Polityka prywatności

Obowiązuje od 25.06.2026 r.

§1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest DroiTech z siedzibą we Wrocławiu, operator serwisu SubSplit (https://subsplit.pl). Kontakt: kontakt@subsplit.pl. Pełne dane rejestrowe znajdują się w §11 na końcu Polityki.

§2. Jakie dane zbieramy

  1. Dane z rejestracji: adres e-mail, nazwa użytkownika (nick), opcjonalnie avatar. Nick i avatar są widoczne dla innych Użytkowników Serwisu jako element publicznego profilu (lista grup, członkostwa, ocenianie). Adres e-mail pozostaje prywatny. Treść nicku i avatara Użytkownik wybiera sam, dlatego nie powinien używać tam danych, których nie chce ujawnić publicznie (np. pełnego imienia i nazwiska, ile nie jest to konieczne).
  2. Dane z logowania społecznościowego (jeśli wybierzesz Google albo Facebook): imię, e-mail, URL zdjęcia profilowego. Źródło danych: dostawca logowania społecznościowego (Google LLC albo Meta Platforms Inc.), który przekazuje nam te dane na podstawie Twojej zgody udzielonej u tego dostawcy.
  3. Numer telefonu i jego weryfikacja: zbieramy numer telefonu i weryfikujemy go kodem SMS przy pierwszym dołączeniu do Grupy. Numer jest niezbędny do otrzymywania Opłat bezpośrednich metodą BLIK i dla bezpieczeństwa Serwisu (ograniczenie fałszywych kont). Numer telefonu Użytkownika nie jest publicznie widoczny i jest ujawniany wyłącznie w zakresie niezbędnym do realizacji płatności bezpośrednich (numer telefonu Właściciela pokazujemy Członkom jego Grupy po opłaceniu miejsca, w panelu płatności).
  4. Dane płatnicze: kwota, data, status operacji, identyfikator transakcji u operatora. Dane karty trzyma operator (Paynow), nie my.
  5. Dane metod odbioru wpłat (jeśli prowadzisz grupy): numer telefonu dla BLIK, link Revolut, numer konta bankowego. Pokazujemy te dane wyłącznie Członkom Twoich grup po opłaceniu miejsca. Dane te są zbierane w celu umożliwienia płatności bezpośrednich między Użytkownikami.
  6. Dane logowania udostępniane w Grupach (opcjonalna funkcja, §5 ust. 4 Regulaminu): jeśli korzystasz z modelu danych dostępowych, przechowujemy login i hasło Twojego konta u Dostawcy zewnętrznego w formie zaszyfrowanej (AES-256-GCM). Dane te są przechowywane wyłącznie na Twoje polecenie i widoczne tylko dla aktywnych, opłaconych Członków Twojej Grupy. Nie korzystamy z tych danych do żadnego innego celu i nie udostępniamy ich nikomu innemu.
  7. Dane dotyczące grup: nazwy grup, kategorie, instrukcje dostępu, oceny i reputacja. Oceny i reputacja Użytkownika są tworzone przez innych Użytkowników (np. ocena Właściciela Grupy przez jej Członków) i prezentowane w publicznym profilu Użytkownika oraz w panelu grupy. Mechanizm reputacji opisuje sekcja „Bezpieczeństwo" na stronie głównej Serwisu.
  8. Dane techniczne: adres IP, typ przeglądarki, logi dostępu. Zbierane automatycznie.
  9. Dane z kontaktu z nami: adres e-mail i treść wiadomości z formularza lub korespondencji.

