POLITYKA PRYWATNOŚCI SKLEPU INTERNETOWEGO
www.e-insportline.pl
1. Informacje ogólne
1.1. Cel dokumentu
1.2. Administrator danych osobowych
1.3. Zakres stosowania
- Odwiedzających Serwis – osoby przeglądające treści na stronie internetowej bez rejestracji lub składania zamówień.
- Zarejestrowanych użytkowników – osoby, które założyły konto w Serwisie, uzyskując dostęp do dodatkowych funkcjonalności.
- Klientów dokonujących zakupów – osoby, które składają zamówienia na produkty lub usługi, niezależnie od tego, czy posiadają konto w Serwisie.
- Subskrybentów newslettera – osoby, które wyraziły zgodę na otrzymywanie informacji marketingowych drogą elektroniczną.
- Osób kontaktujących się z Administratorem – osoby wysyłające zapytania poprzez formularze kontaktowe, e-mail lub inne kanały komunikacji dostępne w Serwisie.
2. Cele i podstawy prawne przetwarzania danych osobowych
2.1. Realizacja zamówień i świadczenie usług
Podstawa prawna:
- Art. 6 ust. 1 lit. b RODO – niezbędność do wykonania umowy, której stroną jest użytkownik.
- Art. 6 ust. 1 lit. c RODO – obowiązki prawne wynikające z przepisów podatkowych i rachunkowych.
2.2. Prowadzenie konta użytkownika
Podstawa prawna:
- Art. 6 ust. 1 lit. b RODO – niezbędność do wykonania umowy, umożliwiającej użytkownikowi korzystanie z funkcjonalności konta.
2.3. Obsługa reklamacji i zwrotów
Podstawa prawna:
- Art. 6 ust. 1 lit. c RODO – obowiązek prawny ciążący na Administratorze wynikający z przepisów o ochronie konsumentów.
- Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora w zakresie obrony przed roszczeniami.
2.4. Marketing bezpośredni
Podstawa prawna:
- Art. 6 ust. 1 lit. a RODO – dobrowolna zgoda użytkownika na otrzymywanie komunikacji marketingowej drogą elektroniczną. Zgodę można wycofać w dowolnym momencie.
- Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora w zakresie marketingu własnych usług.
2.5. Analiza statystyk i optymalizacja działania Serwisu
Podstawa prawna:
- Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora w zakresie analizy i optymalizacji Serwisu. Użytkownik ma prawo wnieść sprzeciw wobec takiego przetwarzania.
- W przypadku zgody na pliki cookies i śledzenie zachowań – Art. 6 ust. 1 lit. a RODO.
2.6. Obsługa zapytań i korespondencji
Podstawa prawna:
- Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora w zakresie udzielania odpowiedzi na zapytania użytkowników i prowadzenia bieżącej komunikacji.
- W przypadku pytań dotyczących realizacji umowy – Art. 6 ust. 1 lit. b RODO.
2.7. Zapewnienie bezpieczeństwa Serwisu i zapobieganie nadużyciom
Podstawa prawna:
- Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora w zakresie zapewnienia bezpieczeństwa Serwisu, jego użytkowników oraz infrastruktury IT.
2.8. Analiza zachowań użytkowników oraz personalizacja treści
Podstawa prawna:
- Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora w zakresie analizy i poprawy jakości usług.
- W przypadku zgody użytkownika na personalizację treści – Art. 6 ust. 1 lit. a RODO.
2.9. Prowadzenie programów lojalnościowych, konkursów i promocji
Podstawa prawna:
- Art. 6 ust. 1 lit. b RODO – niezbędność do wykonania umowy, jeśli użytkownik zaakceptował regulamin danego programu lub konkursu.
- Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora w zakresie promocji usług.
- Art. 6 ust. 1 lit. a RODO – w przypadku dobrowolnej zgody na udział w akcjach promocyjnych.
2.10. Wypełnianie obowiązków prawnych (np. podatkowych, rachunkowych, archiwizacyjnych)
Podstawa prawna:
- Art. 6 ust. 1 lit. c RODO – obowiązek prawny ciążący na Administratorze wynikający z przepisów podatkowych, rachunkowych i archiwizacyjnych.
