Polityka prywatności

Obowiązuje od: 28.02.2026 · Wersja 3.0

1. Administrator danych

Administratorem Twoich danych osobowych jest HB Digital Prosta Spółka Akcyjna (HB Digital P.S.A.) z siedzibą w Kleszczelach, ul. Kolejowa 27, 17-250 Kleszczele.

KRS: 0001211830
NIP: 6030085369
REGON: 543509921
E-mail: kontakt@daplo.pl
Strona: daplo.pl

2. Jakie dane zbieramy

W trakcie korzystania z Serwisu zbieramy następujące dane:

Dane konta: adres e-mail, imię/nick podane podczas rejestracji, opcjonalne zdjęcie profilowe (avatar) w formacie JPG/PNG/GIF, max 5 MB.
Dane uwierzytelniające: hash hasła (bcrypt – hasło nie jest nam znane), tokeny OAuth2 Gmail przechowywane w zaszyfrowanej bazie danych.
Dane o przesyłkach: nazwa przedmiotu, przewoźnik, numer śledzenia, termin nadania, imię kupującego (jeśli zawarte w treści wiadomości Vinted) – pobierane automatycznie z wiadomości e-mail Vinted.
Dane finansowe Vinted (Plan Premium): kwoty transakcji, numery przelewów, sumy miesięczne – wyłącznie w celu prezentacji modułu finansów i eksportu CSV.
Dane push: endpoint subskrypcji powiadomień web push, klucze kryptograficzne p256dh i auth – wyłącznie jeśli Użytkownik wyrazi zgodę na powiadomienia w przeglądarce.
Dane techniczne: adres IP (do ochrony przed atakami brute-force i rate-limitingu), data i czas logowania, identyfikator sesji (token CHAR 64), preferencja języka interfejsu.
Dane Trybu Demo: jednokierunkowy hash adresu IP (nieodwracalny – wyłącznie w celu egzekwowania limitu 20 sesji/godzinę/IP), user agent przeglądarki (w celach diagnostycznych), czas trwania sesji demonstracyjnej. Opcjonalnie – jeśli Użytkownik zdecyduje się wypełnić formularz opinii – przechowujemy: ocenę gwiazdkową (1–5), treść komentarza oraz informację o skłonności do rejestracji. Żadne z tych danych nie umożliwiają identyfikacji Użytkownika.
Preferencje interfejsu przechowywane lokalnie: ustawienie trybu ciemnego (daplo_dark), stan paska bocznego (daplo_sidebar), motyw strony głównej (daplo_landing_theme) – przechowywane wyłącznie w localStorage przeglądarki i nie są wysyłane na serwer. Preferencja języka (daplo_lang) przechowywana jest zarówno w cookie jak i na serwerze.

Nie zbieramy danych płatniczych (numery kart kredytowych, dane bankowe), danych wrażliwych w rozumieniu art. 9 RODO ani danych o lokalizacji. Daplo nie jest stroną transakcji na Vinted – dane sprzedaży pobierane są wyłącznie z powiadomień e-mail wysyłanych przez Vinted do Użytkownika.

3. Cel i podstawa prawna przetwarzania

Twoje dane przetwarzamy w następujących celach:

Świadczenie usługi Daplo – import paczek, śledzenie statusów, wyświetlanie przypomnień, moduł finansów, statystyki – podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy).
Bezpieczeństwo konta – weryfikacja 2FA OTP, ochrona przed brute-force, rate-limiting – podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora).
Komunikacja serwisowa – wysyłanie kodów OTP, powiadomień push, informacji o zmianach regulaminu – podstawa: art. 6 ust. 1 lit. b RODO.
Powiadomienia web push – na podstawie wyraźnej zgody Użytkownika udzielonej w przeglądarce – podstawa: art. 6 ust. 1 lit. a RODO (zgoda). Zgoda może być cofnięta w dowolnym momencie.
Finanse i eksport CSV – przetwarzanie danych finansowych Vinted do prezentacji i eksportu na żądanie Użytkownika – podstawa: art. 6 ust. 1 lit. b RODO.
Analityka – Google Analytics 4 (anonimowe statystyki ruchu) – podstawa: art. 6 ust. 1 lit. f RODO.
Limit Trybu Demo – jednokierunkowy hash IP w celu ochrony przed nadużyciami (max 20 sesji/godzinę/IP) – podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora).
Poprawa jakości usługi – anonimowe opinie z Trybu Demo (oceny gwiazdkowe, komentarze) – podstawa: art. 6 ust. 1 lit. f RODO.

