HelpTravel

Ochrona danych osobowych

Polityka prywatności

Niniejszy dokument opisuje, w jaki sposób przetwarzamy Twoje dane osobowe podczas korzystania z serwisu HelpTravel. Polityka spełnia wymogi RODO, ustawy o ochronie danych osobowych, ustawy o świadczeniu usług drogą elektroniczną oraz Dyrektywy ePrivacy. Jest podzielona na § sekcje dla łatwej nawigacji.

Wersja obowiązująca od: Regulamin →Ustawienia cookies →Kontakt →

§ 1

Postanowienia ogólne

Niniejsza Polityka prywatności (dalej: „Polityka”) opisuje zasady przetwarzania danych osobowych Użytkowników serwisu internetowego HelpTravel dostępnego pod adresem helptravel.pl (dalej: „Serwis”).

Polityka stanowi wykonanie obowiązku informacyjnego, o którym mowa w art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: „RODO”), a także realizuje wymogi ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz Dyrektywy ePrivacy 2002/58/WE.

Korzystanie z Serwisu oznacza zapoznanie się z Polityką. Polityka jest udostępniana nieodpłatnie w sposób umożliwiający jej pozyskanie, odtwarzanie i utrwalanie pod adresem helptravel.pl/polityka-prywatnosci.

§ 2

Administrator danych osobowych

Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:

Administrator
Jakub Ogrodniczuk / HelpTravel
Adres
Adres siedziby udostępniany na żądanie pod adresem kontaktowym Administratora.
NIP
Numer NIP udostępniany na żądanie pod adresem kontaktowym Administratora.
REGON
Numer REGON udostępniany na żądanie pod adresem kontaktowym Administratora.
Rejestr
Wpis w rejestrze (CEIDG / KRS) udostępniany na żądanie.
Kontakt elektroniczny
kontakt@helptravel.pl

Wszelkie sprawy związane z przetwarzaniem danych, realizacją praw, o których mowa w § 10, oraz reklamacjami dotyczącymi prywatności prosimy kierować na adres kontakt@helptravel.pl. Administrator odpowiada w terminie do 30 dni od dnia otrzymania żądania, z możliwością przedłużenia o kolejne dwa miesiące w przypadku skomplikowanego charakteru żądania (art. 12 ust. 3 RODO).

§ 3

Inspektor Ochrony Danych

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD). Skala i charakter przetwarzania w Serwisie nie spełniają przesłanek obligatoryjnego powołania IOD wymienionych w art. 37 ust. 1 RODO (m.in. przetwarzania na dużą skalę szczególnych kategorii danych lub regularnego i systematycznego monitorowania osób). Funkcję kontaktu w sprawach ochrony danych pełni bezpośrednio Administrator.

§ 4

Definicje

Pojęcia użyte w niniejszej Polityce mają następujące znaczenie:

Dane osobowe
informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 1 RODO).
Przetwarzanie
operacja lub zestaw operacji wykonywanych na danych osobowych (art. 4 pkt 2 RODO).
Użytkownik
osoba fizyczna korzystająca z Serwisu.
Sesja
anonimowy identyfikator korzystania z Serwisu, przechowywany w pamięci przeglądarki Użytkownika, łączący zapytania w jedną sesję techniczną.
Procesor
podmiot przetwarzający dane na zlecenie Administratora na podstawie art. 28 RODO (umowa powierzenia).
Odbiorca
osoba fizyczna lub prawna, której Administrator ujawnia dane osobowe (art. 4 pkt 9 RODO).

