Koszyk: (pusty)
do kasy suma: 0,00 zł
Jesteś w:

Polityka prywatności (RODO)

Polityka Prywatności

Podstawy prawne dokumentu
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO/GDPR)
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000)
  • Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204)
  • Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 nr 171 poz. 1800)
  • Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (dot. operatorów płatności: PSP BLIK, Autopay)
 

§ 1 Administrator Danych Osobowych

Administratorem Państwa danych osobowych jest:

 
 

§ 2 Inspektor Ochrony Danych

Inspektor Ochrony Danych (IOD), z którym można się skontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z tym przetwarzaniem.

Paweł Szefler

iod@shoper.pl

Królewska 65A, 30-081 Kraków, KRS: 0000410718, NIP: 676-23-39-725

 

§ 3 Platforma Sklepu Internetowego — Shoper S.A.

Niniejszy Serwis działa na platformie e-commerce Shoper, świadczonej przez Shoper S.A. z siedzibą w Krakowie (ul. Królewska 65A, 30-081 Kraków, KRS: 0000410718, NIP: 676-23-39-725). W związku z powierzeniem Shoper S.A. obsługi infrastruktury technicznej sklepu, Administrator zawarł ze Shoper S.A. pisemną Umowę Powierzenia Przetwarzania Danych Osobowych (DPA) na podstawie art. 28 RODO.

Zakres powierzenia przetwarzania danych Shoper S.A.

  • Przechowywanie danych Klientów na serwerach platformy Shoper (infrastruktura w Polsce i UE).
  • Obsługa techniczna panelu administracyjnego sklepu, koszyka zakupowego oraz kont Klientów.
  • Zapewnienie mechanizmów wysyłki powiadomień transakcyjnych (e-mail, SMS) generowanych przez platformę.
  • Udostępnianie narzędzi do zarządzania zgromadzonymi danymi, w tym narzędzi do realizacji praw osób (eksport, usunięcie danych).

Shoper S.A. przetwarza dane wyłącznie w zakresie i celu określonym przez Administratora i nie wykorzystuje danych Klientów do własnych celów marketingowych. Szczegółowa polityka prywatności Shoper S.A. dostępna jest pod adresem: https://www.shoper.pl/polityka-prywatnosci/

 

§ 4 Bezpieczeństwo Połączeń — Certyfikat SSL Certum (Asseco Data Systems S.A.)

Bezpieczeństwo transmisji danych w Serwisie zapewniamy przy użyciu certyfikatu SSL wydanego przez Certum — polską instytucję certyfikującą prowadzoną przez Asseco Data Systems S.A. (ul. Grudziądzka 82-86, 87-100 Toruń, NIP: 957-07-51-216) — lidera na polskim rynku usług zaufania, wpisanego na listę kwalifikowanych dostawców usług zaufania Ministerstwa Cyfryzacji RP zgodnie z Rozporządzeniem eIDAS (UE) nr 910/2014.

Co oznacza certyfikat Certum dla Klienta

  • Połączenie z Serwisem jest szyfrowane protokołem TLS 1.3 — dane przesyłane między przeglądarką Klienta a serwerem są nieczytelne dla osób trzecich.
  • Ikonka zamkniętej kłódki (HTTPS) widoczna w pasku adresu przeglądarki potwierdza aktywność certyfikatu.
  • Certum jako kwalifikowany dostawca usług zaufania podlega nadzorowi Ministra ds. Informatyzacji oraz wymogom Rozporządzenia eIDAS.
  • Certyfikat gwarantuje autentyczność Serwisu — Klient ma pewność, że komunikuje się z prawdziwym sklepem, a nie stroną podstawioną (ochrona przed phishingiem).
 

§ 5 Cele i Podstawy Prawne Przetwarzania Danych

Przetwarzamy Państwa dane osobowe wyłącznie w przypadkach, gdy spełniona jest co najmniej jedna z przesłanek określonych w art. 6 ust. 1 RODO.

