← Strona główna

Polityka Prywatności Platformy DAMOSTA

Wersja: 1.0 (zamknięta faza testowa) Data wejścia w życie: 28 kwietnia 2026 Ostatnia aktualizacja: 28 kwietnia 2026 Administrator danych: DAMOSTA (platforma znajduje się w fazie prywatnego rozwoju; pełne dane osoby prawnej Administratora, kraj rejestracji, numer rejestracyjny i adres siedziby zostaną wskazane w zaktualizowanej wersji przed datą publicznego uruchomienia platformy) Kontakt w sprawach ochrony danych: [email protected]

Status dokumentu. Niniejsza wersja jest publikowana dla zamkniętej fazy testowej. Dostęp do Platformy jest ograniczony do listy autoryzowanych użytkowników. Przed publicznym uruchomieniem podlegają finalizacji i weryfikacji: pełne dane Administratora, konieczność wyznaczenia przedstawiciela w UE i/lub Inspektora Ochrony Danych (IOD/DPO), ostateczny wykaz podmiotów przetwarzających, regiony przetwarzania, umowy powierzenia przetwarzania danych (Data Processing Agreements), mechanizmy międzynarodowego przekazywania danych oraz model płatności. Wykaz otwartych decyzji znajduje się w docs/legal/launch_checklist.md, część 3.

Preambuła

Niniejsza Polityka Prywatności (dalej — „Polityka”) opisuje, jakie dane osobowe zbieramy podczas Państwa korzystania z platformy DAMOSTA (dalej — „Platforma”), w jaki sposób je wykorzystujemy, komu je przekazujemy i jak je chronimy.

Dążymy do maksymalnej przejrzystości. Jeżeli coś w Polityce nie jest dla Państwa jasne, prosimy o wiadomość na adres [email protected], a wyjaśnimy.

Polityka została opracowana z uwzględnieniem wymogów:

  • Rozporządzenia (UE) 2016/679 (RODO) — dla użytkowników w Europejskim Obszarze Gospodarczym oraz osób, których dane są przetwarzane w EOG;
  • ustawy Ukrainy „O ochronie danych osobowych” — dla użytkowników na Ukrainie;
  • innego właściwego ustawodawstwa o ochronie danych osobowych w krajach, w których Platforma jest dostępna.

Korzystając z Platformy, potwierdzają Państwo, że zapoznali się z Polityką i rozumieją, jakie dane są przetwarzane i w jaki sposób.

1. Kto przetwarza Państwa dane

Administrator danych (controller): DAMOSTA; pełne dane osoby prawnej zostaną wskazane po rejestracji — zob. docs/legal/launch_checklist.md, część 3.1.

„Administrator danych” to osoba prawna lub osoba fizyczna jako jednoosobowa działalność gospodarcza, która ustala cele i sposoby przetwarzania danych osobowych i ponosi odpowiedzialność za ich przetwarzanie.

1.1. Przedstawiciel w UE (artykuł 27 RODO)

Jeżeli na podstawie analizy ostatecznej struktury rejestracji Administratora oraz targetowania Platformy w Europejskim Obszarze Gospodarczym (EOG) przedstawiciel zgodnie z artykułem 27 RODO okaże się niezbędny, jego dane kontaktowe zostaną wskazane tutaj przed momentem, od którego Platforma będzie publicznie dostępna dla użytkowników EOG.

1.2. Inspektor Ochrony Danych (Data Protection Officer, IOD/DPO)

Administrator oceni obowiązek wyznaczenia IOD/DPO na podstawie kryteriów artykułu 37 RODO (charakter głównej działalności, skala przetwarzania, kategorie przetwarzanych danych). Jeżeli IOD/DPO zostanie wyznaczony, jego dane kontaktowe zostaną opublikowane w niniejszej Polityce.

2. Jakie dane zbieramy

2.1. Dane z Telegrama

Przy uruchomieniu Telegram Mini App Telegram może przekazać nam następujące dane za pośrednictwem standardowego mechanizmu initData Telegram Web App, w zależności od ustawień Telegrama, wersji klienta i faktycznie dostępnych pól:

  • identyfikator Telegram (Telegram ID) — numeryczny identyfikator Państwa konta w Telegramie;
  • imię;
  • nazwisko, jeżeli jest wskazane w Telegramie;
  • nazwa użytkownika, jeżeli jest wskazana w Telegramie;
  • kod języka (language_code) — język ustawiony w ustawieniach Telegrama;
  • URL zdjęcia profilowego w Telegramie, jeżeli Telegram przekazuje je w dostępnych polach;
  • inne wskaźniki techniczne profilu lub interakcji (na przykład wskaźnik Telegram Premium lub wskaźnik, że zezwolili Państwo botowi na wysyłanie wiadomości prywatnych), jeżeli Telegram przekazuje je w ramach Mini App.

Nie otrzymujemy od Telegrama Państwa numeru telefonu, adresu email, hasła ani innych środków uwierzytelniania. Telegram przekazuje nam dane automatycznie w momencie uruchomienia Platformy.

2.2. Email i obowiązkowa weryfikacja dla Właścicieli

Dla Użytkowników w roli Właścicieli Wpisów Firm dodatkowo przetwarzamy:

  • adres email wskazany przez Użytkownika przy tworzeniu pierwszego Wpisu Firmy;
  • fakt i datę potwierdzenia adresu email za pomocą kodu weryfikacyjnego wysyłanego przez naszego dostawcę transakcyjnego (Resend);
  • powiązanie adresu email z identyfikatorem Telegram — w celu identyfikacji Użytkownika w komunikacjach formalnych.

Adres email jest wykorzystywany jako formalny kanał komunikacji i jest obowiązkowy do utworzenia Wpisu Firmy. Bez potwierdzonego adresu email funkcja tworzenia Wpisu Firmy nie jest dostępna.

Dla Użytkowników w roli Klientów adres email nie jest wymagany w momencie zwykłego przeglądania Platformy. Adres email staje się obowiązkowy przy dokonywaniu czynności formalnych wymagających identyfikacji.

2.3. Dane, które Państwo nam przekazują

Mogą Państwo z własnej inicjatywy przekazać nam:

  • dane o Wpisie Firmy: nazwa, opis, kategoria, branża sprzedaży, fotografie, adres, godziny otwarcia, dane kontaktowe (w tym telefon, email, linki do stron internetowych i mediów społecznościowych);
  • ustawienia i preferencje (na przykład język interfejsu, inny niż w Telegramie);
  • wiadomości wysyłane do działu wsparcia;
  • inne dane, które Państwo dobrowolnie publikują na Platformie.

2.4. Dane techniczne

Automatycznie zbieramy dane techniczne o Państwa interakcji z Platformą:

  • adres IP — w celu zapewnienia bezpieczeństwa, ochrony przed atakami, ograniczania częstotliwości żądań, weryfikacji przestrzegania ograniczeń terytorialnych (sekcja 3.4 Warunków korzystania);
  • typ urządzenia, system operacyjny, wersja klienta Telegram, wersja Platformy — dla kompatybilności i diagnostyki;
  • data i godzina interakcji z Platformą;
  • działania na Platformie (przejścia między ekranami, naciśnięcia przycisków, błędy, wydajność) — w formie zanonimizowanej lub pseudonimizowanej, gdy jest to technicznie możliwe;
  • dzienniki błędów — techniczne komunikaty o błędach pojawiających się w trakcie funkcjonowania Platformy.

Doprecyzowanie terminologiczne. Możemy przetwarzać techniczne i produktowe zdarzenia korzystania z Platformy, w tym przejścia między ekranami, naciśnięcia przycisków, błędy, wydajność i informacje o kompatybilności, w formie zanonimizowanej lub pseudonimizowanej, gdy jest to technicznie możliwe. Jeżeli takie dane można powiązać z Kontem, identyfikatorem Telegram, adresem IP, urządzeniem lub sesją, są one traktowane jako dane osobowe i są przetwarzane zgodnie z niniejszą Polityką.

