Polityka prywatności

Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych przez podmiot prowadzący polskojęzyczną stronę internetową Autyzm Dla Każdego oraz świadczący usługi opisane poniżej. Polityka jest zgodna z przepisami RODO (rozporządzenie UE 2016/679) oraz odpowiada wymogom brytyjskiego prawa o ochronie danych osobowych (UK GDPR i DPA 2018). Prosimy o uważne przeczytanie poniższego dokumentu – przedstawia on, jakie dane osobowe zbieramy, w jakim celu je wykorzystujemy, na jakiej podstawie prawnej, komu je udostępniamy, jak długo je przechowujemy, a także jakie prawa przysługują Państwu w związku z przetwarzaniem danych. Wszelkie pytania dotyczące polityki prywatności prosimy kierować na podane na końcu dane kontaktowe.

Uwaga: Korzystając z naszej strony i usług, wyrażają Państwo zgodę na warunki niniejszej Polityki Prywatności. Jeżeli nie akceptują Państwo tych warunków, prosimy o niekorzystanie z serwisu. Polityka może ulegać okresowym zmianom – o istotnych zmianach będziemy informować poprzez serwis, a każda zaktualizowana wersja będzie publikowana z nową datą wejścia w życie.

Informacje o administratorze danych

Administratorem danych osobowych jest Hybrid E-Business Solutions Ltd prowadząca działalność pod nazwą Autyzm Dla Każdego, z siedzibą pod adresem: Office 331, 58 Peregrine Road, Hainault, Ilford, Essex, IG6 3SZ, Wielka Brytania, zarejestrowana w Anglii i Walii pod numerem firmy 13247142. Administrator jest odpowiedzialny za zapewnienie bezpieczeństwa Państwa danych oraz przestrzeganie obowiązujących przepisów o ochronie danych.

W sprawach związanych z ochroną danych osobowych mogą się Państwo kontaktować bezpośrednio z Administratorem:

• Adres korespondencyjny: (jak wyżej) Office 331, 58 Peregrine Road, Ilford IG6 3SZ, UK

• Adres e-mail: kontakt@autyzmdlakazdego.pl (dedykowany do zapytań dotyczących danych osobowych)

Administrator nie powołał inspektora ochrony danych (IOD/DPO), gdyż nie było takiego wymogu w świetle art. 37 RODO/UK GDPR. We wszelkich kwestiach dotyczących niniejszej polityki lub przetwarzania Państwa danych osobowych prosimy kontaktować się bezpośrednio poprzez powyższy adres e-mail.

Zakres i cele przetwarzania danych osobowych

Przetwarzamy Państwa dane osobowe wyłącznie w określonych, zgodnych z prawem celach i w niezbędnym zakresie. Zbieramy różne kategorie danych w zależności od tego, z jakich funkcjonalności strony lub usług Państwo korzystają. Poniżej przedstawiamy główne cele przetwarzania wraz z opisem zakresu danych:

• Sprzedaż produktów cyfrowych i fizycznych oraz realizacja zamówień: Gdy dokonują Państwo zakupu w naszym sklepie internetowym (produkt cyfrowy, np. dostęp do webinaru online, lub produkt fizyczny), przetwarzamy dane niezbędne do realizacji zamówienia. Obejmują one przede wszystkim: imię i nazwisko, adres do wysyłki (w przypadku produktów fizycznych), adres e-mail, numer telefonu (jeśli wymagany do dostawy), dane firmy (NIP, adres działalności – w przypadku potrzeby wystawienia faktury VAT na firmę) oraz szczegóły zamówienia (zamówione produkty, wybrana metoda płatności, kwota transakcji itp.). Dane te wykorzystujemy w celu przyjęcia i potwierdzenia zamówienia, realizacji dostawy produktu fizycznego na wskazany adres lub zapewnienia dostępu do produktu cyfrowego, a także obsługi ewentualnych zwrotów, reklamacji czy odstąpienia od umowy. Podanie tych danych jest dobrowolne, ale niezbędne do zawarcia i wykonania umowy sprzedaży – bez nich nie bylibyśmy w stanie zrealizować Państwa zamówienia.

• Obsługa płatności online: Nasz sklep jest oparty na platformie WooCommerce (WordPress). Płatności za zamówienia obsługiwane są przez zewnętrznego dostawcę płatności Stripe. Przy realizacji transakcji płatniczej, Państwa dane dotyczące płatności (np. numer karty płatniczej, data ważności, kod CVV) nie są przechowywane na naszych serwerach – są przekazywane bezpośrednio za pośrednictwem bezpiecznego połączenia do bramki płatniczej Stripe. My otrzymujemy od Stripe informacje niezbędne do identyfikacji transakcji, takie jak unikalny identyfikator płatności, status transakcji oraz ostatnie cztery cyfry karty (dla celów potwierdzenia płatności). Dane te wykorzystujemy w celu przetworzenia płatności za Państwa zamówienie, weryfikacji dokonania zapłaty oraz ewentualnego dokonania zwrotu środków. Wszystkie wrażliwe informacje finansowe są szyfrowane i zabezpieczone zgodnie ze standardami PCI DSS przez Stripe – nasza witryna korzysta z protokołu SSL/TLS, co zapewnia szyfrowanie transmisji danych podczas procesu płatności. Po zakończeniu transakcji nie przechowujemy pełnych danych karty kredytowej/debetowej na naszych systemach.

• Organizacja spotkań i warsztatów (online i stacjonarnych) dla rodziców dzieci w spektrum autyzmu: Jeżeli zapisują się Państwo na organizowane przez nas wydarzenia, takie jak webinary online, spotkania warsztatowe czy grupy wsparcia (zarówno w formie online, jak i stacjonarnie), przetwarzamy dane niezbędne do rejestracji i organizacji takiego wydarzenia. Zazwyczaj obejmuje to: imię i nazwisko uczestnika, dane kontaktowe (adres e-mail, numer telefonu) oraz ewentualnie dodatkowe informacje organizacyjne (np. preferencje co do terminu, miejsce zamieszkania w celu wskazania najbliższej lokalizacji spotkania stacjonarnego, szczególne potrzeby np. dostępność dla osób niepełnosprawnych, jeśli nas o tym poinformują). Dane te służą nam do rezerwacji miejsca na wydarzeniu, wysyłania przypomnień i informacji organizacyjnych (np. link do spotkania online, adres miejsca spotkania stacjonarnego, materiały szkoleniowe) oraz prowadzenia listy obecności. W przypadku niektórych spotkań tematycznych możemy poprosić o dodatkowe informacje, np. wiek dziecka lub inne szczegóły, jednak podanie takich danych jest zawsze dobrowolne i będzie wyłącznie w zakresie potrzebnym do realizacji danego wydarzenia. Dane uczestników spotkań przechowujemy do czasu zakończenia danego wydarzenia oraz rozliczenia go (np. wysyłki materiałów po szkoleniu), a następnie zgodnie z sekcją o przechowywaniu danych.

• Tworzenie kont użytkownika i forum dla rodziców: Nasza strona umożliwia dobrowolne założenie konta użytkownika – na przykład w celu korzystania z forum dyskusyjnego dla rodziców dzieci w spektrum autyzmu lub dostępu do dodatkowych treści. Zakładając konto, użytkownik podaje co najmniej adres e-mail oraz ustanawia hasło. Opcjonalnie może podać imię/pseudonim lub inne informacje profilowe (np. zdjęcie profilowe, krótką biografię, miasto zamieszkania). Przetwarzamy te dane w celu utworzenia i utrzymania konta, uwierzytelnienia użytkownika przy logowaniu oraz umożliwienia korzystania z funkcjonalności konta (dodawanie postów na forum, komentowanie, przegląd historii zamówień w sklepie, itp.). Treści publikowane przez użytkowników na forum (posty, komentarze, informacje udostępnione na profilu) również stanowią dane, które są przetwarzane w ramach serwisu – publikując je, użytkownik sam decyduje o upublicznieniu określonych informacji. Prosimy o rozwagę przy zamieszczaniu na forum danych osobowych (swoich lub osób trzecich) – forum ma służyć wymianie doświadczeń, ale nie jest właściwym miejscem do ujawniania wrażliwych informacji o stanie zdrowia czy danych szczególnej kategorii. Jako administrator moderujemy treści na forum w celu zapewnienia kulturalnej i zgodnej z regulaminem dyskusji, jednak nie ponosimy odpowiedzialności za dobrowolnie ujawnione przez użytkowników informacje na swój temat. Dane konta (adres e-mail, hasło – zaszyfrowane, informacje profilowe) oraz aktywność na forum wykorzystujemy w celu utrzymania społeczności online, umożliwienia komunikacji między użytkownikami o podobnych doświadczeniach oraz wsparcia rodzin dzieci z ASD.

• Newsletter i marketing e-mailowy: Jeśli zapisali się Państwo do naszego newslettera lub wyrazili zgodę na otrzymywanie informacji marketingowych, będziemy przetwarzać dane kontaktowe, głównie adres e-mail oraz imię (o ile zostało podane), w celu wysyłki wiadomości e-mail z aktualnościami, artykułami, ofertami produktów lub usług oraz informacjami o wydarzeniach organizowanych przez nas. Wysyłka newslettera odbywa się za pomocą platformy MailerLite – Państwa adres e-mail jest przechowywany w bezpiecznej bazie tego dostawcy usług mailingowych. Przetwarzamy dane newsletterowe wyłącznie w celu przesyłania Państwu zamówionych treści (na podstawie zgody, którą można w każdej chwili wycofać). Każdy newsletter zawiera link umożliwiający łatwą rezygnację z subskrypcji. Po wypisaniu się z newslettera, Państwa adres e-mail może być przez pewien czas zachowany w naszej bazie w celu udokumentowania faktu wycofania zgody i obrony przed ewentualnymi roszczeniami (co stanowi nasz prawnie uzasadniony interes, o czym więcej poniżej).

• Obsługa zapytań i komunikacja z użytkownikami: Jeśli skontaktują się Państwo z nami poprzez e-mail, formularz kontaktowy na stronie lub inne kanały komunikacji (np. media społecznościowe), przetwarzamy udostępnione w ten sposób dane (takie jak adres e-mail, imię i nazwisko, numer telefonu – jeśli podany, oraz treść zapytania) w celu udzielenia odpowiedzi i załatwienia sprawy, z którą się Państwo zwracają. Dane te wykorzystujemy wyłącznie do komunikacji z Państwem i rozwiązania przedstawionej kwestii (np. udzielenia informacji o ofercie, wsparcia technicznego w korzystaniu ze strony, przyjęcia opinii lub sugestii, itp.). Po zakończeniu komunikacji dane z korespondencji mogą być archiwizowane przez pewien okres dla celów dowodowych (np. aby móc wykazać treść ustaleń lub naszej odpowiedzi w razie sporów) zgodnie z naszym uzasadnionym interesem.