§ 5

Cele i podstawy prawne przetwarzania

Administrator przetwarza dane Użytkowników w następujących celach i w oparciu o następujące podstawy prawne:

Cel przetwarzaniaPodstawa prawna (RODO)Okres retencji
Świadczenie nieodpłatnych usług w Serwisie (planer, treści, sesja anonimowa)art. 6 ust. 1 lit. b — wykonanie umowydo 24 godzin (TTL sesji w Upstash Redis)
Pośrednictwo technologiczne w Rezerwacji Hotelowejart. 6 ust. 1 lit. b — wykonanie umowy5 lat od daty rezerwacji (księgowość + roszczenia)
Pośrednictwo w rezerwacji biletu lotniczego (dane pasażerów, w tym dane dokumentu tożsamości)art. 6 ust. 1 lit. b — wykonanie umowy (realizacja rezerwacji i umowy przewozu)5 lat od daty rezerwacji (księgowość + roszczenia)
Obsługa reklamacji i kontaktuart. 6 ust. 1 lit. b oraz lit. f — uzasadniony interes (rozpatrzenie zgłoszenia)do 3 lat od zamknięcia sprawy
Cele rachunkowe i podatkoweart. 6 ust. 1 lit. c — obowiązek prawny (Ordynacja podatkowa)5 lat liczone od końca roku podatkowego
Analityka i pomiar użytkowania Serwisu (cookies analityczne)art. 6 ust. 1 lit. a — zgoda (banner cookies)12 miesięcy lub do cofnięcia zgody
Marketing własny i afiliacja (cookies marketingowe, identyfikatory partnerskie)art. 6 ust. 1 lit. a — zgodado 12 miesięcy lub do cofnięcia zgody
Zapewnienie bezpieczeństwa Serwisu (rate-limit, ochrona przed nadużyciami)art. 6 ust. 1 lit. f — uzasadniony interesdo 30 dni
Dochodzenie i obrona roszczeńart. 6 ust. 1 lit. f — uzasadniony interesdo upływu terminu przedawnienia roszczeń

§ 6

Kategorie przetwarzanych danych

Administrator przetwarza następujące kategorie danych osobowych:

  1. Dane identyfikacyjne: imię, nazwisko, adres e-mail, numer telefonu — wyłącznie w procesie Rezerwacji Hotelowej (dane głównego gościa i pozostałych gości).
  2. Dane transakcyjne: identyfikator rezerwacji, identyfikator transakcji płatniczej, kwota, waluta, status płatności. Dane karty płatniczej (numer, CVV) NIE są przetwarzane przez Administratora — autoryzacja odbywa się bezpośrednio u dostawcy usług płatniczych (Stripe).
  3. Dane pasażerów lotniczych: wyłącznie w procesie Rezerwacji Lotniczej: imię i nazwisko, data urodzenia, obywatelstwo, płeć oraz dane dokumentu tożsamości lub paszportu (rodzaj, numer, data ważności, kraj wydania). Dane te są wymagane przez przewoźników do wystawienia biletu. Numer dokumentu tożsamości jest przechowywany w postaci zminimalizowanej (maskowanej) w naszych rekordach operacyjnych i NIE jest zapisywany w logach technicznych ani w systemach analitycznych; pełny numer przekazywany jest wyłącznie dostawcy rezerwacji w celu realizacji umowy przewozu.
  4. Dane techniczne: adres IP, typ przeglądarki, język, identyfikator Sesji, znacznik czasowy żądania, adres odsyłający (referer), informacje o urządzeniu.
  5. Dane o korzystaniu z Serwisu: zapytania do planera, wybrane kierunki, kliknięcia w linki partnerów (Pomoc, Linki partnerskie), zapisane plany. Dane przypisane są wyłącznie do anonimowej Sesji.
  6. Dane z plików cookie: preferencja języka, zapis decyzji o cookies, identyfikatory analityczne i partnerskie (jeżeli Użytkownik wyraził zgodę). Szczegóły — § 13.

§ 7

Odbiorcy danych — procesory i partnerzy

W ramach realizacji celów określonych w § 5 Administrator powierza dane lub udostępnia je niżej wymienionym podmiotom. Każdy procesor związany jest umową powierzenia spełniającą wymogi art. 28 RODO.

