Polityka prywatności

§ 1. Administrator danych osobowych

1. Administratorem danych osobowych zbieranych za pośrednictwem Serwisu MIXLO.pl (dalej: „Serwis") jest Rafał Morawiec prowadzący/a działalność gospodarczą pod firmą Fibloo Rafał Morawiec, z siedzibą w Piekarach Śląskich, ul. Janty 1/1/7, wpisany/a do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), posiadający/a NIP: 4980241765, REGON: 382801422 (dalej: „Administrator").

2. Kontakt z Administratorem w sprawach dotyczących ochrony danych osobowych jest możliwy pod adresem e-mail: [email protected]

§ 2. Definicje

1. Serwis – serwis internetowy dostępny pod adresem MIXLO.pl.
2. Użytkownik – każda osoba fizyczna korzystająca z Serwisu.
3. Kupujący – Użytkownik dokonujący zakupu produktów w Serwisie.
4. Sprzedawca – Użytkownik prowadzący sklep w Serwisie.
5. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
6. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

§ 3. Zakres zbieranych danych osobowych

1. Administrator zbiera następujące dane osobowe Użytkowników:

   a) Przy rejestracji konta:

   • imię i nazwisko
   • adres e-mail
   • numer telefonu
   • nazwa użytkownika
   • hasło (przechowywane w formie zaszyfrowanej)

   b) Przy składaniu zamówienia (dane rozliczeniowe i dostawcze):

   • imię i nazwisko
   • adres e-mail
   • numer telefonu
   • adres pocztowy (ulica, numer budynku, numer mieszkania, kod pocztowy, miasto, kraj)

   c) Przy korzystaniu z Serwisu (dane techniczne):

   • adres IP (w przypadku logowania zgód na pliki cookie – w formie zamaskowanej)
   • identyfikator sesji
   • informacje o przeglądarce internetowej (user agent)
   • data i godzina dostępu do Serwisu

   d) Przy korzystaniu z funkcji komunikacyjnych:

   • treść wiadomości przesyłanych pomiędzy Kupującym a Sprzedawcą

   e) Przy wystawianiu opinii:

   • treść opinii, ocena, data wystawienia

   f) Opcjonalnie (za zgodą Użytkownika):

   • numer telefonu (weryfikacja dwuetapowa)
   • preferencje marketingowe (e-mail, newsletter)

2. W przypadku Sprzedawców, Administrator dodatkowo zbiera dane niezbędne do prowadzenia działalności handlowej w Serwisie, w tym dane przekazywane do operatora płatności (Stripe) w ramach procesu weryfikacji konta.

3. Podanie danych osobowych jest dobrowolne, jednakże niezbędne do korzystania z określonych funkcjonalności Serwisu:

   • podanie danych oznaczonych jako wymagane przy rejestracji (imię, nazwisko, adres e-mail) jest niezbędne do założenia konta – brak ich podania uniemożliwi rejestrację;
   • podanie danych rozliczeniowych i dostawczych jest niezbędne do złożenia i realizacji zamówienia (zawarcia umowy sprzedaży) – brak ich podania uniemożliwi dokonanie zakupu;
   • w przypadku zgód marketingowych (newsletter, komunikacja e-mail), podanie danych jest całkowicie dobrowolne i nie wpływa na możliwość korzystania z pozostałych funkcjonalności Serwisu.

§ 4. Cele i podstawy prawne przetwarzania danych

1. Dane osobowe Użytkowników są przetwarzane w następujących celach i na następujących podstawach prawnych:

   Cel przetwarzania	Podstawa prawna	Dane
   Rejestracja i prowadzenie konta Użytkownika	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)	Imię, nazwisko, e-mail, nazwa użytkownika
   Realizacja zamówień i umów sprzedaży	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)	Dane rozliczeniowe i dostawcze
   Obsługa płatności	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)	Dane przekazywane do Stripe
   Obsługa korespondencji i wiadomości	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)	Treść wiadomości, dane nadawcy
   Wystawianie i zarządzanie opiniami	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)	Treść opinii, dane autora
   Wypełnienie obowiązków podatkowych i rachunkowych	Art. 6 ust. 1 lit. c RODO (obowiązek prawny)	Dane rozliczeniowe
   Wysyłanie komunikacji marketingowej (e-mail, SMS)	Art. 6 ust. 1 lit. a RODO (zgoda)	Adres e-mail, numer telefonu
   Wysyłanie newslettera	Art. 6 ust. 1 lit. a RODO (zgoda) oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną	Adres e-mail
   Powiadomienia o zmianach cen i dostępności produktów	Art. 6 ust. 1 lit. a RODO (zgoda)	Adres e-mail
   Zapewnienie bezpieczeństwa Serwisu i wykrywanie nadużyć	Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes)	Adres IP, dane sesji, user agent
   Logowanie zgód na pliki cookie	Art. 6 ust. 1 lit. c RODO (obowiązek prawny) i art. 7 ust. 1 RODO	Zamaskowany adres IP, zakres zgody, data
   Ustalenie, dochodzenie lub obrona roszczeń	Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes)	Dane transakcyjne, korespondencja

