Polityka prywatności

Wersja 1.0 · 18.04.2026

Uwaga: szablon do weryfikacji przez IOD / radcę prawnego przed uruchomieniem produkcyjnym.

1. Administrator danych

Administratorem Twoich danych osobowych jest THEECOMAX sp. z o.o. z siedzibą w [adres], KRS [numer], NIP [numer]. Kontakt w sprawach RODO: privacy@theecomax.com.

2. Jakie dane przetwarzamy

• Dane konta: email, imię, nazwisko (opcjonalnie), hasło w postaci zahashowanej (Clerk).
• Dane dostawy: adresy wysyłkowe, numer telefonu.
• Dane płatnicze: nie przetwarzamy bezpośrednio. Dane kart obsługuje Stripe (PCI DSS Level 1). Otrzymujemy tylko token.
• Dane zamówień: historia zakupów, produkty, wartości.
• Dane technicze: adres IP, urządzenie, przeglądarka (logi bezpieczeństwa).
• Dane analityczne (tylko za zgodą): PostHog, interakcje, zdarzenia konwersji.

3. Podstawy prawne

• Realizacja umowy — art. 6 ust. 1 lit. b RODO
• Obowiązek prawny (podatki, faktury, zwroty) — art. 6 ust. 1 lit. c RODO
• Uzasadniony interes (bezpieczeństwo, antyfraud) — art. 6 ust. 1 lit. f RODO
• Zgoda (marketing, analityka) — art. 6 ust. 1 lit. a RODO

4. Odbiorcy danych

• Clerk Technologies (autentykacja)
• Neon Tech (baza danych, region eu-central-1)
• Stripe Payments Europe Ltd. (płatności, Stripe Connect KYC)
• Resend Inc. (maile transakcyjne)
• PostHog (analityka — tylko za zgodą, region EU)
• Sentry (obserwabilność)
• Vercel (hosting, region Frankfurt)
• InPost S.A. / DPD — dostawy
• Fakturownia — faktury VAT
• Sprzedawcy marketplace (w zakresie niezbędnym do realizacji zamówienia)

5. Transfer poza EOG

Wybieramy dostawców z infrastrukturą w EU (Neon EU, Vercel Frankfurt, PostHog EU, Resend EU). Gdzie transfer jest niezbędny (np. Stripe US), oparty jest na Standardowych Klauzulach Umownych UE (SCC).

6. Okres przechowywania

• Dane konta — do usunięcia konta
• Dane zamówień — 5 lat (obowiązek podatkowy)
• Dane marketingowe — do wycofania zgody
• Logi bezpieczeństwa — 12 miesięcy

7. Twoje prawa

Masz prawo do: dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu, wycofania zgody, skargi do PUODO ul. Stawki 2, 00-193 Warszawa.

Wniosek RODO możesz złożyć mailem lub przez formularz w zakładce „Moje konto → Prywatność".

8. Automatyczne decyzje

Nie stosujemy zautomatyzowanego podejmowania decyzji wywołujących skutki prawne (np. automatyczne odrzucanie zamówień). EcoScore jest oceną informacyjną, nie decyzją.

9. Bezpieczeństwo

Stosujemy szyfrowanie w locie (TLS 1.3) i at rest (AES-256), MFA dla administratorów, rotację sekretów, backup codzienny, oddzielenie środowisk dev/prod.