Polityka Prywatności i Plików Cookies
Wersja 1.0 | Data wejścia w życie: 27 listopada 2025 r.
CZĘŚĆ I - POLITYKA PRYWATNOŚCI
1. Administrator danych osobowych
Administratorem danych osobowych przetwarzanych w ramach usługi GastroMenadżer jest:
ML GROUP INVEST Sp. z o.o.
ul. Mickiewicza 83
48-100 Głubczyce
NIP: 7481587576
KRS: 0000179753
Kontakt z Administratorem możliwy jest pod adresem email: kontakt@gastromenadzer.pl
Administrator dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, że zbierane dane są przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.
2. Podstawa prawna przetwarzania danych
Dane osobowe przetwarzane są na podstawie:
- Art. 6 ust. 1 lit. a) RODO - zgoda osoby, której dane dotyczą (np. zgoda na newsletter, marketing)
- Art. 6 ust. 1 lit. b) RODO - niezbędność do wykonania umowy lub podjęcia działań przed jej zawarciem (świadczenie usługi GastroMenadżer)
- Art. 6 ust. 1 lit. c) RODO - niezbędność do wypełnienia obowiązku prawnego ciążącego na Administratorze (np. przepisy podatkowe, księgowe)
- Art. 6 ust. 1 lit. f) RODO - prawnie uzasadniony interes Administratora (np. dochodzenie roszczeń, marketing bezpośredni własnych usług)
3. Zakres zbieranych danych
3.1. Dane użytkowników systemu
W ramach korzystania z usługi GastroMenadżer zbieramy:
- Imię i nazwisko
- Adres email
- Numer telefonu
- Hasło (przechowywane w formie zaszyfrowanej)
- Zdjęcie profilowe (avatar) - opcjonalnie
- Rola w systemie (administrator, pracownik)
- Data i godzina logowania
- Adres IP
3.2. Dane pracowników wprowadzane przez użytkowników
Użytkownicy w ramach funkcjonalności systemu mogą wprowadzać dane swoich pracowników:
- Dane identyfikacyjne (imię, nazwisko, PESEL, NIP)
- Dane kontaktowe (adres, email, telefon)
- Dane dotyczące zatrudnienia (stanowisko, dział, data zatrudnienia)
- Dane umów (typ umowy, wynagrodzenie, daty obowiązywania)
- Dane dotyczące czasu pracy (godziny wejścia/wyjścia, urlopy)
- Preferencje dostępności w grafiku
- Zdjęcia i dokumenty załączone do profilu
Uwaga: W przypadku danych pracowników, użytkownik systemu (pracodawca) jest odrębnym administratorem tych danych w rozumieniu RODO. GastroMenadżer działa jako podmiot przetwarzający (procesor) na podstawie umowy powierzenia przetwarzania danych.
