Polityka Prywatności

1. WPROWADZENIE

ESPACE ECOMMERCE FRANCE SARL (zwana dalej “Administratorem” lub “my”) przykłada szczególną wagę do ochrony prywatności i danych osobowych użytkowników strony internetowej www.justbob.pl (zwanej dalej “Stroną”).

Niniejsza Polityka Prywatności (zwana dalej “Polityką Prywatności”) opisuje cele, sposoby, podstawy prawne i okresy przechowywania danych osobowych zbieranych za pośrednictwem Strony. Została sporządzona zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (zwanym dalej “RODO”), zgodnie z Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000), zgodnie z Ustawą z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221), w szczególności art. 398 dotyczącym plików cookies, zgodnie z Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204), w szczególności art. 10 dotyczącym komunikacji handlowej, zgodnie z Dyrektywą 2002/58/WE (ePrivacy) i jej krajowymi przepisami wykonawczymi oraz z uwzględnieniem wytycznych Europejskiej Rady Ochrony Danych (EROD) i stanowisk, wytycznych i decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO).

Niniejsza Polityka Prywatności dotyczy wyłącznie przetwarzania danych osobowych odbywającego się za pośrednictwem Strony i nie obejmuje stron internetowych podmiotów trzecich, do których użytkownik może uzyskać dostęp poprzez linki znajdujące się na Stronie. Administrator nie ponosi odpowiedzialności za przetwarzanie danych osobowych przez strony trzecie, do których użytkownik dociera na własną odpowiedzialność. Wszystkie informacje na temat plików cookie i innych technologii śledzenia stosowanych na Stronie znajdują się w naszej Polityce Cookies, która uzupełnia niniejszą Politykę Prywatności.

Zgodnie z art. 5 RODO przetwarzanie danych osobowych odbywa się z zachowaniem zasad zgodności z prawem, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania oraz integralności i poufności. Administrator jest w stanie wykazać zgodność swoich operacji przetwarzania z zasadami Rozporządzenia (zasada rozliczalności, art. 5 ust. 2 RODO).

Użytkownik proszony jest o uważne zapoznanie się z niniejszą Polityką Prywatności przed udostępnieniem jakichkolwiek danych osobowych Stronie. Korzystanie ze Strony, utworzenie konta klienta, złożenie zamówienia lub przesłanie wiadomości za pośrednictwem formularza kontaktowego oznacza zapoznanie się z niniejszą Polityką Prywatności.

2. ADMINISTRATOR

Administratorem danych osobowych zbieranych za pośrednictwem Strony jest:

ESPACE ECOMMERCE FRANCE SARL

  • Forma prawna: Société à Responsabilité Limitée (SARL) zgodnie z prawem francuskim
  • Siedziba: 16 rue Cuvier, 69006 Lyon (Francja)
  • Numer identyfikacji podatkowej VAT UE: FR62920502598
  • SIREN: 920 502 598
  • SIRET: 920 502 598 00013
  • Kod NAF/APE: 47.91A
  • Kapitał zakładowy: 2.000 EUR
  • E-mail: info@justbob.pl
  • Strona internetowa: www.justbob.pl

Uwzględniając charakter i zakres przetwarzanych danych oraz brak regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub przetwarzania szczególnych kategorii danych na dużą skalę, Administrator nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych w rozumieniu art. 37 RODO. Polskie prawo nie wprowadza dodatkowych progów ilościowych obowiązku wyznaczenia Inspektora Ochrony Danych poza tymi przewidzianymi w art. 37 RODO. Wszelkie zapytania dotyczące przetwarzania danych osobowych, w tym wykonywania praw określonych w art. 15-22 RODO, można kierować na adres e-mail info@justbob.pl, który stanowi preferowany kanał komunikacji z Administratorem w sprawach ochrony danych.

Administrator posiada swoją jedyną jednostkę organizacyjną we Francji: Commission Nationale de l’Informatique et des Libertés (CNIL) jest zatem wiodącym organem nadzorczym w rozumieniu art. 56 RODO. Polski Urząd Ochrony Danych Osobowych (UODO) działa jako organ zainteresowany w ramach mechanizmu one-stop-shop zgodnie z art. 60 RODO, w przypadkach dotyczących osób zamieszkałych w Polsce (zob. punkt 12.3 niniejszej Polityki Prywatności).

3. ZBIERANE DANE OSOBOWE

W zależności od interakcji użytkownika ze Stroną Administrator może zbierać następujące kategorie danych osobowych:

  1. a) Dane identyfikacyjne i kontaktowe: imię, nazwisko, adres pocztowy, adres e-mail, numer telefonu.
  2. b) Dane do faktury: adres do faktury (jeżeli różny od adresu dostawy), numer identyfikacji podatkowej lub numer NIP (w przypadkach żądania wystawienia faktury VAT).
  3. c) Dane transakcyjne: zakupione produkty, kwota, sposób płatności (zamaskowane dane płatnicze), numer zamówienia, historia zamówień.
  4. d) Dane konta klienta: nazwa użytkownika, hasło (przechowywane w formie zaszyfrowanej za pomocą bezpiecznego algorytmu hash), ustawienia konta.
  5. e) Dane nawigacyjne: adres IP (zanonimizowany do celów analitycznych), typ i wersja przeglądarki, system operacyjny, odwiedzane strony, data i godzina każdego dostępu, URL pochodzenia. Dane te są zbierane automatycznie przez systemy informatyczne Strony (zob. punkt 4).
  6. f) Dane komunikacji: treść wiadomości przesłanych pocztą elektroniczną lub za pośrednictwem formularza kontaktowego, historia komunikacji z obsługą klienta, ewentualne załączniki lub odniesienia do zamówień przydatne do obsługi zapytania.

