1. POSTANOWIENIA OGÓLNE

1.1. Administratorem danych osobowych przetwarzanych w ramach Sklepu jest Sprzedawca wskazany w pkt 2. Polityka dotyczy w szczególności osób: odwiedzających Sklep, składających zamówienia (także bez rejestracji), posiadających Konto Klienta, kontaktujących się ze Sklepem, zapisanych do Newslettera, a także osób reprezentujących Klientów firmowych.

1.2. Dane osobowe przetwarzamy zgodnie z przepisami RODO, polskimi regulacjami uzupełniającymi oraz zasadami minimalizacji i adekwatności. Oznacza to, że przetwarzamy dane wyłącznie w konkretnych celach, w możliwie najmniejszym zakresie i przez okres uzasadniony celem przetwarzania.

1.3. Sklep wykorzystuje szyfrowanie połączenia (SSL/TLS). Jednocześnie rekomendujemy, aby Użytkownicy dbali o bezpieczeństwo własnych urządzeń, poczty e-mail i haseł.

1.4. W sprawach cookies i technologii podobnych (w tym panel zgód Cookie-Script.com i Google Consent Mode v2) stosujemy zasady opisane w: Polityce plików cookies.

2. ADMINISTRATOR DANYCH I KONTAKT

2.2. Administrator nie wyznaczył Inspektora Ochrony Danych (IOD), chyba że w przyszłości zostanie to wskazane w aktualizacji dokumentów. W sprawach prywatności należy kontaktować się poprzez e-mail: shop@velvetnira.com.

2.3. Administrator odpowiada end-to-end za proces sprzedażowy w zakresie wynikającym z przepisów prawa i zawartej umowy, w tym za obsługę żądań dotyczących danych osobowych.

3. JAKIE DANE PRZETWARZAMY (KATEGORIE DANYCH)

3.1. W zależności od tego, jak korzystasz ze Sklepu, możemy przetwarzać następujące kategorie danych:

• Dane identyfikacyjne i kontaktowe — imię i nazwisko, adres e-mail, numer telefonu.
• Dane adresowe — adres dostawy oraz ewentualnie adres do korespondencji.
• Dane transakcyjne — numer zamówienia, historia zakupów, zwrotów i reklamacji, kwoty, waluta (PLN), status płatności.
• Dane płatnicze — w przypadku przelewu: dane niezbędne do identyfikacji płatności (np. tytuł przelewu); w przypadku pobrania: dane niezbędne do obsługi usługi COD i rozliczeń z przewoźnikiem.
• Dane do faktury — nazwa firmy, NIP, adres siedziby (jeśli żądasz faktury i podajesz dane firmowe).
• Dane konta — login (e-mail), hasło (w postaci zaszyfrowanej), ustawienia konta, zapisane adresy (jeśli używasz Konta Klienta).
• Dane komunikacyjne — treść korespondencji, zgłoszeń (np. zwrot, reklamacja), załączniki (np. zdjęcia w reklamacji), data i kanał kontaktu.
• Dane marketingowe — informacje o zgodach (np. Newsletter), preferencje komunikacji, historia wypisania.
• Dane techniczne i internetowe — np. adres IP, identyfikatory cookies, informacje o urządzeniu/przeglądarce, zdarzenia techniczne — w zakresie opisanym w Polityce cookies.

3.2. Co do zasady nie przetwarzamy danych szczególnych kategorii (wrażliwych). Jeżeli przekażesz takie dane w treści wiadomości, przetworzymy je wyłącznie w zakresie niezbędnym do obsługi Twojej sprawy.