§3. Cele i podstawy prawne przetwarzania

Cel przetwarzaniaPodstawa prawna
Wykonanie umowy o świadczenie usług SerwisuArt. 6 ust. 1 lit. b RODO
Obsługa płatności i rozliczeń subskrypcji platformyArt. 6 ust. 1 lit. b RODO
Umożliwienie płatności bezpośrednich między Użytkownikami (udostępnienie numeru telefonu BLIK, linku Revolut, numeru rachunku Członkom Grupy)Art. 6 ust. 1 lit. b RODO
Weryfikacja numeru telefonu kodem SMS przy dołączaniu do GrupyArt. 6 ust. 1 lit. b i f RODO
Przechowywanie zaszyfrowanych danych logowania udostępnianych w Grupach (funkcja opcjonalna, uruchamiana na wyraźne polecenie Właściciela)Art. 6 ust. 1 lit. a RODO (zgoda)
Wypełnienie obowiązków podatkowych i rachunkowychArt. 6 ust. 1 lit. c RODO
Obsługa reklamacji, zgłoszeń i mediacji sporówArt. 6 ust. 1 lit. b RODO
Powiadomienia transakcyjne i operacyjne e-mailemArt. 6 ust. 1 lit. b RODO
Bezpieczeństwo, logi, zapobieganie nadużyciom i fraudomArt. 6 ust. 1 lit. f RODO
System reputacji i ocen UżytkownikówArt. 6 ust. 1 lit. f RODO
Marketing własny (newsletter, jeśli wyrazisz zgodę)Art. 6 ust. 1 lit. a RODO

Rezygnacja z marketingu: każdy nasz newsletter zawiera link rezygnacji (unsubscribe). Możesz też napisać do nas na kontakt@subsplit.pl żeby wycofać zgodę.

§4. Odbiorcy danych

Twoje dane mogą trafić do następujących podmiotów (w zakresie niezbędnym do świadczenia danej usługi):

  1. Autopay S.A. (Paynow), operator płatności, ul. Powstańców Warszawy 6, 81-718 Sopot. Polska.
  2. Brevo (Sendinblue SAS), dostawca usług e-mail transakcyjnych, 7 rue de Madrid, 75008 Paryż, Francja. Na podstawie standardowych klauzul umownych (SCC).
  3. SMSAPI sp. z o.o., operator weryfikacji SMS przy dołączaniu do grup, ul. Tatrzańska 3, 30-538 Kraków. Polska.
  4. Vercel Inc., hosting frontendu i przechowywanie zdjęć profilowych (Vercel Blob), 340 Pine Street Suite 701, San Francisco, USA. Dane mogą być cache'owane w sieci CDN obejmującej również lokalizacje w EOG. Na podstawie SCC.
  5. Fly.io (Super Orbit Inc.), hosting backendu i bazy danych. Spółka zarządzająca infrastrukturą ma siedzibę w USA, natomiast fizycznie nasze dane (baza PostgreSQL, instancje aplikacji) są przechowywane w centrum danych w regionie Frankfurt (Niemcy), w obrębie Europejskiego Obszaru Gospodarczego. Przekazywanie danych do administratora infrastruktury (USA) odbywa się na podstawie SCC.
  6. Organy publiczne, jeżeli obowiązek przekazania danych wynika z przepisów prawa.

Minimalizacja danych płatniczych: numer telefonu, link Revolut i numer konta bankowego Właściciela Grupy są pokazywane Członkom tej Grupy wyłącznie po opłaceniu miejsca. Bez tego są niewidoczne. SubSplit nie udostępnia tych danych nikomu poza aktywnymi Członkami Grupy ani nie wykorzystuje ich do celów marketingowych.

