Polityka Prywatności

Wersja obowiązująca od: [DATA_OBOWIĄZYWANIA] · Ostatnia aktualizacja: [DATA_AKTUALIZACJI]

Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych Użytkowników aplikacji mobilnej oraz serwisu internetowego Opieko (dalej: „Aplikacja"), służących do kojarzenia osób poszukujących opieki (Zleceniodawców) z opiekunami (Opiekunami). Dokument przygotowano w zgodzie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: „RODO") oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.

1. Administrator danych

Administratorem danych osobowych jest [NAZWA_PODMIOTU] z siedzibą pod adresem [ADRES_SIEDZIBY], wpisany do [KRS / CEIDG] pod numerem [NUMER], NIP: [NIP], REGON: [REGON] (dalej: „Administrator" lub „Opieko").

2. Dane kontaktowe

W sprawach związanych z przetwarzaniem danych osobowych prosimy o kontakt:

E-mail: [EMAIL_KONTAKT]
Adres korespondencyjny: [ADRES_KORESPONDENCYJNY]
Inspektor Ochrony Danych (jeśli powołany): [EMAIL_IOD]

3. Zakres przetwarzanych danych

W zależności od sposobu korzystania z Aplikacji przetwarzamy następujące kategorie danych:

Dane konta: adres e-mail, hasło (w postaci skrótu), identyfikator dostawcy logowania (Google, Apple, Meta), rola w Aplikacji (Zleceniodawca / Opiekun).
Dane profilu: imię i nazwisko, zdjęcie profilowe, data urodzenia, numer telefonu, adres lub obszar świadczenia usług, opis, doświadczenie, języki, dostępność.
Dane Podopiecznego (wprowadzane przez Zleceniodawcę): imię, wiek lub data urodzenia, opis stanu zdrowia w zakresie niezbędnym do wykonania usługi, preferencje.
Dane transakcyjne: historia rezerwacji, kwoty, status płatności, identyfikatory transakcji u operatora płatności (PayU), faktury, dane do faktury (w razie żądania).
Dane komunikacyjne: treść wiadomości wymienianych w Aplikacji między Zleceniodawcą a Opiekunem, oceny i recenzje.
Dane techniczne: identyfikator urządzenia, model urządzenia, system operacyjny i jego wersja, wersja Aplikacji, język, strefa czasowa, adres IP, identyfikator instalacji Firebase, tokeny powiadomień push.
Dane diagnostyczne: zdarzenia analityczne, raporty awarii (Firebase Crashlytics) — co do zasady zanonimizowane lub pseudonimizowane.
Dane lokalizacyjne: jeśli Użytkownik wyrazi zgodę — przybliżona lub dokładna lokalizacja w celu wyszukiwania ofert w pobliżu.
Dokumenty weryfikacyjne (dla Opiekunów, gdy mają zastosowanie): zaświadczenia, certyfikaty, dokument tożsamości na potrzeby weryfikacji KYC.

4. Cele i podstawy prawne przetwarzania

Cel	Podstawa prawna (RODO)	Okres
Założenie i prowadzenie konta, świadczenie usług Aplikacji	art. 6 ust. 1 lit. b — wykonanie umowy	do czasu usunięcia konta
Obsługa rezerwacji i płatności	art. 6 ust. 1 lit. b — wykonanie umowy	do zakończenia rezerwacji + okres reklamacyjny
Wystawianie faktur i obowiązki rachunkowo-podatkowe	art. 6 ust. 1 lit. c — obowiązek prawny (Ustawa o rachunkowości, Ustawa o VAT, raportowanie DAC7)	5 lat (lub dłużej, jeśli wymagają tego przepisy)
Komunikacja między Użytkownikami w ramach rezerwacji	art. 6 ust. 1 lit. b — wykonanie umowy	do usunięcia konta
Rozpatrywanie reklamacji	art. 6 ust. 1 lit. c — obowiązek prawny i art. 6 ust. 1 lit. f — prawnie uzasadniony interes	do upływu okresu przedawnienia roszczeń
Bezpieczeństwo Aplikacji, zapobieganie nadużyciom i oszustwom	art. 6 ust. 1 lit. f — prawnie uzasadniony interes	do 24 miesięcy od zdarzenia
Analityka i poprawa działania Aplikacji	art. 6 ust. 1 lit. a — zgoda (gdzie wymagana) lub art. 6 ust. 1 lit. f — prawnie uzasadniony interes	do 26 miesięcy
Wysyłka powiadomień push i wiadomości serwisowych	art. 6 ust. 1 lit. b — wykonanie umowy lub art. 6 ust. 1 lit. a — zgoda dla treści marketingowych	do wycofania zgody lub usunięcia konta
Dane dotyczące zdrowia Podopiecznego (kategorie szczególne)	art. 9 ust. 2 lit. a — wyraźna zgoda Zleceniodawcy	do usunięcia konta lub wycofania zgody
Dochodzenie i obrona roszczeń	art. 6 ust. 1 lit. f — prawnie uzasadniony interes	do upływu okresu przedawnienia

5. Odbiorcy danych

Dane mogą być przekazywane następującym kategoriom odbiorców:

Inni Użytkownicy Aplikacji — w zakresie niezbędnym do nawiązania kontaktu i realizacji rezerwacji (np. profil Opiekuna jest widoczny dla Zleceniodawców).
Google Ireland Ltd. — usługi Firebase (Authentication, Firestore, Cloud Functions, Storage, Cloud Messaging, Crashlytics, Analytics), Google Sign-In, Google Analytics.
Apple Distribution International Ltd. — usługi logowania „Zaloguj się przez Apple", APNs.
Meta Platforms Ireland Ltd. — usługi logowania „Kontynuuj z Meta" (Facebook Login). Zakres przekazywanych danych obejmuje informacje wymagane przez wybrany przez Użytkownika zakres uprawnień (np. publiczny profil, adres e-mail).
PayU S.A. z siedzibą w Poznaniu — obsługa płatności online.
Operatorzy map — Google Maps Platform (wyświetlanie map, geokodowanie).
Organy publiczne — w zakresie wymaganym przepisami prawa (np. KSeF, urzędy skarbowe, raportowanie DAC7).
Dostawcy usług IT, prawnych i księgowych — na podstawie umów powierzenia przetwarzania danych.

6. Przekazywanie danych poza EOG

Dane przechowywane są w infrastrukturze chmurowej w regionie europejskim (Firebase / Google Cloud — region europe-central2 oraz inne regiony UE). W niektórych przypadkach (np. systemy diagnostyczne dostawców) dane mogą być przetwarzane w państwach trzecich. W takich sytuacjach Administrator zapewnia odpowiedni stopień ochrony poprzez standardowe klauzule umowne przyjęte przez Komisję Europejską oraz inne środki zabezpieczające wymagane przez RODO.

7. Okres przechowywania danych

Dane przechowywane są przez okres niezbędny do realizacji celów, dla których zostały zebrane, a następnie do upływu terminów wynikających z przepisów (w szczególności rachunkowych, podatkowych i cywilnoprawnych — zwykle 5 lat). Konto Użytkownika oraz powiązane dane profilu są usuwane po zgłoszeniu żądania usunięcia konta, z zastrzeżeniem danych objętych obowiązkami ustawowymi, które są retencjonowane przez czas wymagany prawem.

8. Prawa Użytkownika

W związku z przetwarzaniem danych Użytkownikowi przysługują następujące prawa:

prawo dostępu do danych (art. 15 RODO),
prawo do sprostowania danych (art. 16 RODO),
prawo do usunięcia danych — „prawo do bycia zapomnianym" (art. 17 RODO),
prawo do ograniczenia przetwarzania (art. 18 RODO),
prawo do przenoszenia danych (art. 20 RODO),
prawo do sprzeciwu (art. 21 RODO),
prawo do wycofania zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem),
prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

W celu wykonania powyższych praw prosimy o kontakt na adres [EMAIL_KONTAKT].

9. Pliki cookies i analityka

Serwis internetowy Opieko wykorzystuje pliki cookies oraz Google Analytics (identyfikator pomiaru G-WCP80ZCR8P) w celach analitycznych i statystycznych. Aplikacja mobilna korzysta z Firebase Analytics oraz Crashlytics. Użytkownik może w dowolnym momencie wycofać zgodę na przetwarzanie danych w celach analitycznych w ustawieniach Aplikacji lub przeglądarki.

10. Usunięcie konta i danych

Użytkownik może w dowolnym momencie usunąć konto i powiązane dane:

w Aplikacji: Profil → Ustawienia → Usuń konto, lub
wysyłając wiadomość na adres [EMAIL_USUWANIE] z konta e-mail powiązanego z kontem w Aplikacji, podając w tytule „Żądanie usunięcia konta — Opieko".

Żądanie zostanie zrealizowane w terminie 30 dni od jego otrzymania. Niektóre dane (np. dokumenty księgowe, dane transakcyjne, dane objęte raportowaniem DAC7) mogą być retencjonowane przez okres wymagany przepisami prawa, jednak w sposób uniemożliwiający ich wykorzystanie do innych celów.

Jeżeli logowanie nastąpiło przez Facebook (Meta), żądanie usunięcia może być zgłoszone również poprzez ustawienia konta Facebook (Apps and Websites). W takiej sytuacji Administrator otrzymuje powiadomienie i usuwa odpowiednie dane zgodnie z polityką platformy Meta.

11. Bezpieczeństwo danych

Administrator stosuje techniczne i organizacyjne środki bezpieczeństwa adekwatne do ryzyka, w tym szyfrowanie połączeń (TLS), szyfrowanie danych w spoczynku (AES-256), szyfrowanie wybranych pól na poziomie aplikacji (m.in. PESEL, numer dokumentu tożsamości, NIP — w zakresie, w jakim są gromadzone), kontrolę dostępu opartą na rolach oraz reguły bezpieczeństwa Firestore stosujące zasadę domyślnej odmowy dostępu.

12. Dane dzieci

Aplikacja nie jest skierowana do osób poniżej 16 roku życia. Konto w Aplikacji może założyć wyłącznie osoba pełnoletnia. Dane Podopiecznego, który jest osobą małoletnią, mogą być przetwarzane wyłącznie przez Zleceniodawcę będącego jego przedstawicielem ustawowym lub osobą upoważnioną.

13. Zmiany polityki

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności. O istotnych zmianach Użytkownicy zostaną poinformowani z odpowiednim wyprzedzeniem za pośrednictwem Aplikacji lub wiadomości e-mail. Aktualna wersja Polityki dostępna jest zawsze pod adresem [ADRES_URL_POLITYKI].