§ 1 POSTANOWIENIA OGÓLNE
1. Administratorem danych osobowych zbieranych za pośrednictwem sklepu internetowego gaya.eco jest: WOMAX Spółka Cywilna działająca na podstawie umowy spółki cywilnej (art. 860 Kodeksu cywilnego), której wspólnicy są wpisani do Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczypospolitej Polskiej (CEIDG), prowadzonej przez ministra właściwego do spraw gospodarki.
Miejsce wykonywania działalności oraz adres do doręczeń: ul. Odlewników 14, 42-202 Częstochowa
NIP: 9492218435
REGON: 367653692
Adres poczty elektronicznej (e-mail): kontakt@womax.pl
zwana dalej „Administratorem”.
2. Kontakt w sprawach ochrony danych osobowych:
- E-mail do spraw RODO: rodo@womax.pl
- Inspektor Ochrony Danych (IOD): iod@womax.pl
- Adres korespondencyjny: ul. Odlewników 14, 42-202 Częstochowa
3. Wszelkie wyrazy lub wyrażenia pisane w treści niniejszej Polityki Prywatności z dużej litery należy rozumieć zgodnie z ich definicją zawartą w Regulaminie Sklepu gaya.eco.
4. Administrator dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, że zbierane przez niego dane są:
- przetwarzane zgodnie z prawem,
- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
§ 2 CELE I PODSTAWY PRAWNE PRZETWARZANIA DANYCH
2.1 Realizacja zamówień
| Cel | Podstawa prawna | Okres przechowywania |
|---|---|---|
| Realizacja umowy sprzedaży | Art. 6 ust. 1 lit. b) RODO – wykonanie umowy | Do czasu realizacji zamówienia + okres przedawnienia roszczeń (6 lat) |
| Wystawienie faktury/paragonu | Art. 6 ust. 1 lit. c) RODO – obowiązek prawny | 5 lat od końca roku podatkowego |
| Obsługa reklamacji i zwrotów | Art. 6 ust. 1 lit. b) i c) RODO | Do czasu rozpatrzenia + okres przedawnienia |
2.2 Prowadzenie konta użytkownika
2.3 Realizacja Subskrypcji (zakupy cykliczne)
| Cel | Podstawa prawna | Okres przechowywania |
|---|---|---|
| Realizacja Umowy Subskrypcyjnej | Art. 6 ust. 1 lit. b) RODO – wykonanie umowy | Przez czas trwania Subskrypcji + okres przedawnienia roszczeń (6 lat) |
| Przetwarzanie płatności cyklicznych | Art. 6 ust. 1 lit. b) RODO – wykonanie umowy | Przez czas trwania Subskrypcji |
| Przypomnienia o zbliżającej się płatności/dostawie | Art. 6 ust. 1 lit. b) RODO – wykonanie umowy | Przez czas trwania Subskrypcji |
| Tokenizacja karty płatniczej (przechowywanie tokenu) | Art. 6 ust. 1 lit. b) RODO – wykonanie umowy | Do anulowania Subskrypcji lub usunięcia metody płatności |
Uwaga: Administrator nie przechowuje pełnych danych karty płatniczej (numeru karty, CVV). Dane te są tokenizowane i przechowywane przez operatora płatności zgodnie z wymogami PCI DSS.
§ 3 ZAKRES ZBIERANYCH DANYCH
3.1 Dane zbierane przy składaniu zamówienia:
- Imię i nazwisko
- Adres dostawy (ulica, numer, kod pocztowy, miasto, kraj)
- Adres e-mail
- Numer telefonu
- Dane do faktury (opcjonalnie: nazwa firmy, NIP)
3.2 Dane zbierane przy rejestracji konta:
- Adres e-mail
- Hasło (przechowywane w formie zaszyfrowanej)
- Imię i nazwisko (opcjonalnie)
3.3 Dane zbierane przy zapisie do Newslettera:
- Adres e-mail
3.4 Dane zbierane przy Subskrypcji (zakupy cykliczne):
- Wszystkie dane jak przy zamówieniu jednorazowym (pkt 3.1)
- Wybrana częstotliwość dostaw (Okres Rozliczeniowy)
- Token metody płatności (dane karty są tokenizowane przez operatora płatności – Administrator nie ma dostępu do pełnego numeru karty)
- Historia płatności cyklicznych
- Preferencje dotyczące powiadomień o Subskrypcji
3.5 Dane zbierane automatycznie:
- Adres IP (w przypadku Google Analytics 4 – anonimizowany domyślnie)
- Typ przeglądarki i urządzenia
- System operacyjny
- Rozdzielczość ekranu
- Źródło wejścia na stronę (referer, parametry UTM)
- Czas wizyty i przeglądane strony
- Identyfikatory cookies
- Interakcje z elementami strony (kliknięcia, przewijanie, ruchy kursora – Microsoft Clarity)
§ 4 ODBIORCY DANYCH
Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:
1. Firmy kurierskie i operatorzy pocztowi – w celu dostarczenia zamówienia:
- InPost Sp. z o.o. (ul. Wielicka 28, 30-552 Kraków, KRS: 0000543759)
- DPD Polska Sp. z o.o. (ul. Mineralna 15, 02-274 Warszawa, KRS: 0000028368)
