Polityka prywatności
Wersja 2.1 | Data wejścia w życie: 2026-05-11 | Poprzednie wersje: 2.0 z 2026-05-07 (sklep digital, draft pre-launch), 1.0 z 2026-04-04 (formularz kontaktowy)
1. Administrator danych
Administratorem danych osobowych jest Praktyka Lidera Kamil Wojciechowski, ul. Leśna 5E lok. 2, 84-240 Reda, NIP 5882263298, REGON 222046054, wpis do CEIDG. Kontakt: kontakt@praktykalidera.pl, telefon +48 882 685 981.
Niniejsza polityka opisuje zasady przetwarzania danych osobowych w czterech obszarach: formularz kontaktowy na stronie, sklep internetowy z treściami cyfrowymi, newsletter i komunikacja marketingowa, pliki cookies oraz inne dane lokalne przeglądarki.
2. Zakres przetwarzanych danych
Formularz kontaktowy: imię, adres email, opcjonalnie numer telefonu, treść wiadomości.
Sklep internetowy: imię i nazwisko, adres email, opcjonalnie NIP firmy i nazwa firmy (dla faktury B2B), dane płatności obsługiwane przez Stripe (numer karty, BLIK, przelew - administrator nie ma dostępu do pełnych danych karty), identyfikator transakcji, treść wyrażonych zgód (regulamin, klauzula odstąpienia, marketing) wraz z timestampem i adresem IP, historia zakupów.
Newsletter i marketing: imię, adres email, treść zgody, data udzielenia i wycofania zgody.
Cookies i dane lokalne: patrz sekcja 7.
3. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna | Zakres danych |
|---|---|---|
| Obsługa zapytania kontaktowego, kontakt zwrotny, przygotowanie oferty | art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy) i art. 6 ust. 1 lit. f RODO (uzasadniony interes - obsługa kontaktu) | imię, email, telefon, treść wiadomości |
| Realizacja zakupu w sklepie - dostarczenie Produktu, wystawienie faktury, kontakt w sprawie zamówienia | art. 6 ust. 1 lit. b RODO (wykonanie umowy) | imię, nazwisko, email, NIP/firma, ID transakcji, treść Produktu |
| Dostarczenie sekwencji emaili stanowiących zawartość zakupionego Produktu (np. 7-dniowa mini-sekwencja w Starter Kit) | art. 6 ust. 1 lit. b RODO (wykonanie umowy) | imię, email |
| Rozliczenia podatkowe i księgowe, archiwizacja faktur | art. 6 ust. 1 lit. c RODO (obowiązek prawny - ustawa o rachunkowości, ustawa o VAT, Ordynacja podatkowa) | imię, nazwisko, NIP/firma, kwota, data zakupu |
| Marketing własnych produktów Sprzedawcy w komunikacji handlowej drogą elektroniczną (newsletter, oferty, sekwencje sprzedażowe) | art. 6 ust. 1 lit. a RODO (zgoda) oraz art. 408 ustawy z 12 lipca 2024 r. Prawo Komunikacji Elektronicznej (PKE) | imię, email, historia interakcji |
| Dochodzenie i obrona roszczeń z umowy, archiwizacja zgód i dokumentów transakcyjnych | art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora) | dane transakcyjne, treść zgód, IP, timestamp, kopia maila potwierdzającego |
| Obsługa cookies niezbędnych do działania strony i sklepu | art. 173 ust. 3 PKE (cookies niezbędne do realizacji usługi żądanej przez użytkownika - zgoda nie jest wymagana) | identyfikator sesji, dane koszyka, token zabezpieczający |
| Analityka ruchu strony i sklepu w celu poprawy UX i konwersji | art. 6 ust. 1 lit. f RODO (uzasadniony interes - mierzenie skuteczności komunikacji marketingowej i ścieżek zakupu); narzędzie nie zapisuje informacji w urządzeniu użytkownika, więc art. 173 ust. 1 PKE nie znajduje zastosowania | jak w sekcji 5 (Plausible Insights OÜ); bez identyfikacji indywidualnej po stronie administratora |
4. Mechanika trzech odrębnych zgód przy zakupie
Przed potwierdzeniem zamówienia w sklepie Klient zaznacza trzy odrębne pola wyboru, zgodnie z zakazem łączenia zgód (art. 7 ust. 4 RODO):
- Akceptacja Regulaminu i Polityki Prywatności - obowiązkowa, warunek zawarcia umowy.
