Twój koszyk

SkinHeaven.pl

SkinHeaven™ to profesjonalne centrum urządzeń kosmetycznych i medycznych cieszące się niezwykle dużym zaufaniem wśród klientów.

0

Polityka prywatności

Spis treści

  1. Administrator danych
  2. Zakres i cel dokumentu
  3. Słownik (definicje)
  4. Kategorie danych i źródła ich pochodzenia
  5. Cele i podstawy prawne przetwarzania
  6. Odbiorcy danych (kategorie) i podmioty przetwarzające
  7. Przekazy danych poza EOG i podstawy transferu
  8. Okresy przechowywania (retencja)
  9. Prawa osób, których dane dotyczą
  10. Zautomatyzowane decyzje i profilowanie
  11. Obowiązek lub dobrowolność podania danych
  12. Bezpieczeństwo danych
  13. Media społecznościowe i linki zewnętrzne
  14. Cookies i podobne technologie
  15. Zmiany Polityki i wersjonowanie
  16. Kontakt do Administratora

1. Administrator danych

  1. Administratorem danych osobowych Użytkowników/Klientów jest B2B Trading Platform Adrian Rozmus (marka: SkinHeaven), ul. Ostrogórska 9, 41-200 Sosnowiec, NIP 6443530906, REGON 368508680, e-mail kontaktowy: kontakt@skinheaven.pl (dalej: „Administrator” albo „my”).
  2. Administrator nie wyznaczył inspektora ochrony danych; we wszystkich sprawach związanych z danymi osobowymi możesz kontaktować się bezpośrednio z Administratorem na adres e-mail: kontakt@skinheaven.pl lub korespondencyjnie na adres siedziby.
  3. W sprawach wykonywania praw (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, wycofanie zgody) prosimy, aby w miarę możliwości w tytule wiadomości dodać dopisek „RODO” oraz podać dane identyfikujące zamówienie/konto — ułatwi to sprawną obsługę Twojego wniosku.
  4. O ile w niniejszym dokumencie nie wskazano inaczej, Administrator jest samodzielnym administratorem Twoich danych. W zakresie, w jakim korzystamy z usług operatorów płatności, przewoźników, dostawcy e-paragonów itp., podmioty te działają zwykle jako odrębni administratorzy (lub przetwarzający) — szczegóły podajemy w części „Odbiorcy danych” oraz w regulaminach/politykach tych podmiotów.

2. Zakres i cel dokumentu

  1. Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych osób korzystających ze sklepu internetowego skinheaven.pl (w tym jego podstron/subdomen) oraz usług z nim związanych, w szczególności:
    1. przeglądających treści i składających zamówienia,
    2. zakładających i utrzymujących Konto,
    3. korzystających z obsługi płatności, dostawy, zwrotów i reklamacji/serwisu,
    4. zapisujących się na Newsletter lub otrzymujących komunikację marketingową,
    5. kontaktujących się z nami (e-mail/telefon/formularze).
  2. Dokument realizuje obowiązki informacyjne z art. 13 i 14 RODO i wskazuje m.in.: cele i podstawy prawne przetwarzania, kategorie danych, okresy przechowywania, odbiorców danych, informacje o przekazaniach poza EOG, a także Twoje prawa i sposób ich realizacji.
  3. Polityka ma charakter informacyjny i nie stanowi warunków umownych; uzupełnia ją Regulamin (warunki zakupów) oraz Polityka cookies, która szczegółowo opisuje używane przez nas pliki cookies i podobne technologie oraz sposób zarządzania zgodami.
  4. Polityka nie dotyczy serwisów/plików cookies podmiotów trzecich, do których odsyłamy linkami (np. strony operatorów płatności, przewoźników, mediów społecznościowych). Zasady przetwarzania w tych serwisach określają ich własne polityki prywatności/cookies.
  5. W razie rozbieżności między niniejszą Polityką a dokumentami zewnętrznych dostawców, w zakresie usług świadczonych przez tych dostawców zastosowanie mają ich dokumenty — przy czym nie wpływa to na Twoje prawa wobec nas jako Administratora w zakresie operacji, które wykonujemy samodzielnie.