• Analiza ruchu na stronie i działania marketingowe (pliki cookies, Google Analytics, Meta Pixel): Podczas korzystania z naszej strony internetowej pewne dane są zbierane automatycznie za pośrednictwem plików cookies i podobnych technologii śledzących. Dotyczy to m.in. informacji o urządzeniu i przeglądarce (typ, wersja, ustawienia językowe), adresie IP, identyfikatorze użytkownika (przyznawanym anonimowo), a także aktywności na stronie (odwiedzone podstrony, kliknięte elementy, czas spędzony na stronie). Wykorzystujemy narzędzia analityczne Google Analytics do zbierania statystyk dotyczących korzystania z serwisu oraz narzędzie Meta Pixel (Facebook Pixel) do prowadzenia analiz skuteczności naszych kampanii na Facebooku/Instagramie oraz kierowania spersonalizowanych reklam do odbiorców zainteresowanych naszymi treściami. Dane zbierane przez te narzędzia są w miarę możliwości anonimizowane lub pseudonimizowane (np. Google Analytics anonimizuje ostatnie oktety adresu IP, dostarcza dane zbiorcze dot. ruchu). Informacje te wykorzystujemy w celach statystycznych i analitycznych – aby lepiej zrozumieć, w jaki sposób użytkownicy korzystają z naszej strony, które treści cieszą się największym zainteresowaniem, a także by poprawiać funkcjonalność serwisu i dopasowywać oferowane treści oraz produkty do potrzeb użytkowników. Ponadto dzięki Pixelowi Meta możemy kierować nasze reklamy do odpowiednich grup (np. do osób, które odwiedziły naszą stronę lub dodały produkt do koszyka, ale nie sfinalizowały zakupu) – te działania marketingowe realizujemy jednak wyłącznie w odniesieniu do naszych własnych usług i społeczności, nie udostępniając przy tym danych indywidualnych żadnym zewnętrznym reklamodawcom. Szczegółowe informacje o plikach cookies i możliwościach zarządzania nimi opisujemy w sekcji “Pliki cookies i technologie śledzące” poniżej.

• Utrzymanie bezpieczeństwa serwisu i zapobieganie nadużyciom: Dla ochrony naszego serwisu i użytkowników, możemy przetwarzać również dane techniczne w logach systemowych, takie jak adresy IP urządzeń łączących się z serwisem, znaczniki czasu dostępu, informacje o zdarzeniach bezpieczeństwa (np. próby nieautoryzowanego logowania, naruszenia regulaminu forum). Dane te są wykorzystywane wyłącznie w celu monitorowania poprawnego działania strony, diagnozowania ewentualnych problemów technicznych, zapewnienia bezpieczeństwa IT (np. ochrony przed atakami typu DDoS, włamaniami) oraz wykrywania i przeciwdziałania działaniom niezgodnym z prawem lub regulaminem (np. blokowanie adresów IP, z których prowadzony jest spam na forum). Podstawą takiego przetwarzania jest nasz prawnie uzasadniony interes polegający na zapewnieniu integralności i bezpieczeństwa usług.

• Wypełnianie obowiązków prawnych i dochodzenie roszczeń: W pewnych sytuacjach przetwarzanie danych jest wymagane przepisami prawa lub niezbędne do ustalenia i obrony naszych praw. Na przykład, przepisy o rachunkowości i podatkach zobowiązują nas do przechowywania dokumentacji sprzedaży (faktur, rachunków) zawierającej dane kupujących przez określony przepisami okres. Możemy również przechowywać minimalny zakres danych o transakcjach, korespondencji czy zdarzeniach w serwisie, jeżeli jest to potrzebne do ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami (np. dane o zawartej umowie i jej realizacji do czasu przedawnienia roszczeń cywilnoprawnych, historię komunikacji z użytkownikiem w razie sporu co do zakresu udzielonej informacji itp.). Takie przetwarzanie odbywa się tylko w wymaganym zakresie i czasie, o czym więcej w sekcji “Zasady przechowywania danych”, i wynika z obowiązku prawnego ciążącego na Administratorze lub stanowi nasz uzasadniony interes prawny.

• Patronat projektu

  Dane osobowe mogą być przetwarzane w celu obsługi patronatu projektu „Autyzm Dla Każdego”, w tym:

  – realizacji płatności patronackich,
  – prowadzenia komunikacji projektowej z patronami,
  – zarządzania statusem patrona (miesięczny / roczny),
  – realizacji obowiązków księgowych i podatkowych.

• W ramach patronatu przetwarzane mogą być następujące dane:

  – imię i nazwisko,
  – adres e-mail,
  

  – dane płatnicze (przetwarzane przez operatora płatności),
  

  – informacje o statusie patronatu (miesięczny / roczny),
  – historia wsparcia projektu.

• Operator płatności

  Płatności patronackie realizowane są za pośrednictwem Stripe Payments Europe, Ltd. Dane płatnicze przetwarzane są wyłącznie przez operatora płatności i nie są przechowywane na serwerach Administratora.

Zakres zbieranych danych osobowych zawsze ograniczamy do minimum niezbędnego do osiągnięcia danych celów. Nie wymagamy podawania danych nadmiarowych w stosunku do potrzeb danej usługi. Informujemy również, że podanie jakichkolwiek danych w naszym serwisie jest co do zasady dobrowolne, jednak brak pewnych informacji może uniemożliwić skorzystanie z danej usługi (np. bez adresu e-mail nie założą Państwo konta ani nie otrzymają dostępu do webinaru, a bez adresu dostawy nie wyślemy produktu fizycznego).

Podstawa prawna przetwarzania danych

Przetwarzamy Państwa dane osobowe w oparciu o prawnie dopuszczalne podstawy, zgodnie z art. 6 RODO (oraz odpowiadającymi im przepisami UK GDPR). W zależności od celu przetwarzania, podstawą legalności operacji jest jedna z poniższych przesłanek:

• Niezbędność do wykonania umowy lub podjęcia działań przed zawarciem umowy (art. 6 ust. 1 lit. b RODO): Ta podstawa ma zastosowanie, gdy przetwarzanie Państwa danych jest niezbędne do realizacji usług, które Państwo zamówili lub oczekują. Dotyczy to przede wszystkim: obsługi procesu zakupowego w sklepie (przyjmowanie i realizacja zamówień na produkty fizyczne i cyfrowe), obsługi płatności oraz dostawy, a także rejestracji na wydarzenia (spotkania, webinary) i umożliwienia udziału w nich. Również utworzenie i utrzymanie konta użytkownika oraz dostęp do forum dla zarejestrowanych użytkowników traktujemy jako usługi świadczone drogą elektroniczną – przetwarzanie danych (jak adres e-mail, niezbędny do utworzenia konta) jest konieczne do wykonania umowy o świadczenie tych usług (akceptacja regulaminu podczas rejestracji stanowi zawarcie takiej umowy o konto). Innymi słowy, wszelkie sytuacje, w których przetwarzanie danych wynika bezpośrednio z Państwa prośby/składanej dyspozycji (np. złożenie zamówienia, założenie konta, zapis na wydarzenie), opieramy na tej podstawie. Podanie danych w tych wypadkach jest wymogiem umownym – konsekwencją niepodania danych będzie niemożność realizacji danej usługi lub transakcji.

• Zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO): O zgodę prosimy w sytuacjach, gdy chcemy przetwarzać dane w celach wykraczających poza wykonanie umowy lub nasz uzasadniony interes, a prawo tego wymaga. Przykładowo, podstawą prawną jest zgoda przy zapisaniu się do newslettera (podanie e-maila i zaznaczenie chęci otrzymywania wiadomości – w każdej chwili mogą Państwo tę zgodę wycofać). Podobnie, jeżeli w ramach rejestracji na wydarzenie pytamy o dodatkowe dane opcjonalne (np. informacje o dziecku), wyraźnie prosimy o ich podanie wyłącznie za Państwa zgodą – nie są one konieczne do samego udziału, a służą np. lepszemu dostosowaniu programu spotkania. Również w zakresie plików cookies i technologii marketingowych na stronie – podczas pierwszej wizyty pytamy o zgodę na wykorzystanie niektórych cookies (poza niezbędnymi technicznie). Państwa wybór wyrażony poprzez baner cookies (akceptacja lub odmowa niektórych kategorii) stanowi podstawę legalizującą np. działanie Pixel Meta czy analityki Google Analytics (zgodnie także z wymogami ustawy Prawo Telekomunikacyjne dotyczącymi zgody na cookies). Wreszcie, korzystanie z forum i publikacja na nim informacji o sobie jest dobrowolna – wszelkie dane szczególnej kategorii (np. poglądy, informacje o zdrowiu dziecka) ujawniane samodzielnie na forum traktujemy jako przetwarzane na podstawie wyraźnej zgody użytkownika (art. 9 ust. 2 lit. a RODO dla danych wrażliwych), choć zalecamy unikać podawania takich informacji. Pamiętajcie Państwo, że zgoda może być w dowolnym momencie wycofana – wystarczy kontakt z nami lub użycie mechanizmów udostępnionych w serwisie (np. link “unsubscribe” w newsletterze, ustawienia cookies w przeglądarce itp.). Wycofanie zgody nie wpływa na legalność przetwarzania prowadzonego wcześniej, a jedynie od momentu wycofania zaprzestaniemy danych operacji.

• Wypełnienie obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c RODO): W niektórych sytuacjach przepisy prawa nakładają na nas obowiązek przetwarzania określonych danych. Dotyczy to głównie kwestii księgowych i podatkowych – po sprzedaży produktu jesteśmy zobowiązani wystawić dokument sprzedaży (np. fakturę) i ujawnić w nim wymagane prawem dane (imię i nazwisko/nazwa firmy kupującego, adres, NIP firmy itp.). Ustawa o rachunkowości oraz przepisy podatkowe (zarówno polskie, jeśli posiadamy obowiązki podatkowe w Polsce, jak i brytyjskie w zakresie naszej działalności w UK) zobowiązują nas do przechowywania dokumentacji księgowej przez określony czas. Podobnie prawo konsumenckie wymaga od nas obsługi reklamacji, zwrotów – do czego potrzebujemy danych identyfikacyjnych transakcji oraz Państwa danych kontaktowych. Wypełniając te obowiązki, przetwarzamy dane w zakresie niezbędnym, aby zgodnie z prawem zadośćuczynić wymogom (np. przechowywanie dowodów zakupu, komunikacja przy obsłudze reklamacji). W razie konieczności możemy także udostępnić Państwa dane organom publicznym uprawnionym z mocy prawa (np. organom ścigania lub organom podatkowym) – jedynie gdy istnieje ku temu wyraźna podstawa prawna.

• Prawnie uzasadnione interesy realizowane przez Administratora (art. 6 ust. 1 lit. f RODO): Ta podstawa prawna obejmuje przypadki, gdy przetwarzanie danych nie jest objęte powyższymi przesłankami, ale jest niezbędne do celów wynikających z naszych uzasadnionych interesów, przy czym nie narusza to praw i wolności użytkownika. W ramach naszego serwisu za działania realizowane w oparciu o uzasadniony interes uważamy m.in.:

  • Marketing własnych produktów lub usług: Możemy przetwarzać dane kontaktowe naszych klientów (np. adres e-mail pozyskany przy zakupie) w celu wysyłania informacji marketingowych dotyczących podobnych produktów lub usług własnych, które mogą Państwa zainteresować. Dzieje się to w ramach tzw. dozwolonego celu marketingu bezpośredniego – na taką komunikację mogą Państwo wnieść sprzeciw w dowolnym momencie (rezygnacja z subskrypcji). Nie udostępniamy jednak tych danych zewnętrznym podmiotom w celach marketingowych – jedynie my sami możemy z nich korzystać, by przekazać Państwu np. informację o nowym kursie czy wydarzeniu (z poszanowaniem przepisów o komunikacji elektronicznej).

