Polityka prywatności

Administratorem danych osobowych w zakresie konta Klienta (właściciela katalogu) oraz danych zbieranych w domenie katalogio.pl jest [NAZWA SPÓŁKI / IMIĘ I NAZWISKO], z siedzibą pod adresem [ADRES SIEDZIBY], NIP [NIP] (dalej „Administrator”).

Kontakt w sprawach ochrony danych: [EMAIL DO SPRAW RODO].

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD). Obowiązek jego powołania podlega okresowej weryfikacji na podstawie art. 37 RODO.

Platforma działa w modelu wielodostępnym (SaaS). W zależności od kategorii danych występujemy w różnych rolach:

Jesteśmy administratorem

• danych konta Klienta (właściciela katalogu) — np. adres e-mail, dane rozliczeniowe;
• danych zbieranych bezpośrednio w serwisie katalogio.pl (formularz rejestracji, kontakt).

Jesteśmy podmiotem przetwarzającym (procesorem)

• w odniesieniu do danych wprowadzanych przez Klienta do jego katalogu (dane wystawców/specjalistów, dane osób kontaktujących się, zapisy na wydarzenia). W tym zakresie administratorem jest Klient, a my przetwarzamy te dane wyłącznie na jego udokumentowane polecenie, na podstawie umowy powierzenia (DPA, art. 28 RODO).

Przetwarzamy następujące kategorie danych w zależności od relacji:

Klient (właściciel katalogu)

• dane identyfikacyjne i kontaktowe (e-mail, nazwa katalogu, opcjonalnie dane firmy);
• dane rozliczeniowe (NIP, adres, historia płatności — obsługiwane przez Stripe);
• dane techniczne logowania (adres IP, identyfikator sesji, logi systemowe).

Wystawca / specjalista (dodawany przez Klienta lub samodzielnie)

• dane konta wystawcy (e-mail, zahaszowane hasło) oraz dane profilu publikowanego w katalogu.

Odwiedzający / osoba kontaktująca się (customer)

• dane kontaktowe i preferencje podane dobrowolnie (np. zapis na wydarzenie / RSVP, formularz kontaktowy);
• dane techniczne oraz pliki cookie (zob. sekcja 9).

Dane szczególnych kategorii (art. 9 RODO — m.in. dane o zdrowiu). Platforma nie jest przeznaczona do przetwarzania danych o stanie zdrowia ani innych danych wrażliwych. Klientom zabraniamy wprowadzania takich danych do pól niestandardowych i formularzy bez przeprowadzenia własnej oceny skutków (DPIA) i posiadania odpowiedniej podstawy prawnej. Interfejs ostrzega przy próbie utworzenia pól o nazwach sugerujących dane medyczne lub numer PESEL.

• art. 6 ust. 1 lit. b — wykonanie umowy o świadczenie usług (prowadzenie konta, udostępnianie funkcji katalogu);
• art. 6 ust. 1 lit. c — obowiązki prawne (m.in. wystawianie i przechowywanie faktur, rozpatrywanie reklamacji);
• art. 6 ust. 1 lit. f — prawnie uzasadniony interes (zapewnienie bezpieczeństwa, zapobieganie nadużyciom, dochodzenie roszczeń, analityka serwisu);
• art. 6 ust. 1 lit. a — zgoda (np. pliki cookie analityczne/marketingowe, komunikacja marketingowa) — możliwa do wycofania w każdej chwili.

• dane konta — przez okres aktywności konta oraz do 3 lat po jego zamknięciu (okres przedawnienia roszczeń);
• dane rozliczeniowe i faktury — 5 lat licząc od końca roku podatkowego (obowiązek podatkowy);
• logi systemowe — co do zasady do 90 dni;
• zapisy zgód (akceptacja regulaminu i polityki) — przez okres obowiązywania umowy i okres przedawnienia roszczeń (rozliczalność, art. 7 RODO);
• dane powierzone przez Klienta — przez czas obowiązywania umowy z Klientem; po jej zakończeniu Klientowi udostępniamy dane do eksportu, a następnie dane są trwale usuwane zgodnie z umową powierzenia.

Korzystamy z zaufanych dostawców (subprocesorów), którzy przetwarzają dane wyłącznie w naszym imieniu na podstawie umów powierzenia. Aktualny wykaz:

Wykaz może ulegać zmianie; aktualna lista subprocesorów jest udostępniana Klientom na żądanie oraz w ramach umowy powierzenia.

Część dostawców (m.in. Vercel, Stripe, Google) może przetwarzać dane w USA. Transfery odbywają się na podstawie odpowiednich zabezpieczeń, o których mowa w art. 46 RODO — standardowych klauzul umownych (SCC) lub uczestnictwa dostawcy w programie Data Privacy Framework (DPF). Kopię zabezpieczeń można uzyskać, kontaktując się pod adresem [EMAIL DO SPRAW RODO].

Przysługują Ci następujące prawa (art. 15–22 RODO):

• dostępu do danych oraz uzyskania ich kopii;
• sprostowania (poprawienia) danych;
• usunięcia danych („prawo do bycia zapomnianym”);
• ograniczenia przetwarzania;
• przenoszenia danych (w ustrukturyzowanym formacie, np. CSV/JSON);
• sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie;
• wycofania zgody w dowolnym momencie (bez wpływu na zgodność z prawem wcześniejszego przetwarzania).

Żądania realizujemy bez zbędnej zwłoki, nie później niż w ciągu 30 dni (art. 12 ust. 3 RODO). Jeżeli dane przetwarzamy jako procesor (dane w katalogu Klienta), przekażemy żądanie właściwemu administratorowi (Klientowi). Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO).

Wykorzystujemy pliki cookie oraz podobne technologie. Pliki niezbędne (sesja, bezpieczeństwo, zapis wyboru zgód) działają zawsze i nie wymagają zgody. Pliki analityczne i marketingowe uruchamiamy wyłącznie po wyrażeniu zgody w banerze cookie. Wybór możesz zmienić w każdej chwili, ponownie otwierając ustawienia cookie. Szczegóły dotyczące kategorii prezentuje baner zgody wyświetlany przy pierwszej wizycie.

Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka, w tym: szyfrowanie transmisji (TLS/HTTPS, HSTS), izolację danych między Klientami (Row Level Security), kontrolę dostępu opartą na rolach, haszowanie haseł (bcrypt), ograniczanie liczby żądań (rate limiting) oraz nagłówki bezpieczeństwa (m.in. CSP). Szczegółowy opis środków stanowi załącznik do umowy powierzenia (TOMs).

Nie podejmujemy wobec użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na nich wpływały (art. 22 RODO).

Możemy aktualizować niniejszą Politykę. O istotnych zmianach poinformujemy z wyprzedzeniem (np. e-mailem lub komunikatem w serwisie). Każda wersja jest oznaczona datą i numerem wersji widocznym na górze dokumentu; aktualnie obowiązuje wersja 2026-06-02.