POLITYKA PRYWATNOŚCI SERWISU INTERNETOWEGO RABATOWEKOTY.PL

Wersja 3.0 • Obowiązuje od: 31.03.2026

1) POSTANOWIENIA OGÓLNE

1. Niniejsza polityka prywatności Serwisu Internetowego ma charakter informacyjny, co oznacza że nie jest ona źródłem obowiązków dla Usługobiorców Serwisu Internetowego. Polityka prywatności zawiera przede wszystkim zasady dotyczące przetwarzania danych osobowych przez Administratora w Serwisie Internetowym, w tym podstawy, cele i zakres przetwarzania danych osobowych oraz prawa osób, których dane dotyczą, a także informacje w zakresie stosowania w Serwisie Internetowym plików cookies oraz narzędzi analitycznych.
2. Administratorem danych osobowych zbieranych za pośrednictwem Serwisu Internetowego jest Tomasz Kociński prowadzący działalność gospodarczą pod firmą RABATOWE KOTY TOMASZ KOCIŃSKI, wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczypospolitej Polskiej prowadzonej przez ministra właściwego do spraw gospodarki, posiadający: adres miejsca wykonywania działalności i adres do doręczeń: ul. Szlak 77/222, 31-153 Kraków; NIP: 6821727077, REGON: 386562581; adres poczty elektronicznej: kontakt@rabatowekoty.pl — zwany dalej „Administratorem" i będący jednocześnie Usługodawcą Serwisu Internetowego.
3. Dane osobowe w Serwisie Internetowym przetwarzane są przez Administratora zgodnie z obowiązującymi przepisami prawa, w szczególności zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) — zwane dalej „RODO" lub „Rozporządzenie RODO". Oficjalny tekst Rozporządzenia RODO: eur-lex.europa.eu
4. Korzystanie ze Serwisu Internetowego, w tym zawieranie umów jest dobrowolne. Podobnie związane z tym podanie danych osobowych przez korzystającego ze Serwisu Internetowego Usługobiorcę jest dobrowolne, z zastrzeżeniem dwóch wyjątków:
   • (1) zawieranie umów z Administratorem — niepodanie w przypadkach i w zakresie wskazanym na stronie Serwisu Internetowego oraz w Regulaminie Serwisu Internetowego i niniejszej polityce prywatności danych osobowych niezbędnych do zawarcia i wykonania umowy o świadczenie Usługi Elektronicznej z Administratorem skutkuje brakiem możliwości zawarcia tejże umowy. Podanie danych osobowych jest w takim wypadku wymogiem umownym i jeżeli osoba, które dane dotyczą chce zawrzeć daną umowę z Administratorem, to jest zobowiązana do podania wymaganych danych. Każdorazowo zakres danych wymaganych do zawarcia umowy wskazany jest uprzednio na stronie Serwisu Internetowego oraz w Regulaminie Serwisu Internetowego;
   • (2) obowiązki ustawowe Administratora — podanie danych osobowych jest wymogiem ustawowym wynikającym z powszechnie obowiązujących przepisów prawa nakładających na Administratora obowiązek przetwarzania danych osobowych (np. przetwarzanie danych w celu prowadzenia ksiąg podatkowych lub rachunkowych) i brak ich podania uniemożliwi Administratorowi wykonanie tychże obowiązków.
5. Administrator dokłada szczególnej staranności w celu ochrony interesów osób, których przetwarzane przez niego dane osobowe dotyczą, a w szczególności jest odpowiedzialny i zapewnia, że zbierane przez niego dane są: (1) przetwarzane zgodnie z prawem; (2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; (3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; (4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania oraz (5) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
6. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Administrator stosuje środki techniczne zapobiegające pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną.
7. Administrator informuje, że nie powołał Inspektora Ochrony Danych (IOD), gdyż zgodnie z art. 37 Rozporządzenia RODO powołanie IOD nie jest w aktualnej skali działalności Administratora obowiązkowe. Wszelkie sprawy związane z ochroną danych osobowych obsługiwane są bezpośrednio przez Administratora pod adresem poczty elektronicznej kontakt@rabatowekoty.pl. IOD zostanie powołany niezwłocznie w razie zaistnienia obowiązku prawnego.
8. Serwis przeznaczony jest dla osób, które ukończyły 16. rok życia, zgodnie z art. 8 Rozporządzenia RODO oraz przepisami ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Administrator nie przetwarza świadomie danych osobowych osób poniżej 16. roku życia. W przypadku powzięcia przez Administratora wiarygodnej informacji o tym, że dane osobowe osoby poniżej 16. roku życia zostały zebrane bez wymaganej zgody jej przedstawiciela ustawowego, dane te zostaną niezwłocznie usunięte z systemów informatycznych Administratora.
9. Wszelkie słowa, wyrażenia i akronimy występujące w niniejszej polityce prywatności i rozpoczynające się dużą literą (np. Usługodawca, Serwis Internetowy, Usługa Elektroniczna) należy rozumieć zgodnie z ich definicją zawartą w Regulaminie Serwisu Internetowego dostępnym na stronach Serwisu Internetowego.

