Polityka prywatności

1. Administrator danych

Administratorem danych osobowych przetwarzanych w serwisie to-dziś.pl jest PIOTR SZYSZKOWIAK COMPANY, ul. Jesionowa 72 lok. 3, 50-504 Wrocław, NIP: 8992894481, REGON: 388309165. Forma prawna: indywidualna działalność gospodarcza. Działalność jest wykonywana od 2 marca 2021 r..

Kontakt w sprawach prywatności i realizacji praw RODO: info@to-dzis.pl.

Administrator wyznacza Inspektora Ochrony Danych. Kontakt do IOD: info@to-dzis.pl.

2. Jakie dane przetwarzamy

• dane konta organizatora: adres e-mail, hasło w formie technicznie zabezpieczonej, status konta i identyfikatory sesji
• dane wesela: imiona pary, data, miejsca uroczystości, treści strony, szablon i ustawienia prywatności
• dane gości: imię i nazwisko lub nazwa wyświetlana, e-mail, status RSVP, liczba osób, preferencje dietetyczne, wiadomości i notatki podane przez organizatora lub gościa
• treści użytkowników: zdjęcia, podpisy, życzenia, reakcje, lista prezentów i rezerwacje prezentów
• dane techniczne: adres IP, typ urządzenia, przeglądarka, logi bezpieczeństwa, informacje o błędach i zdarzeniach systemowych
• dane płatności i fakturowe: status planu, identyfikatory transakcji i klienta u operatora płatności, dane nabywcy potrzebne do rozliczenia; serwis nie powinien przechowywać pełnych danych kart płatniczych

3. Cele i podstawy prawne

• utworzenie i utrzymanie konta oraz strony wesela: wykonanie umowy lub działania przed jej zawarciem
• udostępnienie strony gościom, obsługa RSVP, galerii, życzeń i prezentów: wykonanie usługi oraz prawnie uzasadniony interes pary i administratora
• obsługa płatności, faktur i rozliczeń: wykonanie umowy oraz obowiązki prawne
• kontakt, wsparcie i reklamacje: wykonanie umowy lub prawnie uzasadniony interes
• późniejsza komunikacja wspomnieniowa lub marketingowa do gości: zgoda osoby, której dane dotyczą
• bezpieczeństwo, zapobieganie nadużyciom, logi techniczne i diagnostyka: prawnie uzasadniony interes
• analityka i marketing: zgoda, jeśli używane są narzędzia wymagające zgody

4. Odbiorcy danych i podwykonawcy

Dane mogą być przekazywane dostawcom usług niezbędnych do działania produktu: hostingowi aplikacji, bazie danych i autoryzacji, storage zdjęć, poczcie transakcyjnej, operatorowi płatności, narzędziom analitycznym, monitoringowi błędów, obsłudze backupów oraz podmiotom świadczącym wsparcie techniczne.

Płatności obsługuje PayU S.A. z siedzibą w Poznaniu, operator serwisu PayU. Operator płatności może działać jako niezależny administrator danych płatnika w zakresie wymaganym do obsługi transakcji i obowiązków prawnych operatora płatności.

Aktualna infrastruktura produkcyjna obejmuje Vercel jako hosting aplikacji, Supabase jako bazę danych i autoryzację, Cloudflare R2 jako storage obrazów, Resend jako e-mail transakcyjny, PayU jako operatora płatności oraz Google Analytics jako analitykę uruchamianą po zgodzie użytkownika.

5. Transfer poza EOG

Jeżeli dostawcy infrastruktury lub płatności przetwarzają dane poza Europejskim Obszarem Gospodarczym, transfer powinien odbywać się na podstawie odpowiednich zabezpieczeń, takich jak standardowe klauzule umowne lub inne mechanizmy przewidziane przez RODO.

6. Okres przechowywania

• dane konta: przez czas posiadania konta, a po usunięciu przez okres wymagany do rozliczeń, obrony roszczeń lub spełnienia obowiązków prawnych
• dane wesela, RSVP, lista gości, zdjęcia, życzenia, reakcje, FAQ, harmonogram i lista prezentów: przez aktywny opłacony okres dostępu, czyli 12 miesięcy od daty zakupu; każda kolejna płatność przedłuża przechowywanie i dostęp o kolejny rok
• po zakończeniu opłaconego okresu dostęp do strony może zostać zablokowany, a dane strony wesela powinny zostać usunięte albo zanonimizowane, z wyjątkiem danych, które trzeba przechowywać ze względu na obowiązki prawne, rozliczenia, reklamacje, bezpieczeństwo lub obronę roszczeń
• dane płatności i księgowe: przez okres wymagany przepisami podatkowymi i rachunkowymi
• korespondencja kontaktowa i reklamacyjna: przez czas obsługi zgłoszenia, a następnie przez okres niezbędny do obrony roszczeń
• logi techniczne: przez możliwie krótki okres potrzebny do bezpieczeństwa i diagnostyki

7. Prawa osób, których dane dotyczą

Osobom, których dane dotyczą, przysługuje prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu oraz cofnięcia zgody, jeśli przetwarzanie odbywa się na podstawie zgody.

Żądania można kierować na info@to-dzis.pl. Odpowiedź powinna zostać udzielona w terminach wynikających z RODO.

8. Dane gości weselnych

Goście korzystają ze strony bez zakładania konta. Para młoda lub organizator decyduje, jakie dane gości wprowadza do systemu i jakie informacje udostępnia gościom.

Gość może poprosić parę lub administratora serwisu o usunięcie albo sprostowanie swoich danych, jeśli są przetwarzane w ramach strony wesela.

9. Cookies i localStorage

Serwis używa cookies, localStorage i podobnych technologii do logowania, utrzymania sesji, zapamiętania ustawień, obsługi anonimowej sesji gościa, bezpieczeństwa oraz działania koszyka lub płatności.

Serwis używa Google Analytics do pomiaru odwiedzin, źródeł ruchu i sposobu korzystania z funkcji wyłącznie po uzyskaniu zgody użytkownika przez baner cookie consent.

Użytkownik może odmówić zgody na analitykę. Mechanizm cofnięcia lub zmiany zgody powinien zostać udostępniony przed publicznym startem produkcyjnym.

10. Bezpieczeństwo

• komunikacja powinna odbywać się przez HTTPS
• dostęp organizatora jest chroniony kontem i sesją
• dostęp gości może być ograniczony hasłem strony
• dane między weselami powinny być izolowane przez reguły dostępu i RLS
• hasło wejścia na stronę wesela powinno być przechowywane jako hash przed startem produkcyjnym

11. Skarga do organu nadzorczego

Osoba, której dane dotyczą, ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uzna, że przetwarzanie narusza przepisy RODO.