RODO / GDPR

Polityka Prywatności

Serwis Menago — menago.net

Ostatnia aktualizacja: maj 2026

Niniejsza Polityka Prywatności dotyczy danych osobowych przetwarzanych przez serwis Menago w związku z korzystaniem z platformy przez właścicieli salonów beauty (Usługobiorców) oraz osób zapisanych na listę oczekujących. Dane osobowe klientów salonów są przetwarzane na zlecenie Usługobiorców w ramach Umowy Powierzenia (UPDO) opisanej w Regulaminie.

1. Administrator Danych Osobowych

Administratorem danych osobowych Usługobiorców (właścicieli salonów) jest:

Adam Kozieł

Działalność nierejestrowana (art. 5 ustawy Prawo przedsiębiorców)

Szosa Chełmińska 154d/18, 87-100 Toruń

E-mail: kontakt@menago.net (w sprawach danych osobowych)

Administrator nie powołał Inspektora Ochrony Danych (IOD). Wszelkie pytania dotyczące przetwarzania danych osobowych należy kierować bezpośrednio na powyższy adres e-mail.

2. Jakie Dane Zbieramy i Skąd

W zależności od sposobu korzystania z Serwisu przetwarzamy następujące kategorie danych:

Lista oczekujących

Osoby, które zapisały się na listę oczekujących na dostęp do bety

Adres e-mail
Nazwa salonu (opcjonalnie)
Miasto (opcjonalnie)
Adres IP (do weryfikacji antyspamowej i rate-limitingu)
Parametry UTM i referrer (anonimowe dane marketingowe)
Zgoda marketingowa (tak/nie)
Data i godzina zapisu

Konto Usługobiorcy (właściciel salonu)

Dane podawane podczas rejestracji i konfiguracji konta

Adres e-mail (login)
Hasło (przechowywane w formie zaszyfrowanej przez Supabase)
Nazwa salonu, adres, numer telefonu, opis
Logo i zdjęcie salonu (opcjonalnie)
Godziny pracy, usługi i cennik
Ustawienia systemu rezerwacji
Data rejestracji i ostatniego logowania
Zgoda marketingowa (tak/nie)

Klienci salonu (dane powierzone)

Dane wprowadzane przez Usługobiorcę — przetwarzane na jego zlecenie

Imię i nazwisko klienta
Numer telefonu
Adres e-mail (opcjonalnie, do powiadomień)
Historia wizyt i zakupionych usług
Notatki dotyczące klienta
Data i godzina wizyt

Dane techniczne i sesja

Zbierane automatycznie podczas korzystania z Serwisu

Adres IP (do logowania sesji i bezpieczenstwa)
Nagłówki przeglądarki (User-Agent) — do diagnostyki
Token sesji uwierzytelniającej (w cookie HttpOnly)
Logi zdarzeń systemowych (błędy, logowania)

3. Podstawy Prawne i Cele Przetwarzania

Wykonanie umowy (art. 6 ust. 1 lit. b RODO)

Prowadzenie konta Usługobiorcy i świadczenie usług Serwisu
Wysyłka powiadomień e-mail niezbędnych do działania systemu rezerwacji
Obsługa płatności abonamentowych i wystawianie rachunków

Uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO)

Zapewnienie bezpieczeństwa Serwisu (analiza logów, rate-limiting, CAPTCHA)
Wykrywanie nadużyć i zapobieganie im
Statystyki techniczne i diagnostyka błędów

Zgoda (art. 6 ust. 1 lit. a RODO)

Wysyłka informacji marketingowych o nowościach i ofertach Menago (zgoda opcjonalna, odwoływalna w dowolnym momencie)

Obowiązek prawny (art. 6 ust. 1 lit. c RODO)

Przechowywanie dokumentacji rachunkowej zgodnie z przepisami podatkowymi

Powierzenie przetwarzania (art. 28 RODO)

Przetwarzanie danych klientów salonów na zlecenie Usługobiorcy (Administrator jest Procesorem)

4. Odbiorcy Danych i Podprocesory

Dane osobowe mogą być przekazywane wyłącznie zaufanym podmiotom zewnętrznym, niezbędnym do świadczenia usług Serwisu. Pełna lista z opisem roli każdego podprocesora dostępna jest w § 6 Regulaminu.

