Polityka prywatności

obowiązuje od: 15.09.2025 r.

Dokument uzupełnia Regulamin sklepu oraz Politykę cookies.

---

§0. Spis treści

1. §1. Administrator danych i dane kontaktowe
2. §2. Zakres stosowania Polityki, definicje i podstawy zgodności
3. §3. Kategorie danych, cele i podstawy prawne przetwarzania
4. §4. Odbiorcy danych i kategorie podmiotów przetwarzających
5. §5. Przekazywanie danych poza EOG i stosowane zabezpieczenia
6. §6. Pliki cookies, podobne technologie i zgody (CookieScript, Consent Mode v2)
7. §7. Marketing bezpośredni, remarketing, profilowanie i automatyzacja
8. §8. Okresy przechowywania danych (retencja)
9. §9. Prawa osób, których dane dotyczą, oraz sposób ich realizacji
10. §10. Bezpieczeństwo informacji (organizacyjne i techniczne środki ochrony)
11. §11. Dane dzieci i osób małoletnich
12. §12. Obowiązek lub dobrowolność podania danych i konsekwencje
13. §13. Zmiany Polityki i sposób informowania
14. §14. Odnośniki i dokumenty powiązane

---

§1. Administrator danych i dane kontaktowe

1. Administratorem danych osobowych jest JUSTIE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ (JUSTIE sp. z o.o.), z siedzibą: ul. Józefa Dietla 34 5B, 30-070 Kraków, Polska, KRS: 0001063176, NIP: 6762653643, REGON: 526647622, kapitał zakładowy: 10.000 zł – w całości wpłacony. W dokumencie używamy łącznie obu nazw w tej samej formie.
2. Kontakt w sprawach prywatności/RODO: e-mail: info@vivabella.pl, tel.: +48 506 325 504 (pn–pt, 8:00–16:00). W korespondencji prosimy dodać dopisek „RODO”.
3. Administrator nie powołał Inspektora Ochrony Danych. Wszelkie obowiązki w tym zakresie wykonuje bezpośrednio Administrator.
4. Sklep internetowy działa pod adresem https://vivabella.pl („Sklep”), na platformie WordPress + WooCommerce, a zamówienia można składać całodobowo (obsługa klienta pracuje pn–pt, 8:00–16:00).

§2. Zakres stosowania Polityki, definicje i podstawy zgodności

1. Polityka ma zastosowanie do przetwarzania danych osobowych użytkowników i klientów Sklepu (dalej: „Użytkownik”, „Klient”) w związku z: przeglądaniem serwisu, zakładaniem konta (Moje konto), składaniem zamówień, płatnościami, dostawą, ocenami produktów, subskrypcją newslettera, obsługą reklamacji/zwrotów/wymian oraz działaniami marketingowymi i analitycznymi.
2. Przetwarzanie jest prowadzone zgodnie z prawem polskim (2025) oraz z Rozporządzeniem (UE) 2016/679 („RODO”), a także z przepisami szczególnymi (np. o rachunkowości, przepisami telekomunikacyjnymi i o świadczeniu usług drogą elektroniczną). Praktyki informacyjne i komunikacyjne dostosowujemy do zasad przejrzystości oraz do wytycznych ekosystemu Google (Analytics, Ads, Merchant Center) – przy zachowaniu pierwszeństwa prawa powszechnie obowiązującego.
3. Definicje skrócone:
   • „Dane” – informacje o osobie zidentyfikowanej lub możliwej do zidentyfikowania, w tym identyfikatory internetowe.
   • „Przetwarzanie” – każda operacja na danych (zbieranie, przechowywanie, wykorzystywanie, udostępnianie, usuwanie itd.).
   • „Podmiot przetwarzający” – podmiot zewnętrzny przetwarzający dane w imieniu Administratora na podstawie umowy powierzenia (art. 28 RODO).
   • „Uczestnik ekosystemu reklam/analityki” – np. Google (Analytics, Ads, Merchant Center) działający jako niezależny administrator lub współadministrator niektórych czynności, w ramach odrębnych regulaminów/umów.
   • „Cookies” – pliki lub podobne technologie zapisywane w urządzeniu Użytkownika (szczegóły w Polityce cookies).