2) PODSTAWY PRZETWARZANIA DANYCH

1. Administrator uprawniony jest do przetwarzania danych osobowych w przypadkach, gdy — i w takim zakresie, w jakim — spełniony jest co najmniej jeden z poniższych warunków:
   • (1) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
   • (2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
   • (3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze;
   • (4) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
2. Przetwarzanie danych osobowych przez Administratora wymaga każdorazowo zaistnienia co najmniej jednej z podstaw wskazanych w pkt. 2.1 polityki prywatności. Konkretne podstawy przetwarzania danych osobowych Usługobiorców Serwisu Internetowego przez Administratora są wskazane w kolejnym punkcie polityki prywatności — w odniesieniu do danego celu przetwarzania danych osobowych przez Administratora.

3) CEL, PODSTAWA I OKRES PRZETWARZANIA DANYCH W SERWISIE INTERNETOWYM

Administrator może przetwarzać dane osobowe w ramach Serwisu Internetowego w następujących celach, na podstawach oraz w okresach wskazanych w poniższej tabeli.

Niezależnie od danych wskazanych w tabeli przetwarzania, o której mowa w pkt 3.2 niniejszej Polityki, Administrator przetwarza dane osobowe w następujących dodatkowych zakresach i na następujących podstawach prawnych:

• (i) dane lokalizacyjne w trybie przybliżonym — przybliżona lokalizacja w postaci nazwy miasta lub dzielnicy, ustawiana ręcznie przez Usługobiorcę; cel: wyświetlanie rabatów dostępnych w okolicy Usługobiorcy oraz targetowanie powiadomień lokalnych; podstawa prawna: art. 6 ust. 1 lit. b Rozporządzenia RODO (wykonanie umowy);
• (ii) dane lokalizacyjne w trybie precyzyjnym (GPS) — dokładna lokalizacja geograficzna urządzenia Usługobiorcy; cel: wyświetlanie mapy interaktywnej i rabatów w bezpośrednim otoczeniu Usługobiorcy; podstawa prawna: art. 6 ust. 1 lit. a Rozporządzenia RODO (zgoda — odrębna od zgody na tryb przybliżony, wyrażana poprzez systemowy komunikat przeglądarki lub systemu operacyjnego); okres przechowywania: do momentu cofnięcia zgody lub usunięcia konta;
• (iii) dane programu poleceń — kod polecający przypisany do konta Usługobiorcy, liczba skutecznych poleceń, historia zgromadzonych punktów poleceniowych oraz historia wymian w ramach mechanizmu Koci Kantor; cel: realizacja programu poleceń; podstawa prawna: art. 6 ust. 1 lit. b Rozporządzenia RODO (wykonanie umowy); okres przechowywania: przez czas trwania umowy o korzystanie z Konta, a po jej zakończeniu przez okres wynikający z przepisów dotyczących przedawnienia roszczeń.

Administrator przetwarza dane osobowe w następujących dodatkowych celach związanych z usługami cyfrowymi świadczonymi za pośrednictwem Serwisu:

4) ODBIORCY DANYCH W SERWISIE INTERNETOWYM

1. Dla prawidłowego funkcjonowania Serwisu Internetowego, w tym dla realizacji zawieranych Umów Sprzedaży konieczne jest korzystanie przez Administratora z usług podmiotów zewnętrznych (takich jak np. dostawca oprogramowania, kurier, czy podmiot obsługujący płatności). Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi Rozporządzenia RODO i chroniło prawa osób, których dane dotyczą.
2. Dane osobowe mogą być przekazywane przez Administratora do państwa trzeciego poza Europejski Obszar Gospodarczy (EOG). Administrator zapewnia, że w każdym takim przypadku transfer danych odbywa się na podstawie odpowiednich zabezpieczeń prawnych, w szczególności standardowych klauzul umownych w wersji zatwierdzonej decyzją Komisji Europejskiej z dnia 4 czerwca 2021 r. (SCC), o których mowa w art. 46 ust. 2 lit. c Rozporządzenia RODO, uzupełnionych o dodatkowe środki techniczne i organizacyjne właściwe dla danego podprocesora. W odniesieniu do każdego transferu danych poza EOG Administrator przeprowadza ocenę ryzyka (Transfer Impact Assessment — TIA) zgodnie z wytycznymi Europejskiej Rady Ochrony Danych z dnia 18 czerwca 2021 r. (Wytyczne 05/2021) i wdraża dodatkowe środki techniczne i organizacyjne w razie stwierdzenia ryzyka dla praw i wolności osób, których dane dotyczą. Do podmiotów, których dane są przekazywane poza EOG, należą w szczególności: Supabase Inc. (USA) — hostingodawca infrastruktury chmurowej; Mapbox, Inc. (USA) — dostawca usług mapowych; Google LLC (USA) — w związku z korzystaniem z Google Analytics 4; Stripe, Inc. (USA) — w zakresie, w jakim jako spółka powiązana z Stripe Payments Europe, Limited może uzyskiwać dostęp do danych transakcyjnych; a także serwery Amazon Web Services (AWS) zlokalizowane poza EOG, na których Hotjar przechowuje dane analityczne. W każdym z wymienionych przypadków transfer danych odbywa się na podstawie standardowych klauzul umownych (SCC) w wersji zatwierdzonej decyzją Komisji Europejskiej z dnia 4 czerwca 2021 r., uzupełnionych o dodatkowe środki techniczne i organizacyjne właściwe dla danego podmiotu.
3. Przekazanie danych przez Administratora nie następuje w każdym wypadku i nie do wszystkich wskazanych w polityce prywatności odbiorców lub kategorii odbiorców — Administrator przekazuje dane wyłącznie wtedy, gdy jest to niezbędne do realizacji danego celu przetwarzania danych osobowych i tylko w zakresie niezbędnym do jego zrealizowania.
4. Dane osobowe Usługobiorców Serwisu Internetowego mogą być przekazywane następującym odbiorcom lub kategoriom odbiorców:
   • podmioty obsługujące płatności elektroniczne lub kartą płatniczą — w przypadku Usługobiorcy, który korzysta w Serwisie Internetowym ze sposobu płatności elektronicznych lub kartą płatniczą Administrator udostępnia zebrane dane osobowe Usługobiorcy wybranemu podmiotowi obsługującemu powyższe płatności w Serwisie Internetowym na zlecenie Administratora w zakresie niezbędnym do obsługi płatności realizowanej przez Usługobiorcę.
   • dostawcy usług zaopatrujący Administratora w rozwiązania techniczne, informatyczne oraz organizacyjne, umożliwiające Administratorowi prowadzenie działalności gospodarczej, w tym Serwisu Internetowego i świadczonych za jego pośrednictwem Usług Elektronicznych (w szczególności dostawcy oprogramowania komputerowego do prowadzenia Serwisu Internetowego, dostawcy poczty elektronicznej i hostingu oraz dostawcy oprogramowania do zarządzania firmą i udzielania pomocy technicznej Administratorowi) — Administrator udostępnia zebrane dane osobowe Usługobiorcy wybranemu dostawcy działającemu na jego zlecenie jedynie w przypadku oraz w zakresie niezbędnym do zrealizowania danego celu przetwarzania danych zgodnego z niniejszą polityką prywatności.
   • dostawcy usług księgowych, prawnych i doradczych zapewniający Administratorowi wsparcie księgowe, prawne lub doradcze (w szczególności biuro księgowe, kancelaria prawna lub firma windykacyjna) — Administrator udostępnia zebrane dane osobowe Usługobiorcy wybranemu dostawcy działającemu na jego zlecenie jedynie w przypadku oraz w zakresie niezbędnym do zrealizowania danego celu przetwarzania danych zgodnego z niniejszą polityką prywatności.

