Dokument prawny

Regulamin dla właścicieli POI

Ostatnia aktualizacja: 23.05.2026  ·  Wersja: 1.0  ·  Administrator: MAGNET MEDIC Tomasz Fiedoruk

Niniejszy Regulamin (dalej: Regulamin) określa zasady korzystania z serwisu lokalsi.link (dalej: Serwis) przez właścicieli punktów POI.

Postanowienia ogólne

Strony umowy

  • Operator Serwisu (Tomek): MAGNET MEDIC Tomasz Fiedoruk (jednoosobowa działalność gospodarcza), NIP 2530148533, REGON 331412634, BDO 000005014, ul. Dworcowa 19, 78-550 Czaplinek. Kontakt: formularz online (preferowany; w korespondencji rejestrowanej — adres siedziby).
  • Właściciel POI: osoba fizyczna prowadząca działalność gospodarczą, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która zarejestrowała punkt POI w Serwisie.

Definicje

  • POI (Point of Interest) — wpis na mapie reprezentujący punkt usługowy / handlowy / lokalnego aktora.
  • Platforma — Serwis lokalsi.link wraz ze wszystkimi subdomenami gminnymi.
  • Administrator danych firmowych POI — Właściciel POI w rozumieniu art. 4 pkt 7 RODO.
  • Procesor (podmiot przetwarzający) — Operator Serwisu (Tomek) w rozumieniu art. 4 pkt 8 RODO, dla danych firmowych POI.
  • Administrator danych platformowych — Operator Serwisu (Tomek) dla danych logowania, audit log, sesji, IP/UA hash.
  • Magic-link — jednorazowy link uwierzytelniający o ważności 15 minut.
  • Token sesji — Bearer token o ważności 24 godziny.
  • Faza pilota — okres do osiągnięcia 50 płatnych POI lub do 30 listopada 2026 r. (co nastąpi pierwsze).

Rejestracja POI i konto

Wymagania

  1. Prowadzenie legalnej działalności gospodarczej (CEIDG, KRS) lub reprezentowanie osoby prawnej.
  2. Aktywny adres email (do logowania magic-link).
  3. Akceptacja niniejszego Regulaminu oraz Polityki prywatności.
  4. Ukończone 18 lat lub działanie w imieniu pełnoletniej osoby prawnej.

Logowanie magic-link

Logowanie odbywa się bez hasła — każdorazowo na adres email Właściciela POI wysyłany jest jednorazowy link uwierzytelniający (TTL 15 minut). Po kliknięciu w link otwiera się strona z przyciskiem „Potwierdź logowanie" (procedura two-step). Po potwierdzeniu generowany jest token sesji ważny 24 godziny.

Bezpieczeństwo konta

Właściciel POI zobowiązuje się do:

  • Niesharingu emaila logowania z osobami nieupoważnionymi.
  • Niezwłocznego zgłoszenia podejrzenia kompromitacji emaila.
  • Niesharingu aktywnego tokenu sesji.

Operator nie ponosi odpowiedzialności za szkody wynikłe z udostępnienia danych logowania osobom nieupoważnionym przez Właściciela POI.

Zasady publikacji POI

Treści dopuszczalne

  • Nazwę firmy lub działalności (Właściciel = administrator danych firmowych).
  • Adres punktu działalności.
  • Telefon, godziny otwarcia, kategoria działalności (opcjonalne).
  • Opis działalności, zdjęcia własne POI (lokale, produkty, oferta — bez wizerunków osób trzecich).
  • Link do własnej strony internetowej / mediów społecznościowych (wyłącznie http/https).