  • Analiza i ulepszanie serwisu: Dane zbierane automatycznie (cookies analityczne, logi serwera) przetwarzamy w celu analizy aktywności użytkowników, wykrywania preferencji i trendów korzystania z serwisu, co pozwala nam ulepszać strukturę i zawartość strony, rozwijać funkcjonalności sklepu oraz dostosowywać treści. Ten cel realizujemy w sposób zminimalizowany (dane statystyczne, pseudonimizacja) i jest on naszym uzasadnionym interesem jako podmiotu prowadzącego serwis internetowy. Użytkownik może w każdym momencie zgłosić sprzeciw wobec takiego przetwarzania danych dotyczących jego aktywności (np. wyłączając analityczne cookies lub kontaktując się z nami).

  • Zapewnienie bezpieczeństwa IT i zapobieganie nadużyciom: Jak wspomniano, przetwarzanie danych w logach i monitorowanie aktywności pod kątem potencjalnych naruszeń bezpieczeństwa odbywa się w oparciu o nasz uzasadniony interes – mamy obowiązek i chęć chronić integralność naszego systemu oraz społeczności użytkowników przed działaniami szkodliwymi. Obejmuje to np. utrwalanie w logach informacji o próbach nieautoryzowanego dostępu, blokowanie użytkowników łamiących regulamin, wykrywanie oszustw (fraud detection) itp.

  • Ustalenie, dochodzenie lub obrona roszczeń: Jeżeli zachodzi taka potrzeba, możemy dalej przechowywać lub wykorzystywać niektóre Państwa dane w celu zabezpieczenia materiałów dowodowych na wypadek sporów prawnych. Przykładowo, jeżeli użytkownik naruszył zasady forum i usunęliśmy jego konto, możemy zachować kopię korespondencji i istotnych wpisów na potrzeby obrony przed ewentualnym zarzutem bezprawnego działania. Podobnie, jeżeli klient zalega z płatnością lub złamał warunki licencyjne korzystania z webinaru, mamy prawo przetwarzać adekwatne dane w celu dochodzenia naszych praw. Ten cel (windykacja należności, obrona przed roszczeniami) jest uzasadnionym interesem administratora.

W każdej sytuacji, w której przetwarzamy Państwa dane na podstawie art. 6 ust. 1 lit. f RODO (uzasadniony interes), mają Państwo prawo wnieść sprzeciw z przyczyn związanych z Państwa szczególną sytuacją. Uszanujemy sprzeciw, jeśli tylko przepisy nie będą wymagały od nas dalszego przetwarzania lub nie wykażemy istnienia ważnych, prawnie uzasadnionych podstaw nadrzędnych wobec Państwa interesów i praw (np. konieczność dochodzenia roszczeń może uprawniać nas do dalszego przetwarzania pomimo sprzeciwu). W przypadku marketingu bezpośredniego (np. e-mailing do klientów) sprzeciw będzie uwzględniany zawsze.

• Przetwarzanie szczególnych kategorii danych (art. 9 RODO): Z zasady nie zbieramy i nie wymagamy od użytkowników podawania tzw. danych wrażliwych (dotyczących zdrowia, poglądów, pochodzenia etnicznego, danych genetycznych/biometrycznych, przekonań religijnych, orientacji seksualnej itp.). Nasze usługi są skierowane do rodziców i opiekunów, a nie bezpośrednio do dzieci – nie przetwarzamy więc świadomie danych osobowych dzieci poniżej 16 roku życia bez zgody opiekuna. Może się jednak zdarzyć, że w ramach korzystania z forum lub podczas spotkań tematycznych użytkownicy dobrowolnie ujawnią informacje np. o stanie zdrowia dziecka (co jest daną o zdrowiu, a więc szczególną kategorią). W takim wypadku podstawą prawną przetwarzania takiej informacji jest art. 9 ust. 2 lit. a RODO, czyli wyraźna zgoda osoby, której dane dotyczą, na przetwarzanie tych szczególnych danych (zgoda dorozumiana z faktu dobrowolnego upublicznienia tej informacji). Niemniej, podkreślamy raz jeszcze – nie wymagamy przekazywania nam takich danych i prosimy o rozwagę przy dzieleniu się nimi. Jeśli już jakieś informacje wrażliwe zostaną przekazane (np. w korespondencji mailowej proszą nas Państwo o poradę w kwestii zdrowotnej dziecka), wykorzystamy je wyłącznie w celu, w jakim zostały nam ujawnione, z zachowaniem pełnej poufności.

• Dane związane z patronatem przechowywane są przez okres trwania patronatu oraz po jego zakończeniu przez czas wymagany przepisami prawa (w szczególności podatkowymi i księgowymi) lub do momentu cofnięcia zgody na komunikację.

Przekazywanie danych do państw trzecich (Wielka Brytania i inne)

Państwa dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy (EOG), tj. do tzw. państw trzecich. Dotyczy to w szczególności Wielkiej Brytanii, gdzie znajduje się siedziba naszego przedsiębiorstwa, a także Stanów Zjednoczonych Ameryki (USA) w związku z korzystaniem z usług dostawców takich jak Google czy Meta (Facebook). Zapewniamy jednak, że każde przekazanie danych poza EOG odbywa się zgodnie z rozdziałem V RODO, czyli przy zastosowaniu odpowiednich zabezpieczeń prawnych i technicznych.

Wielka Brytania (UK): Po opuszczeniu Unii Europejskiej przez Wielką Brytanię (Brexit), z punktu widzenia RODO jest ona traktowana jako “państwo trzecie”. Jednak na mocy decyzji wykonawczej Komisji Europejskiej z dnia 28 czerwca 2021 r. stwierdzono, że Wielka Brytania zapewnia adekwatny (odpowiedni) poziom ochrony danych osobowych porównywalny z wymogami RODOuodo.gov.pl. Oznacza to, że przekazywanie danych z UE do Wielkiej Brytanii może odbywać się na zasadach analogicznych jak wewnątrz UE – bez dodatkowej specjalnej zgody lub zabezpieczeń, tak długo jak obowiązuje ta decyzja o adekwatności. Decyzja ta została wydana na okres czterech lat (do 27 czerwca 2025 r.) i może być przedłużona, o ile Wielka Brytania utrzyma obecny poziom ochrony danych. W praktyce, Państwa dane osobowe przetwarzane przez nas mogą znaleźć się na serwerach lub w siedzibie administratora w UK, co zgodnie z obowiązującą decyzją KE jest legalne i równoważne z przetwarzaniem w obrębie UE. Niemniej jednak, stale monitorujemy status prawny transferów do UK – w razie wygaśnięcia lub zmiany decyzji o adekwatności, podejmiemy wszelkie wymagane kroki, aby zapewnić zgodność z prawem (np. wprowadzenie standardowych klauzul umownych między naszym podmiotem w UK a użytkownikami z UE, jeśli zajdzie taka potrzeba).

Inne państwa trzecie (USA i nie tylko): Korzystamy z usług kilku dostawców, którzy mają siedziby poza EOG, przede wszystkim w Stanach Zjednoczonych. Dotyczy to:

• Google LLC (Mountain View, Kalifornia, USA) – dostawca narzędzia Google Analytics i Google Search Console,

• Meta Platforms, Inc. (Menlo Park, Kalifornia, USA) – dostawca narzędzia Meta Pixel (Facebook Pixel),

• Stripe, Inc. (San Francisco, USA) – w zakresie, w jakim dane płatnicze mogą być przetwarzane przez amerykańskie serwery Stripe (choć Stripe posiada oddział w Irlandii dla klientów z Europy),

• potencjalnie innych partnerów technologicznych, z których usług możemy korzystać (np. wtyczki lub serwisy zlokalizowane poza EOG).

W przypadku transferu danych do USA (lub innego kraju bez decyzji o adekwatności ze strony KE), stosujemy odpowiednie zabezpieczenia przewidziane w RODO, takie jak standardowe klauzule umowne (Standard Contractual Clauses, SCC) zatwierdzone przez Komisję Europejską. Nasi dostawcy (Google, Meta, Stripe) również zobowiązali się w swoich regulaminach do przestrzegania standardów ochrony prywatności zgodnych z RODO i wdrożyli dodatkowe środki bezpieczeństwa. Przykładowo, informacje zbierane przez Pixel czy Google Analytics są pseudonimizowane i przesyłane z wykorzystaniem szyfrowania. Mimo to, chcemy poinformować, że ryzyko związane z przekazaniem danych do USA (np. potencjalny dostęp do nich przez władze USA w ramach obowiązujących tam przepisów nadzoru) istnieje. Stale obserwujemy rozwój sytuacji prawnej (np. prace nad nowym EU-US Data Privacy Framework). Korzystając z naszej strony, wyrażają jednak Państwo świadomą zgodę na użycie wymienionych narzędzi – mogą Państwo również odmówić zgody na narzędzia analityczne/marketingowe na wstępie korzystania ze strony, co spowoduje zablokowanie transferu danych do tych usług (szczegóły w części o cookies).

Podsumowując: Państwa dane mogą być przekazywane do następujących państw trzecich: Wielka Brytania (gdzie ma siedzibę Administrator – transfer na podstawie decyzji o adekwatności), Stany Zjednoczone (Google, Meta, Stripe – transfer na podstawie standardowych klauzul umownych), ewentualnie inne kraje, w których działają nasi podwykonawcy. W każdym przypadku dbamy o to, by spełnione były wymogi wynikające z RODO – albo istniała decyzja stwierdzająca odpowiedni stopień ochrony w danym kraju, albo zastosowane zostały mechanizmy zabezpieczające (SCC, wiążące reguły korporacyjne, wyjątkowo zgoda użytkownika itp.). Na żądanie udostępnimy Państwu kopię odpowiednich zabezpieczeń umownych (np. treść standardowych klauzul) – w tym celu prosimy o kontakt.

Odbiorcy danych

W ramach prowadzenia naszej działalności korzystamy z pomocy niektórych podmiotów trzecich, którym możemy przekazywać (udostępniać lub powierzać) określone dane osobowe użytkowników – zawsze jednak w ściśle określonych celach zgodnych z niniejszą Polityką oraz na podstawie stosownych umów powierzenia przetwarzania danych lub regulaminów tych usług, które zapewniają bezpieczeństwo danych. Poniżej wskazujemy kategorie i nazwy głównych odbiorców Państwa danych:

• Podmioty uczestniczące w realizacji zamówień: W szczególności dotyczy to firm obsługujących płatności oraz dostawę produktów.

  • Stripe Payments Europe, Ltd (Irlandia) – dostawca bramki płatniczej Stripe, za pośrednictwem której realizowane są płatności kartą na naszej stronie. Stripe otrzymuje dane transakcyjne oraz finansowe niezbędne do przetworzenia płatności (np. dane karty, kwota, waluta, adres IP). Zapoznanie się z polityką prywatności Stripe jest zalecane przy dokonywaniu płatności (jest dostępna pod adresem: stripe.com/privacy). Stripe może działać jako samodzielny administrator danych płatności w zakresie wymaganym do świadczenia swojej usługi – my natomiast otrzymujemy od niego jedynie potwierdzenia dotyczące płatności.

