Polityka Prywatności
Ostatnia aktualizacja: 13 kwietnia 2026
Prywatność Twoich danych jest dla nas ważna. W niniejszej polityce wyjaśniamy, jakie dane zbieramy i dlaczego, jak je przetwarzamy, komu je udostępniamy oraz jakie masz prawa. Nigdy nie sprzedajemy Twoich danych osobowych.
Niniejsza polityka dotyczy wszystkich produktów i usług Ofinly, w tym Aplikacji Biznesowej, Aplikacji Klienckiej i strony internetowej (ofinly.com).
1. Administrator danych
Administratorem Twoich danych osobowych jest Damian Mąsior, ul. Oświęcimska 51, Gorzów, Polska, NIP: 5492377002. Kontakt: contact@ofinly.com.
Ofinly pełni rolę administratora danych w odniesieniu do danych Twojego konta, danych o użytkowaniu oraz wszelkich danych przekazanych nam bezpośrednio. Gdy Użytkownicy Biznesowi zarządzają danymi swoich klientów salonu za pośrednictwem platformy, Ofinly działa jako podmiot przetwarzający w imieniu Użytkownika Biznesowego (który jest administratorem tych danych). Zobacz Regulamin, punkt 10 - Umowa Powierzenia Przetwarzania Danych.
2. Dane, które zbieramy i dlaczego
Zbieramy tylko to, co jest niezbędne do świadczenia usługi. Oto co to oznacza w praktyce:
2.1 Dane konta i tożsamości
Podczas rejestracji zbieramy Twoje imię, adres email i typ konta (klient lub firma). Jeśli logujesz się przez Google lub Apple, otrzymujemy Twoje imię, adres email i unikalny identyfikator konta od dostawcy. Dane te służą do utworzenia i zarządzania Twoim kontem.
2.2 Numer telefonu i weryfikacja
Możesz podać numer telefonu w celu weryfikacji konta lub kontaktu. Podczas weryfikacji telefonu wysyłamy jednorazowy kod (OTP) przez SMS. Kody OTP są tymczasowe i usuwane natychmiast po weryfikacji. Zweryfikowany numer telefonu jest przechowywany z Twoim kontem.
2.3 Dane profilu Użytkownika Klienckiego
Jeśli korzystasz z Aplikacji Klienckiej (do rezerwacji wizyt), przechowujemy Twoje imię, email, numer telefonu, awatar, preferencje powiadomień oraz status weryfikacji email/telefonu. Dane te są niezbędne do świadczenia usługi rezerwacji i wysyłania komunikacji związanej z wizytami.
2.4 Dane Użytkownika Biznesowego i salonu
Jeśli korzystasz z Aplikacji Biznesowej (do zarządzania salonem), przechowujemy profil Twojego salonu: nazwę, kategorię, opis, adres, telefon, email, strefę czasową, współrzędne geograficzne (do wyszukiwania salonów) oraz przesłane zdjęcia salonu. Przechowujemy również status subskrypcji i daty okresu próbnego. Dane te są niezbędne do wyświetlania salonu na platformie i zapewnienia funkcji zarządzania.
2.5 Dane pracowników
Użytkownicy Biznesowi mogą dodawać pracowników do konta salonu. Dane pracowników obejmują: imię, stanowisko, telefon, email, opis, specjalizacje, godziny pracy, zmiany w grafiku i status zaproszenia. Dane te są wprowadzane i zarządzane przez Użytkownika Biznesowego. Ofinly przetwarza je w imieniu Użytkownika Biznesowego w celu zapewnienia funkcji zarządzania zespołem.
2.6 Dane wizyt i rezerwacji
Podczas rezerwacji wizyt (przez Użytkowników Klienckich lub Biznesowych) przechowujemy nazwę usługi, salon, datę, godziny, cenę, status i ewentualne notatki. Dane te są niezbędne do zarządzania cyklem życia wizyty i wysyłania przypomnień.
2.7 Dane klientów salonu (CRM)
Użytkownicy Biznesowi mogą wprowadzać i zarządzać danymi swoich klientów salonu: imionami i nazwiskami, numerami telefonów, adresami email, historią wizyt, historią wydatków, tagami, notatkami i ulubionymi usługami. Dane te są wprowadzane przez Użytkownika Biznesowego, który jest ich administratorem. Ofinly przetwarza te dane wyłącznie w imieniu Użytkownika Biznesowego jako podmiot przetwarzający. Jeśli jesteś klientem salonu i masz pytania dotyczące przetwarzania Twoich danych, skontaktuj się bezpośrednio z salonem.