Administrator zbiera wyłącznie dane osobowe, które są ściśle niezbędne do prawidłowego funkcjonowania Strony, świadczenia żądanych usług oraz spełnienia obowiązków prawnych, w pełnej zgodności z zasadą minimalizacji danych zawartą w art. 5 ust. 1 lit. c RODO. Zbieranie dodatkowych danych poza wskazanymi powyżej, jeżeli okazałoby się konieczne dla szczególnych celów, zostanie poprzedzone wcześniejszą informacją oraz, w zakresie wymaganym przez prawo, wyraźną zgodą.

Administrator nie zbiera ani nie przetwarza szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO, w tym danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe albo przynależność związkową, ani danych genetycznych, biometrycznych, danych dotyczących zdrowia, życia seksualnego lub orientacji seksualnej. Produkty sprzedawane na stronie www.justbob.pl są przeznaczone wyłącznie do celów technicznych, naukowych, dekoracyjnych, kolekcjonerskich lub jako odświeżacz powietrza i nie są oferowane jako produkty lecznicze, suplementy diety, środki spożywcze lub kosmetyki. Zakup tych produktów nie pozwala na wnioskowanie o stanie zdrowia osoby, której dane dotyczą. W przypadku spontanicznego przekazania przez użytkownika danych szczególnych kategorii Administrator powstrzyma się od ich przetwarzania i dokona ich bezpiecznego usunięcia w możliwie najkrótszym terminie.

4. DANE NAWIGACYJNE

Systemy informatyczne i procedury programowe wykorzystywane do funkcjonowania Strony zbierają w toku swojego prawidłowego funkcjonowania automatycznie pewne dane osobowe, których przekazywanie jest implicite zawarte w korzystaniu z internetowych protokołów komunikacyjnych. Dane te obejmują:

  • adresy IP (zanonimizowane do celów analitycznych)
  • typ i wersję przeglądarki
  • system operacyjny
  • odwiedzane strony i ścieżkę nawigacji
  • datę i godzinę każdego zapytania serwera
  • URL pochodzenia (strona, z której użytkownik wszedł na Stronę)
  • dostawcę usług internetowych (ISP)

Dane te są wykorzystywane wyłącznie w celu zapewnienia prawidłowego funkcjonowania Strony i bezpieczeństwa systemu, na przykład w celu wykrywania nieuprawnionych dostępów, prób włamania, ataków komputerowych typu Brute-Force, DDoS lub innych zagrożeń dla dostępności i integralności usługi. Przetwarzanie służy konserwacji infrastruktury oraz zagregowanej analizie statystycznej ruchu w celu optymalizacji technicznego funkcjonowania Strony.

Podstawą prawną przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) w zakresie zapewnienia bezpieczeństwa sieci i informacji, zgodnie z motywem 49 RODO. Ten prawnie uzasadniony interes został poddany szczegółowej ocenie wyważającej z prawami i wolnościami osób, których dane dotyczą (Legitimate Interest Assessment), która potwierdziła proporcjonalność przetwarzania w stosunku do realizowanego celu.

Dane nawigacyjne są przechowywane w plikach dziennika serwera przez maksymalny okres 12 miesięcy, a następnie automatycznie usuwane, z zastrzeżeniem konieczności dłuższego przechowywania w ramach dochodzeń właściwych organów w przypadku incydentów bezpieczeństwa lub postępowań sądowych.

5. DANE DOBROWOLNIE PODANE PRZEZ UŻYTKOWNIKA

Użytkownik może dobrowolnie podać dane osobowe w następujących przypadkach:

  1. a) Rejestracja konta klienta: przy tworzeniu konta klienta na Stronie wymagane są imię, nazwisko, adres e-mail i hasło. Dane te są niezbędne do utworzenia i zarządzania kontem klienta (podstawa prawna: art. 6 ust. 1 lit. b RODO, wykonanie umowy). Odmowa ich podania uniemożliwia rejestrację i dostęp do funkcji przewidzianych dla zarejestrowanych użytkowników.
  2. b) Składanie zamówień: w celu realizacji zamówienia wymagane są imię, nazwisko, adres dostawy, adres e-mail i numer telefonu. Dane te są niezbędne do wykonania umowy sprzedaży (podstawa prawna: art. 6 ust. 1 lit. b RODO). Płatności są obsługiwane przez zewnętrznych, autoryzowanych dostawców usług płatniczych w środowisku zgodnym z normą PCI DSS: Administrator nie przechowuje pełnych danych kart płatniczych ani nie ma do nich dostępu.
  3. c) Formularz kontaktowy i e-mail: dobrowolne wysyłanie wiadomości e-mail lub wypełnienie formularza kontaktowego skutkuje zbieraniem adresu e-mail nadawcy oraz wszelkich innych danych osobowych zawartych w wiadomości, wyłącznie w celu obsługi zapytania (podstawa prawna: art. 6 ust. 1 lit. b RODO).
  4. d) Zapis na newsletter: użytkownik może dobrowolnie zapisać się na newsletter, podając swój adres e-mail. Podstawa prawna w Polsce ma charakter szczególny:

Wysyłka komunikatów handlowych (newsletter, oferty promocyjne, informacje o nowych produktach) drogą elektroniczną odbywa się wyłącznie na podstawie uprzedniej, wyraźnej i dobrowolnej zgody użytkownika, zgodnie z art. 6 ust. 1 lit. a RODO oraz art. 10 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

W przeciwieństwie do innych państw członkowskich Unii Europejskiej, polski porządek prawny nie przewiduje wyjątku tzw. “soft opt-in” dla istniejących klientów. Oznacza to, że nawet jeżeli użytkownik zawarł z Administratorem umowę zakupu produktu, Administrator nie wysyła komunikatów marketingowych bez uprzedniej, wyraźnej zgody na otrzymywanie tego rodzaju komunikatów.

Zgoda jest dobrowolna i nie jest warunkiem zawarcia ani wykonania umowy zakupu. Można ją cofnąć w każdej chwili, bezpłatnie i bez konieczności zachowania określonej formy, poprzez kliknięcie linku rezygnacji w każdym otrzymanym komunikacie marketingowym lub poprzez wysłanie wiadomości e-mail na adres info@justbob.pl. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, które miało miejsce na podstawie zgody przed jej cofnięciem (art. 7 ust. 3 RODO).

Wysyłka wiadomości e-mail jest realizowana przez Brevo SAS (dawniej Sendinblue), który działa jako podmiot przetwarzający w rozumieniu art. 28 RODO.

  1. e) Zapobieganie oszustwom i obrona prawna: wszystkie zebrane dane osobowe mogą w razie potrzeby być przetwarzane w celu zapobiegania oszustwom, ochrony przed zachowaniami sprzecznymi z Zasadami i Warunkami Strony oraz obrony praw Administratora przed sądem lub w postępowaniu pozasądowym (podstawa prawna: art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes). W tych przypadkach osoba, której dane dotyczą, zachowuje prawo sprzeciwu w rozumieniu art. 21 RODO.

6. CELE I PODSTAWY PRAWNE PRZETWARZANIA

Dane osobowe zbierane za pośrednictwem Strony są przetwarzane w następujących celach, każdy z własną podstawą prawną:

Cel

Podstawa prawna (art. 6 RODO)

Przetwarzane dane

Obsługa i realizacja zamówień (w tym wysyłka i dostawa)

Art. 6 ust. 1 lit. b RODO, wykonanie umowy

Imię, nazwisko, adres dostawy, e-mail, telefon, dane zamówienia

Utworzenie i zarządzanie kontem klienta

Art. 6 ust. 1 lit. b RODO, wykonanie umowy

Imię, e-mail, hasło (hash), ustawienia

Wypełnienie obowiązków podatkowych i księgowych

Art. 6 ust. 1 lit. c RODO, obowiązek prawny (art. 86 § 1 OrdPod; art. 74 UoR; art. 70 § 1 OrdPod)

Imię, adres do faktury, dane transakcyjne, NIP

Obsługa klienta i wsparcie posprzedażowe

Art. 6 ust. 1 lit. b RODO, wykonanie umowy

Imię, e-mail, historia komunikacji

Wysyłka komunikatów handlowych (newsletter)

Art. 6 ust. 1 lit. a RODO, zgoda + art. 10 UŚUDE

Adres e-mail

Techniczny monitoring wydajności Strony (Google Analytics 4, zanonimizowany)

Art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes w zakresie utrzymania i technicznego ulepszania usługi

Zanonimizowane dane nawigacyjne (skrócony adres IP), brak osobowych danych identyfikacyjnych

Bezpieczeństwo Strony i zapobieganie oszustwom

Art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes

Adres IP, logi dostępu, dane urządzenia

Obrona praw w postępowaniach sądowych lub pozasądowych

Art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes

Wszystkie dane ściśle niezbędne do obrony

Uwaga dotycząca prawnie uzasadnionego interesu: jeżeli podstawą prawną przetwarzania jest prawnie uzasadniony interes Administratora, osoba, której dane dotyczą, ma prawo wnieść w każdym czasie sprzeciw wobec przetwarzania ze względu na swoją szczególną sytuację, w rozumieniu art. 21 RODO. W takim przypadku Administrator powstrzyma się od przetwarzania danych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub jeżeli przetwarzanie służy ustaleniu, dochodzeniu lub obronie roszczeń. W celu skorzystania z prawa sprzeciwu osoba, której dane dotyczą, może wysłać wiadomość e-mail na adres info@justbob.pl.

Uwaga dotycząca zgody: zgoda udzielona na wysyłkę komunikatów handlowych oraz na wszelkie inne przetwarzanie oparte na art. 6 ust. 1 lit. a RODO może być cofnięta w każdym czasie z taką samą łatwością, z jaką została udzielona, bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem (art. 7 ust. 3 RODO). Cofnięcie zgody nie ma skutku wstecznego na przetwarzania już dokonane.