2.5. Dane płatnicze

Jeżeli opłacają Państwo płatne funkcje Platformy, płatność jest przetwarzana przez zewnętrznych dostawców płatności. Konkretny dostawca jest wskazywany w sekcji 4 niniejszej Polityki po finalizacji modelu płatności (zob. docs/legal/launch_checklist.md, część 3.5).

Nie przechowujemy pełnych numerów kart płatniczych, kodów CVV ani innych danych przekazywanych w trakcie procesu płatności. Od dostawcy płatności możemy otrzymywać wyłącznie dane niezbędne do księgowania płatności, w zależności od wybranego modelu płatności:

  • fakt i kwotę płatności;
  • identyfikator transakcji;
  • status płatności;
  • plan taryfowy i okres płatności;
  • ograniczone dane o środku płatniczym, jeżeli są dostarczane przez dostawcę i niezbędne do wyświetlenia Użytkownikowi lub do księgowości;
  • dane do sprawozdawczości księgowej i podatkowej.

2.6. Dzienniki akceptacji dokumentów

Przy Państwa akceptacji Warunków korzystania, Regulaminu Platformy lub niniejszej Polityki, Platforma rejestruje:

  • wersję zaakceptowanego dokumentu;
  • datę i godzinę akceptacji (UTC);
  • Państwa identyfikator Telegram;
  • adres IP;
  • hash (SHA-256) zaakceptowanego tekstu;
  • wskaźnik, czy akceptacja jest testowa (w okresie zamkniętej fazy testowej) czy stanowi rzeczywistą akceptację prawną (po publicznym uruchomieniu).

Dzienniki są przechowywane przez okres ustanowiony przez prawo, lecz nie krócej niż 3 (trzy) lata po zakończeniu Konta. Dzienniki stanowią wyjątek od prawa do usunięcia zgodnie z artykułem 17 ust. 3 lit. e) RODO — są niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych.

2.7. Adres email i atrybucja referral na liście oczekujących (waitlist)

Jeżeli pozostawili Państwo swój email w formularzu „Lista oczekujących” na stronie damosta.com lub w banerze zamkniętego testowania w Mini App, przetwarzamy następujące kategorie danych:

  • adres email, wskazany przez Państwa w formularzu;
  • kod języka interfejsu (locale), w którym Państwo korzystali z formularza, — w celu wysłania wiadomości email z potwierdzeniem w odpowiednim języku;
  • datę i godzinę wyrażenia zgody na otrzymanie powiadomienia o publicznym uruchomieniu — w celu udokumentowania zgody w rozumieniu artykułu 7 RODO;
  • źródło zgłoszenia (strona witryny, baner Mini App, inny punkt wejścia) — w celu oceny skuteczności kanałów komunikacji;
  • kod referral, za pomocą którego Państwo trafili do formularza, jeżeli ma zastosowanie, — dla celów programu referral (§ 7.9 Warunków korzystania);
  • osobisty kod referral, generowany przez Platformę wyłącznie po potwierdzeniu Państwa email poprzez procedurę dwuetapową (double opt-in) zgodnie z § 7.9.2 Warunków korzystania, — dla Państwa późniejszego udziału w programie referral.

Oddzielnie, w celu zapobiegania zautomatyzowanym nadużyciom formularza zgłoszeniowego (anti-abuse rate-limiting), Platforma prowadzi techniczny zapis złożenia zgłoszenia, zawierający hash adresu IP (HMAC-SHA256 z niepubliczną solą), minimalne techniczne cechy złożenia formularza oraz znacznik czasu. Zapis ten jest tworzony niezależnie od zgłoszenia na listę oczekujących, przechowywany oddzielnie od niego (zob. § 6) i nie jest wykorzystywany do celów niezwiązanych z ochroną formularza przed nadużyciami.

Rozgraniczenie względem email Właściciela Biznesu. Potwierdzenie email na liście oczekujących nie stanowi utworzenia Konta, rejestracji Biznesu ani potwierdzenia email Właściciela Biznesu w rozumieniu § 4.4 Warunków korzystania. Email pozostawiony na liście oczekujących nie jest wykorzystywany jako formalny kanał komunikacji z Właścicielem Biznesu i nie tworzy powiązania z Telegram ID do momentu, gdy dana osoba samodzielnie przejdzie rejestrację Biznesu z potwierdzeniem tego samego email poprzez procedurę opisaną w § 2.2 niniejszej Polityki.

Mają Państwo prawo w dowolnym momencie wycofać zgodę na udział w liście oczekujących, wysyłając żądanie na [email protected]. Wycofanie zgody powoduje usunięcie Państwa adresu email i powiązanych z nim danych listy oczekujących w rozsądnym terminie, nieprzekraczającym 30 (trzydziestu) dni kalendarzowych, z wyjątkiem minimalnych zapisów przechowywanych w celu potwierdzenia atrybucji referral (§ 7.9 Warunków korzystania), wykonania obowiązków prawnych lub obrony roszczeń prawnych.

2.8. Cookies i lokalna pamięć przeglądarki

Platforma używa ograniczonego zestawu plików cookie i mechanizmów lokalnej pamięci przeglądarki. Nie używamy cookies do celów tracking reklamowego, profilowania między witrynami, przekazywania danych sieciom reklamowym ani do innych celów wykraczających poza funkcjonalne zadania wyraźnie opisane poniżej.

Aktualny zestaw używanych cookies i podobnych technologii:

Technologia Cel Kategoria Okres ważności Warunek instalacji
Cookie dps_ref Zachowanie kodu referral, za pomocą którego użytkownik trafił na witrynę, w celu późniejszego prawidłowego naliczenia bonusu uczestnikowi programu referral (§ 7.9 Warunków korzystania) Functional / referral attribution 30 (trzydzieści) dni kalendarzowych od pierwszego przejścia przez link referral Instalowane wyłącznie po wyraźnej zgodzie użytkownika, o którą prosi baner wyświetlany wyłącznie przy wejściu na witrynę przez link z kodem referral. W przypadku braku zgody cookie nie jest instalowane, a atrybucja referral nie jest stosowana. Jeżeli cookie jest już zainstalowane i jego okres ważności nie upłynął, ponowne przejście przez inny link referral nie nadpisuje istniejącej atrybucji. Zgoda użytkownika obowiązuje w ramach okresu ważności zainstalowanego cookie.
Local Storage dps-site-theme Zapamiętywanie wybranego przez użytkownika motywu witryny (jasny / ciemny) Strictly necessary — niezbędna do zastosowania preferencji użytkownika dotyczących wyświetlania Przechowywana do wyraźnego usunięcia przez użytkownika poprzez ustawienia przeglądarki Instalowana przy pierwszej zmianie motywu przez użytkownika. Nie wymaga odrębnej zgody, ponieważ jest wykorzystywana wyłącznie do zapewnienia ustawienia żądanego przez użytkownika w zakresie dopuszczalnym przez mające zastosowanie przepisy dotyczące cookies, w tym wymogi implementujące artykuł 5(3) Dyrektywy 2002/58/WE.
Local Storage dps-cookie-consent Zachowanie wyboru użytkownika dotyczącego cookie dps_ref (zaakceptowano / odmówiono), aby baner zgody nie był wyświetlany ponownie Strictly necessary — niezbędna do wykonania wyboru wyrażonego przez użytkownika w odniesieniu do cookies Przechowywana do wyraźnego usunięcia przez użytkownika poprzez link „Zarządzanie cookies” w dolnej części witryny lub poprzez ustawienia przeglądarki Instalowana w momencie kliknięcia przez użytkownika jednego z przycisków banera zgody. Nie wymaga odrębnej zgody, ponieważ jest wykorzystywana wyłącznie do wykonania wyboru użytkownika w odniesieniu do cookies w zakresie dopuszczalnym przez mające zastosowanie przepisy dotyczące cookies, w tym wymogi implementujące artykuł 5(3) Dyrektywy 2002/58/WE.

