§ 1. POSTANOWIENIA OGÓLNE
Niniejsza Polityka Prywatności (dalej "Polityka") określa zasady zbierania, przetwarzania i ochrony danych osobowych użytkowników serwisu Triperino dostępnego pod adresem triperino.com (dalej "Serwis").
Administratorem danych osobowych jest:
Administrator pełni jednocześnie funkcję Inspektora Ochrony Danych (IOD). Wszelkie zapytania, wnioski i skargi dotyczące przetwarzania danych osobowych należy kierować na adres: support@triperino.com.
Niniejsza Polityka została opracowana zgodnie z: Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), polską ustawą o ochronie danych osobowych z dnia 10 maja 2018 r., ustawą o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r., ustawą Prawo telekomunikacyjne z dnia 16 lipca 2004 r. (w zakresie cookies i śledzenia), a także z uwzględnieniem: California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA), brazylijskiej Lei Geral de Proteção de Dados (LGPD), kanadyjskiej Personal Information Protection and Electronic Documents Act (PIPEDA) oraz południowoafrykańskiej Protection of Personal Information Act (POPIA).
Administrator Danych / Inspektor Ochrony Danych
Maksymilian Blok
Maksymilian Blok Codemaxi
ul. Akacjowa 21, Grabowo Kościerskie, 83-403 Grabowo Kościerskie, Polska
NIP: 5911713026
E-mail: support@triperino.com
Serwis jest przeznaczony dla użytkowników, którzy ukończyli 16 lat. Nie zbieramy świadomie danych od osób poniżej 16. roku życia.
§ 2. KATEGORIE PRZETWARZANYCH DANYCH OSOBOWYCH
W ramach funkcjonowania Serwisu zbieramy i przetwarzamy następujące kategorie danych osobowych:
A. Dane rejestracyjne i konta
- Nazwa użytkownika (login)
- Adres e-mail
- Hasło (przechowywane wyłącznie w postaci zahaszowanej algorytmem bcrypt)
- Imię i nazwisko (opcjonalnie, podawane przez użytkownika)
- Data rejestracji konta
- Typ konta i uprawnienia
B. Dane profilowe i preferencje
- Preferencje podróżnicze (preferowana waluta, ustawienia pojazdu, typ paliwa i spalanie)
- Informacje o alergiach (dla alertów bezpieczeństwa podczas podróży)
- Preferowane typy miejsc (np. muzea, restauracje, parki)
- Preferowane kategorie wydarzeń i podmioty eventowe (np. drużyny sportowe, artyści)
- Odwiedzone, ignorowane i ocenione miejsca
C. Dane planowania podróży
- Szczegóły podróży: tytuł, opis, daty, widoczność (publiczna/prywatna)
- Plan podróży: miejsca, wydarzenia, punkty własne, transport, zakwaterowanie
- Dane finansowe: wydatki, podziały kosztów, informacje o płatnikach (ręczne wpisy – bez przetwarzania płatności)
- Dane kolaboracyjne: komentarze, głosowania, propozycje, logi aktywności
- Przesłane pliki: zdjęcia, dokumenty (potwierdzenia rezerwacji, kopie wiz, ubezpieczenia, bilety)
- Członkowie podróży: nazwy użytkowników, e-maile, przypisane role (właściciel/edytor/widz), wirtualni członkowie
D. Treści generowane przez użytkowników
- Recenzje i oceny miejsc (treść, ocena, data)
- Komentarze do miejsc i wydarzeń
- Zdjęcia przesłane do podróży
- Miejsca zgłoszone przez formularz (nazwa, adres, opis, współrzędne, zdjęcia)
E. Dane lokalizacyjne
- Współrzędne geograficzne (szerokość, długość) – udostępniane za zgodą użytkownika przez API geolokalizacji przeglądarki
- Adresy wpisane ręcznie lub wybrane przez wyszukiwanie geokodowania (Mapbox, Photon)
- Przybliżona lokalizacja na podstawie adresu IP (przez ipapi.co, ip-api.com, get.geojs.io) – stosowana jako rozwiązanie zapasowe
