Polityka prywatności

Niniejsza Polityka prywatności („Polityka”) określa zasady przetwarzania danych osobowych oraz wykorzystywania plików cookies i podobnych technologii w serwisie Helvexa prowadzonym przez markę Helvexa, dostępnym pod adresem https://vitamin-quiz.example oraz w powiązanych aplikacjach i formularzach („Serwis”).

Administratorem danych osobowych („Administrator”) jest HELVEXA SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ z siedzibą w Warszawie (ul. Hoża 86/410, 00-682 Warszawa), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0001192526, NIP: 7011276152, REGON: 54264149800000, e-mail: kontakt@helvexa.pl, numer telefonu: +48 576 098 226. Administrator prowadzi sprzedaż spersonalizowanych zestawów suplementów diety, akcesoriów oraz treści cyfrowych (e-book) wraz z quizem diagnostycznym.

Administrator przetwarza dane zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO”), ustawą z 10 maja 2018 r. o ochronie danych osobowych, ustawą z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, ustawą z 30 maja 2014 r. o prawach konsumenta oraz innymi właściwymi przepisami prawa polskiego i Unii Europejskiej.

W zależności od sposobu korzystania z Serwisu Administrator przetwarza następujące kategorie danych: (a) dane identyfikacyjne (imię, nazwisko, wiek, numer zamówienia); (b) dane kontaktowe (adres e-mail, numer telefonu, adres korespondencyjny i dostawy); (c) dane związane z zamówieniem i płatnościami (wybrane produkty, wartość zamówienia, tokeny płatności, status transakcji, preferowana metoda dostawy); (d) dane przekazywane w quizie dotyczące stylu życia, samopoczucia, zdrowia i nawyków (mogą stanowić dane szczególnej kategorii w rozumieniu art. 9 RODO); (e) dane pozyskiwane poprzez formularze kontaktowe i reklamacyjne; (f) dane techniczne, takie jak adres IP, identyfikatory urządzeń, logi serwera, znacznik czasu, informacje zapisywane w localStorage i cookies niezbędne do działania Serwisu.

Dane przetwarzane są w następujących celach i w oparciu o wskazane podstawy prawne: (a) świadczenie usług drogą elektroniczną, w tym przeprowadzenie quizu i prezentacja rekomendacji – art. 6 ust. 1 lit. b RODO; (b) obsługa zamówień, płatności PayU, dostaw InPost lub kurierskich oraz obsługa e-booka – art. 6 ust. 1 lit. b i c RODO; (c) prowadzenie panelu klienta (koszyk, konfiguracje zestawu) i przechowywanie danych w pamięci urządzenia użytkownika – art. 6 ust. 1 lit. b i f RODO; (d) komunikacja z klientem, obsługa reklamacji i zapytań, czat WhatsApp – art. 6 ust. 1 lit. b i f RODO; (e) marketing bezpośredni własnych produktów (newsletter, powiadomienia) – art. 6 ust. 1 lit. a lub f RODO; (f) spełnianie obowiązków podatkowych i rachunkowych – art. 6 ust. 1 lit. c RODO; (g) dochodzenie lub obrona roszczeń – art. 6 ust. 1 lit. f RODO; (h) dane dotyczące zdrowia i samopoczucia zbierane w quizie – na podstawie wyraźnej, dobrowolnej zgody użytkownika (art. 9 ust. 2 lit. a RODO).

Wyrażenie zgody na przetwarzanie danych szczególnych kategorii następuje poprzez aktywne rozpoczęcie quizu po zapoznaniu się z niniejszą Polityką. Zgoda może zostać wycofana w dowolnym momencie, bez wpływu na zgodność z prawem wcześniejszego przetwarzania.

Dane osobowe mogą być udostępniane następującym kategoriom odbiorców: dostawcy usług hostingowych i infrastruktury IT – Vercel Inc. (Irlandia) utrzymujący aplikację, dostawcy usług w chmurze i CDN – Cloudinary Ltd. (UE/USA) obsługujący media, operator płatności PayU S.A., operatorzy usług kurierskich oraz spółka InPost Paczkomaty sp. z o.o., biuro rachunkowe Administratora, kancelarie prawne, podmioty świadczące usługi marketingowe i analityczne współpracujące na podstawie umów powierzenia, dostawcy systemów komunikacji – WhatsApp Ireland Limited, a także organy publiczne uprawnione na podstawie przepisów prawa.

Dane z formularzy kontaktowych i procesu zakupowego przechowywane są w zabezpieczonej bazie MongoDB utrzymywanej na serwerach zlokalizowanych w Unii Europejskiej.

Każdy podmiot przetwarzający dane na zlecenie Administratora działa na podstawie umowy powierzenia i jest zobowiązany do wdrożenia odpowiednich środków bezpieczeństwa zgodnie z art. 28 RODO.

Dane mogą być przekazywane poza Europejski Obszar Gospodarczy do Cloudinary Inc. (Stany Zjednoczone) w zakresie hostingu multimediów oraz do Meta Platforms, Inc. (Stany Zjednoczone) w ramach integracji WhatsApp. W takich przypadkach Administrator stosuje standardowe klauzule umowne Komisji Europejskiej oraz inne wymagane zabezpieczenia przewidziane w rozdziale V RODO.

Informacje o aktualnie stosowanych zabezpieczeniach, podmiotach oraz państwach trzecich udostępniane są na żądanie użytkownika. Kontakt jest możliwy poprzez dane wskazane w niniejszej Polityce.

