Polityka prywatności

1. Administrator danych

Administratorem Twoich danych osobowych jest Marcin Słomka, prowadzący działalność nierejestrowaną zgodnie z art. 5 ust. 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców, z miejscem prowadzenia działalności w Opolu (dalej „Administrator").

Kontakt w sprawach dotyczących ochrony danych osobowych: [email protected] lub [email protected].

Nie wyznaczyliśmy Inspektora Ochrony Danych — nie jest to wymagane w naszej skali (art. 37 RODO). We wszystkich sprawach RODO odpowiada bezpośrednio Administrator pod adresem [email protected].

2. Cele i podstawy przetwarzania

Przetwarzamy Twoje dane w następujących celach:

• Świadczenie usług Serwisu (wyświetlanie ofert, wyszukiwanie, podstawowa nawigacja) — podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usług drogą elektroniczną).
• Tracking afiliacyjny (rejestracja kliknięć w linki Sklepów partnerskich, by otrzymać prowizję) — podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora — model biznesowy Serwisu).
• Statystyki i analityka (zrozumienie, jak Serwis jest używany, mierzenie skuteczności) — podstawa: art. 6 ust. 1 lit. a RODO (zgoda).
• Newsletter (jeśli się zapisałeś) — podstawa: art. 6 ust. 1 lit. a RODO (zgoda).
• Wypełnianie obowiązków prawnych (m.in. DSA, podatkowych, księgowych) — podstawa: art. 6 ust. 1 lit. c RODO.

3. Kategorie przetwarzanych danych

• Dane techniczne: zhashowany adres IP, przybliżona lokalizacja (kraj), typ przeglądarki, system operacyjny.
• Dane behawioralne: odwiedzane strony, czas spędzony, kliknięte oferty.
• Dane kontaktowe: adres email (jeśli zapisałeś się na newsletter lub kontaktowałeś z nami).
• Cookies i tracking afiliacyjny: szczegóły w Polityce Cookies.

4. Odbiorcy danych

Twoje dane mogą być przekazywane:

• Sklepom partnerskim — w momencie kliknięcia w link afiliacyjny, sklep otrzymuje informację o przekierowaniu (cookie afiliacyjne, identyfikator sesji). Sklep stosuje własną politykę prywatności.
• Dostawcom infrastruktury — hosting (Hetzner / Contabo, EU), sieć CDN (Cloudflare).
• Dostawcom analityki (tylko za Twoją zgodą):
  • Google Analytics 4 (Google LLC, USA) — pseudonimowe statystyki ruchu i konwersji. Transfer danych do USA na podstawie Data Privacy Framework (DPF). Pełna analiza ryzyka w naszym Transfer Impact Assessment (TIA, dostępne na żądanie).
  • Microsoft Clarity (Microsoft Ireland Operations Limited, Irlandia) — heatmaps i anonimowe nagrania sesji. Infrastruktura EU (Azure West/North Europe). Zmaskowane wszystkie pola input.
• Dostawcy email — Resend (USA) — tylko transakcyjne maile (verify-email, reset password, newsletter). DPA podpisane.
• Organom państwowym — wyłącznie w przypadkach przewidzianych prawem (np. wezwanie sądowe, postępowanie karne).

5. Przekazywanie danych poza EOG (Schrems II)

Część naszych procesorów ma siedzibę w USA (Google, Resend). Transfer danych do USA odbywa się na podstawie:

• Decyzji adekwatności KE z 10 lipca 2023 r. w odniesieniu do certyfikowanych podmiotów w ramach EU-US Data Privacy Framework (DPF)
• Standardowych klauzul umownych (SCC) w ramach DPA z każdym procesorem

Stosujemy dodatkowe środki ochronne: pseudonimizacja, ograniczenie danych do minimum, retencja 2 mc dla GA4, brak Google Signals, brak Google Ads / remarketingu. Analiza ryzyka w naszym Transfer Impact Assessment (TIA) — dostępna na żądanie pod [email protected].

