Prywatność

Polityka prywatności

Ostatnia aktualizacja: styczeń 2025 r.

1. Prywatność w skrócie

Informacje ogólne

Poniższe informacje stanowią prosty przegląd tego, co dzieje się z Twoimi danymi osobowymi, gdy odwiedzasz naszą stronę internetową lub korzystasz z naszej platformy SaaS. Dane osobowe to wszelkie dane, na podstawie których można Cię zidentyfikować.

Niniejsza Polityka Prywatności wyjaśnia, jakie dane gromadzimy i do czego je wykorzystujemy. Wyjaśnia również, w jaki sposób i w jakim celu to robimy. Traktujemy Twoje dane osobowe poufnie i zgodnie z obowiązującymi przepisami o ochronie danych oraz niniejszą Polityką Prywatności.

Gromadzenie danych na naszej stronie internetowej

Przetwarzaniem danych na tej stronie internetowej zajmuje się operator strony. Jego dane kontaktowe można znaleźć w sekcji „Administrator danych” niniejszej Polityki Prywatności.

Twoje dane są gromadzone częściowo dlatego, że nam je przekazujesz – na przykład dane, które podajesz w formularzu rejestracyjnym, kontaktowym lub podczas rejestracji. Inne dane są gromadzone automatycznie lub za Twoją zgodą, gdy odwiedzasz stronę internetową, przez nasze systemy informatyczne.

2. Administrator danych

Administratorem danych przetwarzanych na tej stronie internetowej jest:

Quick-Event — marka ThePlus UG (haftungsbeschränkt)
Hüchtingstraße 5
28816 Stuhr
Niemcy

Adres e-mail: info@quick-event.com

Administratorem danych jest osoba fizyczna lub prawna, która samodzielnie lub wspólnie z innymi decyduje o celach i sposobach przetwarzania danych osobowych (np. imion i nazwisk, adresów e-mail itp.).

3. Twoje prawa

Masz prawo w dowolnym momencie otrzymać bezpłatną informację o pochodzeniu, odbiorcach i celu przechowywania Twoich danych osobowych. Masz również prawo zażądać ich poprawienia lub usunięcia.

Twoje prawa w skrócie:

  • Prawo dostępu (art. 15 RODO)
  • Prawo do sprostowania nieprawidłowych danych (art. 16 RODO)
  • Prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO)
  • Prawo do ograniczenia przetwarzania (art. 18 RODO)
  • Prawo do sprzeciwu wobec przetwarzania (art. 21 RODO)
  • Prawo do przenoszenia danych (art. 20 RODO)
  • Prawo do wniesienia skargi do organu nadzorczego (art. 77 RODO)

Jeśli wyraziłeś zgodę na przetwarzanie danych, możesz ją w każdej chwili cofnąć ze skutkiem na przyszłość. Nie ma to wpływu na przetwarzanie danych, które już miało miejsce.

4. Hosting, dostarczanie treści i wysyłka poczty e-mail

Pracownicy Cloudflare

Naszą stronę internetową i platformę SaaS hostujemy w Cloudflare Workers. Dostawcą jest:

Cloudflare, Inc.
101 Townsend St.
San Francisco, Kalifornia 94107
USA

Cloudflare Workers zapewnia nam bezpieczną infrastrukturę hostingową o globalnej dostępności. W przypadku użytkowników z UE przetwarzanie odbywa się automatycznie za pośrednictwem lokalizacji w UE, ponieważ Cloudflare obsługuje rozproszoną sieć obejmującą ponad 300 lokalizacji na całym świecie i przetwarza żądania za pośrednictwem lokalizacji najbliższej geograficznie.

Przetwarzanie danych w UE

Cloudflare obsługuje globalną sieć z licznymi lokalizacjami w UE, takimi jak Frankfurt, Amsterdam, Paryż, Monachium, Madryt i inne. Użytkownicy z UE są automatycznie obsługiwani za pośrednictwem tych lokalizacji, co zapewnia zgodność przetwarzania danych z RODO w UE.

