Polityka Prywatności

Ostatnia aktualizacja: 15 stycznia 2026 r.

1. Wprowadzenie i Zobowiązanie do Ochrony Danych

Doll - Studio Urody z pełnym zaangażowaniem podchodzi do kwestii ochrony prywatności i bezpieczeństwa danych osobowych naszych klientów. Jako wiodąca polska platforma e-commerce specjalizująca się w sprzedaży suplementów diety, odżywek sportowych oraz akcesoriów fitness, rozumiemy kluczowe znaczenie transparentności w zakresie przetwarzania informacji osobistych.

Niniejsza Polityka Prywatności stanowi kompleksowy dokument informacyjny, który szczegółowo określa zasady gromadzenia, przetwarzania oraz przechowywania danych osobowych użytkowników korzystających z naszych usług cyfrowych. Dokumentacja ta obejmuje wszystkie interakcje cyfrowe realizowane za pośrednictwem strony internetowej https://healthboost.pl, aplikacji mobilnych oraz powiązanych systemów informatycznych.

Zapewniamy pełną zgodność z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Nasze praktyki w zakresie ochrony danych są regularnie audytowane i aktualizowane, aby zapewnić najwyższy poziom bezpieczeństwa informacji wrażliwych, w tym danych zdrowotnych związanych z wyborem suplementów diety.

2. Identyfikacja Administratora Danych

Administratorem Twoich danych osobowych jest:

Doll - Studio Urody sp. z o.o.
z siedzibą w Warszawie
ul. Zdrowia 123
00-001 Warszawa
Polska

Numer KRS: 0000123456
NIP: 123-456-78-90
REGON: 123456789
Kapitał zakładowy: 50 000 PLN (opłacony w całości)

Email: [email protected]
Telefon: +48 785 319 684
Adres korespondencyjny: ul. Zdrowia 123, 00-001 Warszawa

W sprawach związanych z ochroną danych osobowych prosimy o kontakt z wyznaczonym Inspektorem Ochrony Danych (IOD) pod powyższym adresem email lub numerem telefonu. Wszystkie zapytania dotyczące przetwarzania danych są rozpatrywane w terminie do 30 dni roboczych.

3. Kategorie Gromadzonych Informacji Osobistych

W ramach świadczenia usług e-commerce gromadzimy następujące kategorie danych osobowych:

3.1. Dane identyfikacyjne i kontaktowe

  • Imię i nazwisko
  • Adres zamieszkania/dostawy
  • Adres e-mail
  • Numer telefonu
  • Numer PESEL (wyłącznie przy fakturach VAT)

3.2. Dane transakcyjne i płatnicze

  • Dane karty płatniczej (przetwarzane wyłącznie przez certyfikowane bramki płatnicze w formie ztokenizowanej)
  • Historia zakupów i transakcji
  • Numer konta bankowego (w przypadku zwrotów)
  • Preferowane metody płatności

3.3. Dane zdrowotne i preferencje

W przypadku dobrowolnego udziału w programach personalizacji, gromadzimy:

  • Cele fitness i zdrowotne (np. budowa masy mięśniowej, utrata wagi)
  • Preferencje dietetyczne i alergie (w celu wykluczenia niepożądanych składników)
  • Poziom aktywności fizycznej
  • Wiek i płeć (dla dopasowania dawkowania suplementów)

Uwaga: Dane te są traktowane jako szczególne kategorie danych osobowych zgodnie z art. 9 RODO i przetwarzane wyłącznie na podstawie wyraźnej zgody.

3.4. Dane techniczne i behawioralne

  • Adres IP i identyfikatory urządzeń
  • Pliki cookies i podobne technologie śledzące
  • Historia przeglądania produktów i interakcji z platformą
  • Dane logowania i aktywność na koncie
  • Parametry urządzenia i przeglądarki

4. Cel i Podstawa Prawna Przetwarzania

Twoje dane osobowe przetwarzamy w następujących celach, opierając się na odpowiednich podstawach prawnych:

