§ 1. INFORMACJE OGÓLNE

1.1. Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych użytkowników serwisu internetowego somnia-lux.pl(zwanego dalej „Serwisem” lub „Sklepem”), prowadzonego przez Dmitrijs Peņkovs. 1.2. Polityka Prywatności wyjaśnia w szczególności:

• Jakie dane osobowe są zbierane od użytkowników Serwisu
• W jakim celu dane osobowe są przetwarzane
• Jakie są podstawy prawne przetwarzania danych
• Komu mogą być przekazywane dane osobowe
• Jak długo dane są przechowywane
• Jakie prawa przysługują osobom, których dane dotyczą
• W jaki sposób dane są zabezpieczane
• Jak wykorzystywane są pliki cookie i inne technologie śledzące

1.3. Przetwarzanie danych osobowych użytkowników odbywa się zgodnie z obowiązującymi przepisami prawa, w szczególności:

• Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO)
• Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781)
• Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2020 poz. 344)
• Ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2019 poz. 2460)

1.4. Administratorem danych osobowych jest Dmitrijs Peņkovs, prowadzący działalność gospodarczą pod adresem: ul. Władysława Pytlasińskiego 16/13/1, 00-777 Warszawa, NIP: 5214139301, REGON: 543143816. 1.5. Korzystanie z Serwisu, w tym przeglądanie treści, wymaga zaakceptowania niniejszej Polityki Prywatności. W przypadku braku akceptacji prosimy o niekorzystanie z Serwisu. 1.6. Serwis może zawierać linki do stron internetowych podmiotów trzecich, nad którymi Administrator nie sprawuje kontroli. Administrator nie ponosi odpowiedzialności za politykę prywatności tych stron. Przed skorzystaniem z takich stron zalecamy zapoznanie się z ich polityką prywatności. 1.7. Niniejsza Polityka Prywatności obowiązuje od dnia jej opublikowania w Serwisie. Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce Prywatności, o których użytkownicy zostaną poinformowani poprzez publikację zaktualizowanej wersji w Serwisie oraz, w przypadku posiadaczy kont klientów, także drogą elektroniczną.

§ 2. ADMINISTRATOR DANYCH OSOBOWYCH

2.2. Administrator przetwarza dane osobowe użytkowników w związku z:

• Prowadzeniem Sklepu internetowego i świadczeniem usług drogą elektroniczną
• Zawieraniem i realizacją umów sprzedaży Towarów oferowanych w Sklepie
• Obsługą zapytań, wniosków i reklamacji użytkowników
• Prowadzeniem działań marketingowych (za zgodą użytkownika)
• Wypełnianiem obowiązków prawnych ciążących na Administratorze (np. w zakresie rachunkowości, podatków)
• Zabezpieczeniem oraz dochodzeniem ewentualnych roszczeń lub obroną przed roszczeniami

2.3. Administrator dokłada wszelkich starań, aby dane osobowe były przetwarzane zgodnie z prawem, w sposób przejrzysty, rzetelny oraz z poszanowaniem praw i wolności osób, których dane dotyczą. 2.4. W sprawach związanych z przetwarzaniem danych osobowych, realizacją praw wynikających z RODO oraz wszelkich innych kwestii dotyczących ochrony prywatności, użytkownicy mogą kontaktować się z Administratorem za pomocą danych kontaktowych wskazanych w punkcie 2.1 powyżej.

§ 3. RODZAJE I ZAKRES PRZETWARZANYCH DANYCH OSOBOWYCH

3.1. Administrator może przetwarzać następujące kategorie danych osobowych użytkowników:

3.1.1. Dane podawane dobrowolnie przez użytkowników

• Dane rejestracyjne: imię, nazwisko, adres e-mail, hasło (w formie zaszyfrowanej), numer telefonu, adres zamieszkania lub siedziby (dla przedsiębiorców: nazwa firmy, NIP, REGON) – w przypadku zakładania Konta Klienta w Sklepie
• Dane związane z realizacją zamówienia: imię i nazwisko (lub nazwa firmy), adres dostawy, numer telefonu, adres e-mail, dane odbiorcy (jeśli inny niż zamawiający), dane do faktury (jeśli wymagane: nazwa firmy, adres, NIP), historia zamówień, dane transakcji płatniczych (przechowywane przez operatorów płatności)
• Dane z formularzy kontaktowych: imię, nazwisko (lub nazwa firmy), adres e-mail, numer telefonu, treść zapytania lub wiadomości
• Dane do Newslettera: adres e-mail, imię (opcjonalnie) – wyłącznie po wyrażeniu wyraźnej zgody na otrzymywanie informacji handlowych
• Dane związane z reklamacjami: imię, nazwisko, adres e-mail, numer telefonu, adres korespondencyjny, numer zamówienia, opis problemu, ewentualne zdjęcia lub dokumenty dołączone do reklamacji

