Polityka Prywatności Evnyo

Witamy na platformie Evnyo, rozwiązaniu SaaS typu pay-per-event przeznaczonym dla europejskich MŚP do zarządzania ich wydarzeniami. Ochrona Państwa danych osobowych jest naszym absolutnym priorytetem. Niniejsza polityka prywatności wyjaśnia w sposób transparentny, jak Evnyo przetwarza Państwa dane, w pełnej zgodności z Rozporządzeniem (UE) 2016/679 (RODO) oraz obowiązującymi ustawami krajowymi. Sporządzona zgodnie z najwyższymi standardami prawnymi, niniejsza polityka odzwierciedla nasze zaangażowanie w zakresie prywatności i bezpieczeństwa. Opisujemy cele przetwarzania danych, nasze podstawy prawne, podmioty przetwarzające, które wykorzystujemy, wdrożone środki bezpieczeństwa, Państwa prawa oraz sposób ich wykonywania.

Evnyo zobowiązuje się do przestrzegania zasad zgodności z prawem, rzetelności, przejrzystości, minimalizacji danych oraz ograniczenia celu przewidzianych w RODO. Zapewniamy również rozliczalność (accountability) poprzez rygorystyczne dokumentowanie naszej zgodności. Korzystając z naszej platformy, zachowują Państwo kontrolę nad swoimi danymi: używamy ich tylko do celów wyraźnie opisanych poniżej i nigdy ich nie komercjalizujemy.

Administratorem danych zebranych za pośrednictwem platformy Evnyo jest MACK, francuska spółka z ograniczoną odpowiedzialnością o kapitale zakładowym 246 389,00 €, z siedzibą APPARTEMENT 6 2 ALL SAINT MICHEL 59890 QUESNOY SUR DEULE, zarejestrowana w Rejestrze Handlowym i Spółek Lille Métropole pod numerem 852 895 747, SIRET 85289574700032 (dalej "Evnyo" lub "my"). Jako administrator danych, określamy cele i środki przetwarzania związane z zarządzaniem stroną i kontami klientów. Ponadto, gdy przetwarzamy dane uczestników w imieniu naszych klientów (organizatorów wydarzeń), działamy w charakterze podmiotu przetwarzającego zgodnie z art. 28 RODO (patrz sekcja "Powierzenie Przetwarzania" poniżej).

Wyznaczenie Inspektora Ochrony Danych (IOD): Jako MŚP, Evnyo nie ma prawnego obowiązku wyznaczenia IOD w rozumieniu art. 37 RODO i równoważnych przepisów krajowych, ponieważ nasza główna działalność nie polega na przetwarzaniu na dużą skalę wymagającym regularnego i systematycznego monitorowania osób, których dane dotyczą, ani na przetwarzaniu na dużą skalę szczególnych kategorii danych. Ocena ta została przeprowadzona zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (EDPB) i organów krajowych. Jednakże, dla przejrzystości i ciągłego doskonalenia naszych praktyk, zdecydowaliśmy się wyznaczyć odpowiedzialnego za ochronę danych.

Właściwe organy nadzorcze: W zależności od miejsca Państwa zamieszkania, właściwym organem nadzorczym jest:

• Francja: Commission Nationale de l'Informatique et des Libertés (CNIL)
• Wielka Brytania: Information Commissioner's Office (ICO)
• Niemcy: Organy ochrony danych landów i Bundesbeauftragte für den Datenschutz
• Hiszpania: Agencia Española de Protección de Datos (AEPD)
• Włochy: Garante per la protezione dei dati personali
• Portugalia: Comissão Nacional de Proteção de Dados (CNPD)
• Polska: Urząd Ochrony Danych Osobowych (UODO)
• Rumunia: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
• Holandia: Autoriteit Persoonsgegevens (AP)
• Belgia: Autorité de protection des données (APD/GBA)
• Austria: Datenschutzbehörde (DSB)

W przypadku jakichkolwiek pytań dotyczących niniejszej polityki lub w celu wykonania swoich praw (szczegółowo opisanych poniżej), mogą Państwo skontaktować się z naszym odpowiedzialnym za ochronę danych:

• Dominique PRASIVORAVONG – Odpowiedzialny za Ochronę Danych Evnyo
• Kontakt: privacy@evnyo.com (lub pocztą na adres naszej siedziby, do wiadomości odpowiedzialnego za ochronę danych)

Zbieramy i przetwarzamy dane osobowe wyłącznie w określonych, wyraźnych i prawnie uzasadnionych celach. Poniżej znajduje się szczegółowa lista naszych celów przetwarzania oraz odpowiadająca im podstawa prawna dla każdego z nich, zgodnie z art. 6 RODO:

• Wysyłanie zaproszeń i przypomnień na wydarzenia: Evnyo umożliwia organizatorom wysyłanie zaproszeń e-mailem (przez Postmark) i SMS-em (przez Twilio) do uczestników, kontaktowanie się z osobami, które nie odpowiedziały, lub wysyłanie im przypomnień przed wydarzeniem. To przetwarzanie jest niezbędne do wykonania umowy łączącej nas z naszymi klientami-organizatorami (art. 6 ust. 1 lit. b RODO) – działamy zgodnie z instrukcjami naszych klientów, aby kontaktować się z gośćmi w ramach organizacji wydarzenia. Organizator, jako odpowiedzialny za zaproszenia, zapewnia sobie odpowiednią podstawę prawną (na przykład swój prawnie uzasadniony interes w zapraszaniu swoich kontaktów zawodowych).