3.3. Dane organizacji
- Nazwa firmy/organizacji
- NIP, REGON, KRS
- Adres siedziby
- Dane Lokali (adresy, telefony)
- Logo firmy
- Dane do fakturowania
3.4. Dane kontrahentów
- Nazwa firmy kontrahenta
- NIP, REGON
- Adres
- Dane kontaktowe (email, telefon)
- Numer konta bankowego
- Historia transakcji
3.5. Dane finansowe
- Dane faktur (sprzedażowych i zakupowych)
- Rejestr wydatków
- Operacje kasowe
- Dane płatności za subskrypcję
3.6. Dane HACCP
- Pomiary temperatury urządzeń chłodniczych
- Dane o dostawach i ich jakości
- Rejestry czystości i dezynfekcji
- Informacje o osobie wykonującej pomiar/kontrolę
4. Cele przetwarzania danych
Dane osobowe przetwarzane są w następujących celach:
| Cel przetwarzania | Podstawa prawna | Okres przechowywania |
|---|---|---|
| Świadczenie usługi GastroMenadżer | Art. 6 ust. 1 lit. b) RODO | Przez czas trwania umowy + 3 lata |
| Rejestracja i obsługa konta | Art. 6 ust. 1 lit. b) RODO | Do usunięcia konta + 90 dni |
| Wystawianie faktur | Art. 6 ust. 1 lit. c) RODO | 5 lat (przepisy podatkowe) |
| Obsługa płatności | Art. 6 ust. 1 lit. b) RODO | 5 lat (przepisy podatkowe) |
| Marketing bezpośredni | Art. 6 ust. 1 lit. f) RODO | Do wniesienia sprzeciwu |
| Newsletter | Art. 6 ust. 1 lit. a) RODO | Do cofnięcia zgody |
| Dochodzenie roszczeń | Art. 6 ust. 1 lit. f) RODO | Do przedawnienia roszczeń (max 6 lat) |
| Analityka i ulepszanie usługi | Art. 6 ust. 1 lit. f) RODO | 26 miesięcy (anonimizowane) |
5. Odbiorcy danych
Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:
5.1. Podmioty przetwarzające dane na zlecenie Administratora:
- Supabase Inc. - dostawca infrastruktury backendowej i bazy danych (PostgreSQL). Dane przechowywane na serwerach w UE. Supabase stosuje szyfrowanie danych w spoczynku i podczas transmisji.
- Dostawcy usług hostingowych - dla statycznych zasobów aplikacji
- Dostawcy usług płatniczych - do obsługi płatności za subskrypcję (dane kart płatniczych nie są przechowywane przez GastroMenadżer)
- Dostawcy usług email - do wysyłki powiadomień systemowych
5.2. Organy publiczne:
- Urząd Skarbowy - w zakresie wymaganym przepisami podatkowymi
- Inne organy - na podstawie obowiązujących przepisów prawa
5.3. Przekazywanie danych poza EOG:
Co do zasady dane nie są przekazywane poza Europejski Obszar Gospodarczy. W przypadku korzystania z usług podmiotów spoza EOG, stosowane są odpowiednie zabezpieczenia (standardowe klauzule umowne zatwierdzone przez Komisję Europejską).
6. Prawa osób, których dane dotyczą
Zgodnie z RODO przysługują Ci następujące prawa:
Prawo dostępu (art. 15 RODO)
Masz prawo uzyskać potwierdzenie, czy przetwarzamy Twoje dane oraz uzyskać do nich dostęp.
Prawo do sprostowania (art. 16 RODO)
Masz prawo żądać niezwłocznego sprostowania nieprawidłowych danych lub uzupełnienia niekompletnych danych.
Prawo do usunięcia - „prawo do bycia zapomnianym" (art. 17 RODO)
Masz prawo żądać usunięcia swoich danych, gdy nie są już niezbędne, cofniesz zgodę, wniesiesz sprzeciw lub dane były przetwarzane niezgodnie z prawem.
Prawo do ograniczenia przetwarzania (art. 18 RODO)
Masz prawo żądać ograniczenia przetwarzania, gdy kwestionujesz prawidłowość danych, przetwarzanie jest niezgodne z prawem, lub potrzebujesz danych do ustalenia roszczeń.
Prawo do przenoszenia danych (art. 20 RODO)
Masz prawo otrzymać swoje dane w ustrukturyzowanym formacie (np. CSV, JSON) oraz przesłać je innemu administratorowi.
Prawo do sprzeciwu (art. 21 RODO)
Masz prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie, w tym marketingu bezpośredniego.