2.11. Ustalanie, dochodzenie lub obrona przed roszczeniami
Podstawa prawna:
- Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na ochronie jego praw i dochodzeniu roszczeń.
2.12. Współpraca z organami ścigania i instytucjami publicznymi
Podstawa prawna:
- Art. 6 ust. 1 lit. c RODO – obowiązek prawny ciążący na Administratorze.
3. Zakres przetwarzanych danych
3.1. Dane zbierane od użytkowników
- Dane identyfikacyjne: imię, nazwisko, nazwa firmy i NIP (jeśli dotyczy).
- Dane kontaktowe: adres e-mail, numer telefonu, adres korespondencyjny i adres dostawy.
- Dane transakcyjne: historia zamówień, metoda płatności, numer rachunku bankowego, szczegóły faktur.
- Dane techniczne: adres IP, rodzaj urządzenia, przeglądarka internetowa, system operacyjny, pliki cookies.
- Dane związane z obsługą reklamacji i zwrotów: numer zamówienia, przyczyna zwrotu, numer konta do zwrotu środków.
- Dane związane z komunikacją: treść zapytań wysyłanych przez użytkowników poprzez formularz kontaktowy, e-mail lub czat online.
- Dane zbierane za pomocą plików cookies i narzędzi analitycznych: dane dotyczące aktywności użytkownika w Serwisie (np. liczba odwiedzonych stron, czas spędzony na stronie, kliknięcia w reklamy).
3.2. Dobrowolność podania danych
- Dane wymagane do realizacji zamówienia: bez ich podania Administrator nie będzie mógł przetworzyć zamówienia i dostarczyć produktów lub usług.
- Dane niezbędne do rejestracji konta użytkownika: brak podania tych danych uniemożliwi założenie konta i korzystanie z jego funkcjonalności.
- Dane wykorzystywane do marketingu i personalizacji treści: podanie danych w tym zakresie jest dobrowolne i zależy od zgody użytkownika.
- Dane techniczne i analityczne: ich przetwarzanie odbywa się na podstawie zgody użytkownika (jeśli dotyczy) lub uzasadnionego interesu Administratora w celu poprawy działania Serwisu.
4. Przechowywanie danych
4.1. Okresy przechowywania
- Dane związane z realizacją umów: przechowywane przez czas trwania umowy oraz do momentu przedawnienia roszczeń wynikających z umowy, zgodnie z obowiązującymi przepisami prawa cywilnego.
- Dane przetwarzane na podstawie zgody: przechowywane do momentu wycofania zgody przez użytkownika, chyba że istnieje inna podstawa prawna uzasadniająca dalsze przetwarzanie.
- Dane przetwarzane w celu wypełnienia obowiązków prawnych: przechowywane przez okres wymagany przepisami prawa, w tym:
- Dane księgowe i podatkowe: przechowywane przez okres 5 lat od zakończenia roku podatkowego, zgodnie z ustawą o rachunkowości i przepisami prawa podatkowego.
- Dane dotyczące rękojmi i gwarancji: przechowywane przez czas trwania odpowiedzialności z tytułu rękojmi lub gwarancji.
- Dane wymagane do przeciwdziałania nadużyciom i oszustwom: mogą być przechowywane przez okres do 6 lat w celu dochodzenia roszczeń lub ochrony przed potencjalnymi roszczeniami.
4.2. Kryteria ustalania okresu przechowywania
- Dochodzenie roszczeń lub obrona przed roszczeniami: dane będą przechowywane przez czas trwania postępowań sądowych, administracyjnych lub innych procedur prawnych.
- Obowiązki archiwizacyjne: dane mogą być przechowywane dłużej, jeśli wymaga tego prawo lub jeśli ich archiwizacja jest niezbędna dla ochrony praw Administratora.
