Polityka prywatności
Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych Klientów sklepu internetowego Watermelon (WMLN) zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.
1. Administrator danych
Administratorem danych osobowych jest:
CodeCrafter Szymon Piecuch
ul. Henryka Dąbrowskiego 67/21, 43-100 Tychy
NIP: 646-291-46-77
E-mail: szymek.piecuch@gmail.com
W sprawach związanych z ochroną danych osobowych można kontaktować się ze Sprzedawcą pod wskazanym adresem e-mail. Administrator nie wyznaczył Inspektora Ochrony Danych — obowiązek taki nie wynika z przepisów.
2. Zakres przetwarzanych danych
Administrator przetwarza dane podane przez Klienta w toku składania Zamówienia oraz dane techniczne związane z korzystaniem ze Sklepu:
- dane identyfikacyjne i kontaktowe: imię i nazwisko, adres dostawy, opcjonalnie adres rozliczeniowy, adres e-mail, numer telefonu;
- dane Zamówienia: zamówione produkty, ich konfiguracja (w tym treści personalizacji wprowadzone przez Klienta), kwota, metoda dostawy i płatności, numer paczkomatu;
- dane do faktury: dane firmy i numer NIP — wyłącznie gdy Klient zażąda faktury;
- dane transakcyjne: identyfikator i status płatności (sam numer karty oraz dane uwierzytelniające nie są przekazywane Administratorowi — są przetwarzane bezpośrednio przez operatora płatności);
- dane techniczne: adres IP, typ przeglądarki, data i godzina wizyty, gromadzone w logach serwera w celach bezpieczeństwa i diagnostyki;
- dane statystyczne (wyłącznie za zgodą Klienta — zob. pkt 7): identyfikatory plików cookies, przybliżona lokalizacja, informacje o urządzeniu i przeglądarce oraz zdarzenia w Sklepie (np. obejrzenie produktu, dodanie do koszyka, zakup), zbierane przez Google Analytics.
3. Cele, podstawy prawne i okresy przechowywania
| Cel | Podstawa prawna (RODO) | Okres przechowywania |
|---|---|---|
| Zawarcie i wykonanie umowy sprzedaży (realizacja Zamówienia, dostawa, obsługa reklamacji i zwrotów) | art. 6 ust. 1 lit. b — niezbędność do wykonania umowy | do czasu zakończenia realizacji umowy oraz okresu przedawnienia roszczeń |
| Wystawienie i przechowywanie dokumentów księgowych (faktury, paragony) | art. 6 ust. 1 lit. c — obowiązek prawny (Ordynacja podatkowa, ustawa o rachunkowości) | 5 lat od końca roku podatkowego |
| Obrona przed ewentualnymi roszczeniami i dochodzenie roszczeń | art. 6 ust. 1 lit. f — prawnie uzasadniony interes | do upływu okresu przedawnienia (co do zasady 6 lat) |
| Bezpieczeństwo Sklepu, logi serwera | art. 6 ust. 1 lit. f — prawnie uzasadniony interes | do 12 miesięcy |
| Odpowiedź na korespondencję skierowaną do Administratora | art. 6 ust. 1 lit. f — prawnie uzasadniony interes (prowadzenie korespondencji) | do 24 miesięcy od ostatniego kontaktu |
| Statystyka odwiedzin i analiza korzystania ze Sklepu (Google Analytics) | art. 6 ust. 1 lit. a — zgoda wyrażona poprzez baner cookie | do wycofania zgody, nie dłużej niż 14 miesięcy (okres retencji danych w Google Analytics) |
Podanie danych jest dobrowolne, ale niezbędne do zawarcia i wykonania umowy sprzedaży. Brak podania danych uniemożliwia złożenie i realizację Zamówienia.
4. Odbiorcy danych
Administrator powierza przetwarzanie danych osobowych następującym kategoriom podmiotów, wyłącznie w zakresie niezbędnym do realizacji wskazanych powyżej celów:
- Stripe Payments Europe Ltd. (Irlandia) — operator płatności;
- InPost S.A. — operator dostaw kurierskich i paczkomatowych;
- dostawca hostingu i infrastruktury Sklepu — w zakresie technicznego przechowywania danych;
- Google Ireland Ltd. (Irlandia) — dostawca usługi Google Analytics, wyłącznie w zakresie danych statystycznych i wyłącznie po wyrażeniu zgody przez Klienta (zob. pkt 7);
- biuro rachunkowe — w zakresie obsługi księgowo-podatkowej;
- podmioty świadczące usługi prawne i windykacyjne — w razie potrzeby dochodzenia roszczeń;
- organy państwowe — w przypadkach przewidzianych przepisami prawa.
Dane nie są sprzedawane ani udostępniane podmiotom trzecim do celów marketingowych.
