Polityka Prywatności i Plików Cookies serwisu NGO Tickets
Data ostatniej aktualizacji: 20 maja 2026 r.
Serwis: https://ngotickets.eu
1. Cel i zakres dokumentu
Niniejsza Polityka Prywatności i Plików Cookies opisuje zasady przetwarzania danych osobowych oraz wykorzystywania plików cookies, localStorage, logów technicznych i podobnych technologii w serwisie NGO Tickets, dostępnym pod adresem https://ngotickets.eu oraz w wersji z przedrostkiem www.
Dokument został przygotowany z uwzględnieniem ogólnego rozporządzenia o ochronie danych, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. RODO reguluje ochronę osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodny przepływ takich danych.1 Polityka uwzględnia również ustawę o świadczeniu usług drogą elektroniczną oraz przepisy Prawa komunikacji elektronicznej dotyczące m.in. wykorzystywania informacji przechowywanych w urządzeniach końcowych użytkowników.2 3
2. Administrator danych osobowych i Inspektor Ochrony Danych
Administratorem danych osobowych przetwarzanych w ramach Serwisu jest BF Consulting Sp. z o.o. z siedzibą w Poznaniu. Administrator decyduje o celach i sposobach przetwarzania danych osobowych w zakresie opisanym w niniejszej Polityce.
| Element | Dane administratora |
|---|---|
| Administrator | BF Consulting Sp. z o.o. |
| Siedziba | Poznań |
| Adres | ul. Naramowicka 217B/17, 61-611 Poznań |
| NIP | 9721291073 |
| KRS | 0000735274 |
| REGON | 380439508 |
| Kontakt ogólny | kontakt@bfconsulting.pl |
| Kontakt w sprawach danych osobowych | kontakt@bfconsulting.pl |
| Inspektor Ochrony Danych | Bartosz Frączek |
BF Consulting Sp. z o.o. posiada wdrożoną politykę ochrony danych osobowych. We wszystkich sprawach dotyczących danych osobowych, w tym realizacji praw wynikających z RODO, można kontaktować się z Administratorem lub Inspektorem Ochrony Danych pod adresem kontakt@bfconsulting.pl.
3. Najważniejsze założenia prywatności Serwisu
NGO Tickets został zaprojektowany zgodnie z zasadą minimalizacji danych. Oznacza to, że Serwis powinien przetwarzać tylko takie dane, które są niezbędne do utworzenia i obsługi konta organizacji pozarządowej, zapewnienia bezpieczeństwa Serwisu, obsługi wydarzeń oraz prowadzenia podstawowych statystyk skanowania kodów QR.
Szczególnie istotne jest to, że w fazie MVP Serwis nie wymaga od uczestników wydarzeń podawania imienia, nazwiska, adresu e-mail ani numeru telefonu w celu pobrania pamiątkowego Biletu Keepsake. Pobieranie pamiątkowego PDF odbywa się anonimowo z perspektywy aplikacji, z zastrzeżeniem technicznych logów infrastruktury, które mogą obejmować adres IP lub informacje o urządzeniu.
| Profil osoby | Zakres danych | Cel przetwarzania |
|---|---|---|
| Administrator NGO | E-mail, hasło w formie zabezpieczonej, NIP organizacji, nazwa organizacji, opcjonalnie telefon oraz imię i nazwisko osoby reprezentującej. | Utworzenie i obsługa konta, weryfikacja organizacji, świadczenie usługi SaaS, kontakt techniczny i bezpieczeństwo. |
| Organizacja NGO | Nazwa, NIP, treści wydarzeń, logo, grafiki, opisy, lokalizacja i data wydarzenia. | Obsługa wydarzeń, generowanie kodów QR i Biletów Keepsake, prezentacja informacji uczestnikom. |
| Uczestnik wydarzenia | Co do zasady brak danych identyfikacyjnych; automatycznie mogą być przetwarzane User-Agent, timestamp, event_id oraz logi techniczne infrastruktury. | Pobranie Biletu Keepsake, statystyki skanowania, bezpieczeństwo i zapobieganie nadużyciom. |
| Odwiedzający Serwis | Dane techniczne przeglądarki, cookies techniczne, localStorage, adres IP w logach serwerowych. | Wyświetlenie Serwisu, utrzymanie sesji, bezpieczeństwo, diagnostyka i prawidłowe działanie aplikacji. |
4. Kategorie przetwarzanych danych
W ramach konta Administratora NGO Serwis przetwarza dane podawane podczas rejestracji oraz korzystania z panelu. Obejmują one adres e-mail, hasło przechowywane w postaci zabezpieczonej przez dostawcę autoryzacji, NIP organizacji, pełną nazwę organizacji oraz dane opcjonalne, takie jak numer telefonu kontaktowego, imię i nazwisko osoby reprezentującej lub inne informacje podane dobrowolnie w panelu.