- Zgoda na rozpoczęcie świadczenia przed upływem 14-dniowego terminu odstąpienia - obowiązkowa, treść w § 5 Regulaminu Sklepu, podstawa: art. 38 ust. 1 pkt 13 ustawy o prawach konsumenta. Po jej udzieleniu Klient otrzymuje na trwałym nośniku (mail) potwierdzenie zawarcia umowy z powtórzeniem treści zgody i informacji o utracie prawa odstąpienia (art. 38a u.p.k.).
- Zgoda na otrzymywanie informacji handlowych - opcjonalna, domyślnie nie zaznaczona, podstawa: art. 6 ust. 1 lit. a RODO + art. 408 PKE. Może być cofnięta w każdej chwili przez link w mailu lub wiadomość na kontakt@praktykalidera.pl - bez wpływu na realizację zakupu.
Treść każdej zgody, data, godzina, adres IP i wersja Regulaminu archiwizowane są w systemie administratora na potrzeby ewentualnego sporu i wykazania zgody (art. 7 ust. 1 RODO).
5. Odbiorcy danych i procesorzy
Dane mogą być przekazywane podmiotom obsługującym technicznie i operacyjnie procesy administratora. Każdy procesor działa na podstawie umowy powierzenia przetwarzania danych zgodnie z art. 28 RODO.
| Procesor | Cel | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| Stripe Payments Europe Ltd / Stripe Inc. | obsługa płatności, KYC, zwroty | Irlandia (EOG) i USA | art. 28 RODO; transfer USA: Trans-Atlantic Data Privacy Framework (Stripe Inc. na liście DPF) oraz standardowe klauzule umowne (SCC) |
| inFakt sp. z o.o. | księgowość, generowanie faktur, integracja KSeF | Polska (EOG) | art. 28 RODO |
| Mailgun Technologies Inc. | wysyłka maili transakcyjnych i marketingowych, archiwum dostarczeń | USA | art. 28 RODO; TADPF i SCC |
| Cloudflare Inc. | CDN, ochrona przed atakami, magazyn obiektowy R2 (pliki Produktów) | USA z brzegowymi serwerami w EOG | art. 28 RODO; TADPF i SCC |
| Netlify Inc. | hosting strony | USA z brzegowymi serwerami w EOG | art. 28 RODO; TADPF i SCC |
| n8n GmbH | automatyzacja przepływów (webhook Stripe → mail → archiwum) | Niemcy (EOG) | art. 28 RODO |
| Plausible Insights OÜ | cookieless analityka ruchu strony i sklepu (statystyki agregowane, ścieżki konwersji); zakres: anonimizowany identyfikator sesji generowany z hash(salt dnia + IP + user-agent), kraj, źródło ruchu, zdarzenia interakcji; pełny adres IP nie jest przechowywany przez procesora | Estonia (EOG) | art. 28 RODO; przetwarzanie wewnątrz EOG bez wymogu DPF/SCC |
| Notion Labs Inc. | archiwizacja zapytań i materiałów roboczych | USA | art. 28 RODO; TADPF i SCC |
| Telegram Messenger Inc. | alerty operacyjne dla administratora (sam fakt zdarzenia, bez pełnych danych klienta) | poza EOG | uzasadniony interes administratora; minimalizacja danych - na Telegram trafia wyłącznie alert o nowym leadzie lub zakupie bez pełnej treści wiadomości i bez pełnych danych osobowych |
Podstawa transferu danych do USA. Stripe Inc., Mailgun Technologies Inc. i Cloudflare Inc. są certyfikowanymi uczestnikami programu Trans-Atlantic Data Privacy Framework (status zweryfikowany na liście dataprivacyframework.gov: Stripe Inc. - EU-US, Swiss-US i UK Extension; Mailgun Technologies Inc. - EU-US i UK Extension; Cloudflare Inc. - EU-US, Swiss-US i UK Extension). Transfer odbywa się na podstawie decyzji wykonawczej Komisji Europejskiej (UE) 2023/1795 z 10 lipca 2023 r. stwierdzającej odpowiedni poziom ochrony danych osobowych w ramach DPF.