• Śledzenie uczestnictwa i zarządzanie odprawą: Nasza platforma przetwarza odpowiedzi gości (potwierdzone uczestnictwo, odmowa itp.), śledzi rejestracje i zarządza dostępem do wydarzenia. Dane te pozwalają organizatorowi śledzić frekwencję w czasie rzeczywistym i zarządzać obecnością uczestników w dniu wydarzenia. Przetwarzanie odbywa się w ramach świadczonej usługi (zarządzanie wydarzeniem), na podstawie umownej (art. 6 ust. 1 lit. b).

• Import kontaktów: Evnyo oferuje funkcję importu kontaktów, aby pomóc naszym klientom łatwo zintegrować swoje listy gości (np. z książki adresowej). Ta operacja, uruchamiana na żądanie użytkownika, obejmuje przetwarzanie danych kontaktowych (np. imiona, e-maile, numery) Państwa kontaktów w celu dodania ich jako gości. Wykorzystanie surowych lub pochodnych danych użytkownika otrzymanych z interfejsów API Workspace będzie zgodne z Polityką danych użytkownika Google, w tym z wymogami ograniczonego wykorzystania. Więcej informacji o tych wymogach można znaleźć odwiedzając: Google Workspace API User Data Policy i Google API Services User Data Policy . Podstawą prawną jest wykonanie umowy i prawnie uzasadniony interes organizatora w uproszczeniu dodawania uczestników (art. 6 ust. 1 lit. b lub f w zależności od przypadku). Klient zobowiązuje się importować tylko kontakty, które jest upoważniony do wykorzystania i do poinformowania tych osób, jeśli to konieczne.

• Korekta danych i generowanie obrazów przez AI: Aby poprawić doświadczenie użytkownika, oferujemy funkcje wspomagane sztuczną inteligencją. Konkretnie, Evnyo może wysyłać do OpenAI fragmenty danych dostarczonych przez klienta (np. źle ustrukturyzowany plik CSV lub skopiowaną listę uczestników) w celu skorygowania formatu lub automatycznego wygenerowania obrazu (wizualizacji wydarzenia) na żądanie. Te przetwarzania mają na celu ułatwienie przygotowania wydarzenia (ujednolicone dane, atrakcyjne wizualizacje). Podstawa prawna opiera się na wykonaniu umowy – te funkcje są aktywowane tylko na Państwa żądanie, aby Państwu służyć. Uwaga: Dane przekazane do OpenAI są ograniczone do ściśle niezbędnych (zasada minimalizacji) i podlegają zautomatyzowanemu przetwarzaniu. Zgodnie z warunkami użytkowania OpenAI, dane przesłane przez ich API nie są używane do trenowania ich modeli (poza wyraźnym wyrażeniem zgody z naszej strony, czego nie robimy) i są automatycznie usuwane z ich systemów w ciągu maksymalnie 30 dni po przetworzeniu. Ważne: Dane kontaktów Google Workspace są wykorzystywane wyłącznie do zaproszeń na wydarzenia. Żadne modele AI ani uczenia maszynowego nie wykorzystują danych z interfejsów API Google Workspace. Nasze funkcje AI działają całkowicie niezależnie od źródeł danych Google.

• Statystyki anonimowe: Evnyo może opracowywać globalne i anonimowe statystyki z danych wydarzeń (np. średni wskaźnik odpowiedzi, łączna liczba uczestników itp.) w celu dostarczenia organizatorom wskaźników sukcesu ich wydarzeń i poprawy naszych usług. W tych statystykach nie pojawiają się żadne dane osobowe (wyniki są nieodwracalnie zagregowane). Produkcja takich statystyk nie mając wpływu na prywatność (dane nieidentyfikujące), może być przeprowadzana na podstawie naszego prawnie uzasadnionego interesu w ocenie i poprawie naszych usług (art. 6 ust. 1 lit. f RODO).

• Zarządzanie plikami cookie i zgodami: Na naszej stronie internetowej używamy plików cookie i trackerów zgodnie z wymaganiami Dyrektywy ePrivacy (2002/58/WE) i jej implementacji krajowych, szczególnie surowych niemieckich i francuskich regulacji dotyczących plików cookie. Pliki cookie nieistotne (np. do pomiarów audiencji lub funkcji personalizacji) są umieszczane tylko po uzyskaniu Państwa wcześniejszej, dobrowolnej, konkretnej, świadomej i jednoznacznej zgody za pośrednictwem naszego baneru zgody zarządzanego przez CookieYes. Ta zgoda jest rejestrowana i dokumentowana zgodnie z najsurowszymi standardami. Podstawą prawną dla używania nieistotnych plików cookie jest Państwa wyraźna zgoda (art. 6 ust. 1 lit. a RODO). Odnośnie plików cookie ściśle niezbędnych do funkcjonowania usługi (np. aby pozostać zalogowanym na swoim koncie), opierają się one na naszym prawnie uzasadnionym interesie lub konieczności technicznej związanej z wykonaniem żądanej usługi (art. 6 ust. 1 lit. b lub f). Mogą Państwo zarządzać swoimi preferencjami dotyczącymi plików cookie w dowolnym momencie za pomocą narzędzia zgody (CMP) i wycofać swoją zgodę tak łatwo, jak ją udzielili.

