Polityka Prywatności
Ostatnia aktualizacja: 17 kwietnia 2026 r.
Niniejsza polityka prywatności opisuje, w jaki sposób ApartDesk przetwarza dane osobowe zgodnie z Rozporządzeniem (UE) 2016/679 (RODO). Prosimy o uważne zapoznanie się z jej treścią.
1. Administrator danych
Administratorem danych osobowych przetwarzanych w ramach usługi ApartDesk jest właściciel konta (tenant), który zarejestrował się i korzysta z platformy. ApartDesk.com pełni rolę podmiotu przetwarzającego dane w imieniu właściciela konta.
2. Jakie dane zbieramy
| Kategoria danych | Przykłady | Cel |
|---|
| Dane konta | Imię i nazwisko, email, hasło (zaszyfrowane) | Rejestracja i logowanie |
| Dane rezerwacji gości | Imię, nazwisko, email, telefon, daty pobytu | Zarządzanie rezerwacjami |
| Dane meldunkowe | Nr dokumentu, narodowość | Wymóg prawny meldowania (ustawa o ewidencji ludności) |
| Dane komunikacji | Treści wiadomości z gośćmi | Obsługa klienta |
| Dane techniczne | Adres IP, czas logowania | Bezpieczeństwo, ochrona przed nadużyciami |
3. Podstawy prawne przetwarzania
- Umowa (Art. 6 ust. 1 lit. b RODO) — przetwarzanie niezbędne do świadczenia usługi
- Obowiązek prawny (Art. 6 ust. 1 lit. c RODO) — dane meldunkowe (ustawa z 24.09.2010 o ewidencji ludności)
- Uzasadniony interes (Art. 6 ust. 1 lit. f RODO) — logi bezpieczeństwa, ochrona przed fraudem
- Zgoda (Art. 6 ust. 1 lit. a RODO) — komunikacja marketingowa (jeśli wyrażona)
4. Okresy retencji danych
| Dane | Okres przechowywania |
|---|
| Dane rezerwacji (imię, email, telefon) | 2 lata od wymeldowania, następnie automatyczna anonimizacja |
| Dane meldunkowe (nr dokumentu) | 1 rok od wymeldowania (wymóg ustawy o ewidencji ludności) |
| Dane finansowe (kwoty, daty) | 5 lat (wymóg podatkowy) |
| Logi bezpieczeństwa (IP) | 30 dni |
| Dane konta | Do usunięcia konta + 30 dni |
5. Prawa osób, których dane dotyczą
Zgodnie z RODO przysługują Ci następujące prawa:
- Prawo dostępu (Art. 15) — możesz zażądać informacji o przetwarzanych danych
- Prawo do sprostowania (Art. 16) — możesz poprawić nieprawidłowe dane
- Prawo do usunięcia (Art. 17) — możesz żądać usunięcia danych ("prawo do bycia zapomnianym")
- Prawo do ograniczenia przetwarzania (Art. 18)
- Prawo do przenoszenia danych (Art. 20)
- Prawo sprzeciwu (Art. 21)
Aby skorzystać z tych praw, skontaktuj się z administratorem konta lub napisz na adres: [email protected]
6. Bezpieczeństwo danych
- Hasła przechowywane z użyciem PBKDF2 (100 000 iteracji, SHA-256, losowy salt)
- Wrażliwe dane meldunkowe szyfrowane AES-256-GCM
- Komunikacja wyłącznie przez HTTPS/TLS
- Weryfikacja dwuetapowa (MFA) dostępna dla kont administratorów
- Dziennik aktywności wszystkich operacji na danych
- Automatyczna anonimizacja danych po upływie okresu retencji
7. Przekazywanie danych podmiotom trzecim
Dane mogą być przekazywane następującym podmiotom przetwarzającym:
- Cloudflare, Inc. — infrastruktura (Workers, KV Storage) — USA, standardowe klauzule umowne (SCCs)
- Resend, Inc. — wysyłka emaili transakcyjnych — USA, SCCs
- SMSAPI Sp. z o.o. — wysyłka SMS (opcjonalnie) — Polska, UE
Dane nie są sprzedawane ani udostępniane w celach marketingowych.
8. Naruszenia danych osobowych
W przypadku wykrycia naruszenia bezpieczeństwa danych osobowych, administrator jest zobowiązany do:
- Zgłoszenia naruszenia do Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin od wykrycia
- Powiadomienia osób, których dane dotyczą, jeśli naruszenie może powodować wysokie ryzyko
Formularz zgłoszenia do UODO: uodo.gov.pl
9. Pliki cookie
ApartDesk nie używa plików cookie do śledzenia. Używamy wyłącznie localStorage do przechowywania tokenu sesji na urządzeniu użytkownika.
10. Kontakt i skargi
Privacy Policy
Last updated: April 17, 2026
This privacy policy describes how ApartDesk processes personal data in accordance with Regulation (EU) 2016/679 (GDPR). Please read it carefully.
1. Data Controller
The controller of personal data processed within the ApartDesk service is the account owner (tenant) who has registered and uses the platform. ApartDesk.com acts as a data processor on behalf of the account owner.
2. Data We Collect
| Category | Examples | Purpose |
|---|
| Account data | Name, email, password (encrypted) | Registration and login |
| Guest booking data | Name, email, phone, stay dates | Booking management |
| Check-in data | Document number, nationality | Legal registration requirement |
| Communication data | Guest message content | Customer service |
| Technical data | IP address, login time | Security, fraud prevention |
3. Legal Bases for Processing
- Contract (Art. 6(1)(b) GDPR) — processing necessary for service delivery
- Legal obligation (Art. 6(1)(c) GDPR) — check-in data
- Legitimate interest (Art. 6(1)(f) GDPR) — security logs, fraud protection
- Consent (Art. 6(1)(a) GDPR) — marketing communication (if given)
4. Data Retention Periods
| Data | Retention period |
|---|
| Booking data | 2 years after check-out, then automatic anonymization |
| Check-in data | 1 year after check-out |
| Financial data | 5 years (tax requirement) |
| Security logs (IP) | 30 days |
| Account data | Until account deletion + 30 days |
5. Rights of Data Subjects
Under GDPR you have the following rights:
- Right of access (Art. 15)
- Right to rectification (Art. 16)
- Right to erasure (Art. 17) — "right to be forgotten"
- Right to restriction of processing (Art. 18)
- Right to data portability (Art. 20)
- Right to object (Art. 21)
To exercise these rights: [email protected]
6. Data Security
- Passwords stored using PBKDF2 (100,000 iterations, SHA-256, random salt)
- Sensitive check-in data encrypted with AES-256-GCM
- Communication exclusively via HTTPS/TLS
- Two-factor authentication (MFA) available for admin accounts
- Activity log for all data operations
- Automatic anonymization after retention period
7. Data Transfers to Third Parties
Data may be transferred to the following processors:
- Cloudflare, Inc. — infrastructure — USA, Standard Contractual Clauses (SCCs)
- Resend, Inc. — email delivery — USA, SCCs
- SMSAPI Sp. z o.o. — SMS delivery (optional) — Poland, EU
Data is not sold or shared for marketing purposes.
8. Data Breaches
In the event of a personal data breach, the controller must notify the supervisory authority within 72 hours of discovery and inform affected data subjects if the breach poses a high risk.
9. Cookies
ApartDesk does not use tracking cookies. We only use localStorage to store the session token on the user device.
10. Contact & Complaints