Zakazy publikacji (klauzula krytyczna)

Właściciel POI zakazuje się publikowania:

  1. Danych osobowych osób trzecich bez ich wyraźnej, świadomej i dobrowolnej zgody:
    • Imion i nazwisk pracowników, klientów, partnerów (chyba że za pisemną zgodą).
    • Numerów telefonów prywatnych osób trzecich.
    • Adresów zamieszkania osób trzecich.
    • Numerów PESEL, dowodów osobistych, nr kont bankowych.
  2. Zdjęć z rozpoznawalnymi twarzami osób trzecich bez zgody (art. 81 ustawy o prawie autorskim):
    • Zdjęć klientów w lokalu.
    • Zdjęć z imprez, eventów.
    • Zdjęć pracowników (chyba że za pisemną zgodą).
  3. Treści naruszających prawo:
    • Mowa nienawiści (art. 256, 257 KK).
    • Pomówienia (art. 212 KK), zniewagi (art. 216 KK).
    • Naruszenie znaków towarowych, praw autorskich.
    • Treści pornograficzne, drastyczne, dyskryminujące.
    • Czyny nieuczciwej konkurencji.
  4. Danych wprowadzających w błąd: fałszywych informacji o adresie/godzinach/ofercie; podszywanie się pod inny POI; manipulacja komentarzami.
  5. Reklam zewnętrznych usługodawców, nieuwzględnionych w opisie własnej działalności.
  6. Treści dyskryminujących ze względu na rasę, narodowość, religię, orientację seksualną, niepełnosprawność.

Klauzula odpowiedzialności za treść

Właściciel POI ponosi pełną odpowiedzialność cywilną i karną za treści, które publikuje w POI, w tym za:

  • Naruszenie dóbr osobistych osób trzecich (art. 23-24 KC).
  • Naruszenie RODO przez publikację cudzych danych bez podstawy prawnej.
  • Naruszenie praw autorskich, znaków towarowych, prawa konkurencji.
  • Skutki finansowe roszczeń osób trzecich kierowanych do Operatora Serwisu.

Operator Serwisu jako pośrednik hostingowy korzysta z wyłączenia odpowiedzialności z art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (oraz art. 6 DSA) — pod warunkiem niezwłocznej reakcji na zgłoszenie nieprawidłowego contentu.

Klauzula art. 28 RODO — powierzenie przetwarzania danych firmowych POI

Niniejsza sekcja stanowi umowę powierzenia przetwarzania danych osobowych w rozumieniu art. 28 ust. 3 RODO. Akceptacja Regulaminu = akceptacja powierzenia.

Przedmiot, czas, charakter i cel przetwarzania

  • Przedmiot: dane firmowe POI (nazwa, adres, telefon, kategoria, godziny, opis, zdjęcia własne).
  • Czas: przez okres korzystania z Serwisu plus 12 miesięcy grace period.
  • Charakter: hosting, indeksowanie spatial, prezentacja na mapie, agregacja komentarzy.
  • Cel: udostępnienie POI publicznie odwiedzającym Serwis.

Rodzaj danych i kategorie osób

Dane mogą obejmować dane osób fizycznych prowadzących działalność gospodarczą (JDG): imię i nazwisko, adres prowadzenia działalności, telefon kontaktowy, NIP. Operator nie przetwarza danych szczególnych kategorii (art. 9 RODO) ani danych dotyczących wyroków skazujących (art. 10 RODO).