- Wymogi bezpieczeństwa i zgodności: w sytuacjach, gdy przechowywanie danych jest konieczne do wykrywania nadużyć, zapobiegania oszustwom lub zapewnienia zgodności z regulacjami wewnętrznymi Administratora.
5. Odbiorcy danych
5.1. Podmioty przetwarzające dane
- Podmioty realizujące dostawę towarów – firmy kurierskie i operatorzy pocztowi odpowiedzialni za dostarczenie zamówionych produktów, takie jak InPost, DPD, DHL, Poczta Polska i inne.
- Operatorzy płatności – podmioty obsługujące transakcje płatnicze w Serwisie, np. PayU, Przelewy24, w zakresie niezbędnym do realizacji płatności.
- Dostawcy usług IT – firmy zapewniające hosting, utrzymanie i rozwój Serwisu, w tym dostawcy usług chmurowych, dostawcy baz danych, firmy zajmujące się bezpieczeństwem IT oraz analityką internetową (np. Google Analytics).
- Firmy świadczące usługi księgowe i rachunkowe – podmioty wspierające Administratora w prowadzeniu obowiązkowej dokumentacji podatkowej i księgowej.
- Firmy świadczące usługi marketingowe – podmioty zajmujące się reklamą internetową, remarketingiem, personalizacją treści, np. Facebook Ads, Google Ads.
- Partnerzy handlowi – podmioty współpracujące z Administratorem w zakresie sprzedaży, serwisu i obsługi zamówień, które mogą mieć dostęp do danych osobowych w zakresie niezbędnym do realizacji usług.
- Podmioty obsługujące reklamacje i zwroty – firmy zajmujące się obsługą reklamacji, serwisem produktów oraz zwrotami środków.
- Organy publiczne i instytucje państwowe – w przypadkach przewidzianych prawem, np. na żądanie sądu, prokuratury, organów ścigania, organów podatkowych czy administracyjnych.
5.2. Zasady przekazywania danych
5.3. Przekazywanie danych do państw trzecich
- Współpracę z dostawcami usług IT i chmurowych, np. Google, Microsoft, Amazon Web Services, którzy przechowują dane na serwerach poza EOG.
- Usługi analityczne i marketingowe, np. Google Analytics, Facebook Pixel, które mogą przechowywać dane w USA i innych krajach spoza EOG.
- Obsługę płatności międzynarodowych, jeśli użytkownik korzysta z usług płatniczych realizowanych przez operatorów spoza EOG.
- Posiadających odpowiednie decyzje Komisji Europejskiej stwierdzające odpowiedni poziom ochrony danych osobowych w danym kraju.
- Stosujących Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską.
- Posiadających wiążące reguły korporacyjne (BCR) zatwierdzone przez organy nadzorujące ochronę danych osobowych.
- Działających na podstawie dodatkowych środków ochrony, takich jak szyfrowanie danych czy pseudonimizacja, w celu zapewnienia ich bezpieczeństwa.
6. Prawa użytkowników
6.1. Prawo dostępu do danych
- celów przetwarzania,
- kategorii przetwarzanych danych,
- odbiorców lub kategorii odbiorców, którym dane są ujawniane,
- planowanego okresu przechowywania danych lub kryteriów jego ustalania,
- przysługujących praw związanych z przetwarzaniem danych,
- źródła danych, jeśli nie zostały zebrane od użytkownika,
- stosowania zautomatyzowanego podejmowania decyzji, w tym profilowania (art. 15 RODO).
6.2. Prawo do sprostowania danych
6.3. Prawo do usunięcia danych („prawo do bycia zapomnianym”)
- dane osobowe nie są już niezbędne do celów, dla których były przetwarzane,
- użytkownik wycofał zgodę, na której opierało się przetwarzanie, i nie ma innej podstawy prawnej do przetwarzania,
- użytkownik wniósł sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
- dane osobowe były przetwarzane niezgodnie z prawem,
- usunięcie danych jest wymagane w celu wywiązania się z obowiązku prawnego wynikającego z przepisów prawa (art. 17 RODO).