3.1.2. Dane zbierane automatycznie

• Dane techniczne i eksploatacyjne: adres IP, typ przeglądarki internetowej, system operacyjny, rozdzielczość ekranu, język przeglądarki, rodzaj urządzenia (komputer, telefon, tablet), lokalizacja geograficzna (na poziomie kraju/miasta – w przybliżeniu na podstawie adresu IP)
• Dane o aktywności w Serwisie: data i godzina wizyty, odwiedzane strony, źródło wejścia (np. wyszukiwarka, link z innej strony), czas spędzony na stronie, interakcje z elementami Serwisu (np. kliknięcia, przewijanie)
• Dane z plików cookie: identyfikatory sesji, preferencje użytkownika, informacje o wyborach dokonanych w Serwisie (np. produkty dodane do koszyka), dane analityczne – szczegóły w § 8 dotyczącym plików cookie

3.2. Przeglądanie Serwisu nie wymaga podawania danych osobowych. Automatyczne dane techniczne są jednak zbierane w celu zapewnienia prawidłowego funkcjonowania Serwisu, bezpieczeństwa oraz analizy ruchu. 3.3. Korzystanie z niektórych funkcji Serwisu (np. rejestracja konta, składanie zamówienia, formularz kontaktowy, Newsletter) wymaga podania danych osobowych. W takich przypadkach zakres wymaganych danych jest każdorazowo wskazany w odpowiednich formularzach, z zaznaczeniem danych obowiązkowych. 3.4. Podanie danych osobowych przez użytkownika jest dobrowolne, jednak w niektórych przypadkach może być niezbędne do:

• Zawarcia i realizacji umowy sprzedaży (bez podania danych nie będzie możliwe zrealizowanie zamówienia)
• Założenia i prowadzenia Konta Klienta
• Udzielenia odpowiedzi na zapytanie przesłane przez formularz kontaktowy
• Wysyłania Newslettera (w tym przypadku wymagany jest tylko adres e-mail i zgoda)

3.5. Administrator nie przetwarza szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO (tzw. danych wrażliwych, takich jak dane o stanie zdrowia, pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych itp.), chyba że użytkownik dobrowolnie poda takie dane w treści wiadomości lub formularza kontaktowego.

§ 4. CELE I PODSTAWY PRAWNE PRZETWARZANIA DANYCH

4.1. Administrator przetwarza dane osobowe użytkowników wyłącznie w określonych celach i na podstawie odpowiednich podstaw prawnych wynikających z art. 6 ust. 1 RODO:

4.1.1. Realizacja umowy sprzedaży oraz obsługa zamówień

Cel: Zawarcie i realizacja umowy sprzedaży Towarów, w tym przyjęcie zamówienia, przygotowanie przesyłki, organizacja dostawy, obsługa płatności, wystawienie dokumentów sprzedaży (paragon, faktura), obsługa zwrotów i reklamacji. Podstawa prawna: Art. 6 ust. 1 lit. b RODO – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Okres przetwarzania: Przez czas realizacji umowy oraz przez okres niezbędny do dochodzenia roszczeń wynikających z umowy lub do czasu przedawnienia takich roszczeń (zgodnie z przepisami Kodeksu cywilnego).

4.1.2. Prowadzenie Konta Klienta

Cel: Świadczenie usługi elektronicznej polegającej na prowadzeniu indywidualnego Konta Klienta w Sklepie, umożliwiającego dostęp do historii zamówień, zarządzanie danymi osobowymi, szybsze składanie kolejnych zamówień. Podstawa prawna: Art. 6 ust. 1 lit. b RODO – przetwarzanie jest niezbędne do wykonania umowy o świadczenie usługi elektronicznej. Okres przetwarzania: Do momentu usunięcia Konta przez użytkownika lub rozwiązania umowy o świadczenie usługi przez którąkolwiek ze stron.

4.1.3. Marketing bezpośredni (Newsletter, informacje handlowe)

Cel: Przesyłanie na adres e-mail użytkownika informacji handlowych, marketingowych i promocyjnych dotyczących produktów, usług, nowości, wyprzedaży, rabatów oferowanych przez Administratora. Podstawa prawna:

• Art. 6 ust. 1 lit. a RODO – zgoda użytkownika (w przypadku gdy użytkownik wyraził odrębną zgodę na otrzymywanie Newslettera lub informacji handlowych)
• Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora (w przypadku marketingu własnych produktów do osób, które dokonały zakupu – tzw. soft opt-in, o ile użytkownik nie zgłosił sprzeciwu)

Okres przetwarzania: Do momentu wycofania zgody, zgłoszenia sprzeciwu lub wypisania się z Newslettera przez użytkownika.

4.1.4. Wypełnianie obowiązków prawnych

Cel: Realizacja obowiązków wynikających z przepisów prawa, w szczególności w zakresie rachunkowości, prawa podatkowego (np. przechowywanie faktur, dokumentów księgowych), udzielania odpowiedzi na żądania organów państwowych. Podstawa prawna: Art. 6 ust. 1 lit. c RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze. Okres przetwarzania: Przez okres wymagany przepisami prawa (np. 5 lat od końca roku obrotowego w przypadku dokumentów księgowych).

