Polityka prywatności

1. Postanowienia ogólne

1. Niniejsza Polityka prywatności (dalej: „Polityka") określa zasady przetwarzania danych osobowych Użytkowników serwisu internetowego dodajtu.pl (dalej: „Serwis") oraz wykorzystywania plików cookies i podobnych technologii.
2. Polityka stanowi spełnienie obowiązku informacyjnego wynikającego z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: „RODO").
3. Korzystając z Serwisu, Użytkownik akceptuje zasady opisane w niniejszej Polityce.

2. Administrator danych osobowych

1. Administratorem danych osobowych Użytkowników Serwisu jest [TWOJA_NAZWA_FIRMY], NIP: [NIP], z siedzibą pod adresem: [ADRES].
2. Kontakt z Administratorem w sprawach związanych z ochroną danych osobowych możliwy jest:
   • drogą elektroniczną pod adresem: kontakt@dodajtu.pl,
   • listownie na adres siedziby wskazany powyżej.
3. Administrator nie powołał Inspektora Ochrony Danych. Wszystkie zapytania dotyczące przetwarzania danych można kierować bezpośrednio do Administratora.

3. Zakres przetwarzanych danych

W zależności od sposobu korzystania z Serwisu Administrator może przetwarzać następujące kategorie danych osobowych:

1. Dane podawane podczas rejestracji i korzystania z Konta:
   • imię,
   • adres e-mail,
   • hasło (przechowywane wyłącznie w postaci zaszyfrowanej – tzw. hash bcrypt),
   • numer telefonu (podawany dobrowolnie),
   • preferencje powiadomień i widoczności profilu.
2. Dane zawarte w Ogłoszeniach i wiadomościach:
   • tytuł, opis, cena oraz kategoria Ogłoszenia,
   • zdjęcia oferowanego przedmiotu lub usługi,
   • lokalizacja (województwo, miasto),
   • numer telefonu podany w Ogłoszeniu,
   • treść wiadomości wymienianych z innymi Użytkownikami.
3. Dane techniczne zbierane automatycznie:
   • adres IP (wykorzystywany w celu ochrony przed nadużyciami – rate-limiting),
   • informacje o przeglądarce (User-Agent) – w przypadku zgłoszenia błędu,
   • data i godzina aktywności,
   • identyfikator sesji (cookie autoryzacyjne).
4. Dane generowane przez korzystanie z Serwisu:
   • data rejestracji, data ostatniej aktywności,
   • historia własnych Ogłoszeń, ulubionych, otrzymanych wiadomości i powiadomień.

4. Cele i podstawy prawne przetwarzania

Cel przetwarzania	Podstawa prawna (RODO)	Okres przechowywania
Świadczenie usług Serwisu (założenie i obsługa Konta, publikowanie Ogłoszeń, system wiadomości)	art. 6 ust. 1 lit. b (wykonanie umowy)	do usunięcia Konta przez Użytkownika
Weryfikacja adresu e-mail i resetowanie hasła	art. 6 ust. 1 lit. b (wykonanie umowy)	token ważny do 7 dni (weryfikacja) / 1 godziny (reset hasła)
Wysyłka powiadomień e-mail (nowe wiadomości, polubienia, wygasające ogłoszenia, moderacja)	art. 6 ust. 1 lit. f (prawnie uzasadniony interes – informowanie Użytkownika o aktywności na Koncie); użytkownik może wyłączyć w ustawieniach	do momentu rezygnacji z powiadomień
Ochrona przed nadużyciami (rate-limiting, wykrywanie spamu)	art. 6 ust. 1 lit. f (prawnie uzasadniony interes – bezpieczeństwo Serwisu)	15 minut (rate-limit IP), 30 dni (logi błędów)
Moderacja treści, rozpatrywanie zgłoszeń naruszeń Regulaminu	art. 6 ust. 1 lit. f (prawnie uzasadniony interes – utrzymanie porządku w Serwisie)	do czasu usunięcia Konta zgłaszającego
Dochodzenie i obrona przed roszczeniami	art. 6 ust. 1 lit. f (prawnie uzasadniony interes prawny)	okres przedawnienia roszczeń (zwykle 3 lub 6 lat)
Wypełnienie obowiązków prawnych (odpowiedzi na żądania uprawnionych organów)	art. 6 ust. 1 lit. c (obowiązek prawny)	zgodnie z wymaganiami przepisów
Rozpatrywanie reklamacji	art. 6 ust. 1 lit. b oraz lit. c	do 1 roku od rozpatrzenia reklamacji