  • Dostawcy usług kurierskich / pocztowych – w przypadku wysyłki produktów fizycznych udostępniamy dane adresowe i kontaktowe (imię, nazwisko, adres dostawy, telefon/e-mail do kontaktu) firmie kurierskiej lub operatorowi pocztowemu realizującemu doręczenie. Przykładowo może to być Poczta Polska, InPost, DPD lub inna firma działająca na rynku dostaw. Dane te przekazywane są wyłącznie w celu dostarczenia przesyłki i zgodnie z zawartą z nami umową o świadczenie usług przewozowych.

  • Dostawca platformy sklepowej – WooCommerce: Nasz sklep internetowy działa w oparciu o wtyczkę WooCommerce (Automattic Inc.). Sama platforma WooCommerce jako oprogramowanie może w pewnym zakresie zbierać dane techniczne o Państwa urządzeniu (np. w celu obsługi koszyka, zapamiętania sesji). Dane zakupowe są przechowywane w naszej bazie danych na serwerze. Automattic (twórca WordPressa i WooCommerce) może potencjalnie mieć dostęp do pewnych danych w ramach wsparcia technicznego lub usług chmurowych (np. korzystania z rozszerzeń WooCommerce wymagających zewnętrznych połączeń), ale co do zasady nie przekazujemy rutynowo danych osobowych Automattic poza niezbędne zakresy wynikające z użycia samego oprogramowania.

  • Hostingodawca serwera: Dane na stronie (w tym baza danych zawierająca Państwa informacje) są przechowywane na serwerach zewnętrznej firmy hostingowej. Nasza strona jest utrzymywana na serwerze firmy UKICT LTD z siedzibą w Telford, UK. Taki podmiot przechowuje dane na serwerze na nasze zlecenie i zgodnie z umową powierzenia przetwarzania, nie wykorzystując ich do własnych celów.

• Dostawcy narzędzi marketingowych i analitycznych:

  • Google Ireland Ltd (Irlandia) / Google LLC (USA) – udostępniamy temu podmiotowi (Google) informacje zbierane przez narzędzie Google Analytics dotyczące aktywności użytkowników na stronie. Google działa jako podmiot przetwarzający dane w naszym imieniu, zapewniając anonimizację IP i przechowywanie danych analitycznych na serwerach w UE (w miarę dostępności) lub USA. Google może uzyskiwać dostęp do tych danych także jako samodzielny administrator w celach ulepszania swoich usług i zgodnie ze swoją polityką prywatności. Podobnie korzystamy z Google Search Console – jest to usługa monitorowania wyników wyszukiwania Google naszej strony, która w minimalnym stopniu wiąże się z przetwarzaniem danych osobowych (może obejmować np. analizę zapytań wpisywanych przez użytkowników w Google, co jest danymi zagregowanymi i anonimizowanymi). Polityka prywatności Google dostępna jest pod adresem: policies.google.com/privacy.

  • Meta Platforms Ireland Ltd (Irlandia) / Meta Platforms, Inc. (USA): Meta jest operatorem serwisu Facebook i Instagram, na których prowadzimy profile społecznościowe i kampanie reklamowe. Na naszej stronie zainstalowany jest Meta Pixel, który przekazuje Meta informacje o Państwa aktywności (np. odwiedziny strony, dokonane zakupy – jeśli skonfigurujemy konwersje). Meta wykorzystuje te dane, aby w naszym imieniu tworzyć statystyki odwiedzin oraz dobierać grupy odbiorców reklam (tzw. “Custom Audiences”). Współpraca z Meta oznacza, że pewne dane (jak Państwa identyfikator cookies, adres IP, ID Facebook – jeśli są Państwo zalogowani równocześnie na FB) mogą być przetwarzane przez Meta zarówno jako procesor (na potrzeby naszych statystyk), jak i jako współadministrator (w zakresie dopasowywania reklam na platformach Meta). Zawarliśmy z Meta tzw. porozumienie o współadministrowaniu dla danych zbieranych za pomocą Pixel (zgodnie z wymogami trybunału TSUE – sprawa Facebook vs. Schleswig-Holstein ULD). W skrócie: my odpowiadamy za legalne umieszczenie Pixela i zebranie zgody użytkownika na jego działanie, a Meta zapewnia podstawy transferu danych do USA i bezpieczeństwo po swojej stronie. Więcej informacji o przetwarzaniu danych przez Meta znajdą Państwo w polityce prywatności Facebooka (facebook.com/privacy).

  • MailerLite (UAB “MailerLite”, Litwa): To dostawca usługi e-mail marketingu, z którego korzystamy do wysyłki newslettera i zarządzania listą mailingową. Dane subskrybentów (adres e-mail, imię) są przechowywane na serwerach MailerLite w EOG (Litwa). MailerLite jako podmiot przetwarzający zobowiązany jest do przestrzegania RODO. Może jednak korzystać z poddostawców (np. serwerów) spoza EOG, ale również w takich przypadkach ma obowiązek stosować standardowe klauzule umowne. Dane w MailerLite są zabezpieczone i dostępne tylko dla nas (oraz technicznie dla upoważnionych pracowników MailerLite w razie potrzeby wsparcia). Polityka prywatności MailerLite jest dostępna na ich stronie (mailerlite.com/legal/privacy-policy).

  • W przypadku patronatu dane (adres e-mail, status patrona) mogą być wykorzystywane do prowadzenia komunikacji projektowej z patronami za pośrednictwem MailerLite.

• Inne podmioty świadczące usługi dla Administratora:
  W ramach bieżącej działalności możemy korzystać z usług dodatkowych partnerów, którym mogą zostać ujawnione Państwa dane osobowe w ściśle określonych sytuacjach. Należą do nich np.:

  • Biuro rachunkowe / księgowe: jeśli obsługę księgową naszej firmy prowadzi zewnętrzne biuro, może ono mieć wgląd w dokumenty księgowe zawierające dane klientów (np. na fakturach). Takie biuro przetwarza dane na podstawie umowy powierzenia i wyłącznie w celu realizacji obowiązków księgowych.

  • Kancelarie prawne, doradcy: w razie potrzeby zasięgnięcia opinii prawnej lub dochodzenia roszczeń, możemy przekazać określone informacje naszym prawnikom, doradcom podatkowym itp. – jedynie w niezbędnym zakresie i przy zachowaniu tajemnicy zawodowej obowiązującej takie podmioty.

  • Podmioty obsługujące komunikację: np. jeżeli korzystamy z zewnętrznego dostawcy hostingu poczty e-mail lub systemu do obsługi czatu na stronie – będą oni przetwarzać dane komunikacyjne (adresy e-mail, treść wiadomości) w naszym imieniu.

  • Organy publiczne: jeśli prawo tego wymaga, możemy przekazać dane uprawnionym organom (np. Policji, sądom, organom podatkowym). Zawsze w oparciu o odpowiednią podstawę prawną i żądanie.

Zapewniamy, że nie udostępniamy, nie sprzedajemy ani nie przekazujemy Państwa danych osobowych jakimkolwiek podmiotom trzecim w celach marketingowych własnych tych podmiotów. Innymi słowy, Państwa dane nie trafią od nas do zewnętrznych firm, które mogłyby chcieć oferować swoje produkty/usługi (tzw. „sprzedaż baz danych”). Wszelkie udostępnienia danych ograniczają się do powyżej wymienionych partnerów i celów związanych z realizacją naszych usług, a podmioty te przetwarzają dane na nasze zlecenie lub we współpracy z nami, respektując zasady ochrony danych.

Każdy podmiot, któremu powierzamy przetwarzanie danych na podstawie umowy, został przez nas starannie dobrany pod kątem zapewniania zgodności z RODO i zabezpieczenia danych. W razie pytań o listę naszych aktualnych partnerów przetwarzających dane prosimy o kontakt – udostępnimy dokładne informacje o tym, komu i w jakim zakresie ujawniliśmy Państwa dane.

Pliki cookies i technologie śledzące

Nasza strona internetowa, podobnie jak niemal wszystkie inne, wykorzystuje pliki cookies oraz podobne technologie (np. local storage, piksele śledzące) w celu zapewnienia jej prawidłowego działania oraz usprawnienia korzystania z serwisu. Cookies to niewielkie pliki tekstowe zapisywane na urządzeniu użytkownika (komputerze, smartfonie) podczas przeglądania witryny. Informacje zawarte w cookies są następnie odczytywane przy kolejnych odwiedzinach z tego samego urządzenia, co pozwala stronie „rozpoznać” użytkownika i dostosować działanie do jego preferencji.

Na naszej stronie używamy zarówno cookies własnych (first-party), jak i cookies podmiotów trzecich (third-party). Cookies własne są ustanawiane przez domenę naszej strony i służą głównie zapewnieniu funkcjonalności (np. zapamiętanie zawartości koszyka, utrzymanie sesji zalogowanego użytkownika, dostosowanie języka strony). Cookies podmiotów trzecich są z kolei zapisywane przez narzędzia zewnętrznych dostawców, z których korzystamy (np. Google, Meta). Poniżej wyjaśniamy, jakie kategorie cookies wykorzystujemy i w jakim celu:

• Cookies niezbędne (techniczne): Są to pliki cookies konieczne do poprawnego funkcjonowania serwisu i dostępnych w nim funkcjonalności. Umożliwiają m.in. nawigację po stronie, logowanie do konta, zapamiętanie produktów w koszyku, zabezpieczenie formularzy (captcha) itp. Bez tych plików nasz serwis nie mógłby działać prawidłowo. Dlatego cookies niezbędne są zapisywane zawsze, niezależnie od zgody użytkownika. Podstawą ich użycia jest nasz uzasadniony interes polegający na zapewnieniu możliwości świadczenia usługi żądanej przez użytkownika (art. 6 ust. 1 lit. f RODO) oraz przepis prawa telekomunikacyjnego zezwalający na przechowywanie danych niezbędnych do transmisji komunikatu w sieci (art. 173 ust.3 pkt 2 Prawa Telekomunikacyjnego). Przykłady: cookie sesyjne identyfikujące użytkownika po zalogowaniu, cookie preferencji (np. wybór wersji kontrastowej strony dla osób słabowidzących, jeżeli taka opcja jest dostępna).

• Cookies funkcjonalne (preferencje): Są to pliki mające na celu zapamiętanie dokonywanych przez użytkownika wyborów i ustawień, aby poprawić jego doświadczenie. Mogą np. zapamiętać preferowany język interfejsu, region, z którego użytkownik pochodzi, rozmiar czcionki, układ strony itp. Obecnie nasza strona jest w języku polskim, więc aspekt językowy nie występuje, ale inne preferencje (np. akceptacja regulaminu, zamknięcie informacji o cookies) mogą być zachowane. Tego typu cookies są również uzasadnione interesem zapewnienia wygody korzystania, jednak w większości przypadków wymagają one przynajmniej poinformowania użytkownika. Na naszej stronie cookies funkcjonalne mogą być traktowane podobnie jak niezbędne – instalują się, gdy korzystają Państwo z danych funkcji (np. odtwarzacz wideo może zapisywać ustawienia głośności, to też cookie preferencji).

