Polityka Prywatności serwisu ProsteKarnety

Wersja 1.0 — obowiązuje od dnia 01.03.2026

§1. Administrator danych osobowych

1. Administratorem danych osobowych jest Black Ship Code Sp. z o.o. z siedzibą ul. Domaniewska 37/30.1, 02-672 Warszawa, KRS: 0001223119, NIP: 5214152425, REGON: 543967581, kapitał zakładowy: 6 000 zł (dalej: Administrator).
2. Kontakt z Administratorem w sprawach ochrony danych osobowych jest możliwy pod adresem e-mail: kontakt@prostekarnety.pl.
3. Administrator nie wyznaczył Inspektora Ochrony Danych. W razie zmiany tej decyzji informacja zostanie niezwłocznie opublikowana w niniejszej Polityce.

§2. Zakres stosowania

1. Niniejsza Polityka Prywatności dotyczy przetwarzania danych osobowych w ramach serwisu ProsteKarnety, obejmującego:
   1. stronę internetową prostekarnety.pl,
   2. aplikację mobilną ProsteKarnety (Android i iOS),
   3. panel zarządzania (Web Dashboard).
2. Polityka dotyczy wszystkich Użytkowników Serwisu, niezależnie od pełnionej funkcji (Klient, Pracownik, Administrator, Właściciel Organizacji).
3. Pojęcia pisane wielką literą, niezdefiniowane w niniejszej Polityce, mają znaczenie nadane im w Regulaminie serwisu ProsteKarnety.

§3. Cele i podstawy prawne przetwarzania danych

3.1. Rejestracja i obsługa Konta

Kategoria danych	Podstawa prawna	Cel
Adres e-mail	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Utworzenie Konta, logowanie, komunikacja związana z usługą (potwierdzenie rejestracji, resetowanie hasła, powiadomienia systemowe)
Hasło (zaszyfrowane algorytmem bcrypt)	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Uwierzytelnienie Użytkownika; hasło przechowywane jest wyłącznie w postaci nieodwracalnego skrótu kryptograficznego
Nazwa wyświetlana (imię i nazwisko lub pseudonim)	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Identyfikacja Użytkownika w Serwisie (np. na liście członków Organizacji)
Informacja o akceptacji Regulaminu i Polityki Prywatności (znacznik logiczny + data)	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Potwierdzenie wyrażenia zgody na warunki korzystania z Serwisu; data ustawiana automatycznie przez serwer bazy danych

3.2. Funkcjonowanie Organizacji

Kategoria danych	Podstawa prawna	Cel
Nazwa Organizacji, opis	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Utworzenie i identyfikacja Organizacji w Serwisie
Przynależność Użytkownika do Organizacji i pełniona rola	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Zarządzanie dostępem i uprawnieniami w ramach Organizacji
Dane zaproszenia (adres e-mail zaproszonej osoby, rola)	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Wysłanie i obsługa zaproszenia do Organizacji

3.3. Karnety i ich użycia

Kategoria danych	Podstawa prawna	Cel
Dane karnetu (typ, status, data ważności, limit użyć)	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Świadczenie podstawowej usługi Serwisu – zarządzanie karnetami
Historia użyć karnetu (data i godzina skanowania)	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Rejestrowanie korzystania z karnetu, generowanie raportów dla Organizacji
Plik PDF karnetu	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Umożliwienie pobrania lub wydruku karnetu

3.4. Analityka i raporty

Kategoria danych	Podstawa prawna	Cel
Zagregowane dane statystyczne (liczba karnetów, użyć, aktywnych członków)	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Dostarczanie raportów i analityki Właścicielom i Administratorom Organizacji

Dane analityczne prezentowane w Panelu mają charakter zagregowany i nie umożliwiają bezpośredniej identyfikacji poszczególnych osób.

3.5. Powiadomienia

Kategoria danych	Podstawa prawna	Cel
Identyfikator Użytkownika (UUID), identyfikator Organizacji	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Dostarczanie powiadomień w czasie rzeczywistym (np. o nowym karnecie, zeskanowaniu karnetu)

Powiadomienia przesyłane są za pośrednictwem szyfrowanego połączenia WebSocket. Treść powiadomień nie zawiera danych osobowych wykraczających poza identyfikatory niezbędne do kierowania komunikatów.