4.1.5. Dochodzenie roszczeń i obrona przed roszczeniami

Cel: Ustalenie, dochodzenie lub obrona przed roszczeniami związanymi z umowami zawartymi z użytkownikami, w tym postępowania sądowe, windykacyjne. Podstawa prawna: Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na możliwości dochodzenia roszczeń lub obrony przed roszczeniami. Okres przetwarzania: Do momentu przedawnienia roszczeń wynikających z umowy (zgodnie z przepisami Kodeksu cywilnego).

4.1.6. Statystyka, analityka, usprawnienie Serwisu

Cel: Analiza ruchu w Serwisie, statystyki odwiedzin, badanie zachowań użytkowników w celu poprawy jakości Serwisu, optymalizacji oferty, dostosowania treści do preferencji użytkowników, zapewnienia bezpieczeństwa i stabilności działania Serwisu. Podstawa prawna: Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na analizie funkcjonowania Serwisu oraz jego optymalizacji. Okres przetwarzania: Dane analityczne zazwyczaj przetwarzane są w formie zagregowanej i zanonimizowanej; w przypadku danych umożliwiających identyfikację – do momentu realizacji celu lub zgłoszenia sprzeciwu przez użytkownika.

4.1.7. Obsługa zapytań, formularzy kontaktowych

Cel: Udzielenie odpowiedzi na zapytania, wnioski, pytania przesłane przez użytkowników za pomocą formularzy kontaktowych, e-maila lub telefonu. Podstawa prawna:

• Art. 6 ust. 1 lit. b RODO – jeśli zapytanie dotyczy zawarcia umowy lub jest związane z istniejącą umową
• Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na komunikacji z użytkownikami i odpowiadaniu na ich pytania

Okres przetwarzania: Do momentu udzielenia odpowiedzi lub do momentu zakończenia korespondencji; dane mogą być przechowywane dłużej, jeśli jest to niezbędne do celów dowodowych lub wynika z obowiązków prawnych.

4.1.8. Bezpieczeństwo i zapobieganie nadużyciom

Cel: Zapewnienie bezpieczeństwa Serwisu, wykrywanie i zapobieganie oszustwom, nadużyciom, atakom cybernetycznym, nieautoryzowanemu dostępowi, naruszeniom regulaminu. Podstawa prawna: Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa systemów informatycznych oraz ochronie przed działaniami bezprawnymi. Okres przetwarzania: Do momentu usunięcia zagrożenia lub przez okres niezbędny do wyjaśnienia incydentu; dane mogą być przechowywane dłużej w celach dowodowych. 4.2. Administrator nie podejmuje decyzji w sposób zautomatyzowany, w tym nie stosuje profilowania w rozumieniu art. 22 RODO, które wywołuje skutki prawne lub w podobny sposób istotnie wpływa na użytkownika.

§ 5. ODBIORCY DANYCH OSOBOWYCH

5.1. W celu prawidłowej realizacji celów przetwarzania danych, Administrator może powierzać przetwarzanie danych osobowych lub udostępniać dane osobowe następującym kategoriom odbiorców (podmiotom trzecim):

5.1.1. Podmioty świadczące usługi na rzecz Administratora

• Dostawcy usług IT, hostingu i utrzymania Serwisu – podmioty zapewniające infrastrukturę techniczną, hosting stron internetowych, wsparcie techniczne, konserwację i rozwój Serwisu
• Operatorzy systemów płatności elektronicznych – podmioty obsługujące płatności online (np. Montonio Finance S.A., PayPal (Europe) S.à r.l. et Cie, S.C.A.), banki, instytucje finansowe. Podmioty te przetwarzają dane w zakresie niezbędnym do obsługi transakcji płatniczych zgodnie z własnymi politykami prywatności.
• Firmy kurierskie i logistyczne – podmioty realizujące dostawę Towarów (np. DPD Polska Sp. z o.o., GLS General Logistics Systems Poland Sp. z o.o., InPost Sp. z o.o., Orlen Paczka). Przekazujemy im dane niezbędne do doręczenia przesyłki: imię, nazwisko, adres dostawy, numer telefonu.
• Dostawcy usług analitycznych i marketingowych – narzędzia do analizy ruchu w Serwisie (np. Google Analytics), platformy do zarządzania kampaniami marketingowymi, narzędzia do obsługi Newslettera (np. Mailchimp, Sendinblue). Dane mogą być przetwarzane w formie zanonimizowanej lub pseudonimizowanej.
• Biura rachunkowe i księgowe – podmioty świadczące usługi księgowe, rachunkowe, kadrowo-płacowe, obsługujące dokumentację finansowo-księgową Administratora.
• Kancelarie prawne i firmy windykacyjne – w przypadku konieczności dochodzenia roszczeń lub obsługi sporów prawnych, dane mogą być przekazywane kancelariom prawnym, radcom prawnym, firmom windykacyjnym.