5. Odbiorcy danych

1. Dane osobowe Użytkowników mogą być powierzane wyłącznie podmiotom zapewniającym infrastrukturę techniczną Serwisu:
   • Contabo GmbH (Niemcy, Unia Europejska) – usługi hostingu serwera oraz przechowywania zdjęć w usłudze Contabo Object Storage. Powierzenie odbywa się na podstawie umowy powierzenia przetwarzania danych zgodnej z art. 28 RODO.
2. Wiadomości e-mail wysyłane są bezpośrednio z serwera Administratora przy użyciu własnego serwera pocztowego (Postfix). Treść wiadomości nie jest przekazywana zewnętrznym dostawcom usług pocztowych.
3. Administrator nie korzysta z zewnętrznych narzędzi analitycznych (takich jak Google Analytics, Facebook Pixel) ani sieci reklamowych – żadne dane Użytkowników nie są przekazywane podmiotom trzecim w celach marketingowych lub statystycznych.
4. Dane mogą zostać udostępnione organom państwowym (sądy, policja, prokuratura, urzędy skarbowe) na ich uzasadnione i zgodne z prawem żądanie.
5. W razie zaangażowania doradców prawnych lub księgowych Administratora, dane mogą być udostępniane tym podmiotom na podstawie umów zapewniających poufność.

6. Przekazywanie danych poza Europejski Obszar Gospodarczy

1. Dane osobowe Użytkowników są przechowywane wyłącznie na serwerach zlokalizowanych w Niemczech (Unia Europejska).
2. Administrator nie przekazuje danych osobowych poza Europejski Obszar Gospodarczy (EOG).

7. Prawa Użytkownika

Każdemu Użytkownikowi przysługują następujące prawa:

1. Prawo dostępu (art. 15 RODO) – uzyskania potwierdzenia, czy dane są przetwarzane oraz otrzymania ich kopii.
2. Prawo do sprostowania (art. 16 RODO) – żądania poprawienia danych nieprawidłowych lub uzupełnienia niekompletnych.
3. Prawo do usunięcia danych – „prawo do bycia zapomnianym" (art. 17 RODO) – żądania usunięcia danych, jeśli nie są już niezbędne do celów, dla których zostały zebrane.
4. Prawo do ograniczenia przetwarzania (art. 18 RODO) – żądania ograniczenia przetwarzania danych w określonych przypadkach.
5. Prawo do przenoszenia danych (art. 20 RODO) – otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie lub żądania ich przekazania innemu administratorowi.
6. Prawo do sprzeciwu (art. 21 RODO) – wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora.
7. Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) – w odniesieniu do przetwarzania opartego na zgodzie, w każdym czasie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
8. Prawo do wniesienia skargi – do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl), jeżeli Użytkownik uzna, że przetwarzanie jego danych narusza przepisy RODO.

W celu skorzystania z powyższych praw należy skontaktować się z Administratorem pod adresem kontakt@dodajtu.pl. Administrator udzieli odpowiedzi w terminie do 30 dni od otrzymania żądania.

8. Usunięcie konta i danych

1. Użytkownik może w każdej chwili usunąć Konto:
   • samodzielnie – poprzez funkcję dostępną w ustawieniach Konta,
   • poprzez kontakt z Administratorem pod adresem kontakt@dodajtu.pl.
2. Usunięcie Konta skutkuje nieodwracalnym usunięciem wszystkich danych osobowych Użytkownika, jego Ogłoszeń, zdjęć z Ogłoszeń, wiadomości oraz powiadomień.
3. Administrator może zachować część danych przez okres niezbędny do dochodzenia roszczeń lub wypełnienia obowiązków prawnych (np. odpowiedzi na żądania uprawnionych organów). Po upływie tego okresu dane zostaną trwale usunięte.

