Polityka Prywatności

§ 1. Administrator Danych Osobowych

Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:

Cryptionis sp. z o.o.
ul. Narwik 8/35, 01-471 Warszawa, Polska
NIP: 5223241648 | KRS: 0001024788
Email: contact@hubionis.com
Tel.: +48 22 XXX XX XX

Inspektor Ochrony Danych (IOD):
Status: Nie wyznaczono (brak obowiązku zgodnie z Art. 37 RODO)
Uwaga: IOD zostanie wyznaczony, jeśli platforma przekroczy 50 000 aktywnych użytkowników lub będzie przetwarzać dane wrażliwe na dużą skalę.

Kontakt w sprawach ochrony danych:
📧 Email: privacy@hubionis.com
📬 Poczta: Cryptionis sp. z o.o., ul. Narwik 8/35, 01-471 Warszawa (z dopiskiem "RODO")

§ 2. Kategorie Przetwarzanych Danych Osobowych

2.1. Dane Obowiązkowe (Wymagane do Rejestracji)

• Imię i nazwisko
• Adres email (login + weryfikacja tożsamości)
• Hasło (zaszyfrowane algorytmem bcrypt, 12 rund)
• Rola użytkownika (Attendee, Speaker, Organizer, Admin)
• Data rejestracji

2.2. Dane Opcjonalne (Dobrowolnie Podawane)

• Kraj zamieszkania
• Numer telefonu (dla Organizatorów – wymagane do weryfikacji)
• Data urodzenia (weryfikacja wieku 13-17 lat)
• Zdjęcie profilowe
• Biografia (dla Speakerów i Organizatorów)
• Link do strony internetowej / social media
• Preferencje dotyczące rodzajów wydarzeń (technologia, biznes, sztuka, sport, inne)

2.3. Dane Zbierane Automatycznie

• Adres IP
• User Agent (typ przeglądarki, system operacyjny)
• Znaczniki czasu (timestamp logowania, działań)
• Logi aktywności (przeglądane wydarzenia, rezerwacje, kliknięcia)
• Geolokalizacja (przybliżona, na podstawie IP – dla sugestii wydarzeń lokalnych)
• Dane sesji (refresh token, access token – przechowywane w Redis, wygasają po 7 dniach)
• Cookies (szczegóły w Polityce Cookies)

2.4. Dane Finansowe (dla Organizatorów i Uczestników Płatnych Wydarzeń)

• Numer konta bankowego / IBAN (tylko dla Organizatorów – do wypłat)
• Dane karty płatniczej (NIGDY nie przechowujemy na naszych serwerach – przetwarzane przez Stripe PCI-DSS Level 1)
• Historia transakcji (kwota, data, status płatności)
• Faktury VAT (przechowywane 5 lat zgodnie z prawem podatkowym)

2.5. Dane Wrażliwe (Art. 9 RODO)

NIE przetwarzamy danych wrażliwych (rasowych, etnicznych, politycznych, religijnych, zdrowotnych, orientacji seksualnej), chyba że Użytkownik dobrowolnie poda takie informacje w biografii (w tym przypadku jest to wyraźna zgoda zgodnie z Art. 9(2)(a) RODO).

§ 3. Podstawy Prawne Przetwarzania (Art. 6 RODO)

Cel przetwarzania	Podstawa prawna	Art. RODO
Rejestracja i zarządzanie kontem	Wykonanie umowy (Regulamin)	Art. 6(1)(b)
Rezerwacje i uczestnictwo w wydarzeniach	Wykonanie umowy	Art. 6(1)(b)
Przetwarzanie płatności	Wykonanie umowy + prawny obowiązek (faktury)	Art. 6(1)(b) + (c)
Newsletter i marketing	Zgoda (można cofnąć)	Art. 6(1)(a)
Push notifications	Zgoda (można cofnąć)	Art. 6(1)(a)
Analityka i cookies (Google Analytics)	Zgoda (cookie banner)	Art. 6(1)(a)
Bezpieczeństwo (logi, detekcja oszustw)	Uzasadniony interes Administratora	Art. 6(1)(f)
Obsługa reklamacji i praw RODO	Prawny obowiązek + wykonanie umowy	Art. 6(1)(c) + (b)

§ 4. Cele Przetwarzania Danych

4.1. Świadczenie Usług Platformy

• Tworzenie i zarządzanie kontem użytkownika;
• Umożliwienie przeglądania, rezerwacji i udziału w wydarzeniach;
• Umożliwienie tworzenia wydarzeń (dla Organizatorów);
• Komunikacja między Użytkownikami a Organizatorami;
• Wystawianie biletów elektronicznych (PDF + kod QR).

