Polityka Prywatności i Polityka Cookies

CZĘŚĆ I — POLITYKA PRYWATNOŚCI

§ 1. Postanowienia ogólne

1. Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych Użytkowników serwisu internetowego dostępnego pod adresem https://kovalskyfoodacademy.pl (zwanego dalej „Serwisem” lub „Sklepem”).
2. Polityka została opracowana zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.).
3. Korzystanie z Serwisu, w tym składanie zamówień, oznacza akceptację postanowień niniejszej Polityki.

§ 2. Administrator danych osobowych

1. Administratorem danych osobowych Użytkowników jest: Hubert Kowalski Kovalsky Food Academy ul. Tadeusza Sygietyńskiego 3/9 97-300 Piotrków Trybunalski NIP: 7712944304 REGON: 544716310 zwany dalej „Administratorem”.
2. Kontakt z Administratorem w sprawach dotyczących przetwarzania danych osobowych możliwy jest:
   • drogą elektroniczną: [kontakt@kovalskyfoodacademy.pl]
   • korespondencyjnie na adres siedziby działalności wskazany powyżej.
3. Administrator nie wyznaczył Inspektora Ochrony Danych (IOD), ponieważ nie jest do tego zobowiązany na podstawie art. 37 RODO.

§ 3. Definicje

1. RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679.
2. Dane osobowe — wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
3. Użytkownik — każda osoba fizyczna korzystająca z Serwisu.
4. Klient — Użytkownik dokonujący zakupu Produktu cyfrowego lub Usługi edukacyjnej w Sklepie.
5. Przetwarzanie — operacje wykonywane na danych osobowych (zbieranie, utrwalanie, przechowywanie, modyfikowanie, udostępnianie, usuwanie itp.).
6. Zgoda — dobrowolne, konkretne, świadome i jednoznaczne wyrażenie woli Użytkownika.

§ 4. Cele, podstawy prawne i okres przechowywania danych

Administrator przetwarza dane osobowe Użytkowników w następujących celach:

4.1 Realizacja umów sprzedaży i świadczenia usług

• Dane: imię, nazwisko, adres e-mail, adres (dla faktury), telefon (opcjonalnie), NIP (dla firm)
• Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy)
• Okres przechowywania: do czasu zakończenia realizacji umowy, a po jej zakończeniu — przez okres niezbędny do dochodzenia roszczeń (do 6 lat)

4.2 Wystawianie i przechowywanie faktur oraz dokumentów księgowych

• Dane: imię, nazwisko / nazwa firmy, adres, NIP, dane zamówienia
• Podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny — Ustawa o VAT, Ustawa o rachunkowości, Ordynacja podatkowa)
• Okres przechowywania: 5 lat od końca roku kalendarzowego, w którym powstał obowiązek podatkowy

4.3 Rozpatrywanie reklamacji

• Dane: dane kontaktowe, dane zamówienia, treść reklamacji
• Podstawa prawna: art. 6 ust. 1 lit. b i c RODO
• Okres przechowywania: do czasu zakończenia procedury reklamacyjnej, a następnie do upływu terminów przedawnienia roszczeń

4.4 Świadczenie usługi Newsletter

• Dane: adres e-mail (opcjonalnie imię)
• Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda Użytkownika) oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną
• Okres przechowywania: do czasu wycofania zgody przez Użytkownika

4.5 Konsultacje edukacyjne — komunikacja z Klientem i realizacja usługi

• Dane: dane kontaktowe, dane z formularza wstępnego, opcjonalnie dane dotyczące zdrowia (patrz § 5)
• Podstawa prawna: art. 6 ust. 1 lit. b RODO (umowa) oraz art. 9 ust. 2 lit. a RODO (wyraźna zgoda — w zakresie danych zdrowotnych)
• Okres przechowywania: przez okres realizacji konsultacji oraz do upływu terminów przedawnienia roszczeń (3 lata od ostatniej konsultacji)

