Polityka prywatności i ochrony danych (RODO)

Wersja robocza · ostatnia aktualizacja: 25 czerwca 2026 · Obowiązuje od: —

Niniejsza Polityka prywatności wyjaśnia, w jaki sposób RIDOA Sp. z o.o. przetwarza dane osobowe użytkowników korzystających z naszych produktów cyfrowych — aplikacji mobilnych (iOS/Android), oprogramowania SaaS oraz serwisów internetowych wydawanych pod marką RIDOA (m.in. Barvea, Zapp, AutoPolar, ClimaBox). Dokument opisuje cele i podstawy prawne przetwarzania, kategorie danych, odbiorców, okresy przechowywania oraz prawa przysługujące osobom, których dane dotyczą, zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej „RODO”) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.

Uwaga: niniejszy dokument stanowi wersję roboczą (draft) i nie jest jeszcze wiążącą wersją obowiązującą. Ostateczna treść, daty wejścia w życie oraz zakres przetwarzania zostaną potwierdzone po wewnętrznej akceptacji prawnej.

Produkty działające w pełni lokalnie (np. AutoPolar). Część naszych aplikacji — w szczególności AutoPolar — została zaprojektowana w modelu „prywatność na pierwszym miejscu”: działają bez kont użytkownika, bez chmury i bez zbierania danych. Dane (np. polary, konfiguracje, dane z magistrali NMEA 0183 / SignalK) pozostają wyłącznie na urządzeniu użytkownika i nie są przesyłane do RIDOA. W zakresie, w jakim dana aplikacja nie przekazuje żadnych danych osobowych do Administratora, postanowienia niniejszej Polityki dotyczące przetwarzania przez RIDOA mają zastosowanie jedynie odpowiednio i w niezbędnym zakresie (np. do dystrybucji aplikacji przez sklepy Apple/Google lub do obsługi korespondencji kierowanej do nas). Każdorazowo rozstrzygający jest opis przetwarzania danej aplikacji udostępniany w sklepie z aplikacjami (sekcja „Prywatność aplikacji”) oraz informacje w samej aplikacji.

§ 1. Administrator danych i dane kontaktowe

Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:

We wszystkich sprawach dotyczących przetwarzania danych osobowych oraz wykonywania praw, o których mowa w § 7 niniejszej Polityki, można kontaktować się z Administratorem pisemnie na adres siedziby lub elektronicznie na adres kontakt@ridoa.house.

Inspektor Ochrony Danych (IOD). Administrator na dzień sporządzenia niniejszej Polityki nie był zobowiązany do wyznaczenia inspektora ochrony danych w rozumieniu art. 37 RODO i go nie wyznaczył. W przypadku powołania IOD jego dane kontaktowe (w tym dedykowany adres e-mail) zostaną udostępnione w niniejszej Polityce oraz na stronach naszych produktów. Do czasu ewentualnego powołania IOD wszelką korespondencję w sprawach ochrony danych należy kierować na adres kontakt@ridoa.house.

Niniejsza Polityka jest wspólna dla wszystkich produktów RIDOA. W zależności od tego, z którego produktu (aplikacji, usługi SaaS lub serwisu) korzysta użytkownik, faktyczny zakres przetwarzanych danych może być węższy niż opisany poniżej — przetwarzamy wyłącznie te dane, które są niezbędne do działania danego produktu.

§ 2. Jakie dane przetwarzamy

Zakres przetwarzanych danych zależy od produktu i sposobu korzystania z niego. W zależności od przypadku możemy przetwarzać następujące kategorie danych:

2.1. Dane konta i dane identyfikacyjne

W produktach wymagających rejestracji (np. usługi SaaS lub aplikacje z funkcjami społecznościowymi): adres e-mail, login/nazwa użytkownika, hasło (przechowywane w postaci zaszyfrowanego skrótu), opcjonalnie imię i nazwisko lub nazwa wyświetlana, język i ustawienia konta, identyfikator konta. W produktach działających bez kont (np. AutoPolar) dane tej kategorii nie są przez nas przetwarzane.

2.2. Dane generowane przez aplikację (treści i dane użytkowe)

Dane wprowadzane lub wytwarzane podczas korzystania z aplikacji, np. zapisane konfiguracje, ustawienia, treści, pliki eksportowane/importowane (np. pliki .pol, .csv) oraz — w aplikacjach mapowych lub nawigacyjnych — dane o lokalizacji i dane z czujników/magistral pomiarowych (np. NMEA 0183 / SignalK). W aplikacjach typu AutoPolar dane te są przetwarzane lokalnie na urządzeniu i nie są przesyłane do RIDOA; w produktach chmurowych dane mogą być zapisywane na naszej infrastrukturze backendowej w celu świadczenia usługi (synchronizacja, kopia zapasowa).