Mogą Państwo w dowolnym momencie zmienić swój wybór dotyczący cookie dps_ref za pomocą linku „Zarządzanie cookies”, umieszczonego w dolnej części każdej strony witryny. Otwarcie odpowiedniego panelu nie przeładowuje strony i nie instaluje nowych cookies przed Państwa wyraźnym działaniem. Wyłączenie cookie dps_ref nie wpływa na możliwość korzystania z Platformy i złożenia zgłoszenia na listę oczekujących, ale powoduje utratę atrybucji referral — zaproszenie referral, za pomocą którego Państwo trafili na witrynę, nie zostanie uwzględnione w programie referral.

W przypadku dodania nowych cookies lub innych podobnych technologii niniejsza sekcja zostanie uzupełniona o wskazanie celu, kategorii, okresu ważności i warunku instalacji.

2.9. Analityka internetowa

Platforma korzysta z self-hosted usługi analityki internetowej Umami, wdrożonej na naszej własnej infrastrukturze w Unii Europejskiej. Wybraliśmy właśnie rozwiązanie self-hosted z minimalnym zakresem funkcji, ponieważ pozwala ono rozumieć zagregowany obraz korzystania z Platformy bez tworzenia indywidualnych profili, bez używania cookies i bez przekazywania danych zewnętrznym dostawcom analityki, sieciom reklamowym ani data brokers (pośrednikom danych).

Co zbieramy. Analityka zbiera wyłącznie zagregowane informacje techniczne o fakcie odwiedzenia Platformy oraz interakcji ze stronami:

  • typ zdarzenia (według stanu na datę wejścia w życie tej wersji — zob. listę kategorii poniżej);
  • kraj (na poziomie kraju, bez dokładnych współrzędnych i geolokalizacji);
  • typ urządzenia (desktop / tablet / mobile);
  • przeglądarka i system operacyjny;
  • referrer (poprzednia strona, z której przyszedł odwiedzający);
  • tagi UTM, jeżeli są obecne w URL.

Adres IP może być technicznie przetwarzany podczas żądania wyłącznie w celu określenia kraju na poziomie kraju i nie jest przechowywany w bazie danych analitycznych jako część zdarzenia.

Lista kategorii zdarzeń według stanu na datę wejścia w życie tej wersji:

Kategoria Co oznacza
Wyświetlenie strony fakt otwarcia strony (URL bez parametrów query, które mogą zawierać dane osobowe)
Wyświetlenie formularza waitlist otwarto stronę z formularzem dołączenia do listy oczekujących
Wysłanie formularza waitlist wynik techniczny: próba wysłania, sukces, błąd walidacji (bez ujawniania dokładnego kodu błędu), błąd dostarczenia
Potwierdzenie email otwarcie landing page potwierdzenia, kliknięcie przycisku potwierdzenia, wyświetlenie strony skutecznego potwierdzenia
Zmiana języka interfejsu użytkownik zmienił locale
Zmiana motywu wyglądu użytkownik przełączył motyw jasny/ciemny
Kliknięcie głównych CTA kliknięcie głównych przycisków wezwania do działania
Kliknięcie linków nawigacyjnych kliknięcie linków w stopce lub nagłówku strony
Wyświetlenie planu taryfowego blok konkretnego planu taryfowego znalazł się w widocznym obszarze ekranu
Otwarcie pytania w FAQ użytkownik rozwinął konkretne pytanie na liście najczęściej zadawanych pytań

Żadne zdarzenie nie zawiera imienia użytkownika, adresu email, telegram_id, numeru telefonu, kodu polecającego, statusu płatności, treści pól formularza, dokładnego tekstu komunikatów o błędach, które mogłyby zawierać dane osobowe, ani jakichkolwiek innych identyfikatorów konkretnej osoby. Jest to niezmiennik architektury analityki, utrwalony w naszej wewnętrznej dokumentacji technicznej.

Nowe zdarzenia nie mogą zawierać danych osobowych ani identyfikatorów konkretnej osoby. Istotna zmiana składu analityki jest odzwierciedlana w zaktualizowanej wersji tej sekcji.

Czego NIE zbieramy. Analityka nie otrzymuje ani nie przechowuje:

  • adresów email użytkowników;
  • Telegram ID, telegram username, imion z profilu Telegram;
  • numerów telefonów;
  • adresów IP jako części zdarzenia (IP może być przetwarzany „w locie” wyłącznie w celu określenia kraju);
  • treści pól formularzy;
  • treści wiadomości prywatnych;
  • danych płatniczych;
  • danych biometrycznych, danych dotyczących zdrowia oraz innych szczególnych kategorii;
  • identyfikatorów osobowych (account ID, business ID, referral code);
  • dokładnej geolokalizacji (miasto, współrzędne).

Nie wykorzystujemy analityki do profilowania reklamowego, śledzenia między witrynami, budowania profili użytkowników, podejmowania zautomatyzowanych decyzji wywołujących skutki prawne lub podobnie istotne skutki ani do przekazywania danych sieciom reklamowym.

Zdarzenia związane z akceptacją lub odmową cookies nie są przekazywane do analityki internetowej; wybór użytkownika jest przechowywany lokalnie w przeglądarce (zob. § 2.8).

Podstawa prawna przetwarzania. Podstawą prawną przetwarzania danych analityki internetowej jest uzasadniony interes operatora (Art. 6(1)(f) GDPR) — interes polegający na zrozumieniu zagregowanej grupy odbiorców Platformy w celu jej rozwoju i poprawy usługi. Uważamy, że w takich warunkach uzasadniony interes Operatora nie jest nadrzędnie ograniczony prawami i wolnościami osób, których dane dotyczą: zakres danych jest zminimalizowany, cookies nie są używane, indywidualne profile nie są tworzone, a dane nie są przekazywane zewnętrznym dostawcom analityki ani sieciom reklamowym.

Cookies i inne technologie przechowywania informacji na urządzeniu. Ponieważ analityka internetowa nie wykorzystuje cookies, local storage ani innych mechanizmów zapisywania lub odczytywania informacji z urządzenia użytkownika do celów analitycznych, dla takiej analityki nie jest żądana odrębna zgoda na podstawie artykułu 5(3) Dyrektywy 2002/58/EC.

Okres przechowywania. Dane analityki internetowej są przechowywane przez 180 (sto osiemdziesiąt) dni kalendarzowych od momentu ich zebrania. Po upływie tego okresu odpowiednie rekordy są automatycznie usuwane z bazy danych analitycznych. Okres ten został wybrany jako minimalnie wystarczający do zrozumienia sezonowych trendów korzystania z Platformy przy jednoczesnej minimalizacji ryzyk przechowywania.

Przekazywanie danych. Analityka jest wdrożona na naszej własnej infrastrukturze w granicach Unii Europejskiej. Dane analityki internetowej nie są przekazywane zewnętrznym dostawcom analityki, sieciom reklamowym ani data brokers, nie są sprzedawane i nie są wykorzystywane do reklamy behawioralnej. Przetwarzanie może być realizowane przez naszych dostawców infrastruktury wyłącznie w granicach opisanych w § 4 tego dokumentu.

Poszanowanie Do Not Track. Szanujemy standardowy nagłówek przeglądarki Do Not Track (DNT). Jeżeli Państwa przeglądarka wysyła nagłówek DNT: 1, skrypt analityki internetowej nie jest inicjalizowany na stronach Platformy i żadne dane dotyczące Państwa interakcji nie są zbierane.

Terytorialna dostępność usługi. Niektóre interaktywne funkcje Platformy mogą być technicznie niedostępne z terytoriów, które nie należą do obsługiwanych rynków Platformy, zgodnie z Warunkami korzystania i Zasadami platformy. Takie ograniczenia mogą być stosowane na poziomie CDN/WAF. Minimalne security logi CDN/WAF (timestamp, adres IP, kraj, decyzja firewall) mogą być tworzone w celu ochrony infrastruktury. Jest to odrębny obszar od analityki internetowej; takie logi nie są wykorzystywane do profilowania reklamowego ani analityki internetowej.