5.2. Podmioty, którym Administrator powierza przetwarzanie danych osobowych, przetwarzają dane wyłącznie na podstawie umowy powierzenia przetwarzania danych (zgodnie z art. 28 RODO) i wyłącznie zgodnie z poleceniami Administratora. Podmioty te są zobowiązane do stosowania odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych. 5.3. Administrator może również przekazywać dane osobowe:

• Organom państwowym – jeżeli obowiązek taki wynika z przepisów prawa (np. organom podatkowym, organom ścigania, sądom) lub na podstawie prawnie uzasadnionego żądania takich organów
• Innym podmiotom – jeżeli jest to niezbędne do realizacji celów określonych w niniejszej Polityce Prywatności lub wynika z przepisów prawa

5.4. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG):

• Co do zasady, dane osobowe są przetwarzane i przechowywane na terytorium Europejskiego Obszaru Gospodarczego (EOG).
• W przypadku korzystania z niektórych narzędzi zewnętrznych (np. Google Analytics, płatności PayPal) dane mogą być przekazywane do państw trzecich (poza EOG, w tym do Stanów Zjednoczonych).
• W takich przypadkach Administrator zapewnia, że transfer danych odbywa się z zastosowaniem odpowiednich zabezpieczeń przewidzianych w RODO, takich jak:
  • Standardowe klauzule umowne przyjęte przez Komisję Europejską (art. 46 ust. 2 lit. c RODO)
  • Decyzja Komisji Europejskiej stwierdzająca odpowiedni poziom ochrony w danym państwie (art. 45 RODO)
  • Certyfikaty prywatności, np. EU-U.S. Data Privacy Framework (jeśli mają zastosowanie)
• Użytkownik ma prawo uzyskać kopię danych przekazywanych poza EOG, kontaktując się z Administratorem.

5.5. Administrator nie sprzedaje ani nie wynajmuje danych osobowych użytkowników podmiotom trzecim do celów marketingowych bez wyraźnej zgody użytkownika.

§ 6. OKRES PRZECHOWYWANIA DANYCH OSOBOWYCH

6.1. Dane osobowe użytkowników są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane, oraz zgodnie z obowiązującymi przepisami prawa. Szczegółowe okresy przechowywania:

Kategoria danych	Okres przechowywania
Dane związane z realizacją umowy sprzedaży	Do momentu wykonania umowy oraz dodatkowo przez okres przedawnienia roszczeń wynikających z umowy (6 lat od dnia wymagalności roszczenia, zgodnie z Kodeksem cywilnym, chyba że inne przepisy określają dłuższy termin)
Dane księgowo-podatkowe (faktury, dokumenty księgowe)	5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (zgodnie z Ordynacją podatkową)
Dane w ramach Konta Klienta	Do momentu usunięcia Konta przez użytkownika lub rozwiązania umowy o świadczenie usługi przez którąkolwiek ze stron; następnie dane mogą być przechowywane w celach księgowych/podatkowych/dowodowych zgodnie z przepisami prawa
Dane do Newslettera (zgoda marketingowa)	Do momentu wycofania zgody, wypisania się z Newslettera lub zgłoszenia sprzeciwu przez użytkownika
Dane z formularzy kontaktowych, korespondencja	Do momentu zakończenia korespondencji lub realizacji celu zapytania; mogą być przechowywane dłużej w celach dowodowych lub jeśli wynika to z przepisów prawa
Dane dotyczące reklamacji	Przez okres rozpatrywania reklamacji oraz dodatkowo przez okres przedawnienia roszczeń z tym związanych
Dane przetwarzane w celach analitycznych, statystycznych	Dane zazwyczaj są przetwarzane w formie zanonimizowanej lub zagregowanej, bez możliwości identyfikacji konkretnych osób; w przypadku danych umożliwiających identyfikację – do momentu realizacji celu lub zgłoszenia sprzeciwu
Dane dot. bezpieczeństwa (logi systemowe, adresy IP)	Zazwyczaj do 12 miesięcy lub do momentu wyjaśnienia incydentu; mogą być przechowywane dłużej w celach dowodowych w przypadku postępowań

6.2. Po upływie okresu przechowywania dane osobowe są trwale usuwane lub anonimizowane w sposób uniemożliwiający identyfikację konkretnej osoby. 6.3. Użytkownik ma prawo w dowolnym momencie zażądać usunięcia swoich danych osobowych („prawo do bycia zapomnianym”), chyba że dalsze przetwarzanie danych jest niezbędne ze względu na obowiązujące przepisy prawa lub do dochodzenia, ustalenia lub obrony roszczeń przez Administratora.