Cel przetwarzania Podstawa prawna Opis
Realizacja zamówień i dostawa produktów Art. 6 ust. 1 lit. b RODO (wykonanie umowy) Przetwarzanie niezbędne do wykonania umowy sprzedaży, w tym obsługa płatności, wysyłka i śledzenie przesyłek
Przetwarzanie płatności Art. 6 ust. 1 lit. b i f RODO Bezpieczna obsługa transakcji finansowych poprzez szyfrowane bramki płatnicze, wykrywanie oszustw
Personalizacja rekomendacji produktowych Art. 6 ust. 1 lit. a RODO (zgoda) Dobór suplementów i odżywek na podstawie historii przeglądania, celów fitness i preferencji zdrowotnych
Komunikacja marketingowa Art. 6 ust. 1 lit. a RODO Wysyłka newsletterów, powiadomień o promocjach i nowościach produktowych
Ochrona przed oszustwami Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) Weryfikacja tożsamości, analiza ryzyka transakcyjnego, zapobieganie nadużyciom
Obowiązki prawne (podatkowe i rachunkowe) Art. 6 ust. 1 lit. c RODO Prowadzenie dokumentacji księgowej, wystawianie faktur, raportowanie podatkowe
Obsługa klienta i wsparcie posprzedażowe Art. 6 ust. 1 lit. b i f RODO Udzielanie odpowiedzi na zapytania, realizacja zwrotów i reklamacji

W przypadku danych zdrowotnych (art. 9 RODO), podstawą prawną jest:

  • Art. 9 ust. 2 lit. a RODO - wyraźna zgoda osoby, której dane dotyczą
  • Art. 9 ust. 2 lit. h RODO - profilaktyka zdrowotna lub praca zawodowa (w ograniczonym zakresie)

5. Pliki Cookies i Technologie Śledzenia

Nasza platforma wykorzystuje pliki cookies i pokrewne technologie w celu zapewnienia prawidłowego funkcjonowania serwisu oraz optymalizacji doświadczeń zakupowych.

5.1. Rodzaje wykorzystywanych cookies

Cookies niezbędne (techniczne)

Bezwzględnie wymagane do funkcjonowania platformy. Umożliwiają:

  • Zapamiętywanie zawartości koszyka zakupowego
  • Utrzymanie sesji logowania
  • Zapewnienie bezpieczeństwa transakcji (CSRF protection)
  • Zapamiętywanie preferencji dotyczących języka i waluty

Podstawa prawna: Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes w zapewnieniu funkcjonalności serwisu)

Cookies analityczne

Pomagają nam zrozumieć, w jaki sposób użytkownicy korzystają z platformy:

  • Analiza ruchu i ścieżek nawigacyjnych
  • Mierzenie wydajności stron (Core Web Vitals)
  • Identyfikacja błędów technicznych
  • Optymalizacja konwersji

Podstawa prawna: Art. 6 ust. 1 lit. a RODO (zgoda) - wyrażana poprzez banner cookies

Cookies marketingowe i reklamowe

Umożliwiają personalizację treści i remarketing:

  • Dostarczanie spersonalizowanych rekomendacji produktów sportowych
  • Remarketing w sieciach partnerskich (Google Ads, Facebook)
  • Mierzenie skuteczności kampanii promocyjnych
  • Testy A/B interfejsu użytkownika

Podstawa prawna: Art. 6 ust. 1 lit. a RODO (zgoda)

5.2. Zarządzanie zgodami

Użytkownik ma możliwość szczegółowego zarządzania zgodami poprzez:

  • Panel preferencji cookies (dostępny w stopce strony)
  • Ustawienia przeglądarki internetowej
  • Mechanizm "Nie śledź" (Do Not Track)

5.3. Okres przechowywania

  • Cookies sesyjne: do momentu zamknięcia przeglądarki
  • Cookies stałe: od 30 dni do 24 miesięcy (w zależności od kategorii)

6. Odbiorcy Danych i Partnerzy Zewnętrzni

W celu zapewnienia pełnej funkcjonalności platformy e-commerce, Twoje dane mogą być udostępniane następującym kategoriom odbiorców, działającym wyłącznie na podstawie umów powierzenia przetwarzania danych (zgodnie z art. 28 RODO):

6.1. Dostawcy usług płatniczych

Firmy obsługujące transakcje finansowe z wykorzystaniem szyfrowania end-to-end (AES-256). Przykłady: PayU, Przelewy24, Stripe. Dane kart płatniczych nie są przechowywane na naszych serwerach.

6.2. Operatorzy logistyczni i kurierscy

Firmy realizujące dostawy: DHL, DPD, InPost, Poczta Polska. Udostępniamy im: imię i nazwisko, adres dostawy, numer telefonu oraz adres e-mail (do powiadomień o przesyłce).

