Polityka prywatności
serwisu kolonio.pl
Wersja 1.1 — obowiązuje od 1 czerwca 2026 r. (poprzednia wersja 1.0 z 11 kwietnia 2026 r.)
Niniejsza Polityka prywatności opisuje, w jaki sposób Wataha Media Marcin Przybył (właściciel serwisu kolonio.pl) przetwarza dane osobowe Użytkowników. Polityka jest zgodna z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz polską ustawą o ochronie danych osobowych z dnia 10 maja 2018 r.
§1. Administrator danych osobowych
- Administratorem danych osobowych Użytkowników serwisu kolonio.pl jest Wataha Media Marcin Przybył z siedzibą w Wola Jedlińska 23, 97-561 Ładzice, NIP: 7722443302, REGON: 543827242 (dalej: „Administrator").
- We wszelkich sprawach dotyczących ochrony danych osobowych można kontaktować się z Administratorem:
- drogą elektroniczną: kontakt@kolonio.pl
- telefonicznie: +48 788 727 823
- pisemnie na adres siedziby: Wola Jedlińska 23, 97-561 Ładzice
- Administrator nie wyznaczył Inspektora Ochrony Danych (IOD), ponieważ nie jest do tego zobowiązany na mocy art. 37 RODO. Wszelkie pytania w zakresie ochrony danych kieruj bezpośrednio do Administratora.
§2. Definicje
Na potrzeby niniejszej Polityki:
- Serwis – strona internetowa dostępna pod adresem kolonio.pl.
- Użytkownik – każda osoba fizyczna odwiedzająca Serwis lub korzystająca z jego usług.
- Rodzic – Użytkownik poszukujący ofert obozów dla dzieci, korzystający z Formularza kontaktowego lub formularza zgłoszenia rezerwacji.
- Organizator – podmiot posiadający konto w Serwisie i publikujący oferty obozów; może również wyszukiwać Ośrodki i Wychowawców oraz wysyłać do nich zapytania.
- Właściciel Ośrodka – podmiot posiadający konto w Serwisie i publikujący ogłoszenie ośrodka/obiektu noclegowego.
- Wychowawca – osoba fizyczna posiadająca konto w Serwisie i publikująca profil zawodowy (wychowawca, kierownik wypoczynku, instruktor, animator).
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
- Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
§3. Jakie dane zbieramy i w jakich celach
A. Rodzice – zapytanie i zgłoszenie rezerwacji obozu
Gdy Rodzic wysyła zapytanie do Organizatora, zbieramy: imię i nazwisko Rodzica, adres e-mail, numer telefonu oraz treść wiadomości. W przypadku zgłoszenia rezerwacji zbieramy dodatkowo:
- imię i nazwisko dziecka, wiek, płeć,
- dane kontaktu awaryjnego (imię i nazwisko oraz telefon),
- informację o akceptacji regulaminu i zgodach (w tym opcjonalnej zgodzie na newsletter).
Cel: przekazanie zapytania/zgłoszenia wybranemu Organizatorowi oraz monitorowanie przepływu wiadomości w celach bezpieczeństwa i jakości usługi.
Podstawa prawna: art. 6 ust. 1 lit. a) RODO (zgoda) oraz art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – bezpieczeństwo Serwisu).
Bezpieczeństwo: dane szczególnie wrażliwe, w tym dane dziecka i kontaktu awaryjnego, są przechowywane w bazie danych w postaci zaszyfrowanej.
Okres przechowywania: 12 miesięcy od daty przesłania, chyba że wcześniej zostanie złożony skuteczny wniosek o usunięcie.
B. Organizatorzy / Właściciele Ośrodków / Wychowawcy – rejestracja i konto
Podczas rejestracji i korzystania z Panelu (Organizatora, Właściciela Ośrodka lub Wychowawcy) zbieramy w zakresie odpowiednim do roli:
- imię i nazwisko / nazwę firmy lub obiektu,
- adres e-mail, numer telefonu, ewentualnie adres strony WWW,
- NIP i adres siedziby (dla celów fakturowania usług płatnych),
- dane logowania (adres e-mail + skrót hasła; przy logowaniu Google – dane przekazane przez Google),
- treści publikowanych Ofert obozów, ogłoszeń Ośrodków oraz profili Wychowawców wraz ze zdjęciami (w przypadku Wychowawcy profil zawiera dane prezentowane publicznie: imię i nazwisko, miejscowość, opis, kwalifikacje, kursy, doświadczenie),
- historię płatności i dane fakturowe (dla usług płatnych).
Cel: założenie i prowadzenie konta, publikacja i prezentacja Ofert/profilu, zawarcie i wykonanie umowy o świadczenie usług, wystawienie faktur, kontakt w sprawie konta.