§ 7. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

7.1. Zgodnie z RODO, użytkownikom (osobom, których dane dotyczą) przysługują następujące prawa w zakresie przetwarzania ich danych osobowych:

7.1.1. Prawo dostępu do danych (art. 15 RODO)

Użytkownik ma prawo uzyskać od Administratora potwierdzenie, czy przetwarzane są dane osobowe go dotyczące, a jeżeli ma to miejsce – uzyskać dostęp do tych danych oraz informacje dotyczące przetwarzania (m.in. cele, kategorie danych, odbiorcy, okres przechowywania, prawa użytkownika).

7.1.2. Prawo do sprostowania danych (art. 16 RODO)

Użytkownik ma prawo żądać od Administratora niezwłocznego sprostowania dotyczących go danych osobowych, które są nieprawidłowe, nieaktualne lub niekompletne. Administrator dokona sprostowania bezzwłocznie po otrzymaniu takiego żądania.

7.1.3. Prawo do usunięcia danych – „prawo do bycia zapomnianym” (art. 17 RODO)

Użytkownik ma prawo żądać od Administratora niezwłocznego usunięcia dotyczących go danych osobowych, w szczególności w następujących przypadkach:

• Dane osobowe nie są już niezbędne do celów, dla których zostały zebrane
• Użytkownik cofnął zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania
• Użytkownik wniósł sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania
• Dane osobowe były przetwarzane niezgodnie z prawem
• Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego

Prawo to nie ma zastosowania, jeżeli przetwarzanie jest niezbędne np. do wypełnienia obowiązku prawnego, dochodzenia roszczeń lub obrony przed roszczeniami.

7.1.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)

Użytkownik ma prawo żądać ograniczenia przetwarzania jego danych osobowych w następujących przypadkach:

• Użytkownik kwestionuje prawidłowość danych – na okres pozwalający Administratorowi sprawdzić prawidłowość danych
• Przetwarzanie jest niezgodne z prawem, a użytkownik sprzeciwia się usunięciu danych, żądając w zamian ograniczenia ich wykorzystywania
• Administrator nie potrzebuje już danych, ale są one potrzebne użytkownikowi do ustalenia, dochodzenia lub obrony roszczeń
• Użytkownik wniósł sprzeciw wobec przetwarzania – do czasu ustalenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu

7.1.5. Prawo do przenoszenia danych (art. 20 RODO)

Użytkownik ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłać te dane innemu administratorowi, jeżeli:

• Przetwarzanie odbywa się na podstawie zgody lub umowy
• Przetwarzanie odbywa się w sposób zautomatyzowany

Na żądanie użytkownika Administrator może również przesłać dane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

7.1.6. Prawo do sprzeciwu wobec przetwarzania (art. 21 RODO)

Użytkownik ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących go danych osobowych, jeżeli:

• Przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO) – w takim przypadku Administrator zaprzestanie przetwarzania, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw, które są nadrzędne wobec interesów użytkownika, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń
• Dane są przetwarzane w celach marketingu bezpośredniego – w takim przypadku Administrator zaprzestanie przetwarzania danych w tym celu

7.1.7. Prawo do cofnięcia zgody (art. 7 ust. 3 RODO)

W przypadku gdy przetwarzanie danych odbywa się na podstawie zgody użytkownika (art. 6 ust. 1 lit. a RODO), użytkownik ma prawo cofnąć zgodę w dowolnym momencie. Cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem zgody. Zgodę można cofnąć poprzez:

• Wysłanie wiadomości e-mail na adres: contact@somnia-lux.pl
• Kliknięcie linku „Wypisz się” w wiadomości Newsletter (w przypadku zgody na Newsletter)
• Zmianę ustawień w panelu Konta Klienta (jeśli dotyczy)

7.1.8. Prawo do wniesienia skargi do organu nadzorczego (art. 77 RODO)

Użytkownik ma prawo wnieść skargę do organu nadzorczego zajmującego się ochroną danych osobowych, jeżeli uzna, że przetwarzanie dotyczących go danych osobowych narusza przepisy RODO. Organem nadzorczym w Polsce jest: 7.2. W celu skorzystania z powyższych praw użytkownik powinien skontaktować się z Administratorem za pomocą danych kontaktowych wskazanych w § 2 (preferowany kontakt e-mail: contact@somnia-lux.pl). 7.3. Administrator dołoży wszelkich starań, aby odpowiedzieć na żądanie użytkownika bez zbędnej zwłoki, nie później niż w ciągu miesiąca od otrzymania żądania. W przypadku skomplikowanych żądań lub dużej liczby żądań, termin ten może zostać przedłużony o kolejne dwa miesiące – Administrator poinformuje użytkownika o przedłużeniu terminu i jego przyczynach w ciągu miesiąca od otrzymania żądania. 7.4. Realizacja praw użytkownika jest co do zasady bezpłatna. W przypadku żądań oczywiście bezzasadnych lub nadmiernych (w szczególności ze względu na ich częstotliwość), Administrator może naliczyć rozsądną opłatę lub odmówić podjęcia działań w związku z żądaniem.

