Za zakup powyżej 960 zł 15% RABATU   |   WYSYŁKA REALIZOWANA OD 99 zł

Polityka prywatności

  • Home
  • Polityka prywatności

Kim jesteśmy

Adres naszej strony internetowej to: http://sklep.bebeyaro.pl.

Jakie dane osobiste zbieramy i dlaczego je zbieramy

Komentarze

Kiedy odwiedzający witrynę zostawia komentarz, zbieramy dane widoczne w formularzu komentowania, jak i adres IP odwiedzającego oraz podpis jego przeglądarki jako pomoc przy wykrywaniu spamu.

Zanonimizowany ciąg znaków stworzony na podstawie twojego adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej używasz. Polityka prywatności usługi Gravatar jest dostępna tutaj: https://automattic.com/privacy/. Po zatwierdzeniu komentarza twój obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Media

Jeśli jesteś zarejestrowanym użytkownikiem i wgrywasz na witrynę obrazki, powinieneś unikać przesyłania obrazków z tagami EXIF lokalizacji. Odwiedzający stronę mogą pobrać i odczytać pełne dane lokalizacyjne z obrazków w witrynie.

Ciasteczka

Jeśli zostawisz na naszej witrynie komentarz, będziesz mógł wybrać opcję zapisu twojej nazwy, adresu email i adresu strony internetowej w ciasteczkach, dzięki którym podczas pisania kolejnych komentarzy powyższe informacje będą już dogodnie uzupełnione. Te ciasteczka wygasają po roku.

Jeśli odwiedzisz stronę logowania, utworzymy tymczasowe ciasteczko na potrzeby sprawdzenia czy twoja przeglądarka akceptuje ciasteczka. To ciasteczko nie zawiera żadnych danych osobistych i zostanie wyrzucone, kiedy zamkniesz przeglądarkę.

Podczas logowania tworzymy dodatkowo kilka ciasteczek potrzebnych do zapisu twoich informacji logowania oraz wybranych opcji ekranu. Ciasteczka logowania wygasają po dwóch dniach, a opcji ekranu po roku. Jeśli zaznaczysz opcję „Pamiętaj mnie”, logowanie wygaśnie po dwóch tygodniach. Jeśli wylogujesz się ze swojego konta, ciasteczka logowania zostaną usunięte.

Jeśli zmodyfikujesz albo opublikujesz artykuł, w twojej przeglądarce zostanie zapisane dodatkowe ciasteczko. To ciasteczko nie zawiera żadnych danych osobistych, wskazując po prostu na identyfikator przed chwilą edytowanego artykułu. Wygasa ono po 1 dniu.

Osadzone treści z innych witryn

Artykuły na tej witrynie mogą zawierać osadzone treści (np. filmy, obrazki, artykuły itp.). Osadzone treści z innych witryn zachowują się analogicznie do tego, jakby użytkownik odwiedził bezpośrednio konkretną witrynę.

Witryny mogą zbierać informacje o tobie, używać ciasteczek, dołączać dodatkowe, zewnętrzne systemy śledzenia i monitorować twoje interakcje z osadzonym materiałem, włączając w to śledzenie twoich interakcji z osadzonym materiałem jeśli posiadasz konto i jesteś zalogowany w tamtej witrynie.

Jak długo przechowujemy twoje dane

Jeśli zostawisz komentarz, jego treść i metadane będą przechowywane przez czas nieokreślony. Dzięki temu jesteśmy w stanie rozpoznawać i zatwierdzać kolejne komentarze automatycznie, bez wysyłania ich do każdorazowej moderacji.

Dla użytkowników którzy zarejestrowali się na naszej stronie internetowej (jeśli tacy są), przechowujemy również informacje osobiste wprowadzone w profilu. Każdy użytkownik może dokonać wglądu, korekty albo skasować swoje informacje osobiste w dowolnej chwili (nie licząc nazwy użytkownika, której nie można zmienić). Administratorzy strony również mogą przeglądać i modyfikować te informacje.

