← Strona główna

Polityka prywatności

Wersja 1.0 · Ostatnia aktualizacja: 25 maja 2026

1. Administrator danych

Administratorem Twoich danych osobowych jest i-Future Sp. z o.o. z siedzibą pod adresem ul. Henryka Mikołaja Góreckiego 55, 44-200 Rybnik, Polska, wpisana do rejestru przedsiębiorców KRS pod numerem 0000357456, NIP 642-312-90-46, REGON 241605742 (dalej: „Administrator" lub „Operator").

Operator nie powołał Inspektora Ochrony Danych. W sprawach związanych z przetwarzaniem danych osobowych skontaktuj się z nami: info@concertivo.eu.

Niniejsza polityka dotyczy serwisu Concertivo (dalej: „Serwis") oraz wszystkich powiązanych funkcji aplikacji.

2. Zakres przetwarzanych danych

Przetwarzamy następujące kategorie danych osobowych:

  • Dane identyfikacyjne: imię, nazwisko, pseudonim sceniczny, data urodzenia, zdjęcie profilowe (awatar).
  • Dane identyfikacyjne wysokiego ryzyka (opcjonalne, podawane wyłącznie gdy wybierzesz formę rozliczenia tego wymagającą): numer PESEL, seria i numer dowodu osobistego.
  • Dane kontaktowe: adres email, numer telefonu, adres zamieszkania (ulica, kod pocztowy, miejscowość, kraj), adres do korespondencji (jeśli inny).
  • Dane rozliczeniowe: NIP, REGON, KRS, numer rachunku bankowego (IBAN), nazwa banku i kod SWIFT (dla przelewów zagranicznych), forma prowadzonej działalności (osoba fizyczna, JDG, sp. z o.o., fundacja, stowarzyszenie).
  • Dane zawodowe: instrument / specjalizacja, gatunek muzyczny, opis doświadczenia (bio), linki do portfolio (Spotify, YouTube, własna strona), stawka godzinowa / za koncert, dostępność (kalendarz).
  • Dane generowane automatycznie: adres IP, identyfikator przeglądarki (user-agent), data i czas logowania, logi aktywności w Serwisie (bezpieczeństwo).
  • Dane transakcyjne: historia koncertów, wystawionych umów i faktur powiązanych z Twoim kontem.
  • Treści komunikacji: wiadomości przesyłane między użytkownikami w obrębie Serwisu (jeśli korzystasz z funkcji wiadomości).
  • Cookies sesyjne: niezbędne pliki cookie utrzymujące sesję logowania i zapamiętanie zaufanego urządzenia przy 2FA.

3. Szczególna ochrona danych identyfikacyjnych

Dane wrażliwe z punktu widzenia ryzyka kradzieży tożsamości (PESEL, seria i numer dowodu, numer rachunku bankowego) są przechowywane w bazie danych w postaci zaszyfrowanej algorytmem AES-256-GCM. Klucz szyfrujący nie jest przechowywany w bazie danych — znajduje się wyłącznie w zabezpieczonych zmiennych środowiskowych serwera. Oznacza to, że nawet w przypadku nieautoryzowanego dostępu do bazy danych, dane pozostają nieczytelne.

Dane te są odszyfrowywane wyłącznie w momencie ich wyświetlenia uprawnionym osobom (Tobie, ownerom organizacji, do których należysz, oraz personelowi Operatora w celu wsparcia technicznego lub realizacji obowiązków księgowych).

