POLITYKA PRYWATNOŚCI

Postanowienia ogólne

Niniejsza Polityka Prywatności serwisu yarna.pl (dalej: „Serwis”) opisuje zasady przetwarzania danych osobowych użytkowników Serwisu, w tym klientów sklepu internetowego i uczestników szkoleń. Dokument uwzględnia wymagania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz polskich przepisów o ochronie danych osobowych. Celem Polityki jest przekazanie przejrzystych informacji o tym, jakie dane zbieramy, w jakim celu je wykorzystujemy, jak długo je przechowujemy, komu je udostępniamy oraz jakie prawa przysługują użytkownikom.

Administrator danych osobowych: Administratorem danych jest Damian Chrobak, prowadzący działalność gospodarczą pod firmą YARNA Damian Chrobak, z siedzibą pod adresem Nieznamierowice 88, 26-411 Rusinów, NIP 6010080794, REGON 363956875 (dalej: „Administrator”). Z Administratorem można się skontaktować pod adresem e-mail: pomoc@yarna.pl.

Administrator dokłada należytej staranności, aby dane osobowe były przetwarzane zgodnie z obowiązującym prawem, rzetelnie i w sposób przejrzysty dla osób, których dane dotyczą. Dane zbierane w Serwisie nie są odsprzedawane ani udostępniane podmiotom trzecim do ich własnych celów marketingowych bez zgody użytkowników. Administrator może aktualizować niniejszą Politykę w związku ze zmianami prawa lub oferty Serwisu – nowa wersja zostanie opublikowana na stronie wraz z odpowiednią datą.

Zakres i cel zbierania danych

W ramach korzystania z Serwisu Użytkownik może przekazać Administratorowi różne dane osobowe – w zależności od form aktywności w Serwisie. Podanie danych jest zawsze dobrowolne, ale może być niezbędne do skorzystania z określonych usług (np. realizacji zamówienia lub rejestracji na kurs). Administrator zbiera i przetwarza dane osobowe wyłącznie w konkretnych, prawnie uzasadnionych celach i nie przetwarza ich dalej w sposób niezgodny z tymi celami. Poniżej przedstawiamy główne sytuacje, w których przetwarzane są dane Użytkowników, wraz z przykładami rodzajów danych oraz podstawą prawną ich przetwarzania:

  • Sklep internetowy – realizacja zamówień produktów fizycznych: podczas zakupów w sklepie Użytkownik podaje dane niezbędne do realizacji umowy sprzedaży, takie jak imię i nazwisko, adres dostawy, adres e-mail, numer telefonu, dane do płatności (np. numer transakcji). Dane te są wykorzystywane w celu przyjęcia i obsługi zamówienia, płatności, dostarczenia produktów, obsługi ewentualnych reklamacji i zwrotów. Podstawą prawną jest art. 6 ust. 1 lit. b RODO (wykonanie umowy sprzedaży) – dane są niezbędne do zawarcia i realizacji umowy. Dodatkowo, niektóre dane związane z zamówieniem będą przetwarzane w celu spełnienia obowiązków prawnych ciążących na Administratorze (np. wystawienie faktury, prowadzenie dokumentacji księgowej) na podstawie art. 6 ust. 1 lit. c RODO (obowiązek prawny). Niepodanie danych wymaganych przy składaniu zamówienia uniemożliwi realizację sprzedaży.
  • Kursy online i dostęp do platformy edukacyjnej: w przypadku zakupu kursów online lub innej treści cyfrowej Użytkownik może zostać poproszony o założenie konta na platformie szkoleniowej. Przetwarzane dane to m.in. imię, nazwisko, adres e-mail (służący jako login), dane potrzebne do obsługi płatności oraz ewentualnie dodatkowe informacje związane z profilem Użytkownika (np. historia ukończonych modułów, uzyskane certyfikaty). Dane te są przetwarzane w celu zawarcia i wykonania umowy o dostarczenie treści cyfrowych/usług (art. 6 ust. 1 lit. b RODO), zapewnienia Użytkownikowi dostępu do zakupionych kursów, komunikacji w sprawie kursu (np. wysyłka informacji organizacyjnych, zmian w platformie) oraz zapewnienia obsługi posprzedażowej. W razie płatnych kursów wystawiane są również dokumenty księgowe (podstawa prawna art. 6 ust. 1 lit. c RODO). Bez podania tych danych nie będzie możliwe utworzenie konta i korzystanie z zakupionych treści.
  • Szkolenia stacjonarne i konsultacje: przy zapisach na szkolenia stacjonarne, warsztaty lub konsultacje na żywo Administrator może zbierać dane takie jak imię i nazwisko uczestnika, dane kontaktowe (e-mail, telefon) oraz informacje potrzebne do organizacji szkolenia (np. wybrany termin, poziom zaawansowania, szczególne potrzeby). Dane te są wykorzystywane w celu rejestracji uczestnika, kontaktu w sprawach organizacyjnych, realizacji usługi szkoleniowej oraz rozliczenia płatności (jeśli szkolenie jest odpłatne). Podstawą prawną przetwarzania jest art. 6 ust. 1 lit. b RODO (działania zmierzające do zawarcia i realizacji umowy o udział w szkoleniu lub konsultacji). W zakresie rozliczeń finansowych i ewentualnego zaświadczenia udziału zastosowanie ma także art. 6 ust. 1 lit. c RODO (obowiązki prawne, np. podatkowe). Podanie tych danych jest warunkiem uczestnictwa w szkoleniu – odmowa ich podania może uniemożliwić zawarcie umowy udziału.
  • Formularz kontaktowy i kontakt e-mail/telefoniczny: w Serwisie dostępne są formularze umożliwiające kontakt z Administratorem (np. zapytania o ofertę, zgłoszenia na szkolenie, pytania ogólne). Wypełnienie formularza wymaga podania danych takich jak imię, adres e-mail (ew. numer telefonu) oraz treść wiadomości. Podane dane są przetwarzane wyłącznie w celu obsługi zapytania – udzielenia odpowiedzi, rozwiązania przedstawionej sprawy, dalszej korespondencji na prośbę Użytkownika. Podstawą prawną jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na konieczności komunikacji z osobami zainteresowanymi jego ofertą i obsługi kierowanych do niego zapytań. Wysłanie formularza jest równoznaczne z zainicjowaniem kontaktu – odrębna zgoda nie jest wymagana, gdyż Użytkownik sam oczekuje odpowiedzi. Niemniej, Administrator zapewnia, że dane z korespondencji nie będą wykorzystywane do innych celów niż odpowiedź na pytanie. Po zakończeniu korespondencji dane mogą być przez pewien czas archiwizowane w celu dochowania ciągłości historii kontaktu (patrz: Okres przechowywania danych), a następnie usunięte lub zanonimizowane.
  • Komentarze na blogu: Serwis umożliwia dodawanie komentarzy do wpisów na blogu. Decydując się na publikację komentarza, Użytkownik może podać takie dane jak imię/pseudonim (będzie widoczny publicznie przy komentarzu) oraz adres e-mail. Adres e-mail może być wymagany w celu weryfikacji autora, zapobiegania spamowi lub ewentualnej komunikacji administracyjnej, lecz nie jest upubliczniany. Dane związane z komentarzem są przetwarzane w celu opublikowania wypowiedzi Użytkownika na blogu oraz administracji komentarzami (np. filtracja spamu, moderacja treści naruszających prawo lub regulamin). Podstawą prawną przetwarzania danych komentujących jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO), wyrażona poprzez świadome dodanie komentarza i przesłanie swoich danych w formularzu komentowania. Użytkownik może w każdej chwili poprosić o usunięcie swojego komentarza oraz powiązanych z nim danych – wtedy podstawą prawną usunięcia jest art. 17 RODO (prawo do bycia zapomnianym).
