martch

Polityka prywatności

Ostatnia aktualizacja: 2026-06-06

1. Administrator danych

Administratorem danych osobowych jest:

  • Marcin Chołaściński
  • NIP: 9721222681
  • Adres: ul. Piotra Ściegiennego 67/12, 60-136 Poznań
  • E-mail kontaktowy: hello@martch.app

W sprawach dotyczących ochrony danych osobowych, w tym wykonywania praw RODO opisanych w sekcji 4, prosimy o kontakt na wskazany powyżej e-mail. Odpowiadamy w terminie do 30 dni.

2. Cele i podstawy prawne przetwarzania

  • Świadczenie usługi (generowanie planów, zarządzanie kontem, płatności) — podstawa prawna: niezbędność do wykonania umowy (art. 6 ust. 1 lit. b RODO) oraz uzasadniony interes administratora w zapewnieniu bezpieczeństwa i jakości usługi (art. 6 ust. 1 lit. f RODO).
  • Komunikacja z Użytkownikiem (e-mail kontaktowy, odpowiedzi na zgłoszenia) — podstawa prawna: zgoda Użytkownika (art. 6 ust. 1 lit. a RODO) oraz uzasadniony interes administratora w odpowiadaniu na zapytania.
  • Marketing własnych usług (opcjonalny newsletter, informacje o nowych funkcjach) — podstawa prawna: zgoda Użytkownika wyrażona przez aktywne zaznaczenie checkboxa (opt-in, art. 6 ust. 1 lit. a RODO). Zgodę można w każdej chwili wycofać.
  • Analityka produktowa (PostHog — tylko cookies analityczne) — podstawa prawna: zgoda Użytkownika wyrażona w banerze cookies (art. 6 ust. 1 lit. a RODO). Domyślnie wyłączone.
  • Wystawianie faktur i obowiązki podatkowe — podstawa prawna: obowiązek prawny administratora (art. 6 ust. 1 lit. c RODO) wynikający z przepisów ustawy o podatku VAT.

3. Podmioty przetwarzające (lista DPA)

Korzystamy z następujących podmiotów przetwarzających dane w naszym imieniu. Każda umowa powierzenia (DPA) jest dostępna pod podanym poniżej linkiem:

  • Vercel Hosting aplikacji i funkcje serverless. Serwery: USA (regiony Vercel). Transfer: DPF (art. 45) z SCC (art. 46 RODO) jako zabezpieczenie. Umowa powierzenia (DPA)
  • Supabase Baza danych i uwierzytelnianie. Serwery: UE (Frankfurt, AWS eu-central-1). Umowa powierzenia (DPA)
  • Google (Gemini AI + Maps Routes + Places) Generowanie planów, weryfikacja miejsc, obliczanie tras. Serwery: USA. Transfer: DPF (art. 45) z SCC (art. 46 RODO) jako zabezpieczenie. Dane przesyłane: nazwa miasta, daty, adresy publicznych miejsc — bez danych osobowych. Umowa powierzenia (DPA)
  • Resend Wysyłka e-maili transakcyjnych (potwierdzenia, powiadomienia). Serwery: UE/USA z SCC. Dane: adres e-mail konta przekazywany tylko podczas wysyłki. Umowa powierzenia (DPA)
  • LemonSqueezy Procesor płatności i merchant of record dla UE VAT. Serwery: UE/USA z SCC. Dane: adres e-mail, dane do faktury, dane transakcji. Umowa powierzenia (DPA)
  • Sentry Monitorowanie błędów (dane techniczne stack-trace, PII zanonimizowane przed wysłaniem). Bez nagrywania sesji (session replay wyłączony). Serwery: UE. Umowa powierzenia (DPA)
  • Cloudflare Turnstile Ochrona przed botami na formularzach logowania i rejestracji (niewidoczny CAPTCHA). Serwery: USA. Transfer: DPF (art. 45) z SCC (art. 46 RODO) jako zabezpieczenie. Dane: adres IP i sygnały przeglądarki. Patrz: Cloudflare Turnstile Privacy Addendum. Umowa powierzenia (DPA)
  • Vercel Speed Insights Pomiar Core Web Vitals (wydajność stron). Serwery: USA. Transfer: DPF (art. 45) z SCC (art. 46 RODO) jako zabezpieczenie. Dane: techniczne metryki urządzenia i sieci. Umowa powierzenia (DPA)
  • Adobe Fonts (Typekit) Dostarczanie czcionki marki. Serwery: USA. Dane: adres IP i referrer przy pobraniu czcionki. Umowa powierzenia (DPA)
  • PostHog Analityka produktowa, wyłącznie za zgodą w banerze cookies. Serwery: UE. Umowa powierzenia (DPA)