Cel przetwarzania Kategorie danych Podstawa prawna Okres przechowywania
Rejestracja konta Klienta w platformie Shoper i zarządzanie kontem Imię, nazwisko, e-mail, hasło (hash Shoper), adres, tel. Art. 6 ust. 1 lit. b RODO — wykonanie umowy Do usunięcia konta lub 3 lata od ostatniej aktywności
Realizacja zamówień i obsługa transakcji Dane adresowe, zamówienie, wybrana metoda płatności Art. 6 ust. 1 lit. b RODO — wykonanie umowy 5 lat od końca roku realizacji zamówienia
Obsługa płatności BLIK (PSP sp. z o.o.) Dane transakcji, nr telefonu (BLIK), potwierdzenie płatności Art. 6 ust. 1 lit. b i c RODO — umowa i obowiązek prawny (ustawa o usługach płatniczych) 5 lat od daty transakcji
Obsługa płatności Autopay S.A. (przelew, karta, raty, BNPL) Dane transakcji, nr karty (tokenizowany), dane do przelewu Art. 6 ust. 1 lit. b i c RODO — umowa i obowiązek prawny 5 lat od daty transakcji
Obsługa płatności bankowych i płatności ratalnych (banki partnerskie) Dane do przelewu, dane do umowy ratalnej (jeśli dotyczy) Art. 6 ust. 1 lit. b i c RODO — wykonanie umowy kredytowej/ratalnej Zgodnie z prawem bankowym (do 5–10 lat)
Wystawianie dokumentów księgowych (faktury, paragony) Imię i nazwisko / firma, adres, NIP (opcjonalnie) Art. 6 ust. 1 lit. c RODO — obowiązek prawny (ustawa o VAT, rachunkowość) 5 lat od końca roku podatkowego
Obsługa reklamacji i zwrotów Dane kontaktowe, dane zamówienia, opis wady Art. 6 ust. 1 lit. b i c RODO — umowa i obowiązek prawny (KC) Do zakończenia postępowania + 1 rok
Obsługa formularza kontaktowego Imię, e-mail, treść wiadomości Art. 6 ust. 1 lit. f RODO — uzasadniony interes Administratora 12 miesięcy od ostatniego kontaktu
Newsletter i komunikacja marketingowa Adres e-mail, imię (opcjonalnie) Art. 6 ust. 1 lit. a RODO — wyraźna i oddzielna zgoda Do wycofania zgody
Profilowanie i personalizacja oferty w Serwisie Historia przeglądania, historia zamówień, preferencje Art. 6 ust. 1 lit. a RODO — zgoda (baner cookies) 12 miesięcy lub do wycofania zgody
Bezpieczeństwo Serwisu i zapobieganie nadużyciom Adres IP, logi systemowe Shoper, dane sesji Art. 6 ust. 1 lit. f RODO — uzasadniony interes (bezpieczeństwo IT) 6 miesięcy od zarejestrowania zdarzenia
Dochodzenie i obrona roszczeń Dane Klienta, dane transakcyjne, korespondencja Art. 6 ust. 1 lit. f RODO — uzasadniony interes Administratora Do czasu przedawnienia roszczeń (co do zasady 6 lat)
 

§ 6 Operatorzy Płatności — Szczegółowe Informacje

Serwis oferuje Klientom kilka metod płatności. Poniżej przedstawiamy szczegółowe informacje o każdym operatorze płatności, zasadach przekazywania danych i ich odpowiedzialności jako administratora danych.


