Polityka Prywatności

Ostatnia aktualizacja: 14 lutego 2026

1. Administrator danych

  1. Administratorem Twoich danych osobowych jest Next Orbit OÜ, działająca pod marką LocaYo ("LocaYo", "my", "nas" lub "nasz"), spółka z ograniczoną odpowiedzialnością (osaühing) zarejestrowana w Republice Estońskiej, numer rejestrowy [DO UZUPEŁNIENIA], adres siedziby [DO UZUPEŁNIENIA PO REJESTRACJI].
  2. W sprawach dotyczących ochrony danych osobowych prosimy o kontakt z naszą osobą odpowiedzialną za ochronę danych pod adresem privacy@locayo.app lub przez formularz kontaktowy w Centrum Pomocy.
  3. Przetwarzamy dane osobowe zgodnie z:
    • UE/Estonia: Ogólne Rozporządzenie o Ochronie Danych (RODO) 2016/679, bezpośrednio obowiązujące w Estonii
    • UE/EOG: Ogólne Rozporządzenie o Ochronie Danych (RODO) 2016/679
    • Polska: RODO oraz powiązane polskie przepisy o ochronie danych osobowych, w tym ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych

2. Informacje, które zbieramy

2.1 Informacje podawane przez Ciebie

  • Dane konta: imię i nazwisko, adres e-mail, numer telefonu, hasło, zdjęcie profilowe
  • Informacje profilowe: opis, lokalizacja, dane firmowe (dla kont firmowych)
  • Informacje o ogłoszeniach: opisy, zdjęcia, ceny, dostępność
  • Komunikacja: wiadomości z innymi Użytkownikami, zgłoszenia do wsparcia
  • Recenzje: oceny i treści recenzji
  • Dane weryfikacyjne: dokumenty tożsamości (jeśli zdecydujesz się na weryfikację)
  • Informacje płatnicze: dane płatnicze dotyczące funkcji premium (Boosty) przetwarzane przez naszego dostawcę płatności Stripe — nie przechowujemy pełnych danych kart płatniczych

2.2 Informacje dotyczące zgodności podatkowej (tylko Dostawcy)

Jesteśmy prawnie zobowiązani do zbierania poniższych informacji od Dostawców na podstawie dyrektywy Rady UE 2021/514 (DAC7) wdrożonej do prawa estońskiego.

  • Dane identyfikacji podatkowej: Numer Identyfikacji Podatkowej (NIP), w tym PESEL/NIP (Polska), Steuer-IdNr (Niemcy), Isikukood (Estonia) lub odpowiednik w kraju rezydencji podatkowej
  • Data urodzenia (dla Dostawców będących osobami fizycznymi)
  • Rezydencja podatkowa: kraj lub kraje rezydencji podatkowej
  • Pełny adres: główny adres zamieszkania lub prowadzenia działalności
  • Rodzaj podmiotu: czy jesteś osobą fizyczną czy podmiotem gospodarczym
  • Numer rejestrowy firmy (dla kont firmowych, jeśli dotyczy)
  • Numer identyfikacyjny VAT (jeśli dotyczy)
  • Dane rachunku bankowego (jeśli są dostępne na Platformie — szczegóły w Sekcji 3)

2.3 Informacje zbierane automatycznie

  • Informacje o urządzeniu: adres IP, typ przeglądarki, system operacyjny, identyfikatory urządzenia
  • Informacje o użytkowaniu: przeglądane strony, używane funkcje, zapytania wyszukiwania, kliknięcia
  • Dane lokalizacyjne: ogólna lokalizacja na podstawie IP, precyzyjna lokalizacja, jeśli ją włączysz
  • Pliki cookie i podobne technologie: patrz nasza Polityka Cookies

2.4 Informacje od stron trzecich

  • Dostawcy logowania społecznościowego: jeśli logujesz się przez Google lub Facebook, otrzymujemy Twoje podstawowe informacje profilowe
  • Procesor płatności: Stripe może przekazywać nam potwierdzenia transakcji i ograniczone informacje o koncie dotyczące zakupów funkcji premium
  • Inni Użytkownicy: recenzje i zgłoszenia dotyczące Ciebie