§ 5. Odbiorcy danych osobowych

1. Dane osobowe Użytkowników mogą być przekazywane następującym kategoriom odbiorców:

   a) Operatorzy płatności:

   • Stripe, Inc. (Stripe Payments Europe, Ltd.) – w celu obsługi płatności online. Stripe przetwarza dane w ramach własnej polityki prywatności dostępnej pod adresem: https://stripe.com/privacy

   b) Sprzedawcy:

   • dane Kupującego niezbędne do realizacji zamówienia (imię, nazwisko, adres dostawy, numer telefonu) są udostępniane Sprzedawcy, którego produkty zostały zamówione. Po przekazaniu danych, Sprzedawca staje się odrębnym administratorem danych osobowych Kupującego w zakresie niezbędnym do wykonania umowy sprzedaży i spełnienia obowiązków podatkowych. Administrator nie ponosi odpowiedzialności za przetwarzanie danych osobowych przez Sprzedawcę wykraczające poza ten zakres

   c) Dostawcy usług IT:

   • Cloudflare, Inc. – usługi CDN i przechowywania plików (Cloudflare R2). Polityka prywatności: https://www.cloudflare.com/privacypolicy/
   • Resend, Inc. – usługi wysyłki wiadomości e-mail (powiadomienia transakcyjne i systemowe). Polityka prywatności: https://resend.com/legal/privacy-policy
   • Hetzner Online GmbH - dostawca usług hostingowych i serwerowych zapewniający infrastrukturę techniczną Serwisu. Polityka prywatności: https://www.hetzner.com/legal/privacy-policy/

   d) Podmioty uprawnione na mocy prawa:

   • organy administracji publicznej, sądy, organy ścigania – wyłącznie na podstawie obowiązujących przepisów prawa

2. Administrator nie sprzedaje danych osobowych Użytkowników podmiotom trzecim.

3. Dane osobowe mogą być przekazywane do państw trzecich (poza Europejski Obszar Gospodarczy) w zakresie wynikającym z korzystania z usług dostawców technologii (takich jak Stripe, Cloudflare, Resend). Przekazywanie odbywa się na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską lub decyzji stwierdzającej odpowiedni stopień ochrony (Data Privacy Framework).

§ 6. Okres przechowywania danych

1. Dane osobowe są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane, a w szczególności:

   Kategoria danych	Okres przechowywania
   Dane konta Użytkownika	Do momentu usunięcia konta lub zakończenia świadczenia usług
   Dane transakcyjne (zamówienia, płatności)	5 lat od zakończenia roku podatkowego, w którym dokonano transakcji (obowiązek podatkowy)
   Dane rozliczeniowe Sprzedawców	5 lat od zakończenia roku podatkowego
   Korespondencja (wiadomości)	Do momentu usunięcia konta, nie dłużej niż 3 lata od ostatniej aktywności
   Zgody marketingowe	Do momentu wycofania zgody
   Dane dotyczące zgód na pliki cookie	Przez okres przedawnienia roszczeń (6 lat)
   Dane po usunięciu konta	Anonimizacja danych osobowych; dane zanonimizowane mogą być przechowywane do celów statystycznych

2. Po upływie okresu przechowywania dane osobowe są trwale usuwane lub anonimizowane w sposób uniemożliwiający identyfikację Użytkownika.