3.6. Bezpieczeństwo i utrzymanie Serwisu

Kategoria danych	Podstawa prawna	Cel
Logi systemowe (adres IP, identyfikator żądania, znaczniki czasowe)	Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes (bezpieczeństwo systemów)	Wykrywanie i zapobieganie nieautoryzowanemu dostępowi, diagnostyka błędów

Logi systemowe nie zawierają haseł, tokenów uwierzytelniających ani treści danych osobowych poza adresem IP i identyfikatorami technicznymi. Logi przechowywane są przez maksymalnie 30 dni.

§4. Zasady przetwarzania danych

Administrator stosuje następujące zasady przetwarzania danych osobowych, zgodnie z art. 5 RODO:

1. Zgodność z prawem, rzetelność i przejrzystość – dane przetwarzane są na podstawie wyraźnej podstawy prawnej, a Użytkownik jest informowany o sposobie ich przetwarzania.
2. Ograniczenie celu – dane zbierane są wyłącznie w celach określonych w §3 niniejszej Polityki i nie są przetwarzane w sposób niezgodny z tymi celami.
3. Minimalizacja danych – zbierane są wyłącznie dane niezbędne do realizacji określonego celu. Serwis nie wymaga podania imienia i nazwiska (nazwa wyświetlana jest opcjonalna), nie zbiera danych o lokalizacji, numeru telefonu ani innych danych wykraczających poza zakres opisany w §3.
4. Prawidłowość – Administrator zapewnia mechanizmy umożliwiające Użytkownikom aktualizację swoich danych.
5. Ograniczenie przechowywania – dane przechowywane są nie dłużej niż jest to niezbędne do realizacji celów przetwarzania (szczegóły w §6).
6. Integralność i poufność – dane chronione są odpowiednimi środkami technicznymi i organizacyjnymi (szczegóły w §8).

§5. Prawa osoby, której dane dotyczą

Na podstawie RODO Użytkownikowi przysługują następujące prawa:

5.1. Prawo dostępu do danych (art. 15 RODO)

Użytkownik ma prawo uzyskać potwierdzenie, czy jego dane osobowe są przetwarzane, a jeśli tak – uzyskać do nich dostęp oraz otrzymać ich kopię. Administrator udostępnia dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego w terminie 30 dni od otrzymania żądania.

5.2. Prawo do sprostowania danych (art. 16 RODO)

Użytkownik ma prawo żądać poprawienia nieprawidłowych danych osobowych lub uzupełnienia danych niekompletnych. Nazwę wyświetlaną Użytkownik może zmienić samodzielnie w ustawieniach Konta.

5.3. Prawo do usunięcia danych (art. 17 RODO)

Użytkownik ma prawo żądać usunięcia swoich danych osobowych („prawo do bycia zapomnianym”). Usunięcie obejmuje:

• dane Konta (e-mail, nazwa wyświetlana, hasło),
• członkostwo we wszystkich Organizacjach,
• informację o akceptacji Regulaminu,
• historię użyć karnetów przypisanych do Użytkownika.

Administrator może odmówić usunięcia danych w zakresie, w jakim ich przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, lub do wypełnienia obowiązku prawnego.

5.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)

Użytkownik ma prawo żądać ograniczenia przetwarzania danych w następujących przypadkach:

1. kwestionuje prawidłowość danych – na okres umożliwiający weryfikację,
2. przetwarzanie jest niezgodne z prawem, a Użytkownik sprzeciwia się usunięciu danych,
3. Administrator nie potrzebuje danych, ale są one potrzebne Użytkownikowi do ustalenia, dochodzenia lub obrony roszczeń.

5.5. Prawo do przenoszenia danych (art. 20 RODO)

Użytkownik ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Prawo to dotyczy danych przetwarzanych na podstawie umowy (art. 6 ust. 1 lit. b RODO) w sposób zautomatyzowany.