Podanie danych i konsekwencje niepodania: podanie danych niezbędnych do wykonania umowy (zamówienia, konto klienta) oraz do wypełnienia obowiązków prawnych (fakturowanie, przechowywanie podatkowe) jest obowiązkowe: nieudostępnienie ich uniemożliwia Administratorowi spełnienie żądania osoby, której dane dotyczą. Podanie danych do celów marketingowych (newsletter) jest natomiast dobrowolne i nie wpływa w żaden sposób na możliwość korzystania ze Strony i usług.

7. PODMIOTY PRZETWARZAJĄCE (ART. 28 RODO)

W celu świadczenia naszych usług dane osobowe mogą być przetwarzane przez następujące podmioty przetwarzające, z którymi Administrator zawarł stosowne umowy powierzenia przetwarzania danych osobowych (Data Processing Agreement, DPA) w rozumieniu art. 28 RODO:

Podmiot przetwarzający

Usługa

Siedziba

Planetel S.p.A. (dawniej NetAdmin S.r.l.)

Hosting witryny i konserwacja serwerów

Via Mattei 10, 24060 Brusaporto (BG), Włochy (UE)

Brevo SAS (dawniej Sendinblue)

Wysyłka komunikatów transakcyjnych dotyczących zamówień oraz newslettera

7 rue de Madrid, 75008 Paryż, Francja (UE), RCS Paris 498 019 298

Google LLC

Zanonimizowany techniczny monitoring wydajności Strony (Google Analytics 4)

1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (certyfikowany w ramach EU-US Data Privacy Framework)

Obsługa płatności jest realizowana przez zewnętrznych, autoryzowanych dostawców usług płatniczych, którzy w zależności od konkretnej fazy przetwarzania działają jako odrębni administratorzy lub jako podmioty przetwarzające, stosując własne polityki prywatności i środki bezpieczeństwa zgodne z normą PCI DSS. Administrator nie przechowuje pełnych danych płatności (numery kart, CVV, kody bezpieczeństwa) ani nie ma do nich bezpośredniego dostępu: otrzymuje wyłącznie informacje o wyniku transakcji niezbędne do realizacji zamówienia.

Podmioty przetwarzające są wybierane przez Administratora spośród dostawców zapewniających wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Każdy podmiot przetwarzający jest związany pisemną umową powierzenia (Data Processing Agreement), która szczegółowo reguluje rodzaj, czas trwania, cele i kategorie przetwarzanych danych, obowiązki w zakresie poufności, środki bezpieczeństwa, zarządzanie dalszymi podmiotami przetwarzającymi, współpracę przy realizacji praw osób, których dane dotyczą, oraz przy zgłaszaniu ewentualnych naruszeń.

Pełna i aktualna lista podmiotów przetwarzających, w tym ewentualnych dalszych podmiotów przetwarzających powołanych przez głównych podmiotów przetwarzających, jest dostępna na żądanie pod adresem info@justbob.pl.

8. UDOSTĘPNIANIE DANYCH OSOBOM TRZECIM

Administrator nie sprzedaje, nie wynajmuje ani nie udostępnia danych osobowych osobom trzecim.

Dane osobowe mogą być udostępniane wyłącznie do celów wskazanych w niniejszej Polityce Prywatności następującym kategoriom odbiorców:

  1. a) Podmioty przetwarzające (art. 28 RODO): podmioty trzecie przetwarzające dane osobowe na zlecenie Administratora na podstawie umowy powierzenia. Szczegóły w punkcie 7.
  2. b) Specjaliści i doradcy: kancelarie i specjaliści świadczący Administratorowi usługi księgowe, administracyjne, prawne, podatkowe, finansowe lub windykacyjne, działający w zależności od przypadku jako podmioty przetwarzające lub jako odrębni administratorzy.
  3. c) Organy publiczne: organy, urzędy lub instytucje, do których przekazywanie danych osobowych jest obowiązkowe na podstawie przepisów prawa lub uzasadnionych żądań właściwych organów (na przykład organy sądowe, organy ścigania, organy podatkowe).
  4. d) Upoważniony personel: współpracownicy i pracownicy Administratora, którzy są wyraźnie upoważnieni do przetwarzania danych osobowych zgodnie z art. 29 RODO i podlegają szczególnym instrukcjom oraz obowiązkom poufności.

Dane osobowe nie są w żadnym wypadku publicznie rozpowszechniane.

9. PRZEKAZYWANIE DANYCH MIĘDZYNARODOWE

Niektóre podmioty przetwarzające mogą przetwarzać dane osobowe poza Europejskim Obszarem Gospodarczym (EOG). W szczególności:

Podmiot przetwarzający

Państwo

Zastosowana gwarancja

Google LLC (Google Analytics 4)

Stany Zjednoczone

Certyfikowany w ramach EU-US Data Privacy Framework (DPF), przedmiot Decyzji wykonawczej Komisji (UE) 2023/1795 z dnia 10 lipca 2023 r. o odpowiednim poziomie ochrony danych osobowych. Certyfikacja DPF firmy Google LLC jest publicznie dostępna w rejestrze www.dataprivacyframework.gov. Dodatkowo Administrator aktywował anonimizację adresu IP (IP-Masking) w celu minimalizacji przekazywanych danych osobowych.