Podstawa prawna: art. 6 ust. 1 lit. b) RODO (wykonanie umowy/świadczenie usługi konta) oraz art. 6 ust. 1 lit. c) RODO (obowiązek prawny – przepisy podatkowe, dla usług płatnych).
Okres przechowywania: przez czas trwania umowy / posiadania konta, a w zakresie dokumentów księgowych – + 5 lat od końca roku, w którym powstał obowiązek podatkowy.
Wizerunek na zdjęciach: publikowane materiały (zdjęcia obozów, ośrodków, profili) mogą przedstawiać możliwe do zidentyfikowania osoby. Za pozyskanie zgody na rozpowszechnianie wizerunku tych osób – a w przypadku dzieci zgody ich rodziców lub opiekunów prawnych – odpowiada wyłącznie podmiot publikujący (Organizator, Właściciel Ośrodka lub Wychowawca), zgodnie z §16 Regulaminu. Pliki graficzne przechowujemy u dostawcy infrastruktury Vercel (Vercel Blob).
C. Zapytania do Ośrodków i Wychowawców
Gdy Organizator lub grupa zorganizowana wysyła zapytanie do Właściciela Ośrodka lub do Wychowawcy, zbieramy: imię i nazwisko lub nazwę pytającego, adres e-mail, numer telefonu, opcjonalnie planowany termin, liczebność i wiek grupy oraz treść wiadomości.
Cel: przekazanie zapytania wybranemu odbiorcy (Ośrodkowi lub Wychowawcy) oraz zapewnienie bezpieczeństwa i jakości usługi.
Podstawa prawna: art. 6 ust. 1 lit. a) RODO (zgoda) oraz art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – obsługa i bezpieczeństwo Serwisu).
Okres przechowywania: 12 miesięcy od daty przesłania, chyba że wcześniej zostanie złożony skuteczny wniosek o usunięcie.
D. Newsletter
Przy zapisie do newslettera zbieramy adres e-mail oraz datę i godzinę wyrażenia zgody.
Cel: przesyłanie informacji o nowościach, ofertach obozów i poradnikach dla rodziców.
Podstawa prawna: art. 6 ust. 1 lit. a) RODO (zgoda) oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną.
Okres przechowywania: do momentu cofnięcia zgody.
E. Formularz kontaktowy (strona /kontakt)
Przy kontakcie bezpośrednim z Administratorem zbieramy: imię, adres e-mail, temat i treść wiadomości.
Cel: udzielenie odpowiedzi na zapytanie.
Podstawa prawna: art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – obsługa korespondencji).
Okres przechowywania: 12 miesięcy od ostatniego kontaktu w danej sprawie.
F. Dane techniczne i logi serwera
Podczas korzystania z Serwisu automatycznie rejestrujemy: adres IP, typ przeglądarki, system operacyjny, datę i godzinę wizyty, odwiedzone strony, czas spędzony na stronie, kod odpowiedzi HTTP.
Cel: zapewnienie bezpieczeństwa i stabilności Serwisu, diagnozowanie błędów technicznych.
Podstawa prawna: art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes).
Okres przechowywania: 90 dni.
§4. Narzędzia analityczne i marketingowe podmiotów trzecich
Administrator korzysta z następujących narzędzi zewnętrznych. Każde z nich może przetwarzać dane Użytkownika zgodnie z własną polityką prywatności podmiotu dostarczającego usługę.
Google Analytics 4 (GA4)
Dostawca: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia.
Cel: analiza ruchu w Serwisie – liczba odwiedzin, czas na stronie, popularne podstrony, źródła ruchu, zachowania Użytkowników.
Przetwarzane dane: zanonimizowany adres IP, identyfikator pliku cookie (_ga, _gid), informacje o urządzeniu i przeglądarce, odwiedzone strony, zdarzenia interakcji.
Podstawa prawna: art. 6 ust. 1 lit. a) RODO (zgoda wyrażona przez akceptację cookies analitycznych).
Transfer danych: dane mogą być przenoszone do USA na podstawie standardowych klauzul umownych (SCC). Administrator korzysta z funkcji anonimizacji IP.
Rezygnacja: Wtyczka opt-out Google Analytics lub zarządzanie zgodami w ustawieniach cookies Serwisu.
Google Search Console
Dostawca: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia.
Cel: monitorowanie widoczności Serwisu w wynikach wyszukiwania Google, analiza zapytań, wykrywanie błędów technicznych SEO.
Przetwarzane dane: Search Console przetwarza zagregowane, zanonimizowane dane dotyczące wyszukiwań prowadzących do Serwisu – nie przetwarza bezpośrednio danych osobowych Użytkowników Serwisu. Narzędzie dostępne jest wyłącznie dla Administratora.
Podstawa prawna: art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – optymalizacja i bezpieczeństwo Serwisu).
Mailerlite
Dostawca: UAB MailerLite, Perkūnkiemio g. 4, LT-12131 Wilno, Litwa.
