Wersja: v1.0 (DRAFT — wymaga review prawnika przed publikacją) Data publikacji: [DD-MM-RRRR — wpisać przy launch] Obowiązuje od: [DD-MM-RRRR]
⚠ Status: Draft generowany przez CC bazujący na
rodo_checklist_v1.md+ DDL 001-007 +routes_spec_v1.md. Wymaga review prawnika RODO przed publikacją naidziem.pl/polityka-prywatnosci. Placeholdery[…]do uzupełnienia przez Adriana.
1. Kim jesteśmy (Administrator)
Administrator danych osobowych: [Pełna nazwa prawna Podlaskie Papu Sp. z o.o. lub odpowiednia forma] NIP: [NIP Podlaskie Papu] REGON: [REGON] Adres: [ulica i numer], [kod pocztowy] Białystok, Polska Email: support@idziem.pl Telefon wsparcia: [22 ___ ___ ___]
Administrator strony: Adrian Czapla (właściciel) Inspektor Ochrony Danych (DPO): [TBD — opcjonalnie post-pilot wg RODO checklist sekcja 13.2; obecnie brak — zewnętrzne konsultacje na żądanie]
W tej polityce mówimy "my", "nas", "Podlaskie Papu" o sobie. "Ty", "klient" — to Ty.
2. Po co Ci ta polityka
Krótko: żebyś wiedział(a) jakie Twoje dane zbieramy, po co i jak długo. Plus znał(a) swoje prawa.
Polityka napisana prostym polskim. Bez prawniczego żargonu tam, gdzie się da. Tam, gdzie musi być formalnie (RODO Art. 13, 14) — oznaczone wyraźnie.
3. Jakie dane zbieramy i po co
3.1 Dane podstawowe (klient zarejestrowany)
| Dane | Po co | Podstawa prawna |
|---|---|---|
| Numer telefonu (E.164, np. +48 ___ ___ ___) | Logowanie · SMS od kuriera o dostawie · weryfikacja konta | Art. 6 ust. 1 lit. b RODO (umowa) |
| Magic link (logowanie/reset hasła) · faktury · powiadomienia o zamówieniu · (opt-in) marketing | Art. 6 ust. 1 lit. b RODO (umowa) + lit. a (zgoda dla marketingu) | |
| Imię i nazwisko (opcjonalnie) | Personalizacja interfejsu · faktury imienne | Art. 6 ust. 1 lit. b RODO |
| Hasło | Bezpieczne logowanie. Hasło hashowane (bcrypt cost 12) — NIE przechowujemy w czystej formie | Art. 6 ust. 1 lit. b RODO |
3.2 Adresy dostawy
- Ulica, numer mieszkania, kod pocztowy, miasto
- Współrzędne GPS (lat/lng) z geokodowania (sub-processor: OpenStreetMap Nominatim)
- Notatka dla kuriera (jeśli wpiszesz)
Po co: żeby kurier dotarł do Ciebie. Podstawa: Art. 6 ust. 1 lit. b RODO (umowa).
⚠ Ważne: w notatce dla kuriera nie wpisuj danych wrażliwych (np. "klucz pod wycieraczką") — notatkę widzi kurier oraz pracownik restauracji.
3.3 Dane wrażliwe zdrowotne — profil dietetyczny (dobrowolny)
Jeśli włączysz Allergen Shield (Profil dietetyczny): - Lista alergenów (np. gluten, orzechy) - Poziom reakcji per alergen ("ostrzeż" / "blokuj") - Subskrypcje diet (np. bezglutenowa, wegańska, cukrzycowa)
Po co: automatyczne blokowanie dań z Twoimi alergenami w katalogu i w koszyku.
Podstawa prawna: Art. 9 ust. 2 lit. a RODO — wyraźna zgoda. To dane wrażliwe zdrowotne.
Specjalne zabezpieczenia: - 2-stopniowy proces zgody z odliczaniem 3 sekund (anti-misclick) - Szyfrowanie kolumnowe (envelope encryption KEK) — administrator Podlaskie Papu widzi zaszyfrowany tekst, nie alergeny - Restauracje NIGDY nie widzą Twojego profilu — filtry działają po naszej stronie - Audyt log każdego dostępu do profilu
Wycofanie zgody: w każdej chwili przez "Profil → Dane dietetyczne → Usuń". Profil kasujemy natychmiast (hard delete).