Podmiot	Rola	Lokalizacja danych
Supabase Inc.	Baza danych + uwierzytelnianie	EU (Frankfurt)
Cloudflare Inc.	CAPTCHA antyspamowe (Turnstile)	USA / SCC
Resend	Wysyłka e-maili transakcyjnych	USA / SCC
Upstash Inc.	Cache i rate-limiting (tymczasowe)	USA / SCC
Meta Platforms Ireland Ltd.	Meta Pixel (po zgodzie marketingowej)	Irlandia / USA / SCC
Google Ireland Ltd.	Google Analytics 4 (po zgodzie analitycznej)	Irlandia / USA / SCC
Vercel Inc.	Analityka ruchu (po zgodzie analitycznej)	USA / SCC

Podmioty takie jak Meta Platforms Ireland Ltd. (Meta Pixel) lub Vercel Inc. (analityka) przetwarzają dane wyłącznie po wyrażeniu przez Ciebie zgody w banerze cookies. Administrator nie sprzedaje danych osobowych. Administrator nie przekazuje danych organom państwowym z wyjątkiem przypadków wymaganych prawem.

5. Przekazywanie Danych Poza EOG

Część infrastruktury Serwisu może przetwarzać dane poza Europejskim Obszarem Gospodarczym (EOG). W takich przypadkach Administrator zapewnia odpowiedni poziom ochrony danych poprzez:

Supabase — baza danych i uwierzytelnianie zlokalizowane w regionie EU (Frankfurt, Niemcy) — dane pozostają w EOG.
Cloudflare Turnstile — Cloudflare, Inc. z siedzibą w USA; transfer danych odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską.
Resend — operator poczty elektronicznej z siedzibą w USA; transfer objęty SCC. Przekazywane są wyłącznie adresy e-mail niezbędne do dostarczenia wiadomości.
Upstash — dane tymczasowe (adresy IP) mogą być przetwarzane w infrastrukturze chmurowej; objęte SCC. Dane usuwane automatycznie po kilku minutach.
Meta Platforms Ireland Ltd. (Meta Pixel) — pomiar konwersji i skuteczności reklam; aktywowane wyłącznie po zgodzie na cookies marketingowe; transfer do USA objęty SCC i DPF (Data Privacy Framework), o ile ma zastosowanie.
Google Ireland Ltd. (Google Analytics 4) — pomiar ruchu i statystyki odwiedzin z anonimizacją IP; aktywowane wyłącznie po zgodzie na cookies analityczne (Google Consent Mode v2); transfer do USA objęty SCC i DPF.
Vercel Inc. — anonimowa analityka ruchu na stronie; aktywowana wyłącznie po zgodzie na cookies analityczne; transfer do USA objęty SCC.

6. Okresy Przechowywania Danych

Kategoria danych	Okres przechowywania
Konto Usługobiorcy (aktywne)	Przez cały czas trwania umowy
Dane po usunięciu konta	Do 30 dni od złożenia wniosku
Dane po blokadzie za zaległości	Do 30 dni od daty blokady
Dane klientów salonu	Razem z danymi konta Usługobiorcy
Lista oczekujących	Do rejestracji lub cofnięcia zgody
Logi systemowe i IP	Do 90 dni
Dokumentacja rachunkowa	5 lat (wymóg podatkowy)

Po upływie wskazanych okresów dane są trwale usuwane lub anonimizowane, chyba że obowiązek dalszego przechowywania wynika z przepisów prawa (np. dokumentacja rachunkowa).

7. Prawa Osób, Których Dane Dotyczą

Na podstawie RODO przysługują Ci następujące prawa. Aby z nich skorzystać, wyślij wiadomość na kontakt@menago.net.

Prawo dostępu (art. 15 RODO)

Możesz zażądać informacji o tym, jakie Twoje dane przetwarzamy, w jakim celu i komu je udostępniamy.

Prawo do sprostowania (art. 16 RODO)

Masz prawo do poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych osobowych.

Prawo do usunięcia (art. 17 RODO)

Możesz zażądać usunięcia swoich danych ("prawo do bycia zapomnianym"), jeśli nie istnieje inna podstawa prawna do ich przetwarzania.

Prawo do ograniczenia przetwarzania (art. 18 RODO)

Możesz zażądać, abyśmy ograniczyli przetwarzanie Twoich danych w określonych sytuacjach.

Prawo do przenoszenia danych (art. 20 RODO)

Masz prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie (np. JSON/CSV) i przenieść je do innego administratora.

Prawo do sprzeciwu (art. 21 RODO)

Możesz wnieść sprzeciw wobec przetwarzania danych na podstawie uzasadnionego interesu Administratora, w tym wobec marketingu bezpośredniego.

Prawo do cofnięcia zgody

Jeśli przetwarzanie odbywa się na podstawie zgody (np. zgoda marketingowa), możesz ją cofnąć w dowolnym momencie bez wpływu na zgodność z prawem wcześniejszego przetwarzania.