3. Słownik (definicje)

Dla potrzeb niniejszej Polityki przyjmujemy następujące znaczenia:

1. Administrator / my
B2B Trading Platform Adrian Rozmus (SkinHeaven), dane kontaktowe wskazane w pkt 1.
2. Użytkownik / Klient
osoba fizyczna korzystająca ze sklepu skinheaven.pl, w tym składająca zamówienie, zakładająca Konto, zapisująca się na newsletter lub kontaktująca się z nami.
3. RODO
rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r.
4. Dane osobowe
wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (np. imię i nazwisko, e-mail, telefon, adres dostawy, identyfikatory online, dane transakcyjne).
5. Przetwarzanie
każda operacja na danych (zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, wykorzystywanie, ograniczanie, usuwanie itd.).
6. Usługi elektroniczne
funkcje dostępne w Sklepie, w szczególności Konto, Formularz zamówienia, Newsletter, formularze kontaktowe/reklamacyjne.
7. Partnerzy / odbiorcy danych
podmioty, którym ujawniamy dane w związku z realizacją usług (np. operatorzy płatności PayU/Przelewy24, przewoźnicy InPost/Poczta Polska/UPS/DHL/DPD, dostawca e-paragonów Platforma Detalistów Sp. z o.o., hosting/IT, księgowość) – jako odrębni administratorzy lub podmioty przetwarzające.
8. Podmiot przetwarzający
podmiot przetwarzający dane osobowe w naszym imieniu na podstawie umowy powierzenia (art. 28 RODO).
9. Trwały nośnik
materiał lub narzędzie pozwalające przechowywać informacje w sposób umożliwiający dostęp w przyszłości przez czas odpowiedni do celów tych informacji i odtwarzanie w niezmienionej postaci (np. e-mail, PDF).
10. Profilowanie
dowolna forma zautomatyzowanego przetwarzania danych, polegająca na wykorzystaniu danych osobowych do oceny niektórych czynników osoby fizycznej (np. preferencje).
11. Spersonalizowane ceny/oferty
prezentowanie cen/treści dostosowanych do zachowań Użytkownika na podstawie danych i – jeśli dotyczy – jego zgody (szczegóły w pkt 10 i Polityce cookies).
12. Cookies / podobne technologie
pliki lub mechanizmy zapisywane na urządzeniu Użytkownika (cookies, local storage, piksele, tagi), opisane szczegółowo w Polityce cookies.
13. EOG
Europejski Obszar Gospodarczy (UE + Islandia, Liechtenstein, Norwegia).

4. Kategorie danych i źródła ich pochodzenia

  1. Dane identyfikacyjne i kontaktowe – imię, nazwisko, e-mail, telefon, adres dostawy/rozliczeniowy, dane firmy (NIP, nazwa, adres) – gdy żądasz faktury.
  2. Dane zamówieniowe – numer zamówienia, koszyk, wybrane metody dostawy i płatności, status realizacji, historia zakupów.
  3. Dane płatnicze – identyfikatory transakcji od operatorów (PayU / Przelewy24), maskowane dane instrumentu (np. „****1234”), wynik autoryzacji/odmowy, chargeback itp. Nie przetwarzamy pełnych numerów kart w Sklepie (obsługują je operatorzy).
  4. Dane dostawy – numer przesyłki, adres/instrukcje doręczenia, Paczkomat®, informacje o doręczeniu/zwrocie od przewoźników (InPost, Poczta Polska, UPS/DHL/DPD – zależnie od kraju).
  5. Dane zwrotów/reklamacji/serwisu – treść zgłoszenia, opis niezgodności/usterki, zdjęcia/wideo, protokoły, korespondencja, adres odbioru.
  6. Dane konta i komunikacji – ustawienia konta, historia logowania, preferencje, zgody marketingowe, korespondencja z nami (e-mail/formularze/telefon).
  7. Dane marketingowe – adres e-mail do newslettera, informacje o otwarciach/klikach (jeśli wyrazisz zgodę na takie pomiary), przypisane kategorie zainteresowań (jeśli stosujemy i jeśli wyrazisz zgodę).
  8. Dane techniczne/eksploatacyjne – logi serwera (adres IP, znacznik czasu, URL, nagłówki), identyfikatory urządzenia/przeglądarki, cookies/podobne technologie (szczegóły w Polityce cookies).
  9. Dane fiskalne/dokumentów sprzedaży – e-paragon/faktura (zakres wynikający z przepisów), obsługiwane przez Platforma Detalistów Sp. z o.o. (eparagony.pl | spark.pl).

