Polityka prywatności Odlot CRM

Wersja 1.0 (projekt) Data: 2026-06-23 Operator (administrator / podmiot przetwarzający): MW DIGITAL sp. z o.o.

0. Najważniejsze w skrócie — dwie role Odlot CRM wobec danych

Odlot CRM (operator: MW DIGITAL sp. z o.o.) występuje wobec danych osobowych w dwóch różnych rolach — i to jest klucz do zrozumienia całego dokumentu:

Wobec biur podróży, które mają u nas konto, oraz wobec osób odwiedzających naszą stronę i zapisujących się na newsletter — jesteśmy ADMINISTRATOREM danych. To znaczy: my decydujemy, po co i jak przetwarzamy te dane (utrzymanie konta, logowanie, bezpieczeństwo, rozliczenia, marketing własny). Tę rolę opisuje niniejsza Polityka prywatności.
Wobec danych turystów (klientów biura), które biuro wprowadza do systemu — jesteśmy wyłącznie PODMIOTEM PRZETWARZAJĄCYM (procesorem). To znaczy: przetwarzamy te dane jedynie w imieniu i na udokumentowane polecenie biura. Tę rolę reguluje odrębna umowa powierzenia przetwarzania danych (DPA), a NIE niniejszy dokument — patrz sekcja 4.

Co to znaczy dla biura podróży: za dane swoich turystów odpowiadasz Ty jako administrator, a my jesteśmy Twoim usługodawcą technicznym (procesorem). Za dane Twojego konta oraz za dane osób odwiedzających naszą stronę i zapisanych na newsletter — odpowiadamy my.

Odlot CRM jest usługą skierowaną wyłącznie do przedsiębiorców (biur podróży). Niniejsza Polityka nie odnosi się do relacji konsumenckich.

1. Wprowadzenie i cel dokumentu

1.1. Niniejsza Polityka prywatności (dalej: Polityka) opisuje zasady przetwarzania danych osobowych w związku z korzystaniem z serwisu i aplikacji Odlot CRM (dalej: Aplikacja lub Usługa), dostępnej pod adresem internetowym landingu odlotcrm.pl oraz aplikacji app.odlotcrm.pl. Odlot CRM to wielodostępowa (multi-tenant) aplikacja typu SaaS — system klasy CRM dla biur podróży, obejmujący m.in. obsługę rezerwacji, harmonogramów rat, automatycznych przypomnień e-mail i SMS, płatności online oraz fakturowania.

1.2. Polityka realizuje obowiązek informacyjny wynikający z art. 13 i art. 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) oraz uwzględnia przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

1.3. Zakres przedmiotowy. Polityka dotyczy wyłącznie tych operacji przetwarzania, wobec których MW DIGITAL sp. z o.o. (operator Odlot CRM) występuje jako administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO, tj.:

a) danych osobowych użytkowników kont biur podróży (osób reprezentujących lub zatrudnionych w biurach będących klientami Odlot CRM);
b) danych osobowych osób odwiedzających stronę internetową / landing Odlot CRM (dane techniczne, pliki cookies, logi serwera);
c) danych osobowych osób zapisanych na newsletter (marketing własny operatora).

1.4. Wyłączenie z zakresu — rola procesora. Polityka NIE reguluje przetwarzania danych osobowych turystów (klientów biur) wprowadzanych przez biura podróży do Aplikacji. W tym zakresie operator występuje jako podmiot przetwarzający (procesor) w rozumieniu art. 4 pkt 8 RODO, a zasady tego przetwarzania określa odrębna umowa powierzenia przetwarzania danych osobowych (DPA) zawierana na podstawie art. 28 RODO — patrz sekcja 4.

1.5. Terminy pisane wielką literą, niezdefiniowane w Polityce, mają znaczenie nadane im w Regulaminie dostępnym pod adresem: [___ link do regulaminu, np. https://odlotcrm.pl/regulamin].

2. Administrator danych osobowych i dane kontaktowe

2.1. Administratorem danych osobowych w zakresie określonym w pkt 1.3 jest:

Nazwa: MW DIGITAL spółka z ograniczoną odpowiedzialnością
Adres siedziby: ul. Augustyna Szamarzewskiego 21 lok. 2, 60-514 Poznań
Rejestr: wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Poznań – Nowe Miasto i Wilda w Poznaniu, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego
KRS: 0001225835
NIP: 7812105997
REGON: 544052286
Kapitał zakładowy: 5 000,00 zł (pięć tysięcy złotych), opłacony w całości
E-mail kontaktowy w sprawach danych osobowych: info@odlotcrm.pl

prowadząca Usługę pod marką Odlot CRM (dalej: Administrator, Odlot CRM, „my", „nas").

DO PRZEGLĄDU PRAWNEGO: potwierdzić numer Wydziału Gospodarczego KRS Sądu Rejonowego Poznań – Nowe Miasto i Wilda w Poznaniu na podstawie aktualnego odpisu KRS.

2.2. We wszelkich sprawach dotyczących przetwarzania danych osobowych oraz realizacji praw, o których mowa w sekcji 10, można kontaktować się z Administratorem:

pocztą elektroniczną: info@odlotcrm.pl;
korespondencyjnie na adres wskazany w pkt 2.1.