§5. Okresy przechowywania danych

Kategoria danychOkres przechowywania
Dane konta UżytkownikaDo usunięcia konta plus 30 dni (możliwość przywrócenia konta w razie pomyłki)
Dane identyfikujące (zanonimizowany identyfikator, hash IP) po usunięciu kontaDo upływu okresu przedawnienia roszczeń wynikających z umowy (art. 118 k.c., maksymalnie 6 lat). Podstawa: art. 6 ust. 1 lit. f RODO, obrona przed ewentualnymi roszczeniami i zapobieganie wielokrotnej rejestracji osób, które naruszyły Regulamin
Dane transakcyjne i faktury (subskrypcje platformy)5 lat od końca roku podatkowego (obowiązek księgowy)
Dane logowania do grup (zaszyfrowane)Do zakończenia członkostwa, archiwizacji albo usunięcia grupy, wycofania zgody przez Właściciela. Po wystąpieniu którejkolwiek z tych sytuacji zaszyfrowany login i hasło są bezpowrotnie kasowane z naszych systemów, niezależnie od tego, że metadane grupy (nazwa, historia ocen) mogą pozostać w archiwum
Logi techniczne i dostępu90 dni
Treść korespondencji z kontaktu12 miesięcy od ostatniego kontaktu
Dane marketingowe (zgodne na newsletter)Do wycofania zgody

§6. Twoje prawa

Masz prawo do:

  1. Dostępu do swoich danych (art. 15 RODO).
  2. Sprostowania nieprawidłowych danych (art. 16 RODO).
  3. Usunięcia danych, czyli prawo do bycia zapomnianym (art. 17 RODO).
  4. Ograniczenia przetwarzania (art. 18 RODO).
  5. Przenoszenia danych (art. 20 RODO).
  6. Sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 21 RODO), w tym sprzeciwu wobec marketingu (link rezygnacji w każdym newsletterze).
  7. Wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej wycofaniem.

Prawo do usunięcia (art. 17 RODO). Konto możesz usunąć samodzielnie w aplikacji, w sekcji Ustawienia, Strefa niebezpieczna, Usuń konto. Po usunięciu:

  • Dane personalne (e-mail, nick, numer telefonu, avatar) są anonimizowane. Twój nick zmienia się na „Usunięty użytkownik", e-mail na zanonimizowany identyfikator, avatar i numer telefonu są usuwane.
  • Oceny i reputacja wystawione przez Ciebie innym Użytkownikom oraz otrzymane przez Ciebie od innych Użytkowników pozostają w systemie powiązane z anonimowym profilem („Usunięty użytkownik"), bez identyfikatorów personalnych. Wynika to z potrzeby zachowania integralności systemu reputacji wobec pozostałych Użytkowników, którzy uczestniczyli z Tobą w Grupach (art. 6 ust. 1 lit. f RODO, uzasadniony interes Usługodawcy i innych Użytkowników).
  • Historia płatności, członkostw w grupach i logi sporów pozostają w formie zanonimizowanej w zakresie wymaganym przez przepisy o rachunkowości i obowiązki prawne (art. 6 ust. 1 lit. c RODO).
  • Sesje są zakończone, a wszystkie cookies sesyjne unieważnione.

W sprawie pozostałych praw skontaktuj się: kontakt@subsplit.pl.

Masz też prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl).

§7. Przekazywanie danych poza EOG

Część naszych dostawców usług (Vercel, Fly.io) ma siedzibę w USA. Tam, gdzie to możliwe, dobieramy regiony przetwarzania tak, żeby Twoje dane fizycznie pozostawały na terenie Europejskiego Obszaru Gospodarczego (baza danych SubSplit jest hostowana w regionie Frankfurt).

Podstawą prawną przekazywania danych do administratorów infrastruktury w USA jest:

  1. Decyzja wykonawcza Komisji Europejskiej (UE) 2023/1795 z 10 lipca 2023 r. o adekwatności ochrony danych zapewnianej przez EU-US Data Privacy Framework (DPF), dla podmiotów certyfikowanych w ramach tego programu. Aktualną listę podmiotów certyfikowanych można sprawdzić na www.dataprivacyframework.gov.
  2. Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską, jako podstawa zapasowa albo dla dostawców niecertyfikowanych w DPF.

§8. Pliki cookies

Korzystamy z plików cookies (małych plików tekstowych) zapisywanych na Twoim urządzeniu. Większość naszych cookies jest niezbędna do działania Serwisu (sesja logowania). Dodatkowo używamy Google Analytics 4 do zbiorczego mierzenia ruchu. Nie używamy cookies reklamowych ani profilujących.