PodmiotRolaLokalizacjaCel
LiteAPI Travel Ltd. / Nuitee TravelProcesor; Nuitee Travel — podmiot obsługujący płatność (merchant of record)Wielka Brytania (decyzja stwierdzająca odpowiedni stopień ochrony)Realizacja Rezerwacji Hotelowej i Lotniczej, agregacja oferty, przekazanie danych pasażerów do przewoźników, webhook potwierdzenia
Przewoźnicy lotniczy oraz dostawcy systemów rezerwacyjnych (GDS) obsługujący wybrane połączenieAutonomiczni administratorzyUE/EOG oraz państwa trzecie (w zależności od przewoźnika; zabezpieczenia: SCC lub decyzje o adekwatności)Realizacja umowy przewozu, wystawienie biletu — odbiorcy danych pasażerów (w tym danych dokumentu) przekazanych w procesie rezerwacji
Stripe Payments Europe, Ltd.Procesor (dane karty — autonomiczny administrator)Irlandia + USA (Standardowe Klauzule Umowne)Autoryzacja płatności, zgodność PSD2/SCA, zwroty
Upstash, Inc.ProcesorUSA (SCC)Pamięć sesji, zapis rezerwacji w toku, rate-limit
Vercel, Inc.ProcesorUSA (SCC) — region serwerowy iad1 (Waszyngton)Hosting Serwisu, dostarczanie treści (CDN), logi techniczne
Pexels GmbHAutonomiczny administratorNiemcy (UE) + USA (SCC)Dostarczanie obrazów ilustracyjnych. Brak przekazania danych identyfikujących — żądania anonimowe.
Unsplash, Inc.Autonomiczny administratorKanada (decyzja stwierdzająca odpowiedni stopień ochrony)Dostarczanie obrazów ilustracyjnych. Brak danych identyfikujących.
Geoapify GmbHProcesorNiemcy (UE)Geokodowanie i wyszukiwanie miejsc (autouzupełnianie destynacji).
Cupid Travel (CDN obrazów hoteli LiteAPI)Procesor (w ramach LiteAPI)UE/EOGDostarczanie zdjęć hoteli prezentowanych w Serwisie
CJ Affiliate (Commission Junction LLC)Joint ControllerUSA (SCC)Afiliacja Hotels.com, Expedia, Vrbo — atrybucja kliknięcia
Stay22 Inc.Joint ControllerKanada (decyzja stwierdzająca odpowiedni stopień ochrony)Mapy noclegowe + afiliacja Booking.com / Airbnb
Google LLC (Google Analytics 4)Procesor (po wyrażeniu zgody na cookies analityczne)USA (Standardowe Klauzule Umowne + EU-U.S. Data Privacy Framework)Anonimowa analityka ruchu i interakcji. Aktywne wyłącznie po zgodzie; IP anonimizowane (anonymize_ip).

Administrator nie sprzedaje danych osobowych i nie przekazuje ich podmiotom innym niż wymienione powyżej. Lista jest aktualizowana w razie zmiany stosu technologicznego.

§ 8

Przekazywanie danych do państw trzecich

Dane mogą być przekazywane poza Europejski Obszar Gospodarczy (EOG) do podmiotów wymienionych w § 7, w szczególności do USA. Każde takie przekazanie odbywa się w oparciu o:

  1. decyzję Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony (art. 45 RODO) — dotyczy Wielkiej Brytanii i Kanady;
  2. Standardowe Klauzule Umowne zatwierdzone przez Komisję Europejską (art. 46 ust. 2 lit. c RODO) wraz z dodatkowymi środkami bezpieczeństwa (m.in. szyfrowanie w tranzycie i w spoczynku) — dotyczy USA, Singapuru;
  3. udział procesora w EU-U.S. Data Privacy Framework (jeżeli posiada certyfikację) — alternatywnie do SCC, dla procesorów z USA.

Treść Standardowych Klauzul Umownych jest dostępna do wglądu na żądanie skierowane na adres kontaktowy Administratora.