  • Newsletter: osoby, które chcą otrzymywać newsletter Serwisu (wiadomości e-mail z aktualnościami, ofertami produktów i szkoleń, informacjami branżowymi itp.), proszone są o podanie adresu e-mail w formularzu zapisu oraz zaznaczenie zgody na otrzymywanie informacji marketingowych. Dane w postaci adresu e-mail (ewentualnie także imienia, jeśli formularz o to prosi – np. w celu personalizacji wiadomości) będą wykorzystywane wyłącznie do wysyłki newslettera. Podstawą prawną przetwarzania jest dobrowolna zgoda (art. 6 ust. 1 lit. a RODO), którą Użytkownik wyraża poprzez zapis do newslettera. Zgoda ta może być w każdej chwili wycofana – np. poprzez kliknięcie linku wypisu znajdującego się w stopce każdego newslettera lub kontakt z Administratorem. Cofnięcie zgody nie wpływa na legalność przetwarzania dokonanego przed jej wycofaniem. Użytkownik, który wycofa zgodę, nie będzie już otrzymywał newslettera, a jego dane zostaną usunięte lub zanonimizowane, z wyjątkiem informacji potrzebnych do udokumentowania faktu posiadania uprzedniej zgody (przez okres wskazany w części Okres przechowywania danych).
  • Marketing własny i remarketing (reklama behawioralna): Administrator może przetwarzać dane Użytkowników w celach marketingu bezpośredniego własnych produktów i usług, co obejmuje także tzw. remarketing, czyli wyświetlanie Użytkownikom dopasowanych reklam Serwisu na innych platformach (np. na Facebooku, Instagramie, w sieci reklamowej Google). Takie działania marketingowe mogą polegać np. na wykorzystaniu plików cookies i identyfikatorów reklamowych do utworzenia grup odbiorców reklamy (np. do osób odwiedzających Serwis kierowane są następnie reklamy YARNA Academy na Facebooku). Nie profilujemy Użytkowników w sposób prowadzący do podejmowania zautomatyzowanych decyzji wywołujących skutki prawne lub istotnie na nich wpływających – działania remarketingowe mają charakter ograniczony do prezentowania zindywidualizowanych treści reklamowych. Podstawą prawną takiego przetwarzania danych w celach marketingowych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), którym jest promowanie własnej działalności i zwiększanie sprzedaży. Należy jednak podkreślić, że w zakresie, w jakim działania te opierają się na wykorzystywaniu plików cookies lub podobnych technologii – ich użycie następuje zgodnie z przepisami Prawa telekomunikacyjnego, co oznacza uzyskanie uprzedniej zgody Użytkownika na instalację cookies marketingowych (szczegóły w Polityce Cookies). Użytkownik ma prawo wnieść sprzeciw wobec przetwarzania jego danych w celach marketingu bezpośredniego w dowolnym momencie (więcej o prawie sprzeciwu w części Prawa użytkownika). W przypadku wniesienia sprzeciwu Administrator zaprzestanie takiego przetwarzania w odniesieniu do danej osoby.
  • Analiza statystyczna i ulepszanie Serwisu: podczas wizyty Użytkownika w Serwisie automatycznie zbierane mogą być pewne informacje o jego aktywności – w szczególności dotyczące urządzenia i przeglądarki, adresu IP, odwiedzanych podstron, czasu spędzonego na stronie, klikniętych elementów itp. Do analizy tych informacji Administrator wykorzystuje narzędzia zewnętrzne, takie jak Google Analytics (dostarczane przez Google Ireland Ltd.). Dane zbierane przez te narzędzia (za pośrednictwem plików cookies analitycznych – patrz Polityka Cookies) są wykorzystywane do celów statystycznych, analitycznych i w celu usprawniania działania Serwisu – np. lepszego dopasowania go do preferencji Użytkowników, optymalizacji nawigacji, rozwiązywania problemów z wydajnością. Podstawą prawną przetwarzania danych analitycznych może być uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) polegający na prowadzeniu analizy aktywności na stronie i ulepszaniu usług, jednak w praktyce – z uwagi na wymogi prawa telekomunikacyjnego dotyczące zgody na cookies – narzędzia analityczne uruchamiane są tylko w przypadku, gdy Użytkownik wyrazi na to zgodę za pomocą banera cookies (art. 6 ust. 1 lit. a RODO). Dane statystyczne wykorzystywane są w formie zanonimizowanej lub zagregowanej (Administrator nie stara się identyfikować Użytkownika na podstawie danych analitycznych). Użytkownik może w każdej chwili wycofać swoją zgodę na cookies analityczne – instrukcje znajdują się w Polityce Cookies.
  • Logi serwera i zapewnienie bezpieczeństwa: korzystanie z Serwisu wiąże się z przesyłaniem zapytań do serwera, na którym utrzymywany jest Serwis. Każde takie zapytanie zapisywane jest w tzw. logach serwera, które obejmują m.in. publiczny adres IP urządzenia wywołującego zapytanie, datę i czas odwiedzin, informacje o używanej przeglądarce internetowej i systemie operacyjnym. Dane w logach są przetwarzane przede wszystkim w celach technicznych i administracyjnych: zapewnienia prawidłowego działania Serwisu, bezpieczeństwa systemu informatycznego, zarządzania serwerem oraz do celów diagnostycznych (np. w celu wykrywania nieprawidłowości w działaniu, prób naruszenia bezpieczeństwa). Podstawą prawną przetwarzania logów jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) polegający na dbałości o sprawność i bezpieczeństwo Serwisu. Dane w logach nie są wykorzystywane do identyfikacji Użytkownika i nie są łączone z innymi danymi Użytkowników. Logi serwera stanowią wyłącznie pomocniczy materiał administracyjny – ich zawartość nie jest ujawniana nikomu poza osobami upoważnionymi do zarządzania serwerem.