6.3. Infrastruktura chmurowa i hosting

Amazon Web Services (AWS) - region eu-central-1 (Frankfurt), Microsoft Azure. Wszystkie dane przechowywane są w centrach danych zlokalizowanych na terytorium Europejskiego Obszaru Gospodarczego (EOG).

6.4. Platformy wsparcia klienta

Systemy CRM i helpdesk (Zendesk, Salesforce) wykorzystywane do obsługi zapytań i reklamacji.

6.5. Analityka i marketing

Google Analytics 4 (z anonimizacją IP), Meta Business Tools (Facebook Pixel - aktywowany wyłącznie po wyrażeniu zgody).

6.6. Organy publiczne

Organy podatkowe, organy ścigania oraz sądy - wyłącznie w przypadku wystąpienia zgodnego z prawem żądania.

Gwarancje: Wszyscy wymienieni partnerzy podpisali z nami umowy powierzenia przetwarzania danych osobowych (DPA), gwarantujące stosowanie odpowiednich środków bezpieczeństwa i zachowanie poufności.

7. Międzynarodowy Transfer Danych i Zabezpieczenia

Podstawowo przetwarzamy dane na terenie Europejskiego Obszaru Gospodarczego (EOG). W przypadkach, gdy konieczny jest transfer danych poza EOG (np. korzystanie z usług dostawców z USA), stosujemy następujące zabezpieczenia:

7.1. Standardowe Klauzule Umowne (SCC)

Zawieramy z kontrahentami pozaeuropejskimi Standardowe Klauzule Umowne ochrony danych osobowych zatwierdzone przez Komisję Europejską (Implementing Decision (EU) 2021/914), które zapewniają poziom ochrony odpowiedni do wymogów RODO.

7.2. Decyzje o odpowiednim stopniu ochrony

W przypadkach objętych decyzjami Komisji Europejskiej o odpowiednim stopniu ochrony (np. terytoria: Andora, Argentyna, Kanada, Izrael, Japonia, Korea Południowa, Nowa Zelandia, Szwajcaria, Urugwaj, Wielka Brytania), transfery realizowane są na podstawie tych decyzji.

7.3. Dodatkowe środki techniczne

  • Szyfrowanie danych w spoczynku (AES-256) i w transmisji (TLS 1.3)
  • Pseudonimizacja i minimalizacja danych przesyłanych do podmiotów trzecich
  • Regularne audyty dostawców pod kątem zgodności z RODO
  • Klauzule kontraktowe wymuszające zachowanie standardów bezpieczeństwa

W żadnym wypadku nie przekazujemy danych osobowych do podmiotów znajdujących się w jurysdykcjach nie zapewniających odpowiedniego poziomu ochrony, chyba że zostały zastosowane odpowiednie środki kompensacyjne zatwierdzone przez organ nadzorczy.

8. Okresy Przechowywania i Usuwania Danych

Przechowujemy Twoje dane osobowe wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, lub wymagany przez przepisy prawa:

Kategoria danych Okres przechowywania Uzasadnienie
Dane konta użytkownika (aktywne konto) Przez okres posiadania konta + 30 dni na odzyskanie konta Wykonanie umowy o świadczenie usług cyfrowych
Dane transakcyjne (faktury) 5 lat od końca roku podatkowego (do 31 grudnia 2031 dla transakcji z 2026 r.) Art. 70 § 1 Ordynacji podatkowej
Dane dotyczące rękojmi i gwarancji Do wygaśnięcia roszczeń, nie krócej jednak niż 2 lata od dostawy Art. 568 Kodeksu cywilnego
Dane marketingowe (wyrażona zgoda) Do momentu wycofania zgody lub 3 lata od ostatniej aktywności Podstawa zgoda - art. 6 ust. 1 lit. a RODO
Dane zdrowotne (preferencje suplementów) Do momentu usunięcia konta lub wycofania zgody Art. 9 RODO - szczególna kategoria danych
Logi serwerowe i dane bezpieczeństwa 12 miesięcy Prawnie uzasadniony interes (bezpieczeństwo IT)
Korespondencja z obsługą klienta 3 lata od zakończenia sprawy Dowodowa ochrona prawna

Procedury usuwania danych

Po upływie wskazanych okresów dane są:

  • Całkowicie usuwane z baz danych (metoda secure erase)
  • Lub nieodwracalnie anonimizowane (w przypadku danych statystycznych)

Użytkownik ma prawo żądania wcześniejszego usunięcia danych, jeśli nie zachodzą przesłanki prawne do ich dalszego przechowywania (np. zakończone sprawy podatkowe).