Eksport obejmuje:

• dane Konta (e-mail, nazwa wyświetlana),
• listę członkostw w Organizacjach i pełnione funkcje,
• dane karnetów i historię ich użyć.

5.6. Prawo do sprzeciwu (art. 21 RODO)

Użytkownik ma prawo wnieść sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f RODO), w szczególności wobec przetwarzania logów systemowych. W przypadku wniesienia sprzeciwu Administrator zaprzestanie przetwarzania danych w tym celu, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw nadrzędnych wobec interesów Użytkownika.

5.7. Prawo do wniesienia skargi

Użytkownik ma prawo złożyć skargę do organu nadzorczego:

5.8. Sposób realizacji praw

W celu skorzystania z powyższych praw należy skontaktować się z Administratorem pod adresem: kontakt@prostekarnety.pl. Administrator weryfikuje tożsamość wnioskodawcy i realizuje żądanie w terminie 30 dni. W przypadkach szczególnie skomplikowanych termin może zostać przedłużony o kolejne 60 dni, o czym Użytkownik zostanie poinformowany.

Realizacja praw jest bezpłatna. W przypadku żądań oczywiście nieuzasadnionych lub nadmiernych Administrator może pobrać rozsądną opłatę, lub odmówić podjęcia działań.

§6. Okres przechowywania danych

Kategoria danych	Okres przechowywania	Uzasadnienie
Dane Konta (e-mail, nazwa wyświetlana, hasło)	Do momentu usunięcia Konta przez Użytkownika	Niezbędne do świadczenia usługi
Informacja o akceptacji Regulaminu	Do momentu usunięcia Konta	Potwierdzenie zawarcia umowy
Dane Organizacji (nazwa, opis)	Do momentu usunięcia Organizacji	Niezbędne do świadczenia usługi
Członkostwo i role	Do momentu usunięcia członkostwa lub Konta	Niezbędne do zarządzania dostępem
Dane karnetów i historia użyć	Do momentu usunięcia Konta lub Organizacji	Niezbędne do świadczenia usługi i raportowania
Pliki PDF karnetów	Do momentu usunięcia karnetu lub Organizacji	Udostępnienie karnetu do pobrania
Logi systemowe (adres IP, identyfikatory żądań)	30 dni	Diagnostyka bezpieczeństwa i błędów

Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane w sposób uniemożliwiający ich przypisanie do konkretnej osoby.

§7. Odbiorcy danych i podmioty przetwarzające

7.1. Udostępnianie danych w ramach Serwisu

1. Nazwa wyświetlana Użytkownika jest widoczna dla innych członków Organizacji, do których Użytkownik należy.
2. Dane o karnetach Klienta są widoczne dla osób posiadających odpowiednie uprawnienia w danej Organizacji (Właściciel, Administrator, Pracownik).
3. Dane Użytkowników jednej Organizacji nie są dostępne dla Użytkowników innych Organizacji (izolacja danych).

7.2. Podmioty przetwarzające

Administrator powierza przetwarzanie danych osobowych następującym kategoriom podmiotów, wyłącznie na podstawie umów powierzenia przetwarzania (art. 28 RODO):

Kategoria podmiotu	Cel powierzenia	Lokalizacja danych
Dostawca infrastruktury serwerowej (hosting)	Przechowywanie i przetwarzanie danych w ramach infrastruktury chmurowej	UE / EOG
Dostawca usług bazodanowych (Supabase)	Przechowywanie danych Użytkowników, uwierzytelnianie	UE / EOG
Dostawca usług cache (Upstash Redis)	Przetwarzanie zdarzeń systemowych, cache danych	UE / EOG
Dostawca usług e-mail transakcyjnych	Wysyłka wiadomości e-mail związanych z obsługą Serwisu (potwierdzenie rejestracji, resetowanie hasła, powiadomienia)	UE / EOG

Aktualna, szczegółowa lista podmiotów trzecich jest dostępna na żądanie pod adresem: kontakt@prostekarnety.pl.