Państwa prawa dotyczące danych analityki internetowej. Ponieważ analityka internetowa nie przechowuje indywidualnych identyfikatorów, realizacja prawa dostępu do konkretnych rekordów dotyczących Państwa osobiście jest technicznie niemożliwa — w systemie nie ma związku między rekordem zdarzenia a konkretną osobą. Jednocześnie mają Państwo prawo:

  • wnieść sprzeciw wobec przetwarzania w ramach uzasadnionego interesu (artykuł 21 GDPR) — w takim przypadku zalecamy włączenie nagłówka Do Not Track w ustawieniach Państwa przeglądarki, co automatycznie wyłączy Państwa interakcję ze śledzenia;
  • uzyskać dodatkowe wyjaśnienia dotyczące przetwarzania, kontaktując się z naszym działem wsparcia pod adresem: [email protected];
  • złożyć skargę do właściwego organu ochrony danych osobowych w Państwa jurysdykcji.

Zmiany składu zdarzeń. Istotna zmiana składu analityki internetowej, dodanie nowych kategorii zdarzeń lub zmiana architektury usługi analitycznej jest odzwierciedlana w zaktualizowanej wersji tej sekcji. Lista kategorii wskazana powyżej obowiązuje według stanu na datę wejścia w życie tej wersji dokumentu.

2.10. Dane, których NIE zbieramy

Nie zbieramy:

  • Państwa dokładnej lokalizacji za pomocą GPS (chyba że ręcznie podali Państwo adres Wpisu Firmy);
  • danych o Państwa innych aktywnościach poza Platformą;
  • Państwa kontaktów w Telegramie, korespondencji w Telegramie, innych danych poza tym, co Telegram przekazuje nam w ramach Telegram Mini App;
  • danych biometrycznych;
  • danych dotyczących zdrowia;
  • danych o pochodzeniu rasowym i etnicznym, poglądach politycznych, przekonaniach religijnych lub światopoglądowych, przynależności związkowej, danych genetycznych, orientacji seksualnej (z wyjątkiem przypadków, w których publikują Państwo te dane dobrowolnie w ramach Wpisu Firmy — ale tego nie zalecamy).

3. W jakim celu przetwarzamy dane (cele i podstawy prawne)

Zgodnie z artykułem 6 RODO każde przetwarzanie danych osobowych musi mieć podstawę prawną. Poniżej dla każdego celu przetwarzania wskazujemy odpowiednią podstawę prawną.

3.1. Świadczenie funkcji Platformy

Co przetwarzamy: identyfikator Telegram, imię, nazwa użytkownika, zdjęcie, język, email Właściciela, Treść Wpisu Firmy, dane techniczne.

W jakim celu: utworzenie Państwa Konta, umożliwienie Państwu tworzenia i prowadzenia Wpisów Firm, wyświetlanie Państwa Wpisu Firmy innym Użytkownikom, zapewnienie formalnego kanału komunikacji z Właścicielami za pośrednictwem email.

Podstawa prawna (RODO): artykuł 6 ust. 1 lit. b) — wykonanie umowy (Warunki korzystania).

3.2. Bezpieczeństwo i ochrona przed nadużyciami

Co przetwarzamy: adres IP, dzienniki działań, dane techniczne, dane o podejrzanej aktywności, metadane połączeń w celu weryfikacji ograniczeń terytorialnych (sekcja 3.4 Warunków korzystania).

W jakim celu: wykrywanie i powstrzymywanie oszustw, cyberataków, naruszeń Regulaminu, ochrona Platformy i innych Użytkowników; kontrola przestrzegania prawa o sankcjach i terytorialnego zakazu dotyczącego Federacji Rosyjskiej i Białorusi.

Podstawa prawna: artykuł 6 ust. 1 lit. f) — nasz prawnie uzasadniony interes w zapewnieniu bezpieczeństwa Platformy i ochronie Użytkowników; artykuł 6 ust. 1 lit. c) — wypełnienie obowiązku prawnego dotyczącego przestrzegania reżimów sankcji.

3.3. Wsparcie użytkowników

Co przetwarzamy: treść Państwa zapytań, Państwa dane kontaktowe.

W jakim celu: odpowiadanie na Państwa pytania i rozpatrywanie reklamacji.

Podstawa prawna: artykuł 6 ust. 1 lit. b) — wykonanie umowy oraz działania przedumowne.

3.4. Doskonalenie Platformy

Co przetwarzamy: pseudonimizowane dane o działaniach na Platformie, dane techniczne, dzienniki błędów.

W jakim celu: doskonalenie funkcjonalności, naprawianie błędów, mierzenie wydajności.

Podstawa prawna: artykuł 6 ust. 1 lit. f) — prawnie uzasadniony interes w rozwoju i utrzymaniu funkcjonowania Platformy.

3.5. Monitorowanie błędów i wydajności

Możemy korzystać z usług monitorowania błędów, stabilności i wydajności w celu wykrywania awarii, diagnozowania problemów, ochrony bezpieczeństwa i doskonalenia funkcjonowania Platformy. Takie usługi mogą otrzymywać dane techniczne, dzienniki błędów, dane o urządzeniu, wersje klienta, czas zdarzenia i ograniczony kontekst działania, w trakcie którego wystąpił błąd. Konkretna usługa monitorowania jest wskazana w sekcji 4 niniejszej Polityki.

Usługi monitorowania są angażowane jako podmioty przetwarzające zgodnie z artykułem 28 RODO. Przed publicznym uruchomieniem Administrator zweryfikuje i sformalizuje odpowiednie umowy powierzenia przetwarzania danych (Data Processing Agreements), regiony przetwarzania i gwarancje dla międzynarodowych przekazań, jeżeli ma to zastosowanie. Nie wykorzystujemy tych danych do profilowania reklamowego i nie przekazujemy ich brokerom danych.

3.6. Obowiązki prawne

Co przetwarzamy: dane, których przechowywanie jest obowiązkowe na mocy prawa właściwego (sprawozdawczość księgowa i podatkowa, dzienniki akceptacji Warunków, dane o płatnościach).

W jakim celu: spełnienie obowiązkowych wymogów prawa.

Podstawa prawna: artykuł 6 ust. 1 lit. c) — wypełnienie obowiązku prawnego.

3.7. Ochrona praw i roszczenia prawne

Co przetwarzamy: dane dotyczące sporów, roszczeń, powództw.

W jakim celu: ustalanie, dochodzenie lub obrona naszych prawnie uzasadnionych praw; rozpatrywanie reklamacji; reagowanie na żądania organów państwowych.

Podstawa prawna: artykuł 6 ust. 1 lit. f) — prawnie uzasadniony interes.

3.8. Komunikaty serwisowe i marketing

Komunikaty serwisowe. Możemy wysyłać Państwu komunikaty niezbędne do funkcjonowania Platformy: zmiany Warunków, Polityki lub Regulaminu, komunikaty bezpieczeństwa, odzyskiwanie dostępu, środki reagowania, płatności i inne komunikaty istotne prawnie lub technicznie.

Podstawa prawna: artykuł 6 ust. 1 lit. b) RODO — wykonanie umowy; artykuł 6 ust. 1 lit. c) RODO — wypełnienie obowiązku prawnego; artykuł 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes w utrzymaniu bezpieczeństwa i prawidłowego funkcjonowania Platformy.

Komunikaty marketingowe. Możemy wysyłać Państwu informacje o nowych funkcjach, aktualizacjach lub ofertach Platformy wyłącznie w zakresie dozwolonym przez prawo właściwe i z możliwością sprzeciwu wobec takich komunikatów.

Podstawa prawna: artykuł 6 ust. 1 lit. a) RODO — zgoda, jeżeli jest wymagana; lub artykuł 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes w informowaniu istniejących użytkowników o powiązanych funkcjach Platformy, jeżeli takie informowanie jest dozwolone przez prawo.