Forward-compatibility. Jeżeli decyzja 2023/1795 zostanie unieważniona przez Trybunał Sprawiedliwości UE lub uchylona przez Komisję, transfer danych do procesorów w USA będzie kontynuowany na podstawie standardowych klauzul umownych (SCC - decyzja wykonawcza Komisji (UE) 2021/914) oraz dodatkowych środków uzupełniających (np. szyfrowanie po stronie administratora) bez przerwy w ciągłości usług. Każdy z wymienionych procesorów udostępnia SCC w swoim Data Processing Addendum.
Pełne dane pozostają w systemach obsługi zapytania i sklepu. Klient może poprosić o informację o stosowanych zabezpieczeniach transferu poza EOG, pisząc na kontakt@praktykalidera.pl.
6. Okresy przechowywania danych (retencja)
| Kategoria | Okres | Podstawa |
|---|---|---|
| Zapytania bez dalszego kontaktu | 3 miesiące | uzasadniony interes - obsługa kontaktu |
| Zapytania z rozmowami kwalifikacyjnymi bez zawarcia umowy | do 12 miesięcy od ostatniego kontaktu | uzasadniony interes - kontynuacja dialogu |
| Dane transakcyjne (zakup w sklepie) | 5 lat | obowiązek prawny - rozliczenia podatkowe i księgowe |
| Treść zgód, IP, timestamp, kopia maila potwierdzającego | do upływu okresu przedawnienia roszczeń (6 lat B2C, 3 lata B2B) | uzasadniony interes - dochodzenie i obrona roszczeń |
| Dane marketingowe (newsletter, sekwencje) | do wycofania zgody lub wniesienia sprzeciwu | zgoda |
| Logi techniczne (sesja, błędy serwera) | do 30 dni | uzasadniony interes - bezpieczeństwo i diagnostyka |
| Dane analityczne (Plausible) | wyłącznie agregaty po stronie procesora; brak danych umożliwiających identyfikację po stronie administratora; salt rotowany co 24h uniemożliwia łączenie sesji między dniami | uzasadniony interes - analityka cookieless (art. 6 ust. 1 lit. f RODO) |
7. Cookies i dane lokalne przeglądarki
Strona i sklep używają plików cookies oraz danych lokalnych przeglądarki (localStorage). Polityka opisuje cztery kategorie - obecnie aktywna jest tylko kategoria niezbędna; pozostałe są przygotowane na wypadek dodania trackingu w przyszłości.
| Kategoria | Status | Cel | Podstawa | Czas |
|---|---|---|---|---|
| Niezbędne | aktywne | sesja, koszyk, zabezpieczenie CSRF, zapamiętanie zamknięcia komunikatu cookies | art. 173 ust. 3 PKE - zgoda nie jest wymagana, cookies konieczne do realizacji usługi żądanej przez użytkownika | sesja lub do 12 miesięcy |
| Funkcjonalne | aktywne wyłącznie w trakcie zakupu | cookies Stripe Checkout (autoryzacja płatności, ochrona przed nadużyciem) | art. 173 ust. 3 PKE - cookies niezbędne do wykonania usługi żądanej przez użytkownika (rozpoczęcie zakupu) | sesja Stripe |
| Analityczne | aktywne - w trybie cookieless (Plausible) | agregowane statystyki ruchu i konwersji | art. 6 ust. 1 lit. f RODO; art. 173 PKE nie ma zastosowania (brak zapisu w urządzeniu) | dane wyłącznie po stronie procesora w postaci zagregowanej |
| Marketingowe | nieaktywne (na dzień wejścia w życie polityki) | tracking efektywności kampanii - planowane wdrożenie wyłącznie po opt-in marketingowym przy zakupie lub w newsletterze | zgoda - art. 173 ust. 1 PKE i art. 408 PKE | do 12 miesięcy |
W chwili wejścia w życie tej polityki strona prezentuje pasek informacyjny o cookies niezbędnych. Cookies marketingowe pozostają nieaktywne; przed ich włączeniem zostanie wdrożony pełen baner zgody z opt-in. Analityka Plausible działa w trybie cookieless (bez zapisu w urządzeniu), na podstawie uzasadnionego interesu administratora - dlatego nie wymaga zgody z art. 173 ust. 1 PKE ani z RODO.