4.6 Marketing własnych produktów i usług Administratora

• Dane: adres e-mail, dane o zakupach, dane o aktywności w Serwisie
• Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora — marketing bezpośredni wobec istniejących Klientów) oraz art. 6 ust. 1 lit. a RODO (zgoda — w zakresie marketingu spersonalizowanego)
• Okres przechowywania: do czasu wniesienia skutecznego sprzeciwu lub do 3 lat od ostatniego kontaktu

4.7 Cele techniczne i bezpieczeństwa Serwisu

• Dane: dane techniczne (adres IP, typ przeglądarki, dane o sesji)
• Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes — zapewnienie bezpieczeństwa i prawidłowego działania Serwisu)
• Okres przechowywania: logi serwera do 12 miesięcy

4.8 Dochodzenie roszczeń i obrona przed roszczeniami

• Dane: wszystkie dane niezbędne do prowadzenia postępowania
• Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes)
• Okres przechowywania: do upływu terminów przedawnienia roszczeń, maksymalnie 6 lat

§ 5. Przetwarzanie danych szczególnej kategorii (dane dotyczące zdrowia)

1. W ramach świadczonych Usług edukacyjnych (konsultacji online) Klient może dobrowolnie przekazać Administratorowi informacje dotyczące swojego zdrowia — w szczególności:
   • informacje o zdiagnozowanych chorobach (np. insulinooporność, cukrzyca),
   • wyniki badań laboratoryjnych,
   • przyjmowane leki lub suplementy,
   • inne informacje o stanie zdrowia istotne dla celu konsultacji.
2. Dane te stanowią dane szczególnej kategorii w rozumieniu art. 9 ust. 1 RODO i są przetwarzane wyłącznie:
   • na podstawie wyraźnej zgody Klienta wyrażonej przed udzieleniem informacji (art. 9 ust. 2 lit. a RODO),
   • w celu świadczenia konsultacji edukacyjnej dostosowanej do sytuacji Klienta.
3. Przekazanie tych danych jest całkowicie dobrowolne. Klient może:
   • nie udzielać informacji o stanie zdrowia,
   • cofnąć zgodę w każdym momencie (bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem),
   • zażądać usunięcia tych danych w trybie określonym w § 8.
4. Administrator stosuje podwyższone środki bezpieczeństwa w odniesieniu do tych danych:
   • dane przechowywane są w formie zaszyfrowanej,
   • dostęp do nich ma wyłącznie Administrator,
   • dane nie są wykorzystywane do celów marketingowych ani analitycznych,
   • dane nie są przekazywane podmiotom trzecim z wyjątkiem sytuacji wymaganych prawem.
5. Administrator nie świadczy usług medycznych — przekazane informacje wykorzystywane są wyłącznie w kontekście edukacyjnym i nie stanowią podstawy do diagnozowania, leczenia ani porady lekarskiej.

§ 6. Odbiorcy danych osobowych

1. Dane osobowe Użytkowników mogą być przekazywane następującym kategoriom odbiorców: a) Dostawca hostingu — Hostinger International Ltd. (siedziba: Cypr, infrastruktura: Litwa/Niemcy — EOG). b) Operator płatności — PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg. Pełne informacje o przetwarzaniu danych: https://www.paypal.com/pl/legalhub/privacy-full. c) Operator usługi Newsletter — UAB „MailerLite”, J. Basanavičiaus 15, LT-03108 Wilno, Litwa. Polityka prywatności MailerLite: https://www.mailerlite.com/legal/privacy-policy. d) Dostawca narzędzia do wideokonferencji — Google LLC (Google Meet), 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Polityka prywatności Google: https://policies.google.com/privacy. e) Dostawca narzędzi marketingowych (Google Ads) — Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia oraz Google LLC (USA). f) Biuro rachunkowe — CashDirector S.A. z siedzibą w Warszawie przy Al. Jerozolimskie 96, 00-807 Warszawa, wpisana pod numerem KRS 0000424600 do rejestru przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy, kapitał zakładowy: 17.251.055 zł w pełni opłacony, NIP: 522 288 57 34, REGON: 141400865. Odbiorca danych w zakresie niezbędnym do prowadzenia ksiąg rachunkowych i obsługi podatkowej. g) Organy państwowe — sądy, organy administracji publicznej, organy ścigania — w zakresie i na podstawie obowiązujących przepisów prawa.
2. Wszystkie podmioty przetwarzające dane na zlecenie Administratora robią to na podstawie umowy powierzenia przetwarzania danych zgodnie z art. 28 RODO.
3. Administrator nie sprzedaje danych osobowych Użytkowników podmiotom trzecim.