• Dokumentacja zgód i obowiązków prawnych: W celu wykazania naszej zgodności regulacyjnej we wszystkich krajach, w których działamy, przechowujemy dowody wszelkich zgód, które mogli Państwo udzielić (np. Państwa zgoda na pliki cookie przez CookieYes lub na otrzymywanie komunikacji, jeśli dotyczy). Na mocy RODO i równoważnych ustaw krajowych, administrator danych musi być w stanie w każdej chwili przedstawić dowód, że osoba wyraziła zgodę na ważnych warunkach. Dokumentujemy zatem warunki zbierania zgód i prowadzimy rejestr zgód zgodnie z zaleceniami europejskich organów ochrony danych. To przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, który na nas spoczywa (art. 6 ust. 1 lit. c RODO, art. 7 ust. 1 RODO – zdolność do udowodnienia zgody). Na przykład, dziennik zgód zebranych przez CookieYes (w tym historia wyborów każdego użytkownika, identyfikator, data/czas i zanonimizowany adres IP) jest bezpiecznie przechowywany, aby stanowić dowód w przypadku kontroli lub sporu.

We wszystkich okolicznościach Evnyo przetwarza Państwa dane osobowe tylko w wyżej wymienionych celach i nigdy nie będzie przeprowadzać dalszych przetwarzań niezgodnych z tymi celami bez poinformowania Państwa i, w stosownych przypadkach, ponownego uzyskania Państwa zgody. Ponadto, żadne zautomatyzowane podejmowanie decyzji ani profilowanie w rozumieniu art. 22 RODO nie jest wdrażane przez nasze usługi.

W ramach powyższych celów, Evnyo może zbierać różne kategorie danych osobowych:

• Dane identyfikacyjne i kontaktowe: imię, nazwisko, adres e-mail, numer telefonu uczestników zaproszonych na wydarzenie (dostarczone przez organizatora lub przez samego uczestnika podczas rejestracji). Dla użytkowników-klientów (organizatorów) zbieramy imiona, nazwiska, dane kontaktowe zawodowe, funkcję/tytuł, a także informacje dotyczące firmy (nazwę firmy, adres, NIP w stosownych przypadkach) podczas tworzenia konta i fakturowania.

• Dane związane z wydarzeniem: informacje związane z zaproszeniem i uczestnictwem osób – np. status zaproszenia (wysłane/otwarte), odpowiedź (tak/nie/w toku), liczba towarzyszących osób, wyrażone preferencje (np. wybór przedziału czasowego lub wymagania dietetyczne, jeśli organizator o to poprosi), rzeczywista obecność podczas odprawy. Te dane umożliwiają śledzenie logistyki wydarzenia.

• Importowane dane: jeśli organizator używa funkcji importu kontaktów, Evnyo będzie przetwarzać dane z jego książki adresowej stron trzecich (np. kontakty Gmail, Outlook), które wybrał – typowo imię, e-mail, firmę, telefon kontaktów do zaproszenia. Ważne: ten import jest realizowany tylko z inicjatywy użytkownika i z jego wyraźną autoryzacją dostępu do tych kontaktów przez usługę strony trzeciej (która może zażądać odpowiedniej autoryzacji OAuth). Evnyo nie używa tych danych poza tworzeniem listy gości.

• Dostarczone treści: wszelkie wolne treści, które mogą Państwo wprowadzić na platformie, np. spersonalizowaną wiadomość zaproszenia, logo lub wizualizację wydarzenia (która może zawierać obraz, potencjalnie czyjeś twarze, jeśli je przesyłają itp.), lub pliki, które załączają (np. program wydarzenia w PDF). Te treści są używane tylko w ramach wydarzenia (dystrybucja zaproszenia, udostępnienie uczestnikom itp.). Gdy Evnyo wykorzystuje OpenAI do generowania obrazu lub przeformatowania dostarczonego tekstu, prompt i/lub dane wysyłane do AI mogą zawierać pewne elementy tych dostarczonych treści (np. surowy tekst zawierający imiona). Jednak zapewniamy, że nie wysyłamy zbędnych lub wysoce wrażliwych informacji do tych zewnętrznych usług.

• Dane techniczne i nawigacyjne: podczas korzystania z platformy lub odwiedzania strony możemy zbierać pewne dane techniczne: adres IP (zanonimizowany do pomiarów audiencji), informacje o urządzeniu i przeglądarce, preferencje językowe, logi połączeń (daty/godziny) i pliki cookie (zobacz dedykowaną sekcję). Te dane są głównie używane do bezpieczeństwa, świadczenia usługi (np. utrzymania otwartej sesji) i zagregowanych statystyk. Mogą również służyć do wykrywania i zapobiegania nadużyciom platformy.

Wszystkie zbierane dane są pozyskiwane bezpośrednio od Państwa (użytkownik-organizator lub gość) lub pochodzą z Państwa korzystania z usług (np. status uczestnictwa). W rzadkich przypadkach, gdy dane są nam przekazywane przez autoryzowaną stronę trzecią (np. kolega rejestruje Państwa na wydarzenie przez Evnyo), organizator zobowiązuje się do uzyskania niezbędnych autoryzacji. Prosimy naszych klientów-organizatorów o zapewnienie, że właściwie informują uczestników o używaniu platformy Evnyo do zarządzania zaproszeniami, zgodnie z art. 14 RODO, w stosownych przypadkach.

Państwa dane osobowe są dostępne dla upoważnionego personelu Evnyo w ściśle niezbędnym zakresie (zasada ograniczonego dostępu – na przykład, nasz zespół wsparcia może uzyskać dostęp do informacji z Państwa konta, aby Państwu pomóc). Poza tymi wewnętrznymi dostępami chronionymi zobowiązaniami do zachowania poufności, Evnyo nie komunikuje Państwa danych stronom trzecim, z wyjątkiem swoich należycie upoważnionych dostawców technicznych, wymienionych poniżej. Ci dostawcy działają w naszym imieniu i na nasz rachunek jako podmioty przetwarzające, zgodnie z naszymi instrukcjami i z poszanowaniem niniejszej polityki.

