Polityka Prywatności i Plików Cookie
Ostatnia aktualizacja: 11 kwietnia 2026
Wersja dokumentu: 2026-04-11
Niniejsza informacja wyjaśnia, w jaki sposób Madras Bistro oraz aktualna przykładowa aplikacja ShopHost przetwarzają dane osobowe, gdy przeglądasz stronę, tworzysz konto, składasz zamówienie, wysyłasz prośbę o rezerwację albo korzystasz z uwierzytelnionych funkcji storefrontu i panelu administracyjnego.
1. Administrator danych
Administratorem danych dla strony internetowej i tej przykładowej wdrożonej aplikacji jest:
MADRAS HOSPITALITY GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
Tax ID / NIP: 6793219296
Plac Bohaterów Getta 2
30-547 Kraków, Poland
Email: contact@madrasbistro.pl
Phone: +48 500 193 738
2. Zakres tej informacji
- Publiczne strony internetowe, treści lokalizowane i preferencje nawigacyjne.
- Konta klientów, logowanie, reset hasła oraz opcjonalne logowanie przez Google.
- Zamówienia online, adresy dostawy i faktury, konfiguracja płatności oraz komunikaty o statusie zamówienia.
- Prośby o rezerwację, aktualizacje statusu rezerwacji i powiązana komunikacja usługowa.
- Uwierzytelnione narzędzia storefrontu i panelu administracyjnego używane przez pracowników restauracji lub współpracowników.
3. Jakie dane osobowe zbieramy
- Dane konta i tożsamości. Imię, nazwisko, adres e-mail, dane logowania hasłem lub przez dostawcę społecznościowego, zdjęcie profilowe jeśli jest używane, członkostwo w organizacji oraz dane uwierzytelnienia i sesji.
- Dane zamówienia i realizacji. Zamówione pozycje, ceny, sposób realizacji, metoda dostawy, adres dostawy, znaczniki czasu i status zamówienia, adres e-mail klienta oraz powiązane metadane operacyjne.
- Dane rezerwacji. Imię, nazwisko, numer telefonu, data i godzina rezerwacji, liczba gości, status rezerwacji oraz wiadomości dotyczące anulowania lub aktualizacji.
- Dane płatnicze i rozliczeniowe. Metoda płatności, dostawca płatności, identyfikatory transakcji lub sesji checkout, kwoty, waluta, dane do faktury oraz dane podatkowe firmy, jeśli prosisz o fakturę. Pełne dane karty są przetwarzane przez operatora płatności i nie są przechowywane w naszej bazie danych.
- Dane urządzenia, sesji i preferencji. Pliki cookie sesyjne, adres IP i user-agent powiązane z sesjami lub logami operacyjnymi, preferencja języka, stan banera cookie, zawartość koszyka oraz dane szkicu checkoutu przechowywane na Twoim urządzeniu.
- Wyszukiwanie adresów i przesłane media. Jeżeli używasz autouzupełniania adresu, zapytania adresowe i identyfikatory miejsc są wysyłane do Google Places. Jeżeli używane są uploady w panelu administracyjnym, metadane przesłanych plików i ich adresy URL są przetwarzane na potrzeby przechowywania i dostarczania.