5. Cele i podstawy prawne przetwarzania

Cel przetwarzania Zakres danych (przykłady) Podstawa prawna Okres przechowywania
Zawarcie i realizacja umowy sprzedaży (obsługa zamówienia, płatności, dostawy) dane ident./kontaktowe, zamówieniowe, płatnicze (identyfikatory), dostawy art. 6 ust. 1 lit. b RODO czas realizacji + do upływu terminów przedawnienia roszczeń (co do zasady 6 lat; dla roszczeń okresowych i związanych z działalnością gosp. – 3 lata)
Obsługa zwrotów i odstąpienia dane zamówienia, kontaktowe, numer rachunku do zwrotu b + obowiązki ustawy o prawach konsumenta → c do zakończenia procesu + przedawnienie roszczeń
Reklamacje/niezgodność z umową, serwis zgłoszenie, opis usterki, zdjęcia/wideo, korespondencja, adres odbioru b/c (wykonanie umowy + obowiązki prawne) do zakończenia sprawy + przedawnienie roszczeń
Wystawianie i przechowywanie dokumentów sprzedaży (paragon/faktura, e-paragon) dane ident./firmowe, pozycje dokumentu, kwoty, numery art. 6 ust. 1 lit. c RODO (przepisy podatkowe/rachunkowe) co do zasady 5 lat licząc od końca roku podatkowego
Prowadzenie Konta dane konta, historia zamówień, ustawienia b do usunięcia Konta lub nieaktywności skutkującej usunięciem (zgodnie z Regulaminem)
Komunikacja i obsługa zapytań (e-mail/telefon/formularze) dane kontaktowe, treść zapytania, metadane b (gdy dot. działań przedumownych) / f (uzasadniony interes – bieżąca komunikacja) do 12 miesięcy od zamknięcia sprawy, a gdy korespondencja dotyczy roszczeń – do przedawnienia
Marketing bezpośredni własnych produktów (e-mail/newsletter) e-mail, imię (jeśli podane), preferencje, log subskrypcji a (zgoda) / f (marketing do obecnych klientów – jeśli dopuszczalne) do wycofania zgody / wniesienia sprzeciwu
Analityka podstawowa i statystyka serwisu dane techniczne/cookies analityczne (zagregowane) f (uzasadniony interes: rozwój i pomiar) + jeśli cookies/analityka wymagają zgody – a zgodnie z czasem życia cookies / polityką narzędzia; dane zagregowane – statystycznie, bezterminowo
Bezpieczeństwo serwisu i zapobieganie nadużyciom (antyfraud) logi, identyfikatory urządzenia, wzorce transakcyjne (bez pełnych danych kart) f (ochrona praw, zapobieganie nadużyciom) logi do 12 miesięcy, a przy incydentach – do czasu wyjaśnienia/ustalenia roszczeń
Dochódzenie i obrona roszczeń wszelkie niezbędne dane z danej sprawy f do prawomocnego zakończenia postępowań + przedawnienie roszczeń
Personalizacja treści/ofert; spersonalizowane ceny (jeśli wdrożymy) dane behawioralne, preferencje, cookies marketingowe a (zgoda) dla personalizacji opartej o cookies / f dla podstawowej personalizacji nieingerującej istotnie w prawa do wycofania zgody/sprzeciwu; szczegóły w Polityce cookies / przy cenie spersonalizowanej
Spełnienie obowiązków prawnych (np. odpowiedzi do UODO, organów) ident./kontaktowe, dane sprawy c przez okres wymagany przepisami

Uwagi do podstaw prawnych:

  • b – niezbędność do zawarcia/wykonania umowy; c – obowiązek prawny; f – nasz uzasadniony interes (np. bezpieczeństwo, komunikacja, statystyka, dochodzenie roszczeń); a – zgoda (możesz ją w każdej chwili wycofać bez wpływu na zgodność z prawem przetwarzania sprzed wycofania).
  • W przypadku przetwarzania opartego na zgodzie lub cookies – szczegóły (kategorie, czasy życia, vendorzy) opisuje Polityka cookies oraz ustawienia w banerze zgód (CMP).

6. Odbiorcy danych (kategorie) i podmioty przetwarzające

  1. Odrębni administratorzy (działają niezależnie od nas w swoim celu):
    1. Operatorzy płatności: PayU S.A. (w tym PayPo, Raty PayU), PayPro S.A. (Przelewy24) – rozliczanie transakcji, przeciwdziałanie nadużyciom, chargeback.
    2. Przewoźnicy/dostawcy: InPost, Poczta Polska, UPS / DHL / DPD (w zależności od kraju doręczenia) – realizacja dostawy, zwroty.
    3. Wystawca e-paragonów: Platforma Detalistów Sp. z o.o. (eparagony.pl | spark.pl) – doręczanie paragonów fiskalnych w formie elektronicznej.
    4. Banki/pośrednicy płatności – realizacja zwrotów środków.
    5. Gwaranci/autoryzowane serwisy (jeżeli produkt objęty jest gwarancją producenta) – obsługa roszczeń gwarancyjnych.
    6. Organy publiczne (UODO, skarbowe, sądy, policja) – wyłącznie gdy wymagają tego przepisy.
  2. Podmioty przetwarzające (działają na nasze zlecenie – art. 28 RODO):
    1. Hosting/IT/serwis oprogramowania (utrzymanie sklepu, kopie zapasowe, bezpieczeństwo).
    2. System e-mailingowy/komunikacyjny (wysyłka potwierdzeń, newsletter – jeśli zapiszesz się).
    3. Dostawcy rozwiązań CRM/Helpdesk (obsługa korespondencji i zgłoszeń).
    4. Księgowość/biuro rachunkowe (przetwarzanie dokumentacji księgowej – w zakresie powierzonym).
    5. Usługi antyfraud/bezpieczeństwo (monitorowanie nadużyć, ochrona serwisu).
    6. Dostawcy narzędzi analitycznych/technicznych – o ile działają wyłącznie jako procesor i wyłącznie w zakresie niezbędnym (szczegóły i podstawy w Polityce cookies/banerze zgód).
  3. Zasady udostępniania:
    1. ujawniamy minimalny niezbędny zakres danych;
    2. z procesorami zawieramy umowy powierzenia (art. 28 RODO), w tym wymóg poufności i bezpieczeństwa;
    3. procesorzy mogą angażować podwykonawców wyłącznie zgodnie z tymi umowami;
    4. aktualne kategorie odbiorców są wskazane w niniejszej Polityce, a w odniesieniu do cookies/SDK – w Polityce cookies i liście partnerów (vendor list).

