Polityka prywatności
Data wejścia w życie: 14 maja 2026 r.
Niniejsza Polityka prywatności określa zasady przetwarzania danych osobowych Klientów sklepu internetowego Run Fitting (www.run-fitting.pl), zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. („RODO”) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.).
§1. Administrator danych osobowych (ADO)
Administratorem Twoich danych osobowych jest:
- Tomasz Świderski, prowadzący jednoosobową działalność gospodarczą
- Adres prowadzenia działalności: ul. Jana Olbrachta 118B/2, 01-373 Warszawa
- NIP: 5222855153 | REGON: 146854068
- Wpis do CEIDG: od 20 czerwca 2018 r.
- E-mail kontaktowy w sprawach RODO: gabinet.feelit@gmail.com
- Telefon: +48 539 000 909
§2. Inspektor Ochrony Danych (IOD)
Administrator nie powołał Inspektora Ochrony Danych, ponieważ nie zachodzą przesłanki obligatoryjnego wyznaczenia IOD określone w art. 37 RODO. We wszystkich sprawach dotyczących przetwarzania danych osobowych można kontaktować się bezpośrednio z Administratorem pod adresem: gabinet.feelit@gmail.com.
§3. Cele i podstawy prawne przetwarzania
Twoje dane osobowe przetwarzamy w następujących celach i na następujących podstawach prawnych:
| Cel przetwarzania | Podstawa prawna | Okres przechowywania |
|---|
| Realizacja umowy sprzedaży vouchera (przyjęcie zamówienia, wystawienie i doręczenie vouchera, kontakt w sprawie zamówienia) |
art. 6 ust. 1 lit. b RODO — wykonanie umowy |
do czasu zakończenia realizacji umowy, a następnie zgodnie z poniższymi pozycjami |
| Realizacja płatności online (przekazanie danych do PayU) |
art. 6 ust. 1 lit. b RODO — wykonanie umowy |
do czasu rozliczenia płatności |
| Wystawianie i przechowywanie dokumentów księgowych (paragony, faktury) |
art. 6 ust. 1 lit. c RODO — obowiązek prawny (ustawa o rachunkowości art. 74 ust. 2, Ordynacja podatkowa) |
5 lat od końca roku obrotowego, w którym wystawiono dokument |
| Rozpatrywanie reklamacji oraz odpowiedzialność z tytułu rękojmi / niezgodności usługi z umową |
art. 6 ust. 1 lit. c RODO — obowiązek prawny (ustawa o prawach konsumenta) oraz art. 6 ust. 1 lit. b RODO |
do 1 roku po zakończeniu postępowania reklamacyjnego; w razie sporu — do prawomocnego zakończenia sprawy |
| Ustalenie, dochodzenie i obrona przed roszczeniami |
art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora |
do upływu terminu przedawnienia roszczeń (zwykle 6 lat, dla roszczeń konsumenckich i okresowych — 3 lata) |
| Zapewnienie bezpieczeństwa serwisu, analiza ruchu i wykrywanie nadużyć (logi serwerowe) |
art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes |
do 12 miesięcy |
| Używanie plików cookies analitycznych / marketingowych |
art. 6 ust. 1 lit. a RODO — zgoda (art. 173 Prawa telekomunikacyjnego) |
do wycofania zgody lub do wygaśnięcia cookie (max 12 miesięcy) |
Aktualnie Sklep nie prowadzi newslettera ani działań marketingu e-mail.
§4. Kategorie przetwarzanych danych
W zależności od celu, przetwarzamy następujące kategorie danych:
- Dane identyfikacyjne i kontaktowe Kupującego: imię, nazwisko (opcjonalnie), adres e-mail, numer telefonu (opcjonalnie),
- Dane obdarowanego (jeżeli voucher kupowany jest jako prezent): imię, adres e-mail, dedykacja,
- Dane do faktury (na żądanie): nazwa firmy / imię i nazwisko, adres, NIP,
- Dane techniczne: adres IP, identyfikator zamówienia, znaczniki czasu, dane przeglądarki,
- Dane płatnicze: kwota, waluta, status płatności. Dane karty płatniczej i rachunku bankowego wprowadzane są wyłącznie po stronie PayU i nie są przekazywane do Administratora ani przez niego przechowywane.