4. Cele przetwarzania i podstawy prawne
| Cel | Typowe dane | Podstawa prawna |
|---|---|---|
| Zapewnienie działania strony, kont klientów, checkoutu, śledzenia zamówień i rezerwacji | Dane konta, dane sesji, stan koszyka, dane zamówienia, dane rezerwacji, dane kontaktowe i adresowe | Wykonanie umowy albo działania podjęte na Twoje żądanie przed zawarciem umowy |
| Obsługa płatności, faktur, zwrotów i księgowości | Identyfikatory płatności, dane do faktury, dane podatkowe, sumy zamówień i dokumentacja księgowa | Wykonanie umowy oraz wypełnienie obowiązków prawnych |
| Wysyłka wiadomości transakcyjnych, takich jak reset hasła, potwierdzenia zamówień i aktualizacje rezerwacji | Adres e-mail, identyfikatory zamówienia lub rezerwacji, dane konta oraz historia wiadomości operacyjnych | Wykonanie umowy oraz nasz prawnie uzasadniony interes polegający na niezawodnym świadczeniu usługi |
| Ochrona usługi, uwierzytelnianie użytkowników, zapobieganie nadużyciom i rozwiązywanie incydentów | Dane sesji, adres IP i user-agent, członkostwo w organizacji oraz logi operacyjne | Nasz prawnie uzasadniony interes w zakresie bezpieczeństwa, zapobiegania oszustwom i ciągłości działania, a tam gdzie to konieczne także obowiązki prawne |
| Zapamiętywanie języka, koszyka i stanu checkoutu na Twoim urządzeniu | Cookie językowe, pamięć przeglądarki dla koszyka, szkiców checkoutu i stanu banera | Nasz prawnie uzasadniony interes w zapewnieniu żądanej funkcjonalności i zachowaniu wybranych ustawień |
| Pomiar ruchu i ulepszanie strony, gdy analityka jest włączona | Identyfikatory analityczne, odsłony stron, dane o urządzeniu/przeglądarce oraz źródła ruchu | Zgoda tam, gdzie pliki cookie analityczne lub podobne technologie jej wymagają |
5. Podmioty przetwarzające, dostawcy usług i inni odbiorcy
W zależności od funkcji włączonych dla tej instancji lub organizacji dane osobowe mogą być przetwarzane przez następujących odbiorców:
| Dostawca / odbiorca | Rola | Kiedy jest używany |
|---|---|---|
| Stripe | Obsługuje płatności online i zwraca dane referencyjne dotyczące transakcji lub sesji płatniczej | Gdy włączone są płatności kartą, BLIK lub metody oparte o Stripe |
| Resend | Dostarcza e-maile transakcyjne, takie jak resety hasła, potwierdzenia zamówień i powiadomienia o rezerwacjach | Gdy skonfigurowano wysyłkę wiadomości transakcyjnych |
| Google Analytics | Zapewnia zagregowany pomiar ruchu i raportowanie | Gdy dla wdrożenia ustawiono NEXT_PUBLIC_GA_ID |
| Google Places | Zapewnia autouzupełnianie adresów i szczegóły miejsca dla adresów dostawy lub faktury | Gdy korzystasz z wyszukiwania adresu w procesie dostawy lub faktury |
| Logowanie Google | Pozwala zalogować się przy użyciu konta Google i udostępnić podstawowe dane profilu, takie jak imię i nazwisko | Gdy logowanie społecznościowe Google jest włączone i zdecydujesz się z niego skorzystać |
| Vercel Blob | Przechowuje przesłane obrazy lub pliki używane w panelu administracyjnym i katalogu | Gdy pracownicy lub współpracownicy przesyłają media przez panel administracyjny |
| Doradcy zawodowi, instytucje płatnicze i organy publiczne | Wspierają zgodność prawną, spory, audyty, chargebacki i obowiązkowe ujawnienia | Wyłącznie gdy jest to wymagane z powodów prawnych, roszczeniowych lub regulacyjnych |
Uwierzytelnianie i zarządzanie sesją w tej przykładowej aplikacji odbywa się wewnątrz aplikacji ShopHost z użyciem Better Auth i głównej bazy danych aplikacji. Better Auth jest składnikiem oprogramowania w naszym stosie, a nie odrębnym hostowanym podmiotem przetwarzającym.
6. Pliki Cookie i Podobna Pamięć Przeglądarki
Używamy plików cookie oraz podobnych technologii po stronie przeglądarki, w tym localStorage, aby utrzymać działanie strony, zapamiętać wybór języka, zachować stan koszyka oraz, jeśli analityka jest włączona, mierzyć użycie.