Wybieramy naszych podmiotów przetwarzających z największą starannością, zapewniając, że przedstawiają wystarczające gwarancje w zakresie ochrony danych (ekspertyza, środki bezpieczeństwa, zgodność z RODO). Ważne: Evnyo zapewnia, że wszyscy jego podmioty przetwarzające spoza UE posiadają zatwierdzone mechanizmy transferu (BCR, SKU, decyzja o adekwatności). Używane standardowe DPA spełniają wymagania art. 28 RODO. Te standardowe DPA określają przedmiot i czas trwania przetwarzania, rodzaj wykonywanych operacji, typy danych i osób, których dotyczą, a także zobowiązania do zachowania poufności, bezpieczeństwa i pomocy, które na nich spoczywają. Nasze podmioty przetwarzające nigdy nie będą używać Państwa danych do innych celów niż te, które im określiliśmy zgodnie z ich ogólnymi warunkami użytkowania. Oto kompletna lista naszych dostawców i ich dokładna rola:

• CookieYes – Platforma Zarządzania Zgodą (CMP): narzędzie do zarządzania zgodami na pliki cookie. CookieYes wdraża banner plików cookie na naszej stronie i rejestruje wybory każdego użytkownika dotyczące plików cookie. Rola: zapewnienie, że nieistotne trackery są aktywowane tylko za zgodą, oraz przechowywanie dowodu zgody lub odmowy użytkownika. Lokalizacja: CookieYes Limited to firma zarejestrowana w Wielkiej Brytanii. Preferencje zgody mogą być przechowywane lokalnie (poprzez techniczny plik cookie w Państwa przeglądarce) i/lub na serwerach CookieYes. Te dane (anonimowy identyfikator zgody, data, typ zgody) są czysto techniczne i używane do udowodnienia zgodności z Państwa wyborami.

Oświadczenie o użyciu danych API Google: Używanie przez Evnyo informacji otrzymanych z API Google jest zgodne z Polityką Danych Użytkownika Usług API Google, w tym z wymogami Ograniczonego Użycia. Więcej informacji o tych wymogach można znaleźć odwiedzając: Google Workspace API User Data Policy oraz Google API Services User Data Policy .

• OpenAI – Sztuczna Inteligencja (AI): zaawansowana usługa AI, którą wykorzystujemy przez API do specyficznych funkcjonalności (np. korekta źle sformatowanych danych, generowanie obrazów na żądanie). Rola: algorytmiczne przetwarzanie treści, które im przedkładamy, w celu wyprodukowania wyniku (poprawiony plik lub wygenerowany obraz) zwróconego do Evnyo. Lokalizacja: Stany Zjednoczone (OpenAI, Inc.). Przesyłane dane: fragmenty tekstu lub instrukcje, które nam dostarczają do użycia AI (które mogą zawierać dane osobowe, jeśli je uwzględnili). Gwarancje: Zgodnie z warunkami użytkowania API OpenAI (OpenAI API Data Processing Terms), dane, które przesyłamy, nie są używane przez OpenAI do trenowania ich modeli AI (poza wyraźnym wyrażeniem zgody z naszej strony, czego nie robimy) i są automatycznie usuwane z ich systemów w ciągu maksymalnie 30 dni po przetworzeniu. OpenAI zobowiązuje się umownie do nieuważania tych danych do innych celów niż świadczenie żądanej usługi.

• Supabase – Baza danych i hosting plików: Supabase to nasz dostawca infrastruktury aplikacyjnej. Rola: hosting bazy danych PostgreSQL zawierającej dane Evnyo (konta, wydarzenia, zaproszenia, odpowiedzi itp.) oraz przechowywanie powiązanych plików (np. obrazy Państwa wydarzeń) w dedykowanej przestrzeni (bucket). Lokalizacja: Unia Europejska. Używamy europejskich serwerów Supabase (region UE), aby wszystkie dane i pliki były hostowane wyłącznie w Europie. Należy zauważyć, że Supabase opiera się na certyfikowanych centrach danych (używają szczególnie infrastruktur Cloud regionalnych zgodnych z RODO). Dane przechowywane w bazie lub bucket są szyfrowane w spoczynku (patrz sekcja Bezpieczeństwo) i są dostępne tylko dla aplikacji Evnyo i naszych upoważnionych administratorów. Supabase nie uzyskuje dostępu do danych w postaci jawnej i nie używa ich w inny sposób niż do technicznych potrzeb przechowywania.

• Vercel – Hosting front-endu: Vercel to platforma hostingowa dla front-endu naszej aplikacji (strona internetowa i interfejs użytkownika Evnyo). Rola: dystrybucja aplikacji webowej i treści statycznych do użytkowników końcowych poprzez globalną sieć dystrybucji treści (CDN) dla optymalnej wydajności. Lokalizacja: głównie w Stanach Zjednoczonych (Vercel Inc.), z CDN na całym świecie (w tym serwery w Europie) w celu przybliżenia treści do użytkownika. Gwarancje transferu: Vercel jest certyfikowany w ramach EU-US Data Privacy Framework i oferuje standardowy Data Processing Addendum zgodny z RODO. Dane w grę: głównie techniczne dane nawigacji. Podczas korzystania z Evnyo, Państwa przeglądarka łączy się z serwerami Vercel w celu załadowania interfejsu; Vercel może rejestrować dane techniczne (np. adres IP, data, żądany zasób) do celów logowania i cache, ale nie przetwarza żadnych danych osobowych aplikacyjnych przechowywanych (baza danych pozostaje w Supabase). Logi Vercel są używane tylko do celów rozwiązywania problemów i są regularnie czyszczone.

