Polityka prywatności
Obowiązuje od: 1 stycznia 2025 · Wersja 1.0
1. Jakie dane zbieramy
W trakcie korzystania z Serwisu zbieramy następujące dane:
- Dane konta: adres e-mail oraz imię/nick podane podczas rejestracji.
- Token OAuth2 Gmail: zaszyfrowany token dostępu do konta Gmail, umożliwiający odczyt wiadomości z etykietą Vinted. Przechowywany lokalnie na serwerze.
- Dane o przesyłkach: numer śledzenia, przewoźnik, przedmiot, termin nadania – pobrane automatycznie z wiadomości e-mail Vinted.
- Dane techniczne: adres IP (do ochrony przed atakami brute-force), data i czas logowania.
Nie zbieramy danych płatniczych ani danych wrażliwych w rozumieniu RODO.
2. Do czego używamy danych
Zebrane dane służą wyłącznie do:
- świadczenia usługi – wyświetlania paczek do wysłania, śledzenia statusu przesyłek,
- weryfikacji tożsamości użytkownika (logowanie, 2FA OTP),
- ochrony konta przed nieautoryzowanym dostępem,
- komunikacji serwisowej (np. kod weryfikacyjny 2FA).
Nie profilujemy użytkowników, nie wyświetlamy reklam ani nie udostępniamy danych osobowych podmiotom trzecim w celach marketingowych.
3. Gmail API – zakres dostępu
Shippio żąda wyłącznie uprawnienia gmail.readonly – odczytu wiadomości e-mail. Serwis nie modyfikuje, nie usuwa ani nie wysyła wiadomości w imieniu użytkownika.
Połączenie z Gmail odbywa się za pomocą protokołu OAuth 2.0 Google. Użytkownik autoryzuje dostęp bezpośrednio w interfejsie Google – hasło do Gmail nigdy nie trafia do Shippio.
Serwis pobiera wyłącznie wiadomości z etykietą Vinted (lub z tematu wiadomości Vinted), nie ma dostępu do pozostałej korespondencji.
Dostęp można w każdej chwili odwołać w sekcji „Moje konto" → „Połączenie Gmail" → „Odłącz", lub bezpośrednio w ustawieniach konta Google: myaccount.google.com/permissions.
4. Przechowywanie i bezpieczeństwo
Dane przechowywane są na serwerze VPS zlokalizowanym w Polsce/UE. Stosujemy następujące środki ochrony:
- Szyfrowanie połączenia HTTPS (TLS 1.2/1.3).
- Hasła użytkowników przechowywane jako hash bcrypt – nie są znane operatorowi.
- Tokeny OAuth2 przechowywane w plikach dostępnych tylko dla procesu serwera (chmod 600).
- Weryfikacja dwuetapowa (2FA OTP) przy każdym logowaniu.
- Ochrona przed brute-force: blokada IP po wielokrotnych błędnych próbach logowania.
Dane o paczkach przechowywane są przez czas aktywności konta. Po usunięciu konta wszystkie dane są trwale kasowane.
5. Prawa użytkownika
Zgodnie z RODO przysługują Ci następujące prawa:
- Prawo dostępu – możesz w każdej chwili zapoznać się ze swoimi danymi.
- Prawo do sprostowania – możesz zmienić imię w sekcji „Moje konto".
- Prawo do usunięcia – usunięcie konta (sekcja „Strefa niebezpieczna") trwale kasuje wszystkie dane, w tym tokeny Gmail i historię paczek.
- Prawo do przenoszenia danych – na żądanie możemy udostępnić Twoje dane w formacie JSON.
- Prawo do ograniczenia przetwarzania – na żądanie możemy zawiesić przetwarzanie danych.
Aby skorzystać z powyższych praw, skontaktuj się z nami pod adresem: kontakt@shippio.pl.
6. Kontakt
W sprawach dotyczących prywatności i ochrony danych osobowych prosimy o kontakt:
- Serwis: Shippio – shippio.pl
- Administrator danych: HB Digital Prosta Spółka Akcyjna
- NIP: 6030085369 | KRS: 0001211830
- E-mail: kontakt@shippio.pl
Staramy się odpowiadać na zgłoszenia w ciągu 3 dni roboczych.