2.8 Dane lokalizacyjne
Aplikacja Kliencka może poprosić o dostęp do lokalizacji urządzenia, aby wyświetlić pobliskie salony. Dane lokalizacyjne są wysyłane na nasz serwer wyłącznie w celu realizacji zapytania wyszukiwania i nie są przechowywane na stałe. Możesz korzystać z aplikacji bez udostępniania lokalizacji.
2.9 Dane urządzenia i dane techniczne
Zbieramy typ urządzenia, system operacyjny i wersję aplikacji w celach zapewnienia kompatybilności i rozwiązywania problemów. Przechowujemy token Firebase Cloud Messaging (FCM) w celu dostarczania powiadomień push. Logi serwera mogą zawierać Twój adres IP w celach bezpieczeństwa.
2.10 Dane o użytkowaniu
Zbieramy zagregowane dane o użytkowaniu, takie jak wykorzystywane funkcje i czas trwania sesji. Pomaga nam to zrozumieć, jak aplikacja jest używana, i ją ulepszać. Nie tworzymy indywidualnych profili behawioralnych.
2.11 Dane komunikacyjne
Gdy kontaktujesz się z nami w sprawie wsparcia lub przesyłasz opinię, zachowujemy tę korespondencję (w tym Twój adres email), abyśmy mogli się do niej odwołać w przyszłości.
2.12 Zdjęcia salonu
Użytkownicy Biznesowi mogą przesyłać zdjęcia swojego salonu. Zdjęcia są przechowywane na naszych serwerach i wyświetlane w publicznym profilu salonu. Zalecamy usunięcie metadanych EXIF (które mogą zawierać współrzędne GPS lub informacje o urządzeniu) ze zdjęć przed ich przesłaniem.
3. Cele i podstawy prawne
| Cel | Podstawa prawna (RODO) |
|---|---|
| Świadczenie usługi: zarządzanie kontem, rezerwacje, zarządzanie salonem | Wykonanie umowy (art. 6 ust. 1 lit. b) |
| Przetwarzanie płatności subskrypcyjnych (przez Paddle) | Wykonanie umowy (art. 6 ust. 1 lit. b) |
| Wysyłanie przypomnień o wizytach i powiadomień | Wykonanie umowy (art. 6 ust. 1 lit. b) |
| Weryfikacja numeru telefonu | Wykonanie umowy (art. 6 ust. 1 lit. b) |
| Wyszukiwanie salonów (na podstawie lokalizacji) | Zgoda (art. 6 ust. 1 lit. a) - sam decydujesz o udostępnieniu lokalizacji |
| Ulepszanie aplikacji i doświadczenia użytkownika | Uzasadniony interes (art. 6 ust. 1 lit. f) |
| Bezpieczeństwo, zapobieganie oszustwom i wykrywanie nadużyć | Uzasadniony interes (art. 6 ust. 1 lit. f) |
| Dokumentacja podatkowa i księgowa | Obowiązek prawny (art. 6 ust. 1 lit. c) |
| Obsługa reklamacji i zgłoszeń | Obowiązek prawny (art. 6 ust. 1 lit. c) i wykonanie umowy (art. 6 ust. 1 lit. b) |
| Przetwarzanie danych klientów salonu (jako podmiot przetwarzający dla Użytkowników Biznesowych) | Odpowiedzialność Użytkownika Biznesowego jako administratora; Ofinly przetwarza na podstawie umowy powierzenia |
4. Udostępnianie danych i podmioty trzecie
Nie sprzedajemy Twoich danych osobowych. Nigdy tego nie robiliśmy i nigdy nie będziemy. Udostępniamy dane wyłącznie w sposób opisany poniżej:
4.1 Dostawcy usług (podwykonawcy przetwarzania)
Korzystamy z następujących zewnętrznych dostawców usług do obsługi Ofinly:
| Dostawca | Cel | Lokalizacja |
|---|---|---|
| Google LLC (Firebase) | Powiadomienia push (FCM), uwierzytelnianie Google Sign-In | USA |
| Apple Inc. | Uwierzytelnianie Sign in with Apple | USA |
| Paddle.com Market Limited | Przetwarzanie płatności (Merchant of Record) | Wielka Brytania |
| Cloudflare Inc. | Hosting strony, CDN, bezpieczeństwo | USA |
Każdy dostawca przetwarza dane na podstawie umowy powierzenia przetwarzania danych i wyłącznie w celach opisanych powyżej.