Podstawa prawna przetwarzania: wszystkie powyższe kategorie przetwarzania danych osobowych realizowane są zgodnie z art. 6 RODO. W zależności od sytuacji będzie to: niezbędność do wykonania umowy lub podjęcia działań na żądanie osoby przed zawarciem umowy (art. 6 ust. 1 lit. b), wypełnienie obowiązku prawnego (lit. c), zgoda osoby, której dane dotyczą (lit. a), bądź prawnie uzasadnione interesy realizowane przez Administratora (lit. f). Tam, gdzie podstawą jest uzasadniony interes, Administrator upewnił się, że przetwarzanie nie narusza praw i wolności Użytkowników – m.in. analizując, czy nie jest to dla nich zbyt ingerujące. Użytkownik zawsze ma prawo wnieść sprzeciw (opisany niżej), jeśli uważa, że jego szczególna sytuacja sprawia, iż przetwarzanie oparte na uzasadnionym interesie nie powinno mieć miejsca.

Kategorie odbiorców danych

Administrator nie przekazuje ani nie ujawnia danych osobowych innym podmiotom, chyba że jest to niezbędne do osiągnięcia celów opisanych powyżej lub wymagane przepisami prawa. W praktyce, dostęp do danych Użytkowników mogą mieć następujące kategorie odbiorców (podmiotów przetwarzających lub współadministatorów):

  • Podmioty uczestniczące w realizacji zamówień – np. firma świadcząca usługę kurierską lub pocztową dostarczającą przesyłki (otrzyma dane adresowe i kontaktowe potrzebne do doręczenia paczki) oraz operatorzy płatności obsługujący płatności online (otrzymują informacje niezbędne do zrealizowania transakcji płatniczej, takie jak kwota, numer zamówienia, dane kupującego). Przykładem jest serwis płatności elektronicznych Przelewy24 (PayPro SA), z którego korzysta sklep – serwis ten staje się niezależnym administratorem danych płatniczych Użytkownika w zakresie koniecznym do obsługi płatności.
  • Dostawcy usług IT i hostingu – firmy zapewniające hosting strony i jej baz danych, utrzymujące infrastrukturę informatyczną lub udostępniające oprogramowanie wykorzystywane w Serwisie (np. platformę sklepową, platformę kursów online, system zarządzania treścią). Mogą to być także podmioty zapewniające wsparcie techniczne, rozwój strony, serwis systemów – mają oni dostęp do danych w zakresie technicznym (np. do baz danych) i przetwarzają je wyłącznie na polecenie Administratora na podstawie stosownych umów powierzenia przetwarzania danych.
  • Dostawcy usług marketingowych i analitycznych – zewnętrzne firmy, których narzędzia są zintegrowane z Serwisem: np. Google (usługi Google Analytics, Google Ads) lub Meta (Facebook) w zakresie Pixel Facebooka. Podmioty te mogą otrzymywać pewne informacje o aktywności Użytkownika w Serwisie za pomocą plików cookies i podobnych technologii (więcej szczegółów w Polityce Cookies). W kontekście RODO, Administrator traktuje te firmy jako oddzielnych administratorów danych pozyskanych poprzez narzędzia cookies – np. Google wykorzystuje zebrane dane we własnych celach (statystyki, reklama) zgodnie ze swoimi politykami prywatności. Administrator zawarł z dostawcami niezbędne umowy (np. umowę powierzenia danych z Google LLC w ramach korzystania z Google Analytics), a tam gdzie to wymagane – uzyskał zgody Użytkowników na transfer danych do tych podmiotów trzecich (np. zgoda na cookies marketingowe/analityczne).
  • Dostawcy usług e-mail marketingu i CRM – jeżeli wysyłka newslettera odbywa się za pośrednictwem zewnętrznego narzędzia (np. platformy mailingowej typu MailChimp, FreshMail itp.), to dostawca takiej usługi przetwarzającej listę adresów e-mail subskrybentów działa jako podmiot przetwarzający dane na zlecenie Administratora. Udostępniany jest mu adres e-mail subskrybenta (ew. imię) oraz treść wysyłanych wiadomości. Dostawca ten gwarantuje odpowiedni poziom ochrony danych, m.in. poprzez zawarcie umowy powierzenia. Analogicznie, Administrator może korzystać z systemu CRM (Customer Relationship Management) lub innego oprogramowania do zarządzania bazą klientów, w którym przechowywane są dane kontaktowe – dostawca takiego systemu także jest odbiorcą danych w rozumieniu RODO.
  • Biuro rachunkowe / doradcy prawni – Administrator może powierzyć przetwarzanie niektórych danych podmiotom zapewniającym obsługę księgową lub prawną. Dotyczy to głównie danych związanych z transakcjami (np. dane na fakturach sprzedaży) lub danych niezbędnych do skonsultowania kwestii prawnych (np. treść umowy z klientem w razie sporu). Biuro rachunkowe przetwarza dane na podstawie umowy powierzenia i wyłącznie w celu prowadzenia ksiąg rachunkowych Administratora zgodnie z przepisami. Kancelaria prawna może otrzymać dane np. w razie konieczności dochodzenia lub obrony roszczeń – podstawą ujawnienia danych jest wtedy prawnie uzasadniony interes Administratora w korzystaniu z pomocy prawnej.
  • Trenerzy, instruktorzy, partnerzy szkoleniowi – w kontekście szkoleń stacjonarnych lub konsultacji, jeśli określone szkolenie prowadzone jest przez współpracującego trenera (np. instruktorkę stylizacji rzęs) inną niż Administrator, może zaistnieć potrzeba przekazania jej danych uczestników szkolenia (imię, nazwisko, ewentualnie kontakt) w celu przeprowadzenia szkolenia. Tacy trenerzy działają jednak zwykle jako niezależni usługodawcy i otrzymują dane uczestników jedynie w minimalnym zakresie niezbędnym do realizacji szkolenia, na podstawie umowy o współpracy z Administratorem. Każdorazowo uczestnik jest informowany, kto będzie prowadzącym szkolenie. Dane uczestników nie są przekazywane wykładowcom ani prelegentom spoza organizacji Administratora bez podstawy prawnej i wiedzy osoby, której dane dotyczą.
  • Organy publiczne – w razie prawnego obowiązku lub uprawnionego żądania opartego na przepisach prawa, Administrator może udostępnić zebrane dane organom państwowym, takim jak policja, prokuratura, sądy, organy podatkowe lub Urząd Ochrony Danych Osobowych. Taka sytuacja może mieć miejsce np. w trakcie kontroli, postępowania wyjaśniającego lub na potrzeby ochrony prawnej Administratora.