4.2. Przetwarzanie Płatności i Rozliczenia

• Obsługa transakcji płatniczych (poprzez Stripe, PayU, Przelewy24);
• Wystawianie faktur VAT (obowiązek prawny);
• Wypłaty prowizji dla Organizatorów;
• Detekcja oszustw finansowych (chargebacks, fraud detection).

4.3. Marketing i Komunikacja

• Wysyłka newslettera z rekomendacjami wydarzeń (tylko za zgodą);
• Push notifications o nowych wydarzeniach (tylko za zgodą);
• Powiadomienia transakcyjne (potwierdzenie rezerwacji, przypomnienia o wydarzeniu – nie wymaga zgody, podstawa: wykonanie umowy).

4.4. Analityka i Doskonalenie Usług

• Analiza ruchu na stronie (Google Analytics 4 – za zgodą cookies);
• A/B testing nowych funkcji;
• Badanie satysfakcji użytkowników (ankiety – dobrowolne).

4.5. Bezpieczeństwo i Zgodność z Prawem

• Przechowywanie logów bezpieczeństwa (12 miesięcy);
• Detekcja i zapobieganie atakom (DDoS, brute-force, SQL injection);
• Realizacja obowiązków prawnych (odpowiedź na wezwania organów ścigania, UODO);
• Rozpatrywanie reklamacji i sporów.

4.6. Profiling i Rekomendacje (Art. 22 RODO)

Wykorzystujemy profilowanie w celu:

• Sugerowania wydarzeń dopasowanych do zainteresowań użytkownika (na podstawie historii przeglądania i rezerwacji);
• Optymalizacji wyników wyszukiwania.

Uwaga: Profilowanie NIE wpływa na dostęp do podstawowych funkcji platformy. Użytkownik może wyłączyć rekomendacje w Settings → Privacy → Disable Personalization.

§ 5. Odbiorcy Danych Osobowych

5.1. Podmioty Przetwarzające (Art. 28 RODO)

Dane osobowe mogą być przekazywane następującym podmiotom przetwarzającym (działającym na podstawie Data Processing Agreement - DPA):

Podmiot	Cel	Lokalizacja	Status DPA
Amazon Web Services (AWS)	Hosting bazy danych (PostgreSQL RDS), storage (S3)	🇪🇺 eu-central-1 (Frankfurt, Niemcy)	✅ Podpisane (AWS Customer Agreement)
Stripe	Przetwarzanie płatności	🇺🇸 USA (+ EU data residency)	⏳ W trakcie podpisywania (deadline: 15.02.2026)
SendGrid (Twilio)	Wysyłka emaili transakcyjnych i marketingowych	🇺🇸 USA	✅ Podpisane
Google Analytics	Analityka ruchu (za zgodą cookies)	🇺🇸 USA	⚠️ Google Measurement Controller-Controller Data Protection Terms
OneSignal	Push notifications (za zgodą)	🇺🇸 USA	⏳ Planowane (Q2 2026)

5.2. Transfer Danych poza EOG

Niektóre podmioty przetwarzające (Stripe, SendGrid, Google Analytics, OneSignal) mają siedziby w USA. Transfer danych odbywa się na podstawie:

• EU-US Data Privacy Framework (dla podmiotów certyfikowanych);
• Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską (Decyzja 2021/914);
• Binding Corporate Rules (BCR) – dla firm posiadających takie zasady.

Uwaga: Transfer do USA wiąże się z ryzykiem dostępu organów bezpieczeństwa USA do danych (FISA, CLOUD Act). Jeśli nie wyrażasz zgody na transfer, możesz:

• Wyłączyć Google Analytics (ustawienia cookies);
• Zrezygnować z newslettera (brak transferu do SendGrid);
• Nie korzystać z płatności kartą (Stripe) – wybierz przelew tradycyjny.

