Data wejścia w życie: 15.04.2026
Wersja: 1.0
Niniejsza Polityka Prywatności opisuje zasady przetwarzania przez Administratora danych osobowych osób korzystających ze sklepu internetowego dostępnego pod adresem www.beautypostsystem.pl. Polityka spełnia obowiązek informacyjny wynikający z art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: RODO).
§ 1. Administrator danych osobowych
- Administratorem danych osobowych jest Hubert Piątkowski, osoba fizyczna prowadząca działalność nierejestrowaną w rozumieniu art. 5 ustawy — Prawo przedsiębiorców.
- Dane kontaktowe Administratora:
- Adres korespondencyjny: ul. Racławicka 147A/7, 02-117 Warszawa
- E-mail: biuro@beautypostsystem.pl
- Telefon: +48 884 888 805
§ 2. Inspektor Ochrony Danych
Administrator nie powołał Inspektora Ochrony Danych. We wszystkich sprawach związanych z przetwarzaniem danych osobowych prosimy o kontakt pod adresem biuro@beautypostsystem.pl.
§ 3. Kategorie przetwarzanych danych osobowych
Administrator przetwarza następujące kategorie danych osobowych w zależności od rodzaju czynności:
| Źródło / zdarzenie | Przetwarzane kategorie danych |
|---|---|
| Zakup w Sklepie (gość) | imię i nazwisko, adres e-mail, numer telefonu, adres (jeśli wymagany do faktury), dane firmowe wraz z NIP (w przypadku zakupu B2B) |
| Założenie Konta | j.w. + login, zaszyfrowane hasło, historia zamówień |
| Zapis do newslettera | adres e-mail, opcjonalnie imię |
| Formularz kontaktowy | adres e-mail, treść wiadomości |
| Korzystanie ze strony (automatycznie) | adres IP, identyfikator przeglądarki, dane urządzenia, dane o zachowaniu na stronie (zbierane za pomocą plików cookies i pokrewnych technologii — szczegóły w Polityce Cookies) |
§ 4. Cele i podstawy prawne przetwarzania
| Cel przetwarzania | Podstawa prawna (RODO / inne) | Charakter |
|---|---|---|
| Zawarcie i wykonanie Umowy sprzedaży lub świadczenia usług | art. 6 ust. 1 lit. b RODO | Obowiązkowe (warunek zawarcia Umowy) |
| Wystawianie, wysyłanie i archiwizacja faktur oraz prowadzenie ksiąg rachunkowych | art. 6 ust. 1 lit. c RODO w zw. z ustawą o rachunkowości i ustawą o VAT | Obowiązkowe (obowiązek prawny) |
| Obsługa reklamacji i oświadczeń o odstąpieniu od Umowy | art. 6 ust. 1 lit. c RODO w zw. z ustawą o prawach konsumenta | Obowiązkowe |
| Założenie i prowadzenie Konta | art. 6 ust. 1 lit. b RODO | Dobrowolne |
| Wysyłka newslettera marketingowego | art. 6 ust. 1 lit. a RODO (zgoda) w zw. z art. 10 ustawy o świadczeniu usług drogą elektroniczną i art. 172 Prawa telekomunikacyjnego | Dobrowolne |
| Prowadzenie marketingu własnego, w tym remarketingu i tworzenia grup podobnych (lookalike) | art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora) w połączeniu ze zgodą na cookies marketingowe | Dobrowolne |
| Statystyka i analityka korzystania ze strony | art. 6 ust. 1 lit. f RODO w połączeniu ze zgodą na cookies analityczne | Dobrowolne |
| Obsługa zapytań przesyłanych przez formularz kontaktowy | art. 6 ust. 1 lit. b RODO (czynności przed zawarciem Umowy) lub art. 6 ust. 1 lit. f RODO | Dobrowolne |
| Dochodzenie, ustalanie i obrona roszczeń | art. 6 ust. 1 lit. f RODO | Obowiązkowe do okresu przedawnienia |
§ 5. Odbiorcy danych osobowych
Administrator korzysta z usług podmiotów, którym powierza przetwarzanie danych osobowych (procesorów) lub z którymi współadministruje danymi. Poniższa tabela przedstawia listę odbiorców i ich rolę:
| Odbiorca | Rola | Cel przetwarzania | Siedziba |
|---|---|---|---|
| cyber_Folks S.A. (po przejęciu Zenbox.pl) | Procesor | Hosting strony i bazy danych | Polska |
| Stripe Payments Europe, Ltd. | Odrębny administrator | Obsługa płatności kartowych, BLIK i przelewów internetowych | Irlandia (grupa kapitałowa z USA) |