2.3. Dane o lokalizacji

W aplikacjach, które oferują funkcje zależne od położenia (mapy, nawigacja, geolokalizacja zdarzeń), możemy przetwarzać dane o lokalizacji urządzenia. Dostęp do lokalizacji jest uruchamiany na podstawie uprawnienia systemowego udzielanego przez użytkownika na poziomie systemu operacyjnego (iOS/Android), które można w każdej chwili cofnąć w ustawieniach urządzenia. W aplikacjach działających lokalnie dane o lokalizacji są wykorzystywane wyłącznie na urządzeniu i nie trafiają do RIDOA.

2.4. Dane techniczne i dane urządzenia

Dane niezbędne do prawidłowego i bezpiecznego działania produktu oraz jego diagnostyki, np.: typ i model urządzenia, wersja systemu operacyjnego, wersja aplikacji, identyfikatory techniczne urządzenia/instalacji, ustawienia językowe i regionalne, adres IP, dane o awariach (logi diagnostyczne i raporty o błędach), zdarzenia techniczne. Zakres tych danych może być ograniczony do minimum w aplikacjach prywatnościowych.

2.5. Dane dotyczące płatności i zakupów

W produktach płatnych lub oferujących zakupy w aplikacji (in-app purchase, subskrypcje): informacje o zakupie, statusie subskrypcji, identyfikatorze transakcji i okresie obowiązywania. Pełnych danych płatniczych (np. numeru karty) nie zbieramy ani nie przechowujemy — płatności są realizowane i rozliczane przez operatorów płatności oraz sklepy z aplikacjami (Apple App Store, Google Play), którzy są w tym zakresie odrębnymi administratorami lub podmiotami świadczącymi usługi płatnicze.

2.6. Dane z korespondencji i obsługi

Dane podawane w korespondencji kierowanej do nas (np. adres e-mail, treść zgłoszenia, dane niezbędne do udzielenia odpowiedzi lub rozpatrzenia reklamacji).

Draft: ostateczny katalog przetwarzanych kategorii danych zostanie doprecyzowany odrębnie dla każdego produktu na etapie akceptacji prawnej oraz w kartach „Prywatność aplikacji” w sklepach Apple/Google.

§ 3. Cele i podstawy prawne przetwarzania

Dane osobowe przetwarzamy wyłącznie w określonych, zgodnych z prawem celach, na następujących podstawach prawnych z art. 6 RODO:

• Świadczenie usługi i wykonanie umowy (założenie i prowadzenie konta, udostępnianie funkcji aplikacji/usługi, realizacja zakupów i subskrypcji, obsługa techniczna) — art. 6 ust. 1 lit. b RODO (przetwarzanie niezbędne do wykonania umowy lub do podjęcia działań przed jej zawarciem).
• Funkcje wymagające zgody (np. niektóre powiadomienia marketingowe, opcjonalna analityka lub spersonalizowane treści, dostęp do określonych danych za zgodą systemową) — art. 6 ust. 1 lit. a RODO (zgoda osoby, której dane dotyczą). Zgodę można w każdej chwili wycofać; wycofanie nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
• Obowiązki prawne Administratora (rozliczenia podatkowe i księgowe, obsługa reklamacji i odstąpień, odpowiedzi na żądania uprawnionych organów) — art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego).
• Prawnie uzasadniony interes Administratora (zapewnienie bezpieczeństwa i ciągłości działania, zapobieganie nadużyciom i oszustwom, diagnostyka i poprawa jakości produktów, dochodzenie lub obrona roszczeń, prowadzenie korespondencji, marketing własnych produktów w zakresie dozwolonym prawem) — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora lub strony trzeciej).

W każdym przypadku, gdy przetwarzanie opiera się na art. 6 ust. 1 lit. f RODO, przeprowadzamy test równowagi, biorąc pod uwagę prawa i wolności osób, których dane dotyczą. Osobie przysługuje prawo wniesienia sprzeciwu (zob. § 7).