§ 6. Okres Przechowywania Danych

Kategoria danych	Okres przechowywania	Podstawa prawna
Dane konta (aktywne)	Do usunięcia konta przez użytkownika	Wykonanie umowy (Art. 6(1)(b))
Dane konta (po usunięciu)	30 dni (pełne usunięcie)	Umowa + prawo do bycia zapomnianym (Art. 17)
Historia rezerwacji (zanonimizowana)	5 lat (dla celów księgowych)	Prawny obowiązek (ustawa o rachunkowości)
Faktury VAT	5 lat	Prawny obowiązek (Art. 6(1)(c) – ordynacja podatkowa)
Zgody marketingowe (newsletter)	Do cofnięcia zgody	Zgoda (Art. 6(1)(a))
Logi bezpieczeństwa (IP, user agent)	12 miesięcy	Uzasadniony interes (Art. 6(1)(f))
Cookies analityczne (Google Analytics)	14 miesięcy	Zgoda (Art. 6(1)(a))
Reklamacje	3 lata (przedawnienie roszczeń)	Prawny obowiązek (kodeks cywilny)

§ 7. Prawa Osób, Których Dane Dotyczą (Art. 15-22 RODO)

7.1. Prawo Dostępu do Danych (Art. 15)

Masz prawo do uzyskania potwierdzenia, czy przetwarzamy Twoje dane oraz otrzymania ich kopii.

Jak skorzystać?

• Dashboard → Settings → Privacy → Download My Data (eksport do JSON);
• Email: privacy@hubionis.com (odpowiedź w ciągu 30 dni).

7.2. Prawo do Sprostowania (Art. 16)

Możesz poprawić nieprawidłowe lub niekompletne dane.

Jak skorzystać?

• Dashboard → Settings → Edit Profile (natychmiastowe zmiany);
• Email: privacy@hubionis.com (dla danych niewidocznych w panelu).

7.3. Prawo do Usunięcia (Art. 17 – "Prawo do Bycia Zapomnianym")

Możesz żądać usunięcia swoich danych, jeśli:

• Dane nie są już potrzebne do celów, dla których zostały zebrane;
• Cofnąłeś zgodę (np. na newsletter);
• Wniosłeś sprzeciw wobec przetwarzania (Art. 21);
• Dane były przetwarzane niezgodnie z prawem.

Jak skorzystać?

• Dashboard → Settings → Delete Account;
• Email: privacy@hubionis.com.

Wyjątki: Nie możemy usunąć danych, jeśli:

• Są wymagane do wypełnienia obowiązku prawnego (np. faktury – 5 lat);
• Są niezbędne do ustalenia, dochodzenia lub obrony roszczeń (np. w toku sporu sądowego).

7.4. Prawo do Ograniczenia Przetwarzania (Art. 18)

Możesz żądać "zamrożenia" swoich danych (przechowywanie bez przetwarzania), jeśli:

• Kwestionujesz prawidłowość danych (do czasu weryfikacji);
• Przetwarzanie jest niezgodne z prawem, ale nie chcesz usunięcia danych;
• Dane są potrzebne do dochodzenia roszczeń (mimo że nie potrzebujemy ich już do innych celów).

Jak skorzystać? Email: privacy@hubionis.com (rozpatrzenie: 30 dni).

7.5. Prawo do Przenoszenia Danych (Art. 20)

Możesz otrzymać swoje dane w formacie ustrukturyzowanym, powszechnie używanym i czytelnym maszynowo (JSON) oraz przesłać je innemu administratorowi.

Jak skorzystać? Dashboard → Settings → Privacy → Download My Data (JSON).

7.6. Prawo Sprzeciwu (Art. 21)

Możesz wnieść sprzeciw wobec przetwarzania danych na podstawie uzasadnionego interesu (Art. 6(1)(f)), np.:

• Logowanie IP dla bezpieczeństwa;
• Profilowanie w celach rekomendacji wydarzeń.

Jak skorzystać?

• Dashboard → Settings → Privacy → Disable Personalization;
• Email: privacy@hubionis.com.