W każdej chwili mają Państwo prawo sprzeciwić się komunikatom marketingowym (zob. sekcja 7). Sprzeciw wobec marketingu nie wpływa na otrzymywanie komunikatów serwisowych, bezpieczeństwa lub istotnych prawnie.

3.9. W jakim celu NIE wykorzystujemy Państwa danych

  • nie sprzedajemy Państwa danych osobowych osobom trzecim;
  • nie wykorzystujemy Państwa danych do reklamy ukierunkowanej poza Platformą;
  • nie przekazujemy Państwa danych brokerom danych, sieciom reklamowym ani usługom profilującym;
  • nie profilujemy Państwa w celu podejmowania zautomatyzowanych decyzji wywołujących skutki prawne (zob. sekcja 9).

3.10. Informowanie o publicznym uruchomieniu Platformy (lista oczekujących)

Co przetwarzamy: adres email, locale, datę zgody, źródło zgłoszenia, kod referral, osobisty kod referral, a także fakt i datę potwierdzenia email poprzez procedurę dwuetapową.

Oddzielnie, w ramach zapisu anti-abuse, — hash adresu IP i minimalne techniczne cechy złożenia formularza.

Po co:

(a) aby wysłać Państwu jednorazowe powiadomienie o publicznym uruchomieniu Platformy DAMOSTA na wskazany adres email;

(b) aby udostępnić Państwu osobisty kod referral do udziału w programie referral zgodnie z § 7.9 Warunków korzystania, jeżeli potwierdzili Państwo email poprzez procedurę dwuetapową;

(c) aby prawidłowo uwzględnić atrybucję referral, jeżeli trafili Państwo na listę oczekujących przez czyjś link referral i wyrazili Państwo zgodę na instalację cookie dps_ref;

(d) aby zapewnić ochronę formularza zgłoszeniowego przed zautomatyzowanymi nadużyciami, w tym masowym składaniem zgłoszeń i atakami na dostarczalność kanału email, z zastosowaniem minimalizacji danych i ograniczonego okresu przechowywania cech technicznych.

Podstawa prawna:

artykuł 6(1)(a) RODO — Państwa wyraźna zgoda, wyrażona aktywnym działaniem (wprowadzeniem adresu email i naciśnięciem odpowiedniego przycisku w formularzu z jasno wskazanym celem), w odniesieniu do przetwarzania adresu email, locale, faktu zgody, źródła zgłoszenia i atrybucji referral;

artykuł 6(1)(f) RODO — prawnie uzasadniony interes Platformy w zapewnieniu bezpieczeństwa formularza zgłoszeniowego, zapobieganiu masowym zautomatyzowanym nadużyciom i ochronie dostarczalności kanału email, w odniesieniu do hasha adresu IP i technicznych metadanych złożenia zgłoszenia. Stosowane środki — pseudonimizacja adresu IP za pomocą HMAC-SHA256 z niepubliczną solą, oddzielne przechowywanie od zgłoszenia na listę oczekujących, ograniczony okres przechowywania, brak wykorzystania do celów niezwiązanych z anti-abuse rate-limiting — zapewniają proporcjonalność przetwarzania względem deklarowanego celu oraz równowagę między interesami Platformy a prawami osoby, której dane dotyczą.

Mają Państwo prawo w dowolnym momencie wycofać zgodę na udział w liście oczekujących w trybie opisanym w § 2.7 niniejszej Polityki, bez konieczności uzasadnienia i bez niekorzystnych skutków dla możliwości korzystania z Platformy w przyszłości.

4. Komu przekazujemy dane

4.1. Podmioty przetwarzające działające w naszym imieniu

Korzystamy z usług zewnętrznych dostawców (podmiotów przetwarzających w terminologii RODO), którzy przetwarzają dane wyłącznie zgodnie z naszymi instrukcjami i w naszym interesie.

Dla zamkniętej fazy testowej poniżej wskazano aktualną architekturę techniczną i oczekiwane kategorie podmiotów przetwarzających. Przed publicznym uruchomieniem Administrator zweryfikuje i sformalizuje ostateczne dane podmiotów przetwarzających, regiony przetwarzania, istnienie umów powierzenia, SCC lub innych niezbędnych gwarancji dla międzynarodowych przekazań.

Aktualny skład podmiotów przetwarzających (na dzień ostatniej aktualizacji Polityki):

Kategoria Dostawca Kraj jurysdykcji / lokalizacja serwerów Umowa powierzenia / gwarancje
DNS, proxy, routing wiadomości przychodzących, hosting publicznej strony internetowej Cloudflare, Inc. USA (siedziba); sieć globalna, dostępne centra UE Podlega weryfikacji i sformalizowaniu przed publicznym uruchomieniem
Hosting backendu i baz danych DigitalOcean, LLC USA (siedziba); serwery we Frankfurcie (FRA1, Niemcy) Podlega weryfikacji i sformalizowaniu przed publicznym uruchomieniem
Email transakcyjny i wysyłka SMTP w imieniu domeny Resend (Resend, Inc.) USA (siedziba); region przetwarzania eu-west-1 (Irlandia) Podlega weryfikacji i sformalizowaniu przed publicznym uruchomieniem
Monitorowanie błędów i wydajności Sentry (Functional Software, Inc., d/b/a Sentry) USA (siedziba); region sentry.io/eu (Irlandia/Niemcy) Podlega weryfikacji i sformalizowaniu przed publicznym uruchomieniem
Operacje płatnicze (na płatnych planach) Zostanie wskazany po finalizacji modelu płatności — zob. docs/legal/launch_checklist.md, część 3.5 TBD TBD
Doradcy prawni, księgowi i audytorzy W razie potrzeby Według jurysdykcji doradcy Umowy o zachowaniu poufności

Przed publicznym uruchomieniem ze wszystkimi stałymi podmiotami przetwarzającymi zostaną zawarte umowy powierzenia przetwarzania danych osobowych (Data Processing Agreement, DPA), zobowiązujące je do przestrzegania standardów RODO.

4.2. Telegram

Telegram Messenger Inc. samodzielnie zbiera określone dane o Państwa interakcji z botem i Mini App zgodnie z własną polityką prywatności. Telegram nie jest naszym podmiotem przetwarzającym — Telegram jest niezależnym administratorem swoich danych. Jeżeli chcą Państwo dowiedzieć się, co zbiera Telegram, prosimy zapoznać się z Polityką Prywatności Telegrama.

4.3. Ujawnienie na żądanie prawa

Ujawniamy dane osobowe:

  • na obowiązkowe żądanie właściwego organu państwowego (sąd, prokuratura, policja, organy podatkowe i inne) — w zakresie wyraźnie przewidzianym przez prawo właściwe;
  • w celu ochrony życia i zdrowia osób w sytuacjach nadzwyczajnych;
  • w celu zapobiegania i ścigania przestępstw;
  • w celu ochrony naszych prawnie uzasadnionych praw w postępowaniach sądowych, administracyjnych i innych;
  • w celu przestrzegania prawa o sankcjach, prawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.

W takich przypadkach staramy się ujawniać minimalny niezbędny zakres danych i, gdy jest to dopuszczalne przez prawo, powiadamiamy Użytkownika, którego dane dotyczą.

4.4. Przekazanie w przypadku reorganizacji

W przypadku połączenia, przejęcia, sprzedaży działalności, reorganizacji lub upadłości możemy przekazać dane osobowe nowemu właścicielowi lub następcy prawnemu. W takim przypadku z wyprzedzeniem powiadomimy Użytkowników, a nowy właściciel będzie zobowiązany zapewnić poziom ochrony nie niższy niż ustanowiony przez niniejszą Politykę.

4.5. Nie przekazujemy nikomu

Nie przekazujemy Państwa danych:

  • reklamodawcom;
  • brokerom danych;
  • innym platformom w celach komercyjnych;
  • innym Użytkownikom, z wyjątkiem przypadków, w których Użytkownicy sami dobrowolnie publikują dane w ramach Wpisu Firmy.