4.2 Udostępnianie danych salon-klient
Gdy Użytkownik Kliencki rezerwuje wizytę w salonie, salon (Użytkownik Biznesowy) widzi dane rezerwacji Użytkownika Klienckiego (imię, dane kontaktowe, szczegóły wizyty). Udostępnienie to jest niezbędne do realizacji rezerwacji.
4.3 Dane płatnicze
Płatności subskrypcyjne są przetwarzane przez Paddle jako Sprzedawcę (Merchant of Record). Ofinly nie zbiera ani nie przechowuje danych Twojej karty kredytowej ani szczegółów płatności. Paddle obsługuje fakturowanie i naliczanie podatku VAT. Zobacz Politykę Prywatności Paddle, aby dowiedzieć się, jak przetwarzają dane płatnicze.
4.4 Wymogi prawne
Możemy ujawnić dane, gdy wymaga tego prawo, nakaz sądowy lub wiążące żądanie właściwego organu (np. UODO, organy ścigania). Powiadomimy Cię przed ujawnieniem, chyba że będzie to prawnie zakazane.
4.5 Zmiany własnościowe
W przypadku przejęcia lub połączenia Ofinly z innym podmiotem Twoje dane mogą zostać przekazane. Powiadomimy Cię przed jakimkolwiek przekazaniem i zanim Twoje dane zaczną podlegać innej polityce prywatności.
5. Przekazywanie danych poza EOG
Ofinly jest prowadzony z Polski. Niektórzy nasi dostawcy usług znajdują się poza Europejskim Obszarem Gospodarczym (EOG):
- USA (Google, Apple, Cloudflare): Przekazywanie jest chronione Standardowymi Klauzulami Umownymi (SKU) oraz, tam gdzie ma to zastosowanie, Ramami Ochrony Danych UE-USA.
- Wielka Brytania (Paddle): Wielka Brytania posiada decyzję Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony, co oznacza, że przekazywanie danych do Wielkiej Brytanii jest traktowane równoważnie z przekazywaniem w ramach EOG.
6. Okres przechowywania danych
Przechowujemy Twoje dane tylko tak długo, jak jest to niezbędne do celów opisanych w niniejszej polityce:
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta | Okres istnienia konta + 30 dni po usunięciu |
| Dane wizyt | Okres istnienia konta + 30 dni po usunięciu |
| Dane klientów salonu (CRM) | Okres istnienia konta Użytkownika Biznesowego + 30 dni |
| Dokumentacja rozliczeniowa i podatkowa | 5 lat (wymagane przepisami polskiego prawa podatkowego) |
| Dane analityczne | 12 miesięcy |
| Logi serwera (adresy IP) | 90 dni |
| Kody weryfikacyjne OTP | Usuwane natychmiast po użyciu |
| Tokeny FCM | Do wyrejestrowania urządzenia lub usunięcia konta |
| Korespondencja z pomocą techniczną | 2 lata od rozwiązania sprawy |
| Kopie zapasowe | Usuwane w ciągu 60 dni od usunięcia danych |
7. Twoje prawa
Na podstawie Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) oraz polskiej Ustawy o ochronie danych osobowych przysługują Ci następujące prawa:
- Prawo dostępu - żądanie kopii danych osobowych, które przechowujemy na Twój temat.
- Prawo do sprostowania - żądanie poprawienia nieprawidłowych lub niekompletnych danych.
- Prawo do usunięcia ("prawo do bycia zapomnianym") - żądanie usunięcia Twoich danych osobowych. Zobacz stronę usuwania danych, aby poznać szczegóły.
- Prawo do ograniczenia przetwarzania - żądanie ograniczenia sposobu wykorzystywania Twoich danych.
- Prawo do przenoszenia danych - otrzymanie danych w ustrukturyzowanym, nadającym się do odczytu maszynowego formacie (JSON). Użytkownicy Biznesowi mogą eksportować dane z poziomu aplikacji.
- Prawo do sprzeciwu - sprzeciw wobec przetwarzania opartego na uzasadnionym interesie. Zaprzestaniemy przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw.
- Prawo do wycofania zgody - gdy przetwarzanie opiera się na zgodzie (np. dane lokalizacyjne), możesz ją wycofać w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem.