3.4 Dane zamówień
- Co zamówiłeś (snapshot pricing — cena z momentu zakupu, niezmienialny)
- Kiedy złożyłeś
- Adres dostawy (kopia adresu w momencie placement, niezmienialna)
- Notatki dla kuriera/restauracji
- Status (przyjęte/przygotowywane/dostarczone/anulowane)
- Modyfikacje zamówienia (Q-9: do 15 min po przyjęciu)
Po co: żebyśmy mogli zrealizować zamówienie + księgowość + reklamacje + audyt. Podstawa: Art. 6 ust. 1 lit. b (umowa) + lit. c (Ordynacja Podatkowa, KSeF — 5 lat retention).
3.5 Dane płatności
NIGDY nie przechowujemy danych Twojej karty. Płatność idzie przez Przelewy24 (sub-processor). My widzimy tylko: - Kwotę zamówienia - Status płatności (oczekuje / opłacone / zwrócone / anulowane) - ID sesji P24 (do odniesienia w razie problemu)
Twoje dane karty / numer konta trafiają wprost do P24 — bezpiecznie, zgodnie ze standardem PCI-DSS. P24 jest osobnym Administratorem w zakresie tych danych.
3.6 Dane do faktur (KSeF)
Jeśli żądasz faktury VAT lub jesteś klientem firmowym: - NIP, nazwa firmy, adres rejestrowy
Po co: wystawienie faktury w systemie KSeF (Krajowy System e-Faktur). Podstawa: Art. 6 ust. 1 lit. c RODO + Ustawa o VAT + Ustawa o KSeF. Retention: 5 lat (Ordynacja Podatkowa).
3.7 Foto przy dostawie (opcjonalnie)
Kurier robi zdjęcie paczki przy dostawie (np. pod drzwiami) — jako dowód, że dotarło.
Co widać na zdjęciu: paczka. Co NIE powinno być widać: ludzie, twarze, wnętrze mieszkania (kurier instruowany).
Podstawa: Art. 6 ust. 1 lit. f RODO (rozliczalność dostawy) + lit. a (Twoja zgoda — możesz wyłączyć foto w zamówieniu).
Retention foto: 30 dni domyślnie (90 dni przy reklamacji). Po tym terminie automatycznie usuwane.
3.8 Recenzje i oceny
- Twoja ocena restauracji + dostawy (1-5 gwiazdek)
- Komentarz tekstowy (opcjonalny)
- Tagi "co poszło nie tak" (zimne, spóźnione, etc.)
Faza 1 pilotu (4 tygodnie): recenzje prywatne — widzi je tylko restauracja i Podlaskie Papu. Po pilotażu: możliwość włączenia publicznych recenzji (po decyzji Podlaskie Papu, z Twoją wiedzą).
Anonimizacja po erasure: po usunięciu konta Twoje recenzje pozostają (treść + ocena = informacja publiczna istotna dla innych klientów), ale są przepisywane na "Klient anonimowy".
3.9 Dane techniczne (audit log + observability)
Logujemy: - Próby logowania (data, czas, sukces/porażka, IP) - Zmiany w profilu (kto, kiedy, co) - Zamówienia (placement, modyfikacja, anulowanie, refund) - Krytyczne błędy w aplikacji
Po co: bezpieczeństwo + wykrywanie nadużyć + rozliczalność RODO Art. 5.2. Podstawa: Art. 6 ust. 1 lit. f RODO (uzasadniony interes — bezpieczeństwo). Retention: 3 lata.
3.10 Cookies i analytics
Używamy: - Niezbędne cookies — sesja, zalogowanie. Bez tych aplikacja nie zadziała. Bez zgody (Art. 6.1.b). - Plausible.io (analytics) — self-hosted, prywatne. NIE śledzimy unikalnych użytkowników. NIE używamy Google Analytics, Meta Pixel ani podobnych.
⚠ Marketing cookies: w MVP nie używamy. Jeśli kiedyś włączymy — zapytamy o zgodę banner.
