Polityka prywatności aplikacji Przegląd ROD

← Wróć do sklepu

# POLITYKA PRYWATNOŚCI I KLAUZULA INFORMACYJNA RODO

APLIKACJA „PRZEGLĄD ROD"

Obowiązuje od: 1 czerwca 2026 r.
Wersja: 1.1 (finalna)

1. ADMINISTRATOR DANYCH OSOBOWYCH

Administratorem Twoich danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. („RODO") jest:

MJTech Group Sp. z o.o.
ul. Warszawska 40/2A
40-585 Katowice
NIP: 9542891218
REGON: 542073605
KRS: 0001201143
Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy KRS

W sprawach ochrony danych osobowych można się z nami skontaktować:
- e-mail: biuro@pzrod.pl
- listownie: na adres siedziby Spółki

Inspektor Ochrony Danych (IOD/DPO): Spółka nie powołała IOD, ponieważ nie spełnia kryteriów obowiązkowego powołania (art. 37 RODO). Wszystkie kwestie ochrony danych obsługuje Zarząd Spółki pod wskazanym wyżej adresem.

2. INFORMACJE WSTĘPNE — DWIE ROLE PODMIOTU

W ramach Aplikacji „Przegląd ROD" przetwarzanie danych osobowych odbywa się w dwóch konfiguracjach:

A. MJTech Group jako ADMINISTRATOR

Dotyczy danych:
- Użytkowników Aplikacji (osób zakładających Konto, najczęściej członków zarządu ROD lub osób upoważnionych),
- danych technicznych i transakcyjnych (logowania, płatności, korespondencji obsługowej).

B. MJTech Group jako PODMIOT PRZETWARZAJĄCY (procesor)

Dotyczy danych Działkowców i innych osób fizycznych, które Użytkownik wprowadza do Aplikacji w toku swojej działalności (np. zarządu ROD). W tym zakresie administratorem jest Użytkownik (np. struktura ROD), a MJTech Group przetwarza dane na jego polecenie zgodnie z art. 28 RODO — na podstawie umowy powierzenia, której treść ramowa znajduje się w sekcji 13 niniejszej Polityki (zawieranej z chwilą akceptacji Regulaminu).

3. ZAKRES PRZETWARZANYCH DANYCH

3.1. Dane Użytkownika (rola: administrator)

3.2. Dane Działkowców (rola: podmiot przetwarzający)

Wprowadzane do Aplikacji przez Użytkownika:
- imię i nazwisko,
- adres e-mail,
- numer telefonu (opcjonalnie),
- numer działki w ROD,
- numery liczników mediów (wody, prądu) i ich odczyty,
- dane z przeglądu (oceny, uchybienia, uwagi, zdjęcia),
- raporty PDF.

3.3. Dane techniczne (cookies, logi)

4. CELE I PODSTAWY PRAWNE PRZETWARZANIA

4.1. Dane Użytkownika

Cel Podstawa prawna Okres przechowywania
Założenie i prowadzenie Konta, świadczenie usług Aplikacji art. 6 ust. 1 lit. b RODO (wykonanie umowy) przez czas trwania Konta + 3 lata (Konsumenci) lub 6 lat (B2B / niekonsumenci) od jego usunięcia — okres przedawnienia roszczeń zgodnie z art. 118 Kodeksu cywilnego
Realizacja płatności i obsługa rozliczeń art. 6 ust. 1 lit. b i c RODO (umowa + obowiązek prawny — księgowość) 5 lat liczone od końca roku rozliczeniowego (art. 86 § 1 Ordynacji podatkowej)
Wystawianie faktur VAT i raportowanie do KSeF art. 6 ust. 1 lit. c RODO (ustawa o VAT, art. 106nf) 5 lat od końca roku rozliczeniowego
Obsługa reklamacji i korespondencji art. 6 ust. 1 lit. b i f RODO (umowa + uzasadniony interes) do 3 lat od zakończenia sprawy
Marketing własnych usług w aplikacji art. 6 ust. 1 lit. f RODO (uzasadniony interes) do czasu wniesienia sprzeciwu
Newsletter / marketing e-mail (jeśli wyrażono zgodę) art. 6 ust. 1 lit. a RODO + art. 10 ustawy o świadczeniu usług drogą elektroniczną do wycofania zgody
Zapewnienie bezpieczeństwa i wykrywanie nadużyć (logi zdarzeń: próby logowania, zmiany hasła) art. 6 ust. 1 lit. f RODO do 12 miesięcy
Logi techniczne serwera z jawnym adresem IP art. 6 ust. 1 lit. f RODO (uzasadniony interes — bezpieczeństwo) 30 dni, następnie anonimizacja i dalsze przechowywanie do 180 dni
Dochodzenie i obrona roszczeń art. 6 ust. 1 lit. f RODO do upływu terminów przedawnienia (3 lub 6 lat — jak wyżej)

