Twoje dane są bezpieczne

1. Administrator danych osobowych

Administratorem Twoich danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:

• Nicolas Woroszyło, prowadzący działalność nieewidencjonowaną pod marką zaproszeniaonline.com w rozumieniu art. 5 ust. 1 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców

W przetwarzaniu danych osobowych pomaga Dominika Kuś jako osoba upoważniona do przetwarzania danych w rozumieniu art. 29 RODO. Dominika Kuś działa wyłącznie w zakresie i pod kierunkiem Administratora - nie jest odrębnym administratorem ani współadministratorem.

Punktem kontaktowym dla osób, których dane dotyczą, jest e-mail kontakt@zaproszeniaonline.com (w tytule wiadomości prosimy dopisać „RODO", co ułatwi obsługę zgłoszenia). Odpowiedź zostanie udzielona zgodnie z art. 12 RODO w terminie maksymalnie 30 dni od otrzymania żądania.

• Status prawny: działalność nieewidencjonowana (bez NIP, bez REGON - sprzedawca nie jest podatnikiem VAT ani przedsiębiorcą wpisanym do CEIDG)
• Adres do korespondencji: kontakt elektroniczny
• E-mail kontaktowy (wszystkie sprawy, w tym RODO, faktury, reklamacje, Notice & Takedown): kontakt@zaproszeniaonline.com

2. Cele i podstawy prawne przetwarzania

Twoje dane osobowe przetwarzamy w następujących celach:

2.1 Obsługa zapytania ofertowego (formularz kontaktowy)

• Zakres danych: imię i nazwisko, e-mail, telefon (opcjonalnie), data wydarzenia, rodzaj wydarzenia, pakiet, treść wiadomości
• Podstawa prawna: art. 6 ust. 1 lit. b RODO - działania zmierzające do zawarcia umowy na Twoje żądanie
• Cel: przygotowanie odpowiedzi na zapytanie i ewentualne zawarcie umowy

2.2 Realizacja umowy (po zamówieniu zaproszenia)

• Zakres danych Klienta zamawiającego: imiona pary, data wydarzenia, miejsca, dane do rachunku, treści wpisywane przez Klienta w formularzu (plan dnia, „Nasza historia", kontakty kontaktowe, wiadomość)
• Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy
• Cel: wykonanie zamówionej usługi (projekt strony ślubnej, hosting przez 12 miesięcy)
• Status w odniesieniu do danych pary zamawiającej: zaproszeniaonline.com - administrator (art. 4 pkt 7 RODO)

2.3 Formularz potwierdzania obecności (RSVP) w zaproszeniach klientów

• Zakres danych: imię gościa, deklaracja obecności, preferencje menu, alergie, transport (zbierane od gości na żądanie pary młodej)
• Administrator tych danych: para młoda (klient zamawiający zaproszenie). zaproszeniaonline.com działa jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych zgodnie z art. 28 RODO
• Cel: umożliwienie parze młodej zebrania potwierdzeń od gości

2.4 Obowiązki podatkowe i księgowe

• Podstawa prawna: art. 6 ust. 1 lit. c RODO - wypełnienie obowiązku prawnego (Ordynacja podatkowa, ustawa o rachunkowości)
• Cel: przechowywanie faktur i dokumentów księgowych

2.5 Marketing własnych usług (uzasadniony interes)

• Podstawa prawna: art. 6 ust. 1 lit. f RODO - uzasadniony interes administratora
• Cel: prezentacja portfolio (za zgodą klienta), informowanie o podobnych usługach
• Masz prawo wnieść sprzeciw wobec tego przetwarzania (sekcja 6)

2.6 Program kodów rabatowych (afiliacja partnerska)

Współpracujemy z partnerami (domami weselnymi, fotografami ślubnymi, wedding plannerami), którzy otrzymują unikalny kod rabatowy do przekazania polecanym przez nich parom.