• Cookies analityczne i statystyczne: Pozwalają nam zbierać informacje o sposobie korzystania ze strony przez użytkowników – np. które podstrony są najczęściej odwiedzane, ile czasu średnio spędza się na stronie, z jakich urządzeń lub przeglądarek korzystają odwiedzający. W tym celu wykorzystujemy Google Analytics – narzędzie, które za pomocą cookies gromadzi anonimowe dane statystyczne. Przykładowe cookies Google Analytics to _ga, _gid, które służą do rozróżniania kolejnych wizyt i użytkowników. Zebrane w ten sposób dane są przesyłane do Google i tam agregowane w statystyki dostępne dla nas. My nie widzimy konkretnych danych pozwalających zidentyfikować użytkownika – otrzymujemy jedynie zbiorcze raporty. Google Analytics może jednak okazjonalnie przetwarzać adres IP czy identyfikator użytkownika, co potencjalnie stanowi daną osobową. Dlatego prosimy o wyrażenie zgody na analityczne cookies przy pierwszej wizycie. Jeżeli nie wyrażą Państwo zgody, Google Analytics nie zostanie uruchomiony i żadne analityczne cookies nie będą zapisywane (korzystamy ze skryptu obsługującego zgodę zgodnie z wymogami RODO). Szczegóły działania Google Analytics na naszej stronie:

  • włączyliśmy funkcję anonimizacji IP (Google ucina ostatnią część adresu IP użytkownika przed zapisaniem, co zmniejsza precyzję lokalizacji),

  • ustawiliśmy minimalny niezbędny okres przechowywania danych użytkowników i zdarzeń w GA (np. 14 miesięcy, po czym dane są automatycznie usuwane z serwerów Google),

  • Nie korzystamy z funkcji reklamowych GA, które łączą dane analityczne z reklamowymi.

• Cookies marketingowe (śledzące): Te pliki cookies służą do celów marketingowych, w szczególności do remarketingu, czyli wyświetlania spersonalizowanych reklam użytkownikom, którzy odwiedzili naszą stronę, także gdy przeglądają inne strony lub media społecznościowe. W tym celu na naszej stronie działa Meta Pixel (Facebook Pixel). Pixel to fragment kodu, który komunikuje się z serwisem Facebook, informując go np. o tym, że dany użytkownik odwiedził stronę lub wykonał określoną akcję (np. zapisał się na newsletter). Pixel może zapisywać pewne cookies, które identyfikują użytkownika Facebooka (jeśli jest zalogowany) lub urządzenie. Dzięki temu Facebook może następnie wyświetlić naszą reklamę tej osobie w swoim serwisie (Facebook/Instagram) lub zbudować grupę odbiorców o podobnych zainteresowaniach. Cookies marketingowe tego typu również wymagają zgody użytkownika. Jeśli nie wyrazili Państwo zgody na marketingowe cookies, Pixel nie będzie aktywny. Jeśli się zgodzili Państwo, proszę pamiętać, że mogą Państwo później zmienić zdanie – wystarczy zmiana ustawień plików cookies (patrz niżej). Warto wiedzieć, że Pixel zbiera dane o Państwa aktywności w naszym serwisie i przekazuje je do Meta, gdzie podlegają one polityce prywatności Meta. Dane z Pixela są u nas wykorzystywane anonimowo (nie mamy wglądu kto konkretnie, znamy tylko sumaryczne dane dot. skuteczności reklam), ale Meta może je łączyć z Państwa profilem, jeśli posiadacie Państwo konto w ich serwisie.

Google Search Console: Osobno wspomnieć należy o Google Search Console – jest to narzędzie Google, które nie wykorzystuje cookies ani kodu śledzącego na stronie, a działa po stronie serwera i wyszukiwarki. GSC dostarcza nam dane o obecności naszej strony w wynikach wyszukiwania Google (np. poprzez jakie frazy użytkownicy trafili na naszą stronę, ile było wyświetleń i kliknięć linku do naszej strony w Google). Dane te są zagregowane i nie umożliwiają identyfikacji konkretnych użytkowników – dotyczą raczej słów kluczowych. Można zatem uznać, że GSC nie przetwarza danych osobowych użytkowników końcowych, a jedynie dane dotyczące strony. W związku z tym nie wpływa on na prywatność odwiedzających ponad to, co i tak dzieje się przy korzystaniu z wyszukiwarki Google. Wspominamy o nim dla pełnej przejrzystości: korzystamy z Search Console, by ulepszać naszą obecność w wyszukiwarce, jednak nie ma on wpływu na zakres danych zbieranych o użytkowniku podczas wizyty na naszej stronie.

Zarządzanie plikami cookies: Przy pierwszym wejściu na naszą stronę prezentujemy komunikat (baner cookies) z prośbą o wyrażenie zgody na użycie cookies analitycznych i marketingowych. Mogą Państwo zaakceptować wszystkie nieobowiązkowe cookies, odmówić im lub dostosować preferencje (np. zgodzić się tylko na analityczne, a odmówić marketingowych). Swoje wybory można w każdej chwili zmienić – wystarczy skorzystać z ustawień cookies dostępnych na naszej stronie (np. link “Ustawienia prywatności” w stopce) lub zmienić ustawienia bezpośrednio w przeglądarce internetowej.

Większość przeglądarek domyślnie dopuszcza zapisywanie cookies. Mogą Państwo samodzielnie zarządzać cookies z poziomu przeglądarki – usunąć już zapisane pliki lub całkowicie zablokować ich zapisywanie. Należy jednak pamiętać, że wyłączenie obsługi wszystkich cookies (zwłaszcza niezbędnych) może spowodować, że nasz serwis nie będzie działał prawidłowo (np. stracą Państwo możliwość logowania lub dodawania produktów do koszyka). Zalecamy więc używać raczej dedykowanych ustawień niż globalnej blokady. Informacje o tym, jak zarządzać cookies w danej przeglądarce, znajdą Państwo w plikach pomocy przeglądarki lub na stronach jej producenta (np. Chrome, Firefox, Edge, Safari mają własne instrukcje zarządzania danymi przeglądania).

Inne technologie: Poza cookies, nasza strona może wykorzystywać inne pokrewne technologie śledzące:

• Logi serwera: Nasz serwer automatycznie zapisuje logi http, które mogą zawierać podstawowe dane o połączeniu, takie jak adres IP, data i czas odwiedzin, zażądany adres URL, identyfikator przeglądarki (tzw. user agent). Logi te są wykorzystywane głównie do celów technicznych (monitorowanie pracy serwera, statystyki ruchu, bezpieczeństwo) i nie są zestawiane z innymi danymi w celu identyfikacji konkretnej osoby.

• Local Storage: Czasami nasza strona może zapisywać pewne dane lokalnie w przeglądarce (tzw. local storage lub session storage), np. dla przyspieszenia działania aplikacji webowej. Działa to podobnie do cookies, ale dane nie są wysyłane automatycznie z każdym żądaniem http. Mechanizmy te służą wyłącznie poprawie wygody korzystania z serwisu.

Podsumowując, dokładamy wszelkich starań, by użycie cookies i narzędzi śledzących było transparentne i zgodne z prawem. Informujemy o tym użytkowników i dajemy możliwość dokonania wyboru. Szczegółowe informacje o poszczególnych plikach cookies (nazwa, dostawca, cel, czas przechowywania) mogą zostać udostępnione na żądanie lub w odrębnym Regulaminie Cookies (jeśli prowadzimy taką szczegółową tabelę).

Jeżeli mają Państwo pytania lub wątpliwości odnośnie stosowanych technologii śledzących, prosimy o kontakt – wyjaśnimy każde zagadnienie.

Konta użytkownika i forum

Nasz serwis oferuje możliwość rejestracji konta użytkownika, co pozwala na dostęp do dodatkowych funkcjonalności, takich jak udział w forum dyskusyjnym dla rodziców dzieci z ASD, przegląd historii zakupów, zarządzanie subskrypcjami newslettera, itp. Poniżej przedstawiamy zasady dotyczące przetwarzania danych w kontekście kont użytkownika i forum:

• Rejestracja konta: Założenie konta użytkownika jest całkowicie dobrowolne. W trakcie rejestracji prosimy o podanie adresu e-mail oraz ustalenie hasła. Adres e-mail służy jako login oraz do aktywacji konta i komunikacji z użytkownikiem (np. wysyłamy link aktywacyjny, ewentualne powiadomienia o ważnych zmianach w koncie). Hasło jest przechowywane w naszej bazie w formie zaszyfrowanej (skrót/hash kryptograficzny) – nikt nie ma dostępu do Państwa hasła w postaci jawnej. Prosimy o ustawienie silnego hasła i nieudostępnianie go osobom trzecim, aby chronić dostęp do konta. Podczas rejestracji lub później w ustawieniach profilu mogą Państwo opcjonalnie podać dodatkowe dane: imię i/lub nazwisko, pseudonim, zdjęcie profilowe, krótką informację “o mnie”, miejscowość, etc. Są one całkowicie nieobowiązkowe i służą jedynie wzbogaceniu Państwa profilu w społeczności, jeżeli zechcą się Państwo przedstawić innym użytkownikom. Informacje te, jeśli zostaną podane, będą widoczne dla innych zalogowanych użytkowników forum (a w przypadku forum publicznego – także dla gości, w zależności od ustawień forum). Zawsze mogą je Państwo usunąć lub zmienić poprzez edycję profilu.

• Forum dyskusyjne: Forum ma służyć wymianie doświadczeń, wzajemnemu wsparciu i dyskusji na tematy związane z wychowaniem i terapią dzieci ze spektrum autyzmu. Posty publikowane na forum stają się publicznie dostępne dla innych użytkowników (przynajmniej zalogowanych, a niektóre sekcje być może również dla niezalogowanych, jeśli forum jest otwarte). Proszę pamiętać, że to, co napiszą Państwo na forum, może być czytane i wykorzystywane przez inne osoby – dlatego zdecydowanie odradzamy udostępnianie tam wrażliwych danych osobowych, takich jak pełne dane dziecka, dokumentacja medyczna, dokładny adres zamieszkania, numery telefonów, itp. W ramach moderacji możemy usuwać lub anonimizować oczywiste dane osobowe w postach (np. nazwiska osób trzecich) w trosce o prywatność, ale nie jesteśmy w stanie filtrować wszystkiego. Odpowiedzialność za treści umieszczane na forum ponoszą sami użytkownicy – prosimy zamieszczać jedynie takie informacje, które są Państwo gotowi upublicznić.

• Moderacja i regulamin: Korzystanie z forum podlega Regulaminowi Forum (odrębny dokument), który określa zasady kulturalnej dyskusji, zakazy publikowania treści obraźliwych, nielegalnych, reklamowych itp. Wszyscy użytkownicy muszą przestrzegać tego regulaminu. Administrator oraz wyznaczeni moderatorzy mają prawo edytować lub usuwać posty naruszające zasady, a także zawiesić lub usunąć konto użytkownika łamiącego regulamin. Przy podejmowaniu takich działań możemy przetwarzać dane związane z danym użytkownikiem (np. przeanalizować historię jego postów, zanotować przyczynę moderacji, zachować dowody naruszeń). Działania te opierają się na naszym prawnie uzasadnionym interesie utrzymania bezpiecznej i zgodnej z przeznaczeniem społeczności oraz – w przypadku poważnych naruszeń prawa – na obowiązku prawnym zgłoszenia np. przestępstwa organom ścigania.