2.5 Dane transakcyjne

  • Dane rezerwacji: szczegóły potwierdzonych rezerwacji, w tym daty, czas trwania, podana cena, status rezerwacji i liczba transakcji na Dostawcę na kwartał
  • Adresy odbioru/dostawy: po dokonaniu rezerwacji adresy mogą być udostępniane między Dostawcą a Klientem
  • Minimalizacja danych: zalecamy podawanie przybliżonej lokalizacji zamiast dokładnego adresu domowego
  • Automatyczne usuwanie: dane adresowe z zakończonych rezerwacji są automatycznie anonimizowane po 30 dniach

3. Jak wykorzystujemy Twoje informacje

CelPodstawa prawnaOkres przechowywania
Działanie PlatformyUmowa (art. 6 ust. 1 lit. b)Czas trwania konta + 3 lata
BezpieczeństwoUzasadniony interes (art. 6 ust. 1 lit. f)12 miesięcy
Obsługa klientaUmowa (art. 6 ust. 1 lit. b)Rozwiązanie + 2 lata
Adresy transakcyjneUmowa (art. 6 ust. 1 lit. b)30 dni po rezerwacji
Sprawozdawczość podatkowa (EU DAC7)Obowiązek prawny (art. 6 ust. 1 lit. c)5 lat od ostatniego okresu sprawozdawczego
Płatności za funkcje premium (zgodność VAT)Obowiązek prawny (art. 6 ust. 1 lit. c)10 lat (prowadzenie dokumentacji VAT OSS)
AnalitykaUzasadniony interes (art. 6 ust. 1 lit. f)26 miesięcy (zanonimizowane)
MarketingZgoda (art. 6 ust. 1 lit. a)Do wycofania zgody
Inna zgodność prawnaObowiązek prawny (art. 6 ust. 1 lit. c)Zgodnie z wymogami prawa

Uwaga dotycząca danych podatkowych: Przetwarzanie danych dotyczących zgodności podatkowej (NIP, data urodzenia, adres, rezydencja podatkowa) opiera się na naszym obowiązku prawnym wynikającym z dyrektywy UE DAC7 (dyrektywa Rady 2021/514) wdrożonej do prawa estońskiego i nie wymaga Twojej zgody. Zostaniesz jednak poinformowany przed zebraniem tych danych i masz prawo wiedzieć, jak są wykorzystywane. Dane te będą używane wyłącznie w celu wypełnienia naszych obowiązków sprawozdawczości podatkowej i nie będą wykorzystywane do celów marketingowych ani innych niezwiązanych celów.

4. Komu udostępniamy Twoje dane

  1. Inni Użytkownicy: informacje niezbędne do transakcji (imię, zdjęcie profilowe, dane kontaktowe po potwierdzeniu rezerwacji).
  2. Dostawcy usług (podwykonawcy przetwarzania): korzystamy z następujących usług zewnętrznych do obsługi Platformy:
    • MongoDB Atlas (MongoDB, Inc.) — hosting i przechowywanie bazy danych
    • Cloudinary (Cloudinary Ltd.) — hosting i przetwarzanie obrazów
    • Render (Render Services, Inc.) — hosting aplikacji
    • Stripe (Stripe, Inc.) — przetwarzanie płatności za funkcje premium
    • Google Analytics (Google LLC) — analityka strony internetowej (za zgodą)
    • Socket.io / dostawca hostingu — infrastruktura komunikacji w czasie rzeczywistym

    Każdy podwykonawca przetwarza dane wyłącznie na nasze polecenie i jest związany odpowiednimi umowami powierzenia przetwarzania danych. Pełna, aktualna lista podwykonawców jest dostępna na żądanie.

