PoC headless · /polityka-prywatnosci · renderowany HTML (core WPGraphQL — Content Blocks nieaktywny)

Polityka prywatności — Korban Professional (Saint Hair Europe Sp. z o.o.)

Wersja: KPROF-PRIV-v2

Obowiązuje od: 2026-05-19

Poprzednia wersja: v1 (data nieznana, brak daty na żywej stronie)

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

Saint Hair Europe Sp. z o.o.

ul. Karola Marcinkowskiego 8a/1

85-056 Bydgoszcz

NIP: 9671483384

REGON: 540589167

KRS: 0001147669

Kontakt w sprawach danych osobowych: kontakt@korbanprofessional.pl

Telefon: +48 720 803 375 (dni robocze 8:00–16:00)

Marka Korban Professional stanowi działalność handlową prowadzoną przez Saint Hair Europe Sp. z o.o.

2. Cele i podstawy prawne przetwarzania (art. 6 RODO)

Cel Podstawa prawna Okres przechowywania
a) Zawarcie i wykonanie umowy sprzedaży (zamówienia w sklepie dev.korbanprofessional.pl) art. 6 ust. 1 lit. b RODO (wykonanie umowy) przez czas trwania umowy + 6 lat (rozliczenia podatkowe)
b) Rozpatrywanie reklamacji, gwarancji, zwrotów art. 6 ust. 1 lit. b i c RODO (umowa + obowiązki prawne) przez czas trwania umowy + 2 lata
c) Wystawienie i przechowywanie faktur art. 6 ust. 1 lit. c RODO (obowiązek ustawowy, art. 86 § 1 Ordynacji podatkowej) 5 lat od końca roku, w którym wystawiono fakturę
d) Newsletter, mailing marketingowy, follow-up po targach art. 6 ust. 1 lit. a RODO (Twoja zgoda) do wycofania zgody, max 5 lat od ostatniej aktywności
e) Komunikacja WhatsApp / SMS marketingowa art. 6 ust. 1 lit. a RODO (Twoja zgoda) do wycofania zgody, max 5 lat od ostatniej aktywności
f) Profilowanie marketingowe (dopasowanie ofert do Twoich aktywności) art. 6 ust. 1 lit. a RODO (Twoja zgoda) do wycofania zgody, max 24 miesiące
g) Marketing własnych produktów drogą tradycyjną (np. ulotka w paczce) art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora) do wniesienia sprzeciwu
h) Obsługa zapytań kontaktowych (formularz, email, telefon) art. 6 ust. 1 lit. f RODO (uzasadniony interes — udzielenie odpowiedzi) 12 miesięcy od ostatniej korespondencji
i) Analityka ruchu na stronie (statystyki — Plausible, agregowane) art. 6 ust. 1 lit. f RODO (uzasadniony interes — poprawa serwisu) 25 miesięcy (zgodnie z konfiguracją narzędzia)
j) Reklama Google Ads, Facebook Ads (retargeting, lookalike) art. 6 ust. 1 lit. a RODO (Twoja zgoda przez cookies) do wycofania zgody, max 24 miesiące
k) Dochodzenie i obrona roszczeń art. 6 ust. 1 lit. f RODO (uzasadniony interes) do upływu terminu przedawnienia

3. Kategorie danych

W zależności od celu przetwarzamy następujące dane:

  • Identyfikacyjne: imię, nazwisko, nazwa firmy/salonu, NIP (dla B2B)
  • Kontaktowe: e-mail, telefon, adres dostawy, adres rozliczeniowy
  • Transakcyjne: historia zamówień, kwoty, sposoby płatności
  • Behawioralne: aktywność w sklepie, otwarcia maili, kliknięcia (jeśli wyrażono zgodę)
  • Techniczne: adres IP (anonimizowany w analityce), przeglądarka, system operacyjny — zbierane przez pliki cookies (zob. sekcja 7)

4. Odbiorcy danych (procesory)

Twoje dane mogą być przekazane następującym podmiotom przetwarzającym, na podstawie umów powierzenia (art. 28 RODO):