Obowiązki procesora (Tomka) — pełna treść art. 28 ust. 3 RODO

  1. Przetwarzanie wyłącznie na udokumentowane polecenie administratora. Operator przetwarza dane wyłącznie zgodnie z funkcjami Serwisu zdefiniowanymi w niniejszym Regulaminie oraz w pisemnych instrukcjach przekazywanych przez Właściciela POI (akceptacja Regulaminu, edycja POI i export = pisemna instrukcja).
  2. Zobowiązanie osób upoważnionych do zachowania tajemnicy. Operator zapewnia, że jakiekolwiek osoby działające z jego upoważnienia zobowiązane są do zachowania poufności (DPA z Hetzner, Brevo, Cloudflare).
  3. Środki bezpieczeństwa zgodne z art. 32 RODO. Operator stosuje envelope encryption XChaCha20-Poly1305-IETF AEAD (libsodium), prepared statements, HTTPS, magic-link auth, klucze szyfrujące przechowywane poza web-rootem (model KEK→DEK, oddzielone od bazy danych), audit log — opisane w sekcji „Bezpieczeństwo danych".
  4. Sub-procesorzy:
    • Hetzner Online GmbH (DE) — hosting
    • Brevo / Sendinblue SAS (FR) — email transactional
    • Cloudflare, Inc. (US/edge) — CDN, metadane techniczne, SCC
    Operator ma ogólne upoważnienie do korzystania z sub-procesorów. O zmianie sub-procesora Operator informuje Właścicieli POI z 30-dniowym wyprzedzeniem emailem. Właściciel POI może wnieść sprzeciw — jeśli sprzeciw jest uzasadniony, a strony nie wypracują rozwiązania, Właściciel POI ma prawo wypowiedzenia umowy bez okresu wypowiedzenia.
  5. Pomoc administratorowi w realizacji praw osób (art. 12-22 RODO). Operator udostępnia Właścicielowi POI w panelu funkcje exportu danych, edycji, usunięcia POI, a na żądanie — raport audit log.
  6. Pomoc w obowiązkach art. 32-36 RODO. Operator pomaga w obowiązkach bezpieczeństwa, zgłaszania naruszeń, DPIA i konsultacji wstępnych — w zakresie odpowiadającym charakterowi przetwarzania.
  7. Po zakończeniu — usunięcie lub zwrot danych. Po wypowiedzeniu Operator, w zależności od decyzji Właściciela POI, zwraca dane (export JSON) lub usuwa je z aktywnych systemów. Backupy zostają objęte rolling retention max 30 dni.
  8. Udostępnienie informacji niezbędnych do wykazania zgodności + audyty. Operator udostępnia raport zgodności na żądanie (z zachowaniem proporcjonalności — Operator jest solo-founderem; audyt onsite raz w roku po wcześniejszym uzgodnieniu, na koszt Właściciela POI, chyba że audyt wykaże naruszenia).

Zgłoszenie naruszenia

Operator zobowiązuje się powiadomić Właściciela POI o naruszeniu ochrony danych osobowych dotyczących danych firmowych POI w ciągu 48 godzin od stwierdzenia naruszenia. Powiadomienie zawiera informacje wymagane przez art. 33 ust. 3 RODO. Niezależnie, Operator powiadamia UODO w ciągu 72 godzin, jeśli wymaga tego art. 33 RODO.

Komentarze pod POI — moderacja

Model moderacji

  • Komentarze są publikowane po weryfikacji magic-link Komentującego. Auto-filtr blokuje wzorce PESEL, telefon, IBAN, adres ulicy (mitygacja wektorów V2/V13 z threat-model).
  • Właściciel POI moderuje komentarze pod swoim POI — w panelu może je ukrywać, oznaczać jako spam, zgłaszać Operatorowi.
  • Operator pełni rolę auditora — może usunąć komentarz w przypadku rażącego naruszenia Regulaminu lub na podstawie art. 14 ustawy o świadczeniu usług drogą elektroniczną (notice-and-takedown).

Obowiązki Właściciela POI w zakresie moderacji

  • Reakcja na zgłoszenia nieprawidłowych komentarzy w ciągu max 7 dni od powiadomienia.
  • Niedyskryminacyjna moderacja — Właściciel POI nie może ukrywać komentarzy wyłącznie z powodu negatywnej oceny merytorycznej (art. 31 ust. 2 DSA).
  • W razie wątpliwości — eskalacja do Operatora.

Brak moderacji przez gminę

Gmina, której subdomena prezentuje POI, nie ma uprawnień do moderacji komentarzy ani treści POI. Jakiekolwiek żądania gminy są kierowane bezpośrednio do Operatora lub Właściciela POI — gmina nie staje się joint controllerem (zob. Regulamin dla gmin).

Bezpieczeństwo danych

Operator stosuje:

  • Envelope encryption XChaCha20-Poly1305-IETF AEAD (libsodium) dla PII (email, imię, NIP, audit log).
  • Blind index HMAC-SHA-256 do wyszukiwania bez deszyfracji.
  • Prepared statements PDO — ochrona przed SQL injection.
  • HTTPS / HSTS / Cloudflare Full SSL.
  • Magic-link auth + two-step verify.
  • HttpOnly + Secure + SameSite=Strict dla cookies sesyjnych (defense-in-depth CSRF).
  • Klucze szyfrujące przechowywane poza web-rootem (uprawnienia root:www-data 640), oddzielone od bazy danych — model envelope encryption KEK→DEK.
  • Backup szyfrowany z retencją 30 dni rolling (Storage Box offsite).
  • Audit log wszystkich zmian POI i żądań RODO.
  • Rate limiting per IP / per email.

