Polityka prywatności
Dbamy o Twoje dane tak jak o Twoje zakupy - po ludzku, transparentnie, bez marketingowego śmiecia. Poniżej znajdziesz wszystko, co musimy Ci powiedzieć zgodnie z RODO: kto przetwarza Twoje dane, po co, jak długo i jakie masz prawa.
§1. Inspektor ochrony danych (IOD)
Nie wyznaczyliśmy Inspektora Ochrony Danych, ponieważ nie spełniamy przesłanek obligatoryjnego wyznaczenia z art. 37 ust. 1 RODO (nie jesteśmy organem publicznym, nie prowadzimy regularnego monitorowania osób na dużą skalę ani nie przetwarzamy szczególnych kategorii danych).
We wszystkich sprawach związanych z ochroną danych osobowych skontaktuj się bezpośrednio z nami: Weronika Stasiak, e-mail kontakt@powietrzewspomnien.pl. Odpowiadamy w terminie do 1 miesiąca (art. 12 ust. 3 RODO) - zwykle szybciej.
§2. Co zbieramy i po co - cele, podstawy prawne, okresy
Poniżej w tabeli pokazujemy wszystko, co przetwarzamy - dla jakiego celu, na jakiej podstawie prawnej i jak długo. Bez ukrytych przepływów danych.
| Cel | Podstawa prawna | Okres przechowywania |
|---|---|---|
| Realizacja zamówienia (dostawa, kontakt, obsługa) | art. 6 ust. 1 lit. b RODO - wykonanie umowy | Do zakończenia realizacji + 2 lata rękojmi (art. 568 KC) |
| Wystawianie faktur, rozliczenia podatkowe | art. 6 ust. 1 lit. c RODO - obowiązek prawny (Ustawa o rachunkowości art. 74, Ordynacja podatkowa art. 86) | 5 lat od końca roku kalendarzowego |
| Obsługa reklamacji i zwrotów | art. 6 ust. 1 lit. b + c RODO | 2 lata rękojmi + 1 rok bufora |
| Dochodzenie i obrona roszczeń | art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes: obrona przed roszczeniami klientów oraz dochodzenie naszych roszczeń | Do upływu przedawnienia: 6 lat (konsument) / 3 lata (B2B) - art. 118 KC |
| Rejestracja konta (e-mail, hash hasła, token weryfikacyjny 7 dni, status weryfikacji) | art. 6 ust. 1 lit. b RODO - umowa o świadczenie usług elektronicznych (Regulamin §3b) | Do aktywacji konta lub usunięcie konta nieaktywowanego po 30 dniach (housekeeping) |
| Konto klienta w sklepie (aktywne, po weryfikacji e-mail) | art. 6 ust. 1 lit. b RODO | Do usunięcia konta lub 3 lata nieaktywności |
| Bezpieczeństwo serwisu (logi, anty-fraud, rate limiting prób logowania/rejestracji) | art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes: zapewnienie bezpieczeństwa serwisu, przeciwdziałanie nadużyciom (anty-fraud), ochrona przed atakami brute-force i enumeracją kont | Do 24 miesięcy (okres uwzględnia długość okna detekcji nadużyć) |
| Akceptacja regulaminu i polityki + adres IP klienta z momentu akceptacji (audit trail RODO) | art. 6 ust. 1 lit. c + f RODO - prawnie uzasadniony interes: wykazanie zgodności z RODO (zasada rozliczalności, art. 5 ust. 2) | 6 lat od ostatniej akceptacji (okres przedawnienia roszczeń konsumenckich, art. 118 KC) |
| Analityka internetowa - statystyki ruchu i zachowania w sklepie (Google Analytics 4 przez Google Tag Manager); dane zanonimizowane, bez danych identyfikujących osobę | art. 6 ust. 1 lit. a RODO - Twoja zgoda wyrażona w banerze cookies | Do 14 miesięcy lub do cofnięcia zgody (wówczas usuwamy cookies GA) |
Nie prowadzimy marketingu e-mail ani newslettera. Analitykę internetową (Google Analytics 4) uruchamiamy wyłącznie po Twojej zgodzie wyrażonej w banerze cookies - przed zgodą żadne dane nie trafiają do Google. Gdy dodamy newsletter lub reklamy, zaktualizujemy tę politykę i poprosimy Cię o osobną zgodę.
