Polityka Prywatności Olami.pl

Ostatnia aktualizacja: 7.06.2026

Data wejścia w życie: 10 maja 2026 r.

Niniejsza Polityka Prywatności (dalej: „Polityka") opisuje sposób, w jaki serwis Olami.pl przetwarza dane osobowe użytkowników. Dokument jest spójny z Regulaminem oraz wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

1. Administrator danych osobowych

Administratorem danych osobowych użytkowników (Fotografów) jest:

Damian Michalski, osoba fizyczna
adres do korespondencji: [ADRES KORESPONDENCYJNY]
adres e-mail: kontakt.olami.pl@gmail.com
(dalej: „Administrator")

2. Kontakt w sprawach ochrony danych

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD). Wszelkie pytania dotyczące przetwarzania danych prosimy kierować na adres e-mail: kontakt.olami.pl@gmail.com.

3. Zakres zbieranych danych

Administrator przetwarza następujące kategorie danych osobowych Fotografów:

  • Dane rejestracyjne i kontaktowe: imię i nazwisko (lub nazwa firmy), adres e-mail, hasło (zapisane jako hash bcrypt – Administrator nigdy nie ma dostępu do hasła w postaci jawnej).
  • Dane profilowe (opcjonalnie): miasto, telefon, zdjęcie profilowe, linki do mediów społecznościowych.
  • Dane rozliczeniowe (opcjonalnie): dane do rachunku/faktury, w tym NIP, REGON, adres.
  • Dane finansowe: historia doładowań Portfela, identyfikatory transakcji Operatorów Płatności (Administrator nie przetwarza i nie przechowuje danych kart płatniczych – te są obsługiwane wyłącznie przez PayU/Stripe).
  • Dane techniczne (zbierane automatycznie): adres IP, rodzaj przeglądarki, system operacyjny, data i godzina dostępu, identyfikatory cookies.
  • Dane dotyczące korzystania z Serwisu: liczba sesji, wykorzystana powierzchnia, użyte funkcje, ostatnia aktywność.
  • Komunikacja: treść zapytań, reklamacji, korespondencja e-mail.

4. Cele i podstawy prawne przetwarzania

CelPodstawa prawnaOkres
Świadczenie usług w ramach Konta Fotografaart. 6 ust. 1 lit. b RODO (umowa)do usunięcia Konta
Rozliczenia podatkowe i księgoweart. 6 ust. 1 lit. c RODO (obowiązek prawny)5 lat od końca roku rozliczeniowego
Marketing bezpośredni (newsletter, nowe funkcje)art. 6 ust. 1 lit. a RODO (zgoda)do wycofania zgody
Statystyki, analityka, poprawa funkcjonalnościart. 6 ust. 1 lit. f RODO (uzasadniony interes)do wniesienia sprzeciwu lub usunięcia Konta
Bezpieczeństwo (audit log, rate limiting)art. 6 ust. 1 lit. f RODO (uzasadniony interes)do 24 miesięcy
Obrona przed roszczeniamiart. 6 ust. 1 lit. f RODO (uzasadniony interes)do przedawnienia roszczeń (do 6 lat)

5. Powierzenie przetwarzania danych Klientów Fotografa

Fotograf wprowadzając do Serwisu dane swoich Klientów (imię, nazwisko, e-mail, telefon, zdjęcia) działa jako administrator tych danych. Administrator Olami.pl pełni w stosunku do nich rolę podmiotu przetwarzającego (procesora), w zakresie określonym poniższą umową powierzenia.

Umowa powierzenia przetwarzania danych osobowych

§1. Fotograf (dalej: „Administrator danych") powierza Olami.pl (dalej: „Procesorowi") przetwarzanie danych osobowych Klientów Fotografa wyłącznie w celu i zakresie niezbędnym do realizacji usług zgodnie z Regulaminem.

§2. Procesor przetwarza dane: imię, nazwisko, adres e-mail, telefon, adres, zdjęcia oraz inne dane wprowadzone do Serwisu przez Administratora danych.

§3. Procesor zobowiązuje się do:

  • przetwarzania danych wyłącznie na udokumentowane polecenie Administratora danych,
  • zapewnienia poufności przez osoby upoważnione,
  • wdrożenia adekwatnych środków technicznych i organizacyjnych (art. 32 RODO): szyfrowanie SSL/TLS, kontrola dostępu, logi audytowe, kopie zapasowe, hash haseł,
  • pomocy Administratorowi danych w realizacji praw osób (dostęp, sprostowanie, usunięcie),
  • zgłaszania naruszeń ochrony danych w terminie 72 godzin od ich wykrycia,
  • usuwania lub zwracania danych po zakończeniu umowy.

§4. Procesor może korzystać z dalszych procesorów wymienionych w pkt 7 niniejszej Polityki. Lista jest aktualizowana – Administrator danych ma prawo wnieść sprzeciw wobec każdej zmiany w terminie 30 dni od jej ogłoszenia.

§5. Umowa powierzenia wygasa wraz z zakończeniem korzystania przez Administratora danych z Serwisu.

6. Prawa osób, których dane dotyczą

Każda osoba, której dane przetwarza Administrator, ma prawo do:

  • Dostępu do swoich danych (art. 15 RODO),
  • Sprostowania nieprawidłowych danych (art. 16 RODO),
  • Usunięcia danych – „prawo do bycia zapomnianym" (art. 17 RODO),
  • Ograniczenia przetwarzania (art. 18 RODO),
  • Przenoszenia danych – otrzymania danych w formacie ustrukturyzowanym (art. 20 RODO),
  • Wniesienia sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 21 RODO),
  • Cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania przed cofnięciem),
  • Wniesienia skargi do Prezesa UODO (zob. pkt 10).

