Ważne
Łódź+ · najnowsze wiadomości lokalne
Łódź+

Dokumenty

Polityka prywatności

Wersja: 2026-04-25.2. Dokument zgodny z Rozporządzeniem (UE) 2016/679 (RODO) i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych. Komplementarna z Regulaminem.

1. Administrator danych

Administratorem Twoich danych osobowych jest HAV STUDIO Sp. z o.o. z siedzibą w Warszawie przy ul. Stefana Batorego 18/108, 02-591 Warszawa, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0001203520, NIP: 7011285056, REGON: 543168992 (dalej „Administrator”), prowadząca portal internetowy „Łódź+” oraz panel zarządzania wpisami biznesowymi „Łódź+ Biznes”. Kontakt z Administratorem we wszystkich sprawach dotyczących danych osobowych oraz w pozostałych kwestiach związanych z funkcjonowaniem Portalu: kontakt@lodzplus.pl lub korespondencyjnie na adres siedziby wskazany powyżej.

Administrator nie wyznaczył Inspektora Ochrony Danych – nie zachodzą przesłanki obowiązkowe z art. 37 RODO. Funkcję punktu kontaktowego pełni adres wskazany powyżej.

2. Zakres zbieranych danych

Zakres przetwarzanych danych zależy od sposobu korzystania z portalu:

  • Czytelnik niezalogowany: pliki cookies, adres IP (anonimizowany do celów statystycznych), user-agent, dane techniczne sesji.
  • Czytelnik z kontem: adres e-mail, hasło w postaci skrótu kryptograficznego (Supabase Auth – bcrypt/scrypt), data utworzenia i ostatniego logowania. Przy logowaniu Google: identyfikator subskrybenta (sub), adres e-mail, imię i avatar (jeżeli udostępnione).
  • Subskrybent newslettera: adres e-mail, źródło zapisu (np. strona główna, artykuł, formularz wydarzenia), data i godzina zgody, IP.
  • Komentujący / Recenzent: dane Konta + treść wpisu, IP, user-agent, ocena (1–5 dla opinii). Ślad audytowy decyzji moderacyjnych.
  • Zgłaszający wydarzenie: imię, e-mail, telefon (opcjonalnie), dane organizatora, treść zgłoszenia.
  • Użytkownik Biznesowy: dane Konta + NIP firmy, snapshot danych z białej listy MF (nazwa, REGON, KRS, adres siedziby, status VAT, daty statusu, numery rachunków bankowych), historia zgód (wersje regulaminu, polityki, oświadczenia o reprezentacji, IP, user-agent, znacznik czasu), dane kontaktowe Wizytówki, dane członków Zespołu (e-mail, rola).
  • Klient płatności: identyfikator klienta Stripe (cus_xxx), identyfikatory transakcji i subskrypcji, status płatności, kwota, waluta, dane do faktury (nazwa firmy, NIP, adres). Dane karty płatniczej (numer, CVC, data ważności) nie są przechowywane przez Administratora – są tokenizowane bezpośrednio przez Stripe (zgodność PCI DSS Level 1).
  • Logi techniczne: adres IP, znacznik czasu, ścieżka żądania, kod odpowiedzi, user-agent – dla celów bezpieczeństwa i diagnostyki.