5) OCHRONA DANYCH PRZEDSIĘBIORCÓW — PRZETWARZANIE DANYCH W RAMACH PLANÓW FIRMOWYCH

1. W przypadku rejestracji i korzystania z Planu Firmowego przez Usługobiorcę będącego przedsiębiorcą, spółką lub innym podmiotem niebędącym osobą fizyczną, Administrator przetwarza dane osobowe osób fizycznych reprezentujących dany podmiot lub wskazanych jako osoby do kontaktu.
2. W ramach Planu Firmowego Administrator przetwarza następujące kategorie danych dotyczących reprezentanta lub osoby zakładającej konto firmowe: imię i nazwisko, adres poczty elektronicznej, numer telefonu kontaktowego oraz dane uwierzytelniające do konta.
3. W ramach Planu Firmowego Administrator przetwarza następujące dane rejestrowe Firmy: pełna nazwa firmy, numer identyfikacji podatkowej (NIP), numer REGON, adres prowadzenia działalności, kategoria branżowa oraz inne dane wprowadzone przez Firmę do Panelu Firmowego.
4. Dane rejestrowe Firmy, obejmujące nazwę, adres i numer REGON, pobierane są automatycznie z rejestru Głównego Urzędu Statystycznego (GUS) na podstawie numeru NIP podanego przez Firmę w procesie rejestracji, zgodnie z pkt 5.4 Regulaminu; podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. b Rozporządzenia RODO (niezbędność do wykonania umowy) oraz art. 6 ust. 1 lit. c Rozporządzenia RODO (obowiązek prawny weryfikacji tożsamości kontrahenta).
5. W ramach Planu Firmowego Administrator przetwarza dane dotyczące aktywności Firmy w Serwisie, obejmujące dane publikowanych rabatów (tytuł, opis, lokalizacja, warunki, procentowa wartość obniżki, cena przed i po obniżce), historię subskrypcji biznesowej (wybrany wariant planu, okresy rozliczeniowe, historia płatności) oraz dane statystyczne dotyczące realizacji rabatów przez Usługobiorców, w zakresie niezbędnym do realizacji umowy; podstawa prawna: art. 6 ust. 1 lit. b Rozporządzenia RODO.
6. W przypadku skorzystania przez Firmę z funkcji zarządzania zespołem, Administrator przetwarza dane osobowe osób zaproszonych przez Firmę do zarządzania Panelem Firmowym (pracownicy lub współpracownicy Firmy), obejmujące adres poczty elektronicznej oraz przypisaną rolę w systemie (administrator, moderator, przeglądający); Firma jest administratorem danych swoich pracowników i współpracowników w rozumieniu Rozporządzenia RODO i ponosi pełną odpowiedzialność za zgodność z prawem ich przetwarzania w relacji z tymi osobami; Administrator Serwisu jest w tym zakresie podmiotem przetwarzającym działającym na zlecenie Firmy.
7. Dane osobowe przetwarzane w ramach Planu Firmowego przechowywane są przez czas obowiązywania umowy o korzystanie z Planu Firmowego, a po jej zakończeniu przez okres wynikający z obowiązujących przepisów prawa podatkowego i rachunkowego (co do zasady 5 lat od końca roku podatkowego, w którym dokonano ostatniej płatności) oraz przez okres przedawnienia ewentualnych roszczeń.

