Darmowa wysyłka od 599 zł Wysyłka 1–2 dni robocze 14 dni na zwrot bez pytań Najwyższa jakość ziaren

Polityka Prywatności RODO

1. Administrator danych osobowych

Administratorem danych osobowych Klientów oraz Użytkowników sklepu internetowego dostępnego pod adresem https://buycoffee.pl (dalej: „Sklep") jest:

  • AquaAroma
  • ul. [adres do uzupełnienia], Polska
  • NIP: 784-205-27-97, REGON: 634615742
  • E-mail kontaktowy: kontakt@buycoffee.pl

Niniejsza Polityka Prywatności (dalej: „Polityka") określa zasady przetwarzania i ochrony danych osobowych pozyskiwanych w związku z korzystaniem ze Sklepu. Polityka stanowi realizację obowiązku informacyjnego wynikającego z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych (RODO).

Administrator dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, że zbierane przez niego dane są przetwarzane zgodnie z prawem, w sposób adekwatny, prawidłowy, rzetelny i przejrzysty, są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz są przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których są przetwarzane.

2. Inspektor Ochrony Danych

Administrator po dokonaniu analizy obowiązków wynikających z art. 37 RODO nie wyznaczył Inspektora Ochrony Danych Osobowych. Charakter, zakres oraz cele przetwarzania prowadzonego przez Administratora nie wymagają obligatoryjnego powołania IOD w rozumieniu przepisów RODO. We wszelkich sprawach związanych z przetwarzaniem danych osobowych, w tym dotyczących realizacji praw osób, których dane dotyczą, można kontaktować się bezpośrednio z Administratorem pod adresem e-mail: kontakt@buycoffee.pl z dopiskiem „RODO" lub korespondencyjnie na adres siedziby Administratora wskazany w pkt. 1. Administrator zobowiązuje się odpowiadać na wszelkie zapytania bez zbędnej zwłoki, najpóźniej w terminach wskazanych w pkt. 8 niniejszej Polityki.

3. Cele i podstawy prawne przetwarzania danych

Dane osobowe Klientów i Użytkowników Sklepu są przetwarzane wyłącznie na podstawie i w granicach wyznaczonych przepisami RODO oraz krajowymi przepisami szczególnymi (m.in. ustawą o świadczeniu usług drogą elektroniczną, ustawą Prawo telekomunikacyjne, ustawą o rachunkowości, ustawą o podatku od towarów i usług oraz Ordynacją podatkową). Każda operacja przetwarzania jest powiązana z konkretnym celem oraz odpowiadającą mu podstawą prawną, co Administrator dokumentuje w wewnętrznym rejestrze czynności przetwarzania (art. 30 RODO).

Poniższa tabela stanowi pełne zestawienie celów, podstaw prawnych, kategorii danych oraz okresów retencji dla wszystkich procesów przetwarzania prowadzonych w Sklepie. W przypadku jednoczesnego przetwarzania w kilku celach (np. dane zamówieniowe wykorzystywane są zarówno do realizacji umowy, jak i do celów księgowych) Administrator stosuje najdłuższy z mających zastosowanie okresów przechowywania, a po jego upływie dane są niezwłocznie usuwane lub poddawane anonimizacji w sposób uniemożliwiający ponowną identyfikację osoby.