9. Twoje Prawa w Ramach RODO

Jako osoba, której dane dotyczą, przysługuje Ci szereg praw gwarantowanych przez Rozporządzenie RODO:

9.1. Prawo dostępu do danych (art. 15 RODO)

Masz prawo uzyskać potwierdzenie, czy przetwarzamy Twoje dane osobowe, oraz dostęp do następujących informacji:

  • Cele przetwarzania
  • Kategorie danych osobowych
  • Odbiorcy lub kategorie odbiorców danych
  • Przewidywany okres przechowywania
  • Istnienie praw do sprostowania, usunięcia, ograniczenia przetwarzania
  • Prawo wniesienia skargi do organu nadzorczego
  • Źródło danych (jeśli nie zostały zebrane od Ciebie)

9.2. Prawo do sprostowania (art. 16 RODO)

Możesz żądać niezwłocznego sprostowania nieprawidłowych danych lub uzupełnienia danych niekompletnych poprzez panel użytkownika lub kontakt z IOD.

9.3. Prawo do usunięcia ("prawo do bycia zapomnianym") (art. 17 RODO)

Masz prawo żądania usunięcia danych w następujących przypadkach:

  • Dane nie są już niezbędne do celów, dla których zostały zebrane
  • Wycofałeś zgodę i nie ma innej podstawy prawnej przetwarzania
  • Wniosłeś sprzeciw wobec przetwarzania (w przypadkach prawnie uzasadnionego interesu)
  • Dane były przetwarzane niezgodnie z prawem

9.4. Prawo do przenoszenia danych (art. 20 RODO)

Możesz otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. JSON, CSV) oraz przesłać je innemu administratorowi.

9.5. Prawo do ograniczenia przetwarzania (art. 18 RODO)

Możesz żądać wstrzymania przetwarzania danych gdy:

  • Kwestionujesz prawidłowość danych (na czas weryfikacji)
  • Przetwarzanie jest niezgodne z prawem, ale sprzeciwiasz się usunięciu
  • Dane są nam niepotrzebne, ale potrzebne Tobie do ustalenia, dochodzenia lub obrony roszczeń

9.6. Prawo do sprzeciwu (art. 21 RODO)

W dowolnym momencie możesz wnieść sprzeciw wobec przetwarzania danych na potrzeby marketingu bezpośredniego (w tym profilowania). W pozostałych przypadkach sprzeciw wymaga uzasadnienia szczególną sytuacją.

9.7. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (art. 22 RODO)

Możesz sprzeciwić się decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, jeśli wywołują one skutki prawne lub w podobny sposób na Ciebie wpływają.

Jak wykonywać swoje prawa?

Wszystkie wnioski można składać:

  • Email: [email protected]
  • Pocztą: Inspektor Ochrony Danych, Doll - Studio Urody sp. z o.o., ul. Zdrowia 123, 00-001 Warszawa
  • Przez formularz w panelu użytkownika (dla zalogowanych)

Termin odpowiedzi: 30 dni (z możliwością przedłużenia o kolejne 60 dni w skomplikowanych przypadkach).

10. Zautomatyzowane Podejmowanie Decyzji i Profilowanie

W celu zapewnienia spersonalizowanego doświadczenia zakupowego, wykorzystujemy algorytmy uczenia maszynowego do analizy zachowań użytkowników.

10.1. Zakres profilowania

Systemy automatyczne analizują następujące dane w celu generowania rekomendacji:

  • Historia przeglądanych i zakupionych produktów (np. białko serwatkowe, kreatyna, witaminy)
  • Zadeklarowane cele fitness (budowa masy, redukcja, wytrzymałość)
  • Demografia (wiek, płeć - jeśli podana dobrowolnie)
  • Częstotliwość i godziny aktywności na platformie
  • Średnia wartość koszyka i preferowane kategorie produktów

10.2. Konsekwencje profilowania

W wyniku analizy algorytmicznej:

  • Otrzymujesz spersonalizowane rekomendacje suplementów dopasowanych do Twoich celów
  • Prezentowane są targetowane oferty promocyjne (np. zniżki na ulubione marki)
  • System podpowiada cykliczne zakupy ("Kupujesz regularnie - ustaw subskrypcję")
  • Optymalizowana jest kolejność wyświetlania produktów w wynikach wyszukiwania

10.3. Prawo do interwencji człowieka

W każdej chwili możesz:

  • Wyłączyć spersonalizowane rekomendacje w ustawieniach konta
  • Sprzeciwić się profilowaniu w celach marketingowych
  • Zażądać wyjaśnienia logiki stojącej za konkretną rekomendacją
  • Zakwestionować decyzję podejmowaną w sposób zautomatyzowany

Ważne: Nie stosujemy w pełni zautomatyzowanych decyzji odmawiających świadczenia usług lub zawarcia umowy (art. 22 ust. 1 RODO). Wszystkie decyzje o kredytowaniu, blokadzie konta czy odmowie sprzedaży są weryfikowane przez pracownika.