5. Gdzie przechowujemy dane

5.1. Główne przechowywanie

Serwery, na których przechowywane są dane Użytkowników, znajdują się w Niemczech (Frankfurt, centrum danych DigitalOcean FRA1). Wybierając lokalizację przechowywania, dajemy pierwszeństwo jurysdykcjom o solidnej ochronie danych osobowych i zgodnym ze standardami UE.

Dodatkowo niektóre kategorie danych mogą przechodzić przez następującą infrastrukturę:

  • Cloudflare (globalna sieć proxy i DNS z możliwością routingu przez centra UE);
  • Resend (region eu-west-1, Irlandia) — dla wiadomości transakcyjnych;
  • Sentry (region UE, Irlandia / Niemcy) — dla dzienników błędów.

5.2. Przekazywanie międzynarodowe

Jeżeli w trakcie funkcjonowania Platformy dane są przekazywane do kraju poza Państwa jurysdykcją (na przykład dla użytkowników EOG — poza EOG za pośrednictwem partnerów infrastrukturalnych z globalną obecnością), zapewniamy odpowiednie gwarancje:

  • przekazanie do krajów uznanych przez UE za zapewniające odpowiedni poziom ochrony (decyzja stwierdzająca odpowiedni stopień ochrony);
  • standardowe klauzule umowne (Standard Contractual Clauses, SCC) zatwierdzone przez Komisję Europejską;
  • inne mechanizmy przewidziane w rozdziale V RODO.

Jeżeli dostawca ma siedzibę główną lub grupę kapitałową poza EOG, w określonych przypadkach dostęp do danych lub ich utrzymanie techniczne mogą odbywać się spoza EOG, nawet jeżeli główny region przechowywania został wybrany w UE. W takich przypadkach stosujemy odpowiednie gwarancje przewidziane w rozdziale V RODO, w tym SCC i dodatkowe środki techniczne i organizacyjne, jeżeli są niezbędne.

Wykaz aktualnych przekazań międzynarodowych i obowiązujących gwarancji jest dostępny na żądanie pod adresem [email protected].

6. Jak długo przechowujemy dane

Wskazane poniżej terminy są podstawowymi terminami przechowywania dla zamkniętej fazy testowej i mogą być doprecyzowane przed publicznym uruchomieniem w zależności od wybranej jurysdykcji Administratora, modelu płatności oraz wymogów podatkowych i księgowych. Jeżeli prawo wymaga dłuższego okresu przechowywania lub dane są niezbędne do sporu, dochodzenia lub obrony praw, przechowujemy je przez niezbędny okres.

Kategoria danych Okres przechowywania
Podstawowe dane Konta (identyfikator Telegram, imię, język) Dopóki Konto jest aktywne; po usunięciu — do 30 dni w bazie głównej, do 90 dni w kopiach zapasowych
Email Właściciela i powiązanie z identyfikatorem Telegram Dopóki Konto jest aktywne; po usunięciu — do 30 dni (z zastrzeżeniem wyjątków, jeżeli email pojawia się w dziennikach akceptacji dokumentów)
Treść Wpisu Firmy Dopóki Wpis Firmy jest aktywny; po usunięciu — do 30 dni (następnie — anonimizacja lub usunięcie)
Dzienniki działań i logi techniczne Do 12 miesięcy (do celów bezpieczeństwa i diagnostyki)
Dzienniki akceptacji Warunków, Regulaminu i Polityki Nie krócej niż 3 lata po zakończeniu Konta (do obrony w ewentualnych sporach)
Dane o płatnościach i sprawozdawczość finansowa W terminach przewidzianych przez właściwe prawo podatkowe i księgowe (z reguły 3–7 lat)
Korespondencja ze wsparciem Do 2 lat od momentu zamknięcia zapytania
Dane związane z badaniem incydentów lub aktywnym sporem Do zakończenia odpowiednich postępowań i upływu terminów odwoławczych

Po upływie terminów dane są usuwane lub anonimizowane (sprowadzane do formy uniemożliwiającej identyfikację z konkretną osobą).

6.1. Dane listy oczekujących (waitlist) i powiązane zapisy techniczne

Niepotwierdzone zgłoszenia (email wskazany przez Państwa, ale potwierdzenie poprzez link z wiadomości email nie zostało wykonane): przechowywane są przez 24 (dwadzieścia cztery) godziny od momentu złożenia, po czym są automatycznie usuwane. Techniczny token potwierdzenia jest przechowywany w formie hasha i usuwany razem ze zgłoszeniem.

Potwierdzone zgłoszenia w części dotyczącej adresu email: przechowywane są do daty publicznego uruchomienia Platformy oraz przez 30 (trzydzieści) dni kalendarzowych po jednorazowym wysłaniu powiadomienia o uruchomieniu. Po upływie tego okresu adres email i powiązane z nim dane identyfikacyjne listy oczekujących są usuwane. Jeżeli do momentu usunięcia dana osoba samodzielnie przeszła rejestrację Biznesu z potwierdzeniem tego samego adresu email w trybie opisanym w § 2.2 niniejszej Polityki oraz § 4.4 Warunków korzystania, adres email jest przetwarzany w ramach cyklu życia Konta Właściciela Biznesu. Pozostałe dane listy oczekujących są usuwane zgodnie z niniejszą sekcją.

Minimalne zapisy atrybucji referral: Państwa osobisty kod referral, informacje o zaproszonych przez Państwa użytkownikach oraz informacje o atrybucji referral, za pomocą której Państwo trafili na listę oczekujących, są przechowywane oddzielnie przez okres obowiązywania odpowiednich bonusów referral oraz okres niezbędny do weryfikacji prawidłowości ich naliczenia, zgodnie z okresami określonymi w § 7.9 Warunków korzystania, w szczególności § 7.9.9, — jednak nie dłużej niż 12 (dwanaście) miesięcy kalendarzowych od momentu potwierdzenia Państwa email, chyba że co innego wynika z zastosowania bonusów do aktywnej subskrypcji.

Zapis anti-abuse złożenia zgłoszenia (hash adresu IP i minimalne cechy techniczne): przechowywany jest oddzielnie od zgłoszenia na listę oczekujących przez 30 (trzydzieści) dni kalendarzowych od momentu złożenia, po czym jest automatycznie usuwany. System nie przechowuje pierwotnego adresu IP w składzie zgłoszenia waitlist ani zapisu anti-abuse; hash jest wykorzystywany wyłącznie do porównywania powtarzających się zgłoszeń w ramach wskazanego okresu przechowywania w celu rate-limiting.

Cookie dps_ref na urządzeniu odwiedzającego: 30 (trzydzieści) dni kalendarzowych od momentu instalacji. Local Storage dps-cookie-consent i dps-site-theme: do wyraźnego usunięcia przez użytkownika za pomocą linku „Zarządzanie cookies” lub ustawień przeglądarki.

Żądania wycofania zgody: są przetwarzane w terminie nie dłuższym niż 30 (trzydzieści) dni kalendarzowych od ich otrzymania, z uwzględnieniem wskazanych wyżej wyjątków dotyczących minimalnych zapisów atrybucji referral, jeżeli w momencie wycofania takie zapisy są niezbędne do potwierdzenia bonusów naliczonych lub podlegających naliczeniu na rzecz osób trzecich — uczestników programu referral.

6.2. Cykl życia subskrypcji i usunięcie danych

Okresy przechowywania oraz procedura usunięcia danych osobowych Właściciela, treści wpisu działalności i powiązanych z nimi danych klientów w przypadku zakończenia okresu próbnego bez opłacenia płatnej subskrypcji, anulowania płatnej subskrypcji albo jej nieodnowienia są opisane w § 7.4 Warunków korzystania, w szczególności w postanowieniach dotyczących trybu zamrożenia, trybu archiwalnego, 90-dniowego okresu przechowywania, usuwania danych, wyjątków dla prawnie niezbędnych zapisów oraz czynności wrażliwych dostępnych wyłącznie dla Właściciela działalności.