Powyższe okresy są wiążące i pokrywają się ze szczegółową tabelą w sekcji 12 niniejszej Polityki.

4.2. Dane Działkowców

Dane Działkowców MJTech Group przetwarza wyłącznie na polecenie Użytkownika (administratora) w celu udostępnienia funkcjonalności Aplikacji (m.in. wygenerowanie raportów, wysyłka e-maili, archiwizacja). Podstawy prawne dla przetwarzania przez administratora (Użytkownika) to zazwyczaj:
- art. 6 ust. 1 lit. c RODO — obowiązki wynikające z ustawy o ROD i Statutu ROD,
- art. 6 ust. 1 lit. f RODO — uzasadniony interes (sprawne zarządzanie ogrodem).

5. ODBIORCY DANYCH (PODPOWIERZENIA)

Twoje dane mogą być przekazywane następującym kategoriom odbiorców — wyłącznie w zakresie niezbędnym do realizacji usług. Każdy z odbiorców będący podmiotem przetwarzającym działa na podstawie umowy powierzenia spełniającej wymogi art. 28 RODO.

Odbiorca Cel Lokalizacja
Supabase, Inc. — hosting bazy danych (PostgreSQL), magazyn plików, uwierzytelnianie, Edge Functions Świadczenie infrastruktury IT Aplikacji UE (region eu-central, Frankfurt)
PayPro S.A. (Przelewy24) — operator płatności online (ul. Pastelowa 8, 60-198 Poznań, KRS 0000347935) Obsługa transakcji płatniczych Polska / UE
Sinch Email (Mailgun) — Sinch AB, Lindhagensgatan 74, 112 18 Sztokholm, Szwecja Wysyłka transakcyjnych wiadomości e-mail (raporty, powiadomienia, wypisy), obsługa suppression list i bounce. Domena nadawcy: notify.pzrod.pl (SPF, DKIM), adres From: noreply@pzrod.pl UE (region Frankfurt, serwery *.eu.mailgun.org)
Lovable Tech Inc. — operator platformy deweloperskiej i monitoringu DMARC dla wysyłki e-mail (dmarcreports@lovable.dev) Hosting frontendu, monitoring deliverability e-mail (metadane wysyłek) UE (na podstawie SCC dla regionów spoza EOG)
Vercel Inc. lub inny dostawca hostingu (jeśli używany niezależnie od Lovable) Serwowanie aplikacji (CDN, edge network) UE / globalnie (na podstawie SCC)
Google LLC / Google Ireland Ltd. Logowanie OAuth (opcjonalne) UE / USA (na podstawie standardowych klauzul umownych)
Dostawca systemu księgowo-fakturowego Wystawianie faktur VAT, prowadzenie rozliczeń, wysyłka do KSeF Polska / UE
Ministerstwo Finansów / Krajowa Administracja Skarbowa (KSeF) Obowiązek prawny — rejestr faktur ustrukturyzowanych Polska
Biuro rachunkowe / kancelaria prawna Rozliczenia i obsługa prawna Polska
Organy państwowe (sądy, prokuratura, US, ZUS, UODP) Realizacja obowiązków prawnych Polska

6. LOKALIZACJA DANYCH I PRZEKAZYWANIE POZA EOG

Dane przetwarzamy zasadniczo w obrębie Europejskiego Obszaru Gospodarczego (EOG). Konkretne lokalizacje:

W przypadku korzystania z usług dostawców, którzy mogą przetwarzać dane poza EOG (np. Google LLC w ramach logowania OAuth, lub edge nodes Vercela), zapewniamy odpowiednie zabezpieczenia w postaci standardowych klauzul umownych (Standard Contractual Clauses) zatwierdzonych decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z 4 czerwca 2021 r.