Brevo SAS

Francja (UE)

Serwery w obrębie Unii Europejskiej. Brak przekazywania poza EOG.

Planetel S.p.A.

Włochy (UE)

Serwery w obrębie Unii Europejskiej. Brak przekazywania poza EOG.

W przypadku stwierdzenia nieważności lub zmiany EU-US Data Privacy Framework Administrator zastosuje wymagane gwarancje, w szczególności standardowe klauzule umowne zatwierdzone przez Komisję Europejską Decyzją wykonawczą (UE) 2021/914 z dnia 4 czerwca 2021 r., w razie potrzeby uzupełnione o dodatkowe środki techniczne (na przykład szyfrowanie, pseudonimizacja, anonimizacja identyfikatorów) i umowne, w celu zapewnienia odpowiedniego poziomu ochrony danych osobowych.

Ważność EU-US Data Privacy Framework została potwierdzona wyrokiem Sądu Unii Europejskiej z dnia 3 września 2025 r. w sprawie T-553/23 Latombe. Administrator monitoruje stale rozwój ram prawnych dotyczących międzynarodowego przekazywania danych, w tym orzecznictwo dotyczące ważności DPF, i zobowiązuje się do aktualizacji niniejszej Polityki Prywatności oraz, w razie potrzeby, podstaw prawnych przekazywania.

W celu uzyskania dodatkowych informacji o gwarancjach stosowanych do międzynarodowego przekazywania danych, w tym kopii lub odniesienia do ewentualnie wykorzystywanych standardowych klauzul umownych, osoba, której dane dotyczą, może wysłać wiadomość e-mail na adres info@justbob.pl.

10. METODY PRZETWARZANIA I BEZPIECZEŃSTWO

Dane osobowe są przetwarzane za pomocą narzędzi informatycznych i telematycznych, według logik ściśle związanych z celami wskazanymi w niniejszej Polityce Prywatności, w każdym przypadku w sposób zapewniający ich bezpieczeństwo i integralność.

Zgodnie z art. 32 RODO Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu ochrony odpowiedniego do ryzyka, w tym:

  • szyfrowanie komunikacji za pomocą protokołu HTTPS (TLS 1.2 / 1.3) w całej Stronie
  • przechowywanie haseł za pomocą bezpiecznych algorytmów hash (bcrypt / scrypt)
  • ograniczenie dostępu do danych osobowych do wyraźnie upoważnionego personelu z indywidualnymi danymi dostępu
  • codzienne i tygodniowe kopie zapasowe (backup) systemów i baz danych, przechowywane w formie zaszyfrowanej
  • monitorowanie logów dostępu w celu wykrywania nieuprawnionych prób dostępu
  • regularne aktualizacje CMS, rozszerzeń i wykorzystywanego oprogramowania
  • infrastruktura hostingowa zgodna ze standardami bezpieczeństwa zadeklarowanymi przez dostawcę

Zautomatyzowane podejmowanie decyzji i profilowanie: Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu i nie dokonuje profilowania, które wywołuje skutki prawne wobec osoby, której dane dotyczą, lub w podobny sposób istotnie na nią wpływa, w rozumieniu art. 22 RODO.

Naruszenie ochrony danych osobowych (Data Breach): Administrator wdrożył wewnętrzną procedurę zarządzania naruszeniami ochrony danych, która reguluje sposoby wykrywania, analizy, klasyfikacji ryzyka, zgłaszania i komunikacji oraz prowadzenia wewnętrznego rejestru naruszeń. W przypadku naruszenia ochrony danych osobowych mogącego powodować ryzyko dla praw i wolności osób fizycznych Administrator powiadomi właściwy organ nadzorczy w terminie 72 godzin od stwierdzenia naruszenia, zgodnie z art. 33 RODO oraz, jeżeli naruszenie może powodować wysokie ryzyko dla praw i wolności osób fizycznych, niezwłocznie powiadomi o zdarzeniu osoby, których dane dotyczą, zgodnie z art. 34 RODO.

W przypadku gdy naruszenie powoduje wysokie ryzyko dla praw i wolności osób, których dane dotyczą, powiadomienie zainteresowanych osób następuje pocztą elektroniczną na adres podany Administratorowi przez użytkownika, z opisem prostym i jasnym językiem charakteru naruszenia, prawdopodobnych konsekwencji, środków podjętych lub proponowanych w celu zaradzenia oraz danych kontaktowych w celu uzyskania dalszych informacji.

11. OKRES PRZECHOWYWANIA

Dane osobowe są przechowywane przez okres ściśle niezbędny do realizacji celów, dla których zostały zebrane, w każdym przypadku z zachowaniem następujących okresów:

Cel

Okres przechowywania

Podstawa prawna

Realizacja zamówienia i dokumentacja podatkowo-księgowa

5 lat od końca roku obrachunkowego ostatniego wpisu

Art. 86 § 1 OrdPod; art. 74 UoR; art. 70 § 1 OrdPod

Dane konta klienta

Do usunięcia konta klienta przez użytkownika, powiększone o 3 lata ogólnego okresu przedawnienia zgodnie z art. 118 KC

