Polityka prywatności
Obowiązuje od 25.06.2026 r.
§1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest DroiTech z siedzibą we Wrocławiu, operator serwisu SubSplit (https://subsplit.pl). Kontakt: kontakt@subsplit.pl. Pełne dane rejestrowe znajdują się w §11 na końcu Polityki.
§2. Jakie dane zbieramy
- Dane z rejestracji: adres e-mail, nazwa użytkownika (nick), opcjonalnie avatar. Nick i avatar są widoczne dla innych Użytkowników Serwisu jako element publicznego profilu (lista grup, członkostwa, ocenianie). Adres e-mail pozostaje prywatny. Treść nicku i avatara Użytkownik wybiera sam, dlatego nie powinien używać tam danych, których nie chce ujawnić publicznie (np. pełnego imienia i nazwiska, ile nie jest to konieczne).
- Dane z logowania społecznościowego (jeśli wybierzesz Google albo Facebook): imię, e-mail, URL zdjęcia profilowego. Źródło danych: dostawca logowania społecznościowego (Google LLC albo Meta Platforms Inc.), który przekazuje nam te dane na podstawie Twojej zgody udzielonej u tego dostawcy.
- Numer telefonu i jego weryfikacja: zbieramy numer telefonu i weryfikujemy go kodem SMS przy pierwszym dołączeniu do Grupy. Numer jest niezbędny do otrzymywania Opłat bezpośrednich metodą BLIK i dla bezpieczeństwa Serwisu (ograniczenie fałszywych kont). Numer telefonu Użytkownika nie jest publicznie widoczny i jest ujawniany wyłącznie w zakresie niezbędnym do realizacji płatności bezpośrednich (numer telefonu Właściciela pokazujemy Członkom jego Grupy po opłaceniu miejsca, w panelu płatności).
- Dane płatnicze: kwota, data, status operacji, identyfikator transakcji u operatora. Dane karty trzyma operator (Paynow), nie my.
- Dane metod odbioru wpłat (jeśli prowadzisz grupy): numer telefonu dla BLIK, link Revolut, numer konta bankowego. Pokazujemy te dane wyłącznie Członkom Twoich grup po opłaceniu miejsca. Dane te są zbierane w celu umożliwienia płatności bezpośrednich między Użytkownikami.
- Dane logowania udostępniane w Grupach (opcjonalna funkcja, §5 ust. 4 Regulaminu): jeśli korzystasz z modelu danych dostępowych, przechowujemy login i hasło Twojego konta u Dostawcy zewnętrznego w formie zaszyfrowanej (AES-256-GCM). Dane te są przechowywane wyłącznie na Twoje polecenie i widoczne tylko dla aktywnych, opłaconych Członków Twojej Grupy. Nie korzystamy z tych danych do żadnego innego celu i nie udostępniamy ich nikomu innemu.
- Dane dotyczące grup: nazwy grup, kategorie, instrukcje dostępu, oceny i reputacja. Oceny i reputacja Użytkownika są tworzone przez innych Użytkowników (np. ocena Właściciela Grupy przez jej Członków) i prezentowane w publicznym profilu Użytkownika oraz w panelu grupy. Mechanizm reputacji opisuje sekcja „Bezpieczeństwo" na stronie głównej Serwisu.
- Dane techniczne: adres IP, typ przeglądarki, logi dostępu. Zbierane automatycznie.
- Dane z kontaktu z nami: adres e-mail i treść wiadomości z formularza lub korespondencji.