§3. Kategorie danych, cele i podstawy prawne przetwarzania

Zakres danych zależy od korzystanych funkcji. Najczęściej przetwarzamy: imię i nazwisko, adres dostawy/rozliczeniowy, e-mail, telefon, dane o zamówieniu (produkt, cena, rabat, status, płatność, numer przesyłki), numer konta klienta, historię korespondencji, identyfikatory transakcyjne, identyfikatory internetowe/urządzeń, dane dot. zgód marketingowych oraz preferencji cookies.

1. Zawarcie i realizacja umowy sprzedaży (zamówienie, płatność, dostawa, obsługa posprzedażowa)
   • Podstawa prawna: art. 6 ust. 1 lit. b RODO (niezbędność do umowy); w zakresie obowiązków księgowych – art. 6 ust. 1 lit. c RODO w zw. z przepisami o rachunkowości; w zakresie dochodzenia roszczeń/obrony przed nimi – art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora).
   • Zakres danych: dane identyfikacyjne i adresowe, kontaktowe, dane o zamówieniu i płatności, numer przesyłki, historia realizacji.
   • Cel: przyjęcie i obsługa zamówienia, płatność, kompletacja, wysyłka, obsługa zwrotów/wymian/reklamacji, archiwizacja dokumentów księgowych.
2. Założenie i prowadzenie konta klienta (Moje konto)
   • Podstawa: art. 6 ust. 1 lit. b RODO (świadczenie usługi konta), ewentualnie lit. f (utrzymanie bezpieczeństwa i integralności systemu).
   • Zakres: e-mail/login, hasło (hash), dane profilowe, historia zamówień, preferencje (np. wishlist).
3. Newsletter i komunikacja handlowa
   • Podstawa: art. 6 ust. 1 lit. a RODO (zgoda) i odpowiednie przepisy dot. komunikacji elektronicznej; możliwość wycofania zgody w każdym czasie.
   • Zakres: e-mail, imię (jeśli podano), informacje o interakcji z wiadomościami.
4. Opinie o produktach i ankiety satysfakcji
   • Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes – poprawa jakości i wiarygodna prezentacja ocen); przy publikacji imienia/litery nazwiska – zainteresowanie użytkownika, a w razie potrzeby zgoda.
5. Obsługa zapytań (formularz, e-mail, telefon)
   • Podstawa: art. 6 ust. 1 lit. f RODO (komunikacja z użytkownikiem, ochrona przed nadużyciami); gdy zapytanie dotyczy umowy – lit. b.
6. Marketing własny, analityka, statystyka, personalizacja treści
   • Podstawa: art. 6 ust. 1 lit. a RODO (zaawansowane analityki/remarketing poprzez cookies) oraz art. 6 ust. 1 lit. f (podstawowe analizy zagregowane, bezpieczeństwo, mierzenie skuteczności bez identyfikacji jednostkowej – w granicach prawa i ustawień zgód).
   • Narzędzia: Google Analytics/Ads, Google Merchant Center, Consent Mode v2, narzędzie zgód CookieScript – zgodnie z Polityką cookies.
7. Zapobieganie nadużyciom i dochodzenie roszczeń
   • Podstawa: art. 6 ust. 1 lit. f RODO (ustalenie, dochodzenie lub obrona roszczeń; zapewnienie bezpieczeństwa usług i transakcji).

§4. Odbiorcy danych i kategorie podmiotów przetwarzających

Dane mogą być przekazywane następującym kategoriom odbiorców – wyłącznie w zakresie niezbędnym do realizacji wskazanych celów:

1. Operator płatności: Autopay S.A. – realizacja i rozliczenie płatności online.
2. Przewoźnicy/logistyka: w szczególności DPD Polska; w modelu dropshipping – wybrani dostawcy (np. hurtownia Matterhorn) realizujący kompletację i nadanie paczki w naszym imieniu.
3. Hosting i utrzymanie IT: dostawca hostingu (CyberFolks) i podmioty wspierające infrastrukturę sklepu (serwisy, kopie bezpieczeństwa, CDN – jeśli stosowany).
4. Narzędzia analityczne i reklamowe: Google (Analytics, Ads, Merchant Center) – zgodnie z przyjętymi ustawieniami zgód oraz z zasadami tych usług.
5. Narzędzie zgód: platforma zgód CookieScript – zarządzanie preferencjami cookies i sygnalizacją zgód (Consent Mode v2).
6. E-mail/komunikacja: dostawcy poczty/SMTP i narzędzia do wysyłki newslettera/wiadomości transakcyjnych.
7. Obsługa prawna/księgowa: kancelarie, biura rachunkowe – w zakresie wypełniania obowiązków prawnych.