• Zakres danych partnera: nazwa firmy lub imię i nazwisko (jeśli osoba fizyczna prowadząca działalność), adres e-mail kontaktowy, kod, procent rabatu, statystyki użycia kodu
• Zakres danych pary korzystającej z kodu: użyty kod rabatowy zapisywany jest w polu affiliate_code w zgłoszeniu (lead), wraz z procentem rabatu w momencie walidacji
• Podstawa prawna (partner): art. 6 ust. 1 lit. b RODO - wykonanie umowy partnerskiej, oraz art. 6 ust. 1 lit. f RODO - uzasadniony interes administratora w prowadzeniu programu poleceń
• Cel: rozliczenie współpracy partnerskiej, prezentacja partnerowi statystyk skuteczności jego kodu (liczba użyć i konwersji), zastosowanie rabatu w wycenie
• Współadministracja: administratorem danych pary korzystającej z kodu pozostaje wyłącznie zaproszeniaonline.com. Partner otrzymuje wyłącznie zagregowane statystyki użycia swojego kodu, bez dostępu do danych osobowych pary

2.7 Demo zaproszenia (/demo)

• Zakres danych zbieranych w demo (jeśli zdecydujesz się wypełnić formularze testowo): imię i nazwisko gościa, deklaracja obecności, liczba osób, preferencje menu, alergie pokarmowe (kategoria danych dotyczących zdrowia - art. 9 RODO), uwagi, propozycje piosenek
• Podstawa prawna: art. 6 ust. 1 lit. f RODO - uzasadniony interes administratora w testowaniu i rozwoju produktu, weryfikacji jego funkcjonalności
• Dane szczególnej kategorii (alergie): jeśli wpiszesz informacje o alergiach pokarmowych w formularzu testowym, zostaną one przetworzone na podstawie art. 9 ust. 2 lit. a RODO - Twoja wyraźna zgoda wyrażona poprzez dobrowolne wpisanie tej informacji (możesz zrezygnować w każdej chwili wpisując dane fikcyjne lub zostawiając pole puste)
• Retention: dane z formularzy demo są usuwane lub anonimizowane co 6 miesięcy
• Sugestia: jeśli chcesz uniknąć przetwarzania prawdziwych danych, w demo używaj wartości testowych (np. „Jan Testowy", brak prawdziwego adresu e-mail)

2.8 Wiadomości transakcyjne i opcjonalna komunikacja marketingowa

Po złożeniu zapytania i dokonaniu płatności wysyłamy Wam wiadomości transakcyjne niezbędne do realizacji umowy - bez nich nie da się zrealizować usługi:

• Potwierdzenie złożenia zapytania (na adres podany w formularzu)
• Potwierdzenie otrzymania płatności
• Link do gotowej strony ślubnej i instrukcja użycia
• Powiadomienia o statusie zamówienia, ewentualnych poprawkach, terminach

• Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy. Tych wiadomości nie da się wyłączyć bo są integralną częścią usługi.
• Dostawca: Resend Inc. (USA) - patrz sekcja 3

Jeśli przy zamówieniu wyraziliście dodatkową, dobrowolną zgodę marketingową (osobny checkbox - Wyrażam zgodę na otrzymywanie informacji o nowych funkcjach i materiałów inspiracyjnych), możemy wysyłać Wam także:

• Inspiracje, pomysły, case studies innych par (na życzenie)
• Informacje o nowych funkcjach produktu
• Rabaty dla osób, które już skorzystały z usługi

• Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda) + art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną + art. 172 ust. 1 Prawa komunikacji elektronicznej
• Możesz wycofać zgodę w dowolnym momencie - link „rezygnuj z subskrypcji" w stopce każdego maila marketingowego lub mail na kontakt@zaproszeniaonline.com. Wycofanie nie wpływa na legalność wcześniejszego przetwarzania.
• Brak zgody marketingowej nie blokuje zamówienia - dostaniecie tylko maile transakcyjne.