Prawo do cofnięcia zgody
Jeśli przetwarzanie odbywa się na podstawie zgody, możesz ją cofnąć w dowolnym momencie bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
Prawo do skargi (art. 77 RODO)
Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
Aby skorzystać z powyższych praw, skontaktuj się z nami: kontakt@gastromenadzer.pl
7. Bezpieczeństwo danych
Stosujemy odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych osobowych:
7.1. Środki techniczne:
- Szyfrowanie transmisji - wszystkie dane przesyłane są przez protokół HTTPS z szyfrowaniem TLS 1.3
- Szyfrowanie bazy danych - dane w bazie PostgreSQL są szyfrowane w spoczynku (encryption at rest)
- Row Level Security (RLS) - polityki bezpieczeństwa na poziomie wierszy bazy danych zapewniające izolację danych między organizacjami
- Hashowanie haseł - hasła użytkowników przechowywane są w formie zahashowanej algorytmem bcrypt
- Automatyczne backupy - regularne kopie zapasowe bazy danych
- Monitoring bezpieczeństwa - ciągłe monitorowanie dostępu i wykrywanie anomalii
7.2. Środki organizacyjne:
- Dostęp do danych mają wyłącznie upoważnione osoby
- Regularne szkolenia z zakresu ochrony danych osobowych
- Procedury reagowania na incydenty bezpieczeństwa
- Umowy powierzenia przetwarzania z podmiotami trzecimi
8. Profilowanie i automatyczne podejmowanie decyzji
W ramach usługi GastroMenadżer nie stosujemy profilowania ani automatycznego podejmowania decyzji, które wywołują skutki prawne lub w podobny sposób istotnie wpływają na użytkowników.
Automatyczny generator grafików wykorzystuje preferencje dostępności pracowników, jednak ostateczna decyzja o zatwierdzeniu grafiku zawsze należy do użytkownika (administratora/managera).
9. Asystent AI
GastroMenadżer udostępnia opcjonalną funkcję „Asystent AI" wspierającą obsługę systemu i analizę danych biznesowych. Funkcja jest aktywowana indywidualnie dla każdego użytkownika przez administratora organizacji w ustawieniach uprawnień (zakładka „Uprawnienia" w karcie pracownika). Domyślnie Asystent AI jest wyłączony.
9.1. Tryby działania
Asystent AI działa w jednym z dwóch trybów, przyznawanych osobno każdemu użytkownikowi:
- „Tylko pomoc w obsłudze systemu" — Asystent odpowiada wyłącznie na pytania dotyczące tego, jak korzystać z aplikacji (np. „jak dodać lokal", „jak wystawić fakturę"). Nie ma dostępu do żadnych danych firmy.
- „Pomoc + odczyt danych firmy" — dodatkowo Asystent może odpowiadać na pytania o dane organizacji (sprzedaż, wydatki, magazyn, raporty), ale wyłącznie w zakresie modułów, do których użytkownik ma uprawnienia w pozostałych częściach systemu.
9.2. Zakres przetwarzanych danych
Podczas korzystania z Asystenta AI do podwykonawcy przetwarzania (zob. pkt 9.3) przekazywane są:
- treść pytań użytkownika,
- treść generowanych odpowiedzi Asystenta,
- w trybie „Pomoc + odczyt danych firmy" — dane organizacji niezbędne do udzielenia odpowiedzi (wyłącznie z modułów dostępnych dla danego użytkownika), takie jak zagregowane statystyki sprzedaży, wykazy zamówień, stany magazynowe, kategorie wydatków.
Uwaga: użytkownik nie powinien wprowadzać w pytaniach do Asystenta AI danych osobowych ani wrażliwych, które nie są związane z prowadzoną działalnością (np. cudzych numerów PESEL, danych medycznych, haseł). Aplikacja ostrzega o tym przy pierwszym uruchomieniu Asystenta.
9.3. Podwykonawca przetwarzania (procesor)
Treść pytań i odpowiedzi jest przetwarzana przez podwykonawcę przetwarzania w rozumieniu art. 28 RODO:
OpenAI Ireland Limited
1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper
Dublin 1, D01 YC43, Irlandia
Przetwarzanie odbywa się na podstawie umowy powierzenia przetwarzania danych (DPA) oraz Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską. Podstawowy podmiot świadczący usługę znajduje się w Unii Europejskiej (Irlandia); infrastruktura techniczna OpenAI może obejmować transfery do Stanów Zjednoczonych na zasadach uznanych przez Komisję Europejską za odpowiednie (Data Privacy Framework).