- korzystania z prawa do wolności wypowiedzi i informacji,
- wywiązania się z obowiązku prawnego nałożonego na Administratora,
- ustalenia, dochodzenia lub obrony roszczeń.
6.4. Prawo do ograniczenia przetwarzania
- kwestionuje prawidłowość danych osobowych (na czas ich weryfikacji),
- przetwarzanie jest niezgodne z prawem, ale użytkownik sprzeciwia się ich usunięciu i zamiast tego żąda ograniczenia przetwarzania,
- Administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale użytkownik potrzebuje ich do ustalenia, dochodzenia lub obrony roszczeń,
- użytkownik wniósł sprzeciw wobec przetwarzania i trwa ustalanie, czy prawnie uzasadnione podstawy Administratora są nadrzędne wobec jego sprzeciwu (art. 18 RODO).
6.5. Prawo do sprzeciwu
- przetwarzania danych w celach marketingu bezpośredniego,
- profilowania, jeśli wiąże się ono z marketingiem bezpośrednim.
6.6. Prawo do przenoszenia danych
- przetwarzanie odbywa się na podstawie zgody użytkownika lub umowy,
- przetwarzanie odbywa się w sposób zautomatyzowany (art. 20 RODO).
6.7. Prawo do wycofania zgody
6.8. Prawo do wniesienia skargi do organu nadzorczego
- Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polska.
7. Pliki cookies i technologie śledzące
8. Informacje o profilowaniu
8.1. Zasady profilowania danych osobowych
8.2. Cele profilowania
- personalizację treści reklamowych i marketingowych,
- dostosowywanie ofert promocyjnych do preferencji użytkowników,
- optymalizację obsługi poprzez analizę wcześniejszych interakcji.
8.3. Zmiany w wyrażonych zgodach
8.4. Wycofanie zgody na profilowanie
9. Bezpieczeństwo danych osobowych
- Szyfrowanie SSL/TLS zapewniające bezpieczną transmisję danych między użytkownikiem a Serwisem.
- Regularne kopie zapasowe, przechowywane w bezpiecznych lokalizacjach, co umożliwia szybkie przywrócenie danych w razie awarii.
- Systemy kontroli dostępu, ograniczające dostęp do danych jedynie do upoważnionych osób zgodnie z nadanymi uprawnieniami.
- Monitorowanie zagrożeń i aktualizacja zabezpieczeń, obejmujące regularne audyty bezpieczeństwa oraz ochronę przed cyberatakami.
- Monitoring i analiza zagrożeń – systematyczne monitorowanie systemów IT pod kątem naruszeń bezpieczeństwa, ataków cybernetycznych oraz innych zagrożeń.
- Audyt i aktualizacja zabezpieczeń – regularne testowanie stosowanych rozwiązań oraz dostosowywanie ich do aktualnych standardów w zakresie ochrony danych.
- Zobowiązania podwykonawców i partnerów – Administrator podejmuje wszelkie niezbędne działania, aby jego podwykonawcy oraz inne podmioty współpracujące zapewniały odpowiednie środki bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na jego zlecenie.
10. Inspektor Ochrony Danych
10.1. Rola Inspektora Ochrony Danych
10.2 Kontakt z Inspektorem Ochrony Danych
- Adres e-mail: inspektor@e-insportline.pl – dedykowany do przesyłania zapytań dotyczących przetwarzania danych osobowych, zgłoszeń dotyczących realizacji praw użytkowników oraz zgłoszeń naruszeń ochrony danych.
- Adres korespondencyjny: inSPORTline Polska Krzysztof Stępień, Ciemiętniki 19, 29-120 Kluczewsko – do przesyłania formalnych wniosków, skarg lub innych dokumentów wymagających pisemnej formy.
10.3. Termin udzielenia odpowiedzi
11. Kontakt z Administratorem
11.1. Sposoby kontaktu z Administratorem
- Adres e-mail: biuro@e-insportline.pl
- Telefon: +48 510 275 999
- Adres korespondencyjny: inSPORTline Polska Krzysztof Stępień, Ciemiętniki 19, 29-120 Kluczewsko