§ 9

Okres przechowywania danych

Dane są przechowywane przez okres niezbędny do realizacji celu przetwarzania, wynikający z § 5 lub z przepisów prawa, w szczególności:

  1. dane z anonimowej Sesji — do 24 godzin (TTL ustawiony w Upstash Redis);
  2. dane Rezerwacji Hotelowej (imię, nazwisko, e-mail, identyfikator rezerwacji, dane transakcyjne) — przez 5 lat od daty rezerwacji, ze względu na obowiązki rachunkowe i okresy przedawnienia roszczeń (art. 86 § 1 Ordynacji podatkowej; art. 118 Kodeksu cywilnego);
  3. korespondencja reklamacyjna i kontaktowa — do 3 lat od zamknięcia sprawy;
  4. logi techniczne (adres IP, znacznik czasowy, ścieżka) — do 30 dni, w celach bezpieczeństwa i diagnostyki;
  5. preferencja zgody na cookies — 12 miesięcy od zapisania w przeglądarce Użytkownika;
  6. cookies analityczne i marketingowe — okresy określone w § 13.

§ 10

Prawa osób, których dane dotyczą

Każdej osobie, której dane są przetwarzane, przysługują na podstawie RODO następujące prawa:

  1. Prawo dostępu (art. 15 RODO): uzyskanie informacji, czy i jakie dane są przetwarzane oraz uzyskanie kopii tych danych.
  2. Prawo do sprostowania (art. 16 RODO): żądanie poprawienia danych nieprawidłowych lub uzupełnienia niekompletnych.
  3. Prawo do usunięcia (art. 17 RODO): tzw. „prawo do bycia zapomnianym” — z zastrzeżeniem przypadków, w których przetwarzanie wynika z obowiązku prawnego (np. dane Rezerwacji w okresie retencji księgowej).
  4. Prawo do ograniczenia (art. 18 RODO): wstrzymanie przetwarzania w określonych przypadkach (m.in. kwestionowanie prawidłowości danych).
  5. Prawo do przenoszenia (art. 20 RODO): otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON) — w zakresie danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany.
  6. Prawo sprzeciwu (art. 21 RODO): wobec przetwarzania opartego na art. 6 ust. 1 lit. f (uzasadniony interes). Wobec marketingu bezpośredniego — sprzeciw można złożyć w dowolnej chwili i jest on dla Administratora bezwzględnie wiążący.
  7. Prawo cofnięcia zgody (art. 7 ust. 3 RODO): w dowolnej chwili, bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem. Cookies analityczne i marketingowe wycofujemy w ustawieniach cookies — patrz § 13.
  8. Prawo skargi do organu nadzorczego (art. 77 RODO): Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa. Strona internetowa: uodo.gov.pl.

Wnioski w sprawie realizacji praw prosimy kierować na adres kontakt@helptravel.pl. Administrator weryfikuje tożsamość Wnioskodawcy w sposób proporcjonalny do żądania, aby zapobiec ujawnieniu danych osobie nieuprawnionej.

§ 11

Wymóg podania danych

Podanie danych osobowych jest dobrowolne. Brak podania określonych danych skutkuje jedynie niemożnością skorzystania z funkcjonalności, dla której dane są niezbędne:

  1. korzystanie z planera, czytanie treści i przeglądanie kierunków — nie wymaga podawania danych osobowych;
  2. zawarcie Rezerwacji Hotelowej — wymaga podania danych głównego gościa i pozostałych gości (imię, nazwisko, e-mail, numer telefonu) zgodnie z wymogami Partnera Rezerwacyjnego;
  3. kontakt e-mail z Administratorem — wymaga podania adresu e-mail nadawcy.

§ 12

Automatyczne podejmowanie decyzji i profilowanie

Administrator nie podejmuje wobec Użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na Użytkownika (art. 22 RODO).

Wyniki Planera oraz rekomendacje kierunków stanowią zalecenia informacyjne mające pomóc w wyborze wyjazdu. Nie generują wiążących prawnie decyzji i nie różnicują Użytkowników w sposób istotny.