4. Komu udostępniamy Twoje dane (sub-processors)
Niektórych usług nie robimy sami. Współpracujemy z:
| Sub-processor | Do czego | Lokalizacja | Status |
|---|---|---|---|
| Hetzner Online GmbH | Hosting serwerów + backup BX11 | Niemcy (Falkenstein/Helsinki) | DPA standardowy Hetzner |
| Przelewy24 (PayPro S.A.) | Płatności online | Polska | DPA + PCI-DSS |
| Ministerstwo Finansów (KSeF) | E-faktury | Polska | Statutowy (KSeF Act) |
| [Twilio lub PL provider — TBD] | SMS gateway | EU/USA (zgodnie z dostawcą) | DPA + Standard Contractual Clauses (jeśli USA) |
| AWS S3 lub Hetzner Storage Box (TBD) | Foto przy dostawie | EU (eu-central-1) | DPA |
| OpenStreetMap Nominatim | Geokodowanie adresów | Niemcy | Public API, anonymous query |
Co dostają: tylko niezbędne minimum dla swojej usługi (np. Twilio dostaje numer telefonu i treść SMS, ale nie email czy historię zamówień).
Restauracje (4 pilotażowe): dostają tylko dane potrzebne do realizacji Twojego zamówienia (imię, adres dostawy, numer zamówienia, items + modyfikatory + customer_notes). NIE widzą: Twojego numeru telefonu, emaila, historii zamówień ani profilu dietetycznego.
Kurierzy: widzą imię, telefon (do kontaktu), adres dostawy, numer zamówienia. NIE widzą: profilu dietetycznego ani historii.
Aktualizacje listy sub-processors: publikujemy w tej polityce. Dla istotnych zmian — powiadomienie email do klientów.
5. Jak długo przechowujemy dane (retention)
Generalna zasada: najkrócej, jak się da, biorąc pod uwagę obowiązki prawne.
| Dane | Retention | Po terminie |
|---|---|---|
| Profil klienta (telefon, email, imię) | aktywne konto + 5 lat po ostatnim zamówieniu | anonimizacja |
| Adresy dostawy | aktywne + 3 lata | redact + soft delete |
| Profil dietetyczny (Art. 9) | aktywne + wycofanie zgody = natychmiast hard delete | hard delete |
| Zamówienia (orders) | 5 lat (Ordynacja Podatkowa) | redact PII, retain id+kwota |
| Płatności | 5 lat (księgowe) | retain |
| Faktury KSeF | 5 lat | retain (NIGDY hard delete) |
| Foto przy dostawie | 30 dni (90 dni przy reklamacji) | hard delete S3 |
| Recenzje | aktywne + 3 lata | anonimize customer_id |
| Audit log | 3 lata | anonimize actor_id |
| Cookies sesji | sesja (do logout) | usunięte |
| Tokeny magic link | 60 minut | usunięte |
| Dziennik zgód RODO | permanent (Art. 7.1 — dowód) | NIGDY delete |
6. Twoje prawa (RODO Art. 15-22)
Masz prawo do:
6.1 Wglądu w swoje dane (Art. 15)
"Co o mnie macie?" — kliknij Profil → Pobierz moje dane. Otrzymasz pakiet JSON+CSV z wszystkimi danymi w 24h email.
6.2 Sprostowania (Art. 16)
Edytuj profil w aplikacji. Niezgodności w istniejących zamówieniach (np. snapshot adresu) — zostają, bo to księgowy dowód. Profile current — możesz zmieniać.
6.3 Usunięcia / "prawa do bycia zapomnianym" (Art. 17)
Profil → Usuń konto.
Jak to działa: 1. Cooling period 7 dni — zmieniasz zdanie, możesz cofnąć 2. Po 7 dniach: anonimizacja (telefon → REDACTED, email → null, name → "Klient anonimowy") 3. Wyjątki retention: zamówienia + płatności + faktury 5 lat (księgowe), audit_log 3 lata (security). Te zachowane ale anonimizowane (Twoje id zastąpione anonim_id).
⚠ Jeśli masz otwartą reklamację lub nieskończony refund — usunięcie wstrzymane do zamknięcia sprawy (legal hold).
6.4 Ograniczenia przetwarzania (Art. 18)
Kwestionujesz poprawność danych? Profil → Ogranicz przetwarzanie. Blokujemy wszystkie nie-niezbędne operacje do weryfikacji.