Identyfikatory ochronne utworzone na podstawie identyfikatora Telegram i adresu email mogą być przechowywane przez okres niezbędny do zapobiegania nadużyciom okresu próbnego i ochrony prawnie uzasadnionych interesów Operatora. Adres email nie jest przechowywany w postaci jawnej, lecz jest przetwarzany jako kryptograficzny hash. Takie przechowywanie odbywa się na podstawie prawnie uzasadnionego interesu Operatora zgodnie z Art. 6(1)(f) GDPR, a hashowanie adresu email stanowi środek pseudonimizacji zgodnie z Art. 4(5) GDPR.

7. Państwa prawa

Zgodnie z RODO (artykuły 12–22) oraz analogicznymi normami prawa właściwego, w odniesieniu do Państwa danych osobowych mają Państwo następujące prawa:

7.1. Prawo dostępu (artykuł 15 RODO)

Mają Państwo prawo otrzymać od nas potwierdzenie, czy przetwarzane są dane Państwa dotyczące, a jeżeli tak — kopię przetwarzanych danych oraz informacje o celach, kategoriach, odbiorcach, okresach przechowywania, źródłach oraz istnieniu zautomatyzowanego podejmowania decyzji.

7.2. Prawo do sprostowania (artykuł 16 RODO)

Mają Państwo prawo żądać sprostowania danych nieprawidłowych lub niekompletnych. Większość danych mogą Państwo sprostować samodzielnie za pośrednictwem interfejsu Platformy.

7.3. Prawo do usunięcia („prawo do bycia zapomnianym”, artykuł 17 RODO)

Mają Państwo prawo żądać usunięcia swoich danych, gdy:

  • dane nie są już niezbędne do celów, dla których zostały zebrane;
  • cofnęli Państwo zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy;
  • sprzeciwiają się Państwo przetwarzaniu i nie występują nadrzędne prawnie uzasadnione podstawy;
  • dane były przetwarzane niezgodnie z prawem;
  • dane muszą być usunięte na mocy obowiązku prawnego.

Prawo do usunięcia nie ma zastosowania, gdy przechowywanie jest niezbędne do:

  • wypełnienia obowiązku prawnego (na przykład sprawozdawczość podatkowa);
  • ustalenia, dochodzenia lub obrony roszczeń prawnych (w tym dzienników akceptacji dokumentów — sekcja 2.6);
  • interesu publicznego w dziedzinie zdrowia publicznego;
  • celów archiwalnych, naukowych, badawczych lub statystycznych z odpowiednimi gwarancjami;
  • wolności wypowiedzi i informacji.

7.4. Prawo do ograniczenia przetwarzania (artykuł 18 RODO)

Mają Państwo prawo żądać ograniczenia przetwarzania w przypadkach, gdy kwestionują Państwo dokładność danych, uważają przetwarzanie za niezgodne z prawem, lub przetwarzanie nie jest już dla nas niezbędne, ale jest niezbędne dla Państwa do obrony praw.

7.5. Prawo do przenoszenia danych (artykuł 20 RODO)

Mają Państwo prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (na przykład JSON lub CSV) i przekazać je innemu administratorowi.

7.6. Prawo do sprzeciwu (artykuł 21 RODO)

Mają Państwo prawo sprzeciwić się przetwarzaniu opartemu na naszych prawnie uzasadnionych interesach (zob. sekcja 3). Zaprzestaniemy przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw lub że przetwarzanie jest niezbędne do obrony roszczeń prawnych.

W odniesieniu do marketingu bezpośredniego mają Państwo prawo sprzeciwić się bez żadnego uzasadnienia, a my niezwłocznie zaprzestaniemy przetwarzania w tych celach.

7.7. Prawo do wycofania zgody (artykuł 7 RODO)

Jeżeli przetwarzanie opiera się na Państwa zgodzie, mają Państwo prawo wycofać ją w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem.

7.8. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (artykuł 22 RODO)

Mają Państwo prawo nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, gdy takie decyzje wywołują wobec Państwa skutki prawne lub w podobny sposób istotnie na Państwa wpływają. Zob. sekcja 9.

7.9. Prawo do złożenia skargi do organu nadzorczego (artykuł 77 RODO)

Mają Państwo prawo złożyć skargę do organu nadzorczego ochrony danych, w pierwszej kolejności do organu kraju Państwa zwykłego pobytu, miejsca pracy lub miejsca rzekomego naruszenia.

Wykaz organów nadzorczych EOG: https://edpb.europa.eu/about-edpb/about-edpb/members_en.

Na Ukrainie — Pełnomocnik Rady Najwyższej Ukrainy ds. Praw Człowieka: https://www.ombudsman.gov.ua.

7.10. Jak realizować swoje prawa

Aby zrealizować jakiekolwiek z wymienionych praw, prosimy wysłać wniosek:

  • za pośrednictwem interfejsu Platformy (dla wybranych funkcji — usunięcie Konta, eksport danych);
  • na adres [email protected].

Odpowiadamy na wnioski w terminie 30 (trzydziestu) dni kalendarzowych. W skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne 60 dni, z powiadomieniem Państwa o powodach przedłużenia.

Realizacja praw jest bezpłatna, z wyjątkiem przypadków wniosków oczywiście nieuzasadnionych lub nadmiernych (na przykład powtarzających się), w których mamy prawo pobrać rozsądną opłatę lub odmówić rozpatrzenia z uzasadnieniem.

W celu potwierdzenia Państwa tożsamości przed rozpatrzeniem wniosku możemy zażądać dodatkowych danych. Jeżeli wniosek jest wysyłany ze zweryfikowanego adresu email powiązanego z Kontem, może to zostać uwzględnione jako jeden z czynników potwierdzenia tożsamości, lecz możemy zażądać dodatkowej weryfikacji, jeżeli wniosek dotyczy usunięcia, eksportu lub zmiany danych krytycznych lub jeżeli istnieje ryzyko nieautoryzowanego dostępu.

8. Cookies i podobne technologie

8.1. Co wykorzystujemy

Platforma działa głównie jako Telegram Mini App, dlatego tradycyjne „cookies” są wykorzystywane w ograniczonym zakresie. Stosujemy następujące technologie przechowywania danych na Państwa urządzeniu:

  • localStorage i sessionStorage w Telegram Mini App — do przechowywania ustawień języka, wskaźnika akceptacji Warunków oraz pamięci podręcznej interfejsu;
  • techniczne identyfikatory sesji — wyłącznie do autoryzacji, bez śledzenia reklamowego między różnymi usługami.

Nie wykorzystujemy cookies do śledzenia Państwa w innych aplikacjach i witrynach internetowych i nie przekazujemy cookies osobom trzecim w celach reklamowych.

8.2. Zarządzanie

Mogą Państwo wyczyścić pamięć lokalną za pośrednictwem ustawień przeglądarki lub Telegrama. Wyczyszczenie spowoduje konieczność ponownego wybrania języka i ponownej akceptacji Warunków przy następnym uruchomieniu.

9. Zautomatyzowane podejmowanie decyzji i profilowanie

9.1. Co robimy

Stosujemy zautomatyzowane przetwarzanie do:

  • technicznego funkcjonowania Platformy (na przykład wyświetlanie Wpisów Firm w zależności od wybranej kategorii i języka);
  • wykrywania nadużyć (na przykład oznak manipulacji, spamu, oszustw);
  • ograniczania częstotliwości żądań (rate limiting) w celu ochrony przed atakami;
  • weryfikacji przestrzegania ograniczeń terytorialnych (sekcja 3.4 Warunków korzystania).

9.2. Czego nie robimy

Nie podejmujemy zautomatyzowanych decyzji wywołujących wobec Państwa skutki prawne lub w podobny sposób istotnie na Państwa wpływających, opartych wyłącznie na zautomatyzowanym przetwarzaniu.