• Prywatność na forum: Zwracamy uwagę, że choć forum służy dyskusji wokół tematyki autyzmu, nie jest ono miejscem prywatnej konsultacji medycznej czy terapeutycznej. Jeśli użytkownik chce omówić szczegółowo swój indywidualny przypadek, lepiej skontaktować się z nami lub specjalistą bezpośrednio niż publikować wszystkie szczegóły publicznie. Dane, które publikują Państwo na forum (wpisy, pytania, odpowiedzi), stają się z definicji informacją publiczną (w ramach społeczności) – mamy prawo pozostawić te wpisy dostępne tak długo, jak forum istnieje, aby inni rodzice mogli z nich korzystać. Jednak na żądanienie użytkownika możemy usunąć konkretne jego posty lub całe konto wraz z postami (choć w przypadku usunięcia konta, wypowiedzi mogą zostać oznaczone jako od anonimizowanego użytkownika, chyba że użytkownik poprosi również o ich usunięcie – co w miarę możliwości wykonamy, o ile nie zaburzy to czytelności wątków dla innych).

• Konto użytkownika – edycja i usunięcie: Po zalogowaniu się do swojego konta, użytkownik ma dostęp do ustawień profilu, gdzie może poprawić lub zaktualizować swoje dane (np. zmienić adres e-mail, hasło, edytować informacje dodatkowe). Użytkownik może również zażądać usunięcia konta – w tym celu prosimy o kontakt z administratorem (e-mail) lub, jeśli taka funkcja jest udostępniona, skorzystanie z opcji “usuń konto” w ustawieniach. Usunięcie konta oznacza, że nie będą mogli się już Państwo zalogować, a powiązanie między Państwa osobą a treściami na forum zostanie skasowane lub trwale zanonimizowane. Pewne dane związane z kontem mogą jednak zostać przez nas zachowane w minimalnym zakresie, jeśli jest to konieczne z prawnego punktu widzenia lub uzasadnionych interesów (np. zapis informacji, że dany użytkownik miał konto i je usunął – dla celów dowodowych, na wypadek roszczeń, przez okres przedawnienia; logi bezpieczeństwa). Zasady dotyczące okresu przechowywania danych po usunięciu konta opisujemy w kolejnej sekcji.

• Nieaktywność konta: Jeżeli użytkownik nie loguje się przez bardzo długi czas, zastrzegamy sobie prawo do skontaktowania się poprzez e-mail z zapytaniem, czy konto ma pozostać aktywne. Może się zdarzyć (np. w ramach porządkowania bazy), że konta nieużywane przez kilka lat zostaną usunięte lub zanonimizowane, aby nie przechowywać zbędnych danych. O takich planach będziemy informować z wyprzedzeniem, dając możliwość zachowania konta.

Podsumowując, dane związane z kontem i forum wykorzystujemy wyłącznie w celu zapewnienia działania tych usług i społeczności. Szanujemy prywatność użytkowników forum, jednak zakres ujawnienia danych zależy głównie od samych użytkowników i ich aktywności. Zachęcamy do rozważnego dzielenia się informacjami i zapoznania z regulaminem forum. W razie pytań odnośnie działania konta lub forum – jesteśmy do dyspozycji pod naszym kontaktem.

Zasady przechowywania danych

Przechowujemy Państwa dane osobowe nie dłużej, niż jest to konieczne do realizacji celów, dla których zostały zebrane, lub wymagane przepisami prawa. Okresy przechowywania różnią się w zależności od rodzaju danych i celu przetwarzania. Poniżej przedstawiamy główne zasady i okresy retencji danych:

• Dane związane z realizacją umów (zakupy produktów, usługi): Dane podane przy składaniu zamówienia (dane kupującego, szczegóły transakcji) będą przechowywane przez czas niezbędny do wykonania umowy sprzedaży oraz przez okres uprawnień z tytułu rękojmi czy gwarancji (jeśli dotyczy). Ponadto dokumenty sprzedaży zawierające te dane (np. faktury) musimy przechowywać przez okres wymagany prawem podatkowym i rachunkowym – w Wielkiej Brytanii oraz zgodnie z ewentualnymi obowiązkami w Polsce. Zwykle jest to 6 lat od zakończenia roku obrachunkowego (jest to typowy okres przechowywania dokumentacji finansowej wymagany przez HMRC w UK oraz podobny 5-letni okres w Polsce liczony od końca roku podatkowego). Nawet jeśli usuniemy konto użytkownika czy dane z naszej bazy operacyjnej, oryginały faktur musimy zachować w archiwum księgowym do upływu tego okresu. Dostęp do nich jest jednak ściśle ograniczony (tylko dla działu księgowości / osób rozliczających).

• Dane konta użytkownika i profil: Dane podane przy rejestracji konta oraz w profilu przechowujemy tak długo, jak długo konto jest aktywne. Jeśli użytkownik usunie konto, jego dane logowania zostaną nieodwracalnie usunięte (adres e-mail, hasło, powiązanie z profilami). Posty i treści forum napisane przez użytkownika mogą pozostać w serwisie, ale zostaną oznaczone jako dodane przez użytkownika anonimowego (lub istnieje możliwość, że poproszą Państwo o ich usunięcie – wówczas usuniemy w miarę możliwości wszystkie treści autorstwa użytkownika, choć np. cytowane fragmenty w wypowiedziach innych członków społeczności mogą pozostać). Dane logów powiązane z kontem (np. historia logowań, adresy IP) przechowujemy maksymalnie do 2 lat od usunięcia konta, na wypadek potrzeby wyjaśnienia incydentów bezpieczeństwa lub sporów. Jeśli konto jest nieaktywne, ale nieusunięte, będziemy przechowywać dane dopóki użytkownik nie zażąda usunięcia lub sami nie podejmiemy decyzji o dezaktywacji (o czym poinformujemy). Regularnie przeprowadzamy przegląd bazy kont i możemy kontaktować się z długoterminowo nieaktywnymi użytkownikami, pytając o dalsze utrzymywanie danych.

• Dane newslettera (e-mail): Przechowujemy Państwa adres e-mail i imię (jeśli podane) do momentu wypisania się z newslettera. Po rezygnacji z subskrypcji (wycofaniu zgody) nie będziemy już wysyłać wiadomości, ale Państwa dane mogą być przez pewien czas zachowane w naszej bazie mailingowej w celach archiwalnych – konkretnie, aby móc wykazać, że posiadaliśmy zgodę oraz kiedy została wycofana. Jest to ważne np. w razie roszczeń, że wysyłaliśmy spam – mamy wtedy dowód zgody. Ten archiwalny wpis (np. e-mail + znacznik “unsubscribed”) będziemy przechowywać przez okres do 3 lat od wypisania, po czym definitywnie go usuniemy. Oczywiście na życzenie (jeśli zażądają Państwo całkowitego usunięcia danych) możemy to zrobić wcześniej – z wyjątkiem sytuacji, gdy potrzebujemy zachować minimalne dane do obrony przed roszczeniem (wtedy podstawą będzie nasz uzasadniony interes, art. 6 ust.1 lit f RODO).

• Dane z formularza kontaktowego / korespondencji: Jeśli skontaktowali się Państwo z nami, np. mailowo, dane z tej korespondencji (adres e-mail, treść wiadomości i nasza odpowiedź) możemy przechowywać przez okres do 2 lat od zakończenia sprawy, w celach pomocniczych (historia komunikacji, kontekst kolejnych zapytań) oraz dowodowych. Jeżeli rozmowa doprowadziła do zawarcia umowy (np. ustalenie płatnej konsultacji) – wtedy korespondencję traktujemy jako część dokumentacji umowy i przechowujemy zgodnie z przepisami (np. do czasu przedawnienia roszczeń z umowy, co w typowych sprawach cywilnych wynosi 6 lat w UK, 6 lat w PL dla roszczeń gospodarczych lub 10 lat dla konsumenckich sprzed skrócenia do 6 lat nowelą, tu możemy ogólnie przyjąć 6 lat jako orientacyjny okres). Jeśli w korespondencji są zawarte ważne informacje co do np. stanu zdrowia (rzadki przypadek), a nie doszło do współpracy, możemy usunąć takie maile wcześniej na prośbę.

• Dane transakcyjne (historia zamówień): W systemie sklepowym dane o złożonych zamówieniach przechowujemy tak długo, jak istnieje konto użytkownika (aby miał do nich dostęp) oraz dodatkowo w archiwum przez okres przedawnienia roszczeń z tytułu umowy sprzedaży. W Polsce roszczenia konsumenta przedawniają się co do zasady po 6 latach (od 2018 r.), w UK podobnie kontraktowe 6 lat. Dlatego przyjmujemy, że szczegółowe dane zamówienia (kto, co kupił, za ile, kiedy) mogą być przechowywane przez 6 lat od końca roku, w którym wykonano umowę. To pokrywa się z wymogami podatkowymi, więc de facto dopasowujemy do najdłuższego z wymogów. Po tym czasie dane mogą zostać zanonimizowane (np. w bazie zostawimy tylko statystyczne informacje, a usuniemy powiązanie z konkretnym klientem).

• Dane analityczne Google Analytics: Informacje zbierane przez GA są zanonimizowane i zagregowane. W Google Analytics ustawiliśmy automatyczną anonimizację lub usuwanie danych użytkowników po upływie określonego okresu. Standardowo Google pozwala na ustawienia 14, 26, 38 lub 50 miesięcy retencji danych – wybraliśmy minimalny praktyczny okres (np. 14 miesięcy) dla danych na poziomie użytkownika i zdarzenia. Oznacza to, że dane dot. konkretnych identyfikatorów cookies będą przechowywane maksymalnie 14 miesięcy od ostatniej aktywności, po czym są kasowane z serwerów Google. Statystyki zagregowane mogą istnieć dłużej, ale nie odnoszą się do konkretnych użytkowników. W logach serwera natomiast surowe zapisy mogą być przechowywane do 12 miesięcy (przez firmę hostingową) – później są automatycznie usuwane lub nadpisywane.

• Pliki cookies: Pliki cookies, w zależności od rodzaju, mają określony czas życia, po którego upływie przeglądarka automatycznie je usuwa. Na przykład: cookies sesyjne (np. utrzymujące zalogowanie) istnieją do czasu zamknięcia przeglądarki; cookies analityczne Google (_ga) domyślnie 2 lata, cookies _gid 24h, cookies marketingowe Facebooka 3 miesiące, itp. Możemy konfigurować niektóre z tych okresów, ale generalnie nie przechowujemy cookies dłużej niż jest to potrzebne. Użytkownik ma również możliwość samodzielnego usunięcia cookies w dowolnym momencie (co równa się wycofaniu pewnych zgód, choć formalnie do wycofania zgody marketingowej prosimy użyć mechanizmu opt-out). W pamięci przeglądarki pozostaną tylko te cookies, na które nadal jest zgoda i które nie wygasły. Nie gromadzimy odrębnie w naszej bazie danych informacji o poszczególnych cookies użytkownika – są one przechowywane po stronie przeglądarki. Jedynie logi serwera lub dane Google/Meta mogą przechować ślad identyfikatora cookie.