W ramach obsługi wydarzeń Serwis przetwarza metadane wydarzeń, w tym nazwę wydarzenia, opis, datę, lokalizację, identyfikator wydarzenia, powiązany kod QR, logo organizacji i inne materiały graficzne. Dane te mogą niekiedy zawierać dane osobowe, jeżeli Użytkownik samodzielnie wprowadzi w opisie wydarzenia informacje dotyczące konkretnych osób. W takim przypadku Użytkownik odpowiada za legalność ich umieszczenia w Serwisie.
W przypadku Uczestników wydarzeń Serwis na etapie MVP nie zbiera danych identyfikacyjnych potrzebnych do pobrania pamiątkowego PDF. Serwis może jednak przetwarzać dane techniczne, takie jak identyfikator przeglądarki User-Agent, znacznik czasu skanowania, identyfikator wydarzenia event_id oraz zagregowane statystyki liczby skanowań. Adres IP może być przetwarzany na poziomie logów infrastruktury przez dostawców hostingu, baz danych i usług bezpieczeństwa.
5. Cele, podstawy prawne i okresy przechowywania
Administrator przetwarza dane osobowe wyłącznie wtedy, gdy istnieje odpowiednia podstawa prawna. W praktyce działania Serwisu najważniejsze są: art. 6 ust. 1 lit. b RODO, czyli przetwarzanie niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem, art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes Administratora, oraz w wybranych sytuacjach art. 6 ust. 1 lit. c RODO, czyli obowiązek prawny.1
| Cel przetwarzania | Kategorie danych | Podstawa prawna | Okres przechowywania |
|---|---|---|---|
| Rejestracja i prowadzenie konta Administratora NGO | E-mail, hasło w formie hash, NIP, nazwa organizacji, dane opcjonalne. | Art. 6 ust. 1 lit. b RODO — wykonanie umowy o świadczenie usług elektronicznych. | Przez okres posiadania konta, a po jego usunięciu tylko w zakresie wymaganym przez prawo lub zabezpieczenie roszczeń. |
| Weryfikacja organizacji i przeciwdziałanie nadużyciom | NIP, nazwa organizacji, dane konta, publiczne dane rejestrowe. | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes polegający na ochronie Serwisu i weryfikacji uprawnionego korzystania. | Przez okres prowadzenia konta lub do zakończenia postępowania wyjaśniającego. |
| Obsługa wydarzeń i generowanie kodów QR | Treści wydarzeń, grafiki, lokalizacja, data, event_id. | Art. 6 ust. 1 lit. b RODO — świadczenie usługi Serwisu; w zakresie bezpieczeństwa także art. 6 ust. 1 lit. f RODO. | Przez okres posiadania konta lub do usunięcia wydarzenia. |
| Pobieranie Biletów Keepsake przez uczestników | User-Agent, timestamp, event_id, statystyki skanowań; brak danych identyfikacyjnych uczestnika w MVP. | Art. 6 ust. 1 lit. f RODO — statystyki działania wydarzeń, bezpieczeństwo i prawidłowe działanie usługi. | Przez okres utrzymywania wydarzenia i statystyk, nie dłużej niż do usunięcia konta organizacji, z zastrzeżeniem backupów. |