§3. Cele i podstawy prawne przetwarzania
| Cel przetwarzania | Podstawa prawna |
|---|---|
| Wykonanie umowy o świadczenie usług Serwisu | Art. 6 ust. 1 lit. b RODO |
| Obsługa płatności i rozliczeń subskrypcji platformy | Art. 6 ust. 1 lit. b RODO |
| Umożliwienie płatności bezpośrednich między Użytkownikami (udostępnienie numeru telefonu BLIK, linku Revolut, numeru rachunku Członkom Grupy) | Art. 6 ust. 1 lit. b RODO |
| Weryfikacja numeru telefonu kodem SMS przy dołączaniu do Grupy | Art. 6 ust. 1 lit. b i f RODO |
| Przechowywanie zaszyfrowanych danych logowania udostępnianych w Grupach (funkcja opcjonalna, uruchamiana na wyraźne polecenie Właściciela) | Art. 6 ust. 1 lit. a RODO (zgoda) |
| Wypełnienie obowiązków podatkowych i rachunkowych | Art. 6 ust. 1 lit. c RODO |
| Obsługa reklamacji, zgłoszeń i mediacji sporów | Art. 6 ust. 1 lit. b RODO |
| Powiadomienia transakcyjne i operacyjne e-mailem | Art. 6 ust. 1 lit. b RODO |
| Bezpieczeństwo, logi, zapobieganie nadużyciom i fraudom | Art. 6 ust. 1 lit. f RODO |
| System reputacji i ocen Użytkowników | Art. 6 ust. 1 lit. f RODO |
| Marketing własny (newsletter, jeśli wyrazisz zgodę) | Art. 6 ust. 1 lit. a RODO |
Rezygnacja z marketingu: każdy nasz newsletter zawiera link rezygnacji (unsubscribe). Możesz też napisać do nas na kontakt@subsplit.pl żeby wycofać zgodę.
§4. Odbiorcy danych
Twoje dane mogą trafić do następujących podmiotów (w zakresie niezbędnym do świadczenia danej usługi):
- Autopay S.A. (Paynow), operator płatności, ul. Powstańców Warszawy 6, 81-718 Sopot. Polska.
- Brevo (Sendinblue SAS), dostawca usług e-mail transakcyjnych, 7 rue de Madrid, 75008 Paryż, Francja. Na podstawie standardowych klauzul umownych (SCC).
- SMSAPI sp. z o.o., operator weryfikacji SMS przy dołączaniu do grup, ul. Tatrzańska 3, 30-538 Kraków. Polska.
- Vercel Inc., hosting frontendu i przechowywanie zdjęć profilowych (Vercel Blob), 340 Pine Street Suite 701, San Francisco, USA. Dane mogą być cache'owane w sieci CDN obejmującej również lokalizacje w EOG. Na podstawie SCC.
- Fly.io (Super Orbit Inc.), hosting backendu i bazy danych. Spółka zarządzająca infrastrukturą ma siedzibę w USA, natomiast fizycznie nasze dane (baza PostgreSQL, instancje aplikacji) są przechowywane w centrum danych w regionie Frankfurt (Niemcy), w obrębie Europejskiego Obszaru Gospodarczego. Przekazywanie danych do administratora infrastruktury (USA) odbywa się na podstawie SCC.
- Organy publiczne, jeżeli obowiązek przekazania danych wynika z przepisów prawa.
Minimalizacja danych płatniczych: numer telefonu, link Revolut i numer konta bankowego Właściciela Grupy są pokazywane Członkom tej Grupy wyłącznie po opłaceniu miejsca. Bez tego są niewidoczne. SubSplit nie udostępnia tych danych nikomu poza aktywnymi Członkami Grupy ani nie wykorzystuje ich do celów marketingowych.
§5. Okresy przechowywania danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta Użytkownika | Do usunięcia konta plus 30 dni (możliwość przywrócenia konta w razie pomyłki) |
| Dane identyfikujące (zanonimizowany identyfikator, hash IP) po usunięciu konta | Do upływu okresu przedawnienia roszczeń wynikających z umowy (art. 118 k.c., maksymalnie 6 lat). Podstawa: art. 6 ust. 1 lit. f RODO, obrona przed ewentualnymi roszczeniami i zapobieganie wielokrotnej rejestracji osób, które naruszyły Regulamin |
| Dane transakcyjne i faktury (subskrypcje platformy) | 5 lat od końca roku podatkowego (obowiązek księgowy) |
| Dane logowania do grup (zaszyfrowane) | Do zakończenia członkostwa, archiwizacji albo usunięcia grupy, wycofania zgody przez Właściciela. Po wystąpieniu którejkolwiek z tych sytuacji zaszyfrowany login i hasło są bezpowrotnie kasowane z naszych systemów, niezależnie od tego, że metadane grupy (nazwa, historia ocen) mogą pozostać w archiwum |
| Logi techniczne i dostępu | 90 dni |
| Treść korespondencji z kontaktu | 12 miesięcy od ostatniego kontaktu |
| Dane marketingowe (zgodne na newsletter) | Do wycofania zgody |
§6. Twoje prawa
Masz prawo do:
- Dostępu do swoich danych (art. 15 RODO).