• Postmark – Wysyłanie transakcyjnych e-maili: usługa e-mailowa (oferowana przez Wildbit/ActiveCampaign) używana do przekierowywania e-maili generowanych przez Evnyo. Rola: niezawodne wysyłanie transakcyjnych e-maili związanych z wydarzeniami (np. zaproszenia, potwierdzenia rejestracji, przypomnienia, follow-up po wydarzeniu) w imieniu organizatora. Lokalizacja: głównie w Stanach Zjednoczonych (serwery wysyłkowe Postmark), z redundantną infrastrukturą. Gwarancje transferu: Postmark oferuje standardowy Data Processing Addendum (DPA) zgodny z wymaganiami RODO i gwarancje umowne dla transferów międzynarodowych. Przesyłane dane: adres e-mail odbiorcy, treść zaproszenia lub wiadomości (w tym ewentualnie imię gościa, szczegóły wydarzenia itp.). Postmark działa jako prosty wektor wysyłki i tymczasowo przechowuje informacje o wysyłce (log e-maili, status dostawy) do celów śledzenia i dowodu wysyłki. Te logi są przechowywane przez ograniczony czas, a następnie usuwane zgodnie z ich polityką retencji. Postmark jest umownie zobowiązany do poszanowania poufności przesyłanych danych.

• Twilio – Wysyłanie transakcyjnych SMS-ów: platforma używana do wysyłania SMS-ów (na przykład zaproszenia lub przypomnienia SMS, lub wiadomości weryfikacyjne) do uczestników, którzy podali numer telefonu. Rola: przekierowywanie SMS-ów do operatorów telefonicznych Państwa kontaktów. Lokalizacja: Twilio Inc. to firma amerykańska, ale ma punkty obecności w UE. Domyślnie żądania SMS od Evnyo są przekierowywane przez serwery zlokalizowane w UE. Jednak w przypadku przeciążenia lub konieczności routingu międzynarodowego, może się zdarzyć, że wiadomość zostanie przetworzona przez serwer poza UE (np. w Stanach Zjednoczonych) w celu zapewnienia dostarczalności – to jest "fallback" międzynarodowy. Gwarancje transferu: Twilio posiada Wiążące Reguły Korporacyjne (BCR) zatwierdzone przez europejskie organy ochrony danych i oferuje Data Processing Addendum zgodny z RODO. Przesyłane dane: numer telefonu odbiorcy, treść tekstowa SMS-a (w tym ewentualnie nazwa wydarzenia lub link potwierdzający). Twilio przechowuje te dane tylko do rejestracji i rozliczania (szczegóły wiadomości) i usuwa je zgodnie z terminami zgodnymi z regulacjami telekomunikacyjnymi.

• Stripe – Przetwarzanie płatności: platforma płatnicza używana do przetwarzania płatności naszych klientów-organizatorów wydarzeń oraz rozliczania naszych usług. Funkcja: bezpieczne przetwarzanie płatności kartą kredytową, transfery bankowe i inne metody płatności, a także zarządzanie rozliczeniami i subskrypcjami. Lokalizacja: Stripe Europe, Ltd. (Irlandia) dla klientów europejskich, z infrastrukturą rozproszoną w Europie i zgodnością SEPA. Gwarancje transferu: Stripe posiada kompleksowe certyfikacje RODO i stosuje Standardowe Klauzule Umowne (SCC) dla każdego transferu poza UE. Przesyłane dane: szczegóły rozliczeniowe organizatora (imię, adres, e-mail, informacje o płatności), kwoty transakcji, historia rozliczeń. Stripe działa jako administrator danych dla aspektów związanych z płatnościami oraz jako podmiot przetwarzający dla danych, które mu przekazujemy w ramach naszej usługi. Dane płatności są szyfrowane i bezpieczne zgodnie ze standardami PCI DSS. Stripe przechowuje dane transakcyjne zgodnie ze swoimi własnymi politykami retencji i obowiązkami regulacyjnymi finansowymi.

• OVH – Zarządzanie domeną i DNS: OVHcloud to nasz rejestrator i host DNS dla domeny evnyo.com. Rola: techniczne zarządzanie domeną, rekordy DNS (szczególnie te związane z wysyłaniem e-maili, takie jak SPF/DKIM) oraz hosting niektórych funkcji pomocniczych (np. przekierowanie strony do Vercel). Lokalizacja: Francja (OVH, firma francuska). Dane osobowe: bardzo niewiele danych w rzeczywistości – OVH przetwarza głównie dane techniczne (zapytania DNS odwiedzających, które nie zawierają danych osobowych identyfikowalnych per se, z wyjątkiem ewentualnie IP osoby wykonującej zapytanie). Ze względu na przejrzystość, wymieniamy OVH, ponieważ jest dostawcą usług w naszym łańcuchu technicznym, ale nie eksploatuje żadnych danych użytkownika końcowego.

Każdy wyżej wymieniony dostawca usług działa tylko na instrukcje Evnyo i nigdy na własny rachunek. Zachowujemy kontrolę nad Państwa danymi. Gdybyśmy w przyszłości musieli skorzystać z nowych dostawców usług lub zmienić jednego z nich, zaktualizowalibyśmy tę listę i, w stosownych przypadkach, poinformowalibyśmy Państwa wcześniej, jeśli wpłynęłoby to na Państwa dane. Zachowują Państwo naturalnie swoje prawa (patrz sekcja "Państwa Prawa") w tym w odniesieniu do danych przetwarzanych przez tych podmioty przetwarzające: Evnyo pozostaje Państwa jedynym punktem kontaktowym.