Decyzje o zastosowaniu środków reagowania o istotnych skutkach (stałe zablokowanie Konta, usunięcie Wpisu Firmy) są podejmowane z udziałem człowieka lub podlegają przeglądowi z udziałem człowieka na Państwa żądanie. Jeżeli uważają Państwo, że wobec Państwa została podjęta decyzja oparta wyłącznie na zautomatyzowanym przetwarzaniu i pragną Państwo jej przeglądu, prosimy o wiadomość na adres [email protected].

10. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne odpowiadające w rozsądnym stopniu ryzykom przetwarzania:

  • szyfrowanie danych przesyłanych (HTTPS/TLS);
  • szyfrowanie danych w spoczynku w części technicznie dostępnej dostawcy infrastruktury;
  • ograniczenie dostępu pracowników i wykonawców zgodnie z zasadą minimalnych uprawnień;
  • dzienniki dostępu do danych wrażliwych;
  • kopie zapasowe z regularną weryfikacją integralności;
  • aktualizację zależności i audyt podatności;
  • uwierzytelnianie dwuskładnikowe dla kont administracyjnych;
  • monitorowanie błędów i incydentów za pośrednictwem wyspecjalizowanej usługi z priorytetem korzystania z regionu UE, jeżeli ten region jest dostępny i skonfigurowany;
  • szkolenie pracowników w zasadach przetwarzania danych osobowych (w miarę rozwoju zespołu).

10.1. Powiadomienie o naruszeniu ochrony danych osobowych (Data Breach)

W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko dla praw i wolności Użytkowników:

  • powiadamiamy właściwy organ nadzorczy w terminie 72 godzin od momentu wykrycia (artykuł 33 RODO);
  • jeżeli naruszenie powoduje wysokie ryzyko, powiadamiamy zainteresowanych Użytkowników bezpośrednio bez zbędnej zwłoki na ich zweryfikowany adres email (artykuł 34 RODO);
  • badamy przyczyny i podejmujemy środki zapobiegające powtórzeniu się.

11. Dzieci

Platforma nie jest przeznaczona dla osób poniżej 18 roku życia. Świadomie nie zbieramy danych o dzieciach. Jeżeli dowiemy się, że dane osoby poniżej 18 roku życia zostały zebrane w wyniku korzystania z Platformy, usuwamy takie dane przy najbliższej możliwości, z wyjątkiem danych, które jest niezbędne tymczasowo zachować ze względów bezpieczeństwa, zapobiegania nadużyciom lub wypełnienia obowiązku prawnego.

Jeżeli są Państwo rodzicem lub przedstawicielem ustawowym i uważają, że Państwa dziecko uzyskało dostęp do Platformy i przekazało nam dane, prosimy o wiadomość na adres [email protected], a usuniemy dane.

12. Zmiany Polityki

Mamy prawo wprowadzać zmiany do Polityki. O istotnych zmianach informujemy Właścicieli Wpisów Firm na ich zweryfikowany adres email co najmniej 14 dni kalendarzowych przed ich wejściem w życie. Dodatkowo zmiany są publikowane na Platformie. Data ostatniej aktualizacji jest wskazana na początku dokumentu.

Historia wersji. Aktualna wersja Polityki jest publikowana na stronie https://damosta.com/privacy. Wszystkie poprzednie wersje są przechowywane i dostępne za pośrednictwem stałych linków w archiwum wersji na stronie https://damosta.com/privacy/history. Na żądanie udostępniamy Państwu poprzednie wersje Polityki.

13. Klauzule jurysdykcyjne

13.1. Dla użytkowników w Unii Europejskiej

Właściwe prawo o ochronie danych: RODO (Rozporządzenie (UE) 2016/679) oraz krajowe ustawy państw członkowskich EOG. Organ nadzorczy: wskazany w sekcji 7.9.

13.2. Dla użytkowników na Ukrainie

Właściwe prawo: ustawa Ukrainy „O ochronie danych osobowych”. Organ nadzorczy: Pełnomocnik Rady Najwyższej Ukrainy ds. Praw Człowieka.

13.3. Dla użytkowników w Wielkiej Brytanii

Właściwe prawo: UK GDPR i Data Protection Act 2018. Organ nadzorczy: Information Commissioner’s Office (ICO).

13.4. Dla użytkowników w innych krajach

Właściwe prawo o ochronie danych kraju Państwa zamieszkania, w zakresie, w jakim jego normy bezwzględnie obowiązujące mają zastosowanie.

14. Języki

Polityka jest publikowana w wielu językach. Wersją prawnie wiążącą jest wersja w języku ukraińskim. Tłumaczenia są udostępniane dla wygody Użytkowników i nie mają pierwszeństwa nad wersją wiążącą. Jeżeli bezwzględnie obowiązujące prawo właściwe kraju zamieszkania Użytkownika-konsumenta wymaga udostępnienia dokumentu w języku urzędowym tego kraju lub przyznaje konsumentowi ochronę niezależnie od wybranego języka, takie wymogi pozostają w mocy w części obowiązkowej.

15. Kontakty

W sprawach przetwarzania danych osobowych: [email protected] Realizacja praw osoby, której dane dotyczą: [email protected] Powiadomienia o incydentach bezpieczeństwa: [email protected] Przedstawiciel w UE (jeżeli ma zastosowanie, artykuł 27 RODO): zostanie wskazany po ocenie konieczności — zob. część 1.1 IOD/DPO (jeżeli ma zastosowanie): zostanie wskazany po ocenie konieczności — zob. część 1.2

Dane prawne Administratora: zostaną wskazane po rejestracji osoby prawnej — zob. docs/legal/launch_checklist.md, część 3.1.

Załącznik A: Krótkie podsumowanie (TL;DR)

Jeżeli nie mają Państwo czasu czytać wszystkiego — najważniejsze:

  1. Otrzymujemy od Telegrama wyłącznie podstawowe dane, które Telegram przekazuje za pośrednictwem Mini App: ID, imię, nazwa użytkownika, język, a także zdjęcie profilowe lub inne wskaźniki techniczne — jeżeli Telegram przekazuje takie pola.
  2. Dla Właścicieli Wpisów Firm dodatkowo wymagany jest zweryfikowany adres email — jest to formalny kanał komunikacji i jest obowiązkowy do utworzenia Wpisu Firmy.
  3. Przechowujemy to, co Państwo sami publikują w ramach Wpisu Firmy (teksty, fotografie, kontakty).
  4. Nie sprzedajemy Państwa danych.
  5. Nie pokazujemy Państwu reklamy osób trzecich.
  6. Nie przekazujemy danych sieciom reklamowym.
  7. Przechowujemy dane na serwerach w Niemczech (Frankfurt, DigitalOcean).
  8. Korzystamy z dostawców usług (Cloudflare, DigitalOcean, Resend, Sentry). Przed publicznym uruchomieniem ostateczny wykaz dostawców, regiony przetwarzania i umowy powierzenia przetwarzania zostaną zweryfikowane i sformalizowane.
  9. Mają Państwo prawo wglądu do swoich danych, ich sprostowania, usunięcia oraz uzyskania ich w pliku. Prosimy o wiadomość na adres [email protected], a rozpatrzymy Państwa wniosek zgodnie z niniejszą Polityką.
  10. Jeżeli coś jest nie tak, prosimy o wiadomość na adres [email protected] lub skargę do organu nadzorczego kraju Państwa zamieszkania.
  11. Jeżeli mają Państwo mniej niż 18 lat, Platforma nie jest dla Państwa, prosimy z niej nie korzystać.

Koniec dokumentu „Polityka Prywatności Platformy DAMOSTA”, wersja 1.0 (zamknięta faza testowa).

Wszystkie otwarte decyzje wymagające zamknięcia przed publicznym uruchomieniem są wymienione w docs/legal/launch_checklist.md, część 3.

Archiwum poprzednich wersji: historia wersji