Jak przetwarzamy Twoje dane

1. Kto jest administratorem danych

Gdy jesteś gościem restauracji i skanujesz kod QR, w roli administratora Twoich danych o wyświetleniu menu występuje konkretna restauracja, której karta prowadzi do jej menu. QR Resto jest procesorem (podmiotem przetwarzającym).

Gdy jesteś właścicielem restauracji i masz konto w panelu, to my (QR Resto) jesteśmy administratorem Twoich danych jako użytkownika.

2. Jakie dane zbieramy od gości

• Anonimowe ID sesji (UUID generowany w przeglądarce, przechowywany w localStorage)
• Timestamp wyświetlenia menu
• Numer stołu (jeśli kod QR prowadzi do konkretnego stołu)
• Nagłówek Referer, User-Agent (tylko domena i typ przeglądarki)

Nie zbieramy: imienia, emaila, nazwiska, adresu, numeru telefonu, dokładnej lokalizacji, ciasteczek śledzących, danych analitycznych third-party.

3. Jakie dane zbieramy od właścicieli

• Email i hasło (hash bcrypt)
• Imię i nazwa restauracji
• Adres, telefon, WWW (dane kontaktowe publikowane na menu)
• Dane fakturowe (w Stripe — nie trzymamy numerów kart)

4. Podstawa prawna

Wykonanie umowy (Art. 6 ust. 1 lit. b RODO) — gdy udostępniamy Tobie panel lub gościom menu. Prawnie uzasadniony interes (Art. 6 ust. 1 lit. f) — anonimowa analityka wyświetleń do poprawy produktu.

5. Czas przechowywania

• Dane gościa (wyświetlenia menu) — 180 dni
• Zagregowane statystyki dzienne — bezterminowo, ale bez danych identyfikujących
• Konta właścicieli — do momentu usunięcia konta + 30 dni backup

6. Twoje prawa (RODO)

• Prawo do wglądu w swoje dane
• Prawo do usunięcia danych („prawo do bycia zapomnianym")
• Prawo do przenoszenia danych
• Prawo do sprzeciwu wobec przetwarzania
• Prawo skargi do Prezesa UODO

Kontakt w sprawie danych: privacy@qr-resto.app.

7. Podmioty trzecie

Powierzamy dane:

• Neon (baza PostgreSQL, UE — Frankfurt)
• Vercel (hosting, UE)
• Stripe (płatności — tylko metadata subskrypcji, zgodnie z PCI-DSS)
• UploadThing (hosting obrazów)
• Resend (emaile transakcyjne)