| Utrzymanie sesji i bezpieczeństwo konta | Tokeny sesyjne, cookies techniczne, logi systemowe, adres IP w logach infrastruktury. | Art. 6 ust. 1 lit. b RODO oraz art. 6 ust. 1 lit. f RODO. | Zgodnie z czasem życia sesji, okresami retencji logów oraz cyklami dostawców infrastruktury. |
| Kontakt operacyjny i rozwojowy dotyczący Serwisu | Adres e-mail konta, nazwa organizacji, dane korespondencji, informacje o korzystaniu z funkcji. | Art. 6 ust. 1 lit. b RODO — komunikaty związane z usługą; art. 6 ust. 1 lit. f RODO — uzasadniony interes polegający na rozwoju, utrzymaniu i ulepszaniu Serwisu. | Przez okres posiadania konta oraz okres niezbędny do obsługi korespondencji lub ochrony roszczeń. |
| Badania satysfakcji, ocena funkcjonalności i informowanie o nowych funkcjach Serwisu | Adres e-mail konta, odpowiedzi w ankietach, opinie, informacje o używanych funkcjach. | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes polegający na badaniu jakości usługi i rozwoju Serwisu. | Przez okres posiadania konta, a wyniki zagregowane lub zanonimizowane mogą być przechowywane dłużej. |
| Obsługa reklamacji i kontaktu | Dane kontaktowe, treść korespondencji, identyfikator konta lub wydarzenia. | Art. 6 ust. 1 lit. f RODO — obsługa zgłoszeń i obrona przed roszczeniami; art. 6 ust. 1 lit. b RODO, jeżeli zgłoszenie dotyczy umowy. | Przez czas obsługi sprawy oraz okres przedawnienia potencjalnych roszczeń. |
| Wykonanie obowiązków prawnych | Dane wymagane przez przepisy prawa, np. dokumentacja księgowa po wdrożeniu płatności. | Art. 6 ust. 1 lit. c RODO. | Przez okres wymagany właściwymi przepisami prawa. |
Komunikacja dotycząca badania satysfakcji, oceny poziomu funkcjonalności oraz informowania o nowych funkcjach dotyczy działania i rozwoju Serwisu NGO Tickets. Nie obejmuje ona kontaktu dotyczącego odrębnych usług BF Consulting Sp. z o.o.
6. Retencja i usuwanie danych
Dane konta są przechowywane przez okres aktywnego posiadania konta w Serwisie. Po usunięciu konta dane z produkcyjnej bazy danych powinny zostać trwale usunięte zgodnie z mechanizmem kaskadowego usuwania danych, obejmującym konto, organizację, wydarzenia, statystyki skanowań oraz pliki graficzne zapisane w magazynie danych.
Usunięcie danych z produkcyjnej bazy danych nie zawsze oznacza natychmiastowe usunięcie każdej kopii technicznej. Kopie zapasowe tworzone przez dostawców infrastruktury mogą być przechowywane i nadpisywane zgodnie z ich cyklami backupów. Administrator nie wykorzystuje kopii zapasowych do bieżącego świadczenia usługi ani do odtwarzania usuniętych kont, chyba że jest to niezbędne z przyczyn bezpieczeństwa, ciągłości działania lub obowiązków prawnych.