Prawo do skargi: Masz prawo wniesienia skargi do organu nadzorczego — w Polsce jest nim Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

8. Pliki Cookie

Serwis Menago używa plików cookie oraz pamięci lokalnej przeglądarki (localStorage) w trzech kategoriach: niezbędne (zawsze aktywne), analityczne i marketingowe. Cookies analityczne i marketingowe są uruchamiane dopiero po Twojej wyraźnej zgodzie w banerze cookies. Zgodę możesz w każdej chwili zmienić lub wycofać w ustawieniach cookies dostępnych w stopce strony głównej.

Nazwa / typ	Cel	Czas życia
sb-*-auth-token	Token sesji uwierzytelniającej Supabase (niezbędne)	7 dni (sliding)
sb-*-auth-token-code-verifier	Weryfikator PKCE przy OAuth / magic link (niezbędne)	Sesja przeglądarki
menago_cookie_consent	Zapamiętanie Twoich preferencji cookies (niezbędne)	365 dni
_fbp / _fbc	Meta Pixel — identyfikacja sesji reklamowej (marketingowe, za zgodą)	Do 90 dni
_ga / _ga_*	Google Analytics 4 — pomiar ruchu i statystyki (analityczne, za zgodą)	Do 24 miesięcy
_vercel_* / va_*	Vercel Analytics — statystyki odwiedzin (analityczne, za zgodą)	Do 24 miesięcy

Cookies niezbędne (uwierzytelnianie, zabezpieczenia formularzy, zapis preferencji cookies) działają bez odrębnej zgody na podstawie art. 173 ust. 3 Prawa telekomunikacyjnego. Cookies opcjonalne wymagają zgody zgodnie z art. 173 ust. 1 Prawa telekomunikacyjnego i art. 6 ust. 1 lit. a RODO. Możesz usunąć cookies z ustawień przeglądarki — skutkuje to m.in. wylogowaniem z konta.

9. Profilowanie i Automatyczne Decyzje

Serwis Menago nie stosuje zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO (np. scoring kredytowy). Przy wyrażeniu zgody na cookies marketingowe Meta Platforms Ireland Ltd. może przetwarzać dane w celu pomiaru konwersji, optymalizacji reklam i tworzenia grup odbiorców (remarketing) — możesz wycofać zgodę w ustawieniach cookies. Bez tej zgody takie przetwarzanie nie ma miejsca.

10. Bezpieczeństwo Danych

Administrator wdraża odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych:

Szyfrowanie danych w tranzycie (HTTPS/TLS) dla całego ruchu sieciowego.
Szyfrowanie danych w spoczynku w infrastrukturze Supabase (szyfrowanie AES-256 na poziomie dysku).
Hasła użytkowników nigdy nie są przechowywane w formie jawnej — Supabase stosuje algorytm bcrypt.
Tokeny sesji w plikach cookie z flagami HttpOnly i Secure.
Ograniczenie liczby prób logowania i rejestracji (rate-limiting) za pomocą Upstash Redis.
Ochrona formularzy przed botami (Cloudflare Turnstile CAPTCHA).
Dostęp do danych produkcyjnych wyłącznie dla Administratora.

W przypadku wykrycia naruszenia bezpieczeństwa danych osobowych Administrator powiadomi osoby, których dane dotyczą, oraz organ nadzorczy (UODO) w terminach określonych przez RODO (72 godziny od wykrycia naruszenia).

11. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do aktualizacji niniejszej Polityki Prywatności. O każdej istotnej zmianie Usługobiorcy zostaną poinformowani drogą e-mailową z wyprzedzeniem co najmniej 14 dni. Data ostatniej aktualizacji jest widoczna w nagłówku dokumentu. Aktualna wersja jest zawsze dostępna pod adresem menago.net/polityka-prywatnosci.

12. Kontakt w Sprawach Danych Osobowych

W przypadku pytań dotyczących przetwarzania danych osobowych, chęci skorzystania z przysługujących praw lub zgłoszenia naruszenia prosimy o kontakt:

Adam Kozieł

Administrator danych / Operator Menago

E-mail: kontakt@menago.net

Adres: Szosa Chełmińska 154d/18, 87-100 Toruń

Czas odpowiedzi: do 30 dni od otrzymania wniosku (zgodnie z art. 12 RODO). W przypadku złożonych wniosków termin może zostać wydłużony o kolejne 2 miesiące, o czym poinformujemy bez zbędnej zwłoki.