• Dane dot. spotkań i wydarzeń: Jeżeli przetwarzamy dane uczestników konkretnych wydarzeń (np. listy obecności, listy rejestracyjne), zwykle usuwamy je lub anonimizujemy w rozsądnym czasie po zakończeniu wydarzenia. Możemy zachować np. imię i nazwisko na liście archiwalnej uczestników (bez danych kontaktowych) w celach statystycznych i dowodowych (np. do wykazania, ile osób brało udział). Pełne dane kontaktowe uczestników warsztatów przechowujemy przez czas trwania danego cyklu spotkań i krótko po jego zakończeniu w celu wysyłki materiałów pokonferencyjnych itp. – następnie, o ile nie zapisali się Państwo do newslettera czy na kolejne wydarzenia, usuniemy dane kontaktowe do 1 roku po wydarzeniu. Wyjątkiem może być sytuacja, gdy dany uczestnik np. dozna urazu na wydarzeniu i dane będą potrzebne dla ubezpieczyciela – wtedy zachowamy je do wyjaśnienia sprawy.

Po upływie wskazanych okresów przechowywania Państwa dane są usuwane lub poddawane anonimizacji (nieodwracalnemu zanonimizowaniu, by nie stanowiły już danych osobowych). W praktyce usunięcie danych z systemów operacyjnych może nastąpić poprzez ich fizyczne skasowanie lub nadpisanie, a w przypadku kopii zapasowych – dane zostaną trwale usunięte przy rotacji backupów (np. po kolejnych nadpisaniach backupu, co może zająć kilka tygodni dodatkowo). Zobowiązujemy się nie przetwarzać danych dłużej, niż to konieczne.

Jeśli chcieliby Państwo uzyskać konkretną informację, jak długo dane określonego rodzaju są przechowywane (np. nagranie z webinaru, które zawiera Państwa wizerunek), prosimy o kontakt – udzielimy indywidualnej odpowiedzi, uwzględniając wszelkie szczególne okoliczności.

Prawa użytkowników (osób, których dane dotyczą)

W związku z przetwarzaniem przez nas Państwa danych osobowych, przysługują Państwu określone prawa. Szanujemy te prawa i dążymy do ułatwienia ich realizacji. W razie chęci skorzystania z któregokolwiek prawa wymienionego poniżej, prosimy o kontakt mailowy lub pisemny – spełnimy żądanie w najszybszym możliwym terminie, maksymalnie w ciągu miesiąca od otrzymania żądania (termin ten może zostać przedłużony o kolejne dwa miesiące w razie skomplikowanego charakteru żądania, ale wówczas poinformujemy o przyczynie opóźnienia). Przysługujące prawa to:

• Prawo dostępu do danych (art. 15 RODO): Mają Państwo prawo uzyskania potwierdzenia, czy przetwarzamy Państwa dane osobowe, a jeżeli ma to miejsce – prawo do uzyskania dostępu do tych danych oraz otrzymania informacji m.in. o celach przetwarzania, kategoriach danych, odbiorcach danych, planowanym okresie przechowywania, źródłach pochodzenia danych (jeśli nie zostały zebrane od osoby, której dotyczą) oraz o prawach przysługujących na mocy RODO. Na Państwa życzenie dostarczymy również kopię danych osobowych podlegających przetwarzaniu (pierwsza kopia jest bezpłatna, za kolejne zgodnie z przepisami możemy naliczyć opłatę administracyjną).

• Prawo sprostowania danych (art. 16 RODO): Jeśli zauważą Państwo, że posiadamy niekompletne, nieaktualne lub błędne dane na Państwa temat, mają Państwo prawo zażądać ich sprostowania lub uzupełnienia. Dotyczy to zarówno danych obiektywnych (np. literówka w nazwisku, zmiana nazwiska, zmiana adresu), jak i ewentualnie opinii czy ocen, jeśli byłyby przetwarzane (choć takich raczej nie przetwarzamy). W przypadku konta użytkownika, większość danych mogą Państwo samodzielnie edytować po zalogowaniu – zachęcamy do aktualizacji profilu. W innych przypadkach dokonamy sprostowania w naszych systemach na Państwa żądanie.

• Prawo do usunięcia danych, tzw. “prawo do bycia zapomnianym” (art. 17 RODO): Mają Państwo prawo zażądać usunięcia swoich danych osobowych, a my mamy obowiązek je usunąć, jeżeli zachodzi jedna z następujących okoliczności: (a) dane nie są już potrzebne do celów, w których zostały zebrane, (b) cofnięto zgodę, na której opierało się przetwarzanie i nie ma innej podstawy prawnej przetwarzania, (c) wniesiono sprzeciw wobec przetwarzania opartego na uzasadnionym interesie i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub sprzeciw wobec przetwarzania w celach marketingu bezpośredniego, (d) dane były przetwarzane niezgodnie z prawem, (e) dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego, (f) dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dziecku (np. serwis internetowy dla dzieci oparty na zgodzie rodzica – nie dotyczy naszej sytuacji, bo nie kierujemy oferty do dzieci). Prawo do usunięcia nie jest absolutne – jeżeli przepisy wymagają od nas dalszego przechowywania danych (np. dokumenty księgowe) lub przetwarzamy je w celu ustalenia, dochodzenia lub obrony roszczeń, możemy odmówić usunięcia takich danych do czasu wypełnienia zobowiązań lub zaspokojenia interesów prawnych. Niemniej w zakresie maksymalnym postaramy się spełnić żądanie usunięcia. Usunięcie danych oznacza też, że np. usuniemy konto użytkownika i utracą Państwo dostęp do usług z nim związanych.

• Prawo do ograniczenia przetwarzania (art. 18 RODO): To prawo umożliwia zażądanie, abyśmy czasowo “zamrozili” przetwarzanie Państwa danych (poza przechowywaniem) w następujących sytuacjach: (a) gdy kwestionują Państwo prawidłowość danych – na okres pozwalający nam sprawdzić ich poprawność; (b) gdy przetwarzanie jest niezgodne z prawem, ale sprzeciwiają się Państwo usunięciu danych, żądając w zamian ograniczenia ich użycia; (c) gdy nie potrzebujemy już danych do celów przetwarzania, ale są one potrzebne Państwu do ustalenia, dochodzenia lub obrony roszczeń; (d) gdy wnieśli Państwo sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy nasze prawnie uzasadnione podstawy są nadrzędne wobec podstaw sprzeciwu. W czasie obowiązywania ograniczenia będziemy jedynie przechowywać dane (ewentualnie możemy je przetwarzać w wąskim zakresie za Państwa zgodą lub w celu dochodzenia roszczeń/obrony przed nimi lub ochrony praw innej osoby). O uchyleniu ograniczenia poinformujemy przed ponownym rozpoczęciem pełnego przetwarzania.

• Prawo do przenoszenia danych (art. 20 RODO): W odniesieniu do tych danych, które przetwarzamy w sposób zautomatyzowany na podstawie Państwa zgody lub w celu wykonania umowy, mają Państwo prawo otrzymać od nas te dane w ustrukturyzowanym, powszechnie używanym formacie informatycznym nadającym się do odczytu maszynowego (np. CSV, JSON, XML) oraz prawo zażądać, by dane te zostały przesłane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Prawo to dotyczy np. danych konta (które nam Państwo przekazali), danych transakcyjnych itp. Może nie obejmować danych przetworzonych czy wynikowych (np. naszych notatek wewnętrznych). Na życzenie, udostępnimy Państwu np. listę wszystkich Państwa zamówień wraz z danymi w formacie CSV lub przeniesiemy Państwa wpisy forum do innego serwisu, jeśli wyrażą Państwo takie życzenie i będzie możliwość eksportu.

• Prawo sprzeciwu wobec przetwarzania (art. 21 RODO): Jak wspomniano w sekcji o podstawach prawnych, mają Państwo prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania Państwa danych, opartego na naszym prawnie uzasadnionym interesie (art. 6 ust.1 lit. f), z przyczyn związanych z Państwa szczególną sytuacją. Po sprzeciwie musimy zaprzestać takiego przetwarzania, chyba że wykażemy istnienie ważnych, nadrzędnych prawnie uzasadnionych podstaw do kontynuacji (przeważających nad Państwa prawami) lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Sprzeciw bezwarunkowy przysługuje, gdy dane są przetwarzane na potrzeby marketingu bezpośredniego – w takim przypadku zaprzestaniemy przetwarzania niezwłocznie. Sprzeciw można zgłosić np. mailowo. Przykłady sprzeciwu: sprzeciw wobec profilowania pod kątem personalizacji treści – po sprzeciwie zaprzestaniemy takiego profilowania; sprzeciw wobec monitorowania aktywności na stronie – po sprzeciwie wyłączymy narzędzia analityczne dla danego użytkownika (poprzez rezygnację z cookies). W praktyce najłatwiej zrealizować sprzeciw dotyczący cookies, konfigurując je jak opisane wyżej, natomiast zawsze można też do nas napisać.

• Prawo do wycofania zgody: Jeżeli przetwarzanie odbywa się na podstawie Państwa zgody (art. 6 ust.1 lit. a lub art. 9 ust.2 lit. a RODO), mają Państwo prawo w dowolnym momencie tę zgodę wycofać. Wycofanie zgody nie ma mocy wstecznej – przetwarzanie, które wykonaliśmy zanim cofnęli Państwo zgodę, pozostaje legalne – ale oznacza, że od momentu wycofania zgody nie będziemy już tych danych przetwarzać w danym celu. Wycofanie zgody jest równie łatwe jak jej wyrażenie: wystarczy np. wypisać się z newslettera klikając link w stopce maila (to cofa zgodę na e-mail marketing), albo wysłać do nas wiadomość z informacją, że nie życzą sobie Państwo, byśmy dalej przetwarzali daną informację (np. jeśli kiedyś wyrazili Państwo zgodę na publikację swojej opinii na stronie ze zdjęciem, mogą Państwo zmienić zdanie – usuniemy wtedy opinię/zdjęcie). W przypadku cookies – zarządzanie zgodami odbywa się poprzez ustawienia na stronie/przeglądarce, jak opisano wyżej.

• Prawo niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu (art. 22 RODO): Mają Państwo prawo do tego, by nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu (np. przez algorytm), która wywołuje wobec Państwa skutki prawne lub w podobny sposób istotnie na Państwa wpływa. Informujemy, że w naszej działalności nie podejmujemy wobec użytkowników decyzji w sposób całkowicie zautomatyzowany, które niosłyby takie poważne skutki. W szczególności nie stosujemy zautomatyzowanego profilowania, które decydowałoby np. o odmowie świadczenia usług. Pewne profilowanie marketingowe (jak opisywane w cookies Pixel/Analytics) występuje, ale nie wpływa ono w istotny sposób na Państwa prawa czy sytuację – służy jedynie segmentacji oferty reklamowej. W razie wątpliwości – przysługuje pełne prawo sprzeciwu co do takiego profilowania (co opisano powyżej).

• Prawo do skargi do organu nadzorczego: Jeżeli uznają Państwo, że przetwarzamy dane niezgodnie z prawem lub naruszamy Państwa prawa, mają Państwo prawo złożyć skargę do właściwego organu nadzorczego ds. ochrony danych. W Polsce takim organem jest Prezes Urzędu Ochrony Danych Osobowych (UODO) z siedzibą w Warszawie (adres: ul. Stawki 2, 00-193 Warszawa). W Wielkiej Brytanii nadzór sprawuje Information Commissioner’s Office (ICO). Zachęcamy jednak, aby w pierwszej kolejności skontaktować się z nami – postaramy się wyjaśnić sytuację i rozwiązać problem polubownie. Niemniej, przysługuje Państwu pełne prawo skierowania sprawy do organu nadzorczego zarówno w kraju zamieszkania, jak i w kraju, w którym doszło do domniemanego naruszenia.