9. Cookies i podobne technologie

1. Serwis wykorzystuje pliki cookies oraz mechanizm LocalStorage przeglądarki, niezbędne do prawidłowego działania.
2. Wykorzystywane są wyłącznie pliki cookies niezbędne i funkcjonalne:
   • authjs.session-token – cookie autoryzacyjne, umożliwiające utrzymanie zalogowanego stanu sesji Użytkownika (podstawa: art. 6 ust. 1 lit. b RODO, czas: do wylogowania lub wygaśnięcia sesji),
   • cookie-consent – zapamiętanie wyboru Użytkownika dotyczącego informacji o plikach cookies,
   • LocalStorage – zapamiętanie preferencji motywu (jasny/ciemny).
3. Serwis nie wykorzystuje plików cookies marketingowych, śledzących ani profilujących. Administrator nie korzysta z zewnętrznych usług analitycznych, reklamowych ani społecznościowych.
4. Użytkownik może w każdej chwili wyłączyć obsługę plików cookies w ustawieniach swojej przeglądarki. Wyłączenie cookies niezbędnych uniemożliwi zalogowanie się do Serwisu.

10. Bezpieczeństwo danych

1. Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych Użytkowników przed nieuprawnionym dostępem, utratą, zniszczeniem lub modyfikacją, w szczególności:
   • szyfrowanie połączeń protokołem HTTPS (TLS) wraz z mechanizmem HSTS,
   • jednokierunkowe hashowanie haseł algorytmem bcrypt,
   • nagłówki bezpieczeństwa HTTP (CSP, X-Frame-Options, X-Content-Type-Options),
   • uwierzytelnianie wysyłanej poczty mechanizmami SPF, DKIM i DMARC,
   • ograniczanie liczby prób logowania, rejestracji oraz innych wrażliwych operacji (rate-limiting),
   • kopie zapasowe bazy danych wykonywane codziennie z 7-dniową retencją,
   • audyt działań administracyjnych zapisywany w wewnętrznym rejestrze.
2. Dostęp do danych w bazie posiada wyłącznie Administrator. Hasła Użytkowników są przechowywane w postaci nieodwracalnego hasha – Administrator nie zna ich rzeczywistej treści.

11. Zautomatyzowane podejmowanie decyzji i profilowanie

1. Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na Użytkownika.
2. Automatyczne mechanizmy moderacyjne (np. filtr antyspamowy, automatyczne ukrywanie wygasłych Ogłoszeń) służą wyłącznie utrzymaniu porządku w Serwisie i nie podejmują decyzji o charakterze prawnym wobec Użytkownika.

12. Dane osób niepełnoletnich

1. Serwis jest przeznaczony wyłącznie dla osób pełnoletnich.
2. Administrator nie zbiera świadomie danych osobowych osób poniżej 16. roku życia. Jeśli Administrator dowie się o przetwarzaniu danych takiej osoby bez zgody jej opiekuna prawnego, dane zostaną niezwłocznie usunięte.

13. Zmiany Polityki prywatności

1. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce, w szczególności w przypadku:
   • zmiany przepisów prawa dotyczących ochrony danych osobowych,
   • wprowadzenia nowych funkcjonalności Serwisu wpływających na sposób przetwarzania danych,
   • zmian w zakresie podmiotów przetwarzających.
2. O istotnych zmianach Polityki Użytkownicy zarejestrowani zostaną poinformowani drogą e-mail lub komunikatem w Serwisie, z co najmniej 14-dniowym wyprzedzeniem.
3. Aktualna wersja Polityki jest dostępna pod adresem https://dodajtu.pl/polityka-prywatnosci.
4. Polityka wchodzi w życie z dniem [DATA_WEJSCIA_W_ZYCIE].