2.3. Inspektor Ochrony Danych (IOD). Administrator nie wyznaczył Inspektora Ochrony Danych, ponieważ nie zachodzi obowiązek jego powołania na podstawie art. 37 RODO. We wszystkich sprawach związanych z ochroną danych osobowych należy kontaktować się z Administratorem przez kanały wskazane w pkt 2.2.

DO PRZEGLĄDU PRAWNEGO: zweryfikować, czy w aktualnym modelu działalności nie powstaje obowiązek wyznaczenia IOD (art. 37 RODO) — w szczególności w kontekście skali przetwarzania.

3. Role w przetwarzaniu danych — administrator i procesor (sekcja kluczowa)

3.1. Z uwagi na wielodostępowy charakter Usługi, operator Odlot CRM występuje w dwóch różnych rolach, w zależności od kategorii danych. Poniższa tabela pokazuje, kiedy jesteśmy administratorem (i obowiązuje niniejsza Polityka), a kiedy procesorem (i obowiązuje umowa powierzenia):

Czyje dane	Kto decyduje o celach i sposobach	Rola operatora	Dokument regulujący
Dane konta i użytkowników biura (e-mail logowania, imię, rola, hash hasła, identyfikator biura, logi logowania)	MW DIGITAL	Administrator (art. 4 pkt 7 RODO)	Niniejsza Polityka + Regulamin / umowa o świadczenie Usługi
Dane rozliczeniowe biura (nazwa, NIP, adres, dane do faktur)	MW DIGITAL	Administrator (art. 4 pkt 7 RODO)	Niniejsza Polityka
Dane osób odwiedzających landing (IP, cookies, logi serwera)	MW DIGITAL	Administrator (art. 4 pkt 7 RODO)	Niniejsza Polityka
Dane osób zapisanych na newsletter (adres e-mail)	MW DIGITAL	Administrator (art. 4 pkt 7 RODO)	Niniejsza Polityka
Dane turystów (klientów biura) — imię, nazwisko, numer telefonu, adres e-mail, adres zamieszkania oraz dane rezerwacji i harmonogramów rat	Biuro podróży	Podmiot przetwarzający / procesor (art. 4 pkt 8 RODO)	Umowa powierzenia (DPA), art. 28 RODO — NIE niniejsza Polityka

3.2. Biuro podróży jako administrator danych turystów. W odniesieniu do danych osobowych swoich klientów (turystów) to biuro podróży korzystające z Odlot CRM jest administratorem w rozumieniu art. 4 pkt 7 RODO — to biuro samodzielnie ustala cele i sposoby przetwarzania tych danych, posiada wobec turystów własną podstawę prawną oraz wykonuje wobec nich własny obowiązek informacyjny. Odlot CRM przetwarza te dane wyłącznie w imieniu i na udokumentowane polecenie biura (art. 28 ust. 3 lit. a RODO).

Co to znaczy dla biura podróży: wszystko, co Twoje biuro wpisuje do Odlot CRM na temat swoich turystów, to dane, których administratorem jesteś Ty. My nie wykorzystujemy tych danych do własnych celów — przechowujemy je i przetwarzamy tylko po to, żeby Usługa działała tak, jak nam zlecisz.

4. Dane turystów — to reguluje UMOWA POWIERZENIA (DPA), nie ten dokument

4.1. W zakresie danych osobowych turystów (klientów biura) wprowadzanych przez biuro podróży do Aplikacji — w tym imienia i nazwiska, numeru telefonu, adresu e-mail, adresu zamieszkania, danych rezerwacji oraz harmonogramów rat — Odlot CRM działa wyłącznie jako podmiot przetwarzający (procesor) i przetwarza te dane w imieniu oraz na udokumentowane polecenie biura podróży (administratora).

4.2. W szczególności:

nie wykorzystujemy danych turystów do własnych celów (np. własnego marketingu);
przetwarzamy je tylko w zakresie niezbędnym do świadczenia Usługi (przechowywanie, wyświetlanie, wysyłka przypomnień, obsługa płatności i fakturowania na zlecenie biura);
korzystamy z podprocesorów na warunkach przewidzianych w umowie powierzenia.

4.3. Twardy zakres dopuszczalnych danych turystów. Zgodnie z umową powierzenia (DPA) oraz Regulaminem, do Aplikacji wolno wprowadzać wyłącznie następujące kategorie danych turystów: imię, nazwisko, numer telefonu, adres e-mail oraz adres zamieszkania. Zakazane jest wprowadzanie do Aplikacji — w tym do modułu dokumentów i wszelkich wgrywanych plików — danych takich jak numer PESEL, dane o stanie zdrowia, dane paszportowe oraz wszelkie inne dane szczególnych kategorii (art. 9 RODO) i dane dotyczące wyroków skazujących i czynów zabronionych (art. 10 RODO). Biuro podróży jako administrator danych turystów ponosi odpowiedzialność za przestrzeganie tego zakresu. Szczegóły reguluje DPA.