6.1 BLIK — Polski Standard Płatności sp. z o.o.

Pełna nazwa Polski Standard Płatności sp. z o.o.
Adres ul. Czerniakowska 87A, 00-718 Warszawa
NIP 5213658584
Rola w przetwarzaniu danych Odrębny administrator danych w zakresie obsługi płatności BLIK
Dane przekazywane do PSP Kwota transakcji, identyfikator zamówienia, nr telefonu Klienta (autoryzacja BLIK)
Podstawa prawna transferu Art. 6 ust. 1 lit. b RODO — wykonanie umowy płatniczej; Ustawa o usługach płatniczych
Polityka prywatności BLIK https://blik.com/polityka-prywatnosci/

6.2 Autopay S.A. — przelew, karta, raty, BNPL

Pełna nazwa Autopay S.A. (dawniej Blue Media S.A.)
Adres ul. Powstańców Warszawy 6, 81-718 Sopot
NIP / KRS 585-13-51-185 / 0000320590
Nadzór KNF Krajowa Instytucja Płatnicza nadzorowana przez Komisję Nadzoru Finansowego
Rola w przetwarzaniu danych Odrębny administrator danych w zakresie obsługi płatności
Dostępne metody płatności Przelew bankowy (pay-by-link), karta płatnicza (Visa/Mastercard), BLIK, płatności odroczone (BNPL), raty
Dane przekazywane do Autopay Kwota, identyfikator zamówienia, adres e-mail Klienta, imię i nazwisko, NIP (faktury)
Podstawa prawna transferu Art. 6 ust. 1 lit. b RODO — wykonanie umowy płatniczej; Ustawa o usługach płatniczych
Polityka prywatności Autopay https://autopay.pl/pomoc/polityka-prywatnosci

6.3 Banki — płatności przelewem i płatności ratalne

Kiedy dotyczy W przypadku wyboru przelewu tradycyjnego lub płatności ratalnej oferowanej przez bank partnerski (np. Santander Consumer Bank, PKO BP, Alior Bank, mBank lub inne banki)
Rola prawna banku Odrębny administrator danych osobowych Klienta w zakresie obsługi umowy kredytowej / ratalnej
Zakres przekazywanych danych Imię i nazwisko, adres zamieszkania, PESEL (w przypadku rat), e-mail, tel., dane zamówienia i jego wartość
Cookies bankowe Administrator Serwisu nie ma wpływu na zakres przetwarzania danych przez bank — Klient powinien zapoznać się z polityką prywatności wybranego banku
Podstawa prawna Prawo bankowe (Ustawa z dnia 29 sierpnia 1997 r., Dz.U. 1997 nr 140 poz. 939 z późn. zm.)
 

§ 7 Prawa Osób, Których Dane Dotyczą

Na podstawie RODO przysługują Państwu następujące prawa. Każde żądanie można złożyć pisemnie na adres siedziby Administratora lub elektronicznie na adres e-mail Administratora albo IOD.

01
Prawo dostępu (art. 15 RODO)
Uzyskanie informacji o przetwarzanych danych oraz ich kopii. Termin: 30 dni (możliwe przedłużenie o 60 dni przy złożonych żądaniach).
02
Prawo do sprostowania (art. 16 RODO)
Poprawienie nieprawidłowych lub uzupełnienie niekompletnych danych. Dane adresowe można samodzielnie edytować w panelu Klienta na platformie Shoper. Termin: 30 dni.
03
Prawo do usunięcia (art. 17 RODO)
żądanie trwałego usunięcia danych, gdy m.in. cel przetwarzania ustał lub wycofano zgodę. Nie dotyczy danych niezbędnych do wypełnienia obowiązku prawnego lub dochodzenia roszczeń. Termin: 30 dni.
04
Prawo do ograniczenia przetwarzania (art. 18 RODO)
żądanie wstrzymania przetwarzania na czas weryfikacji lub rozpatrzenia sprzeciwu. Zablokowanie następuje niezwłocznie; rozpatrzenie do 30 dni.
05
Prawo do przenośności danych (art. 20 RODO)
Otrzymanie danych w formacie JSON/CSV — dostępne również przez panel Klienta Shoper. Dotyczy danych przetwarzanych na podstawie zgody lub umowy, w sposób zautomatyzowany. Termin: 30 dni.
06
Prawo do sprzeciwu (art. 21 RODO)
Sprzeciw wobec przetwarzania opartego na uzasadnionym interesie lub marketingu bezpośredniego. W przypadku marketingu sprzeciw jest zawsze skuteczny — niezwłocznie.
07
Prawo do wycofania zgody (art. 7 ust. 3 RODO)
Wycofanie zgody w każdej chwili — również przez panel Klienta Shoper lub link rezygnacji w newsletterze. Nie wpływa na zgodność z prawem przetwarzania sprzed wycofania. Skutek: niezwłocznie.
08
Prawo do skargi (art. 77 RODO)
Złożenie skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl, tel. 606-950-000.
 