6.5 Przenoszenia (Art. 20)
Format machine-readable JSON+CSV. Razem z prawem wglądu (sekcja 6.1).
6.6 Sprzeciwu (Art. 21)
Marketing email: Profil → Powiadomienia → wyłącz marketing. Nie wyślemy więcej.
6.7 Automatycznych decyzji (Art. 22)
Tryb Zaufaj Mi — proponujemy danie na podstawie historii. NIE jest to "decyzja w istotny sposób wpływająca na Ciebie" w rozumieniu Art. 22 — zawsze możesz odrzucić propozycję.
Jak działa ranker: - Częstotliwość zamówień × 0.4 - Świeżość (jak dawno ostatnio) × 0.2 - Twoja ocena restauracji × 0.2 - Nowość (czego jeszcze nie próbowałeś) × 0.1 - Czas przygotowania × 0.1 - Wyłączenie dań z Twoimi alergenami severe + ostatnich 2 zamówień
6.8 Prawo skargi
Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO): ul. Stawki 2, 00-193 Warszawa uodo.gov.pl kancelaria@uodo.gov.pl
7. Bezpieczeństwo
Co robimy: - TLS 1.3 dla wszystkich połączeń (HTTPS mandatory) - Encryption at rest (TDE Postgres + envelope encryption KEK dla profilu dietetycznego, P24 secrets, IBAN klientów) - Hashed passwords (bcrypt cost 12) - 2FA TOTP dla pracowników Podlaskie Papu (zarządzanie systemem) - Permission matrix RBAC — restauracje + kurierzy widzą tylko niezbędne minimum - Audit log wszystkich krytycznych operacji - Backup encrypted (BX11 restic z passphrase) - Incident response 72h — w razie naruszenia powiadamiamy UODO + (jeśli wysokie ryzyko) Ciebie
W razie incydentu (Art. 33-34 RODO): - 72h na zgłoszenie do UODO (od momentu wykrycia) - Powiadomienie Cię SMS + email gdy ryzyko wysokie (np. wyciek hasła + emaila)
8. Twoja zgoda — co i kiedy
Udzielasz zgody explicite (świadomie):
| Zgoda | Kiedy | Czy wymagana? |
|---|---|---|
| Akceptacja Regulaminu | Rejestracja | TAK (umowa) |
| Akceptacja Polityki Prywatności | Rejestracja | TAK (informacja) |
| Profil dietetyczny (Art. 9) | "Włącz Allergen Shield" — 2-step + 3s countdown | TYLKO jeśli włączasz profil |
| Marketing email | Checkbox w checkout (domyślnie OFF) | DOBROWOLNA |
| Cookies analytics | Brak banneru w MVP — używamy tylko Plausible self-hosted bez identyfikacji | n/a |
| Foto przy dostawie | Domyślnie ON; wyłącz w zamówieniu | DOBROWOLNA opt-out |
Każdą zgodę możesz wycofać. Profil → Zgody RODO — historia + przyciski cofnięcia.
9. Transfer poza EOG
W obecnej konfiguracji większość naszych sub-processors działa w EU (Hetzner DE, P24 PL, KSeF PL).
Wyjątki: - Twilio (jeśli wybrany jako SMS provider) — może mieć dataresidency US. W tym wypadku transfer odbywa się na podstawie Standard Contractual Clauses (SCC) zatwierdzonych przez Komisję Europejską + dodatkowe zabezpieczenia.
Aktualny status SMS providera: TBD pre-pilot (decyzja techniczna Adriana). Aktualizacja w tej polityce gdy wybrany.
10. Wersjonowanie i zmiany
Wersja: v1.0 Data publikacji: [DD-MM-RRRR]
Każda zmiana otrzymuje numer wersji + datę. Istotne zmiany (sub-processors, cele przetwarzania, nowe kategorie danych): - Powiadomienie email - Banner w aplikacji przy logowaniu z linkiem do nowej wersji - (W razie zmiany legal_basis dla istniejących danych) — prośba o re-consent
Twoja zgoda zapisuje wersję polityki, którą zaakceptowałeś. Tę można podejrzeć w Profil → Zgody RODO.
11. Dla rodziców — usługa nie dla dzieci
Aplikacja nie jest skierowana do osób poniżej 16 lat. Nie zbieramy świadomie danych dzieci.