6) GRYWALIZACJA, PERSONALIZACJA OFERT I PROGRAM POLECEŃ

1. W Serwisie funkcjonuje system grywalizacji (dalej jako: „System PRK"), w ramach którego Administrator przetwarza dane o aktywności Usługobiorcy, obejmujące w szczególności: liczbę i historię przesunięć (swipe'ów) w widoku ofert, punkty PRK (Rabatowe Koty Points) zgromadzone na koncie Usługobiorcy, historię aktywności dziennej (logowania), historię wystawionych opinii, historię zrealizowanych rabatów, statusy i atrybuty wirtualnego kota przypisanego do konta Usługobiorcy (rasa, poziom ewolucji, wskaźnik szczęścia) oraz przyznane odznaki i statusy.
2. Dane, o których mowa w pkt 7.1, przetwarzane są w celu realizacji umowy o korzystanie z Konta, w tym umożliwienia Usługobiorcy udziału w Systemie PRK, na podstawie art. 6 ust. 1 lit. b Rozporządzenia RODO; dane te przechowywane są przez czas trwania umowy o korzystanie z Konta, a po jej zakończeniu przez okres niezbędny do rozpatrzenia ewentualnych roszczeń.
3. W Serwisie stosowany jest algorytm sortowania ofert rabatowych (Koci Optymalizator), który wyświetla Usługobiorcy oferty w kolejności wynikającej z dwóch parametrów: odległości od lokalizacji Usługobiorcy oraz wybranych przez niego kategorii zainteresowań; algorytm ten stanowi personalizację widoku w rozumieniu technicznym i nie stanowi profilowania ani zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 Rozporządzenia RODO, ponieważ nie wywołuje wobec Usługobiorcy skutków prawnych ani nie wpływa na niego w podobnie istotny sposób.
4. Administrator informuje, że w Serwisie nie są podejmowane zautomatyzowane decyzje w rozumieniu art. 22 ust. 1 Rozporządzenia RODO, tzn. decyzje opierające się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołujące wobec Usługobiorcy skutki prawne lub w podobny sposób istotnie na niego wpływające.
5. Usługobiorca ma prawo wniesienia w dowolnym momencie sprzeciwu wobec personalizacji widoku ofert poprzez dezaktywację udostępniania lokalizacji w ustawieniach konta lub w ustawieniach przeglądarki; wniesienie sprzeciwu skutkuje wyświetlaniem ofert w kolejności domyślnej, bez uwzględnienia kryterium odległości.
6. W ramach Programu Poleceń Administrator przetwarza dane obejmujące: unikalny kod polecający przypisany do konta Usługobiorcy, liczbę i historię skutecznych poleceń, zgromadzone punkty poleceniowe oraz historię operacji wymiany punktów poleceniowych na PRK w ramach mechanizmu Koci Kantor; podstawa prawna przetwarzania: art. 6 ust. 1 lit. b Rozporządzenia RODO (wykonanie umowy — realizacja Programu Poleceń); dane przechowywane są przez czas trwania umowy o korzystanie z Konta.

7) POWIADOMIENIA PUSH

1. Serwis może kierować do Usługobiorcy powiadomienia push za pośrednictwem przeglądarki internetowej lub systemu operacyjnego urządzenia mobilnego. Administrator rozróżnia dwie kategorie powiadomień push, różniące się podstawą prawną przetwarzania danych.
2. Powiadomienia push o charakterze technicznym i transakcyjnym — obejmujące w szczególności: informacje o statusie konta, potwierdzenia realizacji rabatów, informacje o zmianach w Regulaminie lub Polityce Prywatności, alerty dotyczące bezpieczeństwa konta — przetwarzane są na podstawie art. 6 ust. 1 lit. b Rozporządzenia RODO (niezbędność do wykonania umowy) i nie wymagają odrębnej zgody Usługobiorcy; mogą być jednak wyłączone przez Usługobiorcę w ustawieniach konta.
3. Powiadomienia push o charakterze marketingowym — obejmujące w szczególności: informacje o nowych rabatach w okolicy Usługobiorcy, oferty specjalne, informacje o akcjach promocyjnych — wysyłane są wyłącznie na podstawie odrębnej, dobrowolnej i uprzedniej zgody Usługobiorcy, wyrażonej poprzez akceptację systemowego komunikatu przeglądarki lub systemu operacyjnego z zapytaniem o zezwolenie na wysyłanie powiadomień, zgodnie z art. 398 ustawy z dnia 12 maja 2022 r. — Prawo Komunikacji Elektronicznej (Dz.U. z 2022 r. poz. 1933 z późn. zm.) w zw. z art. 6 ust. 1 lit. a Rozporządzenia RODO.
4. Zgoda na powiadomienia push o charakterze marketingowym może być cofnięta w dowolnym momencie bez podania przyczyny i bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem, poprzez zmianę ustawień powiadomień w profilu Usługobiorcy lub zmianę ustawień przeglądarki albo systemu operacyjnego. Cofnięcie zgody skutkuje natychmiastowym zaprzestaniem wysyłania powiadomień push o charakterze marketingowym.
5. Serwis korzysta z technologii Progressive Web App (PWA), w ramach której na urządzeniu Usługobiorcy instalowany jest Service Worker odpowiedzialny za przechowywanie w pamięci podręcznej (cache) zasobów statycznych, w szczególności plików aplikacji, w celu zapewnienia szybszego ładowania Serwisu oraz możliwości jego częściowego działania w trybie offline. Dane przechowywane przez Service Worker w ramach pamięci podręcznej urządzenia nie zawierają danych osobowych Usługobiorcy i nie są przekazywane do Administratora ani podmiotów trzecich. Service Worker jest oddzielnym mechanizmem od plików cookies i nie jest objęty zakresem banera zarządzania zgodami na pliki cookies, o którym mowa w pkt 12.8 niniejszej Polityki.