§ 8. PLIKI COOKIE I PODOBNE TECHNOLOGIE

8.1. Czym są pliki cookie?

8.1.1. Pliki cookie (tzw. „ciasteczka”) to małe pliki tekstowe zapisywane na urządzeniu końcowym użytkownika (komputerze, telefonie, tablecie) przez przeglądarkę internetową podczas korzystania z Serwisu. 8.1.2. Pliki cookie zawierają zazwyczaj:

• Nazwę domeny, z której pochodzą
• Unikalny identyfikator (numer ID)
• Czas przechowywania pliku cookie na urządzeniu użytkownika
• Inne dane techniczne niezbędne do funkcjonowania Serwisu lub analizy jego działania

8.1.3. Pliki cookie nie są szkodliwe dla urządzenia użytkownika ani dla przechowywanych na nim danych. Nie umożliwiają one identyfikacji użytkownika jako konkretnej osoby fizycznej, chyba że użytkownik dobrowolnie poda swoje dane osobowe (np. podczas rejestracji lub składania zamówienia).

8.2. Rodzaje plików cookie stosowanych w Serwisie

8.2.1. Ze względu na czas przechowywania:

• Pliki cookie sesyjne – pozostają na urządzeniu użytkownika tylko do momentu zamknięcia przeglądarki lub zakończenia sesji w Serwisie. Po zamknięciu przeglądarki są automatycznie usuwane.
• Pliki cookie trwałe – pozostają na urządzeniu użytkownika przez określony czas (określony w parametrach pliku cookie) lub do momentu ich ręcznego usunięcia przez użytkownika. Pliki te pozwalają na zapamiętanie preferencji użytkownika przy kolejnych wizytach w Serwisie.

8.2.2. Ze względu na pochodzenie:

• Pliki cookie własne (first-party) – ustawiane bezpośrednio przez Serwis somnia-lux.pl(przez Administratora)
• Pliki cookie podmiotów trzecich (third-party) – ustawiane przez partnerów Administratora, takich jak:
  • Narzędzia analityczne (np. Google Analytics)
  • Systemy płatności (np. Montonio, PayPal)
  • Dostawcy usług marketingowych i reklamowych
  • Wtyczki mediów społecznościowych (np. Facebook, Instagram)

8.2.3. Ze względu na cel:

a) Pliki cookie niezbędne (techniczne, funkcjonalne)

Te pliki cookie są konieczne do prawidłowego funkcjonowania Serwisu i nie wymagają zgody użytkownika. Umożliwiają korzystanie z podstawowych funkcji Serwisu, takich jak:

• Zapamiętanie produktów dodanych do koszyka
• Logowanie i utrzymanie sesji zalogowanego użytkownika
• Bezpieczeństwo i zapobieganie oszustwom
• Zapamiętanie preferencji językowych i ustawień interfejsu
• Równoważenie obciążenia serwerów

Brak akceptacji tych plików cookie może uniemożliwić korzystanie z niektórych funkcji Serwisu (np. składanie zamówień, logowanie do Konta).

b) Pliki cookie analityczne i statystyczne

Te pliki cookie pozwalają na analizę sposobu korzystania z Serwisu przez użytkowników, takie jak:

• Liczba odwiedzin i źródła ruchu
• Najpopularniejsze strony i produkty
• Czas spędzony w Serwisie
• Ścieżki nawigacji użytkowników
• Informacje o urządzeniu i przeglądarce

Dane zbierane za pomocą tych plików cookie są zazwyczaj agregowane i anonimizowane. Wykorzystujemy m.in. Google Analytics.

c) Pliki cookie marketingowe i reklamowe

Te pliki cookie służą do wyświetlania użytkownikom reklam dostosowanych do ich zainteresowań oraz do śledzenia skuteczności kampanii reklamowych. Mogą być ustawiane przez naszych partnerów reklamowych (np. Google Ads, Facebook Pixel) i służą do:

• Wyświetlania spersonalizowanych reklam w Serwisie i poza nim (remarketing)
• Ograniczania częstotliwości wyświetlania reklam
• Mierzenia skuteczności kampanii reklamowych

Te pliki cookie wymagają zgody użytkownika.

d) Pliki cookie mediów społecznościowych

Te pliki cookie umożliwiają integrację Serwisu z mediami społecznościowymi (np. Facebook, Instagram) i pozwalają na:

• Udostępnianie treści w mediach społecznościowych
• Wyświetlanie treści z mediów społecznościowych w Serwisie (np. osadzone posty, filmiki)
• Logowanie za pomocą kont społecznościowych (jeśli funkcja jest dostępna)

Te pliki cookie mogą być wykorzystywane przez media społecznościowe do budowania profilu zainteresowań użytkownika.