Poniższa tabela odzwierciedla aktualną implementację przykładowej aplikacji, w tym pamięć przeglądarki wykorzystywaną podczas checkoutu.
| Nazwa / pamięć | Kategoria | Cel | Okres przechowywania |
|---|---|---|---|
| Cookie NEXT_LOCALE | Niezbędne / preferencje | Zapamiętuje wybrany język w obrębie strony, konta, checkoutu i panelu administracyjnego | 12 miesięcy |
| Cookie uwierzytelniające i sesyjne | Ściśle niezbędne | Utrzymują zalogowane sesje klientów i administratorów | Do wylogowania albo do wygaśnięcia sesji skonfigurowanego w systemie uwierzytelniania |
| Klucz cookiesAccepted w localStorage | Stan banera / preferencje | Zapamiętuje, czy obecny baner cookie został już zaakceptowany lub zamknięty | Do momentu wyczyszczenia pamięci przeglądarki |
| Klucz shophost-cart w localStorage | Niezbędne dla żądanej funkcji | Przechowuje zawartość koszyka na Twoim urządzeniu, aby umożliwić dokończenie checkoutu później | Do zakończenia checkoutu, nadpisania koszyka albo wyczyszczenia pamięci przeglądarki |
| Klucz shophost-checkout w localStorage | Niezbędne dla żądanej funkcji / wygoda | Przechowuje szkic checkoutu, w tym dane do faktury, jeśli zostały wpisane, na Twoim urządzeniu | Do zakończenia checkoutu, nadpisania szkicu albo wyczyszczenia pamięci przeglądarki |
| Cookie Google Analytics | Analityczne | Mierzą wizyty, odsłony, urządzenia i źródła ruchu, gdy analityka jest włączona | Do czasu wygaśnięcia ustawionego przez dostawcę albo ręcznego usunięcia |
Plikami cookie i pamięcią przeglądarki możesz zarządzać w ustawieniach swojej przeglądarki. Zablokowanie niezbędnych cookie lub wyczyszczenie pamięci przeglądarki może wpłynąć na działanie logowania, koszyka, checkoutu i zapamiętania języka.
Ta przykładowa aplikacja nie korzysta obecnie z reklamowych plików cookie i nie sprzedaje danych osobowych.
7. Transfery międzynarodowe
- Niektórzy wskazani powyżej dostawcy mogą przetwarzać dane poza Polską lub EOG, w tym w Stanach Zjednoczonych.
- Jeżeli dochodzi do transferu transgranicznego, opieramy się na zabezpieczeniach umownych i ustawowych oferowanych przez danego dostawcę, takich jak standardowe klauzule umowne, decyzje stwierdzające odpowiedni stopień ochrony lub równoważne zabezpieczenia właściwe dla danej usługi.
- Staramy się przekazywać wyłącznie minimalny zakres danych potrzebny do działania konkretnej funkcji, takiej jak płatność, wyszukiwanie adresu, analityka czy dostarczenie e-maila.
8. Jak długo przechowujemy dane
Dla aktualnej przykładowej aplikacji stosujemy następujące zasady retencji, chyba że dłuższy okres wynika z prawa, sporu albo żądania organu:
- Dane konta i członkostwa. Przechowujemy je tak długo, jak konto pozostaje aktywne, a później wyłącznie przez okres potrzebny do bezpieczeństwa, kopii zapasowych, obsługi sporów lub zgodności prawnej.
- Zamówienia, faktury i dokumentacja płatnicza. Przechowujemy je przez bieżący okres podatkowy/księgowy oraz przez kolejne 5 lat, jeśli jest to wymagane dla celów podatkowych, księgowych lub audytowych.
- Rezerwacje. Przechowujemy je przez cały cykl obsługi rezerwacji, a następnie co do zasady do 12 miesięcy po planowanej dacie rezerwacji, chyba że dłuższy okres jest potrzebny dla reklamacji, roszczeń lub zgodności.