Evnyo zapewnia, że wszyscy jego podmioty przetwarzające oferują solidne gwarancje umowne w zakresie ochrony danych, zgodnie z art. 28 RODO. Oznacza to w szczególności, że:

• Upoważniamy nasze podmioty przetwarzające do przetwarzania danych tylko w określonych i udokumentowanych celach, w związku z naszymi instrukcjami. Podmiot przetwarzający nie może w żadnym przypadku ponownie używać Państwa danych do własnego użytku (np. marketing) ani przekazywać ich stronom trzecim bez autoryzacji.

• Każdy podmiot przetwarzający jest związany surową klauzulą poufności dotyczącą danych, do których może mieć dostęp. Personel naszych dostawców usług upoważniony do obsługi Państwa danych podlega prawnemu lub umownemu obowiązkowi zachowania poufności.

• Nasze umowy wymagają od tych dostawców usług wdrożenia wszystkich środków bezpieczeństwa wymaganych przez art. 32 RODO oraz pomocy nam w umożliwieniu wykonywania Państwa praw (np. jeśli zażądaliby Państwo usunięcia swoich danych, podmiot przetwarzający musi współpracować w ich usunięciu z jego systemów).

• Po zakończeniu świadczenia nasze umowy stanowią, że podmioty przetwarzające muszą, według wyboru Evnyo, usunąć wszystkie dane osobowe lub zwrócić je nam i zniszczyć wszelkie istniejące kopie (poza przeciwnym obowiązkiem prawnym).

Pracując w ten sposób z ekosystemem zgodnych i umownie zaangażowanych dostawców usług, Evnyo gwarantuje, że powierzenie niektórych operacji w żaden sposób nie osłabia poziomu ochrony zastosowanego do Państwa danych.

Evnyo przywiązuje szczególną wagę do suwerenności i lokalizacji danych. Wszystkie Państwa pliki i dane są hostowane wyłącznie w Unii Europejskiej. W przeciwieństwie do wielu platform, Evnyo nie używa AWS (Amazon Web Services) ani żadnego innego dostawcy chmury poza UE do przechowywania Państwa danych. Nasza główna infrastruktura (baza danych, przechowywanie plików) jest utrzymywana przez Supabase na serwerach znajdujących się w Europie.

Oznacza to, że dokumenty, które importują Państwo, listy uczestników itp. pozostają fizycznie na serwerach europejskich, podlegających regulacjom europejskim. Korzyści są podwójne: (1) zmniejszenie opóźnień (Państwa dane znajdują się geograficznie bliżej Państwa i Państwa europejskich uczestników); (2) lepsza kontrola prawna, dane nie podlegają eksterytorialnym legislacjom krajów trzecich. Podsumowując, Evnyo preferuje hosting lokalny i zgodny z wymaganiami europejskimi, gwarantujący wzmocnione bezpieczeństwo i zgodność z RODO.

Evnyo dąży w miarę możliwości do unikania transferów danych poza Europejski Obszar Gospodarczy (EOG). Ogólną zasadą jest to, że dane są przetwarzane i przechowywane w UE. Jednak niektóre z naszych podmiotów przetwarzających lub narzędzi opierając się poza UE, mogą wystąpić międzynarodowe transfery danych w ograniczonym zakresie.

Brak transferu bez ram: Żaden transfer danych osobowych nie jest przeprowadzany do kraju niebędącego członkiem EOG bez ochrony. Wszystkie nasze przepływy międzynarodowe są oprawione w ramy, aby zapewnić poziom ochrony danych zasadniczo równoważny z tym w UE.

Dostawcy usług znajdujący się poza UE: Wśród naszych wymienionych podmiotów przetwarzających niektórzy są ustanowieni w Stanach Zjednoczonych (np. OpenAI, Postmark, Twilio, Vercel). Jako takie, dane przekazane im w ramach ich misji stanowią transfery do USA. Ważne: Jako MŚP, Evnyo nie ma siły kontraktowej do negocjowania spersonalizowanych Standardowych Klauzul Umownych (SKU) z tymi gigantami technologicznymi. Ci dostawcy usług narzucają nam swoje standardowe warunki ogólne, które zawierają ich własne mechanizmy ochrony.

Podsumowując, żaden transfer Państwa danych poza EOG nie ma miejsca bez ścisłych ram. Evnyo pozostaje uważny na ewolucje orzecznicze i zalecenia organów, aby w razie potrzeby dostosować swoje mechanizmy transferów międzynarodowych. Naszym celem jest to, aby Państwa dane, gdziekolwiek się znajdują, korzystały z poziomu poufności i bezpieczeństwa zgodnego ze standardami europejskimi.

Evnyo przechowuje Państwa dane osobowe tylko przez ograniczone okresy, proporcjonalne do celów, w których zostały zebrane, i zgodnie z wymaganiami prawnymi. Oto nasze główne polityki retencji:

• Dane związane z wydarzeniami i uczestnikami: Dane osobowe gości/uczestników (imiona, kontakty, status itp.) są przechowywane przez czas życia wydarzenia i jego aktywnego zarządzania, następnie usuwane lub anonimizowane w ciągu maksymalnie 90 dni po zakończeniu danego wydarzenia.

• Dane konta klienta (organizator): Informacje dotyczące Państwa konta Evnyo (profil użytkownika, informacje o firmie klienta, historia fakturowania) są przechowywane tak długo, jak korzystają Państwo z naszych usług i są aktywnym klientem.

• Logi techniczne i dane nawigacyjne: Dzienniki aktywności systemu (połączenia, wykonane działania) są przechowywane dla bezpieczeństwa i śledzenia przez okres 12 miesięcy kroczących, z wyjątkiem różnych wymagań prawnych.

• Zgody: Rejestry zgód (np. logi CMP od CookieYes, dowód opt-in) będą przechowywane przez czas niezbędny do udowodnienia zgodności we wszystkich krajach, w których działamy.