Podmiot Cel Lokalizacja serwerów DPA
Hostinger sp. z o.o. Hosting sklepu dev.korbanprofessional.pl UE tak
BaseLinker sp. z o.o. Zarządzanie zamówieniami i wysyłką UE (Polska) tak
Brevo SAS (dawniej Sendinblue) Wysyłka maili marketingowych i transakcyjnych UE (Francja) tak
Plausible Insights OÜ (lub self-hosted EU) Analityka ruchu strony (cookieless) UE (Niemcy / własna instancja w Polsce) tak
Twenty Sàrl (instancja self-hosted) CRM (zarządzanie kontaktami) UE (własny serwer w Polsce) nie dotyczy (własna infrastruktura)
PayU S.A. / Przelewy24 Obsługa płatności online UE (Polska) tak
InPost / DPD / DHL / Poczta Polska Dostawa zamówień UE (Polska) tak
Google LLC (Google Ads, Google Analytics, Google Tag Manager — tylko po wyrażeniu zgody przez banner cookies) Reklama i analityka USA (SCC + Data Privacy Framework) tak
Meta Platforms Ireland Ltd. (Facebook, Instagram Ads — tylko po wyrażeniu zgody przez banner cookies) Reklama i remarketing UE (Irlandia) + USA (SCC + DPF) tak
Biuro księgowe (na podstawie odrębnej umowy) Księgowość, rozliczenia podatkowe UE (Polska) tak

Przekazania poza EOG: Google i Meta mają serwery w USA. Korzystamy z Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską oraz z Data Privacy Framework (DPF) dla tych dostawców, którzy są certyfikowani.

5. Klauzula informacyjna (art. 13 RODO)

Niniejsza polityka stanowi pełną klauzulę informacyjną w rozumieniu art. 13 RODO. W szczególności informujemy że:

  • a) Administratorem danych jest podmiot wskazany w sekcji 1.
  • b) Cele i podstawy prawne — zob. sekcja 2.
  • c) Odbiorcy danych — zob. sekcja 4.
  • d) Okres przechowywania — zob. sekcja 2 (kolumna „Okres przechowywania”).
  • e) Przysługujące prawa — zob. sekcja 6.
  • f) Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  • g) Podanie danych przy zawarciu umowy sprzedaży jest dobrowolne, ale niezbędne do wykonania umowy. Brak podania uniemożliwia zakup. Podanie danych do newslettera / marketingu jest dobrowolne — brak nie ma skutków.
  • h) Dane nie są wykorzystywane do podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu wywołującym skutki prawne. Profilowanie marketingowe (jeśli wyrażono zgodę) nie wywołuje takich skutków.

6. Twoje prawa (art. 15-22 RODO)

Masz prawo:

  1. Dostępu do danych (art. 15 RODO) — uzyskania kopii Twoich danych
  2. Sprostowania (art. 16 RODO) — poprawienia nieprawidłowych danych
  3. Usunięcia / „prawo do bycia zapomnianym” (art. 17 RODO) — gdy dane nie są już potrzebne, zgoda została cofnięta, lub przetwarzanie jest niezgodne z prawem
  4. Ograniczenia przetwarzania (art. 18 RODO)
  5. Przenoszenia danych (art. 20 RODO) — otrzymania danych w formacie strukturalnym (JSON/CSV) i przesłania ich do innego administratora
  6. Sprzeciwu (art. 21 RODO) — zwłaszcza wobec przetwarzania opartego na art. 6 ust. 1 lit. f (uzasadniony interes), w tym marketingu tradycyjnego
  7. Wycofania zgody (art. 7 ust. 3 RODO) — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania przed wycofaniem. Sposób wycofania:

Mailing: kliknij „Nie chcę więcej wiadomości” w stopce dowolnej wiadomości, lub napisz na kontakt@korbanprofessional.pl

WhatsApp / SMS: odpisz słowem STOP, lub napisz na kontakt@korbanprofessional.pl

Cookies: kliknij „Zarządzaj zgodami” w stopce strony i odznacz odpowiednie kategorie

  1. Wniesienia skargi do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl)

Realizacja praw: napisz na kontakt@korbanprofessional.pl. Odpowiadamy w ciągu 30 dni (max 90 dni przy skomplikowanych żądaniach, z uprzedzeniem).