2.9 Wizerunki osób na zdjęciach przekazywanych przez Klienta

Para zamawiająca Zaproszenie często przekazuje nam zdjęcia, na których utrwaleni są nie tylko sami zamawiający, ale również goście, członkowie rodziny lub inne osoby. Nasze umiejscowienie prawne w stosunku do tych wizerunków jest następujące:

• Zakres danych: wizerunek (twarz, sylwetka) osób utrwalonych na zdjęciach, ewentualne dane dodatkowe widoczne na zdjęciu (otoczenie, sytuacja, ubiór)
• Administrator tych danych: para zamawiająca Zaproszenie (Klient). To Klient dobiera, których osób zdjęcia umieści w Zaproszeniu, oraz Klient uzyskuje od tych osób zgodę na rozpowszechnianie wizerunku zgodnie z art. 81 ustawy o prawie autorskim i prawach pokrewnych oraz art. 6 ust. 1 lit. a RODO
• Rola zaproszeniaonline.com: podmiot przetwarzający (procesor) w rozumieniu art. 4 pkt 8 RODO. Działamy wyłącznie na polecenie Klienta - umieszczamy wskazane zdjęcia w Zaproszeniu, hostujemy je przez okres aktywności strony, na żądanie Klienta lub osoby uwiecznionej usuwamy zdjęcie. Treść powierzenia przetwarzania zawiera § 12a Regulaminu (jest to umowa procesorska w rozumieniu art. 28 ust. 3 RODO)
• Podstawa prawna naszego przetwarzania: art. 28 RODO w zw. z umową powierzenia (§ 12a Regulaminu) - w naszym przypadku przetwarzamy wyłącznie w celu wykonania Usługi dla Klienta-administratora
• Obowiązek informacyjny wobec osób na zdjęciach: spełnia go Klient (administrator), zazwyczaj informując gości ustnie lub w komunikacji towarzyszącej przekazaniu linku do Zaproszenia („nasze zaproszenie ślubne zawiera wspólne zdjęcia - jeśli nie życzysz sobie obecności swojego wizerunku, daj znać"). Pomocnicze materiały (gotowa treść klauzuli informacyjnej do przekazania gościom) udostępniamy Klientowi na żądanie
• Twoje prawa jako osoby na zdjęciu: jeżeli jesteś osobą uwiecznioną na zdjęciu w Zaproszeniu i chcesz, aby zostało ono usunięte, możesz:
  • zwrócić się do pary młodej (administratora) - rekomendowany pierwszy krok,
  • zwrócić się bezpośrednio do nas na adres kontakt@zaproszeniaonline.com - usuniemy zdjęcie niezwłocznie, najpóźniej w terminie 72 godzin, zgodnie z procedurą Notice & Takedown opisaną w § 8d Regulaminu,
  • wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych - zgodnie z art. 77 RODO
• Okres przechowywania zdjęć: 12 miesięcy aktywnego hostingu + 30 dni okresu na przekazanie kopii Klientowi, łącznie maksymalnie 13 miesięcy od daty zakończenia realizacji. Po tym czasie zdjęcia są trwale usuwane z aktywnych systemów. Kopie zapasowe rotowane są w cyklu 7-dniowym i nadpisywane
• Brak wykorzystania w marketingu: zdjęcia Klienta przedstawiające osoby nie są wykorzystywane przez nas w portfolio, materiałach marketingowych ani publikacjach bez odrębnej, wyraźnej zgody Klienta wyrażonej po realizacji Usługi - i nigdy bez zgody samych osób uwiecznionych na zdjęciu

3. Odbiorcy danych

Twoje dane mogą być powierzane następującym podmiotom (procesorom):