7.3. Przekazywanie danych do państw trzecich

Administrator dokłada starań, aby dane osobowe były przetwarzane wyłącznie na terenie Europejskiego Obszaru Gospodarczego (EOG). W przypadku konieczności przekazania danych poza EOG (np. w związku z korzystaniem z usług podmiotów trzecich), przekazanie odbywa się wyłącznie na podstawie odpowiednich zabezpieczeń przewidzianych w rozdziale V RODO, w szczególności standardowych klauzul umownych zatwierdzonych przez Komisję Europejską.

7.4. Inne przypadki udostępniania danych

Administrator może udostępnić dane osobowe wyłącznie:

1. na żądanie uprawnionych organów państwowych (sądy, prokuratura, policja) – na podstawie obowiązujących przepisów prawa,
2. w celu obrony przed roszczeniami prawnymi.

Administrator nie sprzedaje danych osobowych i nie udostępnia ich podmiotom trzecim w celach marketingowych.

§8. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieuprawnionym dostępem, utratą, zniszczeniem lub ujawnieniem (art. 32 RODO), w tym:

8.1. Środki techniczne

1. Szyfrowanie w transmisji – cała komunikacja pomiędzy klientami (aplikacja mobilna, przeglądarka) a serwerami odbywa się przez szyfrowane połączenia TLS/SSL (HTTPS).
2. Szyfrowanie haseł – hasła przechowywane są wyłącznie w postaci nieodwracalnego skrótu kryptograficznego (bcrypt). Administrator nie ma możliwości odczytania hasła Użytkownika.
3. Tokeny uwierzytelniające – sesje Użytkowników zabezpieczone są tokenami JWT o ograniczonym czasie ważności. Tokeny odświeżające przechowywane są w zaszyfrowanej formie.
4. Kontrola dostępu (RBAC) – system ról i uprawnień zapewnia, że Użytkownicy mają dostęp wyłącznie do danych, do których są upoważnieni.
5. Izolacja danych Organizacji – architektura systemu zapewnia, że dane jednej Organizacji nie są dostępne dla Użytkowników innych Organizacji.
6. Walidacja danych wejściowych – wszystkie dane przesyłane przez Użytkowników podlegają walidacji po stronie serwera w celu zapobiegania atakom typu injection.
7. Bramka API – centralna walidacja uwierzytelnienia i autoryzacji na poziomie bramki API (API Gateway), zanim żądanie dotrze do poszczególnych usług.

8.2. Środki organizacyjne

1. Dostęp do danych produkcyjnych mają wyłącznie upoważnione osoby.
2. Klucze dostępowe i poświadczenia przechowywane są w zmiennych środowiskowych, nie w kodzie źródłowym.
3. Dane osobowe nie są zapisywane w logach systemowych (z wyjątkiem adresów IP niezbędnych do celów bezpieczeństwa).

§9. Pliki cookies i technologie śledzenia

1. Strona internetowa prostekarnety.pl oraz Panel (Web Dashboard) mogą wykorzystywać pliki cookies wyłącznie w celach niezbędnych do prawidłowego funkcjonowania Serwisu (tzw. cookies techniczne).
2. Serwis nie wykorzystuje plików cookies w celach reklamowych, marketingowych ani profilowania.
3. Technologie przechowywania danych w przeglądarce obejmują:
   1. przechowywanie tokenów sesyjnych w pamięci przeglądarki (sessionStorage) – niezbędne do utrzymania sesji zalogowanego Użytkownika w Panelu,
   2. cookies preferencji – zapamiętywanie wybranego języka interfejsu (mogą być wykorzystywane w przyszłości).
4. Użytkownik może zarządzać plikami cookies za pośrednictwem ustawień przeglądarki internetowej. Wyłączenie cookies technicznych może uniemożliwić korzystanie z niektórych funkcji Serwisu.
5. Aplikacja mobilna nie wykorzystuje plików cookies. Tokeny uwierzytelniające przechowywane są w bezpiecznym magazynie systemu operacyjnego (Secure Storage).