7. Przekazy danych poza EOG i podstawy transferu

  1. Co do zasady przetwarzamy i przechowujemy dane w Europejskim Obszarze Gospodarczym (EOG).
  2. Możliwe transfery poza EOG mogą wystąpić, gdy:
    1. korzystamy z narzędzi/świadczeń partnerów mających siedzibę lub infrastrukturę poza EOG (np. dostawcy chmurowi, systemy mailingowe, narzędzia analityczne/marketingowe – jeśli włączysz odpowiednie zgody w banerze), albo
    2. partner (np. globalny przewoźnik lub operator płatności) technicznie korzysta z centrów danych poza EOG.
  3. Podstawy legalności takich przekazań:
    1. Decyzja stwierdzająca odpowiedni stopień ochrony (art. 45 RODO) – jeśli kraj/odbiorca jest objęty taką decyzją (np. podmiot certyfikowany w ramach EU–US Data Privacy Framework).
    2. Standardowe klauzule umowne (SCC) Komisji Europejskiej (art. 46 RODO) + dodatkowe środki (m.in. szyfrowanie, pseudonimizacja, minimalizacja zakresu).
    3. Wyraźna zgoda lub inne wyjątki z art. 49 RODO – wyłącznie wyjątkowo.
  4. Transparentność i kopie zabezpieczeń.
    • W sprawie konkretnych mechanizmów zabezpieczenia transferu dotyczących Twoich danych (np. zastosowane SCC, certyfikacja DPF) możesz się z nami skontaktować na kontakt@skinheaven.pl – udostępnimy informacje o odpowiednich zabezpieczeniach w zakresie niedotykającym tajemnicy przedsiębiorstwa/bezpieczeństwa.
    • W przypadku narzędzi opartych na cookies/SDK szczegóły partnerów i podstawy transferu znajdziesz w Polityce cookies oraz w ustawieniach zgód (CMP).
  5. Minimalizacja ryzyka. Przed przekazaniem danych poza EOG dokonujemy oceny ryzyka i – jeżeli to możliwe – stosujemy przechowywanie w EOG, anonimizację/pseudonimizację oraz ograniczamy zakres danych do niezbędnego minimum.

8. Okresy przechowywania (retencja)

  1. Dane przechowujemy nie dłużej, niż to konieczne do realizacji celów, dla których zostały zebrane, a następnie przez czas wymagany przepisami lub potrzebny do obrony/doch. roszczeń.
  2. Poniższa tabela podsumowuje główne okresy:
Kategoria danych / operacja Przykłady Podstawa Okres przechowywania
Realizacja zamówienia i obsługa umowy dane ident./kontaktowe, pozycje zamówienia, statusy art. 6 ust. 1 lit. b RODO do końca realizacji umowy + do upływu terminów przedawnienia roszczeń (co do zasady 6 lat; roszczenia okresowe i związane z działalnością gosp. – 3 lata)
Zwroty i odstąpienia oświadczenia, korespondencja, rozliczenia b/c do zakończenia procesu + przedawnienie roszczeń
Reklamacje/serwis (niezgodność z umową, gwarancja) opisy usterek, protokoły, zdjęcia/wideo b/c do zakończenia sprawy + przedawnienie roszczeń
Dokumenty księgowe (faktury, e-paragony) pozycje, kwoty, NIP c (przepisy podatkowe/rachunkowe) co do zasady 5 lat licząc od końca roku podatkowego
Konto Klienta dane profilu, historia zamówień b do usunięcia konta (na żądanie lub z innych przyczyn przewidzianych w Regulaminie)
Komunikacja (zapytania, formularze) e-mail/telefon, treść zgłoszenia b/f do 12 miesięcy od zamknięcia sprawy, a gdy dot. roszczeń – do ich przedawnienia
Marketing (newsletter, zgody) e-mail, log subskrypcji, preferencje a/f do wycofania zgody lub sprzeciwu (log dowodu zgody przechowujemy przez okres niezbędny do wykazania zgodności)
Analityka/statystyka dane zagregowane, pseudonimizowane f / a (jeśli z cookies) zgodnie z czasem życia cookies/SDK (szczegóły w Polityce cookies); dane zagregowane – bez identyfikacji – dłużej
Bezpieczeństwo/antyfraud, logi serwera IP, nagłówki, znaczniki czasu f do 12 miesięcy, a przy incydentach – do zakończenia postępowania
Doch. i obrona roszczeń niezbędne materiały z danej sprawy f do prawomocnego zakończenia sprawy + przedawnienie
  1. Po upływie wskazanych okresów usuwamy dane lub anonimizujemy je w sposób nieodwracalny.
  2. Okresy dotyczące cookies/SDK, list partnerów i czasy życia plików określa Polityka cookies.