• Kopie zapasowe: Nasz system wykonuje regularne zaszyfrowane kopie zapasowe bazy danych, aby zapewnić ciągłość usługi. Te kopie zapasowe mogą zawierać dane osobowe i są generalnie przechowywane przez 30 dni kroczących, zanim zostaną nadpisane przez nowe kopie zapasowe.

Po upływie powyższych okresów dane są albo bezpiecznie usuwane, albo nieodwracalnie anonimizowane. Gdy dane są anonimizowane, wychodzą poza zakres RODO (żadna osoba nie jest już identyfikowalna) i mogą być przechowywane dłużej bez szczególnych ograniczeń, na przykład do zasilania naszych globalnych statystyk lub analiz wewnętrznych.

Evnyo wdraża rygorystyczne techniczne i organizacyjne środki bezpieczeństwa, aby chronić Państwa dane przed ryzykiem utraty, zmiany, ujawnienia lub nieautoryzowanego dostępu, zgodnie z art. 32 RODO. Nasze podejście do bezpieczeństwa opiera się na najlepszych praktykach branżowych i ciągłej ocenie ryzyka. Wśród wdrożonych środków:

• Szyfrowanie wymian (TLS): Wszystkie komunikacje między Państwa przeglądarką/urządzeniem a platformą Evnyo są chronione szyfrowaniem end-to-end TLS 1.3 (https). To gwarantuje, że dane, które transmitują lub konsultują Państwo w Evnyo, nie mogą być przechwycone lub odczytane przez stronę trzecią podczas tranzytu.

• Szyfrowanie danych w spoczynku: Dane osobowe przechowywane w naszej bazie danych oraz pliki importowane do bucket Supabase są szyfrowane w spoczynku przy użyciu algorytmów najnowszej generacji (np. AES-256).

• Kontrola dostępu i wzmocniona autentykacja: Wewnętrznie dostęp do danych osobowych jest ściśle zarezerwowany dla osób, które tego potrzebują do swoich funkcji (zasada need-to-know). Używamy precyzyjnego zarządzania dostępami opartego na rolach (RBAC – Role-Based Access Control), aby segmentować uprawnienia w naszym zespole.

• Testy, audyty i konserwacja bezpieczeństwa: Regularnie przeprowadzamy testy penetracyjne i analizy podatności na naszej platformie, aby zidentyfikować ewentualne luki. Każdy komponent lub zależność oprogramowania jest niezwłocznie aktualizowany, gdy dostępna jest łatka bezpieczeństwa.

W przypadku naruszenia danych osobowych pomimo wszystkich tych środków ostrożności, zobowiązujemy się do przestrzegania procedury prawnej: zgłoszenie do UODO w ciągu 72 godzin, jeśli jest wymagane (art. 33 RODO) oraz komunikacja do osób, których dane dotyczą, gdy naruszenie może spowodować wysokie ryzyko dla nich (art. 34 RODO).

Zgodnie z RODO mają Państwo zestaw praw dotyczących swoich danych osobowych. Evnyo zobowiązuje się do zagwarantowania skutecznego poszanowania tych praw i zaoferowania Państwu prostych sposobów ich wykonywania. Oto podsumowanie Państwa podstawowych praw:

• Prawo do informacji: mają Państwo prawo do jasnego informowania o przetwarzaniu swoich danych (to jest właśnie przedmiot niniejszej polityki prywatności). Staramy się dostarczyć Państwu wszystkie informacje wymagane przez art. 13 i 14 RODO.

• Prawo dostępu: mogą Państwo poprosić nas o potwierdzenie, że posiadamy dane osobowe Państwa dotyczące, a jeśli tak, uzyskać ich kopię oraz informacje o sposobach przetwarzania (cele, kategorie danych, odbiorcy itp.).

• Prawo do sprostowania: jeśli stwierdzą Państwo, że dane Państwa dotyczące są nieprawidłowe lub niepełne, mogą Państwo żądać ich korekty lub aktualizacji.

• Prawo do usunięcia ("prawo do bycia zapomnianym"): mogą Państwo uzyskać usunięcie swoich danych osobowych z naszych plików, szczególnie jeśli nie są już konieczne w odniesieniu do celów, w których zostały zebrane, lub jeśli wycofają Państwo swoją zgodę.

• Prawo do ograniczenia przetwarzania: w pewnych sytuacjach mogą Państwo żądać ograniczenia (tymczasowego zamrożenia) przetwarzania swoich danych.

• Prawo sprzeciwu: mają Państwo prawo sprzeciwić się, z przyczyn dotyczących swojej szczególnej sytuacji, każdemu przetwarzaniu swoich danych opartemu na prawnie uzasadnionym interesie Evnyo (art. 6 ust. 1 lit. f).

• Prawo do przenoszenia danych: mają Państwo prawo otrzymać swoje dane osobowe, które nam dostarczyli, w ustrukturyzowanym, powszechnie używanym i czytelnym maszynowo formacie, oraz przekazać je innemu administratorowi danych.

Wykonywanie swoich praw: Te prawa mogą być wykonywane bezpłatnie kontaktując się z nami pod adresem privacy@evnyo.com. Zobowiązujemy się odpowiedzieć Państwu w ciągu 1 miesiąca od otrzymania żądania.

Strona i platforma Evnyo używają plików cookie i podobnych technologii do różnych celów, zgodnie z wymaganiami Dyrektywy ePrivacy (2002/58/WE) i jej transpozycjami krajowymi.