Pełna lista środków — w Polityce prywatności.

Sukcesja konta POI

Brak logowania > 12 miesięcy

  1. System wysyła powiadomienie emailowe (60 dni przed dezaktywacją).
  2. Po upływie 12 miesięcy + 60 dni POI zostaje automatycznie zdezaktywowany.
  3. Po kolejnych 6 miesiącach — dane POI są usuwane, w tym powiązane komentarze.
  4. Operator nie ponosi odpowiedzialności za szkody wynikłe z dezaktywacji w wyniku braku logowania.

Sprzedaż firmy / zmiana właściciela POI

Token POI nie podlega transferowi. W przypadku sprzedaży lub przekazania firmy:

  1. Dotychczasowy Właściciel POI dezaktywuje POI w swoim panelu.
  2. Nowy właściciel rejestruje nowy POI samodzielnie, na swój email logowania.
  3. Historia komentarzy pierwotnego POI nie jest transferowana.

Śmierć Właściciela POI (osoba fizyczna JDG)

W przypadku otrzymania udokumentowanego zgłoszenia o śmierci (akt zgonu lub zaświadczenie):

  1. POI zostaje natychmiastowo dezaktywowany.
  2. Spadkobiercy mogą zażądać exportu danych POI (art. 20 RODO) lub usunięcia w trybie art. 17 RODO.
  3. Spadkobierca prowadzący kontynuację firmy zakłada nowy POI.

Change-of-control — zmiana właściciela Serwisu

Operator zastrzega prawo do sprzedaży, przejęcia, fuzji lub przekazania Serwisu osobie trzeciej. W takim przypadku:

  1. Operator zawiadamia Właścicieli POI emailowo z 30-dniowym wyprzedzeniem.
  2. Każdy Właściciel POI ma w okresie 30 dni prawo do:
    • Eksportu wszystkich danych POI w formacie JSON.
    • Usunięcia POI w trybie art. 17 RODO — bezpłatnie i niezwłocznie.
    • Pozostania u nowego Operatora — akceptując przeniesienie umowy.
  3. Brak reakcji w ciągu 30 dni = milcząca akceptacja przeniesienia umowy.
  4. Operator zobowiązuje się przekazać Właścicielom POI dane kontaktowe nowego Operatora.

W przypadku śmierci Operatora (osoba fizyczna JDG) spadkobierca lub zarządca sukcesyjny (ustawa z 5 lipca 2018 r. o zarządzie sukcesyjnym) obowiązany jest stosować analogiczną procedurę.

Procedura notice-and-takedown (DSA)

Status Serwisu w rozumieniu DSA

Serwis lokalsi.link jest platformą o niewielkim rozmiarze w rozumieniu art. 19 Rozporządzenia (UE) 2022/2065 (DSA) — mniej niż 50 mln użytkowników miesięcznie w UE. Stosują się uproszczone obowiązki, ale procedura notice-and-takedown jest obowiązkowa.

Procedura

  1. Otrzymanie zgłoszenia — potwierdzenie odbioru w ciągu 24 godzin.
  2. Wstępna analiza — w ciągu 72 godzin.
  3. Decyzja: usunięcie / ukrycie treści / odrzucenie zgłoszenia / eskalacja do Właściciela POI.
  4. Powiadomienie zgłaszającego oraz dotkniętego Właściciela POI / Komentującego.
  5. Prawo odwołania — w terminie 14 dni od decyzji.

Formularz: /zglos. Email: formularz kontaktowy.