- GLS Poland Sp. z o.o. (ul. Tęczowa 10, 62-002 Suchy Las, KRS: 0000101933)
- Orlen Paczka (ORLEN S.A., ul. Chemików 7, 09-411 Płock, KRS: 0000028860)
- Apaczka sp. z o.o. (ul. Roentgena 10A, 02-781 Warszawa, KRS: 0000410891)
2. Operatorzy płatności elektronicznych – w celu realizacji płatności
3. Dostawca usług hostingowych – w celu przechowywania danych na serwerach
4. Dostawca systemu sklepu (WooCommerce) – w zakresie niezbędnym do funkcjonowania platformy
5. Biuro rachunkowe – w celu prowadzenia księgowości
6. Google Ireland Limited (Google Analytics 4) – w celu analizy ruchu na stronie internetowej i zachowań użytkowników (po uzyskaniu zgody na cookies analityczne)
7. Microsoft Corporation (Microsoft Clarity) – w celu analizy zachowań użytkowników na stronie, generowania map ciepła oraz nagrywania sesji (po uzyskaniu zgody na cookies analityczne)
4.1 Przekazywanie danych do państw trzecich (poza EOG)
W związku z korzystaniem z narzędzi Google Analytics 4 oraz Microsoft Clarity dane osobowe mogą być przekazywane do Stanów Zjednoczonych Ameryki. Przekazywanie danych odbywa się na podstawie:
- Decyzji wykonawczej Komisji Europejskiej z dnia 10 lipca 2023 r. stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniony w ramach EU-US Data Privacy Framework (DPF) – w odniesieniu do podmiotów certyfikowanych w ramach DPF,
- Standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską – jako uzupełniające zabezpieczenie.
Zarówno Google LLC, jak i Microsoft Corporation są certyfikowane w ramach EU-US Data Privacy Framework.
§ 5 PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
Osoba, której dane dotyczą, ma prawo:
1. Prawo dostępu do danych (art. 15 RODO) – uzyskanie informacji o przetwarzanych danych oraz kopii danych.
2. Prawo do sprostowania danych (art. 16 RODO) – żądanie poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
3. Prawo do usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO) – żądanie usunięcia danych, gdy:
- dane nie są już niezbędne do celów, dla których zostały zebrane,
- cofnięto zgodę stanowiącą podstawę przetwarzania,
- wniesiono skuteczny sprzeciw,
- dane były przetwarzane niezgodnie z prawem.
4. Prawo do ograniczenia przetwarzania (art. 18 RODO) – żądanie ograniczenia przetwarzania w określonych przypadkach.
5. Prawo do przenoszenia danych (art. 20 RODO) – otrzymanie danych w ustrukturyzowanym formacie nadającym się do odczytu maszynowego.
6. Prawo do sprzeciwu (art. 21 RODO) – sprzeciw wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora, w tym wobec profilowania i marketingu bezpośredniego.
7. Prawo do cofnięcia zgody – w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem zgody.
8. Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa), gdy przetwarzanie danych narusza przepisy RODO.
Realizacja praw
W celu realizacji powyższych praw należy skontaktować się z Administratorem:
- E-mail: rodo@womax.pl
- IOD: iod@womax.pl
- Pisemnie: WOMAX Spółka Cywilna, ul. Odlewników 14, 42-202 Częstochowa
Administrator udziela odpowiedzi bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania.
§ 6 PLIKI COOKIES
6.1 Informacje ogólne
Sklep gaya.eco wykorzystuje pliki cookies (ciasteczka) – małe pliki tekstowe zapisywane na urządzeniu użytkownika przez przeglądarkę internetową.
6.2 Rodzaje wykorzystywanych cookies
Cookies niezbędne (konieczne) – nie wymagają zgody, są niezbędne do funkcjonowania strony.
| Nazwa | Cel | Czas |
|---|---|---|
| woocommerce_cart_hash | Przechowywanie informacji o koszyku | Sesja |
| woocommerce_items_in_cart | Liczba produktów w koszyku | Sesja |
| wp_woocommerce_session_* | Identyfikator sesji klienta | 2 dni |
| wordpress_logged_in_* | Weryfikacja zalogowanego użytkownika | Sesja |
| PHPSESSID | Identyfikator sesji PHP | Sesja |
Cookies funkcjonalne – poprawiają funkcjonalność i personalizację.
| Nazwa | Cel | Czas |
|---|---|---|
| wordpress_test_cookie | Test obsługi cookies | Sesja |
| wp-settings-* | Preferencje użytkownika | 1 rok |
Cookies analityczne (wymagają zgody) – zbierają informacje o sposobie korzystania ze strony. Są ustawiane wyłącznie po wyrażeniu zgody przez użytkownika.