§ 4. Odbiorcy danych i podmioty przetwarzające

Dane osobowe mogą być udostępniane wyłącznie podmiotom, które przetwarzają je w naszym imieniu na podstawie umów powierzenia przetwarzania (art. 28 RODO) lub które są odrębnymi administratorami w zakresie własnych usług. Do kategorii odbiorców należą w szczególności:

• Dostawcy infrastruktury i hostingu — podmioty zapewniające serwery, przechowywanie danych i utrzymanie usług (w tym dostawcy infrastruktury backendowej, np. Supabase oraz dostawcy hostingu i centrów danych).
• Sklepy z aplikacjami — Apple (App Store) oraz Google (Google Play) w zakresie dystrybucji aplikacji, weryfikacji zakupów, obsługi subskrypcji i powiadomień systemowych; podmioty te działają jako odrębni administratorzy w odniesieniu do danych gromadzonych w ramach kont użytkowników w tych sklepach.
• Operatorzy płatności — dostawcy usług płatniczych oraz mechanizmów rozliczeń zakupów w aplikacji, realizujący obsługę transakcji.
• Dostawcy narzędzi analitycznych i diagnostycznych — narzędzia do analizy stabilności aplikacji, raportowania błędów oraz (w zakresie objętym zgodą) statystyki korzystania.
• Dostawcy usług komunikacyjnych — np. dostawcy poczty elektronicznej i systemów wysyłki powiadomień.
• Podmioty świadczące obsługę prawną, księgową i doradczą — w niezbędnym zakresie.
• Uprawnione organy publiczne — gdy obowiązek udostępnienia wynika z przepisów prawa.

W odniesieniu do produktów działających w pełni lokalnie (np. AutoPolar) RIDOA nie udostępnia odbiorcom żadnych danych użytkowych, ponieważ dane te nie opuszczają urządzenia. Jedynymi podmiotami uczestniczącymi w dystrybucji takiej aplikacji są sklepy Apple/Google, działające na podstawie własnych polityk prywatności.

§ 5. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

Co do zasady dążymy do przetwarzania danych na terenie EOG. Jeżeli jednak korzystanie z usług niektórych dostawców (np. dostawców infrastruktury, narzędzi analitycznych lub sklepów z aplikacjami) wiąże się z przekazaniem danych do państwa trzeciego (poza EOG), przekazanie takie odbywa się wyłącznie przy zastosowaniu odpowiednich zabezpieczeń przewidzianych w rozdziale V RODO, w szczególności:

• na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (decyzja o adekwatności) — art. 45 RODO; lub
• na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską — art. 46 ust. 2 lit. c RODO, w razie potrzeby uzupełnionych o dodatkowe środki techniczne i organizacyjne; lub
• w oparciu o inne dopuszczalne mechanizmy przewidziane w RODO (np. wiążące reguły korporacyjne lub mające zastosowanie wyjątki z art. 49 RODO).

Informację o stosowanych zabezpieczeniach oraz, w stosownych przypadkach, kopię odpowiednich dokumentów można uzyskać, kontaktując się z Administratorem na adres kontakt@ridoa.house.

§ 6. Okresy przechowywania danych

Dane osobowe przechowujemy nie dłużej, niż jest to niezbędne do realizacji celów, dla których zostały zebrane, a następnie usuwamy je lub anonimizujemy. Przyjmujemy następujące zasady:

• Dane konta i dane związane z usługą — przez okres posiadania konta / korzystania z usługi, a po jego likwidacji przez okres niezbędny do rozliczenia usługi oraz do upływu terminów przedawnienia roszczeń.
• Dane przetwarzane na podstawie zgody — do czasu wycofania zgody lub ustania celu przetwarzania.
• Dane rozliczeniowe i księgowe — przez okres wymagany przepisami podatkowymi i o rachunkowości (co do zasady do 5 lat licząc od końca roku, w którym powstał obowiązek podatkowy).
• Dane przetwarzane w celu dochodzenia lub obrony roszczeń — do upływu właściwych terminów przedawnienia.
• Dane diagnostyczne i logi techniczne — przez okres niezbędny do zapewnienia bezpieczeństwa i diagnostyki, zazwyczaj krótkookresowo.

W przypadku produktów działających lokalnie (np. AutoPolar) o okresie przechowywania danych na urządzeniu decyduje wyłącznie użytkownik — dane można w każdej chwili usunąć w aplikacji lub odinstalowując ją.

§ 7. Prawa osoby, której dane dotyczą

Osobie, której dane dotyczą, przysługują następujące prawa wynikające z RODO:

• prawo dostępu do danych oraz uzyskania ich kopii (art. 15 RODO);
• prawo do sprostowania danych nieprawidłowych lub uzupełnienia danych niekompletnych (art. 16 RODO);
• prawo do usunięcia danych („prawo do bycia zapomnianym”) — w przypadkach określonych w art. 17 RODO;
• prawo do ograniczenia przetwarzania (art. 18 RODO);
• prawo do przenoszenia danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany (art. 20 RODO);
• prawo do sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie, w tym wobec marketingu bezpośredniego (art. 21 RODO);
• prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem (art. 7 ust. 3 RODO).