Z każdym podmiotem przetwarzającym zawieramy umowę powierzenia (art. 28 RODO) lub korzystamy z udostępnionych mechanizmów prawnych dostawców (np. SCC). Odbiorcy przetwarzają dane wyłącznie na nasze udokumentowane polecenie i tylko w zakresie niezbędnym.

§5. Przekazywanie danych poza EOG i stosowane zabezpieczenia

Niektórzy odbiorcy (np. Google) mogą przetwarzać dane w państwach spoza EOG (m.in. USA). W takich przypadkach stosujemy przewidziane prawem mechanizmy transferu, przede wszystkim standardowe klauzule umowne (SCC) oraz – jeśli to możliwe – dodatkowe środki (pseudonimizacja, minimalizacja zakresu, sygnały zgód). Transfery są ograniczone do danych niezbędnych i realizowane wyłącznie w ramach funkcji, na które wyraziłeś/wyraziłaś zgodę lub które są konieczne do świadczenia usługi.

§6. Pliki cookies, podobne technologie i zgody (CookieScript, Consent Mode v2)

1. Sklep używa cookies i podobnych technologii w celach: zapewnienia działania serwisu (niezbędne), preferencji i personalizacji, statystyki/analityki, bezpieczeństwa, marketingu (w tym remarketingu).
2. Stosujemy platformę zgód CookieScript oraz Google Consent Mode v2, dzięki czemu możesz zarządzać zgodami na kategorie cookies. Zgody możesz udzielić, odrzucić lub zmienić w każdej chwili poprzez widoczny widget/odnośnik (szczegóły i lista kategorii w Polityce cookies).
3. Do momentu wyrażenia zgody narzędzia opcjonalne (np. remarketing) są ograniczone lub nieaktywne; korzystamy z trybów ograniczonego gromadzenia danych zgodnie z wyborem użytkownika.
4. Ustawienia przeglądarki mogą umożliwiać blokowanie cookies. Pamiętaj, że ciasteczka „niezbędne” są konieczne do działania podstawowych funkcji (koszyk, checkout, logowanie).

§7. Marketing bezpośredni, remarketing, profilowanie i automatyzacja

1. Newsletter: wysyłamy wyłącznie po uzyskaniu zgody. W każdej wiadomości znajduje się link do rezygnacji. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania przed jej cofnięciem.
2. Remarketing i personalizacja reklam: mogą wykorzystywać dane z cookies/identyfikatorów reklamowych na podstawie Twoich zgód. Reklamy mogą być wyświetlane w usługach podmiotów trzecich (np. Google).
3. Profilowanie: możemy prowadzić ograniczone profilowanie marketingowe (np. segmenty zainteresowań, koszyk porzucony), aby dostosować treści i oferty. Profilowanie nie wywołuje skutków prawnych wobec Ciebie ani w podobny istotny sposób nie wpływa na Twoją sytuację (brak w pełni zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO).
4. Sprzeciw: masz prawo wnieść sprzeciw wobec przetwarzania danych w celach marketingu bezpośredniego oraz wobec profilowania – realizujemy go niezwłocznie.

§8. Okresy przechowywania danych (retencja)

• Konto klienta: do czasu usunięcia konta lub 5 lat od ostatniej aktywności (dla celów dowodowych – maksymalnie do upływu przedawnienia roszczeń).
• Zamówienia i dokumentacja księgowa: co do zasady do 6 lat od końca roku, w którym powstał obowiązek podatkowy (wymogi rachunkowe i podatkowe).
• Reklamacje/zwroty/wymiany: do 6 lat od zakończenia sprawy (ustalenie/dochodzenie/obrona roszczeń).
• Newsletter/zgody marketingowe: do czasu cofnięcia zgody lub wniesienia sprzeciwu; metadane potwierdzające udzielenie/wycofanie zgody – do upływu terminów przedawnienia.
• Dane z formularzy kontaktowych: zwykle do 12 miesięcy od zakończenia korespondencji, chyba że staną się częścią relacji umownej lub sporu.
• Logi systemowe i bezpieczeństwa: zwykle 3–12 miesięcy, chyba że dłuższe przechowywanie jest niezbędne dla wyjaśnienia incydentu.

