Polityka Prywatności

Obowiązuje od: 10 czerwca 2026 r.

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest TKARTAS Tomasz Kartasiński, ul. 11 Listopada 3, 63-220 Kotlin, NIP: 617-204-10-92.

Kontakt w sprawach dotyczących danych osobowych: kontakt@ogarnijevent.com

2. Jakie dane zbieramy i w jakim celu

2.1. Konto użytkownika

Dane: adres e-mail, hasło (w formie skrótu kryptograficznego), rola (organizator / dostawca), data i wersja zaakceptowanego regulaminu i polityki prywatności, krótkotrwały token resetu hasła (generowany na żądanie), znaczniki czasu utworzenia i ostatniej modyfikacji konta
Cel: rejestracja i obsługa konta, uwierzytelnianie, dowód akceptacji regulaminu
Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO)
Okres przechowywania: do czasu usunięcia konta lub przez 3 lata od ostatniej aktywności

2.2. Profil dostawcy

Dane podstawowe: nazwa lokalu lub usługodawcy, opis działalności, typ świadczonych usług (np. lokal eventowy, catering, fotografia, muzyka, dekoracje, animacje), strona www
Lokalizacja: miasto, województwo, powiat, współrzędne geograficzne (szerokość i długość — wykorzystywane do wyszukiwania po odległości), promień obsługi (dla mobilnych usługodawców)
Pojemność i wyposażenie: maksymalna liczba gości, lista udogodnień (klimatyzacja, WiFi, scena, nagłośnienie, parking itp.), informacje o dostępności (parking, parking dla niepełnosprawnych, podjazd dla wózków)
Sale i kalendarz: nazwy i pojemność poszczególnych sal w lokalu, daty niedostępności
Zdjęcia: fotografie lokalu/usług — przechowywane na serwerze i publicznie dostępne pod adresami w domenie ogarnijevent.com/uploads/
Cel: prezentacja oferty w serwisie, wyszukiwanie przez Organizatorów
Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO)
Okres przechowywania: do czasu usunięcia profilu

2.3. Zapytania i wiadomości

Dane: dane kontaktowe Organizatora (e-mail z konta), planowana data wydarzenia, liczba gości, typ wydarzenia, notatki Organizatora, treść kolejnych wiadomości wymienianych z Dostawcą, status rozmowy
Cel: umożliwienie kontaktu między Organizatorem a Dostawcą oraz utrzymanie historii korespondencji
Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO)
Okres przechowywania: 2 lata od zakończenia korespondencji

2.4. Zaproszenia do dostawców (cold email)

Dane podstawowe: adres e-mail, nazwa lokalu/usługodawcy, adres pocztowy, numer telefonu, strona www
Dane techniczne z Google Places API: identyfikator miejsca Google (place_id), współrzędne geograficzne, godziny otwarcia, publiczne opinie i oceny, pełen zestaw metadanych zwracanych przez Google Places (przechowywany w formie JSON na potrzeby uzupełnienia profilu po przejęciu)
Dane wniosku o przejęcie profilu (jeśli dostawca odpowiedział): imię i nazwisko osoby składającej wniosek, jej adres e-mail, telefon kontaktowy, wiadomość uzupełniająca, znacznik czasu i wersja zaakceptowanego regulaminu
Cel: informowanie właścicieli lokali i usługodawców o możliwości bezpłatnego aktywowania profilu w serwisie oraz uzupełnienie profilu po pozytywnej weryfikacji wniosku
Podstawa prawna: prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) — promowanie platformy wśród podmiotów, których działalność jest publicznie dostępna; po złożeniu wniosku o przejęcie — wykonanie umowy (art. 6 ust. 1 lit. b RODO)
Okres przechowywania: do momentu rezygnacji z komunikacji (opt-out), aktywowania profilu lub usunięcia rekordu na żądanie
Prawo sprzeciwu: każdy odbiorca może w dowolnym momencie zrezygnować z dalszej komunikacji klikając link „opt-out" w wiadomości e-mail lub kontaktując się z administratorem

2.5. Pomiar skuteczności zaproszeń (cold email)

Dane: nieodwracalny skrót adresu IP urządzenia, z którego nastąpiło kliknięcie linku aktywacyjnego w wiadomości zaproszenia (skrót HMAC-SHA-256 z dedykowanym, tajnym kluczem aplikacji), znacznik czasu kliknięcia oraz identyfikator zaproszenia (token aktywacyjny)
Cel: mierzenie skuteczności komunikacji zaproszeń (ilość unikalnych kliknięć w okresie kampanii), wykrywanie duplikatów w 30-minutowym oknie czasowym
Czego NIE zbieramy: surowego adresu IP, nazwy ani wersji przeglądarki (User-Agent), żadnych plików cookie ani identyfikatorów reklamowych; skrót IP jest nieodwracalny i nie pozwala na identyfikację konkretnej osoby
Podstawa prawna: prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) — pomiar skuteczności własnej komunikacji marketingowej
Okres przechowywania: 90 dni od kliknięcia, następnie automatyczne usunięcie

