Polityka Prywatności platformy Hostalio
Ostatnia aktualizacja: 28 maja 2026
Hostalio dba o prywatność osób korzystających z platformy i przetwarza ich dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz innymi obowiązującymi przepisami. Poniższa Polityka opisuje, kto, w jakim celu i w jaki sposób przetwarza dane osobowe.
1. Administrator danych osobowych
Administratorem danych osobowych jest:
APARTAMENTY STARY BROWAR SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ WINOGRONOWA 1C, 56-400 OLEŚNICA NIP: 9112051183, KRS: 0001087053, REGON: 527745427 E-mail kontaktowy: hello@hostalio.pl
Hostalio nie wyznaczyła Inspektora Ochrony Danych (IOD) — kontakt w sprawach związanych z przetwarzaniem danych osobowych odbywa się pod adresem hello@hostalio.pl.
2. Zakres zbieranych danych
2.1 Dane Klientów (hotelarzy) — Hostalio jako administrator
Hostalio jest administratorem danych osobowych osób reprezentujących Klientów (właścicieli, managerów, recepcjonistów hoteli). Przetwarzamy następujące kategorie danych:
- Dane identyfikacyjne: imię i nazwisko, adres e-mail, numer telefonu;
- Dane firmowe: nazwa firmy, NIP, REGON, KRS, adres siedziby;
- Dane do faktury: powiązane z numerem NIP;
- Dane uwierzytelniające: zaszyfrowane hasło, tokeny sesyjne, status 2FA;
- Dane techniczne: adres IP, identyfikator przeglądarki, znaczniki czasu logowania;
- Dane płatnicze: identyfikator klienta Stripe, status subskrypcji, daty rozliczeń (samo dane karty są przetwarzane wyłącznie przez Stripe — Hostalio nie ma do nich dostępu).
2.2 Dane Gości — Hostalio jako podmiot przetwarzający
W odniesieniu do danych osobowych Gości hoteli Hostalio działa jako podmiot przetwarzający (procesor) w rozumieniu art. 28 RODO. Administratorem tych danych pozostaje Klient (hotelarz). Hostalio przetwarza je wyłącznie na polecenie Klienta, w zakresie i celu wynikającym z funkcjonalności Platformy. Szczegóły określa § 8 Regulaminu (umowa powierzenia).
3. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna (RODO) | Okres retencji |
|---|---|---|
| Świadczenie Usługi (zawarcie i wykonanie umowy) | art. 6 ust. 1 lit. b — umowa | przez czas trwania umowy + 60 dni |
| Wystawianie i przechowywanie faktur | art. 6 ust. 1 lit. c — obowiązek prawny | 5 lat (Ordynacja podatkowa) |
| Marketing własnych usług | art. 6 ust. 1 lit. f — uzasadniony interes | do wniesienia sprzeciwu |
| Wysyłanie newslettera, materiałów handlowych | art. 6 ust. 1 lit. a — zgoda | do wycofania zgody |
| Obsługa reklamacji i korespondencji | art. 6 ust. 1 lit. b — umowa, lit. f — interes | 3 lata od zakończenia sprawy |
| Bezpieczeństwo systemu (logi, ochrona przed atakami) | art. 6 ust. 1 lit. f — interes | 12 miesięcy |
| Dochodzenie i obrona przed roszczeniami | art. 6 ust. 1 lit. f — interes | okres przedawnienia (do 6 lat) |
| Profilowanie zachowań w panelu (statystyki użycia) | art. 6 ust. 1 lit. f — interes (anonimowe metryki) | 24 miesiące |
4. Odbiorcy danych (sub-procesorzy)
Hostalio współpracuje z następującymi podmiotami, którym powierza przetwarzanie danych w celu świadczenia Usługi:
| Podmiot | Rola | Lokalizacja serwerów | Podstawa transferu |
|---|---|---|---|
| Hostinger International Ltd. | Hosting infrastruktury (VPS, bazy danych) | UE (Litwa, Niemcy) | UE — brak transferu poza EOG |
| Stripe Payments Europe Ltd. | Obsługa płatności abonamentowych | UE (Irlandia) + USA (Stripe Inc.) | SCC + dodatkowe zabezpieczenia |
| Channex.io OÜ | Channel manager — synchronizacja z Booking.com / Airbnb / Expedia | UE (Estonia) | UE — brak transferu poza EOG |
| TTLock (Sciener Inc.) | API zamków elektronicznych | UE (EU Open Platform — instancja europejska euopen.ttlock.com) |
UE — instancja regionalna |
| Anthropic, PBC | AI Concierge (rozmowy z Gośćmi) oraz Hostalio Helper (AI dla hotelarza) | USA | SCC + zero data retention (umowa zerowej retencji z Anthropic) |
| Resend, Inc. / SendGrid (Twilio Inc.) | Wysyłka transakcyjna e-mail (powiadomienia, faktury) | USA | SCC + DPA |
| Faktury.czarnasiak.pl (KSeF) | Wystawianie faktur ustrukturyzowanych w KSeF | Polska | brak transferu poza EOG |
| Sentry, Inc. | Monitoring błędów aplikacji (Crash Reporting) | USA | SCC + anonimizacja danych użytkownika |
Dane Gości nie są przekazywane do podmiotów innych niż wyżej wymienione, a Klient (hotelarz) jako administrator wyraża zgodę na taką architekturę poprzez akceptację Regulaminu (§ 8).