Po upływie okresów retencji dane są bezpiecznie usuwane lub anonimizowane.

§9. Prawa osób, których dane dotyczą, oraz sposób ich realizacji

1. Przysługują Ci prawa: dostępu do danych, ich sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania (w tym wobec marketingu bezpośredniego i profilowania), oraz wycofania zgody w dowolnym momencie (jeżeli przetwarzanie opiera się na zgodzie).
2. Aby skorzystać z praw, skontaktuj się z nami: info@vivabella.pl (temat: „RODO – prawo”). Zanim zrealizujemy wniosek, możemy zweryfikować Twoją tożsamość.
3. Odpowiadamy co do zasady w ciągu 1 miesiąca (możliwość przedłużenia w przypadkach przewidzianych przez RODO).
4. Skarga do organu nadzorczego: masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

§10. Bezpieczeństwo informacji (organizacyjne i techniczne środki ochrony)

Stosujemy odpowiednie środki techniczne i organizacyjne, w tym m.in.: szyfrowanie transmisji (HTTPS/TLS), mechanizmy kontroli dostępu i autoryzacji, haszowanie haseł, kopie bezpieczeństwa, minimalizację zakresu przetwarzania i ograniczenie czasów retencji, testy i monitorowanie bezpieczeństwa, polityki uprawnień i szkolenia personelu. Wybieramy podwykonawców zapewniających co najmniej równoważny poziom ochrony i weryfikujemy ich zgodność z RODO (umowy powierzenia, audytowalność, środki bezpieczeństwa).

§11. Dane dzieci i osób małoletnich

Oferta Sklepu jest skierowana do osób pełnoletnich. Nie kierujemy usług do dzieci, nie zbieramy świadomie danych osób poniżej 16 roku życia. Jeżeli stwierdzimy, że zebraliśmy takie dane, niezwłocznie je usuniemy. Rodzice/opiekunowie mogą skontaktować się z nami: info@vivabella.pl.

§12. Obowiązek lub dobrowolność podania danych i konsekwencje

• Podanie danych niezbędnych do zawarcia i realizacji umowy (zakup, dostawa, płatność) jest konieczne – bez nich nie zrealizujemy zamówienia.
• Podanie danych do newslettera oraz wyrażenie zgód marketingowych jest dobrowolne.
• W kontekście cookies zgody na kategorie „statystyczne”/„marketingowe” są dobrowolne; ciasteczka „niezbędne” są konieczne do prawidłowego działania serwisu.

§13. Zmiany Polityki i sposób informowania

Możemy aktualizować Politykę m.in. z przyczyn: zmiany prawa, wdrożenia nowych funkcji, zmiany podwykonawców lub narzędzi. O istotnych zmianach poinformujemy poprzez serwis (np. komunikat banerowy/e-mail dla subskrybentów). Aktualna wersja zawsze znajduje się na stronie Polityka prywatności i obowiązuje od daty publikacji wskazanej w nagłówku.

§14. Odnośniki i dokumenty powiązane

• Regulamin sklepu
• Polityka cookies
• Dostawa i wysyłka
• Zwroty, wymiany i reklamacje
• Metody płatności
• Kontakt
• Moje konto

Administratorem danych we wszystkich ww. procesach pozostaje JUSTIE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ (JUSTIE sp. z o.o.).

VIVABELLA.PL – dokument przyjęty i obowiązujący od 15.09.2025 r.
Administrator: JUSTIE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ (JUSTIE sp. z o.o.), ul. Józefa Dietla 34 5B, 30-070 Kraków, Polska.
Kontakt RODO: info@vivabella.pl, tel. +48 506 325 504 (pn–pt, 8:00–16:00).