Cookies własne (subsplit.pl)

NazwaCelCzas życia
accessToken (HttpOnly cookie)Sesja logowania (JWT). Identyfikuje zalogowanego Użytkownika. Cookie HttpOnly, niedostępne dla JavaScriptu, atrybut SameSite=Lax, Secure.1 godzina
refreshToken (HttpOnly cookie)Odświeżanie sesji bez ponownego logowania. Cookie HttpOnly, Secure, ścieżka /api/auth/refresh.7 dni
subsplit-cookie-ack (localStorage)Zapamiętanie, że akceptujesz pliki cookies.365 dni

Google Analytics 4 (analityka)

Używamy Google Analytics 4 w trybie Consent Mode v2. Oznacza to, że przed Twoim potwierdzeniem przyciskiem „OK, rozumiem" GA działa w trybie ograniczonym: zbiera tylko anonimowe zdarzenia bez identyfikatorów i bez zapisu cookies. Dopiero po potwierdzeniu uruchamiany jest pełen pomiar (cookies analityczne i identyfikatory). IP jest anonimizowane. Nie używamy identyfikatorów reklamowych.

Możesz w każdej chwili wycofać akceptację: usuń subsplit-cookie-ack w pamięci przeglądarki albo wyczyść cookies dla domeny subsplit.pl.

Cookies podmiotów zewnętrznych

Te cookies pojawiają się tylko wtedy, gdy korzystasz z funkcji wymagającej integracji z serwisem zewnętrznym (kliknięcie „Zaloguj przez Google", przejście do płatności). Są niezbędne do działania danej funkcji. Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy) i art. 173 ust. 3 ustawy Prawo telekomunikacyjne (cookies niezbędne do świadczenia usługi).

DostawcaKiedyPolityka
GooglePo kliknięciu „Zaloguj przez Google".Zobacz
Facebook (Meta)Po kliknięciu „Kontynuuj z Facebook".Zobacz
Paynow (Autopay S.A.)Podczas realizacji płatności (na stronie operatora).Zobacz

Jak zarządzać cookies

  1. Przy pierwszej wizycie pokazujemy banner cookies. Do czasu jego potwierdzenia Google Analytics działa w trybie ograniczonym (Consent Mode v2 default: denied).
  2. Cookies podmiotów zewnętrznych nie są ustawiane bez Twojej akcji. Jeśli nie korzystasz z social loginu ani płatności, w ogóle się nie pojawią.
  3. Możesz w każdej chwili usunąć cookies w ustawieniach przeglądarki (Chrome, Firefox, Safari). Wylogujesz się z Serwisu, ale nie wpłynie to na inne funkcje.
  4. Żeby ponownie zobaczyć banner cookies, kliknij „Cookies" w stopce strony.

§9. Bezpieczeństwo danych

  1. Dane logowania udostępniane w grupach są szyfrowane algorytmem AES-256-GCM i przechowywane wyłącznie na polecenie Właściciela Grupy.
  2. Transmisja danych odbywa się z użyciem protokołu HTTPS/TLS.
  3. Dostęp do danych mają tylko uprawnieni pracownicy i podwykonawcy.
  4. Sesje użytkowników są oparte o tokeny JWT z 1-godzinnym czasem życia i odświeżane przez refresh token.

§10. Zmiany polityki prywatności

O istotnych zmianach poinformujemy e-mailem albo komunikatem w Serwisie z co najmniej 14-dniowym wyprzedzeniem.

Polityka prywatności obowiązuje od dnia 25.06.2026 r.

§11. Dane Administratora

Pełne dane rejestrowe Administratora danych osobowych:

DroiTech Maciej Kominek

ul. Walońska 17, 50-413 Wrocław

NIP: 6472463064, REGON: 022425768

E-mail: kontakt@subsplit.pl