§ 8 Odbiorcy Danych i Podmioty Przetwarzające

Dane osobowe mogą być przekazywane wyłącznie podmiotom, które gwarantują odpowiedni poziom ochrony danych, na podstawie pisemnych umów powierzenia przetwarzania danych (DPA) zgodnie z art. 28 RODO. Administrator nie sprzedaje danych osobowych Klientów podmiotom trzecim.

Kategoria odbiorcy / Podmiot Cel przekazania danych Rola prawna
Shoper S.A. (Kraków) — operator platformy Techniczna obsługa sklepu, przechowywanie danych Klientów, obsługa kont i zamówień Podmiot przetwarzający (DPA)
Polski Standard Płatności sp. z o.o. — BLIK Realizacja płatności mobilnych BLIK Odrębny administrator
Autopay S.A. (Sopot) — operator płatności Realizacja płatności: przelew, karta, raty, BNPL Odrębny administrator
Banki partnerskie (płatności i raty) Realizacja przelewów i umów ratalnych Odrębny administrator (prawo bankowe)
Firmy kurierskie (DPD, InPost, DHL, Poczta Polska) Dostawa zamówień do Klienta Podmiot przetwarzający (DPA)
Asseco Data Systems S.A. — Certum (Toruń) Wystawca i operator certyfikatu SSL/TLS Dostawca usługi zaufania (eIDAS)
Biuro rachunkowe / oprogramowanie księgowe Wystawianie i archiwizacja dokumentów księgowych Podmiot przetwarzający (DPA)
System e-mail marketingu (np. MailerLite) Wysyłka newslettera i kampanii e-mail Podmiot przetwarzający (DPA)
Organy publiczne (UODO, UOKiK, sądy) Realizacja obowiązków ustawowych na żądanie organu Odrębny administrator z mocy prawa
 

§ 9 Transfer Danych Poza Europejski Obszar Gospodarczy

Dane osobowe Klientów są przetwarzane co do zasady na serwerach zlokalizowanych na terenie Europejskiego Obszaru Gospodarczego (EOG). Infrastruktura platformy Shoper S.A. oraz certyfikat SSL Certum (Asseco Data Systems S.A.) oparte są na podmiotach polskich i europejskich, co minimalizuje ryzyko transferów poza EOG.

W przypadku korzystania z narzędzi dostawców technologicznych spoza EOG (np. Google Analytics, systemy e-mail marketingu z siedzibą w USA), transfer danych następuje wyłącznie po spełnieniu jednego z poniższych warunków:

  • zawarcia Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską decyzją wykonawczą (UE) 2021/914;
  • objęcia państwa docelowego decyzją Komisji Europejskiej stwierdzającą odpowiedni poziom ochrony (np. EU-US Data Privacy Framework dla podmiotów certyfikowanych w USA);
  • zastosowania innych odpowiednich zabezpieczeń, o których mowa w art. 46 RODO.
 

§ 10 Bezpieczeństwo Danych — Środki Techniczne i Organizacyjne

Zgodnie z art. 32 RODO wdrożyliśmy odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych. Łączymy własne procedury z mechanizmami wbudowanymi w platformę Shoper S.A. oraz certyfikatem SSL Certum.