Wnioski o realizację praw należy kierować na adres: kontakt.olami.pl@gmail.com. Administrator odpowiada w terminie 30 dni (z możliwością przedłużenia o kolejne 60 dni w przypadkach uzasadnionych złożonością wniosku).

7. Odbiorcy danych (dalsi procesorzy)

Administrator korzysta z następujących dostawców usług, którzy mogą przetwarzać dane na jego polecenie:

DostawcaCelLokalizacja
PayU S.A. (Poznań)Obsługa płatności BLIK, przelewy, kartyPolska / UE
Stripe Payments Europe Ltd. (Irlandia)Obsługa płatności kartamiUE (przekazania do USA na podstawie standardowych klauzul umownych)
Dostawca hostingu serwerówInfrastruktura, kopie zapasoweUE
Google LLC (Gmail SMTP)Wysyłka e-maili transakcyjnychUSA (na podstawie Data Privacy Framework)
Biuro księgowe / księgowyRozliczenia podatkowePolska

Lista może ulec zmianie – aktualną wersję publikujemy w niniejszej Polityce.

8. Przekazywanie danych poza EOG

Część dostawców (Stripe, Google) może przetwarzać dane w USA lub innych krajach poza EOG. Przekazania odbywają się na podstawie:

  • decyzji Komisji Europejskiej o adekwatnym poziomie ochrony (EU-US Data Privacy Framework), lub
  • standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską.

9. Bezpieczeństwo danych

Administrator wdraża następujące środki techniczne i organizacyjne:

  • szyfrowanie transmisji protokołem TLS (HTTPS),
  • haszowanie haseł algorytmem bcrypt (Administrator nie zna haseł w postaci jawnej),
  • tokeny CSRF chroniące formularze przed atakami międzywitrynowymi,
  • rate limiting prób logowania (10 prób / 15 minut),
  • regenerację identyfikatora sesji po zalogowaniu,
  • walidację uprawnień przy każdej operacji na zasobach (ownership check),
  • walidację webhooks PayU (MD5) i Stripe (HMAC-SHA256),
  • logi audytowe wszystkich istotnych operacji,
  • kopie zapasowe wykonywane regularnie,
  • blokadę dostępu HTTP do folderów wrażliwych przez .htaccess.

10. Skarga do organu nadzorczego

Masz prawo wnieść skargę do organu nadzorczego, którym w Polsce jest:

Prezes Urzędu Ochrony Danych Osobowych (PUODO)
ul. Stawki 2, 00-193 Warszawa
tel. 22 531 03 00
uodo.gov.pl

11. Profilowanie i decyzje automatyczne

Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), które wywoływałyby skutki prawne lub w istotny sposób wpływały na osobę. Statystyki użycia (np. liczba sesji, zużycie powierzchni) służą wyłącznie celom analitycznym i informacyjnym.

12. Pliki cookies

Zasady wykorzystania plików cookies opisane są w odrębnej Polityce Cookies.

13. Integracja z Google Calendar (Google API)

Serwis umożliwia Fotografowi dobrowolne połączenie konta Google w celu synchronizacji terminów sesji i rezerwacji z kalendarzem Google. Połączenie odbywa się przez bezpieczny protokół OAuth 2.0 — Serwis nigdy nie poznaje hasła do konta Google.

Po połączeniu, w zakresie udzielonej zgody, Serwis wykonuje wyłącznie następujące operacje:

  • tworzy i prowadzi dedykowany kalendarz „olami" na koncie Google Fotografa (zakres calendar.app.created);
  • odczytuje listę kalendarzy wyłącznie po to, aby odnaleźć ten dedykowany kalendarz (zakres calendar.calendarlist.readonly);
  • dodaje, aktualizuje i usuwa w tym kalendarzu wydarzenia odpowiadające sesjom i rezerwacjom utworzonym w Serwisie.

Serwis nie odczytuje ani nie modyfikuje pozostałych kalendarzy ani prywatnych wydarzeń Fotografa. W celu utrzymania synchronizacji przechowujemy token odświeżania (refresh token) wydany przez Google — służy on wyłącznie do powyższych operacji, nie jest udostępniany podmiotom trzecim, nie jest wykorzystywany do reklam ani profilowania i nie jest sprzedawany.

Fotograf może w dowolnej chwili odłączyć konto Google w panelu (Profil → Konto) lub cofnąć dostęp na stronie myaccount.google.com/permissions; powoduje to usunięcie przechowywanego tokenu i zatrzymanie synchronizacji.

Wykorzystanie przez olami.pl informacji otrzymanych z interfejsów API Google jest zgodne z Google API Services User Data Policy, w tym z wymaganiami dotyczącymi ograniczonego wykorzystania (Limited Use).

14. Zmiany Polityki

Administrator zastrzega prawo do zmian Polityki w przypadku zmian przepisów prawa, technologii lub funkcjonalności Serwisu. O zmianach Fotografowie informowani są drogą e-mailową lub przez komunikat w panelu, co najmniej 14 dni przed wejściem zmian w życie. Aktualna wersja jest zawsze dostępna pod adresem olami.pl/polityka-prywatnosci.

← Powrót do strony głównej