4. CELE I PODSTAWY PRAWNE PRZETWARZANIA

4.1. Przetwarzamy dane w następujących celach i na następujących podstawach prawnych:

• Zawarcie i realizacja umowy sprzedaży (przyjęcie zamówienia, realizacja, kontakt transakcyjny, obsługa płatności, dostawa) — podstawa: art. 6 ust. 1 lit. b RODO.
• Obsługa zwrotów, wymian, reklamacji (w tym ocena zgłoszeń, komunikacja, rozliczenia) — podstawa: art. 6 ust. 1 lit. b RODO oraz/lub art. 6 ust. 1 lit. c RODO (obowiązki prawne) i art. 6 ust. 1 lit. f RODO (uzasadniony interes: obsługa i obrona roszczeń).
• Wystawianie dokumentów sprzedażowych (paragon/faktura, ewidencje księgowe/podatkowe) — podstawa: art. 6 ust. 1 lit. c RODO (obowiązek prawny).
• Prowadzenie Konta Klienta (rejestracja, logowanie, historia zamówień, zapis danych) — podstawa: art. 6 ust. 1 lit. b RODO (świadczenie usługi na żądanie Użytkownika).
• Kontakt i obsługa zapytań (formularz kontaktowy, e-mail, telefon) — podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes: obsługa komunikacji) lub art. 6 ust. 1 lit. b RODO, jeśli kontakt dotyczy umowy.
• Newsletter i marketing bezpośredni w oparciu o zgodę — podstawa: art. 6 ust. 1 lit. a RODO (zgoda) oraz wymogi przepisów dot. komunikacji elektronicznej.
• Analiza ruchu i statystyki (jeśli włączone przez zgody cookies) — podstawa: art. 6 ust. 1 lit. a RODO (zgoda) oraz zasady z Prawa komunikacji elektronicznej.
• Zapewnienie bezpieczeństwa i stabilności Sklepu (logi techniczne, przeciwdziałanie nadużyciom) — podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes).
• Ustalenie, dochodzenie lub obrona roszczeń — podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes).

4.2. Podanie danych jest dobrowolne, ale w praktyce niezbędne w zakresie wymaganym do realizacji konkretnego celu (np. bez danych adresowych nie zrealizujemy dostawy). Szczegóły w pkt 10.

5. KOMU MOŻEMY UJAWNIĆ DANE (ODBIORCY DANYCH)

5.1. Dane mogą być ujawniane wyłącznie w zakresie niezbędnym do realizacji celów wskazanych w Polityce, w szczególności:

• Przewoźnikom i operatorom logistycznym — w szczególności InPost (realizacja dostawy, obsługa pobrania, komunikacja doręczeniowa).
• Dostawcom usług IT (hosting, utrzymanie systemów, poczta, narzędzia operacyjne) — jako podmiotom przetwarzającym na podstawie umów powierzenia.
• Dostawcom narzędzi zgód cookies — Cookie-Script.com (zarządzanie zgodami i preferencjami prywatności, w tym sygnały Google Consent Mode v2).
• Podmiotom księgowym i doradczym — w zakresie obsługi księgowej i podatkowej.
• Bankom — w ramach realizacji przelewów/rozliczeń (bank działa jako odrębny administrator w zakresie własnych procesów bankowych).
• Organom publicznym — jeżeli obowiązek ujawnienia wynika z przepisów prawa.

5.2. Sprzedawca nie sprzedaje danych osobowych. Dane nie są ujawniane podmiotom trzecim „hurtowo”, a jedynie w logicznie uzasadnionym zakresie operacyjnym.

6. PRZEKAZYWANIE DANYCH POZA EOG

6.1. Co do zasady przetwarzamy dane w Europejskim Obszarze Gospodarczym (EOG). Jeżeli jednak korzystamy z dostawców technologii, których infrastruktura lub wsparcie może obejmować transfer danych poza EOG, zapewniamy odpowiednie zabezpieczenia prawne (np. standardowe klauzule umowne, decyzje stwierdzające odpowiedni stopień ochrony lub inne mechanizmy przewidziane w RODO).

6.2. Informacje o transferach związanych z cookies/analityką/marketingiem są powiązane z wyborem zgód — szczegóły opisuje: Polityka plików cookies.