| Rodzaj danych | Zasada retencji |
|---|---|
| Dane konta Administratora NGO | Do czasu usunięcia konta, a następnie tylko w zakresie uzasadnionym prawem lub roszczeniami. |
| Dane wydarzeń | Do czasu usunięcia wydarzenia lub konta organizacji. |
| Pliki graficzne | Do czasu usunięcia wydarzenia, pliku lub konta organizacji. |
| Statystyki skanowań | Do czasu usunięcia wydarzenia lub konta organizacji, chyba że dane zostaną zagregowane i pozbawione możliwości powiązania z kontem. |
| Dane z ankiet satysfakcji i opinii o funkcjach | Przez okres niezbędny do analizy jakości Serwisu; wyniki zagregowane lub anonimowe mogą być przechowywane dłużej. |
| Logi bezpieczeństwa | Przez okres uzasadniony bezpieczeństwem i diagnostyką, zgodnie z praktyką dostawców infrastruktury. |
| Backupy | Do czasu automatycznego nadpisania zgodnie z cyklami technicznymi dostawców. |
7. Odbiorcy danych i podmioty przetwarzające
Administrator korzysta z zewnętrznych dostawców usług technologicznych, którzy mogą przetwarzać dane w imieniu Administratora jako podmioty przetwarzające w rozumieniu art. 28 RODO. RODO wymaga, aby powierzenie przetwarzania odbywało się na podstawie odpowiednich uzgodnień lub umowy i aby podmiot przetwarzający zapewniał wystarczające gwarancje wdrożenia właściwych środków technicznych i organizacyjnych.1
| Dostawca / kategoria | Zakres roli | Przykładowe dane |
|---|---|---|
| Netlify | Hosting aplikacji, obsługa ruchu sieciowego, logi techniczne i bezpieczeństwo. | Adres IP w logach, dane żądań HTTP, dane techniczne przeglądarki. |
| Supabase | Baza danych, autentykacja, storage, sesje użytkowników. | Dane konta, dane organizacji, wydarzenia, pliki, tokeny sesyjne. |
| Firebase | Backend, autentykacja, usługi pomocnicze lub logi, jeżeli wykorzystywane w danej wersji Serwisu. | Dane techniczne, sesyjne lub aplikacyjne zależnie od konfiguracji. |
| Dostawcy poczty elektronicznej | Obsługa wiadomości rejestracyjnych, aktywacyjnych, systemowych i kontaktowych. | Adres e-mail, treść komunikacji, metadane wiadomości. |
| Podmioty prawne lub księgowe | Obsługa prawna, reklamacyjna, podatkowa lub compliance, jeżeli będzie konieczna. | Dane zgłoszeń, dane rozliczeniowe po wdrożeniu płatności. |
Administrator zakłada, że podstawowa infrastruktura Serwisu będzie konfigurowana w regionach Europejskiego Obszaru Gospodarczego, w szczególności w regionach Unii Europejskiej, takich jak Frankfurt lub Irlandia. Jeżeli w przyszłości dojdzie do transferu danych poza EOG, Administrator zastosuje odpowiednie mechanizmy zgodności, w tym standardowe klauzule umowne, decyzję stwierdzającą odpowiedni stopień ochrony lub inne instrumenty przewidziane przez RODO.
8. Cookies, localStorage i podobne technologie
Serwis korzysta z plików cookies, localStorage i podobnych technologii w zakresie koniecznym do prawidłowego działania aplikacji, utrzymania sesji, zapewnienia bezpieczeństwa, zapamiętania ustawień użytkownika oraz obsługi funkcji technicznych. Prawo komunikacji elektronicznej reguluje m.in. zasady przechowywania informacji lub uzyskiwania dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym użytkownika.3
W obecnym modelu MVP Serwis zakłada wykorzystywanie przede wszystkim technologii niezbędnych technicznie. Jeżeli zostaną wdrożone dodatkowe cookies analityczne, reklamowe lub narzędzia śledzące podmiotów trzecich, Polityka zostanie zaktualizowana, a Serwis powinien wdrożyć odpowiedni mechanizm zarządzania zgodami.
| Technologia | Przykładowe zastosowanie | Charakter |
|---|---|---|
| Cookies techniczne | Utrzymanie sesji, bezpieczeństwo, obsługa żądań aplikacji. | Niezbędne do działania Serwisu. |
| Tokeny sesyjne Supabase | Logowanie, autoryzacja, utrzymanie aktywnej sesji Administratora NGO. | Niezbędne do korzystania z konta. |
| LocalStorage | Zapamiętywanie ustawienia motywu Dark/Light przez moduł ThemeToggle. | Funkcjonalne, zwykle nieidentyfikujące samodzielnie użytkownika. |
| Logi serwerowe | Diagnostyka, ochrona przed nadużyciami, analiza awarii i bezpieczeństwo. | Techniczne i bezpieczeństwa. |
| Cookies analityczne lub dodatkowe | Brak zakładanego użycia w MVP. | Wymaga odrębnej oceny i, co do zasady, zgody użytkownika. |
Użytkownik może ograniczyć obsługę cookies w ustawieniach przeglądarki. Ograniczenie technologii niezbędnych może jednak spowodować, że część funkcji Serwisu, w szczególności logowanie, sesja użytkownika, panel administracyjny lub generowanie PDF, nie będzie działać prawidłowo.