11. Środki Bezpieczeństwa i Integralność Danych

Stosujemy kompleksowy system zabezpieczeń technicznych i organizacyjnych, zgodny z art. 32 RODO, aby zapewnić ochronę danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem.

11.1. Środki techniczne

Szyfrowanie

  • W spoczynku (at rest): AES-256 dla baz danych i kopii zapasowych
  • W transmisji (in transit): TLS 1.3 dla wszystkich połączeń HTTPS
  • W aplikacji: Szyfrowanie pól wrażliwych (adresy, dane zdrowotne) na poziomie aplikacji

Bezpieczeństwo infrastruktury

  • Zapory sieciowe (WAF) z ochroną przed atakami SQL Injection i XSS
  • Systemy wykrywania włamań (IDS/IPS)
  • Segmentacja sieci i izolacja środowisk (produkcja, testy, deweloperskie)
  • Regularne skanowanie podatności (pentesty) przeprowadzane przez zewnętrzne podmioty

Kontrola dostępu

  • Uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich pracowników
  • Model uprawnień RBAC (Role-Based Access Control) - zasada najmniejszych uprawnień
  • Rejestrowanie i monitorowanie wszystkich operacji na danych osobowych (audyt logów)
  • Automatyczne wylogowywanie po okresie bezczynności

11.2. Środki organizacyjne

  • Polityka bezpieczeństwa informacji zatwierdzona na poziomie zarządu
  • Regularne szkolenia pracowników z zakresu ochrony danych i phishingu
  • Procedury incydentowe (powiadamianie UODO w ciągu 72 godzin w przypadku naruszenia)
  • Regularne kopie zapasowe i procedury disaster recovery (RPO 1h, RTO 4h)
  • Physical security - kontrolowany dostęp do serwerowni i stacji roboczych

11.3. Certyfikacje i audyty

Systemy Doll - Studio Urody podlegają regularnym audytom bezpieczeństwa zgodnym z normą ISO/IEC 27001 oraz standardami PCI DSS (dla przetwarzania danych płatniczych).

12. Informacje Kontaktowe i Skargi Regulacyjne

W przypadku pytań dotyczących niniejszej Polityki Prywatności, przetwarzania danych osobowych lub chęci wykonania swoich praw, skontaktuj się z nami:

Inspektor Ochrony Danych (IOD)

Email: [email protected]
Telefon: +48 785 319 684pon-pt: 9:00-17:00)
Adres korespondencyjny:
Inspektor Ochrony Danych
Doll - Studio Urody sp. z o.o.
ul. Zdrowia 123
00-001 Warszawa

Wniosek o realizację praw RODO

W celu złożenia wniosku o dostęp, sprostowanie, usunięcie lub inne prawo, wyślij email z tematem zaczynającym się od "RODO - [Twoje imię i nazwisko]". W treści podaj:

  • Imię i nazwisko
  • Adres email powiązany z kontem
  • Określone żądanie (jakie prawo chcesz wykonać)
  • Datę i podpis (w przypadku korespondencji papierowej)

Prawo do wniesienia skargi do organu nadzorczego

Jeśli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, masz prawo wnieść skargę do:

Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2
00-193 Warszawa
Email: [email protected]
Telefon: 22 531 03 00
Strona internetowa: www.uodo.gov.pl

Skargę można złożyć w szczególności w państwie członkowskim Twojego zwykłego pobytu, miejsca pracy lub miejsca popełnienia domniemanego naruszenia.

Inne kanały kontaktu

Dla ogólnych zapytań niezwiązanych z ochroną danych:
Email: [email protected]
Formularz: Strona kontaktowa

Zmiany w Polityce Prywatności będą komunikowane poprzez email (dla zarejestrowanych użytkowników) oraz pop-up na stronie. Zachęcamy do regularnego zapoznawania się z treścią niniejszego dokumentu.