Administrator zapewnia, że każdy odbiorca danych przetwarza je wyłącznie w zakresie i celu, jaki został określony przez Administratora lub wynika z przepisów prawa. Z podmiotami tymi zawarte są stosowne umowy powierzenia danych (gdy działają wyłącznie na polecenie Administratora, np. hosting, usługi IT, newsletter) lub udostępnienie danych następuje na podstawie przepisów prawa.

Przekazywanie danych do państw trzecich lub organizacji międzynarodowych: co do zasady, Administrator stara się przechowywać dane osobowe na terytorium Europejskiego Obszaru Gospodarczego (EOG). Niemniej, niektóre używane usługi mogą wiązać się z transferem danych poza EOG – dotyczy to w szczególności usług dostarczanych przez firmy międzynarodowe (np. Google, Meta/Facebook, MailChimp), których serwery mogą znajdować się w USA lub innych krajach. W takich przypadkach transfer odbywa się zgodnie z rozdziałem V RODO. Dostawcy ci przystąpili do Standardowych Klauzul Umownych przyjętych przez Komisję Europejską lub zapewniają inny mechanizm zgodności (np. certyfikaty zgodności, dodatkowe zabezpieczenia). Użytkownik ma prawo uzyskać kopię zastosowanych zabezpieczeń – w tym celu należy skontaktować się z Administratorem. Administrator monitoruje też zmiany w przepisach i orzecznictwie dotyczące transferu danych (np. wyrok Schrems II unieważniający Tarczę Prywatności USA) i w razie potrzeby podejmuje dodatkowe kroki, aby zagwarantować bezpieczeństwo i legalność przekazywania danych.

Okres przechowywania danych

Dane osobowe będą przechowywane nie dłużej, niż jest to konieczne do realizacji celów, dla których zostały zebrane, z uwzględnieniem wymogów prawnych oraz ewentualnych roszczeń. Ponieważ różne kategorie danych przetwarzane są w różnych celach, czas ich przechowywania może się różnić w zależności od kontekstu. Administrator stosuje następujące ogólne zasady ustalania okresów retencji danych:

  • Dane przetwarzane na podstawie zgody – przechowujemy do momentu wycofania zgody przez osobę, której dane dotyczą lub ustania celu przetwarzania (w zależności co nastąpi pierwsze). Przykładowo: adres e-mail subskrybenta newslettera będzie przechowywany tak długo, jak działa newsletter, chyba że wcześniej subskrybent z niego zrezygnuje; wówczas jego dane zostaną niezwłocznie usunięte z bazy mailingowej (z wyjątkiem zachowania informacji potrzebnych do wykazania historii zgody przez okres do 3 lat na wypadek roszczeń – patrz niżej). Podobnie, dane powiązane z komentarzem na blogu będą przechowywane tak długo, jak komentarz jest publicznie dostępny na stronie (chyba że Użytkownik poprosi o jego usunięcie wcześniej).
  • Dane przetwarzane w celu wykonania umowy (podstawa z art. 6 ust. 1 lit. b RODO) – przechowujemy przez czas trwania umowy oraz tak długo, jak jest to niezbędne do jej rozliczenia, a następnie przez okres wymagany przez prawo lub uzasadniony dla zabezpieczenia ewentualnych roszczeń. Przykładowo: dane związane z zamówieniem w sklepie czy zapisem na szkolenie będą przechowywane przez okres realizacji zamówienia/szkolenia, a po jego zakończeniu – przez okres przedawnienia roszczeń z umowy. Standardowo w Polsce podstawowy termin przedawnienia roszczeń wynosi 6 lat (dla roszczeń konsumentów względem przedsiębiorców 6 lat, z pewnymi wyjątkami np. 3 lata dla roszczeń o świadczenia okresowe). Dlatego Administrator może przechowywać dane dot. umowy przez okres do 6 lat od jej wykonania, aby móc ustalić, dochodzić lub obronić ewentualne roszczenia.
  • Dane przetwarzane w celu spełnienia obowiązku prawnego (podstawa z art. 6 ust. 1 lit. c RODO) – przechowujemy przez czas wymagany przepisami. Przykładowo: przepisy podatkowe i o rachunkowości zobowiązują do przechowywania dokumentacji księgowej (w tym faktur zawierających dane osobowe nabywców) przez 5 lat licząc od końca roku obrachunkowego, w którym wystąpiły zdarzenia finansowe (np. faktura sprzedaży z 2025 r. musi być przechowywana do końca 2030 r.). Podobnie, dane związane z reklamacjami czy odstąpieniami od umowy będą przechowywane przez okres wymagany przepisami konsumenckimi. Administrator nie będzie usuwał takich danych przed upływem wskazanych okresów, nawet na żądanie Użytkownika, o ile przepisy nakazują ich zachowanie.
  • Dane przetwarzane na podstawie prawnie uzasadnionego interesu (podstawa z art. 6 ust. 1 lit. f RODO) – przechowujemy do czasu ziszczenia się tego interesu lub zgłoszenia skutecznego sprzeciwu przez osobę, której dane dotyczą. Na przykład: dane przetwarzane dla celów marketingu bezpośredniego (np. adres e-mail klienta używany do wysyłki ofert) będą przechowywane do czasu, aż osoba zażąda zaprzestania tego działania (sprzeciwi się marketingowi) lub Administrator sam uzna, że dane się zdezaktualizowały. Innym przykładem może być przechowywanie korespondencji e-mail: Administrator ma uzasadniony interes, by archiwizować komunikację z klientami w celu zapewnienia ciągłości obsługi i móc ewentualnie wykazać treść ustaleń – taka korespondencja może być zatem zachowana przez okres przedawnienia roszczeń związanych z daną sprawą (maksymalnie 6 lat). Jeżeli przetwarzamy dane na podstawie interesu polegającego na zapewnieniu bezpieczeństwa serwisu (np. logi), dane te będą przechowywane przez okres do 2 lat od ich zebrania, o ile nie zajdzie potrzeba ich dłuższego przechowywania (np. w związku z dochodzeniem naruszeń bezpieczeństwa) – w takim przypadku mogą być przechowywane do czasu ostatecznego wyjaśnienia sprawy.

Po upływie wskazanych okresów dane są usuwane lub trwale anonimizowane (czyli przekształcane w formę uniemożliwiającą identyfikację osoby). W praktyce, usunięcie lub anonimizacja następuje w ramach okresowych czynności porządkowych wykonywanych przez Administratora (np. raz na kwartał lub raz do roku Administrator dokonuje przeglądu baz danych i usuwa informacje, których dalsze przechowywanie nie jest uzasadnione).

Jeśli Użytkownik wyraził zgodę na przetwarzanie danych (np. na otrzymywanie newslettera), a następnie ją wycofał, Administrator może zarchiwizować minimalne informacje o takiej zgodzie przez okres do 3 lat od wycofania – wyłącznie w celach wykazania w przyszłości, że przetwarzanie odbywało się zgodnie z prawem. Okres ten wynika z terminów przedawnienia ewentualnych roszczeń na gruncie RODO.

Prawa Użytkownika (osoby, której dane dotyczą)

Każdej osobie, której dane osobowe są przetwarzane przez Administratora, przysługują prawa wynikające z RODO. Szanujemy te prawa i gwarantujemy możliwość ich realizacji. Poniżej przedstawiamy listę praw Użytkownika wraz z objaśnieniem:

  • Prawo dostępu do danych – Użytkownik ma prawo uzyskać potwierdzenie, czy Administrator przetwarza jego dane osobowe, a jeśli ma to miejsce – uzyskać dostęp do nich oraz informacje m.in. o celach przetwarzania, kategoriach danych, odbiorcach, planowanym okresie przechowywania, źródłach pozyskania danych (gdy nie zostały zebrane od osoby) itp. Na życzenie Użytkownika Administrator dostarczy kopię danych podlegających przetwarzaniu (pierwsza kopia jest bezpłatna, za kolejne zgodnie z RODO może być pobrana opłata administracyjna).
  • Prawo sprostowania danych – Użytkownik ma prawo żądać niezwłocznego sprostowania dotyczących go danych osobowych, które są nieprawidłowe lub nieaktualne, a także uzupełnienia niekompletnych danych (przy uwzględnieniu celów przetwarzania). Jeśli np. Użytkownik zmienił nazwisko lub adres albo wykrył błąd w swoich danych, Administrator poprawi je na żądanie.
  • Prawo do usunięcia danych („prawo do bycia zapomnianym”) – Użytkownik ma prawo żądać usunięcia swoich danych osobowych, jeżeli zachodzą okoliczności przewidziane w art. 17 RODO, w szczególności gdy: (a) dane nie są już niezbędne do celów, w których zostały zebrane, (b) zgoda, na której opierało się przetwarzanie została wycofana i nie ma innej podstawy prawnej, (c) osoba wniosła sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, (d) dane były przetwarzane niezgodnie z prawem, (e) dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego. Administrator dokona usunięcia danych, o ile przetwarzanie nie jest konieczne z uwagi na inne przepisy (np. obowiązek zachowania danych transakcyjnych) lub w celu ustalenia, dochodzenia lub obrony roszczeń. W praktyce, jeśli Użytkownik zażąda usunięcia konta i danych, Administrator usunie lub zanonimizuje dane, których nie musi zachowywać (np. usunie profil Użytkownika, a zachowa zanonimizowane informacje o dokonanych zakupach na potrzeby księgowości).
  • Prawo do ograniczenia przetwarzania – Użytkownik ma prawo żądania, by Administrator ograniczył przetwarzanie jego danych osobowych (czyli by jedynie je przechowywał, a wstrzymał się od innych operacji) w następujących sytuacjach: (a) gdy osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich poprawność; (b) gdy przetwarzanie jest niezgodne z prawem, ale osoba sprzeciwia się usunięciu danych, żądając w zamian ograniczenia ich wykorzystywania; (c) gdy Administrator nie potrzebuje już danych, ale są one potrzebne osobie do ustalenia, dochodzenia lub obrony roszczeń; (d) gdy osoba wniosła sprzeciw wobec przetwarzania (patrz niżej) – do czasu stwierdzenia, czy po stronie Administratora istnieją nadrzędne prawnie uzasadnione podstawy uprawniające do dalszego przetwarzania. Jeżeli przetwarzanie zostanie ograniczone, Administrator może co do zasady tylko przechowywać dane – inne czynności są możliwe albo za zgodą osoby, albo w celu dochodzenia roszczeń, ochrony praw innej osoby lub z ważnych względów interesu publicznego.
  • Prawo do przenoszenia danych – w przypadkach, gdy dane są przetwarzane na podstawie zgody (art. 6 ust. 1 lit. a) lub na podstawie umowy (art. 6 ust. 1 lit. b) i jednocześnie w sposób zautomatyzowany, Użytkownik ma prawo otrzymać od Administratora swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. CSV, JSON, XML) oraz ma prawo przesłać te dane innemu administratorowi. Dotyczy to np. danych konta użytkownika, informacji o dokonanych zakupach, które są przetwarzane w systemie informatycznym. Użytkownik może też zażądać, by to Administrator przesłał jego dane bezpośrednio innemu wskazanemu administratorowi, o ile jest to technicznie możliwe. Prawo to nie obejmuje danych, które są przetwarzane nieautomatycznie (np. papierowe archiwa) ani danych, które stanowią tajemnicę przedsiębiorstwa Administratora.
  • Prawo sprzeciwu – Użytkownik ma w dowolnym momencie prawo wnieść sprzeciw wobec przetwarzania jego danych osobowych, jeśli podstawą przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f). Sprzeciw musi być uzasadniony szczególną sytuacją Użytkownika (chyba że chodzi o sprzeciw wobec marketingu bezpośredniego – wówczas wystarczy ogólny sprzeciw bez uzasadnienia, patrz niżej). Po zgłoszeniu sprzeciwu Administrator oceni, czy istnieją ważne, prawnie uzasadnione podstawy przetwarzania, nadrzędne wobec praw i wolności osoby – jeśli nie, zaprzestanie przetwarzania objętego sprzeciwem. Sprzeciw wobec marketingu – jeżeli dane osobowe przetwarzane są na potrzeby marketingu bezpośredniego (np. e-mailing do klientów, profilowanie pod kątem takich działań), Użytkownik ma prawo wnieść sprzeciw w każdym czasie, bez konieczności uzasadniania, a Administrator zobowiązany jest zaprzestać przetwarzania do tych celów. Innymi słowy: jeżeli Użytkownik nie życzy sobie otrzymywać ofert lub chce, by jego aktywność nie była uwzględniana w statystykach marketingowych, wystarczy wyrazić sprzeciw poprzez kontakt z Administratorem – np. wysyłając e-mail z taką informacją.
  • Prawo do wycofania zgody – jeśli przetwarzanie odbywa się na podstawie udzielonej zgody, Użytkownik ma prawo w każdej chwili wycofać tę zgodę. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem, ale oznacza że od momentu wycofania Administrator nie będzie już dalej przetwarzał danych w celu objętym tą zgodą. Przykładowo, Użytkownik może wypisać się z newslettera (co jest równoznaczne z cofnięciem zgody na otrzymywanie informacji handlowych drogą mailową) lub wycofać zgodę na cookies analityczne/marketingowe poprzez ustawienia prywatności. Procedura cofnięcia zgody jest zawsze tak samo łatwa jak jej wyrażenie – jeśli Użytkownik napotka trudności, wystarczy skontaktować się z Administratorem (pomoc@yarna.pl), który ręcznie usunie lub zaktualizuje dane.
  • Prawo niepodlegania zautomatyzowanemu podejmowaniu decyzji – Administrator nie podejmuje wobec Użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), które wywoływałyby wobec Użytkownika skutki prawne lub w podobny sposób istotnie na niego wpływały. Ewentualne profilowanie danych Użytkowników (np. kategoryzacja zainteresowań na potrzeby remarketingu) nie wywołuje takich skutków i zawsze podlega możliwości sprzeciwu. Gdyby jednak w przyszłości Administrator zamierzał wprowadzić całkowicie zautomatyzowane podejmowanie decyzji, Użytkownik zostanie o tym poinformowany, a jego dane nie będą podlegały takiemu przetwarzaniu bez uzyskania uprzedniej zgody.
  • Prawo wniesienia skargi do organu nadzorczego – jeśli Użytkownik uzna, że przetwarzanie jego danych osobowych narusza przepisy prawa (RODO lub inne właściwe), ma prawo złożyć skargę do właściwego organu nadzorczego. W Polsce organem tym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Skargę można złożyć np. pisemnie na adres Urzędu (ul. Stawki 2, 00-193 Warszawa) lub elektronicznie zgodnie z procedurami opisanymi na stronie www.uodo.gov.pl. Zalecamy jednak uprzedni kontakt z Administratorem – postaramy się wyjaśnić wszelkie wątpliwości i rozwiązać problemy polubownie.