§ 7. Prawa Użytkowników

1. Użytkownikowi przysługują następujące prawa wynikające z RODO:

   a) Prawo dostępu do danych (art. 15 RODO): Użytkownik ma prawo uzyskać od Administratora potwierdzenie, czy jego dane osobowe są przetwarzane, a jeśli tak – uzyskać do nich dostęp oraz informacje o celach przetwarzania, kategoriach danych i odbiorcach.

   b) Prawo do sprostowania danych (art. 16 RODO): Użytkownik ma prawo żądania niezwłocznego sprostowania nieprawidłowych danych lub uzupełnienia danych niekompletnych. Użytkownik może samodzielnie edytować swoje dane w ustawieniach konta.

   c) Prawo do usunięcia danych – „prawo do bycia zapomnianym" (art. 17 RODO): Użytkownik ma prawo żądania usunięcia swoich danych osobowych. Serwis umożliwia złożenie wniosku o usunięcie konta w ustawieniach profilu. Po potwierdzeniu, dane osobowe zostaną zanonimizowane, a konto trwale dezaktywowane. Administrator zastrzega, że usunięcie może zostać odroczone, jeśli dane są niezbędne do wypełnienia obowiązku prawnego lub ustalenia, dochodzenia lub obrony roszczeń.

   d) Prawo do ograniczenia przetwarzania (art. 18 RODO): Użytkownik ma prawo żądania ograniczenia przetwarzania danych w przypadkach przewidzianych w RODO.

   e) Prawo do przenoszenia danych (art. 20 RODO): Użytkownik ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłać je innemu administratorowi.

   f) Prawo do sprzeciwu (art. 21 RODO): Użytkownik ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Administratora, w tym wobec profilowania.

   g) Prawo do wycofania zgody (art. 7 ust. 3 RODO): W przypadku przetwarzania danych na podstawie zgody (np. marketing, newsletter, pliki cookie), Użytkownik ma prawo wycofać zgodę w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Zgodę na pliki cookie można wycofać poprzez kliknięcie „Ustawienia cookies" w stopce strony.

2. W celu skorzystania z powyższych praw, Użytkownik może skontaktować się z Administratorem pod adresem e-mail: [email protected]

3. Użytkownik ma prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa), jeśli uzna, że przetwarzanie jego danych osobowych narusza przepisy RODO.

§ 8. Bezpieczeństwo danych

1. Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, w szczególności:

   • szyfrowanie połączenia za pomocą protokołu SSL/TLS
   • przechowywanie haseł w formie zaszyfrowanej (bcrypt)
   • maskowanie adresów IP w logach zgód na pliki cookie (zerowanie ostatniego oktetu IPv4)
   • regularne aktualizacje oprogramowania i monitorowanie bezpieczeństwa
   • ograniczenie dostępu do danych osobowych wyłącznie do osób upoważnionych
   • uwierzytelnianie dwuskładnikowe (2FA) jako opcja dla Użytkowników
   • mechanizm soft-delete przy usuwaniu kont (anonimizacja danych zamiast trwałego usunięcia)

§ 9. Pliki cookie

1. Szczegółowe informacje dotyczące stosowania plików cookie oraz podobnych technologii zawarte są w odrębnym dokumencie – Polityce cookies, dostępnym pod adresem: (https://mixlo.pl/legal/cookies).

§ 10. Zmiany Polityki Prywatności

1. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności w celu dostosowania jej do zmian w obowiązujących przepisach prawa lub zmian w funkcjonalności Serwisu.

2. O istotnych zmianach w Polityce Prywatności Użytkownicy zostaną poinformowani za pośrednictwem Serwisu lub pocztą elektroniczną.

3. Aktualna wersja Polityki Prywatności jest zawsze dostępna na stronie Serwisu. Archiwum poprzednich wersji dostępne jest pod adresem: (https://mixlo.pl/legal/privacy/archive)

§ 11. Profilowanie i automatyczne podejmowanie decyzji

1. Administrator nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, w rozumieniu art. 22 RODO, które wywoływałoby wobec Użytkownika skutki prawne lub w podobny sposób istotnie na niego wpływało.

2. Administrator może wykorzystywać dane dotyczące aktywności Użytkownika w Serwisie (przeglądane produkty, historia zakupów) do personalizacji wyświetlanych treści i rekomendacji produktów, co stanowi profilowanie w celach marketingowych oparte na prawnie uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f RODO). Użytkownik ma prawo sprzeciwu wobec takiego profilowania.

§ 12. Kontakt

1. Wszelkie pytania, wątpliwości lub wnioski dotyczące ochrony danych osobowych należy kierować do Administratora:

   • E-mail: [email protected]