Klient może zarządzać cookies przez ustawienia przeglądarki (wyczyszczenie, blokada). Wyłączenie cookies niezbędnych może utrudnić realizację zakupu.
8. Newsletter i komunikacja marketingowa
Newsletter i komunikacja handlowa drogą elektroniczną (sekwencje sprzedażowe, oferty produktów, zaproszenia na warsztaty) są wysyłane wyłącznie do osób, które wyraziły odrębną zgodę:
- przez opcjonalny checkbox przy zakupie w sklepie (Zgoda 3 z sekcji 4),
- przez formularz zapisu na newsletter na stronie (jeżeli zostanie udostępniony).
Każdy mail marketingowy zawiera link do natychmiastowego wycofania zgody. Wycofanie zgody jest równie łatwe jak jej udzielenie (art. 7 ust. 3 RODO). Po wycofaniu zgody dane marketingowe są usuwane lub anonimizowane bez zbędnej zwłoki, z wyłączeniem danych transakcyjnych podlegających retencji księgowej.
Treść każdej zgody, data udzielenia i data wycofania archiwizowane są na potrzeby wykazania zgodności (art. 7 ust. 1 RODO).
9. Prawa użytkownika
Każdej osobie, której dane są przetwarzane, przysługują prawa wynikające z RODO:
- dostęp do danych (art. 15 RODO),
- sprostowanie danych nieprawidłowych lub niekompletnych (art. 16 RODO),
- usunięcie danych (art. 17 RODO) - w zakresie, w jakim dalsze przetwarzanie nie jest wymagane przepisami prawa,
- ograniczenie przetwarzania (art. 18 RODO),
- przeniesienie danych dostarczonych administratorowi (art. 20 RODO),
- sprzeciw wobec przetwarzania na podstawie uzasadnionego interesu, w tym sprzeciw wobec marketingu (art. 21 RODO),
- wycofanie zgody w każdej chwili, bez wpływu na zgodność przetwarzania sprzed wycofania (art. 7 ust. 3 RODO),
- skarga do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) - ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
Aby skorzystać z powyższych praw, skontaktuj się pod adresem kontakt@praktykalidera.pl. Odpowiedź otrzymasz w terminie do 30 dni od otrzymania żądania (art. 12 ust. 3 RODO). Termin może zostać przedłużony o kolejne dwa miesiące w sprawach złożonych - poinformuję o tym w pierwszych 30 dniach.
10. Bezpieczeństwo danych
Administrator stosuje środki techniczne i organizacyjne adekwatne do skali i ryzyka przetwarzania (art. 32 RODO): szyfrowanie połączeń HTTPS, kontrola dostępu do systemów, kopie zapasowe, segregacja środowisk testowych i produkcyjnych, hashowanie identyfikatorów IP w archiwum zgód, regularna aktualizacja oprogramowania.
W razie naruszenia ochrony danych mogącego powodować ryzyko dla praw i wolności osób fizycznych, administrator zgłosi naruszenie do Prezesa UODO w terminie 72 godzin (art. 33 RODO) i poinformuje osoby dotknięte zgodnie z art. 34 RODO.
11. Zmiany polityki
Administrator może aktualizować politykę w razie zmian prawnych, organizacyjnych lub technicznych. Każda zmiana otrzymuje nowy numer wersji i datę wejścia w życie - aktualne i poprzednie wersje są dostępne na żądanie.
Istotne zmiany dotyczące przetwarzania danych zakupowych lub marketingowych są dodatkowo komunikowane Klientom drogą emailową z 14-dniowym wyprzedzeniem. Zmiany nie mają zastosowania do umów zawartych przed wejściem zmian w życie.
12. Kontakt
W sprawach związanych z prywatnością i danymi osobowymi: kontakt@praktykalidera.pl lub +48 882 685 981 (9:00-17:00, dni robocze).