8) DANE ZAGREGOWANE I RAPORTY B2B INSIGHTS

1. W Serwisie generowane są zanonimizowane raporty rynkowe (dalej jako: „B2B Insights") udostępniane Firmom korzystającym z Planu Firmowego. Raporty te sporządzane są z zastosowaniem minimalnego progu agregacji wynoszącego 50 (pięćdziesiąt) rekordów, co skutkuje tym, że żaden indywidualny Usługobiorca nie może zostać zidentyfikowany na ich podstawie.
2. Dane udostępniane w ramach B2B Insights stanowią dane zanonimizowane w rozumieniu Motywu 26 Rozporządzenia RODO, tj. informacje, które nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a tym samym nie stanowią danych osobowych i nie podlegają przepisom Rozporządzenia RODO.
3. Raporty B2B Insights obejmują wyłącznie zagregowane dane dotyczące aktywności Usługobiorców w Serwisie w kontekście ofert danej Firmy, takie jak liczba wyświetleń, wskaźniki konwersji, trendy tygodniowe i inne wskaźniki efektywności — wyłącznie dla ofert tej konkretnej Firmy; Firma nie ma dostępu do jakichkolwiek danych dotyczących innych Firm ani do danych umożliwiających identyfikację indywidualnych Usługobiorców.
4. Dane zagregowane stanowiące podstawę raportów B2B Insights mogą być przez Administratora komercjalizowane; dane te nie zawierają żadnych informacji o konkretnych osobach fizycznych i nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 Rozporządzenia RODO.
5. Surowe dane analityczne, przed ich agregacją i anonimizacją, przechowywane są przez okres nieprzekraczający 90 (dziewięćdziesięciu) dni od daty ich zebrania, po czym podlegają trwałej anonimizacji i są dalej przetwarzane wyłącznie w formie zagregowanej, nieidentyfikowalnej.

9) ODCISK URZĄDZENIA (DEVICE FINGERPRINTING)

1. W celu ochrony integralności Serwisu przed nadużyciami Administrator zbiera i przetwarza tzw. odcisk urządzenia (device fingerprint), tj. zestaw technicznych cech urządzenia i przeglądarki Usługobiorcy, obejmujący w szczególności: dane o przeglądarce internetowej i jej wersji, rozdzielczość ekranu, zainstalowane wtyczki, strefę czasową oraz inne parametry techniczne, które łącznie tworzą unikalny identyfikator urządzenia.
2. Dane, o których mowa w pkt 10.1, przetwarzane są wyłącznie w następujących celach: (i) zabezpieczenie przed wielokrotną rejestracją z tego samego urządzenia w celu obejścia ograniczeń Serwisu; (ii) wykrywanie i zapobieganie nadużyciom w Programie Poleceń, w szczególności sztucznego generowania poleceń przez jedną osobę przy użyciu wielu kont lub urządzeń; (iii) ogólna ochrona przed nieuprawnionym dostępem i oszustwami.
3. Podstawą prawną przetwarzania danych, o których mowa w pkt 9.1, jest art. 6 ust. 1 lit. f Rozporządzenia RODO — prawnie uzasadniony interes Administratora polegający na ochronie Serwisu przed nadużyciami i zapewnieniu uczciwości Programu Poleceń; przetwarzanie to jest niezbędne do realizacji tego uzasadnionego interesu i nie narusza w sposób nieproporcjonalny praw i wolności Usługobiorców, zważywszy na zakres zbieranych danych (wyłącznie dane techniczne, niebiomedyczne) oraz cel ich przetwarzania.
4. Dane odcisku urządzenia przechowywane są przez okres nie dłuższy niż 12 (dwanaście) miesięcy od daty ich zebrania. Usługobiorca ma prawo wniesienia sprzeciwu wobec tego przetwarzania na zasadach określonych w pkt 11. niniejszej Polityki; wniesienie skutecznego sprzeciwu skutkuje usunięciem danych odcisku urządzenia, przy czym może to wiązać się z ograniczeniem dostępu do niektórych funkcjonalności Serwisu w celu ochrony jego integralności.