Art. 6 ust. 1 lit. b RODO; art. 118 KC

Obsługa klienta

3 lata od ostatniej komunikacji

Art. 6 ust. 1 lit. b RODO; zasada proporcjonalności z uwzględnieniem ogólnego okresu przedawnienia z art. 118 KC

Komunikaty handlowe (newsletter)

Do cofnięcia zgody lub sprzeciwu osoby, której dane dotyczą

Art. 6 ust. 1 lit. a RODO; art. 21 ust. 3 RODO; art. 10 UŚUDE

Techniczny monitoring Strony (Google Analytics 4, zanonimizowany)

Maksymalnie 14 miesięcy (konfiguracja GA4)

Art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes

Dane nawigacyjne (logi serwera)

12 miesięcy

Art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes w bezpieczeństwie systemu

Dane dotyczące realizacji praw osób, których dane dotyczą

3 lata od ostatniego wniosku

Art. 6 ust. 1 lit. c RODO; zasada rozliczalności (art. 5 ust. 2 RODO)

Po upływie wskazanych okresów dane osobowe są bezpiecznie usuwane lub nieodwracalnie anonimizowane, z zastrzeżeniem obowiązków prawnych wymagających dłuższego przechowywania (na przykład obowiązki podatkowe, przeciwdziałanie praniu pieniędzy, ochrona sądowa).

Uwaga dotycząca polskiego okresu przechowywania podatkowego: prawo polskie przewiduje okres przechowywania 5 lat dla ksiąg, zapisów księgowych, dowodów księgowych oraz dokumentacji podatkowej (art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości; art. 86 § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa). Termin pięcioletni jest powiązany z okresem przedawnienia zobowiązań podatkowych zgodnie z art. 70 § 1 OrdPod i biegnie od końca roku kalendarzowego, w którym upłynął termin płatności podatku, do którego dokumenty się odnoszą. Okresy te mają pierwszeństwo przed ogólnym terminem przedawnienia z art. 118 KC, w zakresie w jakim przechowywanie jest wymagane przez prawo.

Kryteria ustalenia okresu przechowywania: dla celów, dla których nie wskazano dokładnego terminu, Administrator ustala okres przechowywania danych na podstawie następujących kryteriów: (i) czas trwania stosunku umownego lub przedumownego z osobą, której dane dotyczą; (ii) ewentualne obowiązki przechowywania prawne, regulacyjne lub umowne; (iii) okresy przedawnienia mające zastosowanie do roszczeń, które mogą być dochodzone wobec Administratora (w szczególności art. 118 KC dla ogólnego okresu 3 lub 6 lat); (iv) zalecenia UODO i EROD dotyczące minimalizacji danych przy ich przechowywaniu.

12. PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

Zgodnie z art. 15-22 RODO oraz przepisami ustawy o ochronie danych osobowych, osobie, której dane dotyczą, przysługują wobec Administratora następujące prawa:

Prawo

Opis

Podstawa prawna

Dostęp

Uzyskanie potwierdzenia, czy dane osobowe są przetwarzane, oraz, jeżeli tak, dostępu do tych danych oraz informacji o przetwarzaniu

Art. 15 RODO

Sprostowanie

Sprostowanie danych nieprawidłowych lub uzupełnienie danych niekompletnych

Art. 16 RODO

Usunięcie (“Prawo do bycia zapomnianym”)

Usunięcie danych, gdy nie są już niezbędne do celów, dla których zostały zebrane, w przypadku cofnięcia zgody, sprzeciwu, niezgodnego z prawem przetwarzania lub w celu wypełnienia obowiązku prawnego

Art. 17 RODO

Ograniczenie przetwarzania

Żądanie tymczasowego zawieszenia przetwarzania w określonych przypadkach (kwestionowanie prawidłowości, niezgodne z prawem przetwarzanie, konieczność danych do obrony prawnej, oczekujący sprzeciw)

Art. 18 RODO

Przenoszenie danych

Otrzymanie własnych danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przekazanie ich innemu administratorowi, jeżeli przetwarzanie opiera się na zgodzie lub wykonaniu umowy i odbywa się w sposób zautomatyzowany

Art. 20 RODO

Sprzeciw

Wniesienie sprzeciwu wobec przetwarzania danych ze względu na szczególną sytuację, w szczególności gdy podstawą prawną jest prawnie uzasadniony interes. W przypadku marketingu bezpośredniego prawo sprzeciwu jest nieograniczone i bezwarunkowe

Art. 21 RODO

Cofnięcie zgody

Cofnięcie udzielonej zgody w każdym czasie z taką samą łatwością, z jaką została udzielona, bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem

Art. 7 ust. 3 RODO

Brak zautomatyzowanej decyzji w indywidualnym przypadku

Niepodleganie decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowania, wywołującej skutki prawne lub w podobny sposób istotnie wpływającej na osobę, której dane dotyczą

Art. 22 RODO

12.1 Sposób wykonywania praw

Osoba, której dane dotyczą, może wykonywać jedno lub więcej z tych praw, kierując wniosek do Administratora następującymi kanałami:

  • E-mail: info@justbob.pl
  • Adres pocztowy: ESPACE ECOMMERCE FRANCE SARL, 16 rue Cuvier, 69006 Lyon, Francja

Wniosek musi zawierać imię i nazwisko, adres e-mail powiązany z kontem klienta (jeżeli istnieje) oraz jasny opis wykonywanego prawa. Administrator może żądać dokumentów do weryfikacji tożsamości osoby, której dane dotyczą, wyłącznie w celu zapobieżenia nieuprawnionemu dostępowi do danych osób trzecich, zgodnie z art. 12 ust. 6 RODO. Zgodnie z zaleceniami organów nadzorczych, żądanie dokumentów tożsamości ogranicza się do przypadków obiektywnej wątpliwości, a przekazane dokumenty są niszczone niezwłocznie po zweryfikowaniu tożsamości, z zastrzeżeniem przeciwnych przepisów prawa.