F. Dane techniczne i analityczne
- Adres IP
- Typ i wersja przeglądarki, system operacyjny
- Dane z plików cookies i identyfikatory sesji
- Dane zbierane przez Google Analytics 4 (odsłony stron, czas sesji, źródło ruchu, typ urządzenia)
- Dane z Google reCAPTCHA v3 (analiza behawioralna do wykrywania botów)
§ 3. CELE I PODSTAWY PRAWNE PRZETWARZANIA
Dane osobowe przetwarzamy w następujących celach, na odpowiednich podstawach prawnych:
A. Wykonanie umowy / Świadczenie usługi
Podstawa prawna: art. 6 ust. 1 lit. b RODO – wykonanie umowy
- Tworzenie i zarządzanie kontem użytkownika, uwierzytelnianie i autoryzacja
- Umożliwienie korzystania z funkcji Serwisu: planowanie podróży, wyszukiwanie miejsc/wydarzeń, przewodniki krajowe
- Personalizacja treści i rekomendacji na podstawie preferencji użytkownika
- Funkcje wspólnego planowania podróży (zaproszenia, członkowie, współdzielone treści)
- Ręczne śledzenie wydatków i podział kosztów w podróżach
- Obsługa zapytań z formularza kontaktowego i wsparcie użytkowników
B. Prawnie uzasadniony interes Administratora
Podstawa prawna: art. 6 ust. 1 lit. f RODO – uzasadniony interes
- Analiza statystyczna ruchu i zachowań użytkowników (przez Google Analytics 4)
- Zapewnienie bezpieczeństwa Serwisu i ochrona przed nadużyciami (reCAPTCHA)
- Rozwój i doskonalenie funkcjonalności Serwisu
- Moderacja treści generowanych przez użytkowników (recenzje, komentarze, zdjęcia)
- Monitorowanie dostępności Serwisu i diagnostyka błędów
C. Zgoda użytkownika
Podstawa prawna: art. 6 ust. 1 lit. a RODO – zgoda
- Przetwarzanie precyzyjnych danych lokalizacyjnych (API geolokalizacji)
- Ustawianie analitycznych i opcjonalnych plików cookies
- Zaawansowane profilowanie i personalizacja rekomendacji
D. Obowiązek prawny
Podstawa prawna: art. 6 ust. 1 lit. c RODO – obowiązek prawny
- Wypełnianie obowiązków wynikających z obowiązujących przepisów prawa, w tym przepisów podatkowych i rachunkowych
- Odpowiadanie na żądania uprawnionych organów państwowych
§ 4. OKRESY PRZECHOWYWANIA DANYCH
Dane osobowe przechowujemy jedynie przez okres niezbędny do realizacji celu, dla którego zostały zebrane:
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta (login, e-mail, hasło) | Do momentu usunięcia konta przez użytkownika |
| Preferencje profilu | Do momentu zmiany/usunięcia przez użytkownika lub usunięcia konta |
| Dane podróży (plany, wydatki, zdjęcia, dokumenty) | Do usunięcia podróży lub konta; publiczne podróże mogą być przechowywane do 30 dni po usunięciu konta |
| Treści użytkownika (recenzje, komentarze) | Mogą być zachowane w formie zanonimizowanej po usunięciu konta w celach jakości Serwisu |
| Dane analityczne i techniczne (Google Analytics) | Maksymalnie 14 miesięcy (domyślna retencja GA4) |
| Pliki cookies sesyjne | Do końca sesji przeglądarki lub maks. 24 godziny |
| Dane reCAPTCHA | Przetwarzane w czasie rzeczywistym; nie przechowywane przez Serwis |
| Tokeny aktywacji konta | 1 godzina od wygenerowania; oznaczane jako użyte po wykorzystaniu |
| Tokeny resetowania hasła | 30 minut od wygenerowania; oznaczane jako użyte po wykorzystaniu |
| Logi serwera | Maksymalnie 90 dni |
Po upływie okresu przechowywania dane są nieodwracalnie usuwane lub anonimizowane. W przypadku usunięcia konta usuwamy dane w ciągu 30 dni, z wyjątkiem danych, które jesteśmy zobowiązani przechowywać na mocy prawa.
