Polityka prywatności serwisu Shootero
Disclaimer: Niniejszy dokument przygotowany w oparciu o RODO (rozporządzenie 2016/679), polską ustawę o ochronie danych osobowych z 10.05.2018 r. oraz typowe wzorce SaaS. Zalecany jest okresowy review przez polską kancelarię specjalizującą się w prawie ochrony danych osobowych i SaaS.
Data wejścia w życie: 14 maja 2026 r. Wersja: 1.0
1. Postanowienia ogólne
1.1. Niniejsza Polityka prywatności określa zasady przetwarzania danych osobowych przez Sendormeco Holding sp. z o.o. z siedzibą przy ul. Złotej 75A/7, 00-819 Warszawa, wpisaną do Rejestru Przedsiębiorców KRS pod numerem 0000906110, NIP 5252866457, REGON 389194801, kapitał zakładowy 5 000,00 zł (dalej: „Administrator" lub „Shootero"), w związku z prowadzeniem serwisu i aplikacji Shootero dostępnej pod adresem shootero.pl oraz portal.shootero.pl (dalej: „Serwis").
1.2. Polityka jest zgodna z:
- Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO);
- Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.);
- Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną;
- Ustawą z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne (w zakresie cookies).
1.3. Kontakt z Administratorem w sprawach ochrony danych:
- E-mail: rodo@shootero.pl
- Adres korespondencyjny: ul. Złota 75A/7, 00-819 Warszawa
1.4. Inspektor Ochrony Danych (IOD): Administrator nie wyznaczył IOD. Wynika to z zakresu i charakteru przetwarzania, które nie wypełniają przesłanek obligatoryjnego wyznaczenia z art. 37 ust. 1 RODO. Pytania dotyczące ochrony danych prosimy kierować na adres rodo@shootero.pl.
2. Definicje
- Dane osobowe — wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 1 RODO).
- Przetwarzanie — operacja lub zestaw operacji wykonywanych na danych osobowych (art. 4 pkt 2 RODO).
- Administrator — Sendormeco Holding sp. z o.o.
- Podmiot przetwarzający (Procesor) — podmiot przetwarzający dane w imieniu Administratora.
- Użytkownik — osoba korzystająca z Serwisu, w tym: (a) pracownik klubu/strzelnicy z dostępem do panelu administracyjnego, (b) klubowicz/zawodnik posiadający konto w portalu, (c) odwiedzający stronę bez konta.
- Klient — klub strzelecki lub strzelnica korzystająca z usługi Shootero w modelu SaaS.
3. Role: kto jest administratorem czego
Shootero przetwarza dane w dwóch rolach jednocześnie, w zależności od kontekstu:
3.1. Shootero jako administrator danych
Shootero jest administratorem danych w odniesieniu do:
- danych użytkowników panelu administracyjnego (pracowników klubu zakładających konto, kontaktów handlowych, kandydatów do pracy);
- danych zbieranych automatycznie podczas korzystania z Serwisu (cookies, logi serwerowe, dane analityczne — patrz Polityka cookies);
- danych osób kontaktujących się z Shootero (np. przez formularz kontaktowy, e-mail);
- danych w zakresie własnej działalności biznesowej (faktury, korespondencja).
3.2. Shootero jako podmiot przetwarzający (procesor)
Shootero przetwarza w imieniu Klienta (klubu/strzelnicy) dane osobowe klubowiczów (zawodników, instruktorów wewnętrznych klubu, gości, klientów płatnych zajęć). W tej roli administratorem jest Klient, a Shootero działa wyłącznie na jego polecenie na podstawie Umowy powierzenia przetwarzania danych (DPA) zawartej zgodnie z art. 28 RODO.
W praktyce oznacza to:
- Klient decyduje, jakie dane wprowadza i komu udostępnia w aplikacji;
- Shootero zapewnia bezpieczeństwo techniczne i organizacyjne, nie wykorzystuje danych do własnych celów (poza świadczeniem usługi);
- Realizacja praw osób (dostęp, sprostowanie, usunięcie, przenoszenie) odbywa się przede wszystkim za pośrednictwem Klienta. Shootero wspiera Klienta funkcjami eksportu (
/members/:id/gdpr/export— art. 20 RODO) i anonimizacji (/members/:id/gdpr/anonymize— art. 17 RODO).