Jeżeli Administrator nie jest w stanie zidentyfikować osoby, której dane dotyczą, na podstawie otrzymanych informacji, niezwłocznie ją o tym poinformuje i może, zgodnie z art. 11 ust. 2 RODO, odmówić uwzględnienia wniosku, z zastrzeżeniem możliwości dostarczenia przez osobę, której dane dotyczą, dodatkowych informacji w celu identyfikacji.

12.2 Terminy odpowiedzi

Administrator odpowiada na wnioski w terminie jednego (1) miesiąca od ich otrzymania. Termin ten może być przedłużony o kolejne dwa (2) miesiące ze względu na złożoność i liczbę wniosków (łącznie maksymalnie trzy miesiące), z uzasadnioną informacją do osoby, której dane dotyczą, w terminie pierwszego miesiąca (art. 12 ust. 3 RODO).

Odpowiedź na wniosek jest bezpłatna, z wyjątkiem przypadków wniosków oczywiście nieuzasadnionych lub nadmiernych, w szczególności w przypadku częstego ich powtarzania, dla których Administrator może żądać odpowiedniej opłaty na pokrycie poniesionych kosztów lub odmówić uwzględnienia wniosku (art. 12 ust. 5 RODO).

12.3 Skarga do organu nadzorczego

Jeżeli osoba, której dane dotyczą, uważa, że przetwarzanie jej danych osobowych nie odbywa się zgodnie z obowiązującymi przepisami, ma prawo wniesienia skargi do organu nadzorczego zgodnie z art. 77 RODO oraz art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Ponieważ Administrator posiada swoją jedyną jednostkę organizacyjną we Francji, ESPACE ECOMMERCE FRANCE SARL podlega europejskiemu mechanizmowi one-stop-shop zgodnie z art. 56 i 60 RODO.

Wiodący organ nadzorczy (Lead Supervisory Authority) zgodnie z art. 56 RODO:

CNIL – Commission Nationale de l’Informatique et des Libertés

Polski organ nadzorczy:

Jako osoba zamieszkała w Polsce ma Pan/Pani ponadto prawo, zgodnie z art. 77 RODO i art. 34 ustawy o ochronie danych osobowych, zwrócenia się do krajowego organu nadzorczego:

Prezes Urzędu Ochrony Danych Osobowych (UODO)

Oprócz administracyjnego środka odwoławczego, osobie, której dane dotyczą, przysługuje skuteczny sądowy środek ochrony prawnej zgodnie z art. 78 RODO wobec organu nadzorczego oraz zgodnie z art. 79 RODO wobec Administratora, przed właściwymi sądami, w szczególności przed sądem właściwym dla miejsca jej zamieszkania, zgodnie z Rozporządzeniem (UE) 1215/2012 (Bruksela Ia), art. 17-19, oraz art. 31[1] Kodeksu postępowania cywilnego (właściwość sądu konsumenta). Sądowy środek ochrony prawnej może być podjęty alternatywnie lub łącznie ze skargą administracyjną i ma na celu skuteczną ochronę praw uznanych przez RODO, w tym roszczenia o odszkodowanie zgodnie z art. 82 Rozporządzenia.

13. MAŁOLETNI

Strona internetowa www.justbob.pl jest zastrzeżona wyłącznie dla osób pełnoletnich (ukończone 18 lat). Administrator nie zbiera ani nie przetwarza świadomie danych osobowych osób niepełnoletnich poniżej 18 lat. Jeżeli Administrator dowie się, że dane osobowe osoby niepełnoletniej poniżej 18 lat zostały przetworzone, dane te zostaną niezwłocznie usunięte, z zastrzeżeniem ustawowych obowiązków przechowywania.

Zgodnie z art. 8 RODO w polskim porządku prawnym próg wieku wymagany do wyrażenia ważnej zgody na przetwarzanie danych osobowych w ramach bezpośredniego oferowania usług społeczeństwa informacyjnego wynosi 16 lat. Polska nie skorzystała z możliwości obniżenia tego progu, którą art. 8 RODO przewiduje dla państw członkowskich (do 13-15 lat); ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych zachowuje wartość domyślną 16 lat. Ten próg wieku nie ma praktycznego znaczenia dla strony www.justbob.pl, ponieważ dostęp do strony jest w każdym przypadku ograniczony do osób, które ukończyły 18 lat.

Jeżeli rodzic lub opiekun prawny uzna, że osoba niepełnoletnia poniżej 18 lat przekazała dane osobowe Administratorowi, może wysłać wiadomość e-mail na adres info@justbob.pl i żądać ich usunięcia. Administrator uwzględni wniosek bez zbędnej zwłoki, podejmując wszelkie rozsądne środki w celu zweryfikowania statusu wnioskującego jako posiadacza władzy rodzicielskiej lub opieki, z poszanowaniem praw ewentualnych innych osób, których dane dotyczą.