3. Cele i podstawy prawne przetwarzania

  • Świadczenie usługi (Konto, Wizytówka, Promocja) – art. 6 ust. 1 lit. b RODO (umowa).
  • Weryfikacja prawa do reprezentowania firmy – art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora oraz osób trzecich – przeciwdziałanie podszywaniu się).
  • Newsletter – art. 6 ust. 1 lit. a RODO (zgoda) oraz art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną.
  • Moderacja treści (komentarze, opinie) – art. 6 ust. 1 lit. f RODO (uzasadniony interes – bezpieczeństwo społeczności i zgodność z DSA).
  • Obsługa płatności i wystawianie faktur – art. 6 ust. 1 lit. b RODO oraz lit. c (obowiązki podatkowe – ustawa o VAT).
  • Marketing własny (np. komunikaty produktowe) – art. 6 ust. 1 lit. f RODO (uzasadniony interes).
  • Obrona przed roszczeniami i dochodzenie roszczeń – art. 6 ust. 1 lit. f RODO.
  • Statystyka i analityka – art. 6 ust. 1 lit. f RODO (uzasadniony interes – poprawa jakości usługi); cookies analityczne wymagają dodatkowo zgody zgodnie z art. 173 ustawy Prawo telekomunikacyjne.

4. Profilowanie i decyzje automatyczne

Administrator wykorzystuje narzędzia automatycznej moderacji opartej o sztuczną inteligencję do wstępnej oceny komentarzy i opinii. Decyzja AI o ukryciu treści nie ma charakteru w pełni zautomatyzowanego w rozumieniu art. 22 RODO – każda negatywna decyzja moderacyjna może zostać zakwestionowana przez autora i podlega weryfikacji przez członka redakcji.

Administrator nie podejmuje wyłącznie zautomatyzowanych decyzji wywołujących wobec osoby skutki prawne ani istotnie wpływających na jej sytuację.

5. Odbiorcy danych

Dane mogą być powierzane następującym kategoriom odbiorców (procesorom):

  • Lovable Cloud / Supabase – infrastruktura hostingowa, baza danych i autoryzacja (siedziba w UE).
  • Resend – obsługa wiadomości e-mail transakcyjnych i newslettera (USA – SCC + DPA).
  • Stripe Payments Europe Ltd. – obsługa płatności i wystawiania faktur (Irlandia / USA – SCC + zgodność PCI DSS).
  • Google LLC – obsługa map (Google Maps Platform), logowania przez Google (OAuth) – USA, ramy DPF.
  • Cloudflare – obsługa dostarczania treści i ochrony przed atakami (USA / globalna sieć Edge – SCC).
  • Organy państwowe – wyłącznie w zakresie wynikającym z przepisów prawa (np. nakaz prokuratora, sądu).

Numer NIP firmy weryfikowany jest w czasie rzeczywistym przez publiczne API wykazu podatników VAT MF (https://wl-api.mf.gov.pl). Do API przesyłany jest wyłącznie numer NIP – żadne inne dane Użytkownika nie są przekazywane. Administrator i Ministerstwo Finansów są niezależnymi administratorami danych w zakresie wymiany informacji w ramach tej weryfikacji.

6. Transfer poza Europejski Obszar Gospodarczy

Część odbiorców (Stripe, Google, Resend, Cloudflare) może przetwarzać dane na serwerach zlokalizowanych poza EOG, w szczególności w Stanach Zjednoczonych. Transfer odbywa się na podstawie:

  • standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską (decyzja 2021/914),
  • ram ochrony danych UE–USA (EU–US Data Privacy Framework) – w zakresie odbiorców certyfikowanych,
  • dodatkowych środków technicznych i organizacyjnych (szyfrowanie, pseudonimizacja, ograniczenie zakresu).

7. Okresy przechowywania

  • Konto i Wizytówka – przez czas trwania umowy.
  • Treści Użytkownika (komentarze, opinie, zgłoszenia wydarzeń) – przez czas trwania Konta i 5 lat po jego zamknięciu (cele dowodowe i archiwalne).
  • Dziennik zgód, weryfikacji NIP, oświadczenia o reprezentacji – 5 lat od zamknięcia Konta.
  • Dane do faktur i transakcji – 5 lat od końca roku obrotowego, w którym wystawiono fakturę (art. 70 § 1 Ordynacji podatkowej, art. 112 ustawy o VAT).
  • Dane subskrybenta newslettera – do momentu wycofania zgody.
  • Logi techniczne – do 12 miesięcy.
  • Cookies – zgodnie z czasem życia każdego ciasteczka (zob. § 9).