Podanie danych jest dobrowolne, jednak niezbędne do zawarcia i realizacji umowy. Brak podania uniemożliwia złożenie zamówienia.
§5. Odbiorcy danych — podmioty przetwarzające (procesorzy)
Twoje dane osobowe mogą być udostępniane następującym kategoriom odbiorców, każdorazowo na podstawie umowy powierzenia przetwarzania danych (DPA) lub przepisów prawa:
PayU S.A.
— operator płatności online
- Pełna nazwa: PayU S.A.
- Siedziba: ul. Grunwaldzka 186, 60-166 Poznań, Polska
- NIP: 779-23-08-495 | REGON: 300523444 | KRS: 0000274399
- Cel powierzenia: przyjęcie i autoryzacja płatności online, weryfikacja transakcji, przeciwdziałanie oszustwom (anty-fraud), obsługa reklamacji płatniczych.
- Podstawa prawna: art. 6 ust. 1 lit. b RODO (realizacja umowy).
- Zakres przekazywanych danych: imię i nazwisko Kupującego, adres e-mail, kwota i waluta zamówienia, numer zamówienia, adres IP. Dane karty / rachunku bankowego są wprowadzane wyłącznie na stronie PayU i nie są przekazywane do Sprzedawcy.
- PayU jest niezależnym administratorem danych w zakresie, w jakim przetwarza je we własnych celach (anty-fraud, obowiązki AML). Szczegóły: www.payu.pl/polityka-prywatnosci.
Pozostali procesorzy:
- Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) — hosting aplikacji oraz baza danych zamówień (Vercel KV / Upstash Redis). Transfer poza Europejski Obszar Gospodarczy (USA) odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską oraz umowy powierzenia (DPA) Vercel.
- Upstash, Inc. (USA) — dostawca bazy Redis wykorzystywanej przez Vercel KV do przechowywania zamówień. Transfer poza EOG na podstawie SCC + DPA.
- Resend, Inc. (USA) — dostarczanie transakcyjnych wiadomości e-mail (potwierdzenie zamówienia, voucher PDF, komunikacja w sprawie reklamacji). Transfer poza EOG na podstawie SCC + DPA Resend. Zakres danych: adres e-mail odbiorcy, treść wiadomości, załącznik PDF.
- Biuro rachunkowe [DO UZUPEŁNIENIA — pełna nazwa biura księgowego, adres, NIP] — obsługa księgowa, wystawianie i archiwizacja dokumentów sprzedaży. Powierzenie na podstawie umowy o świadczenie usług księgowych zawierającej klauzulę powierzenia przetwarzania danych.
- Operatorzy pocztowi / kurierzy — tylko jeżeli Klient zażąda przesyłki dokumentów drogą pocztową.
- Organy państwowe (np. organy podatkowe, sądy, policja) — w zakresie wymaganym przepisami prawa.
Uwaga dla Administratora: pełną nazwę i adres biura rachunkowego należy uzupełnić bezpośrednio w §5 powyżej. Brak tej informacji nie zwalnia z obowiązku informacyjnego.
§6. Przekazywanie danych poza EOG
W związku z korzystaniem z usług Vercel, Upstash i Resend, Twoje dane mogą być przekazywane do Stanów Zjednoczonych Ameryki, tj. poza Europejski Obszar Gospodarczy. Transfer odbywa się na podstawie:
- Standardowych Klauzul Umownych (SCC) zatwierdzonych decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z 4 czerwca 2021 r.,
- dodatkowych zabezpieczeń technicznych i organizacyjnych (szyfrowanie w tranzycie TLS, szyfrowanie at-rest, kontrola dostępu),
- umów powierzenia przetwarzania (Data Processing Agreement) zawartych z każdym z procesorów.
Na żądanie Administrator udostępni kopię stosowanych zabezpieczeń.
§7. Okres przechowywania danych (retencja)
Pełne okresy retencji zostały wskazane w tabeli w §3 powyżej. Skrócone podsumowanie:
- Dokumenty księgowe i dowody zakupu: 5 lat od końca roku obrotowego (art. 74 ust. 2 ustawy o rachunkowości),
- Dane zamówień przechowywane operacyjnie (baza Vercel KV): do 1 roku od realizacji, następnie archiwizacja w księgowości,
- Korespondencja reklamacyjna: 1 rok po zakończeniu sprawy,
- Logi techniczne serwera: do 12 miesięcy,
- Dane przetwarzane na podstawie zgody (cookies analityczne, ewentualny newsletter w przyszłości): do wycofania zgody.