4. Zakres przetwarzanych danych
4.1. Konta panelu (pracownicy klubu) — administrator: Shootero
- imię i nazwisko (
full_name) - nazwa użytkownika (
username) - adres e-mail (
email) - hash hasła (
password— algorytm bcrypt, hasła nigdy nie są przechowywane w postaci jawnej) - rola w systemie (
role: admin / zarzad / instruktor) - klucz TOTP do dwuskładnikowego uwierzytelnienia (
totp_secret, jeśli włączone) - data utworzenia konta i ostatniego logowania
- adresy IP logowań (na potrzeby bezpieczeństwa)
4.2. Dane klubowiczów wprowadzane przez Klienta — administrator: Klient, procesor: Shootero
Kategorie danych, jakie aplikacja umożliwia przechowywać:
Identyfikacyjne:
- imię i nazwisko (
first_name,last_name) - numer członkowski (
member_number), numer karty dostępu (card_number) - PESEL (
pesel) — kategoria szczególna w sensie polskiego prawa, używana m.in. do weryfikacji wieku i wystawiania licencji PZSS - data urodzenia, płeć (
birth_date,gender) - kategoria wiekowa, typ członka (rekreacyjny / wyczynowy)
Kontaktowe:
- e-mail, telefon
- adres (ulica, miasto, kod pocztowy)
Sportowo-medyczne:
- dyscypliny i klasy sportowe (
member_disciplines) - badania lekarskie sportowe (
member_medical_exams— data, ważność, opcjonalnie skan dokumentu) — kategoria szczególna danych (art. 9 RODO — dane o stanie zdrowia) - licencje PZSS (
licenses— zawodnicze, trenerskie, patenty) - książeczka broni (
member_weapon_booklet)
Finansowe:
- historia opłat klubowych i składek (
payments) - transakcje przez Przelewy24 (token, status, data)
Inne:
- notatki tekstowe wprowadzone przez instruktora/zarząd
- zgody RODO (
member_consents— typ, data, IP) - znaczniki RODO: data eksportu danych, data anonimizacji
4.3. Dane zbierane automatycznie
- adres IP i informacje o przeglądarce (logi serwera, logi bezpieczeństwa)
- dane sesji (cookie sesyjne, niezbędne)
- cookies — szczegóły w Polityce cookies
5. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna (RODO) | Okres przechowywania |
|---|---|---|
| Świadczenie usługi SaaS — utworzenie i obsługa konta klubu | art. 6 ust. 1 lit. b (umowa) | Czas obowiązywania umowy + 6 lat (kodeks cywilny — roszczenia) |
| Przetwarzanie danych klubowiczów w imieniu Klienta | art. 28 RODO (powierzenie); podstawa po stronie Klienta | Zgodnie z DPA i poleceniem Klienta; po rozwiązaniu — eksport/usunięcie w ciągu 30 dni |
| Rozliczenia, fakturowanie, księgowość | art. 6 ust. 1 lit. c (obowiązek prawny — Ustawa o rachunkowości, Ordynacja podatkowa) | 5 lat od końca roku rozliczeniowego |
| Marketing usług własnych do istniejących Klientów | art. 6 ust. 1 lit. f (prawnie uzasadniony interes) | Do złożenia sprzeciwu |
| Marketing do osób, które nie są Klientami | art. 6 ust. 1 lit. a (zgoda) | Do wycofania zgody |
| Bezpieczeństwo (logi, wykrywanie nadużyć) | art. 6 ust. 1 lit. f (uzasadniony interes — bezpieczeństwo systemu) | 12 miesięcy |
| Obsługa zgłoszeń (formularze kontaktowe, support) | art. 6 ust. 1 lit. b lub f | 3 lata od ostatniego kontaktu |
| Realizacja praw osób (eksport, usunięcie) | art. 6 ust. 1 lit. c (obowiązek prawny — RODO) | Trwale w logach RODO |
| Dane szczególne (zdrowie — badania lekarskie) | art. 9 ust. 2 lit. h (medycyna sportowa) — po stronie Klienta | Zgodnie z polityką Klienta |
6. Odbiorcy danych (subprocesorzy)
Shootero korzysta z usług zaufanych podmiotów przetwarzających. Aktualna lista subprocesorów (do uzupełnienia przez Administratora przed publikacją):
| Subprocesor | Rola | Lokalizacja | Podstawa |
|---|---|---|---|
| cyber_Folks S.A. (Plesk hosting) | Hosting aplikacji i bazy danych | Polska (EOG) | Umowa powierzenia |
| cyber_Folks S.A. (SMTP relay) | Wysyłka e-maili transakcyjnych | Polska (EOG) | Umowa powierzenia |
| PayPro S.A. (Przelewy24) | Operator płatności online | Poznań, Polska (EOG) | Umowa, regulamin Przelewy24 |
| api.qrserver.com (Goqr.me) | Generowanie kodów QR dla voucherów | UE (EOG) | Brak danych osobowych — tylko ciąg znaków kodu vouchera |
Pełna i aktualizowana lista jest dostępna na żądanie zgodnie z DPA (art. 28 ust. 2 RODO). O zmianach w wykazie subprocesorów Administrator powiadamia Klientów z co najmniej 30-dniowym wyprzedzeniem za pośrednictwem e-mail lub komunikatu w aplikacji.