Amazon SES Frankfurt (wysyłanie wiadomości e-mail)

Do wysyłania wiadomości e-mail korzystamy z usługi Amazon Simple Email Service (SES) za pośrednictwem regionu UE we Frankfurcie. Dostawcą jest:

Amazon Web Services, Inc.
410 Terry Avenue North
Seattle, WA 98109
USA

Wysyłka wiadomości e-mail odbywa się wyłącznie za pośrednictwem Amazon SES w regionie Frankfurtu (eu-central-1):

  • Region: UE (Frankfurt) — eu-central-1
  • Punkt końcowy API: ses.eu-central-1.amazonaws.com
  • Serwer SMTP: email-smtp.eu-central-1.amazonaws.com
  • Przetwarzanie danych: Wyłącznie w UE

Korzystanie z Amazon SES w regionie Frankfurtu gwarantuje, że wszelkie przetwarzanie danych związanych z pocztą elektroniczną odbywa się w UE i jest zgodne z wymogami RODO. AWS posiada kompleksowe certyfikaty ochrony danych (ISO 27017, ISO 27701, ISO 27018) oraz standardowe klauzule umowne dotyczące międzynarodowego transferu danych.

Przetwarzanie wiadomości e-mail obejmuje: wysyłkę wiadomości transakcyjnych, zaproszeń na wydarzenia, potwierdzeń, przypomnień i powiadomień systemowych. Przetwarzanie odbywa się na podstawie art. 6(1)(b) RODO w celu realizacji umowy oraz art. 6(1)(f) RODO w oparciu o nasz uzasadniony interes w komunikacji z użytkownikami.

Szczegóły dotyczące przetwarzania danych w AWS można znaleźć w Polityce prywatności AWS: https://aws.amazon.com/privacy/ oraz w informacjach dotyczących RODO: https://aws.amazon.com/compliance/gdpr-center/

Funkcje bezpieczeństwa

Cloudflare oferuje różnorodne usługi bezpieczeństwa, które są przetwarzane automatycznie:

  • Zapora aplikacji internetowych (WAF): ochrona przed złośliwymi żądaniami i atakami
  • Ochrona przed atakami DDoS: automatyczne wykrywanie i łagodzenie skutków ataków DDoS
  • Zarządzanie botami: wykrywanie i filtrowanie zautomatyzowanego ruchu
  • Szyfrowanie SSL/TLS: automatyczne szyfrowanie wszystkich połączeń typu end-to-end

Podczas korzystania z tych usług bezpieczeństwa przetwarzane są adresy IP, znaczniki czasu żądań i metadane. Przetwarzanie to jest niezbędne do ochrony naszej strony internetowej i opiera się na art. 6 ust. 1 lit. f) RODO.

Szczegóły dotyczące przetwarzania danych w Cloudflare można znaleźć w Polityce prywatności Cloudflare: https://www.cloudflare.com/privacypolicy/

5. Baza danych i przechowywanie

Baza danych NEON

Do trwałego przechowywania Twoich danych korzystamy z bazy danych NEON. Dostawcą jest:

Neon, Inc.
425 1st Street
San Francisco, Kalifornia 94105
USA

Nasze serwery baz danych znajdują się we Frankfurcie w Niemczech (region UE). Połączenie z bazą danych odbywa się za pośrednictwem Cloudflare Hyperdrive, usługi świadczonej przez Cloudflare, która zapewnia bezpieczne, szyfrowane połączenie z regionalnymi bazami danych.

Cloudflare Hyperdrive

Hyperdrive to usługa Cloudflare zapewniająca bezpieczne połączenia z bazami danych. Hyperdrive zapewnia:

  • Szyfrowanie SSL/TLS: kompleksowe szyfrowanie wszystkich połączeń z bazą danych
  • Zarządzanie bezpiecznym połączeniem: kontrolowany i uwierzytelniany dostęp do bazy danych
  • Bezpieczeństwo regionalne: Połączenia są zarządzane w bezpiecznych centrach danych UE