§ 5. UDOSTĘPNIANIE DANYCH OSOBOWYCH
Dane osobowe możemy udostępniać następującym kategoriom odbiorców w zakresie niezbędnym do świadczenia usługi:
| Odbiorca | Cel | Lokalizacja danych |
|---|---|---|
| Dostawca hostingu (UE) | Hosting serwerów, przechowywanie danych, dostępność aplikacji | Unia Europejska |
| Google LLC (Google Analytics 4) | Analiza statystyczna ruchu i zachowań użytkowników | USA – EU-US Data Privacy Framework |
| Google LLC (reCAPTCHA v3) | Ochrona przed spamem i botami podczas rejestracji | USA – EU-US Data Privacy Framework |
| Google LLC (Google Fonts) | Renderowanie czcionek w aplikacji i szablonach e-mail | USA – EU-US Data Privacy Framework |
| Mapbox Inc. | Geokodowanie adresów (konwersja adresów na współrzędne) | USA – Standardowe Klauzule Umowne (SCC) |
| Komoot (Photon) | Bezpłatne geokodowanie i geokodowanie odwrotne | Niemcy (UE) |
| Dostawca poczty SMTP (PrivateEmail) | Wysyłanie e-maili transakcyjnych (aktywacja, reset hasła) | Unia Europejska |
| Dostawcy geolokalizacji IP (ipapi.co, ip-api.com, get.geojs.io) | Przybliżone określanie lokalizacji jako rozwiązanie zapasowe | Różne – dane ograniczone do adresu IP |
| OpenStreetMap Foundation | Renderowanie kafelków mapy | Unia Europejska / Wielka Brytania |
| Organy państwowe | Na podstawie obowiązujących przepisów prawa | Polska / UE |
Nie sprzedajemy danych osobowych podmiotom trzecim. Nie udostępniamy danych osobowych w celach marketingowych podmiotów trzecich bez wyraźnej zgody użytkownika.
Dane podróży udostępniane w ramach wspólnych podróży są widoczne dla innych członków podróży w zakresie określonym przez właściciela podróży.
§ 6. MIĘDZYNARODOWE TRANSFERY DANYCH
Nasze główne serwery znajdują się na terytorium Unii Europejskiej. Jednakże niektórzy nasi podwykonawcy (Google, Mapbox) przetwarzają dane w Stanach Zjednoczonych.
Transfery danych osobowych do USA odbywają się na podstawie: EU-US Data Privacy Framework (w przypadku Google LLC), Standardowych Klauzul Umownych (SCC) przyjętych przez Komisję Europejską (w przypadku pozostałych podmiotów) lub wyraźnej zgody użytkownika.
Zapewniamy, że wszystkie międzynarodowe transfery danych osobowych są zgodne z wymogami Rozdziału V RODO i zapewniają odpowiedni poziom ochrony.
§ 7. PLIKI COOKIES I TECHNOLOGIE ŚLEDZĄCE
Serwis wykorzystuje pliki cookies i podobne technologie śledzące. Poniżej znajduje się szczegółowe zestawienie:
| Cookie / Technologia | Typ | Cel | Czas trwania |
|---|---|---|---|
| Cookie sesyjne (connect.sid) | Niezbędne | Utrzymanie sesji po stronie serwera | 24 godziny |
| authToken (localStorage) | Niezbędne | Przechowywanie tokenu JWT do uwierzytelniania użytkownika | Do wylogowania lub wygaśnięcia tokenu |
| Preferencja języka | Funkcjonalne | Zapamiętywanie języka interfejsu (PL/EN) | 1 rok |
| Ostatnie wyszukiwania (localStorage) | Funkcjonalne | Przechowywanie ostatnich zapytań wyszukiwania miejsc i wydarzeń | Do ręcznego wyczyszczenia |
| Lokalne dane podróży (localStorage) | Funkcjonalne | Przechowywanie danych podróży niezalogowanych użytkowników lokalnie | Do ręcznego wyczyszczenia |
| Google Analytics (_ga, _ga_*) | Analityczne | Analiza statystyczna, śledzenie zachowań użytkowników, generowanie anonimowych raportów ruchu | _ga: 2 lata, _ga_*: 2 lata |
| Google reCAPTCHA | Bezpieczeństwo | Analiza zachowania użytkownika w celu wykrywania botów podczas rejestracji | Sesja / do 6 miesięcy |
Możesz zarządzać plikami cookies za pomocą ustawień przeglądarki. Większość przeglądarek umożliwia: blokowanie wszystkich cookies, akceptowanie tylko cookies pierwszej strony lub usuwanie cookies po zamknięciu przeglądarki.
