Przejdź do głównej treści

Polityka prywatności

Data wejścia w życie:

Jonot to chmurowa usługa zarządzania kolejkami. Niniejsza polityka wyjaśnia, jakie dane osobowe zbieramy, gdy Ty lub Twoi klienci korzystają z usługi, dlaczego je zbieramy, jak długo je przechowujemy i jakie masz nad nimi prawa.

Kim jesteśmy

Usługę prowadzi Jonot Oy (ID firmy 3620928-7), spółka zarejestrowana w Finlandii ("Jonot", "my" w niniejszej polityce). W sprawach prywatności:

  • E-mail: info@jonot.io
  • Adres pocztowy: Jonot Oy, Tenavatie 11B, 00760 Helsinki, Finlandia

Nie wyznaczyliśmy Inspektora Ochrony Danych — jesteśmy poniżej progów z art. 37 RODO, które by tego wymagały — jednak powyższy adres e-mail dociera do osoby odpowiedzialnej za zgodność z przepisami o ochronie prywatności.

Co zbieramy według roli

Z Jonot korzystają trzy grupy osób i zbieramy różne dane o każdej z nich.

Użytkownicy końcowi (osoby dołączające do kolejki)

  • Hash biletu: losowy identyfikator 22 znaków reprezentujący użytkownika końcowego. To jedyny identyfikator użytkownika końcowego — domyślnie nie zbieramy konta, loginu ani adresu e-mail.
  • Adres IP: odczytywany na krawędzi sieci w celu ograniczenia liczby żądań i ochrony przed nadużyciami (np. aby zapobiec zalaniu kolejki przez jedną przeglądarkę). Adresy IP nie są przechowywane w bazie danych kolejki; pozostają jedynie w krótkotrwałych dziennikach żądań.
  • Opcjonalne dane kontaktowe: jeśli firma skonfigurowała kiosk lub formularz rejestracji z pytaniem o imię lub numer telefonu (np. w celu wywołania klienta gdy przyjdzie jego kolej), ta wartość jest zapisywana przy bilecie na czas trwania sesji kolejki.

Użytkownicy personelu (stanowisko, administracja, super-admin)

  • Tożsamość: e-mail, imię i nazwisko, awatar oraz ID użytkownika. Jonot prowadzi własne uwierzytelnianie w bazie danych UE; hasło jest przechowywane wyłącznie jako solony skrót — nigdy w postaci jawnej i nigdy niewidoczne dla nas.
  • Uprawnienia: role przypisane do konta (np. org-manager, desk), weryfikowane przy każdym żądaniu.
  • Dziennik aktywności: zapis działań administracyjnych, takich jak tworzenie lokalizacji lub usuwanie urządzenia, powiązany z ID użytkownika.
  • Metadane żądań: adres IP i user-agent rejestrowane w krótkotrwałych dziennikach żądań.

Urządzenia (kioski, wyświetlacze)

  • Skrót tokenu sesji urządzenia: jednostronny skrót tokenu wydanego podczas parowania. Nigdy nie przechowujemy surowego tokenu.
  • Metadane parowania: lokalizacja, do której urządzenie jest przypisane, czytelna etykieta oraz znaczniki czasu ostatniego kontaktu.

Dlaczego zbieramy dane (podstawa prawna)

RODO wymaga podstawy prawnej dla każdej czynności przetwarzania. Nasze podstawy:

  • Umowa (art. 6 ust. 1 lit. b): konta personelu, wystawianie biletów i parowanie kiosków — niezbędne do świadczenia usługi zamówionej przez płacącego Klienta.
  • Uzasadniony interes (art. 6 ust. 1 lit. f): ograniczanie liczby żądań, ochrona przed nadużyciami i dzienniki żądań. Nasz interes w utrzymaniu dostępności i rzetelności usługi przeważa nad minimalną ingerencją krótkotrwałego dziennika IP.
  • Zgoda (art. 6 ust. 1 lit. a): opcjonalne pola kontaktowe aktywnie wypełniane przez użytkownika końcowego w formularzu kiosku. Zgodę możesz wycofać w dowolnym momencie, pisząc do nas.

Kto przetwarza dane w naszym imieniu

Korzystamy z niewielkiej liczby podwykonawców w celu świadczenia usługi. Każdy z nich jest związany umową powierzenia przetwarzania danych i może przetwarzać dane osobowe wyłącznie zgodnie z naszymi instrukcjami:

  • Cloudflare — hosting, baza danych (D1) i obliczenia brzegowe. Dane kolejki i konta są przechowywane w UE (Europa Zachodnia); zasoby statyczne i obliczenia bezstanowe są dostarczane z globalnej sieci brzegowej.

Uwierzytelnianie i tożsamość personelu są obsługiwane wewnętrznie w naszej własnej bazie danych UE, nie przez strony trzecie. Rozliczeniami zajmuje się Polar jako nasz merchant of record; Polar działa jako niezależny administrator danych płatności, a nie jako nasz podmiot przetwarzający. Aktualizujemy tę listę, gdy zmieniają się nasi podwykonawcy.