9. Prawa osób, których dane dotyczą

  1. Prawo dostępu (art. 15 RODO) – możesz uzyskać potwierdzenie, czy przetwarzamy Twoje dane, oraz kopię danych wraz z informacjami m.in. o celach, kategoriach, odbiorcach i okresach.
  2. Prawo sprostowania (art. 16) – możesz żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
  3. Prawo usunięcia („bycia zapomnianym”) (art. 17) – możesz żądać usunięcia danych, gdy m.in. nie są już potrzebne, cofnąłeś zgodę i brak innej podstawy, wniosłeś skuteczny sprzeciw, dane były przetwarzane niezgodnie z prawem. (Nie usuniemy danych, które musimy zachować z mocy prawa – np. dokumenty księgowe).
  4. Prawo ograniczenia przetwarzania (art. 18) – np. gdy kwestionujesz prawidłowość danych lub sprzeciwiasz się ich usunięciu.
  5. Prawo przenoszenia (art. 20) – dane przetwarzane na podstawie zgody lub umowy i w sposób zautomatyzowany możesz otrzymać w formacie nadającym się do odczytu maszynowego lub żądać przesłania ich innemu administratorowi (technicznie możliwe).
  6. Prawo sprzeciwu (art. 21) – wobec przetwarzania opartego na naszym uzasadnionym interesie (lit. f). Sprzeciw na marketing bezpośredni (w tym profilowanie marketingowe) jest skuteczny zawsze – zaprzestaniemy takiego przetwarzania.
  7. Prawo wycofania zgody (art. 7 ust. 3) – w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania sprzed wycofania; link „wypisz się” w newsletterze lub kontakt e-mail.
  8. Prawo do informacji o zautomatyzowanym podejmowaniu decyzji (art. 22) – jeśli stosujemy decyzje wywołujące wobec Ciebie skutki prawne wyłącznie automatycznie, masz prawo do interwencji człowieka, wyrażenia własnego stanowiska i zakwestionowania decyzji. (Aktualnie nie podejmujemy takich decyzji – szczegóły w pkt 10).
  9. Prawo wniesienia skargi do organu nadzorczego – Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Jak skorzystać z praw?

  • Napisz do nas na kontakt@skinheaven.pl (w tytule dopisek „RODO”). Możemy poprosić o dodatkowe informacje potrzebne do weryfikacji tożsamości.
  • Odpowiadamy nie później niż w ciągu 1 miesiąca od otrzymania żądania; w przypadkach skomplikowanych możemy wydłużyć ten termin o kolejne 2 miesiące, informując Cię o przyczynach i planowanym terminie.
  • Co do zasady realizujemy prawa bez opłat; jeśli żądania są oczywiście nadmierne lub powtarzalne, możemy pobrać rozsądną opłatę lub odmówić, uzasadniając decyzję (zgodnie z art. 12 ust. 5 RODO).