Transfery poza EOG: Brak. Wszyscy subprocesorzy działają w obrębie EOG.
7. Prawa osób, których dane dotyczą
Zgodnie z RODO, każdej osobie przysługują następujące prawa:
| Prawo | Artykuł RODO | Jak zrealizować |
|---|---|---|
| Dostęp do danych | art. 15 | Wniosek e-mail; w aplikacji: panel klubowicza |
| Sprostowanie | art. 16 | Wniosek e-mail; w panelu klubowicza (zakres podstawowy) |
| Usunięcie („prawo do bycia zapomnianym") | art. 17 | Wniosek e-mail; aplikacja udostępnia funkcję gdpr/anonymize |
| Ograniczenie przetwarzania | art. 18 | Wniosek e-mail |
| Przenoszenie danych | art. 20 | Funkcja /members/:id/gdpr/export (JSON/ZIP) |
| Sprzeciw | art. 21 | Wniosek e-mail; w aplikacji: panel zgód marketingowych |
| Wycofanie zgody | art. 7 ust. 3 | Panel zgód RODO; e-mail |
| Skarga do organu nadzorczego | art. 77 | Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl |
Procedura realizacji wniosków:
- Zgłoszenie na adres rodo@shootero.pl.
- Weryfikacja tożsamości wnioskodawcy (zwłaszcza dla wniosków o usunięcie/eksport — w celu uniknięcia wycieku danych do osób nieuprawnionych).
- Realizacja w terminie maksymalnie 1 miesiąca od otrzymania wniosku (art. 12 ust. 3 RODO; w uzasadnionych przypadkach przedłużenie o 2 miesiące z powiadomieniem).
- Dla wniosków klubowiczów: Shootero wspiera Klienta technicznie, ale formalnym odbiorcą wniosku jest Klient.
8. Bezpieczeństwo danych
Administrator wdrożył techniczne i organizacyjne środki bezpieczeństwa adekwatne do ryzyka, w tym:
Techniczne:
- transmisja danych przez HTTPS (TLS 1.2+);
- hasła użytkowników haszowane algorytmem bcrypt;
- opcjonalne uwierzytelnianie dwuskładnikowe (TOTP) dla kont administracyjnych;
- bezpieczne ciasteczka sesyjne (Secure, HttpOnly);
- backupy bazy danych wykonywane codziennie, szyfrowane, retencja 30 dni;
- logi bezpieczeństwa (próby logowania, zmiany konfiguracji);
- pseudonimizacja PESEL w widokach raportowych tam, gdzie to możliwe;
- regularne aktualizacje zależności (composer audit) i monitorowanie podatności.
Organizacyjne:
- ograniczony dostęp do produkcyjnych baz danych (zasada minimum uprzywilejowania);
- procedura zarządzania incydentami z 72-godzinnym terminem zgłoszenia do UODO (art. 33 RODO);
- regularne szkolenia personelu z ochrony danych;
- umowy NDA z podwykonawcami i pracownikami.
9. Zmiany Polityki prywatności
Administrator zastrzega prawo do zmian Polityki prywatności. O istotnych zmianach Użytkownicy zostaną poinformowani co najmniej 7 dni przed wejściem w życie zmian — drogą e-mailową lub komunikatem w aplikacji. Dalsze korzystanie z Serwisu po wejściu w życie zmian oznacza ich akceptację.
Historia wersji dokumentu prowadzona jest publicznie w pliku polityka-prywatnosci.md w repozytorium dokumentacji.
10. Postanowienia końcowe
W sprawach nieuregulowanych niniejszą Polityką zastosowanie mają przepisy RODO i polskiego prawa ochrony danych osobowych. Polityka stanowi załącznik do Regulaminu świadczenia usług Shootero.
Wersja: 1.0 Ostatnia aktualizacja: 14 maja 2026 r. Status: dokument obowiązujący.