W celu realizacji swoich praw, mogą się Państwo z nami skontaktować drogą mailową na adres podany w sekcji kontaktowej lub listownie. Dla ułatwienia identyfikacji prosimy w zgłoszeniu podać imię i nazwisko oraz informację, jakiej usługiz to dotyczy (np. adres e-mail przypisany do konta lub newslettera), abyśmy mogli zlokalizować dane. Zastrzegamy sobie prawo do weryfikacji Państwa tożsamości przed realizacją żądania – np. możemy wysłać e-mail zwrotny na adres zarejestrowany w systemie w celu potwierdzenia, że to faktycznie Państwo składają żądanie.

Bezpieczeństwo danych

Bardzo poważnie podchodzimy do kwestii bezpieczeństwa danych osobowych. Wdrożyliśmy odpowiednie środki techniczne i organizacyjne, aby zapewnić, że Państwa dane są chronione przed nieuprawnionym dostępem, modyfikacją, ujawnieniem czy zniszczeniem. Poniżej przedstawiamy najważniejsze elementy naszych działań w tym zakresie:

• Szyfrowanie (SSL/TLS): Cała komunikacja pomiędzy Państwa przeglądarką a naszym serwerem jest chroniona protokołem szyfrowania SSL/TLS. Oznacza to, że dane przesyłane w ramach korzystania z serwisu (np. wypełnianie formularzy, logowanie, podawanie danych przy zakupie) są zaszyfrowane i nie mogą zostać odczytane przez osoby trzecie przechwytujące transmisję. Zielona kłódka przy adresie strony wskazuje na aktywne, ważne szyfrowanie certyfikatem.

• Dostęp ograniczony do danych: Dostęp do danych osobowych użytkowników mają wyłącznie osoby upoważnione i przeszkolone w zakresie ochrony danych – np. uprawnieni pracownicy/współpracownicy Administratora, którzy muszą mieć dostęp do danych w celu wykonywania swoich obowiązków (np. realizacja zamówień, wsparcie IT, obsługa klienta). Każda z tych osób jest zobowiązana do zachowania poufności (posiada stosowne klauzule w umowach) oraz działa na nasze polecenie. Nieuprawnione osoby nie mają dostępu do systemów z danymi osobowymi.

• Zabezpieczenia infrastruktury IT: Nasze bazy danych i systemy są zabezpieczone hasłami o wysokiej złożoności oraz – tam gdzie to możliwe – wieloskładnikowym uwierzytelnianiem. Regularnie aktualizujemy oprogramowanie strony (WordPress, wtyczki) i serwera, by eliminować znane luki bezpieczeństwa. Serwer znajduje się w profesjonalnym centrum danych z kontrolą dostępu fizycznego. Wdrożyliśmy zapory sieciowe (firewall) i systemy wykrywania włamań, które monitorują ruch sieciowy pod kątem podejrzanych aktywności. Dane przechowywane są w bazie, do której dostęp wymaga poświadczeń i nie jest ona dostępna z zewnątrz bez autoryzacji.

• Szyfrowanie i zabezpieczenie haseł: Hasła użytkowników (do kont) są przechowywane w postaci zaszyfrowanej (funkcja hashująca + salt) – nigdy w postaci czystego tekstu. W przypadku płatności, jak wspomniano, nie przechowujemy danych kart płatniczych – tym zajmuje się certyfikowany procesor (Stripe). Dane wrażliwe przesyłane do Stripe są szyfrowane i Stripe deklaruje spełnienie standardów PCI DSS Level 1.

• Ciągłość działania i kopie zapasowe: Regularnie tworzymy kopie zapasowe (backupy) danych strony, w tym baz danych. Backupy te są również przechowywane w postaci zaszyfrowanej i z ograniczonym dostępem. W razie awarii czy incydentu bezpieczeństwa posiadamy procedury przywracania systemu do działania oraz odtwarzania danych z kopii zapasowych, minimalizując ryzyko trwałej utraty danych.

• Minimalizacja danych: Kierujemy się zasadą minimalizacji – staramy się nie gromadzić danych, których nie potrzebujemy. Im mniej danych, tym mniejsze ryzyko ich nadużycia. Dlatego np. nie pytamy o daty urodzenia, numery PESEL czy inne zbędne informacje podczas rejestracji czy zakupów, skoro nie są one konieczne.

• Testy i audyty: Okresowo testujemy zabezpieczenia naszego serwisu (np. testy penetracyjne, skanowanie pod kątem malware). Monitorujemy też wycieki danych publikowane publicznie – jeżeli inny serwis miał wyciek i e-maile użytkowników z hasłami wyciekły, sprawdzamy, czy takie e-maile należą do naszych użytkowników i podejmujemy działania prewencyjne (np. reset hasła, powiadomienie użytkownika).

• Procedury na wypadek incydentu: Posiadamy procedury postępowania w razie wykrycia naruszenia ochrony danych (data breach). W przypadku stwierdzenia incydentu, który mógł skutkować przypadkowym lub nieuprawnionym ujawnieniem, zniszczeniem bądź utratą danych osobowych, dokonamy analizy ryzyka dla praw i wolności użytkowników. Jeśli okaże się, że incydent mógł powodować wysokie ryzyko, powiadomimy bez zbędnej zwłoki osoby, których dane dotyczą, a także – w razie wymogu prawnego – organ nadzorczy (UODO lub ICO) w terminie do 72 godzin od stwierdzenia naruszenia. Podejmiemy też działania w celu ograniczenia ewentualnych negatywnych skutków naruszenia.

• Privacy by design: Przy wdrażaniu nowych funkcjonalności czy usług kierujemy się zasadą privacy by design i by default – czyli ochronę danych uwzględniamy już na etapie projektowania rozwiązania i domyślnie ustawiamy najwyższy poziom prywatności, dopuszczalny dla danej usługi. Na przykład nowe formularze będą tak projektowane, by zbierać jak najmniej danych; integracje z nowymi partnerami będą najpierw weryfikowane pod kątem zgodności z RODO.

Pomimo stosowania powyższych środków, należy pamiętać, że żaden system nie jest w 100% bezpieczny. Internet z natury niesie pewne ryzyko, którego nie da się całkowicie wyeliminować. Możemy jedynie to ryzyko minimalizować i stale poprawiać nasze zabezpieczenia. Użytkownicy również odgrywają rolę w ochronie swoich danych – prosimy, by zachowali ostrożność przy udostępnianiu danych logowania (nie przekazywali hasła osobom trzecim) oraz stosowali unikalne hasło do naszego serwisu (tak, aby wyciek z innej strony nie zagroził kontu u nas).

Jeżeli mają Państwo pytania dotyczące naszych zabezpieczeń lub zauważą Państwo jakąkolwiek lukę czy podejrzane zachowanie serwisu, bardzo prosimy o niezwłoczny kontakt. Doceniamy wszelkie informacje zwrotne pomagające w utrzymaniu bezpieczeństwa.

Linki afiliacyjne i programy partnerskie

Na naszej stronie mogą znajdować się linki afiliacyjne prowadzące do produktów lub usług oferowanych przez zewnętrznych partnerów (np. sklepy internetowe, wydawców książek, producentów suplementów). Oznacza to, że jeśli użytkownik kliknie w taki link i dokona zakupu na stronie partnera, nasz serwis może otrzymać prowizję lub inną formę wynagrodzenia w ramach programu partnerskiego (afiliacyjnego).

Kliknięcie w link afiliacyjny nie powoduje przekazania Państwa danych osobowych do partnera – nie mamy dostępu do danych transakcyjnych ani identyfikujących kupującego. Jednak zewnętrzny partner może zastosować własne pliki cookies lub technologie śledzące, aby przypisać transakcję do naszej strony. Takie działania odbywają się zgodnie z polityką prywatności danego partnera, z którą mogą się Państwo zapoznać bezpośrednio na jego stronie.

W miarę możliwości oznaczamy treści zawierające linki partnerskie stosowną informacją. Naszym celem jest przejrzystość – korzystanie z linków afiliacyjnych nie wpływa na cenę produktu/usługi dla użytkownika, a wspiera działanie naszej strony i umożliwia tworzenie darmowych treści.

Jeśli nie wyrażają Państwo zgody na działanie takich mechanizmów, prosimy o nieklikanie w linki afiliacyjne lub wyłączenie marketingowych cookies w ustawieniach prywatności na naszej stronie.

Dane kontaktowe

Wszelkie sprawy, pytania lub żądania dotyczące Państwa danych osobowych prosimy kierować do Administratora danych:

Hybrid E-Business Solutions Ltd (Autyzm Dla Każdego)
Adres pocztowy: Office 331, 58 Peregrine Road, Hainault, Ilford, Essex IG6 3SZ, Wielka Brytania
Adres e-mail: kontakt@autyzmdlakazdego.pl

Jeśli kontaktują się Państwo e-mailowo, zalecamy w temacie wiadomości krótko wskazać czego dotyczy sprawa (np. “RODO – żądanie usunięcia danych konta” lub “Pytanie dot. polityki prywatności”). Ułatwi nam to skierowanie sprawy do właściwej osoby i szybszą odpowiedź.

Odpowiadamy na korespondencję możliwie szybko – zwykle w ciągu 7 dni roboczych, a w przypadku realizacji praw osób, których dane dotyczą – maksymalnie w ciągu miesiąca (jak wspomniano w sekcji praw).

Administrator nie posiada fizycznego biura obsługi klienta w Polsce – działalność prowadzona jest zdalnie z Wielkiej Brytanii – dlatego preferowaną formą kontaktu jest e-mail lub poczta tradycyjna. Możemy również na życzenie ustalić rozmowę telefoniczną czy telekonferencję.

Zmiany w polityce prywatności

Zastrzegamy sobie prawo do dokonywania aktualizacji lub zmian niniejszej Polityki Prywatności w przyszłości, w szczególności w przypadku zmiany przepisów prawnych, zmian technologicznych w naszym serwisie lub zakresu świadczonych usług, które wpływają na przetwarzanie danych osobowych. Nowa wersja Polityki będzie publikowana na tej samej stronie (pod tym samym adresem URL) z nową datą obowiązywania.

O wszelkich istotnych zmianach możemy informować zarejestrowanych użytkowników drogą e-mail (na adres podany przy koncie) lub poprzez umieszczenie wyraźnego powiadomienia na stronie głównej serwisu. Zalecamy okresowe przeglądanie Polityki Prywatności, aby być na bieżąco z naszymi praktykami.

Historyczne wersje Polityki mogą być archiwizowane przez Administratora w celu wykazania ciągłości zgodności. Na żądanie możemy udostępnić poprzednie wersje do wglądu.

Data ostatniej aktualizacji dokumentu: 09 maja 2025 r.

Dalsze korzystanie z serwisu po wejściu w życie nowej Polityki będzie oznaczało akceptację wprowadzonych zmian. Jeśli użytkownik nie zgadza się z nowymi postanowieniami, ma prawo zaprzestać korzystania z serwisu lub skontaktować się z nami w celu wyjaśnienia wątpliwości.