4. Twoje prawa (RODO)

Jeśli jesteś w UE/EOG, przysługują Ci następujące prawa dotyczące Twoich danych:

  • Prawo dostępu — kopia danych, które przechowujemy.
  • Prawo do sprostowania — korekta nieprawidłowych danych.
  • Prawo do usunięcia — usuń konto samodzielnie (Konto, Usuń konto) lub wyślij prośbę na hello@martch.app.
  • Prawo do przenoszenia danych — eksport danych w formacie maszynowym na żądanie.
  • Prawo do sprzeciwu — wobec przetwarzania na podstawie uzasadnionego interesu.
  • Prawo do wycofania zgody — dotyczy zgód udzielonych na marketing i analitykę.
  • Prawo do skargi do organu nadzorczego (w Polsce: Prezes Urzędu Ochrony Danych Osobowych).

Wycofanie zgody w 14 dni

Zgodnie z wymogami obowiązującymi od 19 czerwca 2026 r. udostępniamy uproszczoną ścieżkę wycofania zgody marketingowej i analitycznej. Kliknij poniższy przycisk lub napisz do nas, a w terminie 14 dni potwierdzimy realizację wniosku:

Wycofaj zgodę (e-mail) Po wpięciu płatności LemonSqueezy zastąpimy ten link przyciskiem „Wycofaj zgodę” w aplikacji (Konto).

5. Okresy retencji danych

  • Dane konta (e-mail, dane uwierzytelniające) — do momentu usunięcia konta przez Użytkownika lub po 24 miesiącach nieaktywności (powiadomienie e-mail przed usunięciem).
  • Wygenerowane plany wyjazdów — 5 lat od daty ostatniej modyfikacji planu (po tym okresie automatyczne usunięcie).
  • Logi serwera (IP, znaczniki czasu, kody odpowiedzi) — maksymalnie 30 dni.
  • Dane faktur (e-mail, dane do faktury, transakcje) — 5 lat zgodnie z obowiązkiem podatkowym (Ordynacja podatkowa).
  • Zgoda marketingowa — do momentu wycofania zgody przez Użytkownika.
  • Cookies analityczne (PostHog) — maksymalnie 12 miesięcy od ostatniej wizyty.

6. Międzynarodowy transfer danych

Niektóre podmioty przetwarzające (zobacz sekcja 3) mają siedzibę lub serwery poza Europejskim Obszarem Gospodarczym, w szczególności w Stanach Zjednoczonych:

  • Vercel — hosting aplikacji, serwery USA.
  • Google — Gemini AI, Maps Routes, Places API, serwery USA.
  • Cloudflare Turnstile – ochrona przed botami, serwery USA.
  • Vercel Speed Insights – metryki wydajności, serwery USA.
  • Adobe Fonts – czcionka marki, serwery USA.

Transfer danych do USA opiera się na strukturze dwutorowej. Podstawą podstawową jest decyzja Komisji Europejskiej o odpowiednim stopniu ochrony (art. 45 RODO) – wszyscy wymienieni dostawcy są certyfikowani w ramach EU–US Data Privacy Framework (DPF). Jako zabezpieczenie na wypadek zmiany statusu DPF zawarliśmy z każdym z nich umowę powierzenia opartą na Standardowych Klauzulach Umownych (SCC) zgodnie z art. 46 RODO.

Możesz w każdej chwili poprosić o kopię stosowanych zabezpieczeń (DPF/SCC) dotyczącą konkretnego transferu – napisz na hello@martch.app.