6. Czas przechowywania

Poniższe okresy to maksymalne terminy retencji — dłużej danych nie przechowujemy:

• Logi serwera, dane techniczne — do 90 dni.
• Statystyki Google Analytics (zagregowane) — 2 miesiące.
• Nagrania sesji Microsoft Clarity — 13 miesięcy (default, konfigurowalne).
• Email z subskrypcji newslettera — do momentu wypisania (przycisk w każdym mailu) lub 3 lat nieaktywności.
• Korespondencja (kontakt, reklamacje, zgłoszenia DSA) — 5 lat od ostatniego kontaktu.
• Dane wymagane prawem (księgowość, podatki) — przez okres wymagany przepisami (zwykle 5 lat).

Część danych usuwana jest automatycznie po upływie okresu (np. dane kliknięć w linki afiliacyjne — po 90 dniach, historia cen — po 730 dniach). Pozostałe kategorie usuwamy w ramach okresowego przeglądu oraz niezwłocznie na Twoje żądanie (sekcja 7).

7. Twoje prawa (art. 15–22 RODO)

W odniesieniu do swoich danych masz prawo do:

• dostępu do danych i otrzymania ich kopii;
• sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych;
• usunięcia („prawo do bycia zapomnianym") — w sytuacjach przewidzianych prawem;
• ograniczenia przetwarzania;
• przenoszenia danych;
• sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie;
• wycofania zgody w każdym momencie (nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem);
• wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO).

Aby skorzystać z któregokolwiek prawa, napisz na [email protected]. Odpowiadamy w terminie do 30 dni.

8. Cookies i tracking

Szczegółowy opis plików cookies (rodzaje, cel, czas przechowywania) znajduje się w Polityce Cookies. Możesz w każdym momencie zmienić swoje preferencje, klikając „Zarządzaj zgodami" w stopce.

9. Bezpieczeństwo danych

Stosujemy techniczne i organizacyjne środki ochrony danych: szyfrowanie transportu (HTTPS/TLS 1.3), zhashowane adresy IP w logach audytowych, zhashowane identyfikatory e-mail w logach aplikacyjnych, ograniczony dostęp do systemów backendowych, regularne kopie bezpieczeństwa, monitoring podatności (CodeQL, Trivy, gitleaks), dwuskładnikowe uwierzytelnianie dla kont administracyjnych.

10. Profilowanie i zautomatyzowane decyzje

Nie podejmujemy wobec Ciebie zautomatyzowanych decyzji wywołujących skutki prawne ani znacząco na Ciebie wpływających w rozumieniu art. 22 RODO. Nie stosujemy spersonalizowanych cen — wszyscy użytkownicy widzą tę samą cenę u danego sklepu w tym samym momencie.

Możemy wykorzystywać dane behawioralne do anonimowej analizy statystycznej (np. które gry są popularne, które ścieżki wyszukiwania konwertują) — jest to pseudonimizowane i nie tworzy profilu indywidualnego użytkownika.

11. Wiek użytkowników

Serwis przeznaczony jest dla osób, które ukończyły 16 lat — to wiek zgody na przetwarzanie danych osobowych w usługach społeczeństwa informacyjnego w Polsce (art. 8 ust. 1 RODO). Przy rejestracji wymagamy potwierdzenia tego warunku.

Jeżeli jesteś rodzicem lub opiekunem prawnym i ustalisz, że osoba poniżej 16 lat założyła konto bez Twojej zgody, napisz na [email protected] — usuniemy konto niezwłocznie.

12. Zgłaszanie naruszeń ochrony danych

Jeśli uważasz, że Twoje dane osobowe są przetwarzane niezgodnie z prawem, możesz:

• Napisać do nas na [email protected] — odpowiadamy w terminie do 30 dni.
• Złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl) lub do organu nadzorczego w państwie Twojego stałego pobytu.