Wersja 1.0 | Data wejścia w życie: 1 lipca 2026 r.
Dotyczy serwisu dostępnego pod adresem osaja.pl i aplikacji mobilnych OSAJA.
Twoja prywatność jest dla nas ważna. Niniejsza Polityka wyjaśnia, jakie dane zbieramy, dlaczego, jak je chronimy i jakie masz prawa. Czytaj spokojnie — piszemy po ludzku, nie prawniczym żargonem.
Spis treści
Administratorem Twoich danych osobowych jest:
| Pole | Wartość |
|---|---|
| Imię i nazwisko | Grzegorz Kordek |
| Siedziba | Pisz, Polska |
| Forma działalności | Osoba prywatna |
| E-mail kontaktowy | kontakt@osaja.pl |
| Strona serwisu | osaja.pl |
Administrator przetwarza dane osobowe użytkowników serwisu OSAJA zgodnie z obowiązującymi przepisami prawa, w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
OSAJA zbiera wyłącznie dane niezbędne do działania serwisu. Poniżej znajdziesz ich pełną listę.
| Dane | Obowiązkowe? | Skąd |
|---|---|---|
| Adres e-mail | Tak | Wpisany przez użytkownika lub pobierany z Google / Facebook / Apple przy logowaniu społecznościowym |
| Imię lub pseudonim | Tak | Wpisany przez użytkownika lub pobierany z konta Google / Facebook / Apple |
| Hasło | Tylko email | Tworzone przez użytkownika — przechowywane wyłącznie w formie zaszyfrowanej przez Firebase Authentication (nigdy w postaci jawnej) |
| Dane | Obowiązkowe? | Cel |
|---|---|---|
| Numer telefonu | Nie | Wyświetlany kupującym w ogłoszeniach użytkownika |
| Zdjęcie profilowe (awatar) | Nie | Widoczne publicznie w profilu i przy ogłoszeniach |
| Miasto | Nie | Ułatwia kupującym ocenę odległości od sprzedającego |
| Dane | Skąd pochodzi |
|---|---|
| Treść ogłoszeń (tytuł, opis, cena, kategoria) | Dodawane przez użytkownika |
| Zdjęcia do ogłoszeń i w czacie | Przesyłane przez użytkownika |
| Wiadomości w czacie | Wysyłane przez użytkownika |
| Opinie i oceny | Wystawiane przez użytkownika |
| Lista ulubionych ogłoszeń | Działania użytkownika w serwisie |
| Lista obserwowanych sprzedających | Działania użytkownika w serwisie |
| Historia wyszukiwań i zastosowanych filtrów | Automatycznie podczas korzystania z wyszukiwarki |
| Statystyki ogłoszeń (wyświetlenia, ulubione, kliknięcia) | Automatycznie — anonimowe zliczanie interakcji z ogłoszeniem |
| Dane | Cel |
|---|---|
| Adres IP | Bezpieczeństwo, wykrywanie nadużyć |
| Typ urządzenia i system operacyjny | Optymalizacja działania aplikacji |
| Token FCM (Firebase Cloud Messaging) | Wysyłanie powiadomień push — nie udostępniany osobom trzecim |
| Data i godzina logowania | Bezpieczeństwo konta |
Nie zbieramy: danych dotyczących kart płatniczych, numerów PESEL, numerów dowodu osobistego ani danych biometrycznych. OSAJA nie używa śledzenia reklam, profilowania marketingowego ani narzędzi behawioralnych.
