POSTANOWIENIA OGÓLNE
1.1. Niniejsza Polityka prywatności określa zasady przetwarzania danych osobowych oraz korzystania z plików cookies i podobnych technologii w związku z korzystaniem ze sklepu internetowego („Sklep”).
1.2. Administratorem danych osobowych jest: Tomasz Cyrbus prowadzący działalność gospodarczą pod firmą PAPS Tomasz Cyrbus z siedzibą w Gdyni (81-198) przy ul. Ketlinga 12H/1, wpisany do CEIDG, NIP: 586-194-51-18, REGON: 221080433 („Administrator”, „Sprzedawca”).
1.3. Kontakt w sprawach ochrony danych: zamowienia@mypaps.eu. Administrator nie wyznaczył Inspektora Ochrony Danych.
1.4. Podstawowe akty prawne: rozporządzenie (UE) 2016/679 (RODO), ustawa o ochronie danych osobowych, ustawa o świadczeniu usług drogą elektroniczną, przepisy dotyczące komunikacji elektronicznej (w tym regulacje dotyczące cookies), przepisy prawa podatkowego, rachunkowego i konsumenckiego.
ZAKRES I CELE PRZETWARZANIA DANYCH
2.1. Zakres danych. W zależności od czynności, Administrator może przetwarzać następujące kategorie danych:
a) dane identyfikacyjne: imię, nazwisko, firma (dla B2B), NIP, REGON, nr KRS/CEIDG, stanowisko;
b) dane kontaktowe: adres e-mail, telefon, adres dostawy/korespondencyjny, adres siedziby;
c) dane transakcyjne: nr zamówienia, przedmiot i wartość zamówienia, wybrany sposób płatności i dostawy, status płatności, numer przesyłki;
d) dane rejestracyjne: login, hasło (zaszyfrowane), historia zakupów, ustawienia konta;
e) dane komunikacyjne: treść korespondencji, reklamacji i zwrotów, nagrania rozmów tylko gdy wyraźnie poinformowano o nagrywaniu;
f) dane techniczne i marketingowe: adres IP, identyfikatory plików cookies/urządzenia, logi serwera, dane o aktywności w Sklepie, preferencje marketingowe, zgody;
g) dane płatnicze w zakresie nienaruszającym tajemnicy płatniczej: tokeny płatnicze, maskowane numery kart, identyfikatory transakcji – pełne dane kart nie są przetwarzane przez Administratora.
2.2. Cele i podstawy prawne:
a) zawarcie i wykonanie umowy sprzedaży/świadczenia usług drogą elektroniczną (obsługa konta, zamówienia, płatności, dostawy, reklamacji) – art. 6 ust. 1 lit. b RODO;
b) wypełnienie obowiązków prawnych (rachunkowość, podatki, rękojmia, odpowiedzi na żądania organów) – art. 6 ust. 1 lit. c RODO;
c) dochodzenie lub obrona roszczeń, zapewnienie bezpieczeństwa usług, zapobieganie nadużyciom (w tym weryfikacja płatności i przeciwdziałanie oszustwom), prowadzenie statystyk i analityki, wewnętrzna administracja – art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes);
d) marketing bezpośredni własnych produktów/usług (w tym profilowanie marketingowe w granicach prawa) – art. 6 ust. 1 lit. f RODO; komunikacja marketingowa e-mail/SMS/telefon wymaga dodatkowych zgód na podstawie właściwych przepisów;
e) przesyłanie newslettera i innych treści na podstawie zgody – art. 6 ust. 1 lit. a RODO;
f) publikacja opinii/recenzji za zgodą – art. 6 ust. 1 lit. a RODO.
2.3. Źródła danych. Dane pozyskujemy bezpośrednio od Użytkownika/Klienta, a także – gdy to konieczne do realizacji umowy lub zgodne z prawem – od partnerów płatniczych, firm kurierskich, operatorów systemów analitycznych/marketingowych oraz z publicznie dostępnych rejestrów (np. CEIDG, KRS) w relacjach B2B.
PŁATNOŚCI ELEKTRONICZNE I WERYFIKACJA ANTYFRAUDOWA
3.1. Sklep może udostępniać płatności online, w tym Paynow (operator: mBank S.A.) oraz inne bramki płatnicze wybrane przez Klienta (np. szybkie przelewy, BLIK, karty).