  3. Organy podatkowe: jesteśmy prawnie zobowiązani do udostępniania informacji o Dostawcach:
    • Maksu- ja Tolliamet (Estoński Urząd Skarbowy i Celny) — roczne raporty na podstawie dyrektywy UE DAC7 wdrożonej do prawa estońskiego
    • Organy podatkowe państw członkowskich UE — Maksu- ja Tolliamet automatycznie wymienia zgłoszone informacje z organami podatkowymi kraju rezydencji podatkowej każdego Dostawcy na podstawie przepisów DAC7

    Informacje udostępniane organom podatkowym obejmują: imię i nazwisko Dostawcy, adres, datę urodzenia, NIP, łączną wartość transakcji (na podstawie podanych cen), liczbę transakcji, opłaty platformowe oraz (w przypadku wynajmu nieruchomości) adresy nieruchomości i liczbę dni wynajmu. Udostępnianie to opiera się na naszym obowiązku prawnym wynikającym z art. 6 ust. 1 lit. c RODO.

  4. Wymogi prawne i regulacyjne: gdy jest to wymagane przepisami prawa, postanowieniem sądu lub w celu ochrony praw i bezpieczeństwa.
  5. Transfery biznesowe: w związku z fuzją, przejęciem lub sprzedażą aktywów.

5. Transfery międzynarodowe

  1. Twoje dane mogą być przekazywane poza Wielką Brytanię/EOG. Stosujemy następujące zabezpieczenia:
    • Stany Zjednoczone: MongoDB Atlas, Cloudinary, Render, Stripe i Google Analytics mogą przetwarzać dane w USA. Transfery te są chronione przez Ramy Ochrony Danych UE-USA (EU-US Data Privacy Framework, gdy dostawca jest certyfikowany) i/lub Standardowe Klauzule Umowne (SCCs) zatwierdzone przez Komisję Europejską i Sekretarza Stanu Wielkiej Brytanii.
    • UE/EOG: tam, gdzie to możliwe, konfigurujemy usługi tak, aby przetwarzały dane na terenie UE/EOG (np. MongoDB Atlas region EU). Transfery między Wielką Brytanią a UE/EOG są objęte decyzjami stwierdzającymi odpowiedni poziom ochrony.
  2. Dane dotyczące zgodności podatkowej (NIP, adres, data urodzenia) są udostępniane Estońskiemu Urzędowi Skarbowemu i Celnemu (Maksu- ja Tolliamet), który automatycznie wymienia te dane z organami podatkowymi kraju rezydencji Dostawcy na podstawie przepisów DAC7 o automatycznej wymianie informacji. Ponieważ Estonia jest państwem członkowskim UE, transfery te odbywają się w ramach UE/EOG.
  3. Możesz poprosić o więcej informacji na temat transferów międzynarodowych i stosowanych zabezpieczeń, kontaktując się z privacy@locayo.app.

6. Twoje prawa

Na podstawie RODO (UE) przysługują Ci następujące prawa:

  1. Prawo dostępu — możesz żądać kopii swoich danych osobowych.
  2. Prawo do sprostowania — możesz żądać poprawienia nieprawidłowych danych.
  3. Prawo do usunięcia — możesz żądać usunięcia danych w określonych okolicznościach.
  4. Prawo do ograniczenia przetwarzania — możesz żądać ograniczenia sposobu wykorzystywania Twoich danych.
  5. Prawo do przenoszenia danych — możesz żądać przekazania danych w formacie nadającym się do odczytu maszynowego.
  6. Prawo do sprzeciwu — możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie lub marketingu bezpośrednim.
  7. Prawa związane z automatycznym podejmowaniem decyzji — prawa dotyczące zautomatyzowanych decyzji, które istotnie na Ciebie wpływają.
  8. Prawo do wycofania zgody — możesz w dowolnym momencie wycofać zgodę, gdy się na niej opieramy.

Ważna informacja dotycząca danych podatkowych: Twoje prawa do usunięcia i ograniczenia przetwarzania mogą być ograniczone w odniesieniu do danych dotyczących zgodności podatkowej (NIP, data urodzenia, adres, rezydencja podatkowa), gdy jesteśmy prawnie zobowiązani do przechowywania i przetwarzania tych danych na potrzeby sprawozdawczości podatkowej. W takich przypadkach wyjaśnimy konkretną podstawę prawną i ewentualne ograniczenia.