5. Przekazywanie danych poza EOG
Co do zasady dane przetwarzane są na terenie Europejskiego Obszaru Gospodarczego. W przypadku gdy dostawca usługi (np. infrastruktura chmurowa lub Google LLC z siedzibą w USA — w zakresie Google Analytics) przetwarza dane poza EOG, transfer odbywa się na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (art. 46 RODO), decyzji stwierdzającej odpowiedni stopień ochrony (EU-U.S. Data Privacy Framework) lub innego mechanizmu przewidzianego w rozdziale V RODO. Kopia stosowanych zabezpieczeń może zostać udostępniona na żądanie.
6. Prawa osoby, której dane dotyczą
Każdej osobie, której dane są przetwarzane, przysługuje prawo do:
- dostępu do swoich danych i otrzymania ich kopii (art. 15 RODO);
- sprostowania danych nieprawidłowych lub niekompletnych (art. 16);
- usunięcia danych — „prawo do bycia zapomnianym" (art. 17), z zastrzeżeniem obowiązków prawnych ciążących na Administratorze (np. obowiązek przechowywania faktur);
- ograniczenia przetwarzania (art. 18);
- przenoszenia danych przetwarzanych na podstawie umowy lub zgody w formacie ustrukturyzowanym (art. 20);
- sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora (art. 21);
- wycofania zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody — bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem;
- wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.
Realizacja praw odbywa się na wniosek skierowany na adres szymek.piecuch@gmail.com. Administrator odpowiada w terminie do 1 miesiąca od otrzymania żądania.
7. Pliki cookies i podobne technologie
Sklep wykorzystuje pliki cookies oraz lokalne mechanizmy przechowywania danych w przeglądarce w następującym zakresie:
- cookies niezbędne — konieczne do działania koszyka, procesu zamówienia i obsługi płatności; przetwarzane na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO) i nie wymagają zgody Klienta;
- cookies podmiotów trzecich — wykorzystywane przez operatora płatności (Stripe) w zakresie zapewnienia bezpieczeństwa transakcji i przeciwdziałania oszustwom;
- cookies analityczne (Google Analytics 4) — służące do anonimowych statystyk odwiedzin i analizy korzystania ze Sklepu (np. liczba wizyt, źródła ruchu, obejrzane produkty, ścieżka zakupowa); uruchamiane wyłącznie po wyrażeniu zgody przez Klienta za pomocą banera cookie (art. 6 ust. 1 lit. a RODO).
Do czasu wyrażenia zgody Google Analytics działa w trybie bez plików cookies (tzw. Consent Mode — sygnały zgody mają domyślnie status „odmowa"), a żadne identyfikatory nie są zapisywane na urządzeniu Klienta. Google Analytics 4 nie rejestruje ani nie przechowuje pełnych adresów IP. Sklep nie korzysta z cookies marketingowych ani profilujących — sygnały reklamowe Consent Mode pozostają na stałe wyłączone.
Wybór dokonany w banerze cookie zapisywany jest w pamięci przeglądarki. Odmowa zgody nie ogranicza możliwości korzystania ze Sklepu. Klient może w każdej chwili wycofać zgodę, usuwając dane witryny (pliki cookies i pamięć lokalną) w ustawieniach swojej przeglądarki — przy kolejnej wizycie baner cookie zostanie wyświetlony ponownie. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie ze Sklepu.
Szczegóły przetwarzania danych przez Google opisuje polityka prywatności Google: https://policies.google.com/privacy.
8. Zautomatyzowane decyzje i profilowanie
Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne wobec Klienta lub w podobny sposób istotnie na niego wpływały. Operator płatności (Stripe) może stosować zautomatyzowane mechanizmy oceny ryzyka oszustwa wyłącznie na potrzeby zatwierdzenia płatności — zasady te opisuje polityka prywatności Stripe.
9. Bezpieczeństwo danych
Administrator stosuje środki techniczne i organizacyjne odpowiednie do ryzyka, w szczególności szyfrowanie połączeń (TLS/HTTPS), ograniczenie dostępu do danych wyłącznie do upoważnionych osób oraz okresowy przegląd zabezpieczeń. W przypadku naruszenia ochrony danych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych Administrator zawiadomi osoby, których dane dotyczą, zgodnie z art. 34 RODO.
10. Zmiany Polityki prywatności
Polityka może podlegać aktualizacji w przypadku zmiany przepisów lub praktyk przetwarzania danych. Aktualna wersja publikowana jest pod adresem /legal/privacy.
Polityka obowiązuje od dnia 4 czerwca 2026 r. Ostatnia aktualizacja: 11 czerwca 2026 r. (dodanie informacji o Google Analytics i banerze cookie).