3.2. W celu realizacji płatności, niezbędne dane transakcyjne i identyfikacyjne są przekazywane do odpowiedniego operatora płatności wskazanego podczas składania zamówienia. Operator płatności działa co do zasady jako odrębny administrator danych i przetwarza dane zgodnie z własną polityką prywatności, a także obowiązkami wynikającymi z przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz wymogami organizacji płatniczych.
3.3. Operatorzy płatności mogą stosować mechanizmy automatycznych ocen ryzyka (antyfraud), które mogą wpływać na dostępność niektórych metod płatności. Administrator nie podejmuje decyzji wywołujących wobec Klienta skutki prawne wyłącznie w sposób zautomatyzowany – poza czynnościami realizowanymi przez niezależnych operatorów płatności w ramach ich obowiązków prawnych i regulacyjnych.
3.4. Zakres przekazywanych danych obejmuje m.in.: dane identyfikacyjne i kontaktowe, informacje o zamówieniu i kwocie, adres IP/urządzenia, identyfikator transakcji, a w razie potrzeby – dane wymagane do weryfikacji zgodnie z wymogami operatora.
ODBIORCY DANYCH
4.1. Odbiorcami danych mogą być:
a) operatorzy płatności (w tym mBank S.A. – Paynow oraz inni operatorzy wybrani w Sklepie);
b) firmy kurierskie i logistyczne realizujące dostawę;
c) dostawcy usług IT, hostingu, chmury, poczty e-mail/SMS, systemów CRM, księgowości i rozliczeń;
d) podmioty świadczące wsparcie prawne, podatkowe, windykacyjne, audytowe;
e) dostawcy narzędzi analitycznych i reklamowych (np. narzędzia statystyczne, systemy remarketingu) – wyłącznie w zakresie niezbędnym i zgodnie z prawem;
f) organy publiczne i uprawnione instytucje – w zakresie wynikającym z przepisów.
4.2. W relacjach B2B dane przedstawicieli/pełnomocników mogą być udostępniane kontrahentom w zakresie niezbędnym do realizacji umowy.
PRZEKAZYWANIE DANYCH POZA EOG
5.1. Co do zasady dane przetwarzane są na terenie Europejskiego Obszaru Gospodarczego. Jeśli w związku z korzystaniem z określonych narzędzi (np. analitycznych lub reklamowych) dojdzie do transferu poza EOG, odbywa się on wyłącznie, gdy zapewnione są odpowiednie zabezpieczenia, w szczególności na podstawie decyzji stwierdzającej odpowiedni poziom ochrony lub standardowych klauzul umownych Komisji Europejskiej, ewentualnie z dodatkowymi środkami bezpieczeństwa.
OKRES PRZECHOWYWANIA DANYCH
6.1. Dane związane z umową i zamówieniami – przez czas niezbędny do realizacji umowy, a następnie do upływu terminów przedawnienia roszczeń oraz przez okres wymagany przepisami podatkowymi i rachunkowymi (dokumenty księgowe co do zasady 5 lat licząc od końca roku, w którym upłynął termin płatności podatku, co w praktyce może oznaczać do 6 lat).
6.2. Konto Klienta – do czasu jego usunięcia lub dezaktywacji.
6.3. Reklamacje i obsługa posprzedażowa – przez okres niezbędny do obsługi zgłoszenia oraz do upływu terminów odpowiedzialności ustawowej.
6.4. Marketing (na podstawie uzasadnionego interesu) – do czasu wniesienia sprzeciwu; marketing na podstawie zgody – do czasu jej wycofania.
6.5. Dane techniczne (logi, cookies) – zgodnie z cyklem życia plików cookies lub wytycznymi bezpieczeństwa i potrzebami dowodowymi.
PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
7.1. Przysługują Państwu prawa: dostępu do danych, sprostowania, usunięcia (jeśli brak podstaw prawnych do dalszego przetwarzania), ograniczenia, przenoszenia, sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (w tym sprzeciwu wobec marketingu bezpośredniego), cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania przed cofnięciem).