§ 7. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

1. Niektóre narzędzia wykorzystywane przez Administratora mogą przekazywać dane osobowe do państw trzecich, w szczególności Stanów Zjednoczonych (Google LLC w ramach usług Google Meet oraz Google Ads).
2. Przekazywanie danych do USA odbywa się na podstawie:
   • Decyzji Komisji Europejskiej z dnia 10 lipca 2023 r. w sprawie odpowiedniego stopnia ochrony danych osobowych zapewnianego przez ramy ochrony danych UE-USA (EU-US Data Privacy Framework) — Google jest certyfikowanym uczestnikiem,
   • lub Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską.
3. Administrator weryfikuje, czy zewnętrzni dostawcy gwarantują odpowiedni poziom ochrony danych zgodnie z RODO.
4. Użytkownik może uzyskać kopię stosowanych zabezpieczeń, kontaktując się z Administratorem.

§ 8. Prawa Użytkownika

W związku z przetwarzaniem danych osobowych Użytkownikowi przysługują następujące prawa:

1. Prawo dostępu do danych (art. 15 RODO) — uzyskanie informacji o przetwarzanych danych oraz ich kopii.
2. Prawo do sprostowania (art. 16 RODO) — poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
3. Prawo do usunięcia („prawo do bycia zapomnianym”) (art. 17 RODO) — usunięcia danych, jeżeli nie są już niezbędne lub Użytkownik cofnął zgodę.
4. Prawo do ograniczenia przetwarzania (art. 18 RODO).
5. Prawo do przenoszenia danych (art. 20 RODO) — otrzymania danych w ustrukturyzowanym formacie lub przeniesienia ich do innego administratora.
6. Prawo do wniesienia sprzeciwu (art. 21 RODO) — szczególnie wobec przetwarzania danych do celów marketingowych.
7. Prawo do cofnięcia zgody w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
8. Prawo do niepodlegania zautomatyzowanym decyzjom (art. 22 RODO) — Administrator nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, wywołującego skutki prawne wobec Użytkownika.
9. Prawo do wniesienia skargi do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych (UODO) ul. Stawki 2, 00-193 Warszawa tel. 22 531 03 00 strona: https://uodo.gov.pl

W celu realizacji powyższych praw Użytkownik może skontaktować się z Administratorem drogą e-mailową: [kontakt@kovalskyfoodacademy.pl]. Administrator odpowiada na zgłoszenie w terminie do 30 dni od jego otrzymania.

§ 9. Bezpieczeństwo danych

1. Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę danych osobowych przed nieautoryzowanym dostępem, utratą, modyfikacją lub ujawnieniem, w szczególności:
   • szyfrowanie SSL/TLS (certyfikat HTTPS) całej komunikacji w Serwisie,
   • hasła zabezpieczające dostęp do panelu administracyjnego Serwisu,
   • kopie zapasowe wykonywane regularnie,
   • dostęp do danych ograniczony do osób upoważnionych,
   • aktualizacje oprogramowania Serwisu i wykorzystywanych wtyczek.
2. Pomimo stosowanych zabezpieczeń, Administrator informuje, że przekazywanie danych przez internet nigdy nie jest w 100% bezpieczne. W razie wykrycia naruszenia ochrony danych Administrator niezwłocznie zgłosi je do UODO oraz, w razie wysokiego ryzyka, poinformuje Użytkowników, których dane naruszono.