Jakie masz prawa do swoich danych

Jeśli masz konto użytkownika albo dodałeś komentarze w tej witrynie, możesz zażądać dostarczenia pliku z wyeksportowanym kompletem twoich danych osobistych będących w naszym posiadaniu, w tym całość tych dostarczonych przez ciebie. Możesz również zażądać usunięcia przez nas całości twoich danych osobistych w naszym posiadaniu. Nie dotyczy to żadnych danych które jesteśmy zobligowani zachować ze względów administracyjnych, prawnych albo bezpieczeństwa.

Gdzie przesyłamy dane

Komentarze gości mogą być sprawdzane za pomocą automatycznej usługi wykrywania spamu.

Twoje dane kontaktowe

Ochrona danych zgodnie z RODO

Rozporządzenie zawiera szczegółowe wymogi dla przedsiębiorstw i organizacji dotyczące gromadzenia i przechowywania danych osobowych i zarządzania nimi. Ma ono zastosowanie zarówno do europejskich organizacji przetwarzających dane osobowe osób fizycznych w UE, jak i do organizacji spoza UE kierujących swoją ofertę do mieszkańców Unii.

Kiedy stosuje się ogólne rozporządzenie o ochronie danych (RODO)?

RODO stosuje się, gdy:

  • Twoja firma przetwarza dane osobowe i ma siedzibę w UE, bez względu na to, gdzie faktycznie dochodzi do przetwarzania danych
  • Twoja firma ma siedzibę poza UE, ale przetwarza dane osobowe w związku z oferowaniem towarów lub usług osobom fizycznym w UE lub monitoruje zachowania osób fizycznych w Unii.

Przedsiębiorstwa spoza Unii przetwarzające dane obywateli UE muszą wyznaczyć swojego przedstawiciela w Unii.

Kiedy nie stosuje się ogólnego rozporządzenia o ochronie danych (RODO)?

RODO nie stosuje się, gdy:

  • osoba, której dane dotyczą, nie żyje
  • osoba, której dane dotyczą, jest osobą prawną
  • dane są przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane.

Co to są dane osobowe?

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie, zwanej także podmiotem danych. Dane osobowe obejmują następujące informacje:

  • imię i nazwisko
  • adres
  • numer dowodu tożsamości/paszportu
  • dochody
  • cechy kulturowe
  • adres IP
  • dane będące w posiadaniu szpitala lub lekarza (jednoznacznie identyfikujące daną osobę w celach medycznych).

Szczególne kategorie danych

Zabronione jest przetwarzanie danych osobowych dotyczących:

  • pochodzenia rasowego lub etnicznego
  • orientacji seksualnej
  • poglądów politycznych
  • przekonań religijnych lub filozoficznych
  • przynależności do związków zawodowych
  • danych genetycznych, biometrycznych i zdrowotnych, poza szczególnymi przypadkami (np. gdy uzyskano wyraźną zgodę na ich przetwarzanie lub gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym zgodnie z prawem unijnym lub krajowym)
  • danych osobowych dotyczących wyroków skazujących i naruszeń prawa, chyba że pozwala na to prawo unijne lub krajowe.

Kto przetwarza dane osobowe?

Podczas przetwarzania dane trafiają niekiedy do wielu różnych przedsiębiorstw lub organizacji. W cyklu tym występują dwa główne podmioty zajmujące się przetwarzaniem danych osobowych:

  • Administrator danych – decyduje o celu i sposobie przetwarzania danych.
  • Przetwarzający – przechowuje i przetwarza dane w imieniu administratora danych.

Kto monitoruje sposób przetwarzania danych osobowych wewnątrz przedsiębiorstwa?

Inspektor ochrony danych, którego przedsiębiorstwo może wyznaczyć, jest odpowiedzialny za monitorowanie sposobu przetwarzania danych osobowych oraz informowanie pracowników przetwarzających dane osobowe o ich obowiązkach i doradzanie im w tym zakresie. Inspektor ochrony danych współpracuje także z organem ochrony danych, służąc jako punkt kontaktowy dla tego organu i osób fizycznych.