Cel przetwarzania Podstawa prawna (RODO) Kategorie danych Okres retencji
Realizacja zamówienia (zakup, dostawa, kontakt w sprawie zamówienia) art. 6 ust. 1 lit. b RODO, niezbędność do wykonania umowy imię, nazwisko, adres, e-mail, telefon, dane zamówienia 5 lat (zgodnie z ustawą o rachunkowości)
Wystawianie faktur VAT i prowadzenie dokumentacji księgowej art. 6 ust. 1 lit. c RODO w zw. z art. 74 ustawy o rachunkowości oraz Ordynacją podatkową dane firmy, NIP, adres siedziby, dane zamówienia, dane płatnika 5 lat od końca roku podatkowego, w którym powstał obowiązek
Newsletter i marketing elektroniczny art. 6 ust. 1 lit. a RODO (dobrowolna zgoda) w zw. z art. 10 u.ś.u.d.e. adres e-mail, imię (opcjonalnie), preferencje subskrypcji do wycofania zgody przez osobę, której dane dotyczą
Marketing własnych produktów i usług (prawnie uzasadniony interes) art. 6 ust. 1 lit. f RODO, motyw 47 preambuły e-mail, historia zakupów, segmentacja produktowa 2 lata od ostatniej aktywności Klienta lub do wniesienia sprzeciwu
Obsługa konta Klienta art. 6 ust. 1 lit. b RODO, wykonanie umowy o świadczenie usług drogą elektroniczną dane logowania (e-mail, hash hasła), profil, historia zamówień, zapisane adresy do usunięcia konta przez Klienta + 6 miesięcy (rozliczenie ewentualnych reklamacji)
Rozpatrywanie reklamacji i zwrotów art. 6 ust. 1 lit. b RODO oraz art. 6 ust. 1 lit. c RODO (Kodeks cywilny, ustawa o prawach konsumenta) dane zamówienia, korespondencja, dokumentacja reklamacyjna, dane rachunku bankowego (przy zwrocie) 3 lata od zakończenia postępowania reklamacyjnego
Cele analityczne (statystyki, optymalizacja działania Sklepu) art. 6 ust. 1 lit. f RODO oraz art. 6 ust. 1 lit. a RODO w zakresie cookies wymagających zgody adres IP, identyfikatory cookies, dane techniczne urządzenia, dane o ruchu w Sklepie 26 miesięcy (domyślny okres dla Google Analytics 4)
Bezpieczeństwo Sklepu, wykrywanie i przeciwdziałanie nadużyciom art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes Administratora logi serwera, adres IP, identyfikatory sesji, znaczniki bezpieczeństwa (np. WAF) 12 miesięcy
Dochodzenie roszczeń lub obrona przed roszczeniami art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes Administratora wszystkie powyższe kategorie danych w zakresie niezbędnym do prowadzenia sporu do upływu terminu przedawnienia roszczeń (3-6 lat)

W przypadku wątpliwości co do podstawy prawnej konkretnej operacji przetwarzania, Klient może w każdej chwili zwrócić się do Administratora z prośbą o wyjaśnienie. Administrator zobowiązuje się do udzielenia odpowiedzi w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny, jasnym i prostym językiem, zgodnie z art. 12 ust. 1 RODO.

4. Kategorie przetwarzanych danych

W zależności od podejmowanych przez Klienta lub Użytkownika działań w Sklepie przetwarzamy następujące kategorie danych osobowych:

  • Dane identyfikacyjne i kontaktowe: imię, nazwisko, adres dostawy (ulica, numer domu/mieszkania, kod pocztowy, miejscowość, kraj), adres e-mail, numer telefonu,
  • Dane firmy (dotyczy Klientów firmowych): nazwa firmy, NIP, adres siedziby,
  • Dane Konta: login (e-mail), hash hasła (bcrypt), preferencje, historia Zamówień, zapisane adresy,
  • Dane transakcyjne: numery Zamówień, kwoty, metody płatności, identyfikatory transakcji od operatorów płatniczych (sam numer karty nie jest przechowywany przez Administratora, obsługują go operatorzy płatności w zgodzie z PCI DSS),
  • Dane techniczne: adres IP, identyfikator sesji, typ przeglądarki, system operacyjny, rozdzielczość ekranu, dane o urządzeniu, identyfikatory cookies, dane o aktywności w Sklepie (przeglądane strony, czas, źródło ruchu),
  • Dane komunikacji: treść wiadomości e-mail, zgłoszeń reklamacyjnych, formularzy kontaktowych.

Podanie danych osobowych jest dobrowolne, jednak niezbędne do zawarcia Umowy Sprzedaży, założenia Konta lub skorzystania z określonych funkcji Sklepu. Brak podania wymaganych danych uniemożliwi realizację tych usług. Administrator nie przetwarza danych szczególnych kategorii (tzw. danych wrażliwych) w rozumieniu art. 9 RODO ani danych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).

5. Odbiorcy danych osobowych

W celu prawidłowej realizacji usług świadczonych za pośrednictwem Sklepu Administrator korzysta z wsparcia wyspecjalizowanych podmiotów zewnętrznych, którym powierza przetwarzanie danych osobowych w niezbędnym zakresie. Z każdym z wymienionych poniżej podmiotów przetwarzających Administrator zawarł pisemną umowę powierzenia przetwarzania danych osobowych, zgodnie z wymogami art. 28 RODO. Umowy te określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa Administratora.