Google Analytics 4:
| Nazwa | Cel | Czas |
|---|---|---|
| _ga | Rozróżnianie unikalnych użytkowników poprzez losowo wygenerowany identyfikator | 2 lata |
| _ga_<container-id> | Utrzymanie stanu sesji w Google Analytics 4 | 2 lata |
| _gid | Rozróżnianie użytkowników | 24 godziny |
Microsoft Clarity:
| Nazwa | Cel | Czas |
|---|---|---|
| _clck | Identyfikator użytkownika Clarity – przechowuje ID i preferencje | 1 rok |
| _clsk | Łączy odsłony strony z sesją użytkownika w ramach jednej wizyty | 1 dzień |
| CLID | Identyfikuje użytkownika powracającego na stronę | 1 rok |
| ANONCHK | Weryfikacja, czy dane pochodzą z prawdziwej przeglądarki | Sesja |
| MR | Sprawdza, czy odświeżyć identyfikator MUID | 7 dni |
| SM | Synchronizacja identyfikatora MUID między domenami Microsoft | Sesja |
Cookies śledzenia zamówień (WooCommerce):
| Nazwa | Cel | Czas |
|---|---|---|
| wc_order_attribution_* | Atrybucja źródła zamówienia (UTM, referer, typ urządzenia) | 30 dni |
6.3 Zarządzanie cookies
Użytkownik może zarządzać zgodami na cookies poprzez:
1. Baner cookies – przy pierwszej wizycie na stronie
2. Ustawienia przeglądarki – każda przeglądarka pozwala na zarządzanie cookies:
- Chrome: Ustawienia → Prywatność i bezpieczeństwo → Pliki cookies
- Firefox: Ustawienia → Prywatność i bezpieczeństwo → Ciasteczka
- Safari: Preferencje → Prywatność → Zarządzaj danymi witryn
- Edge: Ustawienia → Prywatność → Pliki cookie
3. Wycofanie zgody – można to zrobić w każdej chwili poprzez zmianę ustawień cookies na stronie lub usunięcie cookies z przeglądarki.
Uwaga: Wyłączenie cookies niezbędnych może uniemożliwić prawidłowe funkcjonowanie sklepu (np. dodawanie produktów do koszyka, składanie zamówień).
§ 7 NARZĘDZIA ANALITYCZNE
7.1 Google Analytics 4
1. Sklep korzysta z usługi Google Analytics 4 świadczonej przez Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irlandia), spółkę zależną Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).
2. Google Analytics 4 wykorzystuje pliki cookies do analizy sposobu korzystania ze strony przez użytkowników. Informacje generowane przez cookies są przesyłane do serwerów Google i tam przechowywane.
3. Anonimizacja IP: W Google Analytics 4 anonimizacja adresu IP jest stosowana domyślnie – Google skraca adres IP użytkownika przed jego zapisaniem.
4. Zakres zbieranych danych: identyfikator użytkownika (cookie), przybliżona lokalizacja (na poziomie miasta), informacje o urządzeniu i przeglądarce, źródło ruchu, przeglądane strony, interakcje na stronie, czas wizyty.
5. Okres przechowywania danych: dane powiązane z cookies i identyfikatorami użytkowników są przechowywane przez okres 14 miesięcy, po czym są automatycznie usuwane.
6. Cookies Google Analytics są ustawiane wyłącznie po wyrażeniu przez użytkownika dobrowolnej zgody za pośrednictwem banera cookies.
7. Użytkownik może zablokować zbieranie danych przez Google Analytics instalując dodatek do przeglądarki: https://tools.google.com/dlpage/gaoptout
8. Więcej informacji o przetwarzaniu danych przez Google: https://policies.google.com/privacy
7.2 Microsoft Clarity
1. Sklep korzysta z usługi Microsoft Clarity świadczonej przez Microsoft Corporation (One Microsoft Way, Redmond, WA 98052, USA).
2. Microsoft Clarity umożliwia analizę zachowań użytkowników na stronie poprzez:
- Mapy ciepła (heatmaps) – wizualizację obszarów strony, w które użytkownicy najczęściej klikają, przewijają i na które kierują kursor,
- Nagrywanie sesji (session recordings) – zapis interakcji użytkownika ze stroną w celu identyfikacji problemów z użytecznością.