10. Zautomatyzowane decyzje i profilowanie (w tym spersonalizowane ceny)

  1. Brak decyzji wyłącznie automatycznych ze skutkiem prawnym.
    Aktualnie nie podejmujemy wobec Ciebie decyzji wywołujących skutki prawne lub w podobny sposób istotnie na Ciebie wpływających wyłącznie w oparciu o zautomatyzowane przetwarzanie w rozumieniu art. 22 RODO.
  2. Co rozumiemy przez profilowanie i jak je stosujemy.
    Możemy stosować profilowanie marketingowe/produktowe w celach:
    1. podstawowej personalizacji treści w Sklepie (np. rekomendacje produktowe),
    2. segmentacji newslettera (np. wysyłka różnych treści według kategorii zainteresowań),
    3. analityki i pomiaru skuteczności komunikacji,
    4. zapobiegania nadużyciom (wzorce zachowań transakcyjnych).
    Profilowanie opiera się na danych takich jak: historia zakupów i zwrotów, przeglądane kategorie/produkty (jeśli wyrazisz zgodę na odpowiednie cookies/SDK), podstawowe dane konta i zgody.
  3. Podstawy prawne.
    1. Uzasadniony interes (art. 6 ust. 1 lit. f RODO) – podstawowa personalizacja treści i analityka na danych wewnętrznych nieingerujących istotnie w Twoje prawa.
    2. Zgoda (art. 6 ust. 1 lit. a RODO) – wszelkie działania oparte na cookies/identyfikatorach reklamowych (analityczne, marketingowe, remarketing). Zgodę możesz w każdej chwili odwołać w ustawieniach banera cookies.
    3. Marketing bezpośredni – w zakresie dozwolonym prawem możemy opierać go na naszym uzasadnionym interesie; w każdym momencie przysługuje sprzeciw (patrz pkt 9).
  4. Spersonalizowane ceny/oferty.
    Jeżeli w przyszłości zastosujemy spersonalizowane ceny (indywidualnie dostosowane na podstawie Twoich danych lub zachowań):
    1. wyraźnie oznaczymy to przy cenie („cena spersonalizowana”),
    2. poinformujemy Cię o użytych kryteriach w sposób zrozumiały,
    3. oprzemy działanie na właściwej podstawie prawnej (co do zasady zgoda dla komponentu cookies/identyfikatorów),
    4. zapewnimy możliwość sprzeciwu/wycofania zgody i prezentacji ceny bez personalizacji.
  5. Jakie masz prawa.
    Wobec profilowania możesz: wnieść sprzeciw (gdy podstawą jest uzasadniony interes), cofnąć zgodę (gdy podstawą jest zgoda), a także żądać interwencji człowieka, przedstawienia swojego stanowiska i zakwestionowania wyniku, gdyby kiedykolwiek doszło do decyzji w pełni zautomatyzowanej (obecnie nie stosujemy).
  6. Bez kategorii wrażliwych.
    Nie tworzymy profili na podstawie szczególnych kategorii danych (np. zdrowie, poglądy, pochodzenie). Nie łączymy danych zewnętrznych bez podstawy prawnej i Twojej wiedzy.

11. Obowiązek lub dobrowolność podania danych

  1. Dane niezbędne do zawarcia/wykonania umowy (obowiązkowe):
    • Imię i nazwisko, adres dostawy, e-mail (potwierdzenia/komunikacja), wybrana metoda dostawy i płatności;
    • Telefon – wymagany przez część przewoźników do powiadomień/awizacji;
    • Dane do faktury (nazwa firmy, NIP, adres) – jeśli chcesz otrzymać fakturę.
    Konsekwencja braku podania: brak możliwości złożenia i realizacji zamówienia.
  2. Dane wymagane przepisami (obowiązkowe prawnie):
    • dane dokumentów sprzedaży (paragon/faktura, w tym NIP przy fakturze),
    • dane niezbędne do realizacji praw konsumenckich (np. rozliczenia odstąpienia/reklamacji).
    Konsekwencja braku podania: brak możliwości spełnienia obowiązków prawnych (np. wystawienia dokumentu).
  3. Dane dobrowolne (brak obowiązku):
    • Konto – założenie jest dobrowolne; możesz kupować jako „gość”,
    • Newsletter/marketing – dobrowolny; zgody możesz w każdej chwili odwołać,
    • dodatkowe informacje dla kuriera (np. uwagi do doręczenia) – dobrowolne,
    • dodatkowe pola w formularzach (jeśli oznaczone jako opcjonalne).
    Konsekwencja braku podania: brak wpływu na możliwość zakupu, ale może ograniczyć dodatkowe funkcje (np. brak newslettera, trudniejsza komunikacja doręczeniowa).
  4. Cookies i podobne technologie:
    • Niezbędne cookies – wymagalne do działania serwisu (koszyk, sesja, bezpieczeństwo); brak możliwości ich wyłączenia w ramach usługi, jeśli chcesz korzystać ze Sklepu,
    • Analityczne/marketingowe – dobrowolne, uruchamiane wyłącznie po wyrażeniu zgody w banerze; możesz je odmówić lub w każdej chwili wycofać (link „Zmień ustawienia cookies” w stopce).
    Konsekwencja braku zgody: brak personalizacji, statystyk i reklam – Sklep działa, ale z ograniczoną funkcjonalnością marketingowo-analityczną.
  5. Kontakt i wnioski RODO:
    Podanie danych w korespondencji/wnioskach RODO jest dobrowolne, ale może być konieczne do weryfikacji tożsamości i udzielenia odpowiedzi. W razie wątpliwości możemy poprosić o dodatkowe informacje wyłącznie w zakresie niezbędnym do potwierdzenia, że rozpatrujemy wniosek właściwej osoby.