7.2. Realizacja praw: poprzez kontakt na adres e-mail: zamowienia@mypaps.eu.
7.3. Mają Państwo prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
DOBROWOLNOŚĆ PODANIA DANYCH
8.1. Podanie danych jest dobrowolne, lecz niezbędne do zawarcia i realizacji umowy, założenia konta, obsługi płatności, dostawy, rozpatrzenia reklamacji lub otrzymywania newslettera (w zakresie odpowiednio do wskazanych celów). Brak podania danych może uniemożliwić korzystanie z niektórych funkcjonalności Sklepu.
ZASADY BEZPIECZEŃSTWA
9.1. Administrator stosuje środki techniczne i organizacyjne adekwatne do ryzyk, w tym m.in. szyfrowanie transmisji (TLS/SSL), pseudonimizację lub szyfrowanie haseł, regularne aktualizacje systemów, kontrolę dostępu i minimalizację zakresu danych.
9.2. Dane kart płatniczych nie są przechowywane przez Administratora – dane te są przetwarzane przez operatorów płatności zgodnie z wymogami bezpieczeństwa branżowego (np. PCI DSS).
PROFILOWANIE I ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI
10.1. Sklep może wykorzystywać podstawowe profilowanie marketingowe polegające na analizie dotychczasowych aktywności (np. historia zakupów, przeglądane produkty) w celu dopasowania komunikacji marketingowej. Podstawą prawną jest uzasadniony interes Administratora lub zgoda – w zależności od kanału komunikacji.
10.2. Nie są podejmowane wobec Klientów decyzje wywołujące skutki prawne wyłącznie w oparciu o zautomatyzowane przetwarzanie przez Administratora. Niezależnie, operatorzy płatności mogą stosować automatyczne oceny ryzyka transakcji na własnych podstawach prawnych.
KONTO W SKLEPIE, ZAMÓWIENIA, REKLAMACJE I ZWROTY
11.1. Założenie konta w Sklepie jest dobrowolne; dane przetwarzane są w celu świadczenia usługi drogą elektroniczną.
11.2. Dane związane z zamówieniami przetwarzane są w celu zawarcia i wykonania umowy, rozliczeń, dostawy, obsługi reklamacji i zwrotów.
11.3. W razie zwrotu środków lub odstąpienia od umowy dane są przetwarzane w celu dokonania rozliczeń oraz spełnienia obowiązków ustawowych.
NEWSLETTER I KOMUNIKACJE MARKETINGOWE
12.1. Newsletter wysyłany jest wyłącznie po wyrażeniu zgody. Zgodę można wycofać w każdym czasie, m.in. poprzez link rezygnacji w wiadomości lub kontakt z Administratorem.
12.2. Komunikacja telefoniczna/SMS oraz e-mail marketing mogą wymagać odrębnych zgód wymaganych przez właściwe przepisy – ich brak uniemożliwi wysyłkę takich treści tym kanałem.
MEDIA SPOŁECZNOŚCIOWE
13.1. Administrator prowadzi profile w serwisach społecznościowych. Dane Użytkownika są przetwarzane w związku z obserwowaniem profilu, interakcjami, wysyłką wiadomości – na zasadach określonych przez dany serwis i polityki tych serwisów, które są odrębnymi administratorami.
PLIKI COOKIES I PODOBNE TECHNOLOGIE
14.1. Sklep wykorzystuje pliki cookies i podobne technologie lokalnego przechowywania, piksele i znaczniki (łącznie „cookies”) w następujących celach:
a) niezbędne – zapewnienie działania Sklepu, logowania, bezpieczeństwa, obsługi koszyka i zamówień;
b) preferencje i funkcjonalne – zapamiętywanie ustawień Użytkownika;
c) analityczne i statystyczne – pomiar ruchu, badanie sposobu korzystania ze Sklepu, poprawa jakości usług;
d) marketingowe – personalizacja treści i reklam, remarketing.
14.2. Podstawa prawna: niezbędne cookies – uzasadniony interes Administratora; pozostałe – zgoda Użytkownika wyrażona poprzez odpowiednie ustawienia przeglądarki, baner lub panel zarządzania zgodami.
14.3. Zarządzanie cookies: Użytkownik może w każdej chwili wycofać zgodę lub zmienić ustawienia plików cookies w swojej przeglądarce lub w panelu zgód, a także usunąć zapisane pliki cookies. Ograniczenie stosowania cookies może wpłynąć na niektóre funkcjonalności Sklepu.
