Dokumentacja RODO
Ostatnia aktualizacja: 24 marca 2026 (v2.0)
Ta strona zawiera kluczowe dokumenty dotyczące ochrony danych osobowych w systemie Resovu zgodnie z Rozporządzeniem UE 2016/679 (RODO), obowiązującym w całej UE i EOG, w tym odpowiednie krajowe przepisy o ochronie danych osobowych.
Resovu przestrzega krajowych przepisów o ochronie danych we wszystkich krajach, w których działa: ustawa nr 110/2019 Sb. (Czechy), ustawa nr 18/2018 Z.z. (Słowacja), Bundesdatenschutzgesetz — BDSG (Niemcy), ustawa o ochronie danych osobowych (Polska), az információs önrendelkezési jogról szóló törvény — adaptacja RODO (Węgry), Ley Orgánica de Protección de Datos — LOPDGDD (Hiszpania), Personopplysningsloven (Norwegia), Loi Informatique et Libertés (Francja).
1. Umowa powierzenia przetwarzania danych osobowych (DPA)
1.1 Strony umowy
Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej "DPA") zostaje zawarta pomiędzy operatorem firmy korzystającej z systemu Resovu (dalej "Administrator") a Lubomírem Unarem, NIP 05000386 (dalej "Podmiot przetwarzający"). DPA stanowi integralną część warunków korzystania z usługi Resovu.
1.2 Przedmiot i okres przetwarzania
Podmiot przetwarzający przetwarza dane osobowe klientów Administratora w celu świadczenia systemu rezerwacji. Przetwarzanie odbywa się przez okres obowiązywania umowy o świadczenie usług. Kategorie osób: klienci Administratora dokonujący rezerwacji. Kategorie danych: imię, nazwisko, e-mail, telefon, dane rezerwacji, opcjonalne pola niestandardowe.
1.3 Obowiązki podmiotu przetwarzającego
Podmiot przetwarzający zobowiązuje się: przetwarzać dane osobowe wyłącznie na podstawie udokumentowanych instrukcji Administratora; zapewnić, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności; wdrożyć wszelkie środki wymagane przez art. 32 RODO; przestrzegać warunków angażowania dalszych podmiotów przetwarzających; wspierać Administratora w wypełnianiu obowiązków wynikających z art. 32–36 RODO; po zakończeniu umowy usunąć lub zwrócić wszelkie dane osobowe; udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków.
1.4 Instrukcje administratora
Administrator udziela Podmiotowi przetwarzającemu ogólnej instrukcji przetwarzania danych osobowych w zakresie niezbędnym do świadczenia usługi Resovu. Administrator może wydawać dalsze instrukcje za pośrednictwem ustawień w panelu administracyjnym systemu. Podmiot przetwarzający niezwłocznie informuje Administratora, jeśli uważa, że instrukcja narusza RODO.
1.5 Podwykonawcy przetwarzania
Administrator udziela Podmiotowi przetwarzającemu ogólnej zgody na zaangażowanie dalszych podmiotów przetwarzających (podwykonawców) wymienionych w sekcji Lista podwykonawców przetwarzania. Podmiot przetwarzający informuje Administratora o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia podwykonawców. Administrator ma możliwość zgłoszenia sprzeciwu wobec zmian w ciągu 30 dni.
1.6 Środki bezpieczeństwa
Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne: szyfrowanie danych AES-256-GCM dla wrażliwych pól; HTTPS/TLS dla wszelkiego przesyłu danych; izolacja danych najemców za pomocą Row Level Security; kontrola dostępu oparta na rolach (RBAC); haszowanie adresów IP; automatyczne usuwanie danych osobowych po upływie okresu przechowywania; nagłówki bezpieczeństwa (CSP, HSTS, X-Frame-Options); ograniczanie szybkości żądań (rate limiting) w celu ochrony przed nadużyciem.
1.7 Powiadomienie o naruszeniu
Podmiot przetwarzający powiadomi Administratora o każdym naruszeniu ochrony danych osobowych bez zbędnej zwłoki po powzięciu o nim wiadomości, nie później niż w ciągu 48 godzin. Powiadomienie zawiera: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, prawdopodobne konsekwencje oraz podjęte środki.
1.8 Pomoc w realizacji praw osób
Podmiot przetwarzający udzieli Administratorowi pomocy w wypełnianiu obowiązku reagowania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw wynikających z rozdziału III RODO. System umożliwia: eksport danych klienta (art. 20), anonimizację/usunięcie danych (art. 17), przegląd przetwarzanych danych (art. 15).
1.9 Audyt
Podmiot przetwarzający umożliwi i weśprze audyty i kontrole przeprowadzane przez Administratora lub wyznaczonego przez niego audytora. Podmiot przetwarzający udostępni Administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w art. 28 RODO. Audyt można przeprowadzić raz w roku z 30-dniowym wyprzedzeniem.
1.10 Okres przetwarzania i usuwanie
Po zakończeniu świadczenia usług Podmiot przetwarzający usunie wszelkie dane osobowe w ciągu 30 dni, chyba że prawo UE lub państwa członkowskiego wymaga ich przechowywania. Administrator może przed zakończeniem wyeksportować wszelkie dane za pośrednictwem funkcji eksportu RODO w panelu administracyjnym systemu.