12. Bezpieczeństwo danych (środki techniczne i organizacyjne)

  1. Przetwarzamy dane zgodnie z zasadami RODO, w szczególności z art. 5 ust. 1 lit. f (integralność i poufność) oraz art. 32 (bezpieczeństwo przetwarzania). Stosujemy odpowiednie środki techniczne i organizacyjne, adekwatne do ryzyka, obejmujące m.in.:
    1. szyfrowanie transmisji (TLS) oraz – gdzie to uzasadnione – szyfrowanie/przygotowanie danych do pseudonimizacji,
    2. kontrolę dostępu (upoważnienia, zasada „need-to-know”, role), silne hasła i – gdzie dostępne – uwierzytelnianie wieloskładnikowe,
    3. rejestrowanie i przegląd wybranych operacji administracyjnych,
    4. aktualizacje i łatki oprogramowania, monitorowanie podatności,
    5. kopie zapasowe i procedury odtworzeniowe (testowane w uzasadnionych odstępach),
    6. minimalizację danych i privacy by design/by default w naszych procesach,
    7. umowy powierzenia z podmiotami przetwarzającymi (art. 28 RODO) i weryfikację ich środków bezpieczeństwa,
    8. szkolenia personelu, nadawanie/ewidencjonowanie upoważnień i obowiązek poufności,
    9. bezpieczne usuwanie/anonimizację danych po upływie okresów retencji.
  2. Hasła do kont są przechowywane w postaci kryptograficznych skrótów (nie w formie jawnej).
  3. Ocena ryzyka i DPIA. Dla procesów mogących rodzić podwyższone ryzyko dla praw i wolności osób dokonujemy oceny ryzyka, a gdy to wymagane – oceny skutków dla ochrony danych (DPIA).
  4. Naruszenia ochrony danych. W przypadku stwierdzenia naruszenia ochrony danych osobowych:
    1. dokonujemy oceny ryzyka dla praw i wolności osób,
    2. jeżeli jest to wymagane, zawiadamiamy Prezesa UODO nie później niż w 72 godziny od stwierdzenia naruszenia,
    3. jeżeli naruszenie może powodować wysokie ryzyko, poinformujemy osobę, której dane dotyczą, w sposób przejrzysty i terminowy, przekazując zalecenia ograniczające potencjalne skutki.
  5. Miejsca przetwarzania i transfery. Co do zasady przetwarzamy dane w EOG; ewentualne transfery poza EOG i ich zabezpieczenia opisuje pkt 7.

13. Media społecznościowe i linki zewnętrzne

  1. Nasze profile. Możemy prowadzić profile/fanpage w serwisach społecznościowych (np. Facebook/Instagram, YouTube, TikTok). Dane przetwarzane w związku z obserwowaniem naszych profili, interakcjami (polubienia, komentarze, wiadomości prywatne) wykorzystujemy w celu prowadzenia społeczności, odpowiadania na wiadomości oraz marketingu własnych produktów – podstawą jest nasz uzasadniony interes (art. 6 ust. 1 lit. f RODO).
  2. Współadministracja (Page Insights). W zakresie statystyk odwiedzin naszych stron na Facebooku/Instagramie (tzw. Insights) działamy jako współadministrator z operatorem platformy (Meta Platforms Ireland). Zakres odpowiedzialności jest określony przez regulaminy/ustalenia platformy. Podstawowe informacje o przetwarzaniu przez daną platformę znajdziesz w jej polityce prywatności.
  3. Wiadomości prywatne i komentarze.
    1. Komunikacja prowadzona przez wbudowane komunikatory mediów społecznościowych służy obsłudze zapytań; nie jest kanałem do składania oświadczeń woli (np. odstąpienia). W sprawach formalnych używaj proszę kontakt@skinheaven.pl lub formularzy w Sklepie.
    2. Komentarze/publiczne treści są widoczne dla innych użytkowników danej platformy. Nie publikuj danych wrażliwych ani informacji, których nie chcesz upubliczniać. Zastrzegamy prawo do moderacji treści naruszających prawo/dobre obyczaje.
  4. Wtyczki i piksele społecznościowe. Na naszych stronach mogą działać wtyczki/piksele (np. przyciski „Lubię to”, piksel remarketingowy). Mechanizmy te opisuje Polityka cookies. Niezbędne zgody na uruchomienie narzędzi marketingowych/analitycznych uzyskujemy przez baner zgód (CMP); możesz je w każdej chwili odmówić lub wycofać.
  5. Transfery i podstawy prawne po stronie platform. Serwisy społecznościowe działają jako odrębni administratorzy Twoich danych. Mogą przetwarzać je poza EOG – podstawy takich transferów i szczegóły przetwarzania opisują polityki tych serwisów. Odniesienia do transferów po naszej stronie znajdziesz w pkt 7.
  6. Okresy przechowywania.
    • Treści/wiadomości istotne dla obsługi sprawy (np. reklamacja) archiwizujemy do 12 miesięcy od zakończenia korespondencji lub dłużej – jeżeli wynika to z konieczności dochodzenia/obrony roszczeń.
    • Materiały marketingowe/statystyczne przetwarzamy zgodnie z okresami wskazanymi w pkt 8 oraz zasadami platform.
  7. Linki zewnętrzne. Nasz serwis może zawierać linki do stron podmiotów trzecich (np. operatorzy płatności, przewoźnicy, media społecznościowe). Nie ponosimy odpowiedzialności za zasady prywatności tych serwisów. Zapoznaj się z odpowiednimi politykami prywatności po przejściu na stronę zewnętrzną.