Uwaga: Sprzeciw wobec przetwarzania na podstawie umowy (Art. 6(1)(b)) może skutkować niemożnością korzystania z platformy (np. nie możesz zrezygnować z przechowywania emaila, bo jest niezbędny do logowania).

7.7. Prawo do Cofnięcia Zgody (Art. 7(3))

Możesz w każdej chwili cofnąć zgodę na:

• Newsletter: Kliknij "Unsubscribe" w emailu lub Dashboard → Settings → Privacy → Unsubscribe Newsletter;
• Push notifications: Dashboard → Settings → Notifications → Disable Push;
• Cookies analityczne: Cookie Banner → Manage Cookies → Wyłącz "Analytics".

Skutek: Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania przed cofnięciem.

7.8. Prawo do Wniesienia Skargi do Organu Nadzorczego

Jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z RODO, możesz złożyć skargę do:

Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
📧 Email: kancelaria@uodo.gov.pl
🌐 Formularz online: www.uodo.gov.pl

§ 8. Bezpieczeństwo Danych

8.1. Środki Techniczne

• Szyfrowanie danych:
  • Hasła: bcrypt (12 rund, salt per-user);
  • Dane w tranzycie: TLS 1.3 (HTTPS);
  • Baza danych: Encryption at rest (AWS RDS KMS).
• Tokeny dostępu:
  • JWT (access token: 15 min, refresh token: 7 dni);
  • Refresh token przechowywany w Redis (automatyczne wygaśnięcie).
• Rate limiting: Maksymalnie 100 requestów/minutę (ochrona przed brute-force).
• Firewall: AWS Security Groups (dostęp do bazy tylko z backendu).
• Backupy: Codzienne backupy bazy danych (przechowywanie 30 dni, szyfrowane).

8.2. Środki Organizacyjne

• Dostęp do danych: Tylko uprawnieni pracownicy (zasada "need-to-know");
• Szkolenia: Roczne szkolenia z RODO dla zespołu (planowane: Q2 2026);
• Audyty: Roczny audyt bezpieczeństwa (planowana certyfikacja ISO 27001 w 2027);
• Procedura reagowania na wyciek: Data Breach Procedure (notyfikacja UODO w ciągu 72h zgodnie z Art. 33 RODO).

8.3. Procedura w Przypadku Naruszenia Ochrony Danych

W przypadku wykrycia naruszenia ochrony danych (data breach):

1. Wykrycie i klasyfikacja: 0-1h (P0: krytyczny, P1: wysoki, P2: średni, P3: niski);
2. Zawężenie: 1-4h (zatrzymanie wycieku);
3. Ocena ryzyka: 4-24h (czy wpływa na prawa użytkowników?);
4. Notyfikacja UODO: W ciągu 72 godzin od wykrycia (Art. 33 RODO);
5. Notyfikacja użytkowników: Jeśli istnieje wysokie ryzyko dla ich praw (Art. 34 RODO);
6. Raport post-incident: 7-30 dni (wnioski, działania naprawcze).

§ 9. Pliki Cookies

Platforma wykorzystuje pliki cookies (ciasteczka) do zapewnienia poprawnego działania i analizy ruchu. Szczegółowe informacje znajdują się w Polityce Cookies.

9.1. Rodzaje Cookies

Rodzaj	Cel	Wymaga zgody?
Niezbędne	Logowanie, sesja, koszyk	❌ NIE (Art. 6(1)(f) – uzasadniony interes)
Funkcjonalne	Język, preferencje wyświetlania	❌ NIE
Analityczne	Google Analytics (statystyki)	✅ TAK (cookie banner)
Marketingowe	Remarke ting (Google Ads, Facebook Pixel)	✅ TAK

§ 10. Profilowanie i Automatyczne Decyzje (Art. 22 RODO)

10.1. Czy Stosujemy Automatyczne Decyzje?

NIE. Platforma nie podejmuje w pełni automatycznych decyzji wywołujących skutki prawne lub istotnie wpływających na sytuację użytkownika (np. automatyczne odrzucenie rezerwacji, blokada konta bez udziału człowieka).