7. TWOJE PRAWA

Przysługują Ci następujące prawa:

  1. Prawo dostępu (art. 15 RODO) — uzyskanie potwierdzenia, czy przetwarzamy Twoje dane, oraz kopii tych danych.
  2. Prawo do sprostowania (art. 16 RODO) — żądanie poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
  3. Prawo do usunięcia („prawo do bycia zapomnianym", art. 17 RODO) — żądanie usunięcia danych w przypadkach przewidzianych prawem.
  4. Prawo do ograniczenia przetwarzania (art. 18 RODO).
  5. Prawo do przenoszenia danych (art. 20 RODO) — otrzymanie danych w ustrukturyzowanym formacie (JSON, CSV) i przekazanie ich innemu administratorowi. Eksport dostępny z poziomu Aplikacji (Ustawienia → Eksport danych).
  6. Prawo do sprzeciwu (art. 21 RODO) — wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO (uzasadniony interes), w tym profilowania.
  7. Prawo do wycofania zgody (art. 7 ust. 3 RODO) — w zakresie przetwarzania opartego na zgodzie (np. newsletter); wycofanie nie wpływa na zgodność z prawem przetwarzania sprzed wycofania.
  8. Prawo do wniesienia skargi do organu nadzorczego:
    Prezes Urzędu Ochrony Danych Osobowych
    ul. Stawki 2, 00-193 Warszawa
    tel. 22 531-03-00, e-mail: kancelaria@uodo.gov.pl
    www.uodo.gov.pl

Aby skorzystać z tych praw, skontaktuj się z nami pod adresem biuro@pzrod.pl. Odpowiadamy w terminie do 30 dni od otrzymania żądania (w razie szczególnej złożoności — z możliwością przedłużenia o kolejne 60 dni, o czym poinformujemy).

8. ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI I PROFILOWANIE

W ramach Aplikacji nie podejmujemy decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), które wywoływałyby wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływały.

Aplikacja:
- nie stosuje fingerprintingu urządzenia,
- nie generuje identyfikatorów sprzętowych (Hardware ID),
- nie przeprowadza scoringu Użytkowników,
- nie korzysta z zewnętrznych narzędzi analitycznych ani reklamowych (Google Analytics, Facebook Pixel, Hotjar, TikTok Pixel itp.).

9. DOBROWOLNOŚĆ PODANIA DANYCH

Podanie danych jest dobrowolne, jednak:
- niepodanie e-maila i hasła uniemożliwia założenie Konta,
- niepodanie danych do faktury uniemożliwia jej wystawienie,
- niepodanie danych Działkowca (np. e-maila) uniemożliwi wysyłkę raportu.

10. PLIKI COOKIES I PODOBNE TECHNOLOGIE

10.1. Czym są cookies?

Cookies to małe pliki tekstowe zapisywane przez przeglądarkę na Twoim urządzeniu w celu zapamiętania preferencji i sesji.

10.2. Jakich cookies używamy?

Rodzaj Cel Czas
Sesyjne (niezbędne) Utrzymanie sesji zalogowanego użytkownika, bezpieczeństwo (anti-CSRF) do zamknięcia przeglądarki / 24h
Funkcjonalne Zapamiętywanie preferencji (np. ustawienia ROD, zespołu, list uchybień) do 12 miesięcy
localStorage / sessionStorage Zapamiętanie bieżącego stanu przeglądu, danych ROD i zespołu trwałe / sesyjne
Cookies bezpieczeństwa (Supabase Auth) Tokeny JWT, refresh token sesja / 7 dni (refresh)

W Aplikacji nie stosujemy cookies marketingowych ani analitycznych stron trzecich (Google Analytics, Facebook Pixel itp.).

10.3. Zarządzanie cookies

W każdej chwili możesz wyłączyć lub usunąć cookies w ustawieniach swojej przeglądarki. Wyłączenie cookies niezbędnych może uniemożliwić poprawne działanie Aplikacji.

Wyrażenie zgody na cookies funkcjonalne odbywa się przez kliknięcie „Akceptuję" w banerze cookies wyświetlanym przy pierwszym wejściu do Aplikacji.