Kiedy należy wyznaczyć inspektora ochrony danych?

Twoja firma musi wyznaczyć inspektora ochrony danych, jeśli:

  • regularnie lub systematycznie monitorujesz osoby fizyczne lub przetwarzasz szczególne kategorie danych
  • przetwarzanie danych stanowi główny przedmiot Twojej działalności
  • przetwarzasz dane na dużą skalę.

Masz na przykład obowiązek wyznaczyć inspektora ochrony danych, jeśli przetwarzasz dane osobowe w celu kierowania reklam do konkretnych konsumentów za pośrednictwem wyszukiwarek internetowych w oparciu o zachowania konsumentów w sieci. Jeśli jednak jedynie wysyłasz swoim klientom raz w roku materiały promocyjne, inspektor ochrony danych nie jest Ci potrzebny. Podobnie jeśli jako lekarz gromadzisz dane na temat stanu zdrowia pacjentów, prawdopodobnie nie potrzebujesz inspektora ochrony danych. Jeśli jednak przetwarzasz dane genetyczne lub dotyczące stanu zdrowia dla szpitala, wyznaczenie inspektora będzie niezbędne.

Inspektorem ochrony danych może być pracownik Twojej organizacji lub osoba z zewnątrz zatrudniona na podstawie umowy o świadczenie usług. Inspektorem może być osoba fizyczna lub część organizacji.

Przetwarzanie danych dla innego przedsiębiorstwa

Administrator danych może korzystać wyłącznie z usług podmiotu przetwarzającego oferującego wystarczające gwarancje. Powinny one być uwzględnione w pisemnej umowie pomiędzy stronami. W umowie musi się także znaleźć szereg obowiązkowych zapisów, takich jak ten, że przetwarzający będzie przetwarzał dane osobowe tylko na polecenie administratora danych.

Przekazywanie danych poza Unię

Za każdym razem, gdy dane osobowe są przekazywane poza UE, muszą być chronione na podstawie RODO. Oznacza to, że jeśli eksportujesz dane za granicę, Twoja firma musi spełnić jeden z poniższych warunków (lub upewnić się, że jest on spełniony):

  • Unia Europejska uznaje środki ochrony danych obowiązujące w kraju docelowym niebędącym członkiem Unii za odpowiednie.
  • Twoja firma podejmuje niezbędne działania, aby zapewnić odpowiednie zabezpieczenia takie jak włączenie konkretnych klauzul do umowy z podmiotem spoza Unii będącym odbiorcą danych.
  • Twoja firma przekazuje dane w oparciu o szczególne podstawy (wyjątki), takie jak zgoda osoby fizycznej, której dane dotyczą.

Kiedy dozwolone jest przetwarzanie danych?

Unijne przepisy dotyczące ochrony danych wymagają, aby dane były przetwarzane uczciwie i zgodnie z prawem, w konkretnym, prawnie uzasadnionym celu – i tylko takie dane, które są potrzebne do tego celu. Aby móc przetwarzać dane osobowe, musisz spełnić jeden z następujących warunków; jeżeli:

  • otrzymasz zgodę osoby, której dane dotyczą
  • potrzebujesz danych osobowych do wypełnienia zobowiązania umownego względem osoby, której dane dotyczą
  • potrzebujesz danych osobowych do spełnienia obowiązku prawnego
  • potrzebujesz danych osobowych, aby chronić żywotne interesy osoby, której dane dotyczą
  • przetwarzasz dane osobowe, aby wykonać zadanie leżące w interesie publicznym
  • działasz w uzasadnionym interesie swojej firmy, o ile nie wpływa to istotnie na podstawowe prawa i wolności osoby, której dane są przetwarzane. Nie możesz przetwarzać danych osoby, której prawa są nadrzędne wobec interesów Twojej firmy.