Cel: zarządzanie listą subskrybentów newslettera i wysyłka wiadomości e-mail.
Przetwarzane dane: adres e-mail subskrybenta, data zapisu, dane o otwarciach i kliknięciach w wiadomościach.
Podstawa prawna: art. 6 ust. 1 lit. a) RODO (zgoda).
Transfer danych: MailerLite przechowuje dane na serwerach w UE i USA. Transfer odbywa się na podstawie SCC.
Rezygnacja: link „Wypisz się" w każdej wiadomości lub kontakt na kontakt@kolonio.pl. Dane zostaną usunięte z listy w ciągu 72 godzin.
Resend
Dostawca: Resend, Inc., 2261 Market Street #4496, San Francisco, CA 94114, USA.
Cel: transakcyjna wysyłka wiadomości e-mail (potwierdzenia, powiadomienia z formularzy, wiadomość powitalna newslettera).
Przetwarzane dane: adres e-mail odbiorcy, treść wiadomości, data i godzina wysyłki.
Podstawa prawna: art. 6 ust. 1 lit. b) RODO (wykonanie umowy/usługi) oraz art. 6 ust. 1 lit. a) RODO (zgoda – newsletter).
Transfer danych: Resend przetwarza dane w USA na podstawie SCC. Polityka prywatności Resend.
Vercel (hosting)
Dostawca: Vercel Inc., 340 Pine Street Suite 701, San Francisco, CA 94104, USA.
Cel: hosting i serwowanie Serwisu internetowego kolonio.pl.
Przetwarzane dane: adresy IP, logi zapytań HTTP, nagłówki przeglądarek (standardowe logi serwera).
Podstawa prawna: art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – utrzymanie Serwisu).
Transfer danych: Vercel przetwarza dane w UE i USA na podstawie SCC. Polityka prywatności Vercel.
Mapy – OpenStreetMap / Leaflet / Nominatim
Dostawca: OpenStreetMap Foundation (St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Wielka Brytania).
Cel: wyświetlanie interaktywnych map lokalizacji obozów i ośrodków oraz geokodowanie wskazanych miejscowości (zamiana nazwy miejsca na współrzędne).
Przetwarzane dane: adres IP oraz dane techniczne przeglądarki przekazywane do serwerów map w momencie pobierania kafelków mapy lub wykonywania zapytania geokodującego.
Podstawa prawna: art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes – prezentacja lokalizacji Ofert).
NextAuth.js / Google OAuth
Dostawca: Google Ireland Limited (w zakresie logowania przez Google).
Cel: uwierzytelnianie Użytkowników – możliwość logowania do konta Organizatora za pomocą konta Google.
Przetwarzane dane: imię, nazwisko, adres e-mail oraz awatar profilu Google (przekazywane przez Google wyłącznie za zgodą Użytkownika w momencie logowania przez OAuth).
Podstawa prawna: art. 6 ust. 1 lit. b) RODO (wykonanie umowy – świadczenie usługi konta) oraz art. 6 ust. 1 lit. a) RODO (zgoda wyrażona przy logowaniu przez Google).
§5. Pliki cookies
- Serwis korzysta z plików cookies (ciasteczek) – małych plików tekstowych zapisywanych na urządzeniu Użytkownika. Szczegółowe informacje o stosowanych plikach cookies, ich rodzajach i sposobie zarządzania nimi zawarte są w Polityce Cookies dostępnej pod adresem kolonio.pl/polityka-cookies.
- Stosujemy następujące kategorie cookies:
- Niezbędne – wymagane do prawidłowego funkcjonowania Serwisu (sesja logowania, bezpieczeństwo). Nie wymagają zgody.
- Analityczne – Google Analytics 4 (_ga, _gid, _ga_*). Wymagają zgody.
- Funkcjonalne – zapamiętywanie preferencji Użytkownika. Wymagają zgody.
- Użytkownik może w każdej chwili zmienić ustawienia dotyczące cookies za pomocą ustawień przeglądarki lub panelu zarządzania zgodami dostępnego w Serwisie.
§6. Udostępnianie danych podmiotom trzecim
- Administrator nie sprzedaje danych osobowych Użytkowników.
- Dane osobowe mogą być udostępniane wyłącznie:
- odbiorcom zapytań – dane pytającego są przekazywane wybranemu odbiorcy w celu obsługi zapytania: Organizatorowi (zapytanie/rezerwacja Rodzica), Właścicielowi Ośrodka lub Wychowawcy (zapytanie Organizatora/grupy),
- podmiotom przetwarzającym dane w imieniu Administratora (procesorom) na podstawie umów powierzenia przetwarzania danych: Vercel (hosting i przechowywanie przesyłanych plików/zdjęć), Resend (e-mail transakcyjny), MailerLite (newsletter), dostawca bazy danych (Neon / Supabase),
- organom państwowym – gdy obowiązek taki wynika z przepisów prawa (np. na żądanie sądu, prokuratury, PUODO).