§3. Komu przekazujemy Twoje dane
Twoje dane przekazujemy tylko tym podmiotom, którzy są niezbędni do realizacji Twojego zamówienia. Każdy z nich działa na podstawie umowy powierzenia przetwarzania zgodnej z art. 28 RODO:
- Hetzner Online GmbH (Niemcy) - hosting serwerów aplikacji i bazy danych. Dane na terenie UE.
- Cloudflare, Inc. (USA) - CDN, ochrona DDoS, WAF, reverse proxy dla ruchu HTTP/HTTPS sklepu. Transfer USA na podstawie DPF + SCC (szczegóły w §4).
- Google Ireland Limited / Google LLC (Irlandia / USA) - usługi Google Analytics 4 i Google Tag Manager, uruchamiane wyłącznie po Twojej zgodzie na analitykę. Otrzymuje dane statystyczne (zanonimizowane, bez maila, imienia i adresu). Transfer USA na podstawie DPF (szczegóły w §4).
- Krajowy Integrator Płatności S.A. (Tpay) (Polska) - obsługa płatności BLIK, kartami i szybkimi przelewami. Otrzymuje dane niezbędne do realizacji transakcji.
- Furgonetka sp. z o.o. sp.k. (Polska) - broker przewozów, pośredniczy w nadaniu paczki do wybranego kuriera (InPost, DPD, Poczta Polska, GLS). Otrzymuje dane do dostawy.
- Operatorzy kurierscy (InPost, DPD, Poczta Polska, GLS - w zależności od wybranej metody) - dostawa Towaru.
- wFirma sp. z o.o. (Polska, po uruchomieniu) - wystawianie faktur VAT w Krajowym Systemie e-Faktur (KSeF) i prowadzenie księgowości.
- Dostawca usług email transakcyjnych (w trakcie konfiguracji) - wysyłka potwierdzeń zamówień, powiadomień o statusie przesyłki, e-faktur. Dostawca zostanie wskazany imiennie po wdrożeniu integracji.
- Biuro rachunkowe obsługujące Sprzedawcę - rozliczenia podatkowe.
Twoich danych nie sprzedajemy, nie udostępniamy do celów marketingowych podmiotom trzecim i nie przekazujemy nikomu poza powyższą listą bez Twojej wyraźnej zgody.
§4. Transfer danych poza Europejski Obszar Gospodarczy
Część danych technicznych (adres IP, dane przeglądarki, treść żądania) jest przetwarzana przez Cloudflare, Inc. z siedzibą w USA - dostawcę usług CDN i ochrony DDoS. Jeśli wyrazisz zgodę na analitykę, dane statystyczne przetwarza dodatkowo Google LLC (USA) w ramach Google Analytics 4. Oba transfery odbywają się zgodnie z prawem na podstawie dwóch zabezpieczeń:
- EU-U.S. Data Privacy Framework (DPF) - decyzja Komisji Europejskiej z 10 lipca 2023 r. (C(2023) 4745) o stwierdzeniu odpowiedniego stopnia ochrony danych w USA dla podmiotów certyfikowanych DPF. Zarówno Cloudflare, jak i Google są aktywnymi uczestnikami DPF.
- Standardowe Klauzule Umowne (SCC) - na podstawie decyzji KE 2021/914 (art. 46 ust. 2 lit. c RODO). Stanowią zabezpieczenie dodatkowe.
Kopię SCC możesz uzyskać pisząc na kontakt@powietrzewspomnien.pl. W razie unieważnienia decyzji KE o DPF, transfer pozostaje ważny na podstawie SCC. Pozostali nasi procesorzy (Hetzner, Tpay, Furgonetka, kurierzy, wFirma, biuro rachunkowe) działają wyłącznie na terenie EOG.
§5. Twoje prawa
W związku z przetwarzaniem Twoich danych przysługują Ci następujące prawa:
- Prawo dostępu (art. 15 RODO) - uzyskanie potwierdzenia, czy przetwarzamy Twoje dane oraz otrzymanie ich kopii.
- Prawo sprostowania (art. 16 RODO) - poprawienie nieprawidłowych lub uzupełnienie niekompletnych danych.
- Prawo usunięcia ("prawo do bycia zapomnianym", art. 17 RODO) - z zastrzeżeniem naszych obowiązków prawnych (np. przechowywanie faktur 5 lat).
- Prawo ograniczenia przetwarzania (art. 18 RODO) - gdy kwestionujesz prawidłowość danych lub wnosisz sprzeciw.