Dane osobowe mogą być udostępniane następującym kategoriom odbiorców, wyłącznie w zakresie niezbędnym do realizacji celów określonych w pkt. 3 niniejszej Polityki:

5.1. Przewoźnicy (dostawa Zamówień)

  • InPost S.A., ul. Pana Tadeusza 4, 30-727 Kraków, usługi Paczkomatów oraz kuriera InPost; odbiorca otrzymuje imię, nazwisko, adres dostawy lub kod Paczkomatu, numer telefonu oraz e-mail (do powiadomień SMS i e-mail o statusie przesyłki),
  • DPD Polska sp. z o.o., ul. Mineralna 15, 02-274 Warszawa, usługi kurierskie DPD na terenie Polski oraz wysyłki zagraniczne; zakres danych analogiczny jak powyżej.

Przewoźnicy działają jako odrębni administratorzy danych w zakresie wykonywania umowy przewozu, a jednocześnie jako podmioty przetwarzające w zakresie usług dodatkowych świadczonych na zlecenie Administratora (np. powiadomienia o doręczeniu).

5.2. Operatorzy płatności elektronicznych

  • PayU S.A., ul. Grunwaldzka 186, 60-166 Poznań, obsługa szybkich przelewów online, BLIK, płatności kartą,
  • DialCom24 sp. z o.o. (Przelewy24), ul. Kanclerska 15, 60-327 Poznań, pośrednictwo w płatnościach internetowych,
  • Stripe Payments Europe Ltd, 1 Grand Canal Street Lower, Dublin 2, Irlandia, obsługa płatności kartami płatniczymi, Apple Pay, Google Pay,
  • Polski Standard Płatności sp. z o.o. (BLIK), Warszawa, system płatności mobilnych BLIK.

Operatorzy płatności są odrębnymi administratorami danych w zakresie realizacji transakcji płatniczych i działają w oparciu o własne polityki prywatności oraz wymogi PSD2 i PCI DSS. Administrator nie przechowuje pełnych numerów kart płatniczych ani kodów CVV/CVC.

5.3. Dostawcy usług IT (hosting, infrastruktura)

  • Operator hostingu cloud z lokalizacją serwerów na terenie Unii Europejskiej, przechowywanie bazy danych Sklepu, plików, kopii zapasowych,
  • Dostawca oprogramowania sklepu internetowego (PrestaShop) oraz dostawcy modułów funkcjonalnych,
  • Dostawca usług kopii zapasowych w zaszyfrowanym repozytorium.

5.4. System mailingowy (transactional email)

Wysyłka wiadomości transakcyjnych (potwierdzenia zamówień, powiadomienia o statusie, faktury, reset hasła) oraz wiadomości marketingowych (Newsletter) jest realizowana za pośrednictwem profesjonalnego dostawcy usług e-mail z siedzibą na terenie Unii Europejskiej (np. SendGrid by Twilio Inc. z gwarancjami transferu danych opisanymi w pkt. 6, lub europejski dostawca SMTP). Operatorowi tych usług przekazywany jest adres e-mail odbiorcy oraz treść wiadomości.

5.5. Biuro księgowe

W zakresie wystawiania faktur, prowadzenia ksiąg rachunkowych oraz rozliczeń podatkowych dane są przekazywane do zewnętrznego biura księgowego współpracującego z Administratorem na podstawie umowy powierzenia przetwarzania danych osobowych. Biuro księgowe ma siedzibę na terytorium Rzeczypospolitej Polskiej i przetwarza dane wyłącznie w celach księgowo-podatkowych.

5.6. Dostawcy usług analitycznych i marketingowych (wyłącznie po wyrażeniu zgody na cookies)

  • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia, Google Analytics 4, Google Ads, Google Tag Manager (instalowane wyłącznie po wyrażeniu zgody na cookies analityczne lub marketingowe),
  • Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irlandia, Meta Pixel (Facebook, Instagram), wyłącznie po wyrażeniu zgody na cookies marketingowe.