Środki bezpieczeństwa

  • Lokalizacja w UE: Przetwarzanie danych odbywa się wyłącznie na terenie UE (Frankfurt)
  • Szyfrowana transmisja: Wszystkie połączenia między pracownikami a bazą danych są szyfrowane protokołem SSL/TLS
  • Kontrola dostępu: ścisłe uwierzytelnianie i autoryzacja
  • Regularne kopie zapasowe: automatyczne, szyfrowane kopie zapasowe danych
  • Infrastruktura bezpieczeństwa: Dodatkowa warstwa bezpieczeństwa dzięki architekturze bezpieczeństwa Cloudflare

Przetwarzanie danych odbywa się na podstawie art. 6(1)(b) RODO w celu realizacji umowy oraz art. 6(1)(f) RODO w oparciu o nasz uzasadniony interes w zakresie bezpiecznego przechowywania danych.

6. Narzędzia analityczne i śledzenie

Google Analytics (przez Cloudflare Zaraz)

Ta strona internetowa korzysta z Google Analytics do analizy zachowań użytkowników. Google Analytics jest zintegrowany wyłącznie za pośrednictwem Cloudflare Zaraz i jest aktywowany tylko po wyrażeniu wyraźnej zgody za pośrednictwem baneru plików cookie.

Dostawcą usługi Google Analytics jest:

Google Ireland Limited
Dom Gordona, ulica Barrow
Dublin 4
Irlandia

Cloudflare Zaraz

Używamy Cloudflare Zaraz jako platformy do zarządzania zgodami oraz do integracji narzędzi śledzących zgodnych z RODO. Zaraz zapewnia następujące korzyści w zakresie prywatności i bezpieczeństwa:

  • Zarządzanie zgodą: śledzenie jest aktywowane dopiero po wyrażeniu wyraźnej zgody
  • Minimalizacja danych: przesyłane są tylko niezbędne dane
  • Przetwarzanie w UE: Przetwarzanie odbywa się za pośrednictwem serwerów UE
  • Bezpieczna transmisja danych: Szyfrowana transmisja wszystkich danych analitycznych

Przetwarzanie odbywa się wyłącznie za Twoją wyraźną zgodą zgodnie z art. 6 ust. 1 lit. a RODO. Możesz wycofać swoją zgodę w dowolnym momencie, zmieniając ustawienia plików cookie.

Zebrane dane

Google Analytics zbiera następujące dane (wyłącznie za Twoją zgodą):

  • Odwiedzone strony i spędzony czas
  • Informacje techniczne (przeglądarka, system operacyjny, rozdzielczość ekranu)
  • Zanonimizowane adresy IP
  • Adresy URL odsyłające
  • Statystyki użytkowania (anonimizowane i zagregowane)

Anonimizacja adresu IP jest aktywowana, więc Twój adres IP jest skracany w państwach członkowskich UE. Tylko w wyjątkowych przypadkach pełny adres IP jest przesyłany na serwer Google w USA i tam skracany.

7. Szyfrowanie SSL/TLS

Ta strona internetowa korzysta z szyfrowania SSL/TLS ze względów bezpieczeństwa i w celu ochrony transmisji poufnych treści. Połączenie szyfrowane można rozpoznać po zmianie adresu w pasku adresu przeglądarki z „http://” na „https://” oraz po symbolu kłódki w pasku przeglądarki.

Gdy szyfrowanie SSL/TLS jest aktywne, dane, które nam przesyłasz, nie mogą zostać odczytane przez osoby trzecie. Cała nasza infrastruktura (strona internetowa, API, połączenia z bazami danych) korzysta wyłącznie z połączeń szyfrowanych.

8. Konta klientów i rejestracja na wydarzenia

Na naszej platformie rozróżniamy dwa typy użytkowników, co wiąże się z różnym przetwarzaniem danych:

Rejestracja klientów (Organizatorzy wydarzeń)

Organizatorzy wydarzeń mogą zarejestrować się na naszej stronie internetowej, aby uzyskać dostęp do naszej platformy SaaS oraz tworzyć i zarządzać wydarzeniami. Stanowi to umowę o korzystanie z naszych usług.