| Autopay S.A. | Odrębny administrator | Obsługa płatności elektronicznych | Polska |
| MailerLite Limited | Procesor | Wysyłka newslettera i wiadomości transakcyjnych | Irlandia |
| Fakturownia sp. z o.o. | Procesor | Wystawianie, przesyłanie i archiwizacja faktur | Polska |
| Google Ireland Ltd. (Google Analytics, Google Ads) | Procesor / współadministrator (w zakresie kampanii reklamowych) | Statystyka korzystania ze strony, remarketing, analityka reklam | Irlandia (grupa kapitałowa z USA) |
| Meta Platforms Ireland Ltd. (Meta Pixel, Custom Audiences, Meta Ads) | Współadministrator | Remarketing, analityka reklam, dopasowanie grup odbiorców | Irlandia (grupa kapitałowa z USA) |
| Hotjar Ltd. | Procesor | Nagrywanie sesji i mapy ciepła w celach poprawy użyteczności strony | Malta |
| Cybot A/S (usługa Cookiebot) | Procesor | Obsługa zgód na pliki cookies | Dania |
| Biuro rachunkowe / księgowy Administratora | Procesor | Obsługa księgowa i podatkowa | Polska |
| Kancelaria prawna lub windykacyjna (opcjonalnie, w przypadku sporu) | Procesor | Dochodzenie roszczeń | Polska |
| Organy publiczne (ZUS, Urząd Skarbowy, UODO, sądy) | Odrębny administrator | Realizacja obowiązków prawnych | Polska |
Meta jako współadministrator
W zakresie instalacji piksela Meta i narzędzi reklamowych Meta (Custom Audiences, Lookalike Audiences), Administrator występuje wspólnie z Meta Platforms Ireland Ltd. w charakterze współadministratora danych osobowych, zgodnie z orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-40/17 (Fashion ID). Zasady współadministrowania określone są w Uzupełnieniu Meta dotyczącym współadministrowania danymi dostępnym pod adresem: https://www.facebook.com/legal/controller_addendum. Meta odpowiada bezpośrednio wobec osób, których dane dotyczą, za realizację obowiązków informacyjnych i praw wynikających z RODO w zakresie przetwarzania danych przez Meta.
§ 6. Okresy przechowywania danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane Zamówień i Umów | 5 lat od końca roku kalendarzowego (obowiązek księgowy) + okres przedawnienia roszczeń (co do zasady 6 lat — art. 118 Kodeksu cywilnego) |
| Dane do faktur | 5 lat od końca roku kalendarzowego, w którym wystawiono fakturę |
| Dane Konta | Do usunięcia Konta przez Klienta + 1 rok (na potrzeby ewentualnych roszczeń) |
| Dane na potrzeby newslettera | Do wycofania zgody przez osobę, której dane dotyczą |
| Dane z formularza kontaktowego | 1 rok od ostatniego kontaktu |
| Dane analityczne (Google Analytics 4) | 14 miesięcy od zebrania |
| Dane analityczne (Hotjar — nagrania sesji) | 365 dni od zebrania |
| Pliki cookies | Zgodnie z Polityką Cookies (maksymalnie 2 lata) |
| Dane marketingowe po wycofaniu zgody | Usuwane niezwłocznie; Administrator zachowuje log wycofania zgody w celu wykazania zgodności z RODO (art. 7 ust. 1 RODO) |
§ 7. Transfer danych poza Europejski Obszar Gospodarczy (EOG)
- W związku z korzystaniem z usług Google, Meta, Stripe oraz Hotjar dane osobowe mogą być przekazywane do podmiotów mających siedzibę w Stanach Zjednoczonych.
- Transfer danych do USA odbywa się na jednej z następujących podstaw prawnych:
- Ramy Ochrony Prywatności UE-USA (EU-US Data Privacy Framework, DPF) — decyzja wykonawcza Komisji Europejskiej 2023/1795 stwierdzająca odpowiedni stopień ochrony danych; ma zastosowanie do podmiotów certyfikowanych w ramach DPF;
- standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską — w przypadku podmiotów niecertyfikowanych w DPF (art. 46 ust. 2 lit. c RODO).
- Podmioty, z których usług korzysta Administrator, certyfikowane w DPF (stan na dzień zawarcia niniejszej Polityki): Google LLC, Meta Platforms, Inc., Stripe, Inc., Hotjar Ltd. Aktualna lista certyfikowanych podmiotów jest dostępna pod adresem: https://www.dataprivacyframework.gov/.