4. Cele i podstawy prawne przetwarzania

  • Świadczenie usługi (prowadzenie konta, organizacji, kalendarza, portfolio) — art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usług drogą elektroniczną).
  • Realizacja rozliczeń koncertów: zawieranie umów, wystawianie faktur, obsługa płatności i przelewów — art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. c RODO (obowiązki rachunkowe i podatkowe).
  • Wypełnienie obowiązków księgowo-podatkowych — art. 6 ust. 1 lit. c RODO w związku z art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości oraz przepisami ustawy o VAT.
  • Bezpieczeństwo konta (logowanie, 2FA, logi, wykrywanie nadużyć) — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Operatora i użytkownika polegający na ochronie przed nieautoryzowanym dostępem).
  • Dochodzenie i obrona roszczeń — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes).
  • Analityka korzystania z Serwisu — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes polegający na ulepszaniu Serwisu). Korzystamy z Plausible Analytics — narzędzia analitycznego hostowanego w Unii Europejskiej, które nie używa plików cookie i nie zbiera danych osobowych identyfikujących użytkowników.
  • Marketing własny (newsletter, informacje o nowych funkcjach, oferty) — art. 6 ust. 1 lit. a RODO (zgoda) oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną. Zgodę możesz wycofać w każdej chwili klikając „rezygnuję" w stopce wiadomości lub w ustawieniach konta.
  • Funkcja „zaproś znajomego" — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes); zapraszający oświadcza, że dysponuje zgodą osoby zapraszanej na przekazanie jej adresu email w celu wysłania jednorazowego zaproszenia.

5. Odbiorcy danych

Twoje dane osobowe mogą być udostępniane następującym kategoriom odbiorców:

  • Innym użytkownikom Serwisu — w zakresie informacji, które samodzielnie publikujesz w profilu publicznym (imię, pseudonim, bio, instrument, portfolio).
  • Właścicielom (ownerom) organizacji, do których należysz — w zakresie niezbędnym do realizacji koncertów i rozliczeń (w tym danym rozliczeniowym jeśli sam(a) je uzupełnisz).
  • Podmiotom przetwarzającym (procesorom) na podstawie umów powierzenia przetwarzania (art. 28 RODO):
    • Hostinger International Ltd. — dostawca infrastruktury serwerowej (VPS, EOG).
    • Supabase Inc. (San Francisco, USA) — dostawca bazy danych i usług uwierzytelniania. Dane przechowywane w regionie UE; transfer poza EOG zabezpieczony Standardowymi Klauzulami Umownymi Komisji Europejskiej (decyzja 2021/914) oraz DPA Supabase.
    • CashBill S.A. (ul. Sobieskiego 2, 40-082 Katowice, KRS 0000323297) — operator płatności online.
    • Plausible Insights OÜ (Estonia, EOG) — dostawca analityki bez cookies.
    • Biuro rachunkowe obsługujące Operatora — w zakresie niezbędnym do realizacji obowiązków księgowych (faktury wystawione przez lub na rzecz Operatora).
    • Kancelaria windykacyjna — wyłącznie w przypadku nieuregulowanych należności, w zakresie niezbędnym do dochodzenia roszczeń.
  • Organom państwowym — gdy obowiązek udostępnienia wynika z przepisów prawa (sądy, prokuratura, urzędy skarbowe).

6. Transfer danych poza EOG

Co do zasady Twoje dane przetwarzane są na terenie Europejskiego Obszaru Gospodarczego. Wyjątkiem jest korzystanie z usług Supabase Inc. (USA), która, pomimo przechowywania danych w regionie UE, jako spółka amerykańska podlega jurysdykcji USA. Transfer ten odbywa się na podstawie:

  • Standardowych Klauzul Umownych (SCC) zatwierdzonych decyzją wykonawczą Komisji Europejskiej 2021/914;
  • umowy powierzenia przetwarzania (DPA) zawartej z Supabase;
  • dodatkowych środków technicznych (szyfrowanie at-rest i in-transit, klucz szyfrujący dane wrażliwe poza bazą).

Na żądanie kierowane na adres info@concertivo.eu udostępniamy kopię stosowanych zabezpieczeń.

7. Okres przechowywania danych

  • Dane konta i profilu — przez okres posiadania konta. Po usunięciu konta dane są usuwane niezwłocznie (twardy delete).
  • Dane rozliczeniowe powiązane z wystawionymi fakturami — przez okres 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 86 § 1 Ordynacji podatkowej, art. 74 ust. 2 ustawy o rachunkowości). Po tym okresie dane są usuwane.
  • Logi bezpieczeństwa (IP, user-agent, logowania) — 12 miesięcy.
  • Dane przetwarzane na podstawie zgody (newsletter) — do momentu wycofania zgody.
  • Dane niezbędne do dochodzenia lub obrony roszczeń — do upływu okresu przedawnienia (zasadniczo 6 lat, dla roszczeń związanych z działalnością gospodarczą 3 lata).