• Supabase Inc. (USA) - hosting bazy danych zgłoszeń, potwierdzeń obecności, kodów rabatowych. Przetwarzanie na podstawie Standard Contractual Clauses (SCC) zatwierdzonych przez Komisję Europejską oraz DPA Supabase (do podpisania w panelu administracyjnym Supabase)
• Vercel Inc. (USA) - hosting strony internetowej, dostarczanie zasobów, logi serwera. Przetwarzanie na SCC oraz DPA Vercel (do akceptacji w ustawieniach projektu Vercel)
• Resend Inc. (548 Market Street, San Francisco, CA 94104, USA) - dostawca infrastruktury e-mail, używany do wysyłki wiadomości transakcyjnych: potwierdzenia złożenia zapytania, potwierdzenia płatności, linku do gotowej strony ślubnej, powiadomień o statusie zamówienia. Przekazujemy: adres e-mail odbiorcy, imię, treść wiadomości, identyfikator zamówienia. Transfer w obrębie UE oraz do USA na podstawie SCC zgodnie z DPA Resend (resend.com/legal/dpa). Polityka Resend: resend.com/legal/privacy-policy
• Vercel Inc. - Web Analytics i Speed Insights (USA) - cookieless analityka odwiedzin (liczba wizyt, urządzenie, kraj na podstawie zanonimizowanego IP), uruchamiana wyłącznie po Twojej zgodzie wyrażonej w banerze cookies („Akceptuję wszystko"). Brak identyfikacji osoby, brak personalizowanych reklam, brak danych przekazywanych brokerom. Polityka: vercel.com/legal/privacy-policy
• Stripe Payments Europe Ltd. (Irlandia, główna siedziba; spółka zależna Stripe Inc., USA) - operator płatności online. Przetwarza dane karty (numer, data ważności, CVC), kwotę, e-mail kupującego, adres do faktury. Zaproszeniaonline.com nie przechowuje danych karty - są one obsługiwane wyłącznie przez Stripe (PCI DSS Level 1). Transfer w obrębie UE oraz do USA na podstawie SCC zgodnie z DPA Stripe (stripe.com/legal/dpa)
• Biuro rachunkowe - w zakresie obsługi księgowej (dane z faktur)
• Organy państwowe - w przypadku obowiązku ustawowego (np. żądanie sądu, kontrola PUODO)

4. Czas przechowywania danych

• Zapytania ofertowe (lead): 12 miesięcy od ostatniego kontaktu - następnie usunięcie
• Dane klientów (po zawarciu umowy): 5 lat od końca roku podatkowego (zgodnie z Ordynacją podatkową - art. 86 § 1) lub do upływu terminu przedawnienia roszczeń
• Faktury i dokumenty księgowe: 5 lat - zgodnie z ustawą o rachunkowości
• Dane potwierdzeń obecności gości w zaproszeniach klientów: do dnia ślubu + 6 miesięcy, następnie usunięcie
• Zdjęcia Klienta i wizerunki osób uwiecznionych na zdjęciach: okres aktywnego hostingu Zaproszenia (12 miesięcy od zakończenia realizacji) + 30 dni okresu na przywrócenie lub przekazanie kopii Klientowi, łącznie maksymalnie 13 miesięcy. Po tym terminie zdjęcia są trwale usuwane z aktywnych systemów (Supabase Storage, Vercel CDN). Kopie zapasowe zawierające zdjęcia rotowane są w cyklu 7-dniowym i nadpisywane
• Dane potwierdzeń obecności / propozycji piosenek z demo (/demo): maksymalnie 6 miesięcy - następnie anonimizacja lub usunięcie
• Dane partnerów programu kodów rabatowych: do końca trwania współpracy + 5 lat (rozliczenia podatkowe)
• Statystyki użycia kodów (uses_count, daty): bezterminowo w formie zagregowanej (bez powiązania z konkretnymi parami)
• Dane przetwarzane na podstawie zgody: do momentu wycofania zgody
• Logi serwera (Vercel): zgodnie z polityką prywatności dostawcy hostingu - Vercel deklaruje retention podstawowych logów dostępowych zazwyczaj do 30 dni dla planu darmowego, do 90 dni dla planów płatnych

5. Prawa użytkownika

W związku z przetwarzaniem Twoich danych osobowych przysługują Ci następujące prawa:

• Prawo dostępu (art. 15 RODO) - możesz uzyskać informację, jakie Twoje dane przetwarzamy
• Prawo sprostowania (art. 16 RODO) - możesz żądać poprawienia nieprawidłowych danych
• Prawo usunięcia ("prawo do bycia zapomnianym", art. 17 RODO) - w określonych przypadkach
• Prawo ograniczenia przetwarzania (art. 18 RODO)
• Prawo do przenoszenia danych (art. 20 RODO) - otrzymanie danych w formacie ustrukturyzowanym
• Prawo sprzeciwu (art. 21 RODO) - wobec przetwarzania na podstawie uzasadnionego interesu (np. marketingu)
• Prawo cofnięcia zgody w dowolnym momencie - bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem
• Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa

Aby skorzystać z któregokolwiek z powyższych praw, napisz na kontakt@zaproszeniaonline.com. Odpowiemy w ciągu 30 dni od otrzymania żądania.