§8. Prawa osób, których dane dotyczą
W związku z przetwarzaniem Twoich danych osobowych przysługują Ci następujące prawa:
- prawo dostępu do danych oraz uzyskania ich kopii (art. 15 RODO),
- prawo do sprostowania danych nieprawidłowych lub niekompletnych (art. 16 RODO),
- prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO) — z zastrzeżeniem, że nie obejmuje to danych, których przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego (np. dokumenty księgowe przez 5 lat),
- prawo do ograniczenia przetwarzania (art. 18 RODO),
- prawo do przenoszenia danych (art. 20 RODO) — w zakresie danych przetwarzanych na podstawie umowy lub zgody,
- prawo sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie Administratora (art. 21 RODO),
- prawo do cofnięcia zgody w dowolnym momencie — cofnięcie nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem (art. 7 ust. 3 RODO),
- prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa (www.uodo.gov.pl).
Aby skorzystać z powyższych praw, wystarczy wysłać wiadomość e-mail na adres: gabinet.feelit@gmail.com. Odpowiemy bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania (z możliwością przedłużenia o kolejne 60 dni w sprawach skomplikowanych, o czym poinformujemy).
§9. Zautomatyzowane podejmowanie decyzji i profilowanie
Administrator nie stosuje zautomatyzowanego podejmowania decyzji wywołującego wobec Klientów skutki prawne lub w podobny istotny sposób wpływającego na Klienta, ani nie prowadzi profilowania w rozumieniu art. 22 RODO.
Operator płatności PayU może stosować automatyczne mechanizmy oceny ryzyka (anty-fraud) w celu przeciwdziałania oszustwom — szczegóły w polityce prywatności PayU.
§10. Pliki cookies
Sklep wykorzystuje pliki cookies (małe pliki tekstowe zapisywane w przeglądarce) w następujących kategoriach:
- Cookies niezbędne (essential) — konieczne do prawidłowego działania Sklepu (sesja, koszyk, preferencje banera cookies). Nie wymagają zgody (art. 173 ust. 3 Prawa telekomunikacyjnego).
- Cookies funkcjonalne — zapamiętują preferencje użytkownika (np. wybrany wariant zakupu). Wymagają zgody.
- Cookies analityczne — służą do analizy ruchu w Sklepie i poprawy jego działania. Wymagają zgody.
- Cookies marketingowe — służą do prezentowania spersonalizowanych reklam. Wymagają zgody. Obecnie Sklep nie używa cookies marketingowych.
Zgodę na cookies inne niż niezbędne wyrażasz w banerze cookie wyświetlanym przy pierwszej wizycie. W każdej chwili możesz zmienić swoje preferencje w ustawieniach przeglądarki lub czyszcząc dane lokalne (localStorage) strony.
Instrukcje wyłączania cookies w popularnych przeglądarkach:
§11. Sposób ochrony danych
Administrator stosuje techniczne i organizacyjne środki ochrony danych adekwatne do ryzyka, w szczególności:
- szyfrowanie połączenia (HTTPS / TLS 1.2+) na całej stronie Sklepu,
- szyfrowanie danych w spoczynku (at-rest) po stronie dostawców infrastruktury,
- ograniczenie dostępu do danych wyłącznie do upoważnionych osób,
- współpracę wyłącznie z zaufanymi procesorami danych na podstawie umów powierzenia (DPA),
- regularne aktualizacje zabezpieczeń infrastruktury hostingowej,
- nieprzechowywanie danych kart płatniczych po stronie Sklepu (przekazywanie odbywa się wyłącznie do PayU).
§12. Zmiany Polityki prywatności
Administrator zastrzega sobie prawo do zmian w niniejszej Polityce prywatności wynikających z rozwoju usług Sklepu lub zmian przepisów prawa. O istotnych zmianach Klienci zostaną poinformowani poprzez ogłoszenie na stronie Sklepu lub wiadomość e-mail.
← Wróć na stronę główną