Gdzie dane są przetwarzane

  • Dane kolejki: przechowywane w UE (Europa Zachodnia).
  • Zasoby statyczne i obliczenia aplikacji: dostarczane z globalnej sieci brzegowej. Obliczenia są bezstanowe; żadne dane osobowe nie są przechowywane na krawędzi sieci.
  • Tożsamość i uwierzytelnianie: obsługiwane wewnętrznie w naszej bazie danych UE (Europa Zachodnia).
  • Rozliczenia (za pośrednictwem Polar, naszego merchant of record): mogą obejmować transfer danych do USA w ramach ram EU-US Data Privacy Framework.

Jeśli odbiorca nie jest certyfikowany w ramach EU-US Data Privacy Framework, transfer opiera się zamiast tego na standardowych klauzulach umownych Komisji Europejskiej; kopię klauzul można uzyskać na żądanie pod adresem info@jonot.io.

Jak długo przechowujemy dane

  • Bilety kolejkowe: przechowywane do zamknięcia sesji kolejki, następnie 30 dni na potrzeby rozstrzygania sporów, po czym usuwane.
  • Sesje urządzeń: przechowywane do momentu odwołania urządzenia; odwołanie powoduje natychmiastowe usunięcie skrótu tokenu.
  • Dane konta personelu: przechowywane przez czas subskrypcji organizacji plus 90 dni po jej zakończeniu, a następnie usuwane z naszej bazy danych. Dane tożsamości, w tym solony skrót hasła, wchodzą w skład tych danych i są usuwane według tego samego harmonogramu.
  • Dzienniki audytu: 12 miesięcy.
  • Dzienniki żądań: zwykle 7 dni.

Twoje prawa

Jeśli przebywasz w UE/EOG (i w większości przypadków niezależnie od miejsca pobytu), masz prawo do:

  • Dostępu do danych osobowych, które o Tobie przechowujemy.
  • Sprostowania niedokładnych danych.
  • Usunięcia swoich danych (z zastrzeżeniem prawnych obowiązków przechowywania, np. danych fakturowania).
  • Przeniesienia swoich danych w formacie przenośnym.
  • Sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie.
  • Wycofania zgody na cokolwiek, na co wcześniej wyraziłeś/wyraziłaś zgodę (bez wpływu na przetwarzanie, które już nastąpiło).

Napisz na info@jonot.io, aby skorzystać z któregokolwiek z tych praw. Staramy się odpowiadać w ciągu 30 dni; ustawowy termin organu nadzorczego wynosi jeden miesiąc, z możliwością jednorazowego przedłużenia o kolejne dwa miesiące w przypadku złożonych spraw.

Jeśli przetwarzamy dane w imieniu Klienta Jonot (np. Twojego pracodawcy), skieruj żądanie najpierw do niego — jest administratorem tych danych i działamy zgodnie z jego instrukcjami.

Pliki cookie i lokalne przechowywanie

Aplikacje Jonot oszczędnie korzystają z pamięci przeglądarki:

  • Przechowywanie sesji dla adresów URL po zalogowaniu aby po zalogowaniu przekierować Cię z powrotem tam, skąd przyszedłeś/przyszłaś. Usuwane natychmiast po zakończeniu przekierowania.
  • Tokeny tożsamości: tokeny ID i odświeżania przechowywane w pamięci oraz w bezpiecznych plikach cookie do odświeżania wystawianych przez własną usługę uwierzytelniania Jonot.

W aplikacjach produktowych nie używamy reklamowych ani analitycznych plików cookie. Strona marketingowa może w przyszłości korzystać z analityki własnej; takie uzupełnienie spowoduje aktualizację tej strony i, w razie potrzeby, wyświetlenie monitu o zgodę.

Dzieci

Jonot to usługa dla firm. Nie zbieramy świadomie danych od dzieci poniżej 16 roku życia. Jeśli uważasz, że dziecko przesłało dane za pośrednictwem kiosku Klienta, które tam nie powinny się znaleźć, napisz do nas, a je usuniemy.

Zmiany w niniejszej polityce

Będziemy aktualizować niniejszą politykę w miarę rozwoju usługi. Data wejścia w życie u góry strony zawsze odzwierciedla aktualną wersję; o istotnych zmianach powiadomimy zarejestrowanych użytkowników personelu co najmniej 14 dni wcześniej za pośrednictwem poczty e-mail.

Skargi

Jeśli nie jesteś zadowolony/zadowolona ze sposobu, w jaki rozpatrzyliśmy żądanie dotyczące prywatności, możesz złożyć skargę do organu nadzorczego. W Finlandii jest to Urząd Rzecznika Ochrony Danych (tietosuoja.fi). W innym kraju UE/EOG jest to Twój lokalny organ ochrony danych.