4. Okres przechowywania danych

Dane konta, przesyłek i finansów – przez czas aktywności konta. Po usunięciu konta wszystkie dane są trwale kasowane w ciągu 24 godzin.
Dane przesyłek wysłanych – automatycznie usuwane po 90 dniach od oznaczenia jako wysłane.
Logi bezpieczeństwa (adresy IP, nieudane próby logowania, próby OTP) – przez 7 dni od zdarzenia.
Dane subskrypcji push – do momentu odwołania zgody przez Użytkownika lub usunięcia konta.
Tokeny resetowania hasła – 7 dni od wygenerowania (lub do momentu użycia).
Dane Trybu Demo (hash IP, user agent, opinie z formularza) – przez 90 dni od daty sesji.
Dane analityczne (Google Analytics) – zgodnie z polityką Google, domyślnie 14 miesięcy.
Powiadomienia serwisowe – usuwane automatycznie po wygaśnięciu (1–7 dni, zależnie od typu powiadomienia).

5. Prawa użytkownika

Zgodnie z RODO przysługują Ci następujące prawa:

Prawo dostępu (art. 15 RODO) – możesz uzyskać informację o przetwarzanych danych i ich kategoriach.
Prawo do sprostowania (art. 16 RODO) – możesz zmienić imię i avatar w ustawieniach konta.
Prawo do usunięcia (art. 17 RODO) – usunięcie konta w sekcji „Strefa niebezpieczna” trwale kasuje wszystkie dane: e-mail, imię, avatar, tokeny OAuth2, historię przesyłek, dane finansowe, subskrypcje push.
Prawo do przenoszenia danych (art. 20 RODO) – dane finansowe dostępne są do pobrania w formacie CSV bezpośrednio w aplikacji (Plan Premium). Na żądanie udostępnimy pozostałe dane w formacie JSON.
Prawo do ograniczenia przetwarzania (art. 18 RODO) – na żądanie możemy zawiesić przetwarzanie Twoich danych.
Prawo sprzeciwu (art. 21 RODO) – wobec przetwarzania opartego na prawnie uzasadnionym interesie (np. analityka, logi bezpieczeństwa).
Prawo do cofnięcia zgody – na powiadomienia push: w dowolnym momencie przez ustawienia przeglądarki lub konta. Na dostęp Daplo do Gmaila: odwołaj autoryzację w ustawieniach konta Google. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
Prawo do skargi – do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Aby skorzystać z powyższych praw, skontaktuj się z nami: kontakt@daplo.pl. Odpowiemy w ciągu 30 dni.

6. Przekazywanie danych

Twoje dane mogą być przekazywane następującym podmiotom wyłącznie w zakresie niezbędnym do świadczenia usługi:

Google LLC – autoryzacja OAuth2 Gmail (odczyt wiadomości Vinted). Dane przetwarzane zgodnie z Polityką prywatności Google.
InPost S.A. – sprawdzanie statusu przesyłek przez ShipX API (przekazywany: numer śledzenia).
DHL Parcel Polska sp. z o.o. – sprawdzanie statusu przesyłek przez DHL API (przekazywany: numer śledzenia).
DPD Polska sp. z o.o. – sprawdzanie statusu przesyłek przez DPD API (przekazywany: numer śledzenia).
Orlen Paczka – sprawdzanie statusu przesyłek przez ShipX API / serwis orlenpaczka.pl (przekazywany: numer śledzenia).
Poczta Polska S.A. – sprawdzanie statusu przesyłek przez publiczne API emonitoring (przekazywany: numer śledzenia).
Google Analytics (Google LLC) – anonimowe statystyki ruchu na stronie. Identyfikator: G-6F0TC9MZP0.
Dostawca VPS – serwer zlokalizowany w Unii Europejskiej, używany do hostowania Serwisu.

Nie sprzedajemy, nie udostępniamy ani nie przekazujemy danych osobowych podmiotom trzecim w celach marketingowych.

7. Bezpieczeństwo

Stosujemy następujące środki ochrony danych:

Szyfrowanie połączenia HTTPS/TLS 1.2–1.3 – cała komunikacja jest szyfrowana.
Hasła przechowywane jako hash bcrypt – nie są znane Operatorowi.
Ciasteczka sesji oznaczone jako HttpOnly i SameSite=Lax – ochrona przed XSS i CSRF.
Weryfikacja dwuetapowa (2FA OTP) przy każdym logowaniu – kod ważny 10 minut, max 3 próby.
Ochrona przed brute-force: blokada IP po wielokrotnych błędnych próbach logowania.
Tokeny OAuth2 przechowywane w bazie danych na serwerze z ograniczonym dostępem.
Zapytania SQL realizowane przez prepared statements (ochrona przed SQL injection).
Dane wyjściowe escapowane przez htmlspecialchars (ochrona przed XSS).
Serwer VPS zlokalizowany w Unii Europejskiej.

8. Kontakt w sprawie danych

W sprawach dotyczących ochrony danych osobowych prosimy o kontakt:

HB Digital Prosta Spółka Akcyjna
ul. Kolejowa 27, 17-250 Kleszczele
E-mail: kontakt@daplo.pl
Strona: daplo.pl

Staramy się odpowiadać na zgłoszenia w ciągu 3 dni roboczych, a na wnioski formalne (art. 15–22 RODO) – w ciągu 30 dni.