W celu realizacji powyższych praw należy skontaktować się z Administratorem (np. poprzez wysłanie wiadomości na adres e-mail pomoc@yarna.pl). Żądanie powinno w miarę możliwości precyzować, czego dotyczy (jakiego prawa i jakich danych). Jeżeli Administrator nie będzie w stanie zweryfikować tożsamości osoby występującej z żądaniem na podstawie dostępnych mu informacji, może poprosić o dodatkowe dane (wyłącznie w celu potwierdzenia tożsamości). Odpowiedź na żądanie zostanie udzielona bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania (termin ten w razie potrzeby może zostać przedłużony o kolejne dwa miesiące – z uwagi na skomplikowany charakter żądania lub liczbę żądań – o czym Administrator poinformuje). Realizacja praw osób jest wolna od opłat, chyba że żądania są ewidentnie nieuzasadnione lub nadmierne (w takim przypadku Administrator – zgodnie z art. 12 ust. 5 RODO – może pobrać uzasadnioną opłatę albo odmówić podjęcia działań).

Bezpieczeństwo danych

Administrator przykłada dużą wagę do ochrony danych osobowych Użytkowników przed nieuprawnionym dostępem osób trzecich, utratą czy uszkodzeniem. Wdrożone zostały odpowiednie środki techniczne i organizacyjne zapewniające poufność, integralność i rozliczalność przetwarzanych danych, zgodnie z art. 32 RODO. Do kluczowych zabezpieczeń należą m.in.: szyfrowanie połączenia ze stroną internetową za pomocą protokołu SSL (https), zabezpieczenie baz danych hasłami i przed nieautoryzowanym dostępem, regularne aktualizacje oprogramowania Serwisu, systemy backupów (kopii zapasowych) chroniące przed utratą danych, a także kontrola fizyczna i logiczna dostępu do infrastruktury serwerowej. Personel Administratora oraz współpracownicy mają dostęp do danych osobowych jedynie w zakresie, jaki jest konieczny do realizacji ich zadań i zobowiązani są do zachowania tajemnicy.

Administrator na bieżąco monitoruje potencjalne zagrożenia, dba o aktualizację zabezpieczeń i w razie potrzeby doskonali polityki bezpieczeństwa. W przypadku stwierdzenia naruszenia ochrony danych osobowych (np. wycieku lub nieuprawnionego dostępu), które może skutkować wysokim ryzykiem naruszenia praw lub wolności Użytkowników, Administrator poinformuje o tym fakcie zarówno właściwy organ nadzorczy, jak i osoby, których dane dotyczą – zgodnie z art. 33 i 34 RODO.

Postanowienia końcowe

W sprawach nieuregulowanych niniejszą Polityką zastosowanie mają przepisy powszechnie obowiązującego prawa, w tym RODO oraz ustawy krajowe regulujące ochronę danych osobowych. Polityka ma charakter informacyjny i nie zastępuje obowiązków informacyjnych wykonywanych indywidualnie wobec osób, których dane dotyczą (np. klauzul informacyjnych umieszczanych przy formularzach). Administrator może udostępniać dodatkowe informacje związane z ochroną prywatności w ramach poszczególnych usług (np. regulaminów, klauzul zgód).

Wszelkie pytania, wnioski lub wątpliwości związane z Polityką Prywatności lub ogólnie z ochroną danych w ramach Serwisu prosimy kierować na adres pomoc@yarna.pl.

Data ostatniej aktualizacji Polityki Prywatności: 05.05.2025r.