---

CZĘŚĆ II — POLITYKA PLIKÓW COOKIES

§ 10. Czym są pliki cookies

1. Pliki cookies (tzw. „ciasteczka”) to niewielkie pliki tekstowe zapisywane przez przeglądarkę internetową na urządzeniu Użytkownika podczas korzystania z Serwisu.
2. Cookies zawierają zazwyczaj nazwę strony internetowej, z której pochodzą, czas przechowywania oraz unikalny numer.
3. Cookies nie zawierają danych osobowych Użytkownika, mogą jednak — w połączeniu z innymi danymi — pozwolić na identyfikację Użytkownika. Z tego powodu są objęte ochroną RODO oraz art. 173 ustawy Prawo telekomunikacyjne.

§ 11. Rodzaje wykorzystywanych cookies

Administrator wykorzystuje w Serwisie następujące rodzaje cookies:

11.1 Cookies niezbędne (techniczne)

• Cel: zapewnienie prawidłowego funkcjonowania Serwisu, w szczególności logowania, obsługi koszyka, sesji zakupowej, zapamiętania preferencji Użytkownika.
• Czas przechowywania: sesyjne lub do 1 roku.
• Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora — zapewnienie funkcjonalności).
• Wymagana zgoda: NIE (są niezbędne do funkcjonowania Serwisu).

11.2 Cookies marketingowe (Google Ads)

• Cel: prezentowanie spersonalizowanych reklam Administratora w sieci reklamowej Google, mierzenie skuteczności kampanii reklamowych, remarketing.
• Stosowane narzędzia: Google Ads (Google Ireland Limited / Google LLC).
• Czas przechowywania: do 540 dni.
• Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda Użytkownika).
• Wymagana zgoda: TAK.

11.3 Cookies funkcjonalne

• Cel: zapamiętywanie preferencji Użytkownika (np. język, wybrana waluta, ustawienia widoku).
• Czas przechowywania: do 1 roku.
• Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda Użytkownika).
• Wymagana zgoda: TAK.

§ 12. Zarządzanie plikami cookies

1. Podczas pierwszej wizyty w Serwisie Użytkownik widzi baner zgody na cookies, w którym może:
   • zaakceptować wszystkie cookies,
   • odrzucić cookies opcjonalne (marketingowe, funkcjonalne),
   • skonfigurować szczegółowo, na które kategorie cookies wyraża zgodę.
2. Zgoda może być w każdej chwili zmieniona lub wycofana poprzez:
   • kliknięcie odpowiedniego linku w stopce Serwisu,
   • zmianę ustawień przeglądarki internetowej.
3. Większość przeglądarek internetowych domyślnie akceptuje pliki cookies. Użytkownik może w każdej chwili zmienić ustawienia swojej przeglądarki, aby:
   • blokować cookies,
   • usuwać już zapisane cookies,
   • otrzymywać powiadomienia przed zapisaniem cookie.
4. Instrukcje zarządzania cookies w popularnych przeglądarkach:
   • Google Chrome: https://support.google.com/chrome/answer/95647
   • Mozilla Firefox: https://support.mozilla.org/pl/kb/usuwanie-ciasteczek
   • Microsoft Edge: https://support.microsoft.com/pl-pl/microsoft-edge
   • Safari: https://support.apple.com/pl-pl/HT201265
5. Administrator informuje, że zablokowanie cookies niezbędnych może spowodować nieprawidłowe działanie niektórych funkcjonalności Serwisu, w szczególności składania zamówień.

§ 13. Logi serwera

1. Serwer hostingowy automatycznie zapisuje logi serwera zawierające m.in.:
   • adres IP Użytkownika,
   • typ przeglądarki internetowej,
   • datę i czas wizyty,
   • przeglądane strony,
   • źródło ruchu (referer).
2. Dane te przetwarzane są w celach technicznych i analitycznych przez Administratora oraz dostawcę hostingu (Hostinger).
