Polityka Prywatności ordr.pl

1. Administrator

  • Administratorem danych osobowych: Krzysztof Małkowski
  • NIP: 7773395613
  • REGON: 523283616
  • Adres: Sowinki 11, 62-050 Sowinki, Polska
  • Kontakt w sprawach danych: przez formularz kontaktowy na ordr.pl

2. Zakres zastosowania

  • Polityka dotyczy danych osób reprezentujących Klientów (B2B) i Użytkowników kont w usłudze ordr.pl.
  • Goście restauracji korzystający z e-menu i składający zamówienia przy stoliku nie podają danych osobowych w systemie ordr.pl – Administrator nie przetwarza ich danych osobowych.

3. Kategorie danych

  • Dane konta: imię, nazwisko (jeśli podane), e-mail, nazwa firmy, NIP, dane fakturowe.
  • Dane użytkowe: role użytkowników, ustawienia konta, treści menu i tłumaczenia (co do zasady bez danych osobowych), metadane zamówień przy stolikach (bez danych osobowych gości).
  • Dane techniczne: logi serwera, adres IP, typ przeglądarki, znaczniki czasu, identyfikatory zdarzeń (analityka bezciasteczkowa).
  • Dane rozliczeniowe: status płatności, identyfikatory transakcji (przetwarzane przez operatora płatności – Stripe; Administrator nie przetwarza danych kart).

4. Cele i podstawy prawne przetwarzania (RODO)

  • Realizacja umowy i świadczenie usługi (art. 6 ust. 1 lit. b RODO) – założenie konta, utrzymanie usługi, wsparcie.
  • Rozliczenia i obowiązki podatkowe (art. 6 ust. 1 lit. c RODO).
  • Prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO): bezpieczeństwo i integralność systemu, dochodzenie lub obrona roszczeń, analityka niezbędna do rozwoju usługi (w trybie zminimalizowanym).
  • Zgody (art. 6 ust. 1 lit. a) – jedynie, jeśli będą zbierane w konkretnych sytuacjach (aktualnie nie stosujemy marketingu wymagającego zgody i nie używamy cookies śledzących).

5. Obowiązek lub dobrowolność podania danych

  • Podanie danych niezbędnych do rejestracji i rozliczeń jest konieczne do zawarcia i wykonania umowy.
  • Brak podania danych uniemożliwi świadczenie usługi.

6. Okres przechowywania danych

  • Dane kont i operacyjne: przez czas trwania umowy, a po jej zakończeniu do 1 miesiąca.
  • Logi techniczne i backupy: około 1 miesiąca (nadpisywanie zgodnie z cyklem).
  • Dane rozliczeniowe i dokumenty księgowe: przez okres wymagany przepisami prawa (np. ustawa o rachunkowości i ordynacja podatkowa).
  • Po upływie ww. okresów dane są usuwane lub anonimizowane.

7. Odbiorcy danych i przetwarzanie w UE

  • Podmioty przetwarzające dane na zlecenie Administratora:
  • • Amazon Web Services (AWS), region UE – hosting
  • • Vercel, region UE – hosting/aplikacja edge
  • • Stripe (jako niezależny administrator dla danych płatniczych) – płatności
  • Dane są przetwarzane w UE/EOG. Administrator nie przekazuje danych poza EOG.

8. Bezpieczeństwo danych

  • Szyfrowanie danych w tranzycie (HTTPS/TLS 1.2+) i w spoczynku.
  • Kontrola dostępu i minimalizacja uprawnień.
  • Kopie zapasowe przechowywane około 1 miesiąca.
  • Administrator nie prowadzi formalnych testów penetracyjnych; stosuje podstawowe środki bezpieczeństwa odpowiednie do skali i charakteru usługi.

9. Analityka i pliki cookies

  • Nie stosujemy plików cookies do śledzenia użytkowników.
  • Korzystamy z PostHog w trybie bezciasteczkowym (cookieless). Dane analityczne mają charakter zanonimizowany/pseudonimizowany i służą wyłącznie celom statystycznym oraz poprawie jakości usługi.
  • Jeśli w przyszłości wprowadzimy marketingowe/śledzące cookies, zaktualizujemy Politykę i wdrożymy odpowiedni mechanizm zgód.

10. Prawa osób, których dane dotyczą

  • Prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania – zgodnie z RODO.
  • Prawo wniesienia skargi do Prezesa UODO.
  • Wnioski dotyczące praw można składać przez formularz kontaktowy. Administrator odpowiada bez zbędnej zwłoki.

11. Zautomatyzowane podejmowanie decyzji

  • Administrator nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania wywołującego skutki prawne wobec Użytkowników.

12. Incydenty ochrony danych

  • Naruszenia ochrony danych osobowych są niezwłocznie weryfikowane.
  • W razie ryzyka naruszenia praw lub wolności osób, Administrator podejmie wymagane działania, w tym – gdy ma to zastosowanie – zawiadomienie UODO i powiadomienie osób, których dane dotyczą, bez zbędnej zwłoki.

13. Zmiany Polityki prywatności

  • Polityka może być aktualizowana.
  • O istotnych zmianach poinformujemy e‑mailem z 30-dniowym wyprzedzeniem.
  • Aktualna wersja jest publikowana na ordr.pl.

14. Kontakt

  • W sprawach prywatności prosimy o kontakt przez formularz na ordr.pl.