9.4. Brak wykorzystania danych do trenowania modeli AI
Zgodnie z polityką OpenAI dla klientów korzystających z usługi OpenAI API, dane przesyłane przez API nie są wykorzystywane do trenowania ani ulepszania modeli AI. Logi techniczne są przechowywane przez OpenAI maksymalnie przez 30 dni i wykorzystywane wyłącznie do monitorowania nadużyć oraz zapewnienia bezpieczeństwa usługi.
9.5. Zakres dostępu Asystenta
- Asystent AI ma dostęp wyłącznie do odczytu danych. Nie modyfikuje, nie dodaje ani nie usuwa rekordów w systemie GastroMenadżer.
- Asystent działa w izolacji organizacji — nie ma technicznej możliwości odczytu danych z organizacji, do której użytkownik nie należy.
- Asystent szanuje uprawnienia modułowe użytkownika — jeśli użytkownik nie ma dostępu do danego modułu w aplikacji (np. wynagrodzeń, kontrahentów), Asystent również nie może odczytać danych z tego modułu.
9.6. Retencja historii rozmów
Historia rozmów z Asystentem AI (pytania użytkownika i odpowiedzi Asystenta) jest przechowywana w bazie danych GastroMenadżer w celu umożliwienia użytkownikowi powrotu do wcześniejszych konwersacji. Rozmowy są automatycznie usuwane po 90 dniachod ostatniej aktywności w danej rozmowie.
9.7. Prawa użytkownika
W odniesieniu do danych przetwarzanych przez Asystenta AI użytkownikowi przysługują wszystkie prawa opisane w pkt 6, a w szczególności:
- prawo żądania usunięcia historii rozmów w dowolnym momencie,
- prawo żądania wglądu w treść przechowywanych rozmów,
- prawo wniesienia sprzeciwu wobec dalszego korzystania z funkcji.
Realizacja praw odbywa się poprzez kontakt z administratorem organizacji w aplikacji lub bezpośrednio z Administratorem danych: kontakt@gastromenadzer.pl.
9.8. Wyłączenie funkcji
Użytkownik, który nie chce korzystać z Asystenta AI, może w każdej chwili poprosić administratora organizacji o cofnięcie uprawnień do tej funkcji w zakładce „Uprawnienia" karty pracownika. Wyłączenie Asystenta AI nie ma żadnego wpływu na pozostałe funkcjonalności systemu GastroMenadżer.
CZĘŚĆ II - POLITYKA PLIKÓW COOKIES
1. Czym są pliki cookies?
Pliki cookies (ciasteczka) to małe pliki tekstowe zapisywane na Twoim urządzeniu (komputerze, tablecie, smartfonie) przez przeglądarkę internetową podczas odwiedzania stron www. Służą do zapamiętywania preferencji, utrzymywania sesji logowania oraz zbierania informacji analitycznych.
2. Rodzaje używanych plików cookies
2.1. Cookies niezbędne (essential)
Te pliki są konieczne do prawidłowego działania serwisu. Bez nich nie możemy świadczyć usługi. Nie wymagają zgody użytkownika.
| Nazwa | Cel | Wygasa | Dostawca |
|---|---|---|---|
| sb-access-token | Token dostępu do API (autentykacja) | 1 godzina | Supabase |
| sb-refresh-token | Token odświeżania sesji | 7 dni | Supabase |
| supabase-auth-token | Przechowywanie sesji użytkownika | Sesja | Supabase |
2.2. Cookies funkcjonalne
Zapamiętują preferencje użytkownika i ustawienia serwisu dla lepszego doświadczenia.