W celu skorzystania z powyższych praw należy skontaktować się z Administratorem na adres kontakt@ridoa.house. Odpowiadamy na żądania bez zbędnej zwłoki, co do zasady w terminie miesiąca od ich otrzymania; w razie potrzeby termin ten może zostać przedłużony zgodnie z art. 12 ust. 3 RODO. Realizacja praw jest co do zasady bezpłatna; w przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych możemy pobrać rozsądną opłatę lub odmówić działania (art. 12 ust. 5 RODO).

Prawo wniesienia skargi do organu nadzorczego. Osobie, której dane dotyczą, przysługuje prawo wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, jeżeli uzna, że przetwarzanie jej danych narusza przepisy RODO.

§ 8. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator nie podejmuje wobec użytkowników decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), które wywoływałyby wobec nich skutki prawne lub w podobny sposób istotnie na nie wpływały w rozumieniu art. 22 RODO. Jeżeli w przyszłości wprowadzimy takie procesy, poinformujemy o tym, podając zasady ich działania, znaczenie oraz przewidywane konsekwencje, a także zapewnimy odpowiednie prawa, w tym prawo do uzyskania interwencji ludzkiej, wyrażenia własnego stanowiska i zakwestionowania decyzji.

§ 9. Dane dzieci

Nasze produkty nie są kierowane do dzieci poniżej 16. roku życia i nie zbieramy świadomie ich danych osobowych. Jeżeli korzystanie z określonej usługi wymaga zgody, a użytkownik nie ukończył wieku wymaganego przepisami (w Polsce — 16 lat, art. 8 RODO w zw. z art. 8 ustawy o ochronie danych osobowych), przetwarzanie na podstawie zgody jest dopuszczalne wyłącznie za zgodą lub aprobatą osoby sprawującej władzę rodzicielską lub opiekę. Jeżeli powzięliśmy informację, że przetwarzamy dane dziecka bez wymaganej zgody, dane te niezwłocznie usuniemy. Opiekunowie, którzy uważają, że dziecko przekazało nam dane, mogą skontaktować się z nami pod adresem kontakt@ridoa.house.

§ 10. Pliki cookies i technologie podobne

W naszych serwisach internetowych oraz, w ograniczonym zakresie, w aplikacjach mogą być wykorzystywane pliki cookies oraz technologie podobne (np. lokalna pamięć urządzenia, identyfikatory techniczne). Szczegółowe informacje o rodzajach plików cookies, celach ich stosowania, okresach przechowywania oraz sposobie zarządzania zgodami znajdują się w odrębnej Polityce cookies. Aplikacje działające lokalnie (np. AutoPolar) co do zasady nie stosują plików cookies ani trackerów.

§ 11. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych, adekwatne do ryzyka, zgodnie z art. 32 RODO, w tym m.in.: szyfrowanie transmisji danych (TLS), kontrolę dostępu i uwierzytelnianie, pseudonimizację i minimalizację danych tam, gdzie to możliwe, regularne aktualizacje oraz zasadę przetwarzania danych wyłącznie przez upoważnione osoby. Architektura naszych produktów uwzględnia zasady ochrony danych w fazie projektowania oraz domyślnej ochrony danych (privacy by design i privacy by default, art. 25 RODO) — czego wyrazem są m.in. produkty działające bez kont i bez chmury, w których dane pozostają na urządzeniu użytkownika.

§ 12. Zmiany Polityki prywatności

Administrator może aktualizować niniejszą Politykę, w szczególności w przypadku zmian przepisów prawa, wprowadzenia nowych funkcji lub produktów albo zmiany zasad przetwarzania danych. O istotnych zmianach poinformujemy w odpowiedni sposób (np. komunikatem w aplikacji, na stronie internetowej lub wiadomością e-mail), z odpowiednim wyprzedzeniem. Aktualna wersja Polityki, wraz z datą jej publikacji oraz datą wejścia w życie, jest zawsze dostępna w naszych serwisach oraz aplikacjach. Korzystanie z produktów po wejściu w życie zmian oznacza zapoznanie się z ich treścią.

Wersja robocza (draft). Niniejszy dokument jest projektem przeznaczonym do wewnętrznej akceptacji prawnej i może ulec zmianie przed publikacją. Data wejścia w życie zostanie wskazana po zatwierdzeniu ostatecznej treści. W sprawach dotyczących ochrony danych prosimy o kontakt: kontakt@ridoa.house.