4.4. Zasady przetwarzania danych powierzonych (cel, zakres, czas przechowywania, obowiązki stron, środki bezpieczeństwa, lista podprocesorów, podpowierzenie, transfery poza EOG, obsługa praw osób oraz zwrot/usunięcie danych po zakończeniu współpracy) reguluje odrębna umowa powierzenia przetwarzania danych osobowych (Data Processing Agreement, DPA) zawierana na podstawie art. 28 RODO — a nie niniejsza Polityka.

4.5. Osoby, których dane są przetwarzane przez Odlot CRM w roli procesora (turyści / klienci biur), powinny kierować swoje żądania oraz pytania dotyczące przetwarzania do właściwego biura podróży jako administratora tych danych. Odlot CRM przekaże takie żądanie właściwemu administratorowi i wesprze go w jego realizacji zgodnie z umową powierzenia (art. 28 ust. 3 lit. e RODO).

Pozostała część niniejszej Polityki (sekcje 5–14) dotyczy już wyłącznie danych, których Odlot CRM jest ADMINISTRATOREM.

5. Kategorie danych, cele i podstawy prawne (Odlot CRM jako Administrator)

Zgodnie z art. 13 ust. 1 lit. c i d RODO poniżej wskazano kategorie danych, cele oraz podstawy prawne przetwarzania. Przy każdej podstawie z art. 6 ust. 1 lit. f RODO wskazano konkretny prawnie uzasadniony interes Administratora.

5.1. Dane konta i użytkowników biur

Kategoria danych	Cel przetwarzania	Podstawa prawna (RODO)
Adres e-mail (login), imię użytkownika, rola/uprawnienia, identyfikator biura (tenant)	Założenie i prowadzenie konta, uwierzytelnianie, udostępnienie funkcji Aplikacji, komunikacja serwisowa, przypisanie użytkownika do właściwego konta i izolacja danych	Art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usług drogą elektroniczną)
Hasło — przechowywane wyłącznie jako skrót kryptograficzny (hash), nigdy w postaci jawnej	Bezpieczne uwierzytelnianie dostępu do konta	Art. 6 ust. 1 lit. b RODO oraz art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes polegający na zapewnieniu bezpieczeństwa uwierzytelniania i ochronie kont przed nieuprawnionym dostępem
Logi logowania i aktywności technicznej (data, czas, adres IP zdarzeń uwierzytelniania), w tym kody jednorazowe w ramach opcjonalnego uwierzytelniania dwuskładnikowego (2FA SMS), jeśli zostanie uruchomione	Bezpieczeństwo konta, wykrywanie nadużyć, rozliczalność, diagnostyka	Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes polegający na zapewnieniu bezpieczeństwa i integralności Usługi oraz wykrywaniu i zapobieganiu nadużyciom

5.2. Dane rozliczeniowe biura

Kategoria danych	Cel przetwarzania	Podstawa prawna (RODO)
Nazwa biura / firma	Identyfikacja konta, zawarcie i wykonanie umowy	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)
Dane rejestrowe i rozliczeniowe (NIP, adres, dane do faktur)	Zawarcie i wykonanie umowy, wystawianie i przechowywanie dokumentów księgowych, realizacja obowiązków podatkowych	Art. 6 ust. 1 lit. b RODO (umowa) oraz art. 6 ust. 1 lit. c RODO (obowiązek prawny — przepisy o rachunkowości i prawo podatkowe)

Uwaga: dane rejestrowe biura stanowią dane osobowe, gdy biuro prowadzi jednoosobową działalność gospodarczą. W przypadku spółek dane rejestrowe co do zasady nie są danymi osobowymi, lecz dane kontaktowe ich reprezentantów już tak.

5.3. Dane techniczne osób odwiedzających landing

Kategoria danych	Cel przetwarzania	Podstawa prawna (RODO)
Adres IP, dane przeglądarki/urządzenia, system operacyjny, data i czas, podstawowe logi serwera	Zapewnienie działania i bezpieczeństwa serwisu, diagnostyka, zapobieganie nadużyciom	Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes polegający na zapewnieniu prawidłowego i bezpiecznego działania serwisu oraz ochronie przed nadużyciami
Pliki cookies sesyjne / niezbędne	Utrzymanie sesji zalogowanego użytkownika, działanie podstawowych funkcji serwisu	Zapis/odczyt cookies niezbędnych — przepisy o komunikacji elektronicznej (patrz sekcja 9); dalsze przetwarzanie danych — art. 6 ust. 1 lit. f RODO

5.4. Newsletter (marketing własny)

Kategoria danych	Cel przetwarzania	Podstawa prawna (RODO)
Adres e-mail podany w formularzu zapisu na newsletter (na landingu)	Wysyłka newslettera i informacji o nowościach, funkcjach i promocjach dotyczących Odlot CRM	Art. 6 ust. 1 lit. a RODO (zgoda na przetwarzanie danych w celu marketingu) w powiązaniu z art. 6 ust. 1 lit. f RODO (marketing własnych usług). Odrębnie — wysyłka wiadomości marketingowych kanałem elektronicznym (e-mail) odbywa się na podstawie odrębnej zgody na komunikację elektroniczną (patrz pkt 5.6)