Zgoda na przetwarzanie danych

W RODO przewidziano ścisłe zasady przetwarzania danych na podstawie zgody. Ich celem jest zapewnienie, by osoba fizyczna rozumiała, na co wyraża zgodę. Oznacza to, że zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna, a zapytanie o zgodę musi być wyrażone jasnym i prostym językiem. Zgoda powinna być wyrażona w formie działania potwierdzającego, np. przez zaznaczenie pola wyboru na stronie internetowej lub podpisanie formularza.

Jeśli otrzymasz zgodę na przetwarzanie danych osobowych, możesz przetwarzać je tylko w celach, na które wyrażono zgodę. Musisz także umożliwić wycofanie zgody.

Udzielanie przejrzystych informacji

Musisz poinformować w sposób zrozumiały osoby fizyczne o tym, kto i dlaczego przetwarza dane osobowe na ich temat. Musisz przekazać co najmniej następujące informacje:

  • kim jesteś
  • dlaczego przetwarzasz dane osobowe
  • na jakiej podstawie prawnej
  • kto otrzyma dane (w stosownych przypadkach).

W niektórych przypadkach musisz także:

  • podać dane kontaktowe inspektora ochrony danych (w stosownych przypadkach)
  • wskazać uzasadniony interes firmy, jeśli przetwarzanie danych opiera się na takiej podstawie prawnej
  • wskazać środki stosowane przy przekazywaniu danych do kraju spoza UE
  • podać okres przechowywania danych
  • poinformować o prawach osoby fizycznej związanych z ochroną jej danych (tj. prawo dostępu do danych, do ich poprawienia, usunięcia, do ograniczenia ich przetwarzania, cofnięcia zgody na ich przetwarzanie, prawa do sprzeciwu, prawa do przenoszenia danych itd.).
  • wskazać sposób cofnięcia zgody (jeśli zgoda stanowi podstawę prawną przetwarzania danych)
  • wskazać ewentualne zobowiązania ustawowe lub umowne przewidujące przekazanie danych
  • w przypadku zautomatyzowanego podejmowania decyzji poinformować o zasadach podejmowania decyzji, jej znaczeniu i konsekwencjach.

Informacje te powinny być przedstawione jasnym i prostym językiem.

Szczególne zasady dotyczące dzieci

Jeśli gromadzisz dane osobowe dziecka na podstawie zgody, na przykład przy użyciu konta w mediach społecznościowych lub konta do pobierania materiałów z internetu, musisz najpierw uzyskać zgodę rodziców, np. przesyłając powiadomienie rodzicowi lub opiekunowi. Wiek osoby uznawanej za dziecko zależy od jej miejsca zamieszkania; jest to od 13 do 16 lat.

Prawo dostępu do danych i do przenoszenia danych

Musisz zapewnić osobom fizycznym prawo bezpłatnego dostępu do ich danych osobowych. Jeśli wystąpią z takim żądaniem, masz obowiązek:

  • poinformować je, czy przetwarzasz ich dane osobowe
  • poinformować je o procesie przetwarzania (celu, kategoriach danych osobowych, odbiorcach itd.)
  • przekazać im kopię przetwarzanych danych osobowych (w przystępnym formacie).

W przypadku przetwarzania danych na podstawie zgody lub umowy osoba fizyczna może także poprosić o zwrócenie jej danych osobowych lub przekazanie ich innemu przedsiębiorstwu. Jest to tzw. prawo do przenoszenia danych. Powinieneś przekazać dane w powszechnie używanym formacie nadającym się do odczytu maszynowego.

Prawo do poprawienia danych i prawo do sprzeciwu

Osoba fizyczna, która uważa, że jej dane osobowe są nieprawidłowe, niekompletne lub niedokładne, ma prawo do ich niezwłocznego sprostowania lub uzupełnienia.

Jeśli zmieniłeś lub usunąłeś dane osobowe, które uprzednio udostępniłeś innym, powinieneś poinformować o tym wszystkich odbiorców takich danych. W przypadku udostępnienia nieprawidłowych danych osobowych masz także obowiązek poinformować o tym każdego, kto widział takie dane, chyba że wymagałoby to nieproporcjonalnego wysiłku.