9. Dane uczestników wydarzeń i statystyki skanowań
Serwis został zaprojektowany tak, aby uczestnik wydarzenia mógł pobrać pamiątkowy Bilet Keepsake bez konieczności podawania danych identyfikacyjnych. Administrator nie wymaga od uczestnika podania imienia, nazwiska, adresu e-mail ani numeru telefonu w celu wygenerowania PDF.
Podczas skanowania kodu QR Serwis może zapisać dane techniczne, takie jak identyfikator wydarzenia, znacznik czasu oraz User-Agent przeglądarki. Dane te służą przede wszystkim do zliczenia skanowań, prowadzenia statystyk dla organizatora oraz zapewnienia prawidłowego działania i bezpieczeństwa Serwisu. Dane techniczne nie są wykorzystywane do tworzenia profili uczestników wydarzeń.
| Dane skanowania | Czy identyfikują uczestnika? | Cel |
|---|---|---|
event_id | Nie identyfikuje samodzielnie osoby fizycznej. | Powiązanie skanowania z wydarzeniem. |
| Timestamp | Nie identyfikuje samodzielnie osoby fizycznej. | Statystyka i diagnostyka. |
| User-Agent | Może być daną techniczną urządzenia; zwykle nie identyfikuje samodzielnie osoby. | Bezpieczeństwo, diagnostyka, agregacja statystyczna. |
| Adres IP w logach infrastruktury | Może stanowić daną osobową w zależności od kontekstu. | Bezpieczeństwo, logi serwerowe, ochrona przed atakami. |
10. Prawa osób, których dane dotyczą
Osobie, której dane dotyczą, przysługują prawa określone w RODO, o ile spełnione są warunki ich realizacji. Prawa te obejmują prawo dostępu do danych, prawo sprostowania danych, prawo usunięcia danych, prawo ograniczenia przetwarzania, prawo przenoszenia danych, prawo sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie oraz prawo wniesienia skargi do organu nadzorczego.1
| Prawo | Znaczenie praktyczne |
|---|---|
| Dostęp do danych | Możesz uzyskać informację, czy Administrator przetwarza Twoje dane, oraz otrzymać kopię danych. |
| Sprostowanie | Możesz żądać poprawienia danych nieprawidłowych lub uzupełnienia danych niekompletnych. |
| Usunięcie | Możesz żądać usunięcia danych, jeżeli zachodzą przesłanki z art. 17 RODO. |
| Ograniczenie | Możesz żądać czasowego ograniczenia przetwarzania w przypadkach przewidzianych przez RODO. |
| Przenoszenie | Możesz otrzymać dane w ustrukturyzowanym formacie, jeżeli przetwarzanie odbywa się na podstawie umowy lub zgody i w sposób zautomatyzowany. |
| Sprzeciw | Możesz sprzeciwić się przetwarzaniu opartemu na prawnie uzasadnionym interesie Administratora. |
| Skarga | Możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. |
Żądania dotyczące praw można kierować na adres kontakt@bfconsulting.pl. Administrator może poprosić o dodatkowe informacje niezbędne do potwierdzenia tożsamości osoby składającej żądanie, jeżeli jest to konieczne dla ochrony danych przed ujawnieniem osobie nieuprawnionej.
11. Prawo do wniesienia skargi do organu nadzorczego
Jeżeli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, możesz wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych. Dane kontaktowe organu nadzorczego są dostępne na stronie https://uodo.gov.pl.