5.5. Pozostałe cele

Cel	Podstawa prawna (RODO)
Obsługa zapytań kierowanych do Administratora (np. mailem, przez formularz kontaktowy)	Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes polegający na udzieleniu odpowiedzi na zapytanie
Rozpatrywanie reklamacji dotyczących Usługi (tryb umowny, przedsiębiorca-przedsiębiorca)	Art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes w prawidłowej obsłudze relacji umownej
Obsługa zgłoszeń dotyczących treści wprowadzanych przez użytkowników do Aplikacji (mechanizm zgłaszania niedozwolonych treści)	Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes polegający na zapewnieniu zgodności z prawem treści udostępnianych w ramach Usługi oraz, w stosownym zakresie, art. 6 ust. 1 lit. c RODO (obowiązki wynikające z przepisów o usługach cyfrowych)
Ustalenie, dochodzenie lub obrona roszczeń związanych z korzystaniem z Usługi	Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes polegający na możliwości ustalenia, dochodzenia i obrony roszczeń
Realizacja obowiązków księgowych, podatkowych i archiwizacyjnych	Art. 6 ust. 1 lit. c RODO (obowiązek prawny)
Wypełnianie obowiązków wynikających z przepisów o ochronie danych osobowych (m.in. realizacja praw osób, prowadzenie rejestrów)	Art. 6 ust. 1 lit. c RODO (obowiązek prawny)

5.6. Marketing a komunikacja elektroniczna — dwie odrębne podstawy. Należy rozróżnić:

a) podstawę przetwarzania danych w celu marketingu (RODO — art. 6 ust. 1 lit. a lub lit. f); oraz
b) zgodę na sam kanał komunikacji elektronicznej (np. wysyłka newslettera e-mailem), która jest wymagana niezależnie od podstawy z RODO — na podstawie przepisów o świadczeniu usług drogą elektroniczną oraz prawa komunikacji elektronicznej.

Oznacza to, że sam prawnie uzasadniony interes (lit. f) nie wystarcza do wysłania wiadomości marketingowej e-mailem — konieczna jest uprzednia, dobrowolna zgoda na komunikację danym kanałem. Zgodę tę można w każdej chwili wycofać ze skutkiem na przyszłość, bez wpływu na zgodność z prawem działań sprzed wycofania (np. poprzez kliknięcie linku rezygnacji w stopce wiadomości lub kontakt z Administratorem).

5.7. Zautomatyzowane podejmowanie decyzji. Administrator nie podejmuje wobec osób, których dane dotyczą, decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołujących skutki prawne lub w podobny sposób istotnie na nie wpływających (art. 22 RODO). Automatyczna wysyłka przypomnień o ratach (realizowana na polecenie biura, w roli procesora) nie stanowi takiej decyzji.

6. Źródło pochodzenia danych (art. 14 RODO) — konta zakładane przez biuro

6.1. Co do zasady dane konta pozyskujemy bezpośrednio od osoby, której dane dotyczą (osoba sama zakłada lub uzupełnia konto). W takim przypadku stosuje się obowiązek informacyjny z art. 13 RODO.

6.2. Dane pozyskiwane nie od osoby, której dotyczą (art. 14 RODO). Jeżeli właściciel lub administrator konta biura zakłada konta swoim pracownikom / współpracownikom (podając np. ich imię, adres e-mail i rolę), to wobec tych osób Odlot CRM pozyskuje dane nie bezpośrednio od nich, lecz od biura podróży. W takiej sytuacji:

Źródło pochodzenia danych (art. 14 ust. 2 lit. f RODO): dane pochodzą od biura podróży, które utworzyło konto użytkownika.
Kategorie danych: imię, adres e-mail (login), rola/uprawnienia, identyfikator biura.
Cele i podstawy prawne: jak w sekcji 5 (przede wszystkim wykonanie umowy o świadczenie Usługi oraz prawnie uzasadniony interes w zakresie bezpieczeństwa).
Termin podania informacji (art. 14 ust. 3 RODO): informację udostępnia się takiej osobie najpóźniej przy pierwszym kontakcie (np. przy pierwszym logowaniu / aktywacji konta) lub w rozsądnym terminie, nie później niż w ciągu miesiąca od pozyskania danych.
Osobie tej przysługują wszystkie prawa wskazane w sekcji 10.

DO PRZEGLĄDU PRAWNEGO: potwierdzić mechanizm i moment realizacji obowiązku z art. 14 RODO dla kont pracowników zakładanych przez biuro (np. komunikat informacyjny przy aktywacji konta).

7. Odbiorcy danych i podprocesorzy (dostawcy)

7.1. W celu świadczenia Usługi Odlot CRM korzysta z zewnętrznych dostawców (podmiotów przetwarzających / podprocesorów), którzy przetwarzają dane na podstawie zawartych umów powierzenia (art. 28 RODO) i wyłącznie w zakresie niezbędnym do świadczenia ich usług.

7.2. Zakres poniższego zestawienia. Poniższe zestawienie dotyczy wyłącznie danych, których Odlot CRM jest Administratorem (dane kont i użytkowników biur, dane rozliczeniowe biura, dane odwiedzających, dane newslettera). Zakres i zasady przetwarzania danych turystów — wobec których Odlot CRM jest procesorem — regulują odrębne umowy powierzenia (DPA), a nie niniejsza Polityka.