Wypowiedzenie umowy

Wypowiedzenie przez Właściciela POI

Właściciel POI może wypowiedzieć umowę w każdej chwili, bez podania przyczyny, poprzez:

Po wypowiedzeniu: POI niewidoczny natychmiast, dane usuwane z aktywnych systemów w ciągu 7 dni, z backupów w ciągu 30 dni.

Wypowiedzenie przez Operatora

Operator może wypowiedzieć umowę z 30-dniowym wyprzedzeniem w razie:

  • Naruszenia Regulaminu (zakazy publikacji) — po wezwaniu do zaniechania, niewykonanym w terminie 14 dni.
  • Wykorzystywania Serwisu sprzecznie z prawem.
  • Nieautoryzowanej automatyzacji / scrapingu.
  • Zakończenia świadczenia Serwisu — przy zachowaniu procedury change-of-control.

W przypadku rażących naruszeń (publikacja treści naruszających prawo karne, doxing, mowa nienawiści) Operator może wypowiedzieć umowę ze skutkiem natychmiastowym.

Odpowiedzialność, gwarancja, dostępność

Brak gwarancji dostępności

Serwis świadczony jest w fazie pilota w trybie „best-effort" (hobby-grade). Operator nie gwarantuje:

  • Określonego SLA (Service Level Agreement).
  • Ciągłej dostępności (mogą wystąpić przerwy konserwacyjne, awarie).
  • Konkretnego czasu odpowiedzi systemu.

Po wyjściu z fazy pilota i wprowadzeniu modelu płatnego Operator może zaproponować odrębne SLA.

Ograniczenie odpowiedzialności Operatora

Odpowiedzialność Operatora wobec Właściciela POI ograniczona jest do:

  • Rzeczywistej szkody bezpośrednio wynikłej z winy umyślnej lub rażącego niedbalstwa Operatora.
  • W przypadku Właścicieli POI niebędących konsumentami — do kwoty 1000 PLN (lub kwoty zapłaconej w ostatnich 12 miesiącach po wprowadzeniu modelu płatnego — w zależności która kwota wyższa).
  • Operator nie odpowiada za utracone korzyści (lucrum cessans), szkody pośrednie, reputacyjne.

Ograniczenie nie dotyczy szkód wyrządzonych umyślnie ani szkód, za które odpowiedzialność nie może być wyłączona zgodnie z bezwzględnie obowiązującymi przepisami prawa polskiego.

Force majeure

Operator nie odpowiada za niewykonanie zobowiązań wynikłych z siły wyższej (cyberataki, awarie Hetzner / Cloudflare / Brevo, zmiany regulacyjne, działania władzy państwowej).

Płatności i model biznesowy

Faza pilota — bezpłatnie

W fazie pilota (do 30 listopada 2026 r. lub do osiągnięcia 50 płatnych POI) korzystanie z Serwisu jest bezpłatne.

Wprowadzenie modelu płatnego

Operator zastrzega prawo do wprowadzenia abonamentu. Wprowadzenie nastąpi:

  • Z co najmniej 30-dniowym wyprzedzeniem — powiadomienie emailowe.
  • Z zachowaniem prawa do bezpłatnego wypowiedzenia umowy w ciągu 30 dni.
  • Bez wstecznej opłaty za okres pilota.

Postanowienia końcowe

Zmiana Regulaminu

Operator zastrzega prawo zmiany Regulaminu. O zmianach Właściciele POI zostaną poinformowani emailowo z 30-dniowym wyprzedzeniem. Brak akceptacji = prawo wypowiedzenia umowy bez okresu wypowiedzenia.

Jurysdykcja i prawo właściwe

W sprawach nieuregulowanych Regulaminem stosuje się prawo polskie. Spory rozstrzyga sąd właściwy dla siedziby Operatora — sądy polskie. W stosunkach z Właścicielami POI będącymi konsumentami stosuje się przepisy o właściwości sądu określone w kodeksie postępowania cywilnego.

Klauzula salwatoryjna

Jeśli którekolwiek postanowienie Regulaminu zostanie uznane za nieważne, pozostałe postanowienia pozostają w mocy.

Powiązane dokumenty

Wersja: 1.0 · Data: 2026-05-23 · Kontakt: formularz kontaktowy