Przejdź do treści
Menu
Umów wizytę Kup voucher

Polityka prywatności

Ostatnia aktualizacja: 29 czerwca 2026 r.

1. Administrator danych osobowych

Administratorem danych osobowych zbieranych za pośrednictwem serwisu mandalamassage.pl jest:

Mandala sp. z o.o.

ul. Gdańska 117, 85-022 Bydgoszcz

NIP: PL967-148-58-22

E-mail: bydgoszcz@mandalamassage.pl

Tel.: 731-090-444

2. Podstawa prawna i cele przetwarzania danych

  • Realizacja umowy (art. 6 ust. 1 lit. b RODO) — obsługa rezerwacji, sprzedaż i realizacja voucherów, wystawienie dokumentów sprzedaży.
  • Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) — bezpieczeństwo serwisu, analityka, dochodzenie lub obrona roszczeń.
  • Zgoda (art. 6 ust. 1 lit. a RODO) — newsletter, przypomnienia marketingowe, cookies analityczne i marketingowe.
  • Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — dokumentacja księgowa i podatkowa.

3. Zakres zbieranych danych

  • Rezerwacja wizyty: imię i nazwisko, e-mail, telefon, wybrany masaż i termin, dobrowolne uwagi o dolegliwościach.
  • Zakup vouchera: imię nabywcy, e-mail, telefon (opcjonalnie), imię obdarowanej osoby (opcjonalnie). Dane karty przetwarzane wyłącznie przez Stripe — nie są przechowywane przez nas.
  • Newsletter: adres e-mail.
  • Kontakt: imię, e-mail, treść wiadomości.
  • Dane techniczne: adres IP, rodzaj przeglądarki, system operacyjny, czas wizyty.

4. Okres przechowywania danych

  • Dane rezerwacyjne — czas realizacji usługi + 3 lata (przedawnienie roszczeń).
  • Dane voucherów — 5 lat od zakupu (wymogi podatkowe) lub do czasu realizacji, zależnie co nastąpi później.
  • Dokumentacja księgowa — 5 lat od końca roku podatkowego.
  • Newsletter — do cofnięcia zgody.
  • Logi techniczne — 90 dni.

5. Odbiorcy danych

  • Stripe Inc. (USA) — płatności. Certyfikat PCI DSS. Podstawa: standardowe klauzule umowne UE.
  • Supabase Inc. — baza danych. Serwery w regionie UE (Frankfurt).
  • Vercel Inc. (USA) — hosting serwisu. Standardowe klauzule umowne UE.
  • CyberFolks sp. z o.o. (Polska) — dostawca usługi e-mail (SMTP).
  • Meta Platforms Ireland Ltd. — piksel Facebooka i Messenger. Podstawa: zgoda użytkownika.
  • Google LLC — Google Analytics 4, Google Maps. Podstawa: zgoda i standardowe klauzule UE.
  • Organy publiczne — wyłącznie na podstawie przepisów prawa.

6. Pliki cookies

Serwis wykorzystuje pliki cookies przechowywane w urządzeniu użytkownika. Stosujemy trzy kategorie:

6.1 Cookies niezbędne (bez wymaganej zgody)

  • mandala_admin_session — sesja administratora panelu (httpOnly, 8 godzin).
  • __stripe_mid, __stripe_sid — obsługa płatności Stripe.

6.2 Cookies analityczne (wymagają zgody)

  • _ga, _ga_* — Google Analytics 4, pomiar ruchu, 2 lata.
  • _gtm_* — Google Tag Manager.

6.3 Cookies marketingowe (wymagają zgody)

  • _fbp, _fbc — Meta Pixel, śledzenie konwersji, 90 dni.

Użytkownik może zarządzać plikami cookies w ustawieniach przeglądarki. Wyłączenie cookies niezbędnych może ograniczyć działanie serwisu.

7. Prawa użytkownika

  • Prawo dostępu do danych (art. 15 RODO).
  • Prawo do sprostowania błędnych danych (art. 16 RODO).
  • Prawo do usunięcia danych (art. 17 RODO), o ile nie istnieje inna podstawa prawna.
  • Prawo do ograniczenia przetwarzania (art. 18 RODO).
  • Prawo do przenoszenia danych (art. 20 RODO).
  • Prawo sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 21 RODO).
  • Prawo cofnięcia zgody w każdej chwili, bez wpływu na zgodność przetwarzania sprzed cofnięcia.
  • Prawo do skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Wnioski prosimy kierować na adres: bydgoszcz@mandalamassage.pl. Odpowiadamy w ciągu 30 dni.

8. Bezpieczeństwo danych

  • Szyfrowanie połączeń protokołem TLS 1.3 (HTTPS).
  • Sesje administracyjne w httpOnly cookie — niedostępne dla JavaScript.
  • Dane kart płatniczych przetwarzane wyłącznie przez Stripe PCI DSS Level 1.
  • Polityki Row Level Security (RLS) w bazie danych Supabase.
  • Rate limiting chroniący przed atakami brute-force.
  • Nagłówki bezpieczeństwa: X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy, Permissions-Policy.
  • Dostęp do panelu administracyjnego ograniczony do uprawnionych pracowników.

9. Zmiany polityki

Zastrzegamy prawo do zmiany polityki. O istotnych zmianach informujemy na stronie serwisu z co najmniej 14-dniowym wyprzedzeniem.