Dane z zamówień, płatności i dokumentacji rachunkowej są przechowywane przez okres wymagany przepisami prawa podatkowego i rachunkowego (co do zasady 5 lat licząc od końca roku kalendarzowego, w którym wystąpiło zdarzenie gospodarcze).

Dane pozyskane za pośrednictwem quizu i formularzy są przechowywane tak długo, jak jest to konieczne do świadczenia usługi, obsługi zapytań oraz przez okres przedawnienia roszczeń (maksymalnie 6 lat). Dane zapisane w localStorage pozostają na urządzeniu użytkownika do momentu samodzielnego usunięcia poprzez reset quizu lub wyczyszczenie pamięci przeglądarki – Administrator nie ma do nich dostępu.

Dane przetwarzane na podstawie zgody, w szczególności dane marketingowe oraz dane wykorzystywane w quizie po wyrażeniu zgody, przechowywane są do czasu wycofania tej zgody. Po upływie okresów przechowywania dane są usuwane lub anonimizowane.

Użytkownikowi przysługują prawa wynikające z RODO: prawo dostępu do danych, ich sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania, prawo do przenoszenia danych, prawo sprzeciwu wobec przetwarzania oraz prawo do wycofania zgody w dowolnym momencie. W zakresie danych szczególnej kategorii (quiz) wycofanie zgody powoduje zaprzestanie świadczenia usługi wymagającej tych danych.

Wniosek można złożyć drogą elektroniczną lub pocztą tradycyjną. Administrator odpowiada bez zbędnej zwłoki – nie później niż w ciągu 30 dni, z możliwością przedłużenia terminu o kolejne 60 dni w przypadkach skomplikowanych (po uprzednim poinformowaniu użytkownika).

Osoba, której dane dotyczą, ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uzna, że przetwarzanie narusza przepisy RODO.

Serwis jest przeznaczony dla osób pełnoletnich. Quiz suplementacyjny oraz proces zakupowy wymagają potwierdzenia ukończenia 18 lat. Administrator nie zbiera świadomie danych dzieci. W przypadku stwierdzenia, że dane dziecka zostały przekazane bez zgody opiekuna prawnego, Administrator podejmie działania w celu ich usunięcia.

Opiekunowie prawni mogą występować w imieniu nieletnich w zakresie realizacji praw wynikających z RODO.

Administrator stosuje środki techniczne i organizacyjne adekwatne do ryzyka, m.in. szyfrowanie TLS, mechanizmy kontroli dostępu, regularne testy aplikacji, procedury zarządzania incydentami oraz pseudonimizację danych wrażliwych tam, gdzie to możliwe.

Dane użytkowników są zapisywane w bazie MongoDB zarządzanej na serwerach zlokalizowanych na terenie Unii Europejskiej, w infrastrukturze spełniającej wymogi bezpieczeństwa i zgodności z RODO.

W przypadku naruszenia ochrony danych Administrator wdraża procedury przewidziane w art. 33–34 RODO, w tym ocenę ryzyka, zgłoszenie naruszenia organowi nadzorczemu oraz – gdy jest to wymagane – poinformowanie osób, których dane dotyczą.

Serwis wykorzystuje niezbędne cookies oraz localStorage w celu zapewnienia prawidłowego działania sklepu (utrzymanie koszyka, konfiguracja planu suplementacyjnego, pomiar czasu promocji), a także zapamiętania odpowiedzi w quizie. Te pliki są instalowane na podstawie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO) i nie wymagają zgody.

Dodatkowe cookies analityczne lub marketingowe są stosowane wyłącznie po uzyskaniu zgody użytkownika. Informacja o kategoriach cookies, okresie ich przechowywania oraz listą partnerów jest dostępna w banerze zgód i panelu preferencji. Zgoda może być wycofana w dowolnym momencie.

Użytkownik może zarządzać cookies z poziomu przeglądarki: blokować je, usuwać lub ustawiać powiadomienia o ich instalacji. Zmiana ustawień może jednak wpłynąć na niektóre funkcje Serwisu, w tym utrzymanie koszyka czy zapis konfiguracji planu.

W sprawach dotyczących przetwarzania danych osobowych oraz realizacji praw osób, których dane dotyczą, można kontaktować się z Administratorem pod adresem e-mail: kontakt@helvexa.pl lub pisemnie na adres siedziby wskazany w pkt 1.

Serwis wykorzystuje odpowiedzi udzielone w quizie do przeprowadzenia profilowania i przygotowania spersonalizowanych zestawów suplementów. Profilowanie opiera się na wewnętrznym algorytmie i bazie wiedzy ekspertów Helvexa. Wynik profilowania ma charakter rekomendacyjny, nie wywołuje skutków prawnych i nie stanowi porady medycznej.

Użytkownik może w każdej chwili sprzeciwić się profilowaniu lub zażądać przedstawienia informacji o logice działania algorytmu oraz jego konsekwencjach.

Polityka może być aktualizowana w przypadku zmian funkcjonalności Serwisu, rozszerzenia oferty o nowe produkty lub metody płatności, zmian przepisów prawa lub zaleceń organów nadzorczych. O istotnych zmianach Administrator informuje poprzez komunikat w Serwisie oraz – jeśli to konieczne – drogą mailową.

Wersje archiwalne Polityki są przechowywane przez Administratora i udostępniane na żądanie użytkownika. Nowa wersja wchodzi w życie z dniem publikacji, chyba że komunikat stanowi inaczej.

Organem właściwym w sprawach ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, tel. +48 22 531 03 00, https://uodo.gov.pl.