Osoba fizyczna może także w każdej chwili sprzeciwić się przetwarzaniu swoich danych osobowych w konkretnym celu, gdy podstawą prawną przetwarzania danych jest uzasadniony interes lub zadanie wykonywane w interesie publicznym. Jeżeli Twój uzasadniony interes nie jest nadrzędny wobec interesu osoby fizycznej, musisz zaprzestać przetwarzania danych osobowych.

Osoba fizyczna może również poprosić o ograniczenie zakresu przetwarzania swoich danych osobowych na czas ustalania, czyj interes jest nadrzędny. W przypadku marketingu bezpośredniego jesteś jednak zawsze zobowiązany do zaprzestania przetwarzania danych osobowych na prośbę osoby fizycznej.

Prawo do usunięcia danych (prawo do bycia zapomnianym)

W pewnych okolicznościach, np. gdy dane nie są już potrzebne do celu ich przetwarzania, osoba fizyczna może poprosić administratora danych o usunięcie swoich danych osobowych. Niemniej Twoja firma nie musi tego robić, jeśli:

  • przetwarzanie jest konieczne do poszanowania wolności wypowiedzi i informacji
  • obowiązek przechowywania danych osobowych ciąży na Tobie z mocy prawa
  • dane muszą być przechowywane z innych względów związanych z interesem publicznym, takich jak zdrowie publiczne lub badania naukowe i historyczne
  • przechowywanie danych osobowych jest niezbędne do ustalenia roszczenia.

Zautomatyzowane podejmowanie decyzji oraz profilowanie

Osoby fizyczne mają prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu. Istnieją jednak pewne wyjątki od tej zasady, np. udzielenie wyraźnej zgody przez osobę, która podlega takiej decyzji. Z wyjątkiem sytuacji, gdy zautomatyzowane podejmowanie decyzji wynika z przepisów prawa, Twoja firma ma obowiązek:

  • poinformować osobę fizyczną o zautomatyzowanym podejmowaniu decyzji
  • przyznać osobie fizycznej prawo do zażądania zweryfikowania automatycznej decyzji przez człowieka
  • umożliwić osobie fizycznej zakwestionowanie zautomatyzowanej decyzji.

Przykładowo, jeśli bank podejmuje w sposób zautomatyzowany decyzję, czy udzielić pożyczki danej osobie, osoba ta powinna zostać o tym poinformowana oraz mieć możliwość zakwestionowania takiej decyzji oraz zażądania ingerencji człowieka.

Naruszenia ochrony danych – właściwe powiadomienie

Naruszenie ochrony danych to przypadkowe lub niezgodne z prawem ujawnienie nieupoważnionym odbiorcom danych, za które jesteś odpowiedzialny, a także spowodowanie czasowej niedostępności takich danych lub ich zmiana.

Jeśli dojdzie do naruszenia ochrony danych i zagraża to prawom i wolnościom osoby fizycznej, powinieneś w ciągu 72 godzin od stwierdzenia naruszenia poinformować o tym swój organ ochrony danych.

W zależności od tego, czy naruszenie ochrony danych stanowi wysokie ryzyko dla osób, których dane dotyczą, Twoja firma może także mieć obowiązek odpowiedniego poinformowania wszelkich takich osób.

Odpowiadanie na wnioski dotyczące ochrony danych

Gdy Twoja firma otrzyma wniosek od osoby, która chce wykonać swoje prawa, powinieneś odpowiedzieć nie bez zbędnej zwłoki, a w każdym razie najpóźniej w ciągu 1 miesiąca od otrzymania wniosku. Czas na odpowiedź może zostać przedłużony o 2 miesiące w przypadku skomplikowanych i złożonych wniosków, pod warunkiem poinformowania o tym wnioskującego. Rozpatrywanie wniosków powinno być bezpłatne.