| Cel | Opis |
|---|---|
| Świadczenie usług serwisu | Zakładanie i obsługa konta, publikowanie ogłoszeń, umożliwianie kontaktu przez czat, wyświetlanie profilu, obserwowanie użytkowników, zarządzanie ulubionymi. |
| Uwierzytelnienie | Logowanie przez email, Google, Facebook, Apple. Weryfikacja tożsamości przy każdej sesji. |
| Wyszukiwanie | Przetwarzanie zapytań wyszukiwania przez Algolia w celu zwrócenia trafnych wyników ogłoszeń. |
| Powiadomienia | Wysyłanie powiadomień o nowych wiadomościach, ogłoszeniach obserwowanych sprzedawców i opiniach za pośrednictwem Firebase Cloud Messaging. |
| Bezpieczeństwo i moderacja | Wykrywanie i zapobieganie nadużyciom, spamowi, oszustwom i naruszeniom Regulaminu. Moderowanie treści naruszających zasady. |
| Statystyki ogłoszeń | Dostarczanie sprzedającym informacji o liczbie wyświetleń, dodań do ulubionych i kliknięć w numer telefonu. |
| Obsługa reklamacji i kontakt | Odpowiadanie na wiadomości użytkowników, rozpatrywanie reklamacji i zgłoszeń naruszeń. |
| Obowiązki prawne | Przechowywanie danych wymaganych przepisami prawa (np. logi bezpieczeństwa, dane do ewentualnych postępowań). |
Przetwarzamy Twoje dane wyłącznie na podstawie jednej z poniższych przesłanek prawnych określonych w art. 6 RODO:
| Podstawa prawna | Kiedy stosujemy | Artykuł RODO |
|---|---|---|
| Wykonanie umowy | Świadczenie usług platformy: konto, ogłoszenia, czat, profile, ulubione, obserwowanie | Art. 6 ust. 1 lit. b |
| Uzasadniony interes | Bezpieczeństwo serwisu, wykrywanie nadużyć, moderacja treści, logi aktywności, statystyki ogłoszeń | Art. 6 ust. 1 lit. f |
| Zgoda | Powiadomienia push (FCM) — zgoda wyrażana w aplikacji, odwoływalna w każdej chwili | Art. 6 ust. 1 lit. a |
| Obowiązek prawny | Przechowywanie danych wymaganych przepisami prawa, odpowiadanie na żądania organów ścigania | Art. 6 ust. 1 lit. c |
OSAJA korzysta z zewnętrznych usług do obsługi infrastruktury technicznej. Dostawcy ci przetwarzają dane osobowe jako podmioty przetwarzające (procesorzy) w imieniu Administratora, na podstawie zawartych umów powierzenia przetwarzania danych.
| Podmiot | Usługa | Przetwarza dane | Siedziba / Lokalizacja danych |
|---|---|---|---|
| Google LLC (Firebase) |
Firebase Authentication — logowanie, zarządzanie hasłami | E-mail, hasło (zaszyfrowane), UID, tokeny | USA / UE — Google posiada certyfikaty SCCs i BCRs |
| Google LLC (Firebase) |
Cloud Firestore — baza danych serwisu | Profil użytkownika, ogłoszenia, czat, opinie, powiadomienia, obserwowanie | Serwery w UE (region europe-central2, Warszawa) |
| Google LLC (Firebase) |
Firebase Storage — przechowywanie plików | Zdjęcia profilowe, zdjęcia ogłoszeń, zdjęcia w czacie | Serwery w UE |
| Google LLC (Firebase) |
Firebase Hosting — serwowanie aplikacji webowej | Adres IP, żądania HTTP | Globalne CDN Google |
| Google LLC (Firebase) |
Firebase Cloud Messaging — powiadomienia push | Token FCM, treść powiadomienia | Serwery Google (USA / UE) |
| Google LLC | Google Sign-In — logowanie przez konto Google | E-mail, imię, zdjęcie profilowe z konta Google (za zgodą użytkownika) | Polityka prywatności Google: policies.google.com/privacy |
| Meta Platforms Ireland Ltd. | Facebook Login — logowanie przez konto Facebook | E-mail, imię, zdjęcie profilowe z konta Facebook (za zgodą użytkownika) | Polityka prywatności Meta: facebook.com/policy.php |
| Apple Inc. | Sign in with Apple — logowanie przez Apple ID | E-mail (lub anonimowy adres relay), imię (opcjonalnie, za zgodą użytkownika) | Polityka prywatności Apple: apple.com/legal/privacy |
| Algolia SAS | Algolia Search — wyszukiwarka ogłoszeń | Treść ogłoszeń (tytuł, opis, kategoria, cena) — indeksowane do wyszukiwania; zapytania wyszukiwania użytkowników | Serwery w UE; polityka: algolia.com/policies/privacy/ |
Przesyłanie danych poza Europejski Obszar Gospodarczy (do Google LLC z siedzibą w USA) odbywa się na podstawie standardowych klauzul umownych (SCCs) zatwierdzonych przez Komisję Europejską oraz obowiązujących umów powierzenia przetwarzania danych (DPA). Google posiada ważne certyfikaty zgodności z wymogami RODO.