Z wszystkimi podmiotami przetwarzającymi dane na zlecenie Administratora zawarte są pisemne umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO, gwarantujące odpowiedni poziom ochrony danych oraz prawo Administratora do kontroli (audytu) podmiotu przetwarzającego.

6. Przekazywanie danych do państw trzecich

W związku z korzystaniem z usług dostarczanych przez Google LLC oraz Meta Platforms Inc. (a także w wybranych przypadkach przez Stripe Inc. oraz Twilio Inc.), dane osobowe mogą być przekazywane do Stanów Zjednoczonych Ameryki, państwa znajdującego się poza Europejskim Obszarem Gospodarczym (EOG). Każdy taki transfer odbywa się z poszanowaniem rozdziału V RODO i jest oparty na odpowiednich gwarancjach prawnych:

  • EU-US Data Privacy Framework (DPF), od dnia 10 lipca 2023 r. obowiązuje decyzja wykonawcza Komisji Europejskiej (UE) 2023/1795 stwierdzająca odpowiedni stopień ochrony danych osobowych zapewniany przez ramy ochrony danych UE-USA. DPF zastąpił poprzedni mechanizm „Privacy Shield" unieważniony wyrokiem TSUE w sprawie Schrems II. Transfery do podmiotów certyfikowanych w ramach DPF są traktowane jak transfery wewnątrzunijne,
  • Standardowe Klauzule Umowne (SCC) przyjęte decyzją wykonawczą Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r. jako dodatkowy, niezależny mechanizm zabezpieczający, stosowany równolegle do DPF,
  • Transfer Impact Assessment (TIA), Administrator dokonał oceny ryzyka transferu danych do państwa trzeciego, uwzględniając porządek prawny państwa odbiorcy, możliwości dostępu organów publicznych do danych oraz dostępne środki ochrony prawnej. W wyniku TIA wdrożono dodatkowe środki techniczne i organizacyjne, w szczególności: szyfrowanie danych w spoczynku i w tranzycie, pseudonimizację identyfikatorów użytkowników (np. funkcja IP Anonymization w GA4), minimalizację zakresu przekazywanych danych oraz konfigurację respektującą zgody Klienta (Consent Mode v2).

Aktualna lista podmiotów certyfikowanych w ramach EU-US Data Privacy Framework dostępna jest pod adresem: https://www.dataprivacyframework.gov/. Osoba, której dane dotyczą, może uzyskać kopię stosowanych zabezpieczeń (w szczególności podpisanych Standardowych Klauzul Umownych) kontaktując się z Administratorem pod adresem kontakt@buycoffee.pl.

Jeżeli osoba, której dane dotyczą, uzna, że transfer jej danych do państwa trzeciego narusza jej prawa lub wolności gwarantowane RODO, przysługuje jej prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), którego dane kontaktowe wskazano w pkt. 8 niniejszej Polityki.

7. Okresy retencji danych

Okresy przechowywania danych osobowych wskazane są szczegółowo w tabeli zamieszczonej w pkt. 3. Administrator stosuje zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO), dane są przechowywane wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, a po jego upływie są trwale usuwane lub anonimizowane (przekształcane w sposób uniemożliwiający przypisanie do konkretnej osoby fizycznej). Dane przetwarzane na podstawie zgody są usuwane niezwłocznie po jej wycofaniu, chyba że istnieje inna, niezależna podstawa prawna do dalszego przetwarzania (np. obowiązek księgowy, dochodzenie roszczeń).

8. Prawa osób, których dane dotyczą

Na podstawie przepisów RODO każdej osobie, której dane osobowe są przetwarzane przez Administratora, przysługuje szereg uprawnień. Administrator zapewnia możliwość skutecznej i nieodpłatnej realizacji każdego z tych praw, a wszelkie żądania rozpatruje bez zbędnej zwłoki, najpóźniej w terminach przewidzianych przepisami. Poniżej szczegółowo omówiono poszczególne prawa wraz ze sposobem ich realizacji.

Prawo dostępu do danych (art. 15 RODO), każdej osobie przysługuje prawo do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, prawo do uzyskania dostępu do tych danych oraz informacji o celach przetwarzania, kategoriach danych, odbiorcach, planowanym okresie przechowywania, prawach przysługujących osobie oraz źródle pozyskania danych. Sposób realizacji: wniosek można złożyć drogą e-mail na adres kontakt@buycoffee.pl z tytułem „Wniosek RODO, dostęp". Termin odpowiedzi: 1 miesiąc od otrzymania żądania, z możliwością przedłużenia o kolejne 2 miesiące w sprawach skomplikowanych (max. 3 miesiące). Forma: kopia danych w ustrukturyzowanym formacie (CSV/JSON/PDF) wraz z pisemną informacją o przetwarzaniu.