Jeśli jesteś rodzicem i myślisz, że dziecko korzystało bez Twojej wiedzy — napisz do nas (support@idziem.pl), a usuniemy konto i dane.
12. Kontakt
Pytania o RODO, prawa, dostęp do danych?
Email: rodo@idziem.pl (dedykowany dla spraw RODO) lub support@idziem.pl Telefon: [22 ___ ___ ___] Pocztą: [adres Podlaskie Papu]
Termin odpowiedzi: 30 dni od otrzymania (RODO Art. 12.3) — w skomplikowanych sprawach do 60 dni z uzasadnieniem.
13. Postanowienia końcowe
- Polityka obowiązuje od dnia publikacji
- Wcześniejsze wersje archiwizowane wewnętrznie (nie publikowane), dostępne na żądanie
- W kwestiach nieuregulowanych — przepisy RODO + Ustawa o ochronie danych osobowych z 10 maja 2018
- Spory rozstrzygane przez sąd właściwy dla siedziby Podlaskie Papu (lub dla konsumenta — sąd właściwy dla jego miejsca zamieszkania, zgodnie z Ustawą o prawach konsumenta)
ZAŁĄCZNIK A — wykaz podstaw prawnych per touchpoint
| Touchpoint | Encja DDL | Legal basis Art. 6 |
|---|---|---|
| Rejestracja telefonem | customers + rodo_consent_log | b (umowa) |
| Login/2FA TOTP | customers + audit_log | b (umowa) + f (security) |
| Adres dostawy | customer_addresses | b (umowa) |
| Profil dietetyczny | customer_dietary_profiles | 9.2.a (wyraźna zgoda) + 6.1.a |
| Złożenie zamówienia | orders + order_items | b (umowa) |
| Płatność P24 | payments | b (umowa) |
| Modyfikacja zamówienia | order_modifications | b (umowa) |
| Tracking GPS kuriera | order_delivery_events | b (umowa — informacja klientowi) |
| Foto przy dostawie | order_delivery_proofs | f (rozliczalność) + a (consent opt-out) |
| Recenzje | reviews | b (umowa — feedback loop) |
| Voucher / refund | vouchers + refunds | b (umowa) + c (księgowość) |
| Faktura KSeF | ksef_invoices | c (Ustawa o VAT + KSeF) |
| Marketing email | rodo_consent_log + email send queue | a (zgoda) |
| Audit log | audit_log | f (security + rozliczalność) |
| Cookies sesji | session storage | b (umowa — niezbędne) |
ZAŁĄCZNIK B — pełny wykaz danych (klient zarejestrowany, max scope)
DANE PROFILU:
- phone: +48...
- email: ...@... (opcjonalny)
- first_name, last_name (opcjonalne)
- password_hash (bcrypt — niewidoczne dla nikogo)
- lifecycle_state (active / restricted / erasure_pending / anonymized)
ADRESY:
- street, building, apartment, zip, city
- lat, lng (z geocoding)
- geocoded_verified flag
- delivery_notes
PROFIL DIETETYCZNY (Art. 9, dobrowolny):
- allergens jsonb (encrypted KEK)
- severity_per_allergen jsonb (encrypted)
- diet_subscriptions
ZAMÓWIENIA:
- order_number, status, placed_at, accepted_at, ready_at, delivered_at
- delivery_address_snapshot (immutable)
- items + modifiers (snapshot pricing immutable)
- payments status
- courier_snapshot (po przypisaniu)
LOJALNOŚĆ I PROMOCJE:
- loyalty_account: tier + points_balance
- vouchers (kody promocyjne, refundy)
AKTYWNOŚĆ:
- reviews (oceny + komentarze)
- audit_log entries (krytyczne akcje)
- rodo_consent_log (historia zgód)
DANE TECHNICZNE:
- magic_link_tokens (TTL 60min)
- idempotency_keys (TTL 24h)
- customer_carts (jeśli niedokończony zakup)
Koniec polityki.
Ten dokument jest draftem v1.0 napisanym przez asystenta AI bazującego na schemie + RODO checklist + scope projektu. Przed publikacją wymaga review prawnika RODO. Wszelkie placeholdery
[…]musza być uzupełnione (NIP, adres, daty, sub-processors final list).