10.2. Profilowanie w Celach Rekomendacji

TAK. Wykorzystujemy profilowanie do:

• Sugerowania wydarzeń na podstawie historii przeglądania i rezerwacji;
• Personalizacji wyników wyszukiwania;
• Wysyłki targetowanych newsletterów (za zgodą).

Logika profilowania:

• Algorytm collaborative filtering (użytkownicy o podobnych zainteresowaniach);
• Analiza kategorii wydarzeń (technologia, biznes, sztuka, sport);
• Geolokalizacja (sugestie wydarzeń w pobliżu).

Twoje prawa:

• Możesz wyłączyć personalizację: Dashboard → Settings → Privacy → Disable Personalization;
• Możesz wnieść sprzeciw: Email privacy@hubionis.com;
• Możesz zażądać wyjaśnienia logiki: Email privacy@hubionis.com (odpowiedź w ciągu 30 dni).

§ 11. Dane Dzieci (Poniżej 16. Roku Życia)

11.1. Wiek Minimalny

Platforma wymaga ukończenia 13. roku życia (zgodnie z Art. 8 RODO – Polska obniżyła limit do 13 lat).

11.2. Użytkownicy 13-17 Lat

Osoby w wieku 13-17 lat mogą korzystać z platformy za zgodą rodzica/opiekuna prawnego. Wymagane działania:

• Podanie adresu email rodzica podczas rejestracji;
• Wysłanie emaila weryfikacyjnego do rodzica (rodzic musi kliknąć "Potwierdzam zgodę");
• Rodzic może w każdej chwili żądać usunięcia konta dziecka (email: privacy@hubionis.com).

11.3. Uproszczona Polityka Prywatności dla Dzieci

Planujemy stworzyć wersję "Privacy for Kids" (wersja uproszczona, zrozumiała dla dzieci) – deadline: Q2 2026.

§ 12. Zmiany Polityki Prywatności

12.1. Prawo do Aktualizacji

Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce Prywatności z ważnych przyczyn (zmiany w prawie, nowe funkcjonalności, nowi partnerzy przetwarzający).

12.2. Powiadomienie o Zmianach

O istotnych zmianach poinformujemy z 14-dniowym wyprzedzeniem poprzez:

• Email na adres powiązany z kontem;
• Komunikat na stronie głównej;
• Push notification (jeśli wyraziłeś zgodę).

12.3. Archiwum Wersji

Poprzednie wersje Polityki Prywatności są dostępne w katalogu: legal/privacy-policy/pl/changelog.md.

§ 13. Kontakt w Sprawach Prywatności

📧 Email: privacy@hubionis.com
📬 Adres pocztowy: Cryptionis sp. z o.o., ul. Narwik 8/35, 01-471 Warszawa (z dopiskiem "RODO")
📞 Telefon: +48 22 XXX XX XX (dni robocze, 9:00-17:00)
⏱️ Czas odpowiedzi: Do 30 dni (zgodnie z Art. 12(3) RODO)

W pilnych sprawach (data breach, podejrzenie włamania na konto):
📧 Email: security@hubionis.com (odpowiedź w ciągu 24h)

§ 14. Dodatkowe Informacje

14.1. Certyfikacje i Audyty

• ISO 27001 (zarządzanie bezpieczeństwem informacji): Planowana certyfikacja w 2027;
• ISO 27701 (zarządzanie prywatnością): Planowana certyfikacja w 2028;
• PCI-DSS Level 1: Stripe (procesor płatności) jest certyfikowany.

14.2. Współpraca z Organami Ścigania

W przypadku otrzymania prawnie wiążącego wezwania od organów ścigania (prokuratura, policja, UODO), jesteśmy zobowiązani do udostępnienia danych zgodnie z Art. 6(1)(c) RODO (prawny obowiązek).

Gwarancje:

• Weryfikujemy legalność wezwania (podstawa prawna, zakres danych);
• Informujemy użytkownika o udostępnieniu danych (chyba że prawo tego zabrania);
• Udostępniamy tylko minimum niezbędnych danych.

14.3. Linking i Usługi Stron Trzecich

Platforma może zawierać linki do zewnętrznych stron (np. strony Organizatorów, social media). Nie ponosimy odpowiedzialności za polityki prywatności tych stron – zachęcamy do zapoznania się z nimi przed podaniem danych osobowych.