2.6. Dane techniczne (logi serwera)

Dane: adres IP, typ przeglądarki, czas i adresy URL odwiedzanych stron, kody odpowiedzi serwera
Cel: zapewnienie bezpieczeństwa i diagnostyka błędów
Podstawa prawna: prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO)
Okres przechowywania: do momentu wyczyszczenia kontenera serwera lub rotacji logów, zazwyczaj nie dłużej niż 90 dni

3. Odbiorcy danych

Twoje dane mogą być przekazywane:

Dostawcy usług hostingowych i infrastruktury — serwer VPS, na którym działa platforma
Dostawcy usług e-mail — w celu wysyłania powiadomień korzystamy z Google Workspace (SMTP serwera Gmail z hasłem aplikacji)
Google LLC — w przypadku importu wstępnych profili lokali z publicznie dostępnych Map Google: korzystamy z Google Places API (zapytania o dane miejsc są kierowane do serwerów Google)
Innym Użytkownikom Serwisu — wyłącznie w zakresie niezbędnym do realizacji usługi (np. dane kontaktowe w zapytaniu trafiają do Dostawcy)

Dane nie są sprzedawane ani udostępniane podmiotom trzecim w celach marketingowych.

4. Twoje prawa

Przysługują Ci następujące prawa:

Dostęp — możesz zażądać informacji o przetwarzanych danych
Sprostowanie — możesz poprawić nieprawidłowe lub niekompletne dane
Usunięcie — możesz żądać usunięcia danych („prawo do bycia zapomnianym"); zalogowani Użytkownicy mogą skasować swoje konto w panelu konta (Ustawienia → Usuń konto)
Ograniczenie przetwarzania — możesz żądać wstrzymania przetwarzania danych
Przenoszenie danych — na żądanie wysłane na kontakt@ogarnijevent.com w ciągu 14 dni przygotujemy eksport Twoich danych (konto, Profil, zapytania, wiadomości) w formacie JSON
Sprzeciw — możesz wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie

Aby skorzystać z praw, skontaktuj się: kontakt@ogarnijevent.com

Masz również prawo do wniesienia skargi do Urzędu Ochrony Danych Osobowych (uodo.gov.pl).

5. Pliki cookie i sesja

Serwis używa wyłącznie niezbędnych plików cookie:

Cookie sesji użytkownika (PHPSESSID) — przechowuje identyfikator sesji zalogowanego użytkownika. Atrybuty: HttpOnly, Secure, SameSite=Lax. Tokeny CSRF chroniące formularze przechowywane są po stronie serwera w obrębie sesji — nie w cookie.

Serwis nie używa plików cookie w celach analitycznych ani reklamowych. Nie korzystamy z zewnętrznych narzędzi śledzenia użytkowników (Google Analytics, Facebook Pixel, Hotjar itp.).

6. Bezpieczeństwo danych

Połączenie z serwisem szyfrowane jest protokołem HTTPS (TLS)
Hasła przechowywane są w formie skrótu kryptograficznego generowanego algorytmem bcrypt (lub równoważnym wybranym automatycznie przez framework Symfony)
Sesje przechowywane są po stronie serwera
Wykonywane są okresowe ręczne kopie zapasowe bazy danych (pg_dump), dostępne na żądanie administratora
Treści formularzy są zabezpieczone tokenami CSRF, a polityka Content-Security-Policy blokuje wykonywanie nieautoryzowanych skryptów

7. Zmiany Polityki Prywatności

O istotnych zmianach Polityki Prywatności poinformujemy Użytkowników posiadających konta drogą mailową. Aktualna wersja zawsze dostępna jest pod adresem ogarnijevent.com/polityka-prywatnosci. Poprzednie wersje pozostają publicznie dostępne w celach archiwalnych pod adresami wskazanymi w stopce niniejszego dokumentu.

Wersje archiwalne: Polityka Prywatności z 8 czerwca 2026 r., Polityka Prywatności z 2 czerwca 2026 r.

TKARTAS Tomasz Kartasiński · ul. 11 Listopada 3, 63-220 Kotlin · NIP: 617-204-10-92 · kontakt@ogarnijevent.com