Wniesienie skargi do organu nadzorczego nie wyłącza możliwości wcześniejszego kontaktu z Administratorem lub Inspektorem Ochrony Danych. Administrator zachęca do zgłoszenia sprawy bezpośrednio na adres kontakt@bfconsulting.pl, aby umożliwić szybkie wyjaśnienie problemu.
12. Zautomatyzowane podejmowanie decyzji i profilowanie
Administrator nie podejmuje wobec Użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych, które wywoływałyby wobec nich skutki prawne lub w podobny sposób istotnie na nich wpływały. Serwis nie prowadzi profilowania uczestników wydarzeń na podstawie skanowania kodów QR.
Serwis może wykorzystywać automatyczne mechanizmy bezpieczeństwa, takie jak limity zapytań, blokady techniczne, wykrywanie nietypowej aktywności lub logi diagnostyczne. Mechanizmy te służą ochronie Serwisu, danych Użytkowników i infrastruktury.
13. Bezpieczeństwo danych
Administrator stosuje środki techniczne i organizacyjne mające chronić dane przed nieuprawnionym dostępem, utratą, zniszczeniem, zmianą lub ujawnieniem. Środki te obejmują w szczególności szyfrowaną transmisję HTTPS, kontrolę dostępu, uwierzytelnianie użytkowników, przechowywanie haseł w postaci zabezpieczonej przez dostawcę autoryzacji, ograniczenia dostępu administracyjnego, logi bezpieczeństwa oraz korzystanie z profesjonalnych dostawców infrastruktury.
Bezpieczeństwo zależy również od Użytkownika. Administrator NGO powinien stosować silne hasło, nie udostępniać danych logowania osobom nieuprawnionym, korzystać z aktualnej przeglądarki i nie wprowadzać do Serwisu danych osobowych osób trzecich bez podstawy prawnej.
14. Dane dzieci i osób małoletnich
Serwis jest przeznaczony dla organizacji pozarządowych oraz osób działających w ich imieniu. Konto Administratora NGO powinno być zakładane przez osobę pełnoletnią lub osobę posiadającą pełne umocowanie do działania w imieniu organizacji. Serwis nie jest kierowany do dzieci jako samodzielnych użytkowników zakładających konto.
Jeżeli wydarzenie dotyczy dzieci lub młodzieży, Organizacja NGO jako organizator wydarzenia odpowiada za zapewnienie zgodności swoich działań z prawem, w tym z przepisami o ochronie danych osobowych, ochronie wizerunku, prawach dziecka i zgodach opiekunów prawnych, jeżeli takie zgody są wymagane.
15. Relacja między Administratorem a Organizacją NGO
W standardowym modelu Serwisu BF Consulting Sp. z o.o. jest administratorem danych Administratorów NGO oraz danych technicznych przetwarzanych w celu działania Serwisu. Organizacja NGO pozostaje natomiast odpowiedzialna za treści wydarzeń, informacje publikowane w Serwisie oraz ewentualne dane osobowe osób trzecich, które samodzielnie wprowadzi do opisów, grafik lub materiałów wydarzenia.
Jeżeli w przyszłości Serwis zostanie rozszerzony o funkcje przetwarzania danych uczestników w imieniu Organizacji NGO, na przykład rejestrację uczestników, listy obecności, płatności, personalizowane bilety lub korespondencję do uczestników, może być konieczne zawarcie odrębnej umowy powierzenia przetwarzania danych między Organizatorem a BF Consulting Sp. z o.o. albo zmiana modelu odpowiedzialności w dokumentacji.
16. Zmiany Polityki Prywatności
Administrator może zmienić Politykę Prywatności w przypadku zmiany przepisów prawa, funkcjonalności Serwisu, dostawców infrastruktury, modelu biznesowego, zakresu danych, podstaw prawnych, okresów retencji lub sposobu wykorzystywania cookies i localStorage. Nowa wersja Polityki zostanie opublikowana w Serwisie i będzie obowiązywać od daty w niej wskazanej.
Jeżeli zmiana istotnie wpływa na prawa lub obowiązki Użytkowników, Administrator może dodatkowo poinformować Użytkowników wiadomością e-mail, komunikatem w panelu lub innym odpowiednim kanałem.