Polityka prywatności sklepu Equilibrium Rituals

Obowiązuje od: 22.08.2025 r.

1) Administrator i dane kontaktowe

1. Administratorem danych osobowych jest Equilibrium Rituals Iwona Kapuścińska, NIP 7773444033, z siedzibą: Kowalskie 27, 62-007 Biskupice („Administrator”, „my”).
   
   
2. Kontakt do spraw ochrony danych: care@equilibriumrituals.com. Administrator nie wyznaczył IOD.
   
   

2) Kategorie danych, cele i podstawy prawne

1. Dane przetwarzane są w następujących celach oraz na następujących podstawach prawnych (art. 6 ust. 1 RODO):
   a) zawarcie i wykonanie umowy sprzedaży (obsługa zamówienia, płatności, dostawa, obsługa konta) – lit. b;
   b) realizacja obowiązków prawnych (rachunkowych, podatkowych, rękojmianych) – lit. c;
   c) obsługa reklamacji i roszczeń – lit. b i c;
   d) komunikacja bieżąca (formularze kontaktowe) – lit. f (uzasadniony interes Administratora);
   e) analityka i statystyka korzystania ze sklepu (z wykorzystaniem narzędzi opisanych w sekcji 5 i 6; w zakresie wymagającym cookies – wyłącznie po uzyskaniu zgody) – lit. a lub f (w trybach niewymagających cookies i po anonimizacji/IP-masking);
   f) marketing bezpośredni i remarketing (w tym reklama dopasowana) – lit. a (zgoda na cookies marketingowe i narzędzia reklamowe) oraz lit. f (uzasadniony interes – np. własny marketing nieoparty o cookies);
   g) zapewnienie bezpieczeństwa i integralności usług (logi techniczne, przeciwdziałanie nadużyciom) – lit. f;
   h) ustalenie, dochodzenie lub obrona roszczeń – lit. f.
   
   
2. Kategorie danych obejmują w szczególności: identyfikacyjne, kontaktowe, adresowe, dane transakcyjne, dane płatnicze (tokeny/identyfikatory przekazywane operatorowi płatności), dane dot. aktywności w serwisie i identyfikatory urządzeń/plików cookies.
   
   

3) Źródła danych

Co do zasady pozyskujemy dane bezpośrednio od osoby, której dane dotyczą. Dodatkowo możemy otrzymywać informacje zwrotne od operatorów płatności (status płatności) i przewoźników (status doręczenia).

4) Okresy przechowywania

1. Dokumenty księgowe – 5 lat (od końca roku podatkowego).
   
   
2. Dane transakcyjne i reklamacyjne – do 6 lat (przedawnienie roszczeń).
   
   
3. Dane konta – do czasu usunięcia konta.
   
   
4. Dane marketingowe/newsletter – do czasu wycofania zgody; wpisy dowodowe dot. zgód mogą być przechowywane dłużej (do 6 lat).
   
   
5. Logi techniczne – co do zasady do 12 miesięcy, chyba że dłuższy okres jest niezbędny dla bezpieczeństwa lub dochodzenia roszczeń.
   
   

5) Odbiorcy danych (kategorie i przykładowe narzędzia)

1. W związku z przetwarzaniem danych odbiorcami danych mogą być następujące kategorie podmiotów działających jako podmioty przetwarzające (procesorzy) lub – w wybranych zakresach – jako niezależni administratorzy:
   
   
   1. Dostawcy hostingu/IT i utrzymania sklepu, w tym oprogramowania sklepowego. Oprogramowanie sklepowe nie stanowi odrębnego odbiorcy, chyba że korzystamy z usług powiązanych podmiotów trzecich (np. rozszerzeń chmurowych lub wtyczek) – wówczas mogą być oni odrębnymi odbiorcami danych.
      
      
   2. Operatorzy płatności – w zakresie obsługi płatności elektronicznych i rozliczeń.
      
      
   3. Firmy kurierskie/logistyczne – w zakresie doręczeń.
      
      
   4. Biuro rachunkowe i doradcy – w zakresie rozliczeń księgowo-podatkowych i obsługi prawnej.
      
      
   5. Systemy newsletterowe i CRM marketingowy – w zakresie wysyłki informacji handlowych i segmentacji (po uzyskaniu zgód).
      