8. Twoje prawa

  • Prawo dostępu do danych (art. 15 RODO).
  • Prawo do sprostowania (art. 16 RODO).
  • Prawo do usunięcia – „prawo do bycia zapomnianym” (art. 17 RODO), z zastrzeżeniem przepisów wymagających retencji (faktury, dowody).
  • Prawo do ograniczenia przetwarzania (art. 18 RODO).
  • Prawo do przenoszenia danych (art. 20 RODO).
  • Prawo do sprzeciwu wobec przetwarzania opartego o uzasadniony interes lub w celu marketingu bezpośredniego (art. 21 RODO).
  • Prawo do wycofania zgody w dowolnym momencie – bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem (art. 7 ust. 3 RODO).
  • Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO).
  • Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa (uodo.gov.pl).

Z praw skorzystasz pisząc na kontakt@lodzplus.pl lub na adres siedziby Administratora wskazany w pkt 1. Odpowiedzi udzielamy bez zbędnej zwłoki, nie później niż w ciągu 30 dni (z możliwością przedłużenia o kolejne 60 dni w przypadku skomplikowanych żądań – art. 12 ust. 3 RODO).

9. Cookies i analityka

Portal wykorzystuje pliki cookies i podobne technologie zgodnie z art. 173 ustawy Prawo telekomunikacyjne. Stosujemy trzy kategorie:

  • Niezbędne – sesja, autoryzacja, zapamiętane wybory cookie consent. Nie wymagają zgody (art. 173 ust. 3 PT). Czas życia: do końca sesji lub do 12 miesięcy.
  • Funkcjonalne – zapamiętanie preferencji (motyw, sortowanie). Czas życia do 12 miesięcy.
  • Analityczne – anonimowe statystyki ruchu (analytics wewnętrzny + ewentualnie Plausible/inny dostawca opt-in). Wymagają zgody. Czas życia do 24 miesięcy.

Zgodą cookies możesz zarządzać w dowolnej chwili przez baner cookies dostępny w stopce strony lub w ustawieniach przeglądarki.

10. Bezpieczeństwo

Stosujemy adekwatne środki techniczne i organizacyjne (art. 32 RODO):

  • szyfrowanie transmisji TLS 1.3,
  • haszowanie haseł zgodnie ze standardem Supabase Auth,
  • Row-Level Security (RLS) w bazie danych – dostęp do danych ograniczony na poziomie zapytań SQL,
  • oddzielenie kluczy serwisowych (service role) od kluczy publicznych (anon),
  • weryfikacja webhooków HMAC-SHA256 (Stripe),
  • monitoring nieautoryzowanych prób dostępu i regularne kopie zapasowe,
  • moderacja treści (AI + człowiek) ograniczająca naruszenia ze strony użytkowników.

11. Naruszenia ochrony danych

W razie stwierdzenia naruszenia ochrony danych Administrator postępuje zgodnie z art. 33 i 34 RODO – zgłasza naruszenie do Prezesa UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia, a w przypadku wysokiego ryzyka dla osób, których dane dotyczą – zawiadamia te osoby bezpośrednio.

12. Dzieci

Portal nie jest skierowany do osób poniżej 16. roku życia. Administrator nie zbiera świadomie danych od dzieci. W razie powzięcia wiadomości o przetwarzaniu danych dziecka bez zgody opiekuna prawnego, Administrator niezwłocznie usunie takie dane (art. 8 RODO).

13. Zmiany Polityki

Polityka może być aktualizowana w razie zmian przepisów prawa, wprowadzenia nowych funkcjonalności lub zmiany dostawców usług. O istotnych zmianach powiadamiamy Użytkowników z 14-dniowym wyprzedzeniem na adres e-mail przypisany do Konta. Aktualna wersja oraz numer wersji widoczne są w nagłówku niniejszego dokumentu.