Wyłączenie niezbędnych cookies może uniemożliwić prawidłowe działanie Serwisu (np. niemożność zalogowania się). Wyłączenie analitycznych cookies nie wpłynie na funkcjonalność, ale uniemożliwi nam doskonalenie Serwisu na podstawie danych o użytkowaniu. Możesz również zrezygnować ze śledzenia Google Analytics, instalując dodatek Google Analytics Opt-out Browser Add-on dostępny pod adresem: https://tools.google.com/dlpage/gaoptout.
§ 8. PRAWA UŻYTKOWNIKÓW (RODO)
Na mocy RODO każdy użytkownik, którego dane osobowe przetwarzamy, ma następujące prawa:
- Prawo dostępu – Możesz zażądać kopii wszystkich danych osobowych, które przechowujemy na Twój temat (art. 15 RODO).
- Prawo do sprostowania – Możesz zażądać poprawienia nieprawidłowych lub niekompletnych danych (art. 16 RODO).
- Prawo do usunięcia – Możesz zażądać usunięcia swoich danych ("prawo do bycia zapomnianym"), np. gdy dane nie są już niezbędne do celów przetwarzania (art. 17 RODO).
- Prawo do ograniczenia przetwarzania – Możesz zażądać ograniczenia przetwarzania w określonych okolicznościach, np. gdy kwestionujesz prawidłowość danych (art. 18 RODO).
- Prawo do przenoszenia danych – Możesz zażądać otrzymania swoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego i przesłania ich do innego administratora (art. 20 RODO).
- Prawo do sprzeciwu – Możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie, w tym profilowaniu (art. 21 RODO).
- Prawo do wycofania zgody – Gdy przetwarzanie odbywa się na podstawie zgody, możesz ją wycofać w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem (art. 7 ust. 3 RODO).
- Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji – Masz prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22 RODO).
Aby skorzystać z powyższych praw, skontaktuj się z nami pod adresem: support@triperino.com. W swoim wniosku określ, z którego prawa chcesz skorzystać, oraz podaj informacje umożliwiające weryfikację Twojej tożsamości.
Na Twój wniosek odpowiemy w ciągu 30 dni od daty jego otrzymania. W przypadkach skomplikowanych lub licznych termin ten może zostać przedłużony o kolejne 60 dni, o czym Cię poinformujemy.
Masz również prawo złożyć skargę do organu nadzorczego – w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, strona: https://uodo.gov.pl.
§ 9. DODATKOWE PRAWA DLA UŻYTKOWNIKÓW SPOZA UE
Kalifornia, USA (CCPA/CPRA)
Jeśli jesteś mieszkańcem Kalifornii, przysługują Ci następujące dodatkowe prawa na mocy California Consumer Privacy Act i California Privacy Rights Act:
- Prawo do informacji o tym, jakie dane osobowe są zbierane, wykorzystywane, udostępniane lub sprzedawane
- Prawo do usunięcia danych osobowych przechowywanych przez nas i naszych dostawców usług
- Prawo do rezygnacji ze sprzedaży danych osobowych – nie sprzedajemy Twoich danych osobowych
- Prawo do niedyskryminacji za korzystanie z praw CCPA/CPRA
- Prawo do poprawienia niedokładnych danych osobowych
- Prawo do ograniczenia wykorzystywania i ujawniania wrażliwych danych osobowych
Brazylia (LGPD)
Jeśli jesteś mieszkańcem Brazylii, przysługują Ci następujące prawa na mocy Lei Geral de Proteção de Dados:
- Potwierdzenie istnienia przetwarzania Twoich danych
- Dostęp do Twoich danych
- Poprawienie niekompletnych, niedokładnych lub nieaktualnych danych
- Anonimizacja, zablokowanie lub usunięcie zbędnych lub nadmiernych danych
- Przenoszenie danych do innego dostawcy usług lub produktów
- Usunięcie danych osobowych przetwarzanych na podstawie zgody
- Informacja o podmiotach publicznych i prywatnych, którym udostępniono dane
- Prawo do cofnięcia zgody