7. JAK DŁUGO PRZECHOWUJEMY DANE (RETENCJA)

• Zamówienia i dokumenty księgowe/podatkowe — przez okres wymagany przepisami (co do zasady 5 lat liczonych od końca roku podatkowego) oraz dodatkowo przez czas niezbędny do obsługi roszczeń.
• Konto Klienta — do czasu usunięcia Konta lub utraty potrzeby przetwarzania (np. brak aktywności + cele archiwizacyjne/roszczeniowe), z uwzględnieniem obowiązków prawnych.
• Kontakt i korespondencja — przez okres niezbędny do obsługi sprawy, a następnie do czasu przedawnienia potencjalnych roszczeń lub krócej, jeśli nie ma potrzeby dalszego przechowywania.
• Newsletter — do czasu wycofania zgody lub skutecznego wypisania się; dowód zgody możemy przechowywać przez okres niezbędny do wykazania zgodności.
• Dane cookies i identyfikatory online — zgodnie z ustawieniami cookies (czas życia cookies) i Twoimi zgodami; szczegóły w Polityce cookies.

7.2. Po upływie okresów retencji dane są usuwane, anonimizowane lub archiwizowane w sposób ograniczający dostęp — zależnie od obowiązków prawnych i uzasadnionych potrzeb.

8. TWOJE PRAWA (PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ)

8.1. Masz prawo do: (a) dostępu do danych i uzyskania kopii, (b) sprostowania danych, (c) usunięcia danych (w przypadkach przewidzianych prawem), (d) ograniczenia przetwarzania, (e) przenoszenia danych (gdy przetwarzanie odbywa się na podstawie zgody lub umowy i w sposób zautomatyzowany), (f) wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, (g) wycofania zgody w dowolnym momencie (bez wpływu na zgodność przetwarzania przed jej wycofaniem).

8.2. Jeżeli uważasz, że przetwarzanie narusza przepisy, możesz wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Aktualne dane kontaktowe UODO są dostępne na oficjalnej stronie urzędu.

8.3. Żądania realizujemy bez zbędnej zwłoki, zgodnie z terminami i trybem wynikającymi z RODO. W celu weryfikacji tożsamości możemy poprosić o dodatkowe informacje, ale wyłącznie w zakresie niezbędnym do ochrony danych przed nieuprawnionym dostępem.

9. ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI I PROFILOWANIE

9.1. Co do zasady nie podejmujemy wobec Klientów decyzji wywołujących skutki prawne lub w podobny istotny sposób wpływających na Klientów, wyłącznie w oparciu o zautomatyzowane przetwarzanie.

9.2. Jeżeli Sklep korzysta z narzędzi analitycznych/marketingowych (po uzyskaniu zgód cookies), mogą one wspierać dopasowanie treści lub pomiar skuteczności kampanii. Zasady i kontrola zgód opisane są w Polityce cookies.

10. CZY MUSISZ PODAĆ DANE?

10.1. Podanie danych jest dobrowolne, jednak w praktyce:

• Składanie i realizacja zamówienia — wymaga podania danych kontaktowych i adresowych (bez nich nie zrealizujemy umowy i dostawy).
• Faktura — wymaga podania danych firmowych, w tym NIP (jeśli chcesz fakturę).
• Konto Klienta — wymaga co najmniej e-mail i hasła.
• Newsletter — wymaga e-mail i wyrażenia zgody (możesz ją wycofać w każdej chwili).

10.2. Niepodanie danych może skutkować brakiem możliwości realizacji konkretnej usługi/żądania.

11. DANE DZIECI

11.1. Sklep jest skierowany do osób pełnoletnich. Nie zbieramy świadomie danych dzieci. Jeżeli poweźmiesz informację, że dziecko przekazało nam dane, prosimy o kontakt — podejmiemy działania adekwatne do sytuacji.

12. ZMIANY POLITYKI

12.1. Polityka może być aktualizowana m.in. w przypadku zmian prawnych, technologicznych lub organizacyjnych (np. wdrożenie nowych metod płatności, narzędzi analitycznych, rozszerzenie sprzedaży na UE).

12.2. Aktualna wersja jest publikowana na stronie Sklepu w sposób umożliwiający zapoznanie się z jej treścią.