Prawo do sprostowania danych (art. 16 RODO), osoba ma prawo żądania niezwłocznego sprostowania danych osobowych, które są nieprawidłowe, oraz uzupełnienia danych niekompletnych. Wiele danych (adres dostawy, dane fakturowe, dane kontaktowe) Klient może edytować samodzielnie w panelu Konta Klienta. Pozostałe sprostowania Administrator wykonuje niezwłocznie po otrzymaniu żądania.

Prawo do usunięcia danych, „prawo do bycia zapomnianym" (art. 17 RODO), osoba może żądać usunięcia danych osobowych, jeżeli zachodzi jedna z przesłanek wskazanych w art. 17 ust. 1 RODO (m.in. dane nie są już niezbędne do celów, w których zostały zebrane; zgoda została wycofana; osoba wniosła skuteczny sprzeciw). Kiedy Administrator odmówi usunięcia: gdy dalsze przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku (np. 5-letni obowiązek archiwizacji faktur), do ustalenia, dochodzenia lub obrony roszczeń, lub do celów archiwalnych w interesie publicznym. Procedura: wniosek e-mail, weryfikacja tożsamości osoby składającej (w razie wątpliwości), decyzja Administratora w terminie 1 miesiąca.

Prawo do ograniczenia przetwarzania (art. 18 RODO), osoba może żądać ograniczenia przetwarzania w sytuacjach wskazanych w przepisie, w szczególności gdy kwestionuje prawidłowość danych lub gdy przetwarzanie jest niezgodne z prawem, ale sprzeciwia się usunięciu danych. Przykład: Klient zgłasza, że dane adresowe są nieaktualne, przez okres do 1 miesiąca, w którym Administrator weryfikuje prawidłowość, przetwarzanie zostaje wstrzymane poza samym przechowywaniem.

Prawo do sprzeciwu (art. 21 RODO), osoba ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych opartego na art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes), z przyczyn związanych z jej szczególną sytuacją. Sprzeciw wobec marketingu bezpośredniego jest bezwarunkowy, natychmiastowy i nie wymaga uzasadnienia, Administrator zaprzestaje przetwarzania danych w tym celu od chwili otrzymania sprzeciwu. Sprzeciw wobec innego przetwarzania na podstawie art. 6 ust. 1 lit. f wymaga wskazania szczególnej sytuacji Klienta, a Administrator zaprzestaje przetwarzania, chyba że wykaże nadrzędne prawnie uzasadnione podstawy.

Prawo do przenoszenia danych (art. 20 RODO), osoba ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. JSON, CSV, XML) dane osobowe jej dotyczące, które dostarczyła Administratorowi, oraz przesłać je innemu administratorowi. Prawo to dotyczy danych przetwarzanych na podstawie zgody lub umowy oraz przetwarzanych w sposób zautomatyzowany. Termin realizacji: 1 miesiąc.

Prawo do wycofania zgody, w każdej chwili, bez wpływu na zgodność z prawem przetwarzania dokonanego na podstawie zgody przed jej wycofaniem. Przykładowo: wypisanie się z Newslettera można zrealizować jednym kliknięciem za pomocą linku „Wypisz się" znajdującego się w stopce każdej wiadomości marketingowej, a także poprzez kontakt e-mail.

Prawo wniesienia skargi do organu nadzorczego, każda osoba, która uważa, że przetwarzanie jej danych narusza przepisy RODO, ma prawo wnieść skargę do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, strona internetowa: https://uodo.gov.pl, infolinia: 22 531 03 00. Skargę można złożyć pisemnie, elektronicznie (ePUAP) lub osobiście.

W celu realizacji praw prosimy o kontakt na adres kontakt@buycoffee.pl. W przypadku uzasadnionych wątpliwości co do tożsamości osoby składającej żądanie Administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości (art. 12 ust. 6 RODO). Realizacja praw jest co do zasady bezpłatna; opłata może zostać pobrana jedynie w przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych.

9. Profilowanie i automatyczne decyzje

Administrator wykorzystuje profilowanie w następującym zakresie:

  • Rekomendacje produktów, na podstawie historii Zamówień i przeglądanych Towarów prezentujemy spersonalizowane sugestie produktowe w Sklepie i w komunikacji e-mail,
  • Remarketing reklamowy, wyłącznie po wyrażeniu zgody na cookies marketingowe, wyświetlanie reklam Sklepu na zewnętrznych platformach (Google, Meta) na podstawie wizyt w Sklepie,
  • Segmentacja Newslettera, dostosowanie treści Newslettera do preferencji.

Administrator nie podejmuje wobec osób, których dane dotyczą, decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby wobec tych osób skutki prawne lub w podobny sposób istotnie na nie wpływały (w rozumieniu art. 22 RODO). Profilowanie prowadzone przez Administratora w celach marketingowych ma charakter wyłącznie statystyczny i nie prowadzi do podejmowania automatycznych decyzji mających istotny wpływ na sytuację prawną lub faktyczną Klienta (np. odmowa zawarcia umowy, dyskryminacja cenowa). Wszystkie ceny prezentowane w Sklepie są jednakowe dla wszystkich Użytkowników w danym momencie, niezależnie od ich historii zakupowej, urządzenia czy lokalizacji. Klient w każdej chwili może wnieść sprzeciw wobec profilowania w celach marketingowych zgodnie z art. 21 ust. 2 RODO, sprzeciw ten jest bezwarunkowy i skuteczny z chwilą jego otrzymania.

10. Pliki cookies

Sklep wykorzystuje pliki cookies (tzw. ciasteczka), niewielkie pliki tekstowe zapisywane w urządzeniu końcowym Użytkownika podczas korzystania ze Sklepu. Pliki cookies pełnią funkcje niezbędne do prawidłowego działania Sklepu (m.in. obsługa koszyka, sesji, mechanizmu zabezpieczeń), funkcjonalne (zapamiętywanie preferencji), analityczne (anonimowy pomiar ruchu i zachowań Użytkowników) oraz marketingowe (personalizacja reklam i pomiar skuteczności kampanii).

Cookies analityczne oraz marketingowe są instalowane wyłącznie po wyrażeniu przez Użytkownika dobrowolnej, świadomej i jednoznacznej zgody za pośrednictwem bannera CMP (Consent Management Platform) wyświetlanego przy pierwszej wizycie. Banner umożliwia akceptację wszystkich kategorii cookies, odrzucenie wszystkich kategorii niewymaganych lub dostosowanie wyboru w panelu szczegółowym („Akceptuj wszystkie" / „Odrzuć wszystkie" / „Dostosuj").

Użytkownik w każdej chwili może zmienić lub wycofać zgody na cookies, klikając w link „Zmień zgody cookies" znajdujący się w stopce Sklepu. Pełna, szczegółowa polityka cookies wraz z wykazem konkretnych plików, ich celów, dostawców oraz okresów ważności dostępna jest pod adresem: https://buycoffee.pl/polityka-cookies.

11. Bezpieczeństwo danych

Administrator stosuje techniczne i organizacyjne środki bezpieczeństwa odpowiadające ryzyku naruszenia praw osób, których dane dotyczą, w tym w szczególności:

  • Szyfrowanie transmisji, protokół SSL/TLS (HTTPS) dla całego ruchu w Sklepie,
  • Hashowanie haseł, algorytm bcrypt; hasła nie są przechowywane w postaci jawnej,
  • Kopie zapasowe, regularne kopie zapasowe bazy danych przechowywane w zaszyfrowanej formie,
  • Ograniczenie dostępu, dostęp do danych mają wyłącznie upoważnione osoby na zasadzie need-to-know,
  • Logi dostępu i audytu, rejestracja operacji na danych w celach bezpieczeństwa,
  • Aktualizacje oprogramowania, bieżące aktualizacje systemu sklepowego, modułów i serwera,
  • Szkolenia personelu, w zakresie ochrony danych osobowych i bezpieczeństwa informacji.

W przypadku naruszenia ochrony danych osobowych mogącego skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, Administrator niezwłocznie zawiadamia osoby, których dane dotyczą, zgodnie z art. 34 RODO oraz Prezesa UODO w terminie 72 godzin (art. 33 RODO).

Administrator wdrożył wewnętrzną procedurę reagowania na incydenty ochrony danych osobowych, obejmującą identyfikację, klasyfikację, analizę skutków oraz dokumentację każdego potencjalnego naruszenia. Procedura ta przewiduje: (i) niezwłoczne zabezpieczenie środowiska i ograniczenie skali naruszenia; (ii) ocenę ryzyka dla praw i wolności osób fizycznych w oparciu o metodykę ENISA; (iii) prowadzenie wewnętrznego rejestru naruszeń zgodnie z art. 33 ust. 5 RODO; (iv) komunikację z osobami dotkniętymi naruszeniem oraz organem nadzorczym. Administrator regularnie testuje skuteczność wdrożonych środków bezpieczeństwa, w tym wykonuje skanowanie podatności, testy penetracyjne aplikacji webowej (OWASP Top 10) oraz audyty konfiguracji serwera i bazy danych. Stosowane są również zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO), Administrator zbiera wyłącznie dane niezbędne do realizacji konkretnego celu, a w formularzach Sklepu pola opcjonalne są wyraźnie oznaczone.

Pracownicy i współpracownicy Administratora mający dostęp do danych osobowych są zobowiązani do zachowania ich w tajemnicy zarówno w trakcie trwania współpracy, jak i po jej zakończeniu, na podstawie odrębnych oświadczeń o poufności. Dostęp do panelu administracyjnego Sklepu jest zabezpieczony silnym uwierzytelnianiem (hasło + drugi składnik 2FA tam, gdzie to możliwe), a wszystkie logowania są rejestrowane. Środowisko produkcyjne jest fizycznie i logicznie oddzielone od środowiska testowego, a do testów nigdy nie są używane dane osobowe rzeczywistych Klientów, wykorzystywane są wyłącznie dane syntetyczne lub zanonimizowane.

12. Zmiany w Polityce Prywatności

Administrator zastrzega prawo do wprowadzania zmian w Polityce, w szczególności w przypadku zmiany przepisów prawa, wytycznych Europejskiej Rady Ochrony Danych (EROD) lub krajowego organu nadzorczego (PUODO), wdrożenia nowych funkcjonalności Sklepu, zmiany dostawców usług lub modyfikacji procesów przetwarzania. O istotnych zmianach Klienci posiadający Konto zostaną poinformowani drogą e-mail z co najmniej 14-dniowym wyprzedzeniem przed wejściem zmian w życie; pozostali Użytkownicy poprzez wyraźny komunikat (banner) na stronie głównej Sklepu utrzymywany przez co najmniej 14 dni. Drobne zmiany o charakterze redakcyjnym, porządkowym lub korekty oczywistych omyłek pisarskich mogą być wprowadzane bez powyższych formalności, wymagają jedynie aktualizacji daty wejścia w życie i numeru wersji Polityki.

Archiwum poprzednich wersji Polityki Prywatności wraz z datami ich obowiązywania jest udostępniane na żądanie zainteresowanej osoby pod adresem kontakt@buycoffee.pl. Korzystanie ze Sklepu po wejściu w życie zmian oznacza zapoznanie się z aktualną wersją Polityki. Klient, który nie akceptuje nowej wersji Polityki, ma prawo zamknąć Konto Klienta oraz cofnąć udzielone zgody na zasadach opisanych w pkt. 8, bez ponoszenia z tego tytułu jakichkolwiek negatywnych konsekwencji prawnych lub finansowych.

13. Data wejścia w życie

Niniejsza Polityka Prywatności obowiązuje od dnia 24 maja 2026 r. (wersja 2.0). Poprzednia wersja Polityki (wersja 1.0) obowiązywała od dnia 25 maja 2018 r. do dnia 23 maja 2026 r. i jest dostępna w archiwum Administratora na żądanie zgłoszone na adres kontakt@buycoffee.pl. Dokument został zatwierdzony przez Administratora i podlega okresowemu przeglądowi nie rzadziej niż raz w roku kalendarzowym, a także każdorazowo w razie istotnych zmian w procesach przetwarzania danych.

Powiązane informacje

This website uses cookies to ensure you get the best experience on our website