10) PROFILOWANIE W SERWISIE INTERNETOWYM

1. Rozporządzenie RODO nakłada na Administratora obowiązek informowania o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 Rozporządzenia RODO, oraz — przynajmniej w tych przypadkach — istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Mając to na uwadze Administrator podaje w tym punkcie polityki prywatności informacje dotyczące możliwego profilowania.
2. Administrator może korzystać w Serwisie z mechanizmów personalizacji widoku ofert, których celem jest ułatwienie Usługobiorcy odnalezienia rabatów odpowiadających jego lokalizacji i zainteresowaniom. Mechanizmy te polegają na sortowaniu wyświetlanych ofert według kryteriów odległości od lokalizacji Usługobiorcy oraz wybranych przez niego kategorii zainteresowań, a także na przyznawaniu nagród w Systemie PRK na podstawie aktywności Usługobiorcy w Serwisie. Mechanizmy te nie stanowią zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 ust. 1 Rozporządzenia RODO, ponieważ nie wywołują wobec Usługobiorcy skutków prawnych ani nie wpływają na niego w podobnie istotny sposób.
3. Personalizacja widoku ofert w Serwisie polega na automatycznym sortowaniu listy dostępnych rabatów według następujących kryteriów: (i) odległości od lokalizacji Usługobiorcy — przy czym odległość obliczana jest na podstawie lokalizacji ustawionej przez Usługobiorcę ręcznie lub udostępnionej przez niego jako lokalizacja GPS, wyłącznie po udzieleniu przez niego stosownej zgody opisanej w pkt 3.3 lit. (ii) niniejszej Polityki; (ii) wybranych przez Usługobiorcę kategorii zainteresowań — na podstawie preferencji wskazanych w ustawieniach konta; (iii) aktywności w Systemie PRK — w zakresie przyznawania nagród punktowych na podstawie zrealizowanych działań Usługobiorcy, takich jak zrealizowane rabaty, aktywność dzienna i wystawione opinie. Żadne z powyższych kryteriów nie prowadzi do podejmowania zautomatyzowanych decyzji wywierających skutki prawne wobec Usługobiorcy.
4. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

11) PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

1. Prawo dostępu, sprostowania, ograniczenia, usunięcia lub przenoszenia — osoba, której dane dotyczą, ma prawo żądania od Administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia („prawo do bycia zapomnianym") lub ograniczenia przetwarzania oraz ma prawo do wniesienia sprzeciwu wobec przetwarzania, a także ma prawo do przenoszenia swoich danych. Szczegółowe warunki wykonywania wskazanych wyżej praw wskazane są w art. 15-21 Rozporządzenia RODO.
2. Prawo do cofnięcia zgody w dowolnym momencie — osoba, której dane przetwarzane są przez Administratora na podstawie wyrażonej zgody (na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) Rozporządzenia RODO), to ma ona prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
3. Prawo wniesienia skargi do organu nadzorczego — osoba, której dane przetwarzane są przez Administratora, ma prawo wniesienia skargi do organu nadzorczego w sposób i trybie określonym w przepisach Rozporządzenia RODO oraz prawa polskiego, w szczególności ustawy o ochronie danych osobowych. Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.
4. Prawo do sprzeciwu — osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw — z przyczyn związanych z jej szczególną sytuacją — wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) (interes lub zadania publiczne) lub f) (prawnie uzasadniony interes administratora), w tym profilowania na podstawie tych przepisów. Administratorowi w takim przypadku nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
5. Prawo do sprzeciwu dot. marketingu bezpośredniego — jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
6. W celu realizacji uprawnień, o których mowa w niniejszym punkcie polityki prywatności można kontaktować się z Administratorem poprzez przesłanie stosownej wiadomości pisemnie lub pocztą elektroniczną na adres Administratora wskazany na wstępie polityki prywatności lub korzystając z formularza kontaktowego dostępnego na stronie Serwisu Internetowego.
7. Usługobiorca ma prawo do usunięcia swojego konta w Serwisie w dowolnym momencie bez podania przyczyny, poprzez skorzystanie z dedykowanej funkcji dostępnej w ustawieniach profilu; usunięcie konta skutkuje anonimizacją danych osobowych Usługobiorcy w ciągu 30 (trzydziestu) dni od złożenia żądania, z wyjątkiem danych, które Administrator jest zobowiązany przechowywać przez okres wynikający z bezwzględnie obowiązujących przepisów prawa (w szczególności przepisów podatkowych i rachunkowych). Usługobiorca ma prawo do przenoszenia swoich danych osobowych (art. 20 Rozporządzenia RODO), tj. do otrzymania danych dostarczonych Administratorowi, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, oraz do żądania przesłania tych danych innemu administratorowi; eksport danych osobowych możliwy jest z poziomu ustawień konta Usługobiorcy.