2. Rejestr czynności przetwarzania (RCP)
Zapisy zgodnie z art. 30 RODO dotyczące czynności przetwarzania wykonywanych za pośrednictwem systemu Resovu.
| Cel przetwarzania | Podstawa prawna | Kategorie danych | Kategorie osób | Okres przechowywania |
|---|---|---|---|---|
| Zarządzanie rezerwacjami | Art. 6(1)(b) — wykonanie umowy | Imię, e-mail, telefon, data rezerwacji, notatka | Klienci dokonujący rezerwacji | Konfigurowalne (domyślnie 365 dni) |
| Komunikacja (potwierdzenia, przypomnienia) | Art. 6(1)(b) — wykonanie umowy | Imię, e-mail, telefon, szczegóły rezerwacji | Klienci z aktywną rezerwacją | Zgodnie z okresem przechowywania rezerwacji |
| Przetwarzanie płatności | Art. 6(1)(b) — wykonanie umowy | Dane płatnicze (przetwarzane przez Stripe, nigdy przechowywane w Resovu) | Klienci dokonujący płatności online | Zgodnie z warunkami Stripe |
| Marketing (za zgodą) | Art. 6(1)(a) — zgoda | Imię, e-mail | Klienci, którzy wyrazili zgodę marketingową | Do wycofania zgody |
| Bezpieczeństwo i ochrona przed nadużyciem | Art. 6(1)(f) — uzasadniony interes | Adres IP, user-agent (tymczasowo dla rate limitingu) | Wszyscy użytkownicy systemu | Zgodnie z okresem przechowywania dziennika audytu |
| Księgowość i fakturowanie | Art. 6(1)(c) — obowiązek prawny | Nazwa firmy, NIP, REGON, e-mail, adres | Operatorzy (najemcy) systemu | 5 lat (prawo rachunkowości) |
3. Procedura zgłaszania naruszeń ochrony danych osobowych
3.1 Wykrywanie i zgłaszanie
Resovu wdraża systemy monitorowania w celu wykrywania incydentów bezpieczeństwa. Każdy pracownik lub współpracownik jest zobowiązany do niezwłocznego zgłaszania wszelkich podejrzeń naruszenia bezpieczeństwa danych kierownictwu firmy.
3.2 Ocena powagi
Po wykryciu incydentu osoba odpowiedzialna niezwłocznie oceni: zakres danych, których dotyczy naruszenie, liczbę osób, których dane dotyczą, prawdopodobny wpływ na prawa i wolności osób, czy dane były szyfrowane, czy można złagodzić skutki.
3.3 Powiadomienie organu nadzorczego
Jeśli naruszenie może stanowić zagrożenie dla praw i wolności osób fizycznych, Resovu powiadomi właściwy organ nadzorczy w ciągu 72 godzin od wykrycia. Powiadomienie zawiera: opis charakteru naruszenia, dane kontaktowe IOD, opis prawdopodobnych konsekwencji, opis podjętych środków. Organy nadzorcze: ÚOOÚ — www.uoou.cz (Czechy), ÚOOU SR — www.dataprotection.gov.sk (Słowacja), BfDI — www.bfdi.bund.de (Niemcy), UODO — www.uodo.gov.pl (Polska), NAIH — www.naih.hu (Węgry), AEPD — www.aepd.es (Hiszpania), Datatilsynet — www.datatilsynet.no (Norwegia); CNIL — www.cnil.fr (Francja).
3.4 Powiadomienie osób, których dane dotyczą
Jeśli naruszenie może stanowić wysokie zagrożenie dla praw i wolności osób fizycznych, Resovu niezwłocznie poinformuje osoby, których dane dotyczą. Powiadomienie zostanie przekazane w zrozumiałym języku i będzie zawierać zalecenia dotyczące łagodzenia skutków.
3.5 Dokumentacja
Wszystkie incydenty bezpieczeństwa są ewidencjonowane w wewnętrznym rejestrze, w tym: data wykrycia, opis incydentu, dane i osoby, których dotyczy, podjęte środki, decyzje o powiadomieniu organów i osób, wyniki dochodzenia.
3.6 Kontakt do zgłaszania incydentów
Incydenty bezpieczeństwa zgłaszaj na: security@resovu.com. W temacie wpisz "Incydent bezpieczeństwa". Podaj jak najwięcej informacji o charakterze i zakresie incydentu.
4. Lista podwykonawców przetwarzania
| Dostawca | Usługa | Lokalizacja danych | Gwarancje |
|---|---|---|---|
| Supabase (AWS) | Baza danych, uwierzytelnianie, magazyn | UE (Frankfurt, eu-central-1) | DPA, SOC 2 Type II |
| Stripe | Przetwarzanie płatności | UE (Irlandia) + US | DPA, SCC, PCI DSS Level 1 |
| Vercel | Hosting, Edge Network, serverless | Globalna CDN (edge w UE) | DPA, SOC 2 Type II |
| Resend | E-maile transakcyjne | US | DPA, SCC |
| Infobip | Przypomnienia SMS | UE (Frankfurt) + globalnie | DPA, SCC, ISO 27001 |
| Synchronizacja kalendarza (opcjonalna) | US | DPA, SCC | |
| Sentry (Functional Software Inc.) | Monitorowanie błędów | US | DPA, SCC, SOC 2 |
| Upstash | Rate limiting (Redis) | UE (Frankfurt) | DPA, SOC 2 |