Administrator stosuje ponadto środki techniczne i organizacyjne utrudniające dostęp do Strony osobom niepełnoletnim, w tym obecność wskazówek o wymaganym minimalnym wieku, oświadczenia o warunkach wieku w fazach rejestracji i płatności oraz monitorowanie ewentualnych wzorców dostępu, które można by przypisać osobom niepełnoletnim.

14. ZMIANY POLITYKI PRYWATNOŚCI

Administrator zastrzega sobie prawo do zmiany lub aktualizacji niniejszej Polityki Prywatności w każdym czasie, w celu dostosowania jej do nowości legislacyjnych, rozwoju orzecznictwa, postanowień organów nadzorczych lub najlepszych praktyk branżowych.

Każda istotna zmiana zostanie zakomunikowana użytkownikom poprzez ogłoszenie publikowane na Stronie z odpowiednim wyprzedzeniem przed wejściem w życie nowych postanowień oraz, w przypadkach przewidzianych przez prawo, poprzez bezpośrednie powiadomienie pocztą elektroniczną zarejestrowanych użytkowników.

Zaleca się regularne konsultowanie niniejszej Polityki Prywatności. Data “Ostatnia aktualizacja” wskazana na początku dokumentu pozwala zweryfikować moment ostatniej zmiany.

Jeżeli zmiany wiążą się ze zmianą celów lub podstaw prawnych przetwarzania, Administrator uzyska nową zgodę osoby, której dane dotyczą, jeżeli wymagają tego obowiązujące przepisy. Do czasu rzeczywistego udzielenia nowej zgody Administrator będzie przetwarzał dane na podstawie zgody udzielonej wcześniej, w ramach pierwotnie wskazanych celów.

15. PRAWO WŁAŚCIWE I JURYSDYKCJA

Niniejsza Polityka Prywatności podlega prawu polskiemu, w szczególności RODO, ustawie o ochronie danych osobowych, Prawu komunikacji elektronicznej, ustawie o świadczeniu usług drogą elektroniczną oraz innym mającym zastosowanie przepisom krajowym, z zastrzeżeniem bezwzględnie obowiązujących, korzystniejszych dla konsumenta przepisów państwa, w którym konsument ma miejsce zwykłego pobytu, zgodnie z art. 6 Rozporządzenia (WE) 593/2008 (“Rzym I”).

W przypadku jakichkolwiek sporów wynikających z wykładni lub stosowania niniejszej Polityki Prywatności właściwy jest sąd miejsca zamieszkania lub zwykłego pobytu konsumenta, zgodnie z Rozporządzeniem (UE) 1215/2012 (“Bruksela Ia”), art. 17-19, oraz art. 31[1] Kodeksu postępowania cywilnego (właściwość sądu konsumenta). Prawo osoby, której dane dotyczą, do skutecznego środka prawnego w rozumieniu art. 78 i 79 RODO pozostaje w każdym przypadku zachowane.

Użytkownik jako konsument może ponadto skorzystać z mechanizmów alternatywnego rozstrzygania sporów (Alternative Dispute Resolution, ADR) przewidzianych w polskim i europejskim porządku prawnym. W tym celu Komisja Europejska udostępnia europejski portal pozasądowego rozstrzygania sporów konsumenckich, dostępny pod adresem https://consumer-redress.ec.europa.eu/, zgodnie z Rozporządzeniem (UE) 2024/3228, które ze skutkiem od dnia 20 lipca 2025 r. uchyliło Rozporządzenie (UE) nr 524/2013. Korzystanie z tych mechanizmów jest dobrowolne i nie pozbawia konsumenta prawa do wniesienia sprawy do właściwego sądu.

16. KONTAKT

W celu zadawania pytań, składania wniosków lub przekazywania komunikatów dotyczących niniejszej Polityki Prywatności lub przetwarzania danych osobowych osoba, której dane dotyczą, może skontaktować się z Administratorem następującymi kanałami:

ESPACE ECOMMERCE FRANCE SARL

Preferowanym kanałem do realizacji praw osoby, której dane dotyczą, oraz do wszelkiej komunikacji dotyczącej przetwarzania danych osobowych jest adres e-mail info@justbob.pl.

Wnioski osób, których dane dotyczą, są rozpatrywane w kolejności chronologicznej ich wpływu. W przypadku wniosków złożonych lub szczególnie istotnych Administrator zastrzega sobie możliwość kontaktu z osobą, której dane dotyczą, w celu uzyskania wyjaśnień, wyłącznie w celu udzielenia bardziej ukierunkowanej i precyzyjnej odpowiedzi.

W celu większej jasności i przejrzystości przypomina się, że niniejsza Polityka Prywatności jest uzupełniona przez Politykę Cookies oraz Zasady i Warunki Strony, dostępne w odpowiednich sekcjach www.justbob.pl. Wspólna lektura tych dokumentów pozwala użytkownikowi uzyskać pełny obraz praw i obowiązków jako osoby, której dane dotyczą, oraz konsumenta.

Ostatnia aktualizacja: 30 kwietnia 2026 r.