7.3. Kategorie odbiorców. Odbiorcami danych Administratora mogą być:

dostawcy infrastruktury i usług technicznych (podmioty przetwarzające wskazane w pkt 7.4);
dostawcy płatności, fakturowania i marketingu, którzy w odniesieniu do danych biura-płatnika występują jako odrębni administratorzy (pkt 7.5);
podmioty świadczące usługi księgowe, prawne lub doradcze — na podstawie odrębnych umów;
organy publiczne uprawnione na podstawie przepisów prawa (np. organy podatkowe, sądy, organy ścigania) — wyłącznie gdy obowiązek udostępnienia wynika z przepisów prawa. Organy publiczne, które mogą otrzymywać dane w ramach konkretnego postępowania prowadzonego na podstawie prawa, nie są uznawane za odbiorców w rozumieniu art. 4 pkt 9 RODO.

7.4. Podmioty przetwarzające (podprocesorzy) — w roli Administratora:

7.4.1. Supabase, Inc.

Rola / cel: baza danych, system uwierzytelniania (Supabase Auth), przechowywanie plików (storage).
Zakres danych Administratora: dane kont i użytkowników biur (e-mail, imię, rola, identyfikator biura, hash hasła, logi logowania) oraz dane rozliczeniowe biura.
Lokalizacja przetwarzania: Unia Europejska — region eu-west-1 (Irlandia, EOG).
Transfer poza EOG: dane hostowane są w UE; spółka ma jednak siedzibę w USA, co może wiązać się z możliwym dostępem do danych spoza EOG → zabezpieczenie: umowa powierzenia (DPA) + standardowe klauzule umowne (SCC) zgodnie z decyzją wykonawczą Komisji (UE) 2021/914. Patrz sekcja 8.

7.4.2. Vercel, Inc.

Rola / cel: hosting aplikacji webowej (warstwa serwera, API, zadania cron przypomnień).
Zakres danych Administratora: dane przechodzące przez warstwę aplikacji w tranzycie (m.in. dane logowania i dane sesji użytkowników biur); Vercel co do zasady nie składuje trwale danych osobowych.
Lokalizacja przetwarzania: USA / globalna sieć brzegowa (region funkcji konfigurowalny).
Transfer poza EOG: tak → zabezpieczenie: DPA + standardowe klauzule umowne (SCC) zgodnie z decyzją wykonawczą Komisji (UE) 2021/914. Patrz sekcja 8.

7.4.3. Resend, Inc.

Rola / cel: wysyłka transakcyjnych wiadomości e-mail (m.in. komunikaty serwisowe do użytkowników biur).
Zakres danych Administratora: adres e-mail użytkownika biura oraz treść komunikatu serwisowego.
Lokalizacja przetwarzania: USA.
Transfer poza EOG: tak → zabezpieczenie: DPA + standardowe klauzule umowne (SCC) zgodnie z decyzją wykonawczą Komisji (UE) 2021/914. Patrz sekcja 8.

7.4.4. SMSAPI (LINK Mobility Poland sp. z o.o.)

Rola / cel: wysyłka wiadomości SMS (m.in. komunikaty serwisowe i, opcjonalnie, kody 2FA do użytkowników biur).
Zakres danych Administratora: numer telefonu użytkownika biura oraz treść komunikatu, jeśli funkcja taka jest wykorzystywana.
Lokalizacja przetwarzania: Polska / Unia Europejska (EOG).
Transfer poza EOG: nie (przetwarzanie w UE).

7.5. Odrębni administratorzy (nie podprocesorzy). Następujący dostawcy, w odniesieniu do danych biura-płatnika, ustalają samodzielnie cele i sposoby przetwarzania i występują jako odrębni administratorzy danych — nie jako podmioty przetwarzające w imieniu Odlot CRM:

PayU S.A. — obsługa płatności online (w tym płatności za abonament i pakiety SMS); przetwarza dane biura-płatnika jako odrębny administrator.
Fakturownia sp. z o.o. — wystawianie i obieg faktur; przetwarza dane rozliczeniowe biura jako odrębny administrator.

DO PRZEGLĄDU PRAWNEGO: zweryfikować zaklasyfikowanie PayU i Fakturownia (odrębny administrator vs procesor) na podstawie ich aktualnych regulaminów i polityk.

7.5a. Newsletter marketingowy (Brevo). W zakresie newslettera marketingowego dane subskrybentów przetwarzamy jako administrator (MW DIGITAL sp. z o.o.), korzystając z Brevo (dawniej Sendinblue) jako podmiotu przetwarzającego działającego na nasze zlecenie i na podstawie zawartej z nim umowy powierzenia. Brevo nie otrzymuje danych powierzonych przez biura (danych turystów z CRM) — przetwarza wyłącznie dane osób, które samodzielnie zapisały się do newslettera. [___ DO PRZEGLĄDU: potwierdzić rolę Brevo w umowie z dostawcą oraz ewentualne transfery poza EOG i ich zabezpieczenie].