- Prawo do sprzeciwu (art. 21 RODO) - wobec przetwarzania opartego na uzasadnionym interesie. W przypadku marketingu bezpośredniego sprzeciw jest bezwarunkowy i realizowany niezwłocznie. W pozostałych przypadkach rozpatrzymy sprzeciw indywidualnie, biorąc pod uwagę Twoją szczególną sytuację (art. 21 ust. 1 RODO).
- Prawo przenoszenia danych (art. 20 RODO) - otrzymanie danych w formacie nadającym się do odczytu maszynowego.
Jeżeli przetwarzanie odbywa się na podstawie Twojej zgody (np. newsletter w przyszłości), przysługuje Ci dodatkowo prawo cofnięcia zgody w dowolnym momencie. Cofnięcie nie wpływa na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
Aby skorzystać z któregokolwiek prawa, napisz na kontakt@powietrzewspomnien.pl. Odpowiadamy w terminie do 1 miesiąca (art. 12 ust. 3 RODO).
§6. Pliki cookies
Używamy plików cookies (i podobnych technologii localStorage). Szczegóły - jakie cookies używamy, po co i jak nimi zarządzać - opisaliśmy w osobnej Polityce cookies.
Cookies niezbędne do działania sklepu (koszyk, sesja logowania, preferencje motywu) działają zawsze. Cookies analityczne (Google Analytics 4) uruchamiamy wyłącznie po Twojej wyraźnej zgodzie wyrażonej przez baner cookies; cookies marketingowych obecnie nie stosujemy.
§7. Dobrowolność podania danych
Podanie danych jest dobrowolne, ale w zależności od sytuacji może być niezbędne:
- E-mail i hasło - wymagane wyłącznie do założenia konta. Samo konto nie wymaga podawania innych danych osobowych poza adresem e-mail.
- Imię, nazwisko, adres dostawy, telefon - wymagane przy składaniu zamówienia (zarówno jako gość, jak i jako zalogowany użytkownik). Bez tych danych nie zrealizujemy dostawy.
- NIP, nazwa firmy - wymagane, jeśli chcesz otrzymać fakturę VAT na firmę.
- Adres IP - zapisywany automatycznie w momencie akceptacji Regulaminu i Polityki Prywatności oraz w logach bezpieczeństwa (audit trail RODO, ochrona przed nadużyciami).
§8. Brak profilowania i zautomatyzowanych decyzji
Nie podejmujemy wobec Ciebie zautomatyzowanych decyzji w rozumieniu art. 22 RODO (decyzje wywołujące skutki prawne lub w podobny sposób istotnie wpływające), w tym profilowania automatycznego. Wszystkie decyzje dotyczące Twoich zamówień, reklamacji i odstąpień podejmujemy indywidualnie z udziałem człowieka.
§9. Bezpieczeństwo danych
Stosujemy adekwatne środki techniczne i organizacyjne chroniące Twoje dane przed nieuprawnionym dostępem, utratą lub zniszczeniem (art. 32 RODO):
- Połączenie szyfrowane HTTPS (TLS) na całej stronie
- Hasła klientów przechowywane jako hash (nie znamy ich)
- Sesja użytkownika w cookie zabezpieczonym (httpOnly, Secure, SameSite=Lax) - niedostępna dla JavaScript
- Weryfikacja adresu e-mail wymagana do zalogowania - chroni przed zakładaniem fałszywych kont
- Ograniczanie liczby prób logowania, rejestracji i resetu hasła (rate limiting) - ochrona przed atakami brute-force i enumeracją kont
- Płatności obsługiwane przez certyfikowanego operatora Tpay - nie przechowujemy danych kart
- Regularne backupy bazy danych
- Aktualizacje bezpieczeństwa serwera i aplikacji
- Dostęp do panelu administracyjnego tylko dla wyznaczonych osób
W razie naruszenia ochrony danych mogącego skutkować wysokim ryzykiem dla Twoich praw, poinformujemy Cię bez zbędnej zwłoki, zgodnie z art. 34 RODO.
§10. Zmiany polityki prywatności
Możemy zmienić tę politykę, gdy wymaga tego zmiana przepisów prawa, zakresu naszych usług lub naszych procesorów. O zmianach poinformujemy Cię z co najmniej 14-dniowym wyprzedzeniem drogą elektroniczną (jeżeli posiadasz konto) lub przez wyraźne ogłoszenie w Sklepie.
Aktualna wersja polityki jest zawsze dostępna pod adresem sklep.powietrzewspomnien.pl/polityka-prywatnosci wraz z numerem wersji i datą wejścia w życie.
Zobacz również: Regulamin sklepu · Polityka cookies