Aby skorzystać ze swoich praw, skontaktuj się z nami pod adresem privacy@locayo.app lub przez nasze Centrum Pomocy. Odpowiadamy na żądania w ciągu jednego miesiąca (lub do trzech miesięcy w skomplikowanych przypadkach, z powiadomieniem).

Organy nadzorcze:

  • Estonia (wiodący organ nadzorczy): Andmekaitse Inspektsioon (Estoński Inspektorat Ochrony Danych) — aki.ee
  • Polska: Urząd Ochrony Danych Osobowych (UODO) — uodo.gov.pl
  • Litwa: Valstybinė duomenų apsaugos inspekcija (VDAI) — vdai.lrv.lt
  • Łotwa: Datu valsts inspekcija (DVI) — dvi.gov.lv
  • Wielka Brytania: Information Commissioner's Office (ICO) — ico.org.uk
  • UE: Twój lokalny organ ochrony danych

7. Bezpieczeństwo danych

Wdrażamy odpowiednie środki techniczne i organizacyjne w celu ochrony Twoich danych osobowych, w tym:

  • Szyfrowanie w transmisji: wszystkie dane przesyłane między Twoim urządzeniem a naszymi serwerami są szyfrowane przy użyciu TLS 1.2 lub wyższego (HTTPS)
  • Szyfrowanie w spoczynku: wszystkie dane przechowywane w naszej bazie danych są szyfrowane przy użyciu standardowego szyfrowania zapewnianego przez naszą infrastrukturę chmurową
  • Szyfrowanie na poziomie pól: szczególnie wrażliwe dane, takie jak numery identyfikacji podatkowej i dane rachunków bankowych, są dodatkowo szyfrowane na poziomie aplikacji przy użyciu szyfrowania AES-256-GCM przed zapisaniem w bazie danych
  • Haszowanie haseł: hasła są haszowane przy użyciu bcrypt i nigdy nie są przechowywane w postaci jawnej
  • Regularne kopie zapasowe: automatyczne szyfrowane kopie zapasowe z bezpiecznym przechowywaniem
  • Kontrola dostępu: ścisła kontrola dostępu oparta na rolach, ograniczająca dostęp do danych osobowych, z podwyższonymi ograniczeniami dla danych podatkowych
  • Monitoring bezpieczeństwa: ciągły monitoring pod kątem nieautoryzowanego dostępu i incydentów bezpieczeństwa
  • Minimalizacja danych: zbieramy tylko dane niezbędne do każdego celu i usuwamy je, gdy nie są już potrzebne

W przypadku naruszenia ochrony danych osobowych, które stwarza ryzyko dla Twoich praw i wolności, powiadomimy odpowiedni organ nadzorczy w ciągu 72 godzin oraz, w razie potrzeby, poinformujemy osoby, których dane dotyczą, bez zbędnej zwłoki.

8. Pliki cookie

Używamy plików cookie i podobnych technologii. Szczegóły znajdziesz w naszej Polityce Cookies.

9. Prywatność dzieci

  1. Nasza Platforma wymaga od użytkowników ukończenia co najmniej 16 lat (18 lat, aby zostać Dostawcą).
  2. Świadomie nie zbieramy danych od dzieci poniżej 16 roku życia. Jeśli dowiemy się, że to zrobiliśmy, niezwłocznie je usuniemy.

10. Zmiany w niniejszej polityce

  1. Możemy aktualizować niniejszą Politykę Prywatności w celu odzwierciedlenia zmian w naszych praktykach lub wymogach prawnych.
  2. O istotnych zmianach poinformujemy drogą mailową lub przez widoczne powiadomienie na Platformie co najmniej 15 dni przed ich wejściem w życie.
  3. Aktualna wersja jest zawsze dostępna na Platformie.

11. Kontakt

W sprawach dotyczących prywatności:

Powiązane dokumenty

© 2026 LocaYo. Wszelkie prawa zastrzeżone.