Polityka prywatności
Zasady przetwarzania i ochrony danych osobowych w sklepie everkids.pl
1. Informacje ogólne
Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych Klientów sklepu internetowego everkids.pl, zgodnie z:
Dane osobowe przetwarzane są z zachowaniem zasady legalności, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności oraz rozliczalności (art. 5 RODO).
2. Administrator danych osobowych
Dane Administratora
Firma: EVERSHOP Sp. z o.o.
NIP: 8672260562
Adres: Jamnica 169, 39-410 Grębów
REGON: 528312771
E-mail: kontakt@everkids.pl
KRS: 0001099031
Sąd Rejonowy w Rzeszowie, XII Wydział Gospodarczy KRS · Kapitał zakładowy: 5 000,00 zł
Kontakt w sprawach ochrony danych osobowych: kontakt@everkids.pl lub listownie na powyższy adres.
3. Kategorie zbieranych danych osobowych
Rejestracja konta
- Adres e-mail (obowiązkowy)
- Hasło — bcrypt (obowiązkowe)
- Imię, nazwisko, telefon (opcjonalne)
Logowanie Apple / Google
- E-mail z konta zewnętrznego
- Identyfikator zewnętrzny
- Platforma i typ urządzenia
Składanie zamówienia
- Imię, nazwisko, e-mail, telefon
- Adres dostawy / rozliczeniowy
- Dane do faktury (NIP, firma)
- Punkt InPost, notatki
Profil konta
- Zapisane adresy (maks. 10)
- Lista życzeń, historia zamówień
- Zgody marketingowe
Profile dzieci
- Imię dziecka
- Data urodzenia (predykcja rozmiaru)
- Płeć (dopasowanie kategorii)
- Maks. 5 profili, wiek 0–12 lat
Program lojalnościowy
- Saldo punktów, poziom
- Historia transakcji
- Karta Apple / Google Wallet
Chatbot AI
- ID sesji czatu
- Treść wiadomości
- IP (zanonimizowany), User Agent
Dane automatyczne
- Adres IP, cookies
- GA4 (client_id, session_id)
- Meta Pixel (fbp, fbc)
- Przeglądarka, urządzenie, czas
Dodatkowo: tokeny push (urządzenie, platforma) · newsletter (e-mail, data i status subskrypcji)
4. Cele i podstawy prawne przetwarzania
Wykonanie umowy sprzedaży — art. 6 ust. 1 lit. b RODO
Zgoda — art. 6 ust. 1 lit. a RODO
Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
Prawnie uzasadniony interes — art. 6 ust. 1 lit. f RODO
Obowiązek prawny — art. 6 ust. 1 lit. c RODO
5. Dane dzieci
Sklep umożliwia dodanie profili dzieci (imię, data urodzenia, płeć) w ramach Konta. Dane te służą wyłącznie do:
Predykcja rozmiaru
Algorytm lokalny, bez przekazywania na zewnątrz
Rekomendacje
Dopasowanie produktów do wieku dziecka
Paczki subskrypcyjne
Dobór zawartości do profilu dziecka
Przetwarzanie na podstawie zgody rodzica/opiekuna (art. 6 ust. 1 lit. a RODO). Dane dzieci nie są wykorzystywane do celów marketingowych, profilowania marketingowego ani przekazywane podmiotom trzecim. Rodzic może usunąć profil dziecka w ustawieniach Konta.
6. Odbiorcy danych osobowych
Administrator przekazuje dane wyłącznie w zakresie niezbędnym do realizacji celów przetwarzania:
Operatorzy płatności
- PayU S.A. — BLIK, karty, przelewy, PayPo
- Stripe, Inc. — karty, Apple Pay, subskrypcje
- PayPo Sp. z o.o. — płatność odroczona
Przewoźnicy
- InPost S.A. — Paczkomat, kurier
- DPD Polska (via Apaczka.pl)
- DHL Express (via Apaczka.pl)
- R2G Polska (Apaczka.pl)
Hosting i infrastruktura
- Google Cloud Platform (Warszawa, PL)
- Amazon Web Services (Frankfurt, DE)
Analityka i marketing
- Google Ireland — GA4, reCAPTCHA
- Meta Platforms Ireland — CAPI
Komunikacja (push)
- OneSignal, Inc. — push web
- Apple Inc. — APNs (iOS)
- Google — FCM (Android)
Sztuczna inteligencja
- OpenAI, L.L.C. — chatbot (anonimowe sesje)
Marketplace
- Allegro.pl — sprzedaż produktów
E-faktury
- KSeF — Ministerstwo Finansów
7. Przekazywanie danych poza EOG
Część podmiotów przetwarzających dane ma siedzibę poza Europejskim Obszarem Gospodarczym. Przekazywanie odbywa się z zachowaniem zabezpieczeń:
Stripe, Inc. (USA)
SCC + DPA, PCI DSS Level 1
OpenAI, L.L.C. (USA)
SCC + DPA, anonimowe sesje
OneSignal, Inc. (USA)
SCC + DPA
Apple Inc. (USA)
SCC (APNs)
Google LLC (USA / EU)
Cloud: EU (Warszawa). Inne: SCC + DPA
Meta Platforms (USA)
Dane zahaszowane SHA-256. SCC + DPA
Standardowe klauzule umowne (SCC) zatwierdzone decyzją Komisji Europejskiej (UE) 2021/914. Klient ma prawo uzyskać kopię zabezpieczeń kontaktując się z Administratorem.