§ 13

Pliki cookie i podobne technologie

Serwis korzysta z plików cookie i podobnych technologii (pamięć lokalna przeglądarki). Cookies dzielimy na trzy kategorie:

KategoriaCelCzas trwaniaPodmiot
Niezbędne (zawsze aktywne)Identyfikator Sesji, preferencja języka, zapis Twojej decyzji o cookies, ochrona CSRF, rate-limitdo 24 godzin (Sesja) / 12 miesięcy (preferencje)Administrator (1st-party)
Analityczne (wymagają zgody)Anonimowe metryki użycia Serwisu (Web Vitals, ruch, czas na stronie). Nie identyfikujemy Użytkownika.do 12 miesięcyAdministrator (1st-party) lub procesor analityczny po wdrożeniu
Marketingowe / afiliacyjne (wymagają zgody)Identyfikatory atrybucji kliknięć w linki partnerów afiliacyjnych (m.in. CJ, Stay22), pomiar skuteczności kampanii.do 12 miesięcy1st-party + odpowiedni partner (3rd-party)

Zgoda na cookies analityczne i marketingowe jest udzielana w banerze pojawiającym się przy pierwszej wizycie w Serwisie. Możesz w każdej chwili zmienić swoją zgodę, otwierając ustawienia cookies — link „Ustawienia cookies” znajduje się w stopce Serwisu.

Bezpośredni dostęp do ustawień: helptravel.pl#cookie-settings.

Część przeglądarek internetowych umożliwia centralne ograniczenie lub zablokowanie obsługi plików cookies w ustawieniach przeglądarki. Wyłączenie cookies niezbędnych może spowodować nieprawidłowe działanie Serwisu, w tym brak możliwości dokonania Rezerwacji.

§ 14

Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne odpowiadające ryzyku, o których mowa w art. 32 RODO, w szczególności:

  1. transmisja danych szyfrowana protokołem TLS 1.2/1.3 (HTTPS) na całej powierzchni Serwisu;
  2. rygorystyczne nagłówki bezpieczeństwa (Strict-Transport-Security, Content-Security-Policy, Permissions-Policy, X-Frame-Options DENY);
  3. uwierzytelniony dostęp do paneli administracyjnych procesorów; uprawnienia oparte o zasadę najmniejszych uprawnień;
  4. izolacja środowisk (produkcyjne / preview / testowe);
  5. monitorowanie incydentów oraz mechanizm rate-limit chroniący przed nadużyciami;
  6. płatności obsługiwane wyłącznie przez certyfikowanego operatora płatności (Stripe) zgodnie z PSD2/SCA — Administrator nie ma dostępu do pełnych danych instrumentu płatniczego.

W przypadku stwierdzenia naruszenia ochrony danych osobowych mogącego skutkować ryzykiem naruszenia praw lub wolności osób, Administrator powiadomi PUODO w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO) oraz, jeśli ryzyko jest wysokie, niezwłocznie powiadomi również osoby, których dane dotyczą (art. 34 RODO).

§ 15

Zmiany Polityki prywatności

Administrator może dokonywać zmian Polityki w razie zmiany przepisów prawa, zmiany stosowanych procesorów, wdrożenia nowych funkcjonalności wpływających na przetwarzanie danych lub wystąpienia innych istotnych okoliczności.

O każdej zmianie Polityki informujemy poprzez publikację jednolitego tekstu Polityki w Serwisie oraz, w razie istotnych zmian wpływających na zakres przetwarzania danych — w sposób umożliwiający zapoznanie się ze zmianami z odpowiednim wyprzedzeniem.

Wersja Polityki obowiązuje od 13 czerwca 2026 r..

Kontakt w sprawach prywatności

Wnioski o realizację praw, zapytania o przetwarzanie danych oraz wycofanie zgody prosimy kierować na adres kontakt@helptravel.pl. Termin odpowiedzi: do 30 dni od dnia otrzymania żądania.

Wersja Polityki: 13 czerwca 2026 r.. Administrator: Jakub Ogrodniczuk / HelpTravel.