11. BEZPIECZEŃSTWO DANYCH

Stosujemy adekwatne środki techniczne i organizacyjne mające zapewnić bezpieczeństwo przetwarzanych danych, w szczególności:

Środki techniczne:
- szyfrowane połączenie HTTPS / TLS 1.3 na całej Aplikacji,
- hasła przechowywane wyłącznie w postaci skrótu (algorytm bcrypt),
- mechanizm Row Level Security (RLS) w bazie danych — separacja danych Użytkowników na poziomie zapytań,
- tokeny JWT do uwierzytelniania sesji z krótkim TTL i mechanizmem refresh,
- weryfikacja sygnatur webhooków płatności (HMAC SHA-384) — ochrona przed sfałszowaniem płatności,
- sekrety SMTP, klucze API i hasła administracyjne w bezpiecznym magazynie Supabase Vault,
- szyfrowanie danych w spoczynku (encryption at rest — AES-256) zapewnione przez Supabase i AWS,
- regularne kopie zapasowe bazy danych (codzienne, z 7-dniową retencją),
- mechanizm rate limiting i dead-letter queue dla operacji wysyłki e-mail,
- monitoring zdarzeń bezpieczeństwa, alerty przy podejrzanej aktywności.

Środki organizacyjne:
- ograniczony dostęp pracowników do danych (zasada need-to-know),
- pisemne upoważnienia do przetwarzania dla osób mających dostęp,
- regularne szkolenia z zakresu RODO,
- procedury reagowania na incydenty bezpieczeństwa,
- audyty wewnętrzne.

12. RETENCJA (OKRESY PRZECHOWYWANIA)

Kategoria danych Okres przechowywania
Dane kontaktowe Użytkownika (e-mail, login) — Konsumenci przez czas trwania Konta + 3 lata od usunięcia (przedawnienie roszczeń konsumenckich, art. 118 K.c.)
Dane kontaktowe Użytkownika (e-mail, login) — B2B / niekonsumenci przez czas trwania Konta + 6 lat od usunięcia (ogólny okres przedawnienia, art. 118 K.c.)
Dane niezbędne do obrony roszczeń (historia transakcji, logi zdarzeń krytycznych) jak wyżej (3 lub 6 lat od usunięcia Konta — w zależności od statusu Użytkownika)
Dane do faktur i historia rozliczeń 5 lat od końca roku rozliczeniowego (art. 86 § 1 Ordynacji podatkowej)
Archiwum transakcji po usunięciu Konta (data zakupu, plan, kwota, P24 order id, snapshot danych do faktury: nazwa, NIP, adres, e-mail) 6 lat od usunięcia Konta — art. 6 ust. 1 lit. c RODO (obowiązek podatkowy) oraz art. 6 ust. 1 lit. f i art. 17 ust. 3 lit. e RODO (ustalenie, dochodzenie i obrona roszczeń). Dane przechowywane w osobnej tabeli archiwalnej dostępnej wyłącznie dla administratora
Logi zdarzeń bezpieczeństwa (próby logowania, zmiany hasła, alerty) do 12 miesięcy
Adresy IP w postaci jawnej (logi serwera) 30 dni
Logi techniczne zanonimizowane (bez IP) 180 dni
Dane Działkowców (rola: procesor) zgodnie z poleceniem Użytkownika (administratora) — domyślnie do usunięcia Konta Użytkownika lub zgłoszenia żądania usunięcia
Zdjęcia i raporty PDF do usunięcia przez Użytkownika lub do zakończenia umowy + 3 lata
Korespondencja obsługowa do 3 lat od zakończenia sprawy
Suppression list (wypisy e-mail) bezterminowo (w celu wykonania prawa do bycia zapomnianym i ochrony przed spamem)

Po upływie powyższych okresów dane są nieodwracalnie usuwane lub anonimizowane (usuwane są wszystkie identyfikatory osobowe).