- Prawo do złożenia skargi - do organu nadzorczego (zob. poniżej).
Aby skorzystać z tych praw, napisz na contact@ofinly.com. Odpowiemy w ciągu 30 dni. W przypadku skomplikowanych spraw termin ten może zostać przedłużony o 60 dni - poinformujemy Cię o ewentualnym przedłużeniu.
Masz prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa. Strona: uodo.gov.pl.
8. Pliki cookie i pamięć urządzenia
8.1 Strona internetowa
Strona Ofinly wykorzystuje localStorage do przechowywania Twojej preferencji motywu (tryb jasny/ciemny). Jest to wyłącznie funkcjonalne i nie służy do śledzenia. Nie używamy plików cookie analitycznych, reklamowych ani skryptów śledzących firm trzecich na naszej stronie. Cloudflare (nasz dostawca hostingu) może ustawiać funkcjonalne pliki cookie w celach bezpieczeństwa (np. ochrona przed botami).
8.2 Aplikacje mobilne
Aplikacje Ofinly przechowują tokeny uwierzytelniania w bezpieczny sposób na Twoim urządzeniu, aby utrzymać Cię zalogowanym. Tokeny FCM są przechowywane w celu dostarczania powiadomień push. Dane w pamięci podręcznej mogą być przechowywane lokalnie w celu poprawy wydajności. W aplikacjach nie są wykorzystywane żadne zewnętrzne pakiety SDK do śledzenia lub reklam.
Ponieważ korzystamy wyłącznie z niezbędnych i funkcjonalnych mechanizmów przechowywania, baner zgody na pliki cookie nie jest wymagany na podstawie Dyrektywy ePrivacy.
9. Jak chronimy Twoje dane
Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony Twoich danych:
- Wszystkie dane przesyłane są szyfrowane przez HTTPS/TLS.
- Bazy danych wykorzystują szyfrowanie danych w spoczynku.
- Uwierzytelnianie oparte jest na tokenach JWT z regularną rotacją.
- Dostęp do danych użytkowników jest ograniczony przez kontrolę dostępu opartą na rolach.
- Regularnie przeprowadzamy przeglądy bezpieczeństwa naszych systemów.
Żaden system nie jest w 100% bezpieczny. Jeśli odkryjesz lukę w zabezpieczeniach, prosimy o zgłoszenie na adres contact@ofinly.com.
10. Co się dzieje po usunięciu danych
Gdy usuwasz poszczególne treści (zdjęcia, klientów, wizyty) w aplikacji, są one usuwane z aktywnego systemu. Kopie zapasowe zawierające usunięte treści są czyszczone w ciągu 60 dni.
Gdy usuwasz konto:
- Twoje dane stają się natychmiast niedostępne.
- Aktywne systemy są czyszczone w ciągu 30 dni.
- Kopie zapasowe są czyszczone w ciągu 60 dni.
- Dane wymagane przez prawo (dokumentacja rozliczeniowa i podatkowa) są przechowywane do 5 lat.
Pełne szczegóły znajdziesz na stronie usuwania danych.
11. Dzieci
Nasza usługa nie jest skierowana do osób poniżej 16 roku życia. Nie zbieramy świadomie danych osobowych dzieci. Jeśli uważasz, że dziecko przekazało nam swoje dane osobowe, skontaktuj się z nami, a usuniemy je.
12. Zautomatyzowane podejmowanie decyzji
Nie podejmujemy zautomatyzowanych decyzji wywołujących skutki prawne lub w podobny sposób istotnie na Ciebie wpływających. Profilowanie nie jest wykorzystywane do podejmowania decyzji dotyczących Twojego dostępu do usługi ani oferowanych Ci warunków.
13. Zmiany niniejszej polityki
Możemy aktualizować niniejszą politykę w celu odzwierciedlenia zmian w naszych praktykach lub wymogach prawnych. W przypadku istotnych zmian powiadomimy Cię z co najmniej 30-dniowym wyprzedzeniem drogą mailową lub powiadomieniem w aplikacji. Zmiany nieistotne (wyjaśnienia, formatowanie) mogą wejść w życie natychmiast. Poprzednie wersje są dostępne na żądanie.
14. Kontakt
Pytania dotyczące niniejszej polityki prywatności lub realizacji praw: contact@ofinly.com.
Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa. uodo.gov.pl.