Wzmocniona zgoda: Podczas pierwszej wizyty banner zgody (dostarczony przez CookieYes) pozwala Państwu zaakceptować lub odrzucić nieistotne pliki cookie w sposób granularny według kategorii. Zgodnie z najsurowszymi standardami europejskimi uzyskujemy Państwa wcześniejszą, dobrowolną, konkretną, świadomą i jednoznaczną zgodę na każdy cel.

Pliki cookie, których używamy, klasyfikują się szczególnie w następujących kategoriach:

• Pliki cookie ściśle niezbędne: niezbędne do funkcjonowania strony lub świadczenia usługi, o którą Państwo proszą. Na przykład, pliki cookie sesji, aby utrzymać Państwa połączenie, lub te, które służą do zapamiętywania wyborów zgody.

• Pliki cookie wydajności i statystyk: te pliki cookie (Google Analytics lub równoważne, skonfigurowane z poszanowaniem regulacji z anonimizacją IP i ograniczonym czasem przechowywania) pomagają nam zrozumieć, jak strona jest używana.

• Pliki cookie funkcjonalności: poprawiają Państwa doświadczenie (np. zapamiętywanie preferencji wyświetlania, języka itp.).

Czas przechowywania: Każdy plik cookie ma predefiniowany okres życia proporcjonalny do swojego celu (np. sesja, 1 miesiąc, maksymalnie 13 miesięcy dla plików cookie analitycznych).

Brak monetyzacji danych: Nie prowadzimy żadnej sprzedaży danych nawigacyjnych reklamodawcom lub innym stronom trzecim.

Evnyo umożliwia uczestnikom wydarzenia przesyłanie zdjęć do albumów wydarzeń, gdy ta funkcja jest włączona przez organizatora. Podczas przesyłania zdjęć na wydarzenie użytkownicy muszą wyrazić wyraźną zgodę i uznać następujące obowiązki:

Zgoda użytkownika i obowiązki: Przed przesłaniem jakiegokolwiek zdjęcia użytkownicy muszą potwierdzić:

• Że mają prawo do udostępniania przesyłanej treści
• Że wszystkie możliwe do zidentyfikowania osoby na zdjęciach wyraziły zgodę na fotografowanie i udostępnianie zdjęć w kontekście wydarzenia
• Że organizator wydarzenia może używać tych zdjęć w ramach wydarzenia
• Że przyjmują pełną odpowiedzialność za przesyłaną treść

Podział odpowiedzialności: Aby zapewnić jasną odpowiedzialność:

• Osoba przesyłająca jest wyłącznie odpowiedzialna za przesyłaną treść, w tym za uzyskanie niezbędnych pozwoleń od osób pojawiających się na zdjęciach
• Organizator wydarzenia jest odpowiedzialny za moderowanie treści, jeśli włączył moderację, oraz za wykorzystanie przesłanych zdjęć
• Evnyo działa jako pośrednik techniczny i nie ponosi odpowiedzialności za treści przesyłane przez użytkowników, ale będzie współpracować przy uzasadnionych żądaniach usunięcia

Prawa do wizerunku i prywatność: Użytkownicy przesyłający zdjęcia muszą przestrzegać:

• Praw do wizerunku wszystkich osób pojawiających się na zdjęciach
• Przepisów o ochronie prywatności obowiązujących w ich jurysdykcji
• Specyficznego kontekstu wydarzenia i wszelkich ograniczeń komunikowanych przez organizatora

Usuwanie treści: Jeśli pojawisz się na zdjęciu i chcesz, aby zostało usunięte, możesz:

• Skontaktować się bezpośrednio z organizatorem wydarzenia
• Użyć funkcji zgłoszenia dostępnej przy każdym zdjęciu
• Skontaktować się z naszym inspektorem ochrony danych pod adresem privacy@evnyo.com

Będziemy przetwarzać żądania usunięcia zgodnie z obowiązującymi przepisami i możemy wymagać dowodu tożsamości, aby zapewnić zasadność żądania.

Środki techniczne: Dla przejrzystości rejestrujemy:

• Potwierdzenie zgody (znacznik czasu i anonimizowany adres IP)
• Metadane przesyłania dla odpowiedzialności
• Wszystkie zdjęcia są przetwarzane w celu usunięcia danych lokalizacji GPS dla prywatności

Niniejsza polityka prywatności może ewoluować, szczególnie aby odzwierciedlić zmiany naszych praktyk lub dostosować się do ewentualnych modyfikacji prawnych/regulacyjnych. W przypadku istotnej modyfikacji (np. nowe cele, nowi odbiorcy itp.) poinformujemy Państwa wcześniej, przez powiadomienie na stronie lub e-mail, a jeśli wymaga tego prawo, będziemy prosić o Państwa zgodę, gdy modyfikacja tego wymaga. Zaktualizowana wersja polityki będzie zawsze dostępna na naszej stronie w sekcji "Prywatność". Zapraszamy do regularnego jej przeglądania.

Data wejścia w życie: Niniejsza polityka obowiązuje od 01/06/2025 (ostatnia aktualizacja).

Wybierając Evnyo, powierzają Państwo swoje dane platformie, która stawia prywatność i bezpieczeństwo w centrum swoich trosk. Mamy nadzieję, że ten dokument dostarczył Państwu całą oczekiwaną przejrzystość dotyczącą naszych praktyk. Jeśli mają Państwo jakiekolwiek dodatkowe pytania dotyczące swoich danych lub naszej zgodności, nie wahają się Państwo z nami skontaktować – nasz zespół i nasz odpowiedzialny za ochronę danych są tutaj, aby dostarczyć Państwu eksperckie i spersonalizowane odpowiedzi.

Dziękujemy za zaufanie i udanych wydarzeń z Evnyo!