- Organizator, otrzymując dane Rodzica, staje się odrębnym administratorem tych danych i ponosi samodzielną odpowiedzialność za ich przetwarzanie zgodnie z RODO.
- Administrator zawarł lub zobowiązuje się zawrzeć umowy powierzenia przetwarzania danych (DPA) ze wszystkimi podmiotami przetwarzającymi dane w jego imieniu, zgodnie z art. 28 RODO.
§7. Transfer danych poza Europejski Obszar Gospodarczy (EOG)
- Część podmiotów, z których usług korzysta Administrator (Google, Resend, Vercel, MailerLite), może przetwarzać dane poza EOG – w szczególności w Stanach Zjednoczonych.
- Transfer danych do USA odbywa się na podstawie:
- standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską, lub
- decyzji o adekwatności Komisji Europejskiej (tam, gdzie ma zastosowanie EU-US Data Privacy Framework).
- Administrator dokłada należytej staranności, aby wybierać wyłącznie podmioty zapewniające odpowiedni poziom ochrony danych zgodny z RODO.
§8. Prawa Użytkownika
Na podstawie RODO każdemu Użytkownikowi, którego dane przetwarza Administrator, przysługują następujące prawa:
Wnioski w zakresie powyższych praw należy kierować na adres: kontakt@kolonio.pl. Administrator udzieli odpowiedzi bez zbędnej zwłoki, nie później niż w ciągu 30 dni od otrzymania wniosku (termin może zostać przedłużony o kolejne 60 dni w sprawach skomplikowanych – o przedłużeniu Administrator poinformuje wnioskodawcę).
§9. Bezpieczeństwo danych
- Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożeń i kategorii danych, w szczególności:
- szyfrowanie połączeń z Serwisem za pomocą protokołu TLS/HTTPS,
- przechowywanie haseł wyłącznie w formie jednokierunkowego skrótu kryptograficznego (bcrypt),
- szyfrowanie danych szczególnie wrażliwych (w szczególności danych dziecka i kontaktu awaryjnego ze zgłoszeń rezerwacji) przechowywanych w bazie danych,
- ograniczanie liczby zapytań z formularzy (rate limiting) oraz ochronę przed automatycznym spamem,
- kontrolę dostępu do systemów i baz danych,
- regularne tworzenie kopii zapasowych.
- W przypadku naruszenia ochrony danych osobowych mogącego skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, Administrator zgłosi incydent do PUODO w terminie 72 godzin od jego stwierdzenia, zgodnie z art. 33 RODO.
§10. Profilowanie i zautomatyzowane podejmowanie decyzji
- Administrator nie stosuje zautomatyzowanego podejmowania decyzji, które wywoływałoby skutki prawne lub w podobny sposób istotnie wpływało na Użytkowników, o którym mowa w art. 22 RODO.
- Google Analytics może generować zagregowane raporty behawioralne (np. segmentacja Użytkowników według źródła ruchu lub urządzenia) na potrzeby statystyk Serwisu. Dane te są zanonimizowane i nie służą podejmowaniu decyzji indywidualnych wobec Użytkowników.
§11. Linki do zewnętrznych serwisów
Serwis może zawierać linki do stron internetowych podmiotów trzecich (np. stron Organizatorów, mediów społecznościowych). Administrator nie ponosi odpowiedzialności za polityki prywatności ani treści tych stron. Zalecamy zapoznanie się z politykami prywatności każdego odwiedzanego serwisu zewnętrznego.
§12. Zmiany Polityki prywatności
- Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce prywatności, w szczególności w związku ze zmianami przepisów prawa, zmianami stosowanych technologii lub rozwojem Serwisu.
- O istotnych zmianach Polityki Administrator poinformuje Użytkowników poprzez komunikat wyświetlany w Serwisie lub – w przypadku Organizatorów – drogą e-mailową, z co najmniej 14-dniowym wyprzedzeniem przed wejściem zmian w życie.
- Data ostatniej aktualizacji Polityki widoczna jest na początku dokumentu.
§13. Kontakt w sprawach prywatności
W sprawach dotyczących ochrony danych osobowych, realizacji praw wynikających z RODO lub jakichkolwiek pytań związanych z niniejszą Polityką prosimy o kontakt:
Wataha Media Marcin Przybył
Wola Jedlińska 23, 97-561 Ładzice
E-mail: kontakt@kolonio.pl
Telefon: +48 788 727 823
Niniejsza Polityka prywatności nie stanowi wzorca umownego w rozumieniu art. 384 Kodeksu cywilnego. Stanowi dokument informacyjny spełniający obowiązek informacyjny wynikający z art. 13 i 14 RODO.