W przypadku odrzucenia wniosku należy poinformować osobę wnioskującą o powodach odrzucenia oraz o przysługującym jej prawie do złożenia skargi do organu ochrony danych.

Ocena skutków

Przeprowadzenie oceny skutków w zakresie ochrony danych jest obowiązkowe, gdy planowane przetwarzanie danych mogłoby wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, na przykład w przypadku korzystania z nowych technologii.

Wysokie ryzyko występuje, gdy:

  • do oceny osób fizycznych stosuje się zautomatyzowane przetwarzanie danych oraz profilowanie
  • miejsca publicznie dostępne są monitorowane na dużą skalę (np. z wykorzystaniem telewizji przemysłowej)
  • szczególne kategorie danych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa są przetwarzane na dużą skalę (np. dane dotyczące zdrowia).

Uwaga: Organy ochrony danych mogą także uznać przetwarzanie danych innych kategorii za stanowiące wysokie ryzyko.

Jeśli środki wskazane w ocenie skutków w zakresie ochrony danych nie wyeliminują wszystkich zidentyfikowanych źródeł wysokiego ryzyka, przed przystąpieniem do planowanego przetwarzania danych należy skonsultować się z organem ochrony danych.

Prowadzenie rejestru

Musisz być w stanie udowodnić, szczególnie na wniosek organu ochrony danych lub podczas dokonywanej przez niego inspekcji, że Twoja firma działa zgodnie z RODO i wypełnia wszystkie ciążące na niej zobowiązania.

Możesz to zrobić m.in. prowadząc szczegółowy rejestr następujących informacji:

  • nazwy i danych kontaktowych Twojego przedsiębiorstwa zajmującego się przetwarzaniem danych
  • powodów przetwarzania danych osobowych
  • kategorii osób przekazujących dane osobowe
  • kategorii organizacji otrzymujących dane osobowe
  • informacji na temat przekazywania danych osobowych do innego kraju lub organizacji
  • okresu przechowywania danych osobowych
  • opisu środków bezpieczeństwa stosowanych przy przetwarzaniu danych osobowych.

Twoja firma powinna ponadto posiadać i regularnie aktualizować pisemne procedury i wytyczne oraz podawać je do wiadomości pracowników.

Uwaga

Jeśli Twoje przedsiębiorstwo to MŚP lub jeszcze mniejsza firma, nie musisz prowadzić rejestru swoich czynności przetwarzania, jeśli:

  • nie realizujesz ich regularnie
  • nie wpływają one na prawa i wolności osób fizycznych, których dotyczą
  • nie dotyczą one danych wrażliwych lub danych z rejestrów karnych.

Ochrona danych w fazie projektowania oraz domyślna ochrona danych

Ochrona danych w fazie projektowania oznacza, że Twoja firma powinna wziąć pod uwagę ochronę danych już na wczesnych etapach planowania nowego sposobu przetwarzania danych osobowych. Zgodnie z tą zasadą administrator danych musi podjąć wszelkie niezbędne działania techniczne i organizacyjne, aby wdrożyć zasady ochrony danych i chronić prawa osób fizycznych. Działania te mogą na obejmować na przykład pseudonimizację.

Domyślna ochrona danych oznacza, że Twoja firma powinna domyślnie wybierać ustawienie najbardziej przyjazne dla prywatności. Jeśli na przykład do wyboru są dwa różne ustawienia prywatności, z których jedno zapobiega dostępowi innych osób do danych osobowych, właśnie to ustawienie powinno być ustawieniem domyślnym.

Naruszenie przepisów oraz kary

Nieprzestrzeganie postanowień RODO może w przypadku niektórych naruszeń prowadzić do nałożenia wysokich kar, sięgających nawet 20 mln euro lub 4 proc. światowego obrotu Twojej firmy. Organ ochrony danych może nakazać dodatkowe środki naprawcze, takie jak zaprzestanie przetwarzania danych osobowych.

PROMOCJA!HOT