      
   6. Narzędzia analityczne i tag-management, w szczególności:
      a) Google Analytics 4 (GA4) – zasadniczo jako podmiot przetwarzający (na podstawie Google Ads Data Processing Terms);
      b) Google Tag Manager (GTM) – narzędzie do zarządzania znacznikami; co do zasady nie gromadzi samodzielnie danych osobowych poza niezbędnymi danymi technicznymi;
      c) Google Search Console (GSC) – narzędzie monitoringu widoczności serwisu; przetwarzanie danych odbywa się głównie po stronie Google jako niezależnego administratora;
      d) Microsoft Clarity – analiza zachowań użytkowników (mapy kliknięć/sesje); co do zasady jako podmiot przetwarzający (z włączonym maskowaniem pól i treści wrażliwych);
      
      
   7. Narzędzia reklamowe, w szczególności Google Ads, Meta Ads, TikTok Ads, Microsoft Advertising (w tym tag remarketingowy, konwersje) – w zakresie danych zbieranych przez technologie reklamowe mogą działać jako niezależny administrator.
      
      
2. Zakres przekazywanych danych jest ograniczony do niezbędnego minimum i wynika z funkcji danego narzędzia (np. identyfikatory cookies/ID reklamowe, adres IP, dane o zdarzeniach w serwisie, dane niezbędne do realizacji dostawy i płatności).
   
   
3. Zastosowanie narzędzi analitycznych/marketingowych wymaga uprzedniego uzyskania zgody na odpowiednie kategorie cookies (zob. Polityka cookies). Brak zgody skutkuje zablokowaniem działania odpowiednich tagów.
   
   

6) Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

1. W związku z korzystaniem z usług niezbędnych do realizacji zamówień, narzędzi analitycznych i reklamowych dane mogą być przekazywane do państw trzecich.
   
   
2. Przekazanie następuje z wykorzystaniem odpowiednich instrumentów transferowych przewidzianych w RODO, w tym:
   a) decyzji stwierdzającej odpowiedni poziom ochrony (np. EU–US Data Privacy Framework w stosunku do certyfikowanych podmiotów), oraz/lub
   b) standardowych klauzul umownych (SCC) przyjętych przez Komisję Europejską – wraz z ewentualnymi dodatkowymi środkami ochrony (np. pseudonimizacja, szyfrowanie w tranzycie).
   
   
3. Informacje na temat statusu certyfikacji DPF danego dostawcy oraz kopia postanowień SCC są dostępne u Administratora na żądanie.
   
   
4. W przypadku wdrożenia innych narzędzi skutkujących transferem poza EOG (np. wybrany system mailingowy hostowany w USA lub z podwykonawcami w USA) Administrator zapewni stosowanie jednego z ww. instrumentów transferowych i zaktualizuje niniejszą sekcję.
   
   

7) Prawa osób, których dane dotyczą

Osobie, której dane dotyczą, przysługuje prawo: dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu (w tym wobec marketingu bezpośredniego), a także wycofania zgody w każdym czasie (bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem). Skargę można wnieść do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa).

8) Zautomatyzowane podejmowanie decyzji / profilowanie

Możemy prowadzić profilowanie marketingowe (np. segmentację newslettera, grupy remarketingowe) w oparciu o udzielone zgody marketingowe. Profilowanie nie wywołuje skutków prawnych ani w podobny sposób istotnie na Ciebie nie wpływa.

9) Obowiązek podania danych

Podanie danych w celu zawarcia umowy (zakupów) jest warunkiem jej zawarcia; brak podania uniemożliwia realizację zamówienia. Podanie danych do celów marketingowych jest dobrowolne.

10) Bezpieczeństwo przetwarzania

Administrator stosuje środki techniczne i organizacyjne odpowiednie do ryzyka, w tym m.in. szyfrowanie transmisji (TLS), kontrolę dostępu, rejestrowanie operacji, kopie zapasowe, minimalizację danych, konfigurację narzędzi analitycznych z IP-masking i maskowaniem pól w Clarity.