14.4. Narzędzia zewnętrzne. Sklep może korzystać z narzędzi analitycznych i reklamowych podmiotów trzecich (np. narzędzia statystyczne, remarketing), co może wiązać się z przekazywaniem plików cookies tym podmiotom i – wyjątkowo – z transferem danych poza EOG na zasadach opisanych w pkt 5.
RELACJE B2B I DANE PRZEDSTAWICIELI
15.1. W przypadku zawierania umów B2B Administrator przetwarza dane przedstawicieli, pełnomocników i osób kontaktowych kontrahenta w zakresie niezbędnym do negocjacji, zawarcia i wykonania umowy, na podstawie art. 6 ust. 1 lit. f RODO (uzasadniony interes – komunikacja i realizacja współpracy).
15.2. Dane mogą pochodzić z wizytówek, korespondencji, publicznych rejestrów lub bezpośrednio od kontrahenta.
OSOBY MAŁOLETNIE
16.1. Oferta Sklepu jest skierowana do osób pełnoletnich. W przypadku stwierdzenia, że dane osoby małoletniej zostały zebrane bez wymaganego uprawnienia, Administrator podejmie działania w celu ich usunięcia.
ZMIANY POLITYKI
17.1. Polityka może ulegać zmianom, w szczególności przy zmianie przepisów prawa, funkcjonalności Sklepu lub narzędzi wykorzystywanych do przetwarzania danych. O istotnych zmianach Administrator poinformuje w sposób widoczny w Sklepie lub e-mailem (dla Użytkowników posiadających konto/newsletter).
17.2. Aktualna wersja Polityki jest publikowana w Sklepie.
DANE ADMINISTRATORA I KONTAKT
18.1. Administrator: PAPS Tomasz Cyrbus, ul. Ketlinga 12H/1, 81-198 Gdynia, NIP 586-194-51-18, REGON 221080433.
18.2. Kontakt w sprawach danych: zamowienia@mypaps.eu.
INFORMACJE WYMAGANE PRZEZ OPERATORÓW PŁATNOŚCI (W TYM PAYNOW OD MBANK)
19.1. Administrator informuje, że:
a) przetwarza dane osobowe Klientów w związku z obsługą płatności elektronicznych; przekazanie danych do operatora płatności jest niezbędne do zainicjowania i rozliczenia transakcji;
b) operator płatności (np. Paynow – mBank S.A.) jest odrębnym administratorem danych w zakresie realizacji płatności i wypełniania obowiązków prawnych (w tym AML/CFT), dokonuje również autonomicznej oceny ryzyka transakcji;
c) możliwe jest zastosowanie przez operatora środków bezpieczeństwa finansowego, w tym weryfikacji tożsamości lub źródła pochodzenia środków – brak ich przeprowadzenia może skutkować odrzuceniem transakcji;
d) Administrator otrzymuje od operatora informacje o statusie płatności i identyfikator transakcji, nie otrzymuje natomiast pełnych danych karty płatniczej;
e) w przypadku płatności z odroczonym terminem lub ratalnych operator może dokonywać oceny zdolności kredytowej na własnych podstawach prawnych – szczegóły dostępne są w politykach prywatności tych operatorów.
INFORMACJA O WYMOGACH DOWODOWYCH I LOGACH
20.1. W celu wykazania spełnienia obowiązków prawnych Administrator może przechowywać logi systemowe, dowody udzielenia zgód i preferencji, zapisy historii zgłoszeń oraz istotne fragmenty korespondencji związanej z zamówieniami, reklamacjami i wykonaniem umów przez okres niezbędny do celów dowodowych i obrony roszczeń.
KONTAKT I SPOSÓB REALIZACJI PRAW
21.1. Żądania dotyczące praw osób, których dane dotyczą, można kierować na adres: zamowienia@mypaps.eu. Dla celów bezpieczeństwa Administrator może zweryfikować tożsamość osoby zgłaszającej żądanie. Odpowiedź udzielana jest co do zasady w terminie do 1 miesiąca, z możliwością jego wydłużenia zgodnie z RODO.
WEJŚCIE W ŻYCIE
22.1. Niniejsza Polityka obowiązuje od dnia 1 września 2025 r. i zastępuje wcześniejsze wersje.