8.3. Cele wykorzystywania plików cookie

Administrator wykorzystuje pliki cookie w następujących celach:

• Zapewnienie prawidłowego funkcjonowania Serwisu – utrzymanie sesji użytkownika, zapamiętanie zawartości koszyka, logowanie
• Bezpieczeństwo – wykrywanie nadużyć, zapobieganie oszustwom, ochrona przed atakami
• Analiza i statystyka – badanie ruchu w Serwisie, statystyki odwiedzin, optymalizacja Serwisu
• Personalizacja treści – dostosowanie wyświetlanych treści i oferty do preferencji użytkownika
• Marketing i reklama – wyświetlanie reklam dostosowanych do zainteresowań użytkownika, remarketing, mierzenie skuteczności kampanii
• Integracja z mediami społecznościowymi – umożliwienie udostępniania treści, wyświetlanie treści społecznościowych

8.4. Zarządzanie plikami cookie

8.4.1. Przy pierwszej wizycie w Serwisie użytkownik zostanie poproszony o wyrażenie zgody na stosowanie plików cookie poprzez tzw. baner cookie (panel zgód). Użytkownik może:

• Zaakceptować wszystkie pliki cookie
• Odrzucić pliki cookie (z wyjątkiem niezbędnych)
• Zarządzać ustawieniami plików cookie indywidualnie (wybrać kategorie, na które wyraża zgodę)

8.4.2. Użytkownik może w każdej chwili zmienić ustawienia plików cookie poprzez:

• Kliknięcie w link/ikonę zarządzania cookies dostępny w stopce Serwisu
• Ustawienia przeglądarki internetowej (szczegóły poniżej)

8.4.3. Zarządzanie plikami cookie w przeglądarce: Większość przeglądarek domyślnie akceptuje pliki cookie. Użytkownik może zmienić ustawienia przeglądarki, aby:

• Blokować wszystkie pliki cookie
• Blokować pliki cookie podmiotów trzecich
• Otrzymywać powiadomienie za każdym razem, gdy strona próbuje ustawić plik cookie
• Usunąć już zapisane pliki cookie

Instrukcje zarządzania plikami cookie w popularnych przeglądarkach:

• Google Chrome: https://support.google.com/chrome/answer/95647
• Mozilla Firefox: https://support.mozilla.org/pl/kb/ciasteczka
• Safari: https://support.apple.com/pl-pl/guide/safari
• Microsoft Edge: https://support.microsoft.com/pl-pl/microsoft-edge
• Opera: https://help.opera.com/pl/latest/web-preferences/#cookies

8.5. Pliki cookie podmiotów trzecich

8.5.1. W Serwisie mogą być wykorzystywane pliki cookie pochodzące od podmiotów trzecich, takich jak:

• Google Analytics – narzędzie do analizy ruchu w Serwisie. Więcej informacji: https://policies.google.com/privacy
• Google Ads – platforma reklamowa Google. Więcej informacji: https://policies.google.com/technologies/ads
• Facebook Pixel – narzędzie Facebook do remarketingu i analizy. Więcej informacji: https://www.facebook.com/privacy/explanation
• Montonio – operator płatności. Więcej informacji: https://www.montonio.com/privacy-policy/
• PayPal – operator płatności. Więcej informacji: https://www.paypal.com/pl/webapps/mpp/ua/privacy-full

8.5.2. Podmioty trzecie mogą wykorzystywać pliki cookie zgodnie z własnymi politykami prywatności. Administrator nie ma kontroli nad plikami cookie ustawianymi przez podmioty trzecie i zaleca zapoznanie się z politykami prywatności tych podmiotów. 8.5.3. Użytkownik może zrezygnować z personalizacji reklam poprzez:

• Google Ads: https://adssettings.google.com/
• Facebook: https://www.facebook.com/settings?tab=ads
• Your Online Choices (ogólnoeuropejska platforma do rezygnacji z reklam behawioralnych): https://www.youronlinechoices.com/pl/

§ 9. BEZPIECZEŃSTWO DANYCH OSOBOWYCH

9.1. Administrator przykłada najwyższą wagę do bezpieczeństwa danych osobowych użytkowników i stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę danych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem. 9.2. Stosowane środki bezpieczeństwa obejmują w szczególności:

• Szyfrowanie transmisji danych – komunikacja między przeglądarką użytkownika a serwerem Sklepu odbywa się z wykorzystaniem protokołu SSL/TLS (widoczny jako „https://” w pasku adresu przeglądarki), co zapewnia szyfrowanie przesyłanych danych
• Szyfrowanie przechowywanych danych – hasła użytkowników są przechowywane w formie zaszyfrowanej (hash) z wykorzystaniem silnych algorytmów kryptograficznych, co uniemożliwia odczytanie hasła w postaci jawnej
• Zabezpieczenia serwerów i infrastruktury IT – serwery, na których przechowywane są dane, są chronione za pomocą zapór sieciowych (firewall), systemów wykrywania i zapobiegania włamaniom (IDS/IPS), antywirusów oraz innych środków zabezpieczających
• Regularne kopie zapasowe – regularnie wykonywane są kopie zapasowe (backup) danych, co pozwala na odtworzenie danych w przypadku awarii technicznej lub utraty danych
• Kontrola dostępu – dostęp do danych osobowych mają wyłącznie osoby upoważnione przez Administratora, które zostały przeszkolone w zakresie ochrony danych osobowych i są zobowiązane do zachowania poufności
• Procedury bezpieczeństwa – wdrożone są procedury dotyczące zgłaszania i reagowania na incydenty bezpieczeństwa, audyty bezpieczeństwa, regularne aktualizacje oprogramowania
• Minimalizacja danych – Administrator zbiera tylko te dane osobowe, które są niezbędne do realizacji określonych celów, i przetwarza je tylko przez okres konieczny
• Pseudonimizacja i anonimizacja – tam gdzie jest to możliwe, dane są pseudonimizowane lub anonimizowane, aby zminimalizować ryzyko naruszenia prywatności

9.3. Administrator regularnie dokonuje przeglądu i aktualizacji środków bezpieczeństwa, aby dostosować je do aktualnych zagrożeń i standardów ochrony danych. 9.4. Pomimo stosowania wysokich standardów bezpieczeństwa, Administrator informuje, że przesyłanie danych przez Internet nigdy nie jest w pełni bezpieczne. Użytkownicy powinni również dbać o bezpieczeństwo swoich danych, w szczególności:

• Nie udostępniać swoich haseł osobom trzecim
• Korzystać z silnych, unikalnych haseł
• Wylogować się z Konta po zakończeniu korzystania, zwłaszcza na urządzeniach współdzielonych
• Regularnie aktualizować oprogramowanie antywirusowe i system operacyjny
• Unikać korzystania z publicznych, niezabezpieczonych sieci Wi-Fi przy logowaniu do Konta lub dokonywaniu płatności

9.5. W przypadku podejrzenia naruszenia bezpieczeństwa danych (np. nieautoryzowanego dostępu do Konta, podejrzanej aktywności), użytkownik powinien niezwłocznie skontaktować się z Administratorem oraz zmienić hasło do Konta. 9.6. W przypadku stwierdzenia naruszenia ochrony danych osobowych (data breach), Administrator niezwłocznie podejmie odpowiednie działania naprawcze oraz, jeśli jest to wymagane przepisami RODO, powiadomi o naruszeniu Prezesa UODO oraz osoby, których dane dotyczą.

§ 10. ZMIANY W POLITYCE PRYWATNOŚCI

10.1. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności w dowolnym czasie, w szczególności w przypadku:

• Zmiany obowiązujących przepisów prawa dotyczących ochrony danych osobowych
• Zmiany sposobu funkcjonowania Serwisu, wprowadzenia nowych usług lub funkcji
• Zmiany stosowanych technologii lub narzędzi do przetwarzania danych
• Zmiany polityk prywatności podmiotów trzecich współpracujących z Administratorem
• Konieczności usunięcia błędów, niejasności lub uzupełnienia postanowień Polityki Prywatności

10.2. O wszelkich zmianach w Polityce Prywatności użytkownicy zostaną poinformowani poprzez:

• Publikację zaktualizowanej wersji Polityki Prywatności w Serwisie (w zakładce „Polityka Prywatności”)
• Wyświetlenie komunikatu informującego o zmianach przy pierwszym wejściu do Serwisu po wprowadzeniu zmian
• Wysłanie wiadomości e-mail do użytkowników posiadających Konto Klienta (z opisem najważniejszych zmian) – o ile zmiany są istotne

10.3. Zmiany w Polityce Prywatności wchodzą w życie z dniem opublikowania zaktualizowanej wersji w Serwisie, chyba że zostanie wskazany inny termin. 10.4. Zalecamy regularne zapoznawanie się z treścią Polityki Prywatności w celu bycia na bieżąco z zasadami przetwarzania danych osobowych. 10.5. Dalsze korzystanie z Serwisu po wprowadzeniu zmian w Polityce Prywatności oznacza akceptację tych zmian. W przypadku braku akceptacji zmian, użytkownik powinien zaprzestać korzystania z Serwisu oraz może zażądać usunięcia swoich danych osobowych (z zastrzeżeniem przypadków, gdy Administrator jest zobowiązany do dalszego przetwarzania danych na podstawie przepisów prawa).

§ 11. KONTAKT W SPRAWACH OCHRONY DANYCH

11.2. Administrator dołoży wszelkich starań, aby odpowiedzieć na zapytania dotyczące ochrony danych osobowych w możliwie najkrótszym czasie, nie później niż w terminie miesiąca od otrzymania zapytania. 11.3. W przypadku skomplikowanych zapytań lub dużej liczby zapytań, termin odpowiedzi może zostać przedłużony o kolejne dwa miesiące – Administrator poinformuje o tym użytkownika w ciągu miesiąca od otrzymania zapytania, wskazując przyczyny przedłużenia.