Kanada (PIPEDA)
Jeśli jesteś mieszkańcem Kanady, przysługują Ci następujące prawa na mocy Personal Information Protection and Electronic Documents Act:
- Prawo dostępu do Twoich danych osobowych przechowywanych przez nas
- Prawo do zakwestionowania dokładności i kompletności danych oraz ich poprawienia
- Prawo do wycofania zgody (z zastrzeżeniem ograniczeń prawnych lub umownych)
- Prawo do złożenia skargi do Komisarza ds. Prywatności Kanady
Republika Południowej Afryki (POPIA)
Jeśli jesteś mieszkańcem Republiki Południowej Afryki, przysługują Ci następujące prawa na mocy Protection of Personal Information Act:
- Prawo do powiadomienia o zbieraniu danych osobowych
- Prawo dostępu do Twoich danych osobowych
- Prawo do żądania poprawienia lub usunięcia danych osobowych
- Prawo do sprzeciwu wobec przetwarzania danych osobowych
- Prawo do złożenia skargi do Regulatora Informacji
- Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji
§ 10. BEZPIECZEŃSTWO DANYCH
Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieautoryzowanym dostępem, utratą, zniszczeniem lub ujawnieniem. Środki te obejmują:
- Szyfrowanie haseł algorytmem bcrypt (jednokierunkowe hashowanie)
- Szyfrowanie SSL/TLS dla wszystkich transmisji danych (HTTPS)
- Uwierzytelnianie oparte na JWT z bezpiecznym zarządzaniem tokenami
- Tokeny jednorazowe z ograniczonym czasem ważności do aktywacji konta (1 godzina) i resetowania hasła (30 minut)
- Polityka CORS ograniczająca dostęp do API wyłącznie do autoryzowanych domen
- express-session z bezpiecznym zarządzaniem sesjami i podpisywaniem plików cookies
- Google reCAPTCHA v3 do ochrony przed zautomatyzowanymi atakami podczas rejestracji
- Kontrola dostępu oparta na rolach (RBAC) z systemem uprawnień
- Regularne audyty bezpieczeństwa i aktualizacje oprogramowania
Pomimo naszych najlepszych starań, żadna metoda transmisji przez Internet ani metoda elektronicznego przechowywania nie jest w 100% bezpieczna. W przypadku naruszenia danych stanowiącego zagrożenie dla praw i wolności użytkowników, powiadomimy organ nadzorczy (UODO) w ciągu 72 godzin i poinformujemy poszkodowanych użytkowników bez zbędnej zwłoki.
§ 11. PRYWATNOŚĆ DZIECI
Serwis nie jest przeznaczony dla osób poniżej 16. roku życia. Nie zbieramy świadomie danych osobowych od dzieci poniżej 16 lat. Jeśli dowiemy się, że zebraliśmy dane osobowe od dziecka poniżej 16 lat, podejmiemy kroki w celu ich niezwłocznego usunięcia.
Jeśli jesteś rodzicem lub opiekunem i uważasz, że Twoje dziecko przekazało nam dane osobowe, prosimy o kontakt pod adresem: support@triperino.com.
§ 12. INSPEKTOR OCHRONY DANYCH / KONTAKT
We wszelkich sprawach dotyczących ochrony danych osobowych można skontaktować się z Administratorem Danych, który pełni jednocześnie funkcję Inspektora Ochrony Danych:
Administrator Danych / Inspektor Ochrony Danych
Maksymilian Blok
Maksymilian Blok Codemaxi
ul. Akacjowa 21, Grabowo Kościerskie, 83-403 Grabowo Kościerskie, Polska
NIP: 5911713026
E-mail: support@triperino.com
§ 13. POSTANOWIENIA KOŃCOWE
Niniejsza Polityka Prywatności może być aktualizowana. O istotnych zmianach poinformujemy użytkowników co najmniej 14 dni przed ich wejściem w życie, zamieszczając informację w Serwisie oraz, w miarę możliwości, wysyłając powiadomienie na adres e-mail powiązany z kontem.
Dalsze korzystanie z Serwisu po dacie wejścia w życie zmian oznacza akceptację zaktualizowanej Polityki. Jeśli nie zgadzasz się ze zmianami, powinieneś zaprzestać korzystania z Serwisu i usunąć swoje konto.
Niniejsza Polityka wchodzi w życie dnia 15 kwietnia 2026 r.