12) COOKIES W SERWISIE INTERNETOWYM I ANALITYKA

1. Pliki Cookies (ciasteczka) są to niewielkie informacje tekstowe w postaci plików tekstowych, wysyłane przez serwer i zapisywane po stronie osoby odwiedzającej stronę Serwisu Internetowego (np. na dysku twardym komputera, laptopa, czy też na karcie pamięci smartfona — w zależności z jakiego urządzenia korzysta odwiedzający nasz Serwis Internetowy). Szczegółowe informacje dot. plików Cookies, a także historię ich powstania można znaleźć m.in. tutaj: https://pl.wikipedia.org/wiki/HTTP_cookie.
2. Administrator może udostępnić na stronie Serwisu Internetowego narzędzie do łatwego i aktywnego zarządzania plikami Cookies — dostępne po pierwszym wejściu na stronę Serwisu Internetowego, a następnie dostępne w stopce na stronie Serwisu Internetowego. Aktywne zarządzanie pozwala między innymi na sprawdzenie jakie pliki Cookie są lub mogą być zapisywane podczas korzystania ze strony Serwisu Internetowego, a także na wybór i późniejszą zmianę zakresu i celów stosowania plików Cookies w odniesieniu do urządzenia i osoby odwiedzającej stronę Serwisu Internetowego. Rozpoczynając korzystanie ze strony Serwisu Internetowego osoba odwiedzająca zostanie poproszona o wybór ustawień dotyczących plików Cookies. Możliwa jest późniejsza ich zmiana poprzez zmianę ustawień w ramach tego narzędzia dostępnego na stronie.
3. Administrator w polityce prywatności przekazuje szereg informacji dotyczących stosowania plików Cookies na stronie Serwisu Internetowego, ich rodzajów i celów stosowania oraz zarządzania nimi z wykorzystaniem np. ustawień przeglądarki internetowej i/lub narzędzia do zarządzania plikami Cookies dostępnego na stronie Serwisu Internetowego. Administrator zachęca do korzystania z narzędzia do zarządzania plikami Cookies dostępnego na stronie Serwisu Internetowego, które pozwala w łatwy sposób aktywnie zarządzać plikami Cookies podczas korzystania ze strony Serwisu Internetowego, a w razie braku jego dostępności do zapoznania się poniższymi informacjami dot. m.in. zarządzania plikami Cookies z poziomu przeglądarki.
4. Pliki Cookies, które mogą być wysyłane przez stronę Serwisu Internetowego można podzielić na różne rodzaje, według następujących kryteriów: ze względu na dostawcę (własne i podmiotów trzecich), okres przechowywania (sesyjne i stałe) oraz cel (niezbędne, analityczne, marketingowe).
5. Administrator może przetwarzać dane zawarte w plikach Cookies podczas korzystania przez odwiedzających ze strony Serwisu Internetowego w następujących konkretnych celach:

   Nazwa / prefiks pliku	Dostawca	Kategoria	Okres przechowywania	Podstawa prawna
   sb-[ID]-auth-token oraz inne pliki z prefiksem sb-	Supabase Inc. (infrastruktura Serwisu)	Niezbędne	Sesyjne (do wylogowania lub zamknięcia przeglądarki)	Art. 6 ust. 1 lit. b RODO — niezbędność do wykonania umowy; zgoda nie jest wymagana
   cookie_consent	Administrator (własny)	Niezbędne	365 dni	Art. 6 ust. 1 lit. c RODO — obowiązek prawny; zgoda nie jest wymagana