- Sprostowania nieprawidłowych danych (art. 16 RODO).
- Usunięcia danych, czyli prawo do bycia zapomnianym (art. 17 RODO).
- Ograniczenia przetwarzania (art. 18 RODO).
- Przenoszenia danych (art. 20 RODO).
- Sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 21 RODO), w tym sprzeciwu wobec marketingu (link rezygnacji w każdym newsletterze).
- Wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej wycofaniem.
Prawo do usunięcia (art. 17 RODO). Konto możesz usunąć samodzielnie w aplikacji, w sekcji Ustawienia, Strefa niebezpieczna, Usuń konto. Po usunięciu:
- Dane personalne (e-mail, nick, numer telefonu, avatar) są anonimizowane. Twój nick zmienia się na „Usunięty użytkownik", e-mail na zanonimizowany identyfikator, avatar i numer telefonu są usuwane.
- Oceny i reputacja wystawione przez Ciebie innym Użytkownikom oraz otrzymane przez Ciebie od innych Użytkowników pozostają w systemie powiązane z anonimowym profilem („Usunięty użytkownik"), bez identyfikatorów personalnych. Wynika to z potrzeby zachowania integralności systemu reputacji wobec pozostałych Użytkowników, którzy uczestniczyli z Tobą w Grupach (art. 6 ust. 1 lit. f RODO, uzasadniony interes Usługodawcy i innych Użytkowników).
- Historia płatności, członkostw w grupach i logi sporów pozostają w formie zanonimizowanej w zakresie wymaganym przez przepisy o rachunkowości i obowiązki prawne (art. 6 ust. 1 lit. c RODO).
- Sesje są zakończone, a wszystkie cookies sesyjne unieważnione.
W sprawie pozostałych praw skontaktuj się: kontakt@subsplit.pl.
Masz też prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl).
§7. Przekazywanie danych poza EOG
Część naszych dostawców usług (Vercel, Fly.io) ma siedzibę w USA. Tam, gdzie to możliwe, dobieramy regiony przetwarzania tak, żeby Twoje dane fizycznie pozostawały na terenie Europejskiego Obszaru Gospodarczego (baza danych SubSplit jest hostowana w regionie Frankfurt).
Podstawą prawną przekazywania danych do administratorów infrastruktury w USA jest:
- Decyzja wykonawcza Komisji Europejskiej (UE) 2023/1795 z 10 lipca 2023 r. o adekwatności ochrony danych zapewnianej przez EU-US Data Privacy Framework (DPF), dla podmiotów certyfikowanych w ramach tego programu. Aktualną listę podmiotów certyfikowanych można sprawdzić na www.dataprivacyframework.gov.
- Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską, jako podstawa zapasowa albo dla dostawców niecertyfikowanych w DPF.
§9. Bezpieczeństwo danych
- Dane logowania udostępniane w grupach są szyfrowane algorytmem AES-256-GCM i przechowywane wyłącznie na polecenie Właściciela Grupy.
- Transmisja danych odbywa się z użyciem protokołu HTTPS/TLS.
- Dostęp do danych mają tylko uprawnieni pracownicy i podwykonawcy.
- Sesje użytkowników są oparte o tokeny JWT z 1-godzinnym czasem życia i odświeżane przez refresh token.
§10. Zmiany polityki prywatności
O istotnych zmianach poinformujemy e-mailem albo komunikatem w Serwisie z co najmniej 14-dniowym wyprzedzeniem.
Polityka prywatności obowiązuje od dnia 25.06.2026 r.
§11. Dane Administratora
Pełne dane rejestrowe Administratora danych osobowych:
DroiTech Maciej Kominek
ul. Walońska 17, 50-413 Wrocław
NIP: 6472463064, REGON: 022425768
E-mail: kontakt@subsplit.pl