6. Profilowanie i zautomatyzowane decyzje

Twoje dane nie są poddawane zautomatyzowanym decyzjom, w tym profilowaniu, w rozumieniu art. 22 RODO. Każda decyzja dotycząca Ciebie (np. przyjęcie zlecenia, termin realizacji) jest podejmowana przez człowieka.

7. Dobrowolność podania danych

Podanie danych jest dobrowolne, jednak niezbędne do:

• Otrzymania odpowiedzi na zapytanie ofertowe (imię, e-mail)
• Wykonania umowy (dane do faktury, dane do projektu)

Bez podania wymaganych danych nie będziemy w stanie zrealizować usługi.

8. Bezpieczeństwo danych

Stosujemy następujące środki techniczne i organizacyjne (art. 32 RODO):

• Szyfrowanie połączeń (HTTPS/TLS) na wszystkich stronach z HSTS preload
• Szyfrowanie bazy danych w spoczynku (Supabase encryption at rest)
• Kontrolę dostępu - tylko upoważnione osoby mają dostęp do danych
• Row Level Security (RLS) na bazie danych - anon może tylko zapisać własne zgłoszenie (bez SELECT)
• Content Security Policy (CSP) ograniczająca źródła skryptów i zasobów - ochrona przed XSS
• Permissions Policy wyłączająca dostęp do kamery / mikrofonu / lokalizacji
• Regularne kopie zapasowe (codzienne, retencja 7 dni)
• Logging i monitoring zgłoszeń (Supabase + Vercel) - wyłącznie cel bezpieczeństwa
• Środki techniczne specyficzne dla zdjęć:
  • indywidualny, trudny do odgadnięcia adres URL Zaproszenia (losowy segment) - brak możliwości „odgadnięcia" linku innej pary
  • tag noindex,nofollow w meta-danych każdego Zaproszenia - wyszukiwarki internetowe (Google, Bing, ChatGPT, Perplexity) nie indeksują zdjęć
  • nagłówek X-Robots-Tag: noindex, nofollow dla zasobów graficznych - blokuje indeksację samych plików obrazów
  • przechowywanie plików w Supabase Storage z politykami Row Level Security - dostęp do plików wyłącznie poprzez podpisany URL lub publiczny bucket z zabezpieczonym path
  • brak udostępniania ZIP / archiwum pobierającego wszystkie zdjęcia jednocześnie
  • automatyczne usuwanie po upływie okresu hostingu (12 miesięcy + 30 dni)

9. Rejestr zgód

Każda zgoda wyrażona w naszych formularzach (zgoda na przetwarzanie, zgoda marketingowa, zgoda na rozpoczęcie świadczenia przed upływem 14-dniowego terminu odstąpienia, zgoda na cookies) jest rejestrowana wraz ze stemplem czasowym, wersją treści zgody i identyfikatorem zgłoszenia. Pozwala to udowodnić udzielenie zgody zgodnie z art. 7 ust. 1 RODO oraz pozwala na jej skuteczne wycofanie. Zgoda na cookies dodatkowo wygasa automatycznie po 12 miesiącach i wymaga ponownego wyrażenia.

10. Cookies i ustawienia prywatności

Szczegółowe informacje o stosowanych plikach cookies oraz logach serwera znajdziesz w naszej Polityce Cookies. Możesz w każdej chwili zmienić swoją zgodę na cookies klikając przycisk „Zarządzaj zgodą" w banerze cookies (lub w stopce na stronie głównej).

11. Zmiany Polityki Prywatności

Zastrzegamy sobie prawo do zmian Polityki. Każda zmiana zostanie opublikowana na tej stronie z aktualizacją daty obowiązywania. O istotnych zmianach poinformujemy aktywnych klientów drogą e-mailową.