7. Pliki cookies i technologie śledzące

Strona dev.korbanprofessional.pl używa plików cookies oraz podobnych technologii (localStorage, sessionStorage, pixels).

7.1 Kategorie cookies

Kategoria Cel Wymagana zgoda Przykłady
Niezbędne (Necessary) Funkcjonowanie sklepu, koszyk, sesja zalogowania NIE (art. 6 ust. 1 lit. b — wykonanie umowy) PHPSESSID, woocommerce_cart_*, wcml_client_* (currency/language), cookieyes-consent
Preferencje (Preferences) Zapamiętanie ustawień (język, waluta, lista życzeń) tak (art. 6 ust. 1 lit. a) wp_lang, breakdance_*
Statystyka (Statistics) Analityka ruchu, popularność stron tak (art. 6 ust. 1 lit. a) Plausible (cookieless — bez plików cookies!), _ga, _ga_*, _gid (Google Analytics)
Marketing Reklama, retargeting, mailingi tak (art. 6 ust. 1 lit. a) _fbp, _fbc, fr (Facebook Pixel), _gcl_au, IDE (Google Ads), c_user

7.2 Zarządzanie zgodą

Przy pierwszej wizycie wyświetlamy banner cookies (CookieYes), gdzie możesz:

  • Zaakceptować wszystkie (Accept All)
  • Odrzucić wszystkie (Reject All — równie widoczny przycisk)
  • Dostosować ustawienia (Customize) — wybrać per kategoria

Twoja decyzja jest zapisywana w cookie cookieyes-consent i obowiązuje 365 dni. Po tym czasie banner pojawi się ponownie. W każdej chwili możesz zmienić wybory klikając „Zarządzaj zgodami” w stopce strony.

7.3 Plausible — dlaczego nie wymaga zgody

Plausible Analytics to alternatywa dla Google Analytics która nie używa plików cookies ani nie zbiera danych osobowych. Mierzy tylko anonimowe statystyki agregowane (liczba wizyt, źródła ruchu, popularne strony). Z tego powodu nie wymaga zgody — działa od momentu wejścia na stronę, ale nie pozwala na identyfikację konkretnej osoby.

7.4 Google Consent Mode v2

Jeśli zaakceptujesz kategorie „Statistics” i/lub „Marketing”, aktywujemy Google Consent Mode v2 — system, w którym Google Tag Manager dostosowuje sposób ładowania skryptów Google (Analytics, Ads) do Twojej zgody.

8. Bezpieczeństwo danych

Stosujemy adekwatne środki techniczne i organizacyjne:

  • Szyfrowanie transmisji (HTTPS / TLS 1.3) dla wszystkich komunikacji ze stroną
  • Szyfrowanie haseł (bcrypt) w bazie danych
  • Regularne kopie zapasowe (codziennie, retencja 30 dni)
  • Dostęp ograniczony do osób autoryzowanych (zasada minimalnych uprawnień)
  • Logi dostępu do systemów CRM i hostingu (retencja 12 mc)
  • Aktualizacje bezpieczeństwa WordPress, WooCommerce, wtyczek (max 14 dni od publikacji)
  • MFA (uwierzytelnianie dwuetapowe) dla kont administracyjnych

9. Procedura zgłaszania naruszeń

W przypadku naruszenia ochrony danych osobowych:

  • Zgłoszenie do Prezesa UODO w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO)
  • Powiadomienie osób, których dane dotyczą, gdy naruszenie może powodować wysokie ryzyko (art. 34 RODO)

10. Postanowienia końcowe

  • Polityka może być aktualizowana w związku ze zmianami przepisów lub rozwojem usług
  • Każda istotna zmiana będzie ogłaszana z 14-dniowym wyprzedzeniem na stronie głównej
  • W przypadku pytań związanych z ochroną danych osobowych prosimy o kontakt: kontakt@korbanprofessional.pl

Data ostatniej aktualizacji: 2026-05-19

Wersja: KPROF-PRIV-v2

Hash SHA-256 tej wersji: _do wyliczenia po publikacji (sha256sum POLITYKA-PRYWATNOSCI-v2.md)_