§10. Przetwarzanie danych dzieci

1. Serwis nie jest skierowany do osób poniżej 16. roku życia.
2. Administrator nie zbiera świadomie danych osobowych od osób poniżej 16. roku życia.
3. W przypadku stwierdzenia, że dane osoby poniżej 16. roku życia zostały zebrane bez zgody rodzica lub opiekuna prawnego, Administrator niezwłocznie usunie te dane.

§11. Automatyczne podejmowanie decyzji i profilowanie

1. Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywierałyby skutki prawne wobec Użytkownika lub w podobny sposób istotnie na niego wpływały (art. 22 RODO).
2. Reguły karnetów (data ważności, limit użyć) ustalane są przez Organizację, nie przez algorytmy Serwisu.

§12. Organizacje jako współadministratorzy lub odrębni administratorzy

1. Administrator (ProsteKarnety) udostępnia Organizacjom narzędzia techniczne do zarządzania karnetami i członkostwem. W zakresie danych wprowadzanych przez Organizację dotyczących jej Klientów Organizacja samodzielnie określa cele i sposoby przetwarzania.
2. Dane osobowe przekazane przez Klienta Organizacji w jakiejkolwiek formie (ustnie, pisemnie, elektronicznie, poprzez formularz, w rozmowie telefonicznej, osobiście lub w inny sposób) – w tym w szczególności adres e-mail, imię i nazwisko oraz inne dane identyfikacyjne – są administrowane przez Organizację, która je pozyskała. Organizacja jest odrębnym administratorem tych danych w rozumieniu art. 4 pkt 7 RODO i ponosi pełną odpowiedzialność za zgodność ich przetwarzania z obowiązującymi przepisami.
3. Organizacja jest zobowiązana do:
   1. przetwarzania danych osobowych swoich Klientów zgodnie z obowiązującymi przepisami, w tym RODO,
   2. posiadania własnej podstawy prawnej przetwarzania danych swoich Klientów (np. art. 6 ust. 1 lit. b RODO – wykonanie umowy, lub art. 6 ust. 1 lit. a RODO – zgoda) przed wprowadzeniem tych danych do Serwisu,
   3. informowania swoich Klientów o przetwarzaniu ich danych osobowych, w tym o fakcie wprowadzenia tych danych do Serwisu ProsteKarnety,
   4. zapewnienia, że posiada odpowiednie upoważnienie do przekazania danych osobowych Klienta do Serwisu w celu realizacji usługi (np. zarządzania karnetami).
4. Administrator (ProsteKarnety) przetwarza dane Klientów Organizacji wyłącznie jako podmiot przetwarzający (procesor) w zakresie niezbędnym do świadczenia usług Serwisu na rzecz Organizacji. ProsteKarnety nie decyduje o celach ani sposobach przetwarzania danych Klientów Organizacji wykraczających poza techniczną obsługę Serwisu.
5. Klient, którego dane zostały wprowadzone do Serwisu przez Organizację, ma prawo zwrócić się bezpośrednio do tej Organizacji z żądaniem realizacji swoich praw wynikających z RODO (dostęp, sprostowanie, usunięcie, ograniczenie przetwarzania). Organizacja jest zobowiązana do rozpatrzenia takiego żądania zgodnie z obowiązującymi przepisami.

§13. Zmiany Polityki Prywatności

1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności w przypadku:
   1. zmiany przepisów prawa dotyczących ochrony danych osobowych,
   2. zmiany zakresu świadczonych usług,
   3. zmiany w zakresie podmiotów przetwarzających,
   4. wydania wytycznych lub decyzji przez organy nadzorcze.
2. O istotnych zmianach Polityki Prywatności Administrator powiadomi Użytkowników drogą elektroniczną (na adres e-mail powiązany z Kontem) z co najmniej 14-dniowym wyprzedzeniem.
3. Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem: prostekarnety.pl/privacy-policy.

§14. Kontakt

W sprawie pytań, wątpliwości lub żądań dotyczących ochrony danych osobowych prosimy o kontakt:

Odpowiadamy na wszystkie zapytania dotyczące danych osobowych w terminie 30 dni od dnia ich otrzymania.