- Sesje uwierzytelniające i dane bezpieczeństwa operacyjnego. Przechowujemy je przez czas życia sesji oraz przez ograniczony okres operacyjny po jej zakończeniu, aby wykrywać nadużycia, badać incydenty i przywracać ciągłość działania.
- Korespondencja dotycząca wsparcia i prywatności. Przechowujemy ją tak długo, jak zgłoszenie pozostaje aktywne, a następnie do 3 lat w celu udokumentowania dalszych działań i obsługi zgodności.
- Dane analityczne. Przechowujemy je zgodnie z ustawieniami retencji skonfigurowanymi w Google Analytics, jeśli analityka jest włączona.
- Pamięć przeglądarki dla koszyka, checkoutu i preferencji. Pozostaje na Twoim urządzeniu do czasu zakończenia checkoutu, nadpisania danych albo ręcznego wyczyszczenia pamięci przeglądarki.
9. Twoje prawa
Na podstawie RODO oraz właściwego prawa lokalnego możesz mieć prawo do:
- uzyskania dostępu do danych osobowych, które na Twój temat przechowujemy,
- sprostowania nieprawidłowych lub niekompletnych danych osobowych,
- żądania usunięcia danych osobowych, jeśli nie ma nadrzędnego obowiązku ich dalszego przechowywania,
- ograniczenia lub wniesienia sprzeciwu wobec określonych czynności przetwarzania,
- otrzymania danych osobowych w formacie przenośnym tam, gdzie takie prawo przysługuje,
- wycofania zgody w dowolnym momencie w odniesieniu do przetwarzania opartego na zgodzie, takiego jak analityka tam, gdzie ma to zastosowanie,
- wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
10. Jak skorzystać ze swoich praw
Aby złożyć wniosek dotyczący prywatności, skontaktuj się z nami, korzystając z danych wskazanych powyżej, i podaj wystarczające informacje, abyśmy mogli zrozumieć żądanie oraz odnaleźć odpowiednie rekordy.
- Napisz do nas na adres contact@madrasbistro.pl, najlepiej z tematem "Privacy Request" albo "GDPR Request".
- Wskaż, z którego prawa chcesz skorzystać oraz którego konta, zamówienia albo rezerwacji dotyczy wniosek.
- Przed ujawnieniem, eksportem, zmianą lub usunięciem danych możemy poprosić o rozsądne potwierdzenie tożsamości.
Jeżeli uznasz, że nasza odpowiedź nie rozwiązuje sprawy, możesz także skontaktować się z UODO, czyli polskim organem ochrony danych osobowych.
11. Bezpieczeństwo
- Stosujemy techniczne i organizacyjne zabezpieczenia, takie jak kontrola uwierzytelnienia, uprawnienia oparte na rolach oraz chronione kanały komunikacji tam, gdzie są dostępne.
- Mimo to żadna usługa internetowa nie gwarantuje pełnego bezpieczeństwa, dlatego prosimy o nieprzekazywanie zbędnych danych osobowych i zachowanie poufności danych logowania.
12. Zautomatyzowane podejmowanie decyzji
W tej przykładowej aplikacji nie stosujemy obecnie w pełni zautomatyzowanego podejmowania decyzji wywołującego skutki prawne lub podobnie istotne skutki dla klientów. Zewnętrzni dostawcy płatności lub tożsamości mogą prowadzić własne kontrole bezpieczeństwa albo antyfraudowe na podstawie swoich własnych polityk.
13. Prywatność dzieci
Ta przykładowa aplikacja nie jest kierowana do dzieci poniżej 16 roku życia i świadomie nie dąży do pozyskiwania danych osobowych dzieci za pośrednictwem usługi.
14. Zmiany w tej informacji
Możemy aktualizować ten dokument wraz ze zmianami w przykładowej aplikacji ShopHost. Gdy to zrobimy, na tej stronie opublikujemy nowy numer wersji i datę wejścia w życie.