8. Twoje prawa

W związku z przetwarzaniem Twoich danych przysługują Ci następujące prawa:

  • dostępu do danych (art. 15 RODO) — w panelu profilu znajdziesz przycisk „Pobierz moje dane" (eksport JSON);
  • sprostowania danych (art. 16 RODO) — w panelu profilu;
  • usunięcia danych / „prawo do bycia zapomnianym" (art. 17 RODO) — w panelu profilu znajdziesz przycisk „Usuń konto";
  • ograniczenia przetwarzania (art. 18 RODO);
  • przeniesienia danych (art. 20 RODO) — eksport w formacie JSON;
  • sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21 RODO);
  • wycofania zgody w dowolnym momencie (nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem) — art. 7 ust. 3 RODO;
  • wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Żądania związane z realizacją powyższych praw możesz również kierować mailem na: info@concertivo.eu. Odpowiadamy bez zbędnej zwłoki, najpóźniej w terminie miesiąca od otrzymania żądania.

9. Dobrowolność podania danych

Podanie danych identyfikacyjnych i kontaktowych (imię, nazwisko, email) jest dobrowolne, ale niezbędne do założenia konta. Podanie danych rozliczeniowych (PESEL, NIP, IBAN itp.) jest dobrowolne i wymagane wyłącznie gdy korzystasz z funkcji rozliczeń koncertów — bez tych danych nie zawrzemy umowy i nie wystawimy faktury.

10. Pliki cookie

Serwis używa wyłącznie niezbędnych plików cookie:

  • Cookies sesyjne — utrzymują sesję logowania, usuwane po zamknięciu przeglądarki lub wylogowaniu.
  • Cookie zaufanego urządzenia (MFA-trust) — opcjonalne, ważne 30 dni, ustawiane wyłącznie gdy zaznaczysz „Zapamiętaj to urządzenie" przy weryfikacji 2FA.
  • Cookie preferencji języka — zapamiętuje wybrany język interfejsu.

Nie używamy cookies marketingowych, śledzących ani analitycznych zewnętrznych dostawców. Plausible Analytics, z którego korzystamy, działa całkowicie bez cookies.

11. Wiek użytkowników

Serwis przeznaczony jest dla osób, które ukończyły 16 lat (próg wiekowy zgody na przetwarzanie danych osobowych w usługach społeczeństwa informacyjnego — art. 8 RODO w związku z art. 8 ust. 1 polskiej ustawy o ochronie danych osobowych). Osoby między 13 a 16 rokiem życia mogą korzystać z Serwisu wyłącznie za zgodą rodzica lub opiekuna prawnego, którą należy przesłać na adres info@concertivo.eu przed założeniem konta.

12. Bezpieczeństwo

Stosujemy techniczne i organizacyjne środki ochrony danych zgodne ze stanem wiedzy technicznej, w tym m.in.: szyfrowanie połączeń (HTTPS/TLS), szyfrowanie danych wrażliwych w bazie (AES-256-GCM), Row-Level Security w warstwie bazy danych, weryfikację dwuetapową (2FA), regularne kopie zapasowe, ograniczony dostęp personelu na zasadzie wiedzy koniecznej.

W przypadku naruszenia ochrony danych osobowych mogącego powodować ryzyko dla Twoich praw i wolności, poinformujemy Cię o tym bez zbędnej zwłoki, zgodnie z art. 34 RODO.

13. Zmiany Polityki prywatności

Każda nowa wersja Polityki jest oznaczona datą i numerem wersji. W przypadku istotnych zmian poinformujemy Cię z wyprzedzeniem za pośrednictwem poczty elektronicznej oraz poprosimy o ponowną akceptację przy najbliższym logowaniu. Archiwum poprzednich wersji udostępniamy na żądanie.

Dokument w wersji 1.0, obowiązuje od 25 maja 2026. W razie wątpliwości skontaktuj się z nami: info@concertivo.eu.