Podczas rejestracji klienta zbierane są następujące obowiązkowe informacje:

  • Adres e-mail (jako nazwa użytkownika i do komunikacji)
  • Imię i nazwisko (imię i nazwisko osoby kontaktowej)
  • Nazwa firmy/organizacji (opcjonalnie)
  • Hasło (przechowywane w formie zaszyfrowanej)

Opcjonalnie można podać dodatkowe informacje w celu uzupełnienia profilu. Przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. b) RODO w celu wykonania umowy.

Uczestnicy wydarzenia (goście bez konta klienta)

Uczestnicy wydarzeń rejestrują się bezpośrednio na konkretne wydarzenia, bez konieczności zakładania u nas konta klienta. Interakcja odbywa się wyłącznie ze stronami wydarzeń naszych klientów. W takim przypadku działamy jako podmiot przetwarzający dane dla danego organizatora wydarzenia.

Podczas rejestracji na wydarzenie mogą zostać zebrane następujące dane (w zależności od konfiguracji dokonanej przez organizatora wydarzenia):

  • Imię i nazwisko oraz dane kontaktowe
  • Informacje dotyczące konkretnego wydarzenia (np. wymagania dietetyczne, pokoje hotelowe)
  • Potwierdzenia obecności i status zameldowania
  • Informacje o płatnościach (przetwarzane za pośrednictwem Stripe)

Ważna uwaga: Odpowiedzialność prawną za dane uczestników ponosi organizator wydarzenia (nasz klient). Pytania dotyczące danych uczestników prosimy kierować bezpośrednio do organizatora.

Usuwanie danych

Dane konta klienta: Dane zebrane podczas rejestracji klienta są przechowywane tak długo, jak długo istnieje konto klienta. Po usunięciu konta dane są usuwane, chyba że obowiązują ustawowe okresy przechowywania.

Dane uczestników wydarzeń: Dane te są zarządzane zgodnie z wymogami danego organizatora wydarzenia i obowiązującymi okresami przechowywania.

9. Przetwarzanie danych dla organizatorów wydarzeń

Jako platforma SaaS do zarządzania wydarzeniami, przetwarzamy dane uczestników w imieniu naszych klientów (organizatorów wydarzeń) na potrzeby ich wydarzeń. W tej relacji działamy jako podmiot przetwarzający dane w rozumieniu art. 28 RODO.

Różne role przetwarzania danych

Dla naszych klientów (organizatorów wydarzeń): Jesteśmy administratorem danych dotyczących ich kont klientów i świadczenia naszych usług SaaS.

Dla uczestników wydarzeń: Jesteśmy podmiotem przetwarzającym dane i przetwarzamy ich dane wyłącznie w imieniu i zgodnie z instrukcjami danego organizatora wydarzenia.

Przetwarzane dane uczestników

W zależności od konfiguracji wydarzenia przez naszych klientów, przetwarzane mogą być następujące dane uczestników:

  • Imię i nazwisko oraz dane kontaktowe uczestników wydarzenia
  • Dane rejestracyjne i preferencje dotyczące konkretnych wydarzeń
  • Wybór opcji (np. warsztaty, posiłki, zakwaterowanie)
  • Potwierdzenia statusu zameldowania i obecności
  • Dane płatnicze (przetwarzane za pośrednictwem Stripe jako dostawcy usług płatniczych)

Podstawa prawna i odpowiedzialność

Administrator danych uczestników: Organizator danego wydarzenia (nasz klient) jest administratorem danych wszystkich uczestników swojego wydarzenia i ustala cele i sposoby przetwarzania danych.

Nasza rola: Dane uczestników przetwarzamy wyłącznie zgodnie z instrukcjami organizatora wydarzenia i na podstawie umowy o przetwarzaniu danych zgodnie z art. 28 RODO.

Twoje prawa jako uczestnika wydarzenia: Jeśli masz pytania dotyczące danych uczestnika lub chcesz uzyskać do nich dostęp, je poprawić lub usunąć, skontaktuj się bezpośrednio z organizatorem danego wydarzenia, ponieważ jest on administratorem danych.