7.6. GitHub (hosting kodu źródłowego) — repozytorium kodu nie zawiera produkcyjnych danych osobowych (sekrety i pliki konfiguracyjne nie są umieszczane w repozytorium), w związku z czym GitHub nie jest podprocesorem w rozumieniu RODO w odniesieniu do danych osobowych.

7.7. O istotnych zmianach na liście podprocesorów (dodanie lub zmiana dostawcy) Administrator informuje z odpowiednim wyprzedzeniem.

8. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

8.1. Część dostawców wskazanych w sekcji 7 ma siedzibę poza EOG (w Stanach Zjednoczonych), co może wiązać się z przekazywaniem danych osobowych poza EOG. Należy odróżnić lokalizację fizycznego przetwarzania danych (np. hosting w UE) od siedziby dostawcy, z której może wynikać możliwy dostęp do danych spoza EOG.

8.2. Podstawą każdego takiego transferu są standardowe klauzule umowne (Standard Contractual Clauses, SCC) przyjęte decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r., stanowiące odpowiednie zabezpieczenie w rozumieniu art. 46 ust. 2 lit. c RODO, zawarte w ramach umów powierzenia (DPA) z poszczególnymi dostawcami. W stosownych przypadkach Administrator weryfikuje również objęcie dostawcy programem EU–U.S. Data Privacy Framework, jeżeli ma to zastosowanie.

8.3. Zestawienie transferów poza EOG (w zakresie danych Administratora):

Dostawca	Siedziba	Lokalizacja przetwarzania	Transfer poza EOG	Mechanizm zabezpieczenia
Supabase, Inc.	USA	UE (eu-west-1, Irlandia)	Tak — z uwagi na siedzibę dostawcy (możliwy dostęp spoza EOG)	DPA + SCC, decyzja (UE) 2021/914 (art. 46 ust. 2 lit. c RODO)
Vercel, Inc.	USA	USA / sieć brzegowa	Tak	DPA + SCC, decyzja (UE) 2021/914
Resend, Inc.	USA	USA	Tak	DPA + SCC, decyzja (UE) 2021/914
SMSAPI (LINK Mobility Poland sp. z o.o.)	Polska	Polska / UE	Nie	— (przetwarzanie w UE)

8.4. W stosownych przypadkach Administrator stosuje dodatkowe środki uzupełniające (np. szyfrowanie transmisji, minimalizacja danych).

8.5. Osoba, której dane dotyczą, może uzyskać kopię stosowanych zabezpieczeń (SCC) lub informację o miejscu ich udostępnienia, kontaktując się pod adresem info@odlotcrm.pl.

9. Pliki cookies i podobne technologie

9.1. Serwis Odlot CRM (w szczególności landing odlotcrm.pl) wykorzystuje pliki cookies oraz podobne technologie. Aplikacja app.odlotcrm.pl wykorzystuje przede wszystkim cookies niezbędne do utrzymania sesji zalogowanego użytkownika.

9.2. Rodzaje wykorzystywanych cookies:

Rodzaj	Cel	Podstawa / zgoda
Niezbędne / sesyjne	Utrzymanie sesji zalogowanego użytkownika, działanie podstawowych funkcji serwisu, bezpieczeństwo	Niezbędne do świadczenia Usługi — zgoda na zapis/odczyt nie jest wymagana (przepisy o komunikacji elektronicznej). Dalsze przetwarzanie danych pozyskanych z cookies opiera się na art. 6 ust. 1 lit. f RODO
Analityczne / marketingowe (jeśli uruchomione na landingu)	Statystyka odwiedzin, ulepszanie strony, działania marketingowe	Uruchamiane wyłącznie po uzyskaniu uprzedniej zgody (zgoda na zapis/odczyt — przepisy o komunikacji elektronicznej; przetwarzanie danych — art. 6 ust. 1 lit. a RODO) za pośrednictwem banera zgód rozróżniającego kategorie

9.3. Większość niezbędnych plików cookies ma charakter sesyjny i jest usuwana po zamknięciu przeglądarki; niektóre pozostają w urządzeniu końcowym przez okres do [___ uzupełnić liczbę miesięcy] miesięcy lub do momentu ich usunięcia.

9.4. Jeżeli na landingu wykorzystywane są narzędzia analityczne lub marketingowe podmiotów trzecich, informacja o nich (dostawca, funkcje, zakres danych, okres działania) zostanie zamieszczona poniżej, a baner zgód będzie rozróżniał kategorie cookies (niezbędne / analityczne / marketingowe). [___ uzupełnić tabelę narzędzi cookies, jeśli i gdy zostaną wdrożone, np. nazwa, dostawca, funkcje, okres działania].

9.5. Użytkownik może zarządzać cookies z poziomu ustawień przeglądarki, w tym je blokować lub usuwać; ograniczenie cookies niezbędnych może jednak uniemożliwić korzystanie z części funkcji serwisu.

DO PRZEGLĄDU PRAWNEGO: dostosować podstawę prawną cookies do aktualnie obowiązującej ustawy — Prawo komunikacji elektronicznej (zastępujące dotychczasowe Prawo telekomunikacyjne) wraz z przepisami przejściowymi.