5. Transfer danych do państw trzecich
Niektórzy sub-procesorzy (Stripe Inc., Anthropic, Resend, Sentry) mają siedzibę w Stanach Zjednoczonych. Transfer danych odbywa się na podstawie:
- Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską (Decyzja 2021/914);
- Decyzji Komisji Europejskiej z 10 lipca 2023 r. o adekwatności (Data Privacy Framework) — dla podmiotów certyfikowanych w ramach DPF (m.in. Anthropic);
- Dodatkowych środków technicznych i organizacyjnych (m.in. szyfrowanie danych przed transferem, zero data retention w przypadku Anthropic).
6. Prawa osoby, której dane dotyczą
Każda osoba, której dane są przetwarzane przez Hostalio, ma prawo:
- Dostępu do danych (art. 15 RODO) — uzyskania informacji, czy i jakie dane są przetwarzane;
- Sprostowania danych (art. 16) — poprawienia nieprawidłowych danych;
- Usunięcia danych „prawo do bycia zapomnianym" (art. 17) — z zastrzeżeniem przepisów dotyczących retencji;
- Ograniczenia przetwarzania (art. 18);
- Przenoszenia danych (art. 20) — pobrania danych w ustrukturyzowanym formacie;
- Sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21) — w tym wobec marketingu bezpośredniego;
- Wycofania zgody (art. 7 ust. 3) — gdy podstawą jest zgoda; wycofanie nie wpływa na zgodność wcześniejszego przetwarzania z prawem;
- Wniesienia skargi do organu nadzorczego — w Polsce: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.
Realizacja praw odbywa się poprzez kontakt na adres hello@hostalio.pl. Hostalio odpowiada bez zbędnej zwłoki, nie później niż w terminie miesiąca; w razie skomplikowania sprawy termin może zostać przedłużony o kolejne 2 miesiące — o czym osoba zostanie poinformowana.
W przypadku danych Gości (gdzie Hostalio jest procesorem) — wniosek o realizację praw należy kierować do Klienta (hotelarza), który jest administratorem tych danych. Hostalio na żądanie hotelarza udzieli mu pomocy w wykonaniu obowiązków.
7. Profilowanie i decyzje zautomatyzowane
Hostalio nie podejmuje zautomatyzowanych decyzji wywołujących skutki prawne wobec osób, których dane dotyczą. Wbudowane funkcje sztucznej inteligencji (AI Concierge, Hostalio Helper, automatyczne wyliczanie cen) mają charakter wspomagający — finalna decyzja zawsze należy do Klienta (hotelarza) lub Gościa.
8. Bezpieczeństwo danych
Hostalio stosuje środki techniczne i organizacyjne odpowiednie do ryzyka, w szczególności:
- Szyfrowanie danych w spoczynku (AES-256-GCM dla danych wrażliwych w bazie) i w transmisji (TLS 1.2+);
- Kontrolę dostępu opartą o role i uprawnienia (RBAC);
- Uwierzytelnianie wieloskładnikowe (2FA) dla kont administracyjnych;
- Kopie zapasowe wykonywane codziennie z 30-dniowym oknem retencji;
- Monitoring i wykrywanie incydentów (Sentry, alerty bezpieczeństwa);
- Rozdzielenie środowisk produkcyjnego, testowego i deweloperskiego;
- Regularne aktualizacje zależności (security patches);
- Procedury zgłaszania naruszeń zgodnie z art. 33–34 RODO (powiadomienie PUODO w ciągu 72 godzin od stwierdzenia naruszenia).
9. Pliki cookies
Strona hostalio.pl oraz panel klienta używają plików cookies:
- Niezbędne (zawsze aktywne) — sesja zalogowanego użytkownika, ustawienia języka, zabezpieczenie przed CSRF;
- Funkcjonalne (zgoda) — zapamiętanie preferencji UI (motyw, układ);
- Analityczne (zgoda) — anonimowe statystyki użycia (zliczanie odwiedzin sekcji panelu);
- Marketingowe — Hostalio nie używa cookies marketingowych ani reklamowych.
Użytkownik może zarządzać cookies w ustawieniach przeglądarki lub poprzez baner cookies wyświetlany przy pierwszej wizycie.
10. Zmiany Polityki
Hostalio zastrzega sobie prawo do zmian Polityki Prywatności w przypadku zmian przepisów, dodania nowych sub-procesorów lub modyfikacji zakresu danych. Informacja o zmianach pojawi się na stronie hostalio.pl/polityka-prywatnosci wraz z datą aktualizacji. Klienci zostaną dodatkowo powiadomieni e-mailem o istotnych zmianach.
11. Kontakt
Wszelkie pytania dotyczące przetwarzania danych osobowych, prosimy kierować na adres:
lub pisemnie na adres siedziby: APARTAMENTY STARY BROWAR, WINOGRONOWA 1C, 56-400 OLEŚNICA.
Wersja z dnia: 28 maja 2026