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta (e-mail, imię, profil) | Do momentu usunięcia konta przez użytkownika lub Administratora |
| Ogłoszenia aktywne | Do momentu usunięcia przez użytkownika lub wygaśnięcia ogłoszenia |
| Ogłoszenia usunięte przez użytkownika | Usuwane niezwłocznie (Firestore + Storage) |
| Wiadomości w czacie | Do momentu usunięcia konta lub czatu przez Administratora |
| Zdjęcia ogłoszeń | Usuwane przy usunięciu ogłoszenia |
| Zdjęcia w czacie | Przechowywane do zakończenia czatu (usunięcie przez admina lub usunięcie konta) |
| Opinie i oceny | Do momentu usunięcia konta wystawiającego lub konta ocenianego |
| Token FCM | Odświeżany automatycznie; usuwany przy usunięciu konta lub odwołaniu zgody |
| Logi administratora (moderacja) | 12 miesięcy od zdarzenia (nieusuwalne przez użytkownika) |
| Dane wymagane przez prawo | Zgodnie z wymogami przepisów prawa (min. 5 lat dla danych podatkowych, jeśli dotyczy) |
Po upływie okresu retencji dane są trwale usuwane lub anonimizowane.
Masz prawo do usunięcia swojego konta w dowolnym momencie. Usunięcie konta jest nieodwracalne.
Strona usunięcia konta dostępna jest również bezpośrednio w aplikacji OSAJA w sekcji Profil → Ustawienia → Usuń konto.
Na podstawie RODO przysługują Ci następujące prawa w zakresie przetwarzania Twoich danych osobowych:
Możesz poprosić o informację, jakie Twoje dane przetwarzamy, w jakim celu i przez jaki czas.
Możesz żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych. Część danych możesz zmienić samodzielnie w ustawieniach profilu.
„Prawo do bycia zapomnianym" — możesz żądać usunięcia swoich danych, jeśli nie ma podstawy prawnej do ich dalszego przetwarzania.
Możesz żądać wstrzymania przetwarzania danych na czas rozpatrywania Twojego sprzeciwu lub skargi.
Możesz otrzymać swoje dane w ustrukturyzowanym, powszechnie stosowanym formacie (np. JSON) i przenieść je do innego serwisu.
Możesz wnieść sprzeciw wobec przetwarzania danych na podstawie uzasadnionego interesu Administratora.
Jeśli przetwarzanie odbywa się na podstawie zgody (np. powiadomienia push), możesz ją cofnąć w dowolnym momencie w ustawieniach aplikacji.
Masz prawo złożyć skargę do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl), jeśli uważasz, że Twoje dane są przetwarzane niezgodnie z prawem.
Aby skorzystać z któregokolwiek z powyższych praw, skontaktuj się z Administratorem na adres kontakt@osaja.pl z tematem: „RODO OSAJA". Administrator odpowie w ciągu 30 dni od otrzymania żądania.