14. Cookies i podobne technologie

  1. Na stronach skinheaven.pl korzystamy z plików cookies oraz podobnych technologii (np. local storage, piksele, tagi), które mogą zapisywać informacje na Twoim urządzeniu lub uzyskiwać do nich dostęp.
  2. Szczegółowe zasady (rodzaje plików, cele, czasy życia, lista dostawców/partnerów, podstawy prawne oraz sposób zarządzania zgodą) opisuje Polityka cookies dostępna w osobnej zakładce serwisu.
  3. Cookies niezbędne – służą zapewnieniu działania serwisu (np. koszyk, logowanie, bezpieczeństwo) i są stosowane bez zgody użytkownika, zgodnie z przepisami.
  4. Cookies pozostałe (analityczne/statystyczne, funkcjonalne, marketingowe/remarketing) uruchamiamy wyłącznie na podstawie Twojej zgody, której udzielasz za pomocą banera zgód (CMP). Zgodę możesz odmówić lub w każdym momencie wycofać – poprzez link „Zmień ustawienia cookies” w stopce serwisu lub w banerze.
  5. Ustawieniami ciasteczek możesz też zarządzać z poziomu przeglądarki/urządzenia. Wyłączenie cookies niezbędnych może ograniczyć korzystanie z niektórych funkcji Sklepu.
  6. Informacje o ewentualnych transferach danych poza EOG związanych z narzędziami opartymi na cookies/SDK znajdują się w Polityce cookies oraz w pkt 7 niniejszej Polityki.

15. Zmiany Polityki i wersjonowanie

  1. Możemy aktualizować niniejszą Politykę w szczególności w razie: zmian przepisów prawa lub wytycznych organów nadzorczych, wdrożeń/zmian technologicznych i funkcjonalnych w serwisie, dodania/zmiany narzędzi analitycznych lub marketingowych, zmian naszych danych identyfikacyjnych czy procesów przetwarzania.
  2. Każda wersja Polityki będzie oznaczona datą aktualizacji na górze dokumentu i udostępniona w sposób umożliwiający pozyskanie, utrwalenie i odtwarzanie (np. HTML/PDF). W razie istotnych zmian wpływających na Twoje prawa lub zakres przetwarzania, poinformujemy Cię w widocznym miejscu w serwisie, a użytkowników posiadających Konto lub zapisanych na newsletter – dodatkowo e-mailem (trwały nośnik).
  3. Jeżeli dana zmiana wymaga nowej zgody (np. uruchomienie nowej kategorii cookies marketingowych), poprosimy Cię o jej wyrażenie w banerze zgód (CMP) przed rozpoczęciem takiego przetwarzania.
  4. Archiwum poprzednich wersji Polityki udostępniamy na życzenie lub w osobnej zakładce z wersjonowaniem.

16. Kontakt do Administratora

  1. Administratorem danych jest B2B Trading Platform Adrian Rozmus (SkinHeaven), ul. Ostrogórska 9, 41-200 Sosnowiec, e-mail: kontakt@skinheaven.pl.
  2. W sprawach ochrony danych (pytania, realizacja praw z RODO) skontaktuj się z nami e-mailem: kontakt@skinheaven.pl. W tytule wiadomości dodaj proszę dopisek „RODO” i – jeśli dotyczy – podaj numer zamówienia lub adres e-mail konta.
  3. Administrator nie wyznaczył IOD (inspektora ochrony danych). Wszelką korespondencję kieruj bezpośrednio do Administratora (adresy jak wyżej).
  4. Na zgłoszenia odpowiadamy nie później niż w 1 miesiąc; w wypadkach skomplikowanych termin może zostać wydłużony maksymalnie o 2 miesiące — poinformujemy o tym z wyjaśnieniem przyczyn.

SkinHeaven™
ul. Ostrogórska 9
41-200 Sosnowiec
kontakt@skinheaven.pl

NAGRODY

Laur Konsumenta
Dobra Marka 2022
0