10. Prawa osób, których dane dotyczą, i procedura ich realizacji

10.1. W zakresie danych, których Odlot CRM jest Administratorem, osobom, których dane dotyczą, przysługują następujące prawa:

a. Prawo dostępu do danych (art. 15 RODO) — uzyskanie informacji o przetwarzaniu oraz kopii danych. Wydanie pierwszej kopii jest bezpłatne; za kolejne Administrator może naliczyć rozsądną opłatę. b. Prawo do sprostowania (art. 16 RODO) — poprawienia danych nieprawidłowych lub uzupełnienia niekompletnych. c. Prawo do usunięcia danych („prawo do bycia zapomnianym", art. 17 RODO) — w przypadkach przewidzianych przepisami. d. Prawo do ograniczenia przetwarzania (art. 18 RODO). e. Prawo do przenoszenia danych (art. 20 RODO) — otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Prawo to dotyczy wyłącznie danych przetwarzanych na podstawie zgody (art. 6 ust. 1 lit. a) lub umowy (art. 6 ust. 1 lit. b) i w sposób zautomatyzowany. f. Prawo do sprzeciwu (art. 21 RODO) — wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f). Wobec przetwarzania na potrzeby marketingu bezpośredniego sprzeciw jest bezwarunkowy — po jego wniesieniu Administratorowi nie wolno dalej przetwarzać danych w tym celu (art. 21 ust. 2 i 3 RODO). g. Prawo do wycofania zgody w dowolnym momencie (art. 7 ust. 3 RODO) — bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem; dotyczy danych przetwarzanych na podstawie zgody (art. 6 ust. 1 lit. a) oraz odrębnej zgody na komunikację elektroniczną (pkt 5.6).

10.2. Procedura realizacji praw:

Żądanie należy zgłosić na adres info@odlotcrm.pl lub korespondencyjnie na adres Administratora (pkt 2.1).
Administrator może zwrócić się o dodatkowe informacje w celu potwierdzenia tożsamości osoby składającej żądanie, gdy istnieją uzasadnione wątpliwości co do tożsamości wnioskodawcy (art. 12 ust. 6 RODO).
Administrator udziela odpowiedzi bez zbędnej zwłoki, nie później niż w terminie 1 miesiąca od otrzymania żądania. Termin może zostać przedłużony o kolejne 2 miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań — o przedłużeniu i jego przyczynach osoba zostanie poinformowana w ciągu pierwszego miesiąca (art. 12 ust. 3 RODO).
Realizacja praw jest co do zasady bezpłatna; w przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych Administrator może pobrać rozsądną opłatę albo odmówić podjęcia działania (art. 12 ust. 5 RODO).

10.3. Żądania dotyczące danych turystów. Jeżeli żądanie dotyczy danych przetwarzanych przez Odlot CRM jako procesora (dane wprowadzone przez biuro), należy je kierować do właściwego biura podróży jako administratora tych danych. Odlot CRM przekaże takie żądanie właściwemu biuru i udzieli mu wsparcia zgodnie z umową powierzenia.

10.4. Prawo do wniesienia skargi do organu nadzorczego. Osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, którym w Polsce jest (art. 77 RODO):

Prezes Urzędu Ochrony Danych Osobowych (PUODO) ul. Stawki 2, 00-193 Warszawa https://uodo.gov.pl

11. Okresy przechowywania danych (retencja) — per kategoria

11.1. Dane przechowywane są nie dłużej, niż jest to niezbędne do celów, dla których zostały zebrane, z uwzględnieniem obowiązków prawnych oraz terminów przedawnienia roszczeń.

Kategoria danych	Okres przechowywania
Dane konta i użytkowników biura (e-mail, imię, rola, hash hasła, ID biura)	Przez czas obowiązywania umowy / posiadania konta, a po jego zamknięciu — do upływu okresu przedawnienia roszczeń. Roszczenia związane z prowadzeniem działalności gospodarczej oraz roszczenia okresowe przedawniają się co do zasady z upływem 3 lat, ogólny termin przedawnienia wynosi 6 lat (art. 118 k.c.)
Dane rozliczeniowe / rejestrowe biura	Przez czas trwania umowy oraz okres przedawnienia roszczeń
Dane na fakturach i w dokumentacji księgowej	5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku (zgodnie z przepisami podatkowymi i o rachunkowości)
Dane newslettera (adres e-mail)	Do czasu wycofania zgody lub skutecznego wniesienia sprzeciwu, albo ustania celu przetwarzania
Logi logowania / logi bezpieczeństwa	Co do zasady do 12 miesięcy, chyba że dłuższe przechowywanie jest niezbędne do wyjaśnienia incydentu bezpieczeństwa lub dochodzenia roszczeń
Logi serwera, adres IP odwiedzających	Co do zasady do 12 miesięcy w celach bezpieczeństwa i diagnostyki
Cookies sesyjne / niezbędne	Do zakończenia sesji przeglądarki lub na okres określony w sekcji 9
Dane przetwarzane w celu ustalenia, dochodzenia lub obrony roszczeń	Do upływu właściwego okresu przedawnienia roszczeń

DO PRZEGLĄDU PRAWNEGO: potwierdzić i dostosować okresy przedawnienia oraz retencji logów w zależności od charakteru roszczeń i przyjętej polityki bezpieczeństwa.