| Nazwa | Cel | Wygasa | Dostawca |
|---|---|---|---|
| theme | Preferencja motywu (jasny/ciemny) | 1 rok | GastroMenadżer |
| sidebar-collapsed | Stan panelu bocznego | 1 rok | GastroMenadżer |
| selected-branch | Ostatnio wybrany Lokal | Sesja | GastroMenadżer |
2.3. Cookies analityczne
Pomagają zrozumieć, jak użytkownicy korzystają z serwisu. Dane są anonimizowane.
| Nazwa | Cel | Wygasa | Dostawca |
|---|---|---|---|
| _ga | Identyfikator użytkownika Google Analytics | 2 lata | |
| _gid | Identyfikator sesji Google Analytics | 24 godziny |
3. Local Storage i Session Storage
Oprócz cookies, korzystamy również z technologii Web Storage (Local Storage i Session Storage) do przechowywania danych w przeglądarce:
| Klucz | Typ | Cel |
|---|---|---|
| supabase.auth.token | Local Storage | Dane sesji użytkownika (zaszyfrowane) |
| react-query-* | Local Storage | Cache zapytań API (optymalizacja) |
| pwa-update-dismissed | Local Storage | Status powiadomienia o aktualizacji PWA |
4. Service Worker (PWA)
GastroMenadżer jest aplikacją Progressive Web App (PWA), która wykorzystuje Service Worker do:
- Cache'owania zasobów - przechowywanie plików aplikacji dla szybszego ładowania i dostępu offline
- Powiadomień push - wyświetlanie powiadomień o ważnych zdarzeniach (np. prośby o zastępstwo)
- Synchronizacji w tle - wysyłanie danych gdy połączenie zostanie przywrócone
Dane cache'owane przez Service Worker są przechowywane lokalnie na Twoim urządzeniu i nie są wysyłane na zewnętrzne serwery. Cache automatycznie czyści się po aktualizacji aplikacji.
5. Zarządzanie plikami cookies
Możesz kontrolować i usuwać pliki cookies według własnych preferencji:
5.1. Ustawienia przeglądarki
Większość przeglądarek pozwala na:
- Blokowanie wszystkich cookies
- Blokowanie cookies firm trzecich
- Usuwanie cookies przy zamknięciu przeglądarki
- Przeglądanie i usuwanie zapisanych cookies
5.2. Instrukcje dla popularnych przeglądarek:
- Chrome: Ustawienia → Prywatność i bezpieczeństwo → Pliki cookie
- Firefox: Ustawienia → Prywatność i bezpieczeństwo → Ciasteczka
- Safari: Preferencje → Prywatność → Zarządzaj danymi witryn
- Edge: Ustawienia → Prywatność → Pliki cookie
Uwaga: Wyłączenie niezbędnych cookies uniemożliwi korzystanie z serwisu GastroMenadżer, ponieważ są one wymagane do autentykacji i podstawowego działania aplikacji.
6. Cookies firm trzecich
W ramach serwisu mogą być używane cookies następujących podmiotów zewnętrznych:
- Google (Analytics) - analiza ruchu na stronie. Polityka prywatności Google
- Supabase - autentykacja i backend. Polityka prywatności Supabase
CZĘŚĆ III - POSTANOWIENIA KOŃCOWE
1. Zmiany polityki
Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności i Cookies. O istotnych zmianach użytkownicy zostaną poinformowani poprzez komunikat w serwisie lub email z 14-dniowym wyprzedzeniem.
2. Kontakt
W sprawach związanych z ochroną danych osobowych lub plikami cookies skontaktuj się:
- Email: kontakt@gastromenadzer.pl
- Temat wiadomości: „RODO" lub „Polityka Prywatności"
3. Powiązane dokumenty
4. Data wejścia w życie
Niniejsza Polityka Prywatności i Cookies wchodzi w życie z dniem 27 listopada 2025 roku.