Śodki techniczne

  • Szyfrowanie transmisji: protokół TLS 1.3 z certyfikatem SSL Certum (Asseco Data Systems S.A.) — polskiej, kwalifikowanej instytucji certyfikującej nadzorowanej przez Ministerstwo Cyfryzacji RP.
  • Szyfrowanie danych w spoczynku: dane przechowywane na serwerach platformy Shoper szyfrowane są algorytmem AES-256.
  • Mechanizmy bezpieczeństwa platformy Shoper: wbudowane zabezpieczenia anty-DDoS, firewalle aplikacyjne (WAF), automatyczne kopie zapasowe i monitoring infrastruktury.
  • Kontrola dostępu: pracownicy mają dostęp wyłącznie do danych niezbędnych na ich stanowisku (zasada minimalnych uprawnień). Dostęp do panelu administracyjnego Shoper zabezpieczony jest uwierzytelnianiem dwuskładnikowym (2FA).
  • Monitorowanie aktywności: wszystkie operacje w panelu administracyjnym Shoper są rejestrowane w logach audytowych.

Śodki organizacyjne

  • Privacy by Design: funkcjonalności Serwisu projektowane są z uwzględnieniem ochrony prywatności od etapu planowania.
  • Privacy by Default: domyślne ustawienia prywatności są zawsze najbardziej restrykcyjne — cookie marketingowe, newsletter i profilowanie są domyślnie wyłączone.
  • Rejestr Czynności Przetwarzania (RCP) zgodnie z art. 30 RODO, aktualizowany na bieżąco.
  • Procedura Zarządzania Incydentami Bezpieczeństwa — tryb zgłaszania naruszeń do UODO w ciągu 72 godzin (art. 33 RODO).
  • Ocena Skutków dla Ochrony Danych (DPIA) — przeprowadzana przed wdrożeniem nowych czynności przetwarzania wysokiego ryzyka (art. 35 RODO).
  • Regularne szkolenia pracowników z zakresu ochrony danych osobowych i bezpieczeństwa IT.
 

§ 11 Pliki Cookies i Technologie Ślądzące

Serwis oparty na platformie Shoper wykorzystuje pliki cookies oraz podobne technologie ślądzące zgodnie z Dyrektywa ePrivacy (2002/58/WE) oraz art. 173–174 ustawy Prawo telekomunikacyjne.

Kategoria cookies Cel Możliwość wyłączenia Okres ważności
Niezbędne (sesyjne) Koszyk zakupowy Shoper, logowanie do konta, bezpieczeństwo sesji, pamięć wyboru metody płatności. Bez tych plików sklep nie może działać prawidłowo. NIE — niezbędne do funkcjonowania Sesja lub max. 24h
Funkcjonalne Zapamiętywanie preferencji Użytkownika: język, waluta, wybrana firma kurierska, ustawienia cookies. TAK — baner cookies 12 miesięcy
Analityczne Anonimowe statystyki użycia Serwisu — optymalizacja sklepu (np. Google Analytics 4 z anonimizacją IP). TAK — baner cookies Do 26 miesięcy
Marketingowe Spersonalizowane reklamy i remarketing (np. Meta Pixel, Google Ads). Domyślnie WYŁĄCZONE. TAK — baner cookies. Domyślnie wyłączone. Do 90 dni lub wycofania zgody
Płatności (PSP BLIK, Autopay) Cookies techniczne operatorów płatności — niezbędne do bezpiecznej autoryzacji transakcji płatniczej. Ustawiane wyłącznie w trakcie procesu płatności. NIE — niezbędne do realizacji płatności Sesja płatności

Szczegółowe informacje o plikach cookies, ich kategoryzacji i zarządzaniu zgodą zawiera oddzielna Polityka Cookies Serwisu.

 

§ 12 Newsletter i Komunikacja Marketingowa

Przesyłanie informacji handlowych drogą elektroniczną wymaga uprzedniej, wyraźnej i oddzielnej zgody Klienta (art. 10 ustawy o świadczeniu usług drogą elektroniczną). Funkcje newslettera realizowane są za pomocą wbudowanych narzędzi platformy Shoper lub zewnętrznego systemu mailingowego.