3. Maskowanie danych wrażliwych: Microsoft Clarity automatycznie maskuje dane wrażliwe, w tym treści wpisywane w polach formularzy. Administrator dodatkowo konfiguruje maskowanie wszelkich pól zawierających dane osobowe.
4. Zakres zbieranych danych: kliknięcia, przewijanie strony, ruchy kursora, informacje o przeglądarce i urządzeniu, rozdzielczość ekranu, przeglądane strony, czas spędzony na stronie, interakcje z elementami strony.
5. Microsoft Clarity nie zbiera: treści wpisywanych w formularzach (maskowane), danych logowania, danych płatniczych, numeru IP w pełnej formie.
6. Cookies Microsoft Clarity są ustawiane wyłącznie po wyrażeniu przez użytkownika dobrowolnej zgody za pośrednictwem banera cookies.
7. Dane zebrane przez Clarity mogą być udostępniane firmie Microsoft w celu doskonalenia usług. Szczegóły: https://clarity.microsoft.com/terms
8. Więcej informacji o ochronie prywatności w usługach Microsoft: https://privacy.microsoft.com/privacystatement
§ 8 ŚLEDZENIE ŹRÓDEŁ RUCHU (ATRYBUCJA)
1. Sklep wykorzystuje technologię atrybucji zamówień WooCommerce, która zbiera następujące informacje:
- Parametry kampanii marketingowych (UTM: source, medium, campaign, term, content)
- Źródło wejścia (referer)
- Typ urządzenia i systemu operacyjnego
- Przeglądarka internetowa
2. Dane te są wykorzystywane wyłącznie do analizy skuteczności kampanii marketingowych i optymalizacji działań promocyjnych.
3. Informacje te nie są udostępniane podmiotom trzecim w celach marketingowych.
§ 9 NEWSLETTER
1. Zapisanie się do Newslettera wymaga:
- podania adresu e-mail,
- wyrażenia dobrowolnej zgody na otrzymywanie informacji handlowych drogą elektroniczną (art. 10 ustawy o świadczeniu usług drogą elektroniczną),
- potwierdzenia zapisu poprzez kliknięcie w link aktywacyjny (double opt-in).
2. W każdej wiadomości Newsletter znajduje się link umożliwiający rezygnację z subskrypcji.
3. Po rezygnacji z Newslettera adres e-mail zostanie usunięty z listy mailingowej w ciągu 7 dni.
§ 10 PROFILOWANIE
1. Administrator może przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie, jednak wyłącznie w celu:
- personalizacji treści marketingowych (np. rekomendacje produktów),
- analizy preferencji zakupowych.
2. Profilowanie nie prowadzi do podejmowania decyzji wywołujących skutki prawne lub istotnie wpływających na osobę, której dane dotyczą.
3. Użytkownik ma prawo sprzeciwu wobec profilowania – wystarczy kontakt na adres: rodo@womax.pl
§ 11 BEZPIECZEŃSTWO DANYCH
Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych:
- Szyfrowanie połączenia – strona wykorzystuje certyfikat SSL (HTTPS)
- Bezpieczne przechowywanie haseł – hasła są hashowane
- Kontrola dostępu – dostęp do danych mają tylko upoważnione osoby
- Regularne kopie zapasowe – zabezpieczenie przed utratą danych
- Aktualizacje oprogramowania – regularne aktualizacje systemów bezpieczeństwa
§ 12 ZMIANY POLITYKI PRYWATNOŚCI
1. Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce Prywatności.
2. O istotnych zmianach użytkownicy zostaną poinformowani poprzez:
- komunikat na stronie internetowej,
- wiadomość e-mail (dla użytkowników posiadających konto lub zapisanych do Newslettera).
3. Aktualna wersja Polityki Prywatności jest zawsze dostępna na stronie: https://gaya.eco/polityka-prywatnosci/
§ 13 POSTANOWIENIA KOŃCOWE
1. W sprawach nieuregulowanych niniejszą Polityką Prywatności stosuje się:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO),
- Ustawę o ochronie danych osobowych z dnia 10 maja 2018 r.,
- Ustawę o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r.,
- Ustawę Prawo telekomunikacyjne z dnia 16 lipca 2004 r.,
- inne właściwe przepisy prawa polskiego.
2. Niniejsza Polityka Prywatności wchodzi w życie z dniem 09.02.2026 r.
WOMAX Spółka Cywilna
ul. Odlewników 14, 42-202 Częstochowa
NIP: 9492218435 | REGON: 367653692
Kontakt: kontakt@womax.pl
Sprawy RODO: rodo@womax.pl
Inspektor Ochrony Danych: iod@womax.pl