10. Okresy przechowywania

Okres przechowywania danych zależy od roli, w jakiej przetwarzamy Twoje dane:

Dane konta klienta (organizatorzy wydarzeń)

W przypadku danych, których jesteśmy administratorem:

  • Dane konta klienta: Do momentu usunięcia konta klienta
  • Dane rozliczeniowe: 10 lat (obowiązek przechowywania danych podatkowych)
  • Dane umowy: 6 lat po zakończeniu umowy (§ 257 HGB)
  • Komunikacja wsparcia: 3 lata od ostatniego kontaktu

Dane uczestników wydarzenia (przetwarzanie danych)

W przypadku danych uczestników, dla których jesteśmy podmiotem przetwarzającym dane:

  • Dane uczestników wydarzenia: Zgodnie z wymaganiami organizatora wydarzenia, maksymalnie 7 lat po wydarzeniu
  • Dane dotyczące odprawy: Zgodnie z wymogami dotyczącymi usuwania danych określonymi przez organizatora wydarzenia
  • Dane dotyczące płatności: Zgodnie z wymogami dostawcy usług płatniczych (Stripe)

Dane techniczne

Dane związane z systemem, niezależne od roli użytkownika:

  • Dzienniki serwera: maksymalnie 30 dni
  • Dane analityczne: 26 miesięcy (standard Google Analytics, tylko za zgodą)
  • Rejestry bezpieczeństwa: 12 miesięcy w celach bezpieczeństwa

Żądania usunięcia: Klienci mogą w dowolnym momencie zażądać usunięcia danych ze swojego konta. Uczestnicy wydarzenia powinni skontaktować się z organizatorem wydarzenia w celu złożenia wniosku o usunięcie.

11. Międzynarodowy transfer danych

Część naszego przetwarzania danych odbywa się za pośrednictwem dostawców usług spoza Unii Europejskiej. Dotyczy to w szczególności:

  • Cloudflare (USA): Ramy ochrony prywatności danych UE-USA i standardowe klauzule umowne
  • Amazon Web Services/SES (USA): Ramy ochrony danych osobowych UE-USA i standardowe klauzule umowne — jednak przetwarzanie danych odbywa się wyłącznie za pośrednictwem infrastruktury UE (Region Frankfurt eu-central-1)
  • Google Analytics (USA): Ramy ochrony danych osobowych UE-USA i standardowe klauzule umowne

Wszystkie transfery danych odbywają się na podstawie decyzji Komisji Europejskiej stwierdzających odpowiedni stopień ochrony lub z wykorzystaniem odpowiednich zabezpieczeń zgodnie z art. 46 RODO (w szczególności standardowych klauzul umownych).

Specjalne zabezpieczenia dotyczące wysyłki wiadomości e-mail: Mimo że Amazon Web Services jest firmą amerykańską, przetwarzanie wiadomości e-mail dla naszych klientów z UE odbywa się wyłącznie za pośrednictwem oddziału Amazon SES we Frankfurcie (eu-central-1), co gwarantuje zgodność przetwarzania danych z RODO w UE.

12. Kontakt i skargi

W przypadku pytań dotyczących gromadzenia, przetwarzania lub wykorzystywania danych osobowych, a także w celu uzyskania informacji, poprawienia, zablokowania lub usunięcia danych oraz odwołania udzielonych zgód, prosimy o kontakt:

Quick-Event — marka ThePlus UG (haftungsbeschränkt)
Hüchtingstraße 5
28816 Stuhr
Niemcy

Adres e-mail: info@quick-event.com

Prawo do złożenia skargi

Masz prawo wnieść skargę do organu nadzorującego ochronę danych osobowych w związku z przetwarzaniem przez nas danych osobowych. Organem właściwym jest organ nadzorujący miejsce Twojego zwykłego pobytu, miejsce pracy lub siedzibę naszej firmy.

Właściwym organem dla naszej firmy jest:
Komisarz Krajowy ds. Ochrony Danych Osobowych Dolnej Saksonii
Prinzenstraße 5
30159 Hanower
Strona internetowa: https://lfd.niedersachsen.de