- Osoba, której dane dotyczą, ma prawo uzyskać kopię zabezpieczeń stosowanych przy transferze danych — w tym celu wystarczy wysłać wiadomość na adres e-mail Administratora.
§ 8. Prawa osób, których dane dotyczą
Każdej osobie, której dane osobowe są przetwarzane przez Administratora, przysługują następujące prawa:
- Prawo dostępu do danych (art. 15 RODO) — uzyskania informacji o przetwarzaniu oraz otrzymania kopii danych.
- Prawo do sprostowania danych (art. 16 RODO).
- Prawo do usunięcia danych (art. 17 RODO — tzw. „prawo do bycia zapomnianym”).
- Prawo do ograniczenia przetwarzania (art. 18 RODO).
- Prawo do przenoszenia danych (art. 20 RODO).
- Prawo do sprzeciwu (art. 21 RODO) — w tym:
- zawsze wobec przetwarzania na potrzeby marketingu bezpośredniego;
- wobec przetwarzania na podstawie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO) — w takim przypadku Administrator zaprzestaje przetwarzania, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw nadrzędnych wobec interesów osoby.
- Prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO) — szczegóły w § 9.
- Prawo do wycofania zgody w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem.
- Prawo do wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, kancelaria@uodo.gov.pl, www.uodo.gov.pl.
Tryb realizacji praw: wiadomość e-mail na adres biuro@beautypostsystem.pl lub pisemnie na adres korespondencyjny Administratora. Administrator udziela odpowiedzi na żądanie bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania; w szczególnie uzasadnionych przypadkach termin ten może zostać przedłużony o kolejne 60 dni (art. 12 ust. 3 RODO).
§ 9. Profilowanie i zautomatyzowane podejmowanie decyzji
- Niektóre z narzędzi, z których korzysta Administrator (w szczególności MailerLite, Google Ads i Meta Ads), dokonują zautomatyzowanych analiz danych osobowych — w tym segmentacji odbiorców i tworzenia grup podobnych (lookalike audience) — w celu lepszego dopasowania komunikacji marketingowej.
- Opisane w ust. 1 czynności nie wywołują wobec osób, których dane dotyczą, skutków prawnych ani nie wpływają na nie w inny istotny sposób (w szczególności Administrator nie odmawia z tego powodu sprzedaży, zawarcia Umowy ani świadczenia usług). W związku z tym art. 22 ust. 1 RODO nie znajduje zastosowania.
- Niezależnie od powyższego osobie, której dane dotyczą, przysługuje prawo sprzeciwu wobec profilowania na potrzeby marketingu bezpośredniego — w każdej chwili i bez podania przyczyny.
§ 10. Bezpieczeństwo danych
Administrator stosuje środki techniczne i organizacyjne odpowiednie do ryzyka, w szczególności:
- szyfrowanie transmisji danych protokołem SSL/TLS;
- regularne kopie zapasowe serwerów udostępniane przez dostawcę hostingu;
- bieżące aktualizacje systemu WordPress, WooCommerce i wtyczek;
- ograniczony dostęp do panelu administracyjnego (dwuskładnikowe uwierzytelnianie, unikalne hasła);
- przechowywanie haseł użytkowników w postaci zahashowanej;
- zawieranie umów powierzenia przetwarzania danych osobowych (DPA) ze wszystkimi procesorami, o których mowa w § 5.
§ 11. Zmiany Polityki Prywatności
- Administrator zastrzega prawo do zmiany niniejszej Polityki Prywatności w przypadku:
- zmiany przepisów prawa;
- zmiany zakresu przetwarzanych danych lub celów przetwarzania;
- zmiany podmiotów współpracujących, którym powierzane jest przetwarzanie danych;
- zmiany formy prawnej lub danych Administratora.
- Informacja o zmianach publikowana jest na stronie Sklepu. W przypadku istotnych zmian Administrator informuje dodatkowo drogą elektroniczną osoby, które posiadają Konto lub zapisane są do newslettera.
- Poprzednie wersje Polityki Prywatności są udostępniane na żądanie skierowane na adres e-mail Administratora.
§ 12. Data wejścia w życie
Niniejsza Polityka Prywatności w wersji 1.0 wchodzi w życie z dniem 15.04.2026.
Polityka Prywatności sporządzona dnia 15.04.2026. Wersja 1.0.