11.2. Po upływie okresów retencji dane są usuwane lub anonimizowane. Kopie zapasowe są nadpisywane / usuwane zgodnie z cyklem ich rotacji po stronie dostawcy infrastruktury.

12. Dobrowolność podania danych i konsekwencje niepodania

12.1. Podanie danych jest dobrowolne, jednak w zakresie wskazanym poniżej stanowi wymóg umowny niezbędny do zawarcia i wykonania umowy o świadczenie Usługi:

Kategoria danych	Charakter	Konsekwencje niepodania
Adres e-mail, hasło, imię użytkownika, nazwa biura	Wymóg umowny (art. 13 ust. 2 lit. e RODO)	Brak możliwości założenia konta i korzystania z Aplikacji
Dane rejestrowe / rozliczeniowe (NIP, adres)	Wymóg ustawowy, gdy powstaje obowiązek wystawienia faktury	Brak możliwości prawidłowego rozliczenia / wystawienia dokumentu księgowego
Dane techniczne (IP, logi, cookies niezbędne)	Zbierane automatycznie podczas korzystania z serwisu; niezbędne do działania i bezpieczeństwa	Brak możliwości prawidłowego i bezpiecznego korzystania z serwisu
Adres e-mail do newslettera	W pełni dobrowolny	Brak możliwości otrzymywania newslettera; nie wpływa na korzystanie z Usługi

12.2. Zgoda na komunikację marketingową (pkt 5.6) oraz dane podawane wyłącznie w celach marketingowych są w pełni dobrowolne — ich niepodanie nie wpływa na możliwość korzystania z Usługi.

13. Bezpieczeństwo danych — środki techniczne i organizacyjne (art. 32 RODO)

13.1. Administrator stosuje środki techniczne i organizacyjne odpowiednie do ryzyka, zgodnie z art. 32 RODO, w celu zapewnienia poufności, integralności, dostępności i odporności systemów przetwarzania:

Środki techniczne:

Szyfrowanie transmisji danych przy użyciu protokołu HTTPS / TLS — dane „w drodze" są zaszyfrowane.
Hasła przechowywane wyłącznie jako hash (mechanizm Supabase Auth) — bez przechowywania haseł w postaci jawnej.
Izolacja danych między biurami przy użyciu mechanizmu Row Level Security (RLS) w bazie danych — dane jednego biura nie są dostępne dla innego (kluczowe w architekturze multi-tenant).
Hosting bazy danych w Unii Europejskiej (region eu-west-1, Irlandia).
Opcjonalne uwierzytelnianie dwuskładnikowe (2FA SMS) dla kont użytkowników, jeśli zostanie uruchomione.
Kopie zapasowe realizowane po stronie dostawcy infrastruktury, zapewniające odtwarzalność danych.

Środki organizacyjne:

Kontrola dostępu oparta na rolach — uprawnienia użytkowników ograniczone do zakresu wynikającego z ich roli.
Zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO) — przetwarzane są wyłącznie dane niezbędne do realizacji celów.
Zawieranie umów powierzenia (DPA) ze wszystkimi dostawcami przetwarzającymi dane w roli podprocesorów.
Ograniczenie dostępu do danych produkcyjnych oraz niezamieszczanie sekretów w repozytorium kodu.

13.2. Naruszenia ochrony danych (art. 33 i 34 RODO). W razie stwierdzenia naruszenia ochrony danych osobowych Administrator podejmuje działania zgodnie z art. 33 i 34 RODO, w tym — gdy ma to zastosowanie — zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w terminie 72 godzin od stwierdzenia naruszenia, oraz — w razie wysokiego ryzyka naruszenia praw lub wolności osób — zawiadamia osoby, których dane dotyczą. W odniesieniu do danych powierzonych (turystów) Administrator-procesor zgłasza naruszenie biuru podróży jako administratorowi zgodnie z umową powierzenia (art. 33 ust. 2 RODO).

13.3. Mimo stosowanych zabezpieczeń żadna metoda transmisji ani przechowywania danych nie jest w 100% bezpieczna; Administrator dokłada należytej staranności, by ryzyko to minimalizować zgodnie z aktualnym stanem wiedzy technicznej.

14. Zmiany Polityki prywatności i postanowienia końcowe

14.1. Administrator zastrzega sobie prawo do aktualizacji niniejszej Polityki, w szczególności w razie zmian przepisów, technologii, listy podprocesorów lub zakresu Usługi.

14.2. O istotnych zmianach użytkownicy zostaną poinformowani w odpowiedni sposób (np. komunikatem w Aplikacji lub wiadomością e-mail). Aktualna wersja Polityki jest każdorazowo dostępna w serwisie Odlot CRM.

14.3. W zakresie nieuregulowanym Polityką stosuje się powszechnie obowiązujące przepisy o ochronie danych osobowych.

14.4. Niniejsza Polityka obowiązuje od dnia 2026-06-23. Wersja: 1.0 (projekt).