13. UMOWA POWIERZENIA PRZETWARZANIA (PROCESOR)

W zakresie, w jakim Użytkownik wprowadza do Aplikacji dane Działkowców, MJTech Group działa jako podmiot przetwarzający (procesor) w rozumieniu art. 28 RODO. Wraz z akceptacją Regulaminu pomiędzy Użytkownikiem (administratorem) a MJTech Group (procesorem) zawierana jest umowa powierzenia przetwarzania danych o następującej treści ramowej:

  1. Przedmiot powierzenia: dane Działkowców wprowadzone do Aplikacji przez administratora.

  2. Czas powierzenia: czas trwania umowy o korzystanie z Aplikacji, do momentu wykasowania danych lub usunięcia Konta.

  3. Charakter i cel przetwarzania: świadczenie funkcjonalności Aplikacji (przegląd, raporty PDF, e-mail, archiwum, raporty zbiorcze).

  4. Rodzaj danych: imię, nazwisko, e-mail, telefon (opcjonalnie), numer działki w ROD, numery i odczyty liczników wody i prądu, treść uwag z przeglądu, zdjęcia.

  5. Kategorie osób: Działkowcy danego ROD.

  6. Obowiązki procesora:
    a) przetwarzanie wyłącznie na udokumentowane polecenie administratora,
    b) zapewnienie poufności (zobowiązania pracowników i podwykonawców),
    c) wdrożenie środków bezpieczeństwa zgodnie z art. 32 RODO (zob. sekcja 11),
    d) pomoc administratorowi w realizacji praw osób, których dane dotyczą (dostarczanie eksportów, usuwanie danych itp.),
    e) pomoc w obowiązkach z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA),
    f) usunięcie lub zwrot danych po zakończeniu umowy (na wybór administratora),
    g) udostępnienie informacji potrzebnych do audytu — administrator ma prawo do audytu raz w roku po wcześniejszym 30-dniowym zawiadomieniu (audyt na koszt administratora).

  7. Dalsze powierzenie (subprocessing): za ogólną zgodą administratora MJTech Group powierza przetwarzanie podpowierzonym podmiotom wymienionym w sekcji 5 niniejszej Polityki. O zmianach administrator zostanie poinformowany e-mailem z 14-dniowym wyprzedzeniem i może wnieść uzasadniony sprzeciw.

  8. Naruszenie ochrony danych: procesor zawiadamia administratora o naruszeniu niezwłocznie, nie później niż w ciągu 24 godzin od jego stwierdzenia.

  9. Odpowiedzialność: strony odpowiadają solidarnie wobec osób, których dane dotyczą, zgodnie z art. 82 RODO. Wzajemne rozliczenia regulują postanowienia ogólne Regulaminu.

Pełen tekst umowy powierzenia (jako oddzielny dokument PDF z podpisem elektronicznym) dostępny jest na żądanie pod adresem biuro@pzrod.pl.

14. ZGŁOSZENIE NARUSZENIA OCHRONY DANYCH

W przypadku stwierdzenia naruszenia ochrony danych osobowych:

  1. Użytkownik zgłasza naruszenie na adres biuro@pzrod.pl (z dopiskiem „Naruszenie ochrony danych").
  2. MJTech Group zgłasza naruszenia o wysokim ryzyku do organu nadzorczego (PUODO) w terminie 72 godzin od stwierdzenia, zgodnie z art. 33 RODO.
  3. W przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych — niezwłocznie zawiadamiamy także osoby, których dane dotyczą (art. 34 RODO).

15. ZMIANY POLITYKI PRYWATNOŚCI

Niniejsza Polityka może być aktualizowana w związku ze zmianami przepisów lub funkcjonalności Aplikacji. O istotnych zmianach poinformujemy Cię z 30-dniowym wyprzedzeniem przez:
- e-mail wysłany na adres przypisany do Konta,
- komunikat w Aplikacji.

Brak akceptacji nowej Polityki uprawnia Cię do nieodpłatnego usunięcia Konta.

16. KONTAKT

Wszelkie pytania, żądania i zgłoszenia dotyczące przetwarzania danych osobowych kieruj na:

MJTech Group Sp. z o.o.
ul. Warszawska 40/2A, 40-585 Katowice
NIP: 9542891218 · REGON: 542073605 · KRS: 0001201143
e-mail: biuro@pzrod.pl
telefon kontaktowy: +48 571 085 303

Dokument wszedł w życie z dniem 1 czerwca 2026 r..
Wersja 1.1 — finalna.