Numer telefonu i adres e-mail sprzedającego są widoczne wyłącznie dla zalogowanych użytkowników przeglądających profil lub ogłoszenie. Dane te nie są dostępne dla osób niezalogowanych ani dla botów.
Serwis OSAJA używa plików cookies wyłącznie w niezbędnym zakresie technicznym:
| Nazwa / Typ | Cel | Czas trwania |
|---|---|---|
| Firebase Auth Token | Utrzymanie zalogowanej sesji użytkownika | Do wylogowania lub wygaśnięcia sesji |
| Flutter IndexedDB / localStorage | Przechowywanie lokalnego stanu aplikacji Flutter Web (silnik renderowania) | Stałe (kasowane przy czyszczeniu danych przeglądarki) |
| Algolia Search Client Cache | Pamięć podręczna wyników wyszukiwania — skraca czas ładowania | Sesja |
OSAJA nie używa cookies reklamowych, cookies śledzących, Google Analytics, Facebook Pixel, ani żadnych narzędzi profilowania behawioralnego. Serwis nie sprzedaje danych użytkowników reklamodawcom.
Możesz zablokować lub usunąć cookies w ustawieniach swojej przeglądarki. Zablokowanie cookies technicznych może uniemożliwić logowanie i korzystanie z serwisu.
Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony Twoich danych osobowych:
| Środek bezpieczeństwa | Opis |
|---|---|
| Szyfrowanie transmisji | Cała komunikacja z serwisem odbywa się przez protokół HTTPS/TLS. Certyfikat SSL zarządzany przez Firebase Hosting. |
| Szyfrowanie haseł | Hasła użytkowników przechowywane są wyłącznie w postaci zaszyfrowanej przez Firebase Authentication (bcrypt). Administrator nie ma dostępu do haseł w postaci jawnej. |
| Firestore Security Rules | Reguły bezpieczeństwa Firestore wymuszają, że każdy użytkownik ma dostęp wyłącznie do własnych danych prywatnych. Dane profilu (telefon, e-mail, token FCM) dostępne wyłącznie dla zalogowanych użytkowników. |
| Storage Security Rules | Zdjęcia ogłoszeń mogą być edytowane wyłącznie przez właściciela ogłoszenia. Zdjęcia w czacie dostępne wyłącznie dla uczestników rozmowy. |
| Rate limiting | Ograniczenia liczby działań na minutę/godzinę/dobę (wiadomości, ogłoszenia, obserwowanie) chroniące przed atakami spam i DoS. |
| Nagłówki bezpieczeństwa HTTP | X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, Referrer-Policy, Permissions-Policy. |
| Blokada kont | Możliwość czasowego lub trwałego zablokowania konta użytkownika naruszającego zasady bezpieczeństwa. |
| Logi moderacji | Wszystkie działania moderacyjne rejestrowane w niezmiennym logu (tylko do odczytu przez moderatora). |
Pomimo stosowania najlepszych dostępnych środków bezpieczeństwa, żaden system informatyczny nie może gwarantować absolutnego bezpieczeństwa. W przypadku naruszenia bezpieczeństwa danych Administrator powiadomi użytkowników zgodnie z wymogami RODO (art. 34) oraz organ nadzorczy (UODO) w ciągu 72 godzin od wykrycia incydentu.
W sprawach dotyczących ochrony danych osobowych, realizacji praw RODO oraz wszelkich kwestii związanych z prywatnością w serwisie OSAJA skontaktuj się z Administratorem:
| Sposób kontaktu | Dane |
|---|---|
| E-mail (ochrona danych) | kontakt@osaja.pl Temat: „RODO OSAJA" |
| E-mail (usunięcie konta) | kontakt@osaja.pl Temat: „Usunięcie konta OSAJA" |
| E-mail (ogólny) | kontakt@osaja.pl |
| Administrator | Grzegorz Kordek, Pisz, Polska |
Administrator odpowiada na zapytania dotyczące danych osobowych w terminie 30 dni od ich otrzymania.