6. Sprawdzenie, jakie pliki Cookies są wysyłane w danej chwili przez stronę Serwisu Internetowego, jest możliwe, niezależnie od przeglądarki internetowej, za pomocą narzędzi dostępnych np. na stronie: cookiemetrix.com lub cookie-checker.com.
7. Standardowo większość przeglądarek internetowych dostępnych na rynku domyślnie akceptuje zapisywanie plików Cookies. Każdy ma możliwość określenia warunków korzystania z plików Cookies za pomocą ustawień własnej przeglądarki internetowej. Oznacza to, że można np. częściowo ograniczyć (np. czasowo) lub całkowicie wyłączyć możliwość zapisywania plików Cookies — w tym ostatnim wypadku jednak może to mieć wpływ na niektóre funkcjonalności Serwisu Internetowego.
8. Serwis stosuje granularny mechanizm zarządzania zgodami na pliki cookies, wdrożony w formie banera wyświetlanego Usługobiorcy przy pierwszej wizycie w Serwisie. Baner umożliwia Usługobiorcy wyrażenie zgody oddzielnie dla każdej z następujących kategorii plików cookies: (i) niezbędne — pliki cookies konieczne do prawidłowego funkcjonowania Serwisu, dla których zgoda nie jest wymagana i których nie można wyłączyć; (ii) analityczne — pliki cookies służące do analizy sposobu korzystania z Serwisu, wymagające odrębnej zgody Usługobiorcy; (iii) marketingowe — pliki cookies służące do celów reklamowych i remarketingowych, wymagające odrębnej zgody Usługobiorcy. Usługobiorca może w dowolnym momencie zmienić swoje preferencje dotyczące plików cookies, korzystając z mechanizmu zarządzania zgodami dostępnego w stopce Serwisu, bez uszczerbku dla zgodności z prawem przetwarzania dokonanego przed zmianą preferencji.
9. Ustawienia przeglądarki internetowej w zakresie plików Cookies są istotne z punktu widzenia zgody na korzystanie z plików Cookies przez nasz Serwis Internetowy — zgodnie z przepisami taka zgoda może być również wyrażona poprzez ustawienia przeglądarki internetowej. Szczegółowe informacje na temat zmiany ustawień dotyczących plików Cookies oraz ich samodzielnego usuwania w najpopularniejszych przeglądarkach internetowych dostępne są w dziale pomocy przeglądarki internetowej oraz na poniższych stronach:
   • w przeglądarce Chrome
   • w przeglądarce Firefox
   • w przeglądarce Opera
   • w przeglądarce Safari
   • w przeglądarce Microsoft Edge
10. Administrator może korzystać w Serwisie Internetowym z usług Google Analytics, GA4 dostarczanych przez firmę Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irlandia). Usługi te pomagają Administratorowi prowadzić statystyki i analizować ruch w Serwisie Internetowym. Gromadzone dane przetwarzane są w ramach powyższych usług do generowania statystyk pomocnych w administrowaniu Serwisie Internetowym i analizie ruchu w Serwisie Internetowym. Dane te mają charakter zbiorczy. Administrator korzystając z powyższych usług w Serwisie Internetowym gromadzi takie dane jak źródła i medium pozyskania odwiedzających Serwis Internetowy oraz sposób ich zachowania na stronie Serwisu Internetowego, informacje na temat urządzeń i przeglądarek z których odwiedzają stronę, IP oraz domenę, dane geograficzne oraz dane demograficzne (wiek, płeć) i zainteresowania.
11. Możliwe jest zablokowanie w łatwy sposób przez daną osobę udostępniania do Google Analytics informacji o jej aktywności na stronie Serwisu Internetowego — w tym celu można na przykład zainstalować dodatek do przeglądarki udostępniany przez firmę Google Ireland Ltd. dostępny tutaj: tools.google.com/dlpage/gaoptout.
12. W związku z możliwością korzystania przez Administratora w Serwisie Internetowym z usług reklamowych i analitycznych dostarczanych przez Google Ireland Ltd., Administrator wskazuje, że pełna informacja o zasadach przetwarzania danych osób odwiedzających Serwis Internetowy (w tym informacji zapisanych w plikach Cookies) przez Google Ireland Ltd. znajduje się w polityce prywatności usług Google dostępnej pod adresem internetowym: policies.google.com/technologies/partner-sites.
13. Administrator może korzystać w Serwisie Internetowym z usługi Piksel Meta dostarczanej przez firmę Meta Platforms Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlandia). Usługa ta pomaga Administratorowi mierzyć skuteczność reklam oraz dowiadywać się, jakie działania podejmują odwiedzający Serwis Internetowy, a także wyświetlać tym osobom dopasowane reklamy. Szczegółowe informacje o działaniu Piksela Meta można znaleźć pod następującym adresem internetowym: facebook.com/business/help.
14. Zarządzanie działaniem Piksela Meta jest możliwe poprzez ustawienia reklam w swoim koncie na portalu Facebook.com: facebook.com/ads/preferences.
15. Administrator może korzystać w Serwisie Internetowym z usług Hotjar dostarczanych przez firmę Hotjar Limited (Level 2, St Julian's Business Centre, 3, Elia Zammit Street, St Julian's STJ 1000, Malta). Hotjar jest narzędziem do analizy zachowania użytkowników (behavior analytics), którego celem jest dostarczanie Administratorowi informacji o sposobie, w jaki Usługobiorcy korzystają z Serwisu Internetowego. W ramach usług Hotjar Administrator może korzystać z następujących funkcjonalności: map cieplnych (heatmaps) — agregujących dane dotyczące kliknięć, ruchów kursora i przewijania strony przez wielu użytkowników łącznie; nagrań sesji (session recordings) — rejestrujących anonimowe odtworzenia indywidualnych wizyt w Serwisie, przy czym dane wrażliwe wpisywane w polach formularzy (w szczególności numery kart płatniczych i hasła) są automatycznie maskowane i nie trafiają na serwery Hotjar; a także ankiet i narzędzi do zbierania opinii użytkowników. Administrator korzystając z powyższych usług w Serwisie Internetowym gromadzi takie dane jak: informacje o zachowaniu Usługobiorcy na stronie (ruchy kursora, kliknięcia, przewijanie), informacje o urządzeniu i przeglądarce (typ przeglądarki, system operacyjny, rozdzielczość ekranu), przybliżone dane geograficzne (kraj, region) oraz adres IP, przy czym Hotjar automatycznie usuwa ostatni oktet adresu IP przed zapisaniem. Dane przechowywane na serwerach AWS. Transfer poza EOG na podstawie SCC. Opt-out: hotjar.com/opt-out.

13) POSTANOWIENIA KOŃCOWE

1. Serwis Internetowy może zawierać odnośniki do innych stron internetowych. Administrator namawia by po przejściu na inne strony, zapoznać się z polityką prywatności tam ustaloną. Niniejsza polityka prywatności dotyczy tylko Serwisu Internetowego Administratora.
2. O każdej zmianie niniejszej Polityki Prywatności Administrator poinformuje Usługobiorców z wyprzedzeniem co najmniej 15 (piętnastu) dni przed dniem wejścia w życie zmian, poprzez zamieszczenie komunikatu na stronie Serwisu oraz, w przypadku Usługobiorców posiadających aktywne Konto, poprzez przesłanie stosownej informacji na adres poczty elektronicznej podany przy rejestracji konta. Zmiany wchodzą w życie w terminie wskazanym w komunikacie, nie krótszym niż 15 (piętnaście) dni od dnia powiadomienia, z wyjątkiem przypadków, gdy zmiana wynika z bezwzględnie obowiązującego przepisu prawa nakazującego wprowadzenie zmiany w krótszym terminie.