  • Subskrypcja: zapis na newsletter następuje poprzez dobrowolne podanie adresu e-mail i zaznaczenie checkboxa zgody (domyślnie niezaznaczonego). Stosujemy procedurę double opt-in — aktywacja subskrypcji wymaga kliknięcia linku potwierdzającego.
  • Rezygnacja: każda wiadomość newsletterowa zawiera w stopce wyraźny link do rezygnacji. Można również zrezygnować przez panel Klienta w platformie Shoper lub kontakt z IOD.
  • Skutek rezygnacji: adres e-mail usuwany jest z aktywnej listy mailingowej w ciągu 48 godzin roboczych od wycofania zgody.
 

§ 13 Dane Osobowe Dzieci

Serwis nie jest skierowany do osób poniżej 16 roku życia i świadomie nie gromadzi danych osobowych takich osób. Zgodnie z art. 8 RODO oraz art. 9 ustawy o ochronie danych osobowych z 2018 r., przetwarzanie danych dziecka poniżej 16 roku życia na podstawie zgody jest dozwolone jedynie wtedy, gdy zgody tej udzieliła lub ją zaakceptowała osoba sprawująca władzę rodzicielską lub opiekę nad tym dzieckiem.

Procedura w przypadku wykrycia danych dziecka

Jeśli dowiemy się, że zebrano dane osobowe dziecka poniżej 16 roku życia bez weryfikowalnej zgody opiekuna prawnego, usuniemy te informacje z naszych rejestrów niezwłocznie, nie później jednak niż w ciągu 72 godzin od uzyskania tej wiedzy. Prosimy o zgłaszanie takich przypadków na adres: iod@shoper.pl

 

§ 14 Zgłaszanie Naruszeń Ochrony Danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator:

  • W ciągu 72 godzin od stwierdzenia naruszenia zgłosi je Prezesowi Urzędu Ochrony Danych Osobowych (art. 33 RODO);
  • Niezwłocznie powiadomi osoby, których dane dotyczą, jeśli naruszenie może powodować wysokie ryzyko dla ich praw i wolności (art. 34 RODO) — komunikat wysyłany będzie na adres e-mail Klienta zarejestrowany w platformie Shoper;
  • Udokumentuje każde naruszenie, jego przyczyny, skutki i działania naprawcze w Rejestrze Naruszeń.
Zgłaszanie podejrzanych incydentów

Aby zgłosić podejrzany incydent bezpieczeństwa dotyczący danych osobowych prosimy o niezwłoczny kontakt: IOD: iod@shoper.pl

 

§ 15 Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności, w szczególności w przypadku zmian przepisów prawa, zmian technologicznych w platformie Shoper lub zmian w zakresie stosowanych operatorów płatności.

O każdej istotnej zmianie Klienci posiadający konto w Serwisie zostaną poinformowani komunikatem e-mail na adres zarejestrowany w platformie Shoper, na minimum 14 dni przed wejściem zmiany w życie, oraz wyraźnym powiadomieniem wyświetlanym po zalogowaniu do panelu Klienta.

 

§ 16 Dane Kontaktowe i Organ Nadzorczy

Inspektor Ochrony Danych (IOD)    e-mail: iod@shoper.pl
Shoper S.A. — operator platformy    ul. Królewska 65A, 30-081 Kraków
www.shoper.pl/kontakt/    Pytania o infrastrukturę techniczną platformy

BLIK / PSP    Polski Standard Płatności sp. z o.o.
ul. Czerniakowska 87A, 00-718 Warszawa
blik.com/kontakt/    Pytania o płatności BLIK

Autopay S.A.    ul. Powstańców Warszawy 6, 81-718 Sopot
autopay.pl/pomoc/    Pytania o płatności Autopay

Certum / Asseco Data Systems S.A.    ul. Grudziądzka 82-86, 87-100 Toruń
www.certum.pl    Pytania o certyfikat SSL

Organ nadzorczy — UODO    Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
www.uodo.gov.pl  |  tel. 606-950-000    Skargi na przetwarzanie danych osobowych
Polityka Prywatności
Wersja 1.9
Obowiązuje od: 03.03.2026
Zatwierdził: Administrator
do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy Shoper.pl