie uzasadniony interes |
| Kopie zapasowe | Do 30 dni | Ciągłość działania |
| Dane marketingowe | Do wycofania zgody | Zgoda użytkownika |
| Dane analityczne (Google Analytics) | Do 14 miesięcy | Konfiguracja GA4, zgoda użytkownika |
Po upływie okresów przechowywania dane są usuwane lub anonimizowane.
7. Twoje prawa
Na podstawie RODO oraz islandzkiej ustawy nr 90/2018 przysługują Ci następujące prawa:
- **Dostęp** - możesz żądać informacji o przetwarzanych danych (art. 15)
- **Sprostowanie** - możesz poprawić nieprawidłowe dane (art. 16)
- **Usunięcie** - możesz żądać usunięcia danych, z zastrzeżeniem obowiązków prawnych (art. 17). GastroBridge udostępnia funkcję samodzielnego usunięcia konta w ustawieniach aplikacji z potwierdzeniem e-mail.
- **Ograniczenie przetwarzania** - możesz żądać ograniczenia w określonych sytuacjach (art. 18)
- **Przenoszenie danych** - możesz otrzymać dane w ustrukturyzowanym formacie (art. 20)
- **Sprzeciw** - możesz wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21)
- **Wycofanie zgody** - możesz wycofać zgodę w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania przed wycofaniem (art. 7 ust. 3)
Wnioski dotyczące praw możesz kierować na adres: **info@gastrobridge.com**. Odpowiemy w ciągu 30 dni.
Skarga do organu nadzorczego
Masz prawo złożyć skargę do islandzkiego organu ochrony danych osobowych:
**Persónuvernd** Rauðarárstígur 10, 105 Reykjavík, Islandia www.personuvernd.is
Jeżeli masz siedzibę w innym państwie EOG, możesz również złożyć skargę do organu nadzorczego w swoim kraju.
8. Bezpieczeństwo danych
Stosujemy następujące środki ochrony danych:
- Szyfrowanie transmisji (TLS/HTTPS)
- Szyfrowanie danych w spoczynku (encryption at rest)
- Kontrola dostępu oparta na rolach (RBAC)
- Hasła przechowywane wyłącznie jako hashe kryptograficzne (Firebase Auth)
- Regularne kopie zapasowe
- Monitorowanie i aktualizacje bezpieczeństwa
9. Pliki cookie
9.1 Niezbędne (nie wymagają zgody)
| Cookie | Cel | Czas życia |
|---|---|---|
| __session | Utrzymanie sesji użytkownika | Sesja |
| gb_cookie_consent | Przechowywanie preferencji cookie | 12 miesięcy |
9.2 Analityczne (wymagają zgody)
| Cookie | Cel | Czas życia |
|---|---|---|
| _ga | Google Analytics - identyfikacja użytkownika | 14 miesięcy |
| _ga_[ID] | Google Analytics - stan sesji | 14 miesięcy |
Cookies analityczne są ładowane wyłącznie po wyrażeniu zgody poprzez baner cookie consent. Możesz zmienić swoje preferencje w dowolnym momencie klikając "Ustawienia cookies" w stopce strony.
10. Dane dzieci
Serwis GastroBridge jest platformą B2B przeznaczoną dla podmiotów gospodarczych. Nie jest kierowany do osób poniżej 16 lat i świadomie nie zbieramy danych od takich osób.
11. Zmiany Polityki prywatności
Zastrzegamy prawo do zmiany niniejszej Polityki. O istotnych zmianach poinformujemy poprzez:
- Powiadomienie w Serwisie
- Wiadomość e-mail na adres powiązany z kontem
Istotne zmiany (np. nowe cele przetwarzania, nowi odbiorcy danych) mogą wymagać ponownego wyrażenia zgody. Kontynuowanie korzystania z Serwisu po wejściu w życie drobnych zmian redakcyjnych oznacza ich akceptację.
Aktualna wersja Polityki jest zawsze dostępna pod adresem: [URL]/privacy
12. Kontakt
**GastroBridge** E-mail: **info@gastrobridge.com**