8. Okres przechowywania danych
Dane Konta
Do usunięcia lub 3 lata od ostatniej aktywności
Zamówienia
5 lat od końca roku podatkowego
Faktury
5 lat od końca roku podatkowego
Reklamacje
1 rok po zakończeniu, min. 2 lata
Newsletter
Do rezygnacji z subskrypcji
Logi dostępowe
12 miesięcy
Sesje chatbota
6 miesięcy od ostatniej wiadomości
Dane GA4
14 miesięcy
Program Lojalnościowy
Do usunięcia Konta
Profile dzieci
Do usunięcia przez rodzica
Subskrypcje
Do rezygnacji + 5 lat (podatki)
Porzucone koszyki
90 dni
Tokeny push
Do wycofania zgody
Roszczenia
Do upływu przedawnienia (6 lat)
Po upływie okresu przechowywania dane są usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osoby.
9. Prawa osób, których dane dotyczą
Prawo dostępu
art. 15Potwierdzenie przetwarzania, dostęp do danych, informacje o celach i odbiorcach.
Prawo sprostowania
art. 16Poprawienie nieprawidłowych lub uzupełnienie niekompletnych danych. Możliwe w panelu Konta.
Prawo do usunięcia
art. 17Usunięcie danych gdy nie są już niezbędne, wycofanie zgody lub przetwarzanie niezgodne z prawem.
Prawo do ograniczenia
art. 18Ograniczenie przetwarzania gdy kwestionujesz prawidłowość danych lub wnosisz sprzeciw.
Prawo do przenoszenia
art. 20Otrzymanie danych w formacie JSON/CSV i przesłanie innemu administratorowi.
Prawo sprzeciwu
art. 21Sprzeciw wobec przetwarzania opartego na uzasadnionym interesie. Marketing — niezwłoczne zaprzestanie.
Wycofanie zgody
art. 7 ust. 3W dowolnym momencie: link „Wypisz się", ustawienia przeglądarki, panel Konta lub kontakt z Administratorem.
Skarga do PUODO
art. 77Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa — uodo.gov.pl
10. Profilowanie i zautomatyzowane decyzje
Administrator stosuje profilowanie w następujących celach:
Rekomendacje produktowe
Na podstawie historii przeglądania, zakupów i profili dzieci. Nie wywołuje skutków prawnych.
Predykcja rozmiaru
Na podstawie daty urodzenia i płci dziecka (algorytm lokalny). Funkcja pomocnicza.
Program Lojalnościowy
Automatyczne naliczanie poziomów na podstawie punktów. Progi jawne.
Paczki subskrypcyjne
Dobór zawartości na podstawie profilu dziecka i tematu miesiąca.
11. Pliki cookies
Pliki cookies (ciasteczka) to małe pliki tekstowe zapisywane na urządzeniu Klienta przez przeglądarkę internetową.
Niezbędne
Bez zgodyadminToken, _csrf_state — sesja, koszyk, CSRF
Analityczne
Wymagana zgoda_ga, _ga_* — Google Analytics, 2 lata
Marketingowe
Wymagana zgoda_fbp, _fbc — Meta Pixel, 90 dni
Bezpieczeństwa
Bez zgody_grecaptcha — Google reCAPTCHA, sesja
Zarządzanie cookies: Przy pierwszej wizycie wyświetlany jest baner cookies. Klient może zmienić ustawienia w dowolnym momencie (baner w stopce lub ustawienia przeglądarki).
Chrome
Ustawienia → Prywatność
Firefox
Ustawienia → Prywatność
Safari
Ustawienia → Prywatność
Edge
Ustawienia → Prywatność
12. Narzędzia analityczne i marketingowe
Google Analytics 4 (GA4)
Google Ireland Ltd. Cookies: _ga, _ga_*. Measurement Protocol (server-side). Dane zanonimizowane — bez imienia, nazwiska, e-maila ani adresu IP. Okres: 14 miesięcy.
Rezygnacja: tools.google.com/dlpage/gaoptout
Meta Conversions API (CAPI)
Meta Platforms Ireland Ltd. Server-side: e-mail i telefon zahaszowane SHA-256. Cookies: _fbc, _fbp. Zdarzenia: PageView, ViewContent, AddToCart, Purchase, Search.
Preferencje reklam: facebook.com/ads/preferences
Google reCAPTCHA v3
Ochrona formularzy przed spamem i botami. Analizuje zachowanie użytkownika i adres IP.
13. Bezpieczeństwo danych
Środki techniczne
- HTTPS (TLS 1.2+) — szyfrowanie transmisji
- bcrypt — szyfrowanie haseł
- AES-256 — szyfrowanie danych w spoczynku
- 2FA — konta administracyjne
- CSRF tokeny — ochrona formularzy
- Rate limiting — ochrona brute-force
- CSP, HSTS — nagłówki bezpieczeństwa
- PCI DSS — karty przez certyfikowanych operatorów
Środki organizacyjne
- Dostęp tylko dla upoważnionych osób
- Regularne przeglądy uprawnień
- Logowanie działań administracyjnych
- Procedury reagowania na incydenty
14. Zmiany Polityki Prywatności
Administrator zastrzega sobie prawo do zmiany niniejszej Polityki z ważnych przyczyn: zmiana przepisów prawa, zmiana zakresu przetwarzania, zmiana odbiorców danych, zalecenia PUODO.
O zmianach Klient zostanie poinformowany poprzez komunikat na stronie Sklepu oraz wiadomość e-mail (dla posiadaczy Konta), z co najmniej 14-dniowym wyprzedzeniem.
Aktualna wersja Polityki Prywatności jest zawsze dostępna na stronie Sklepu.
15. Kontakt
W sprawach dotyczących danych osobowych:
Firma: EVERSHOP Sp. z o.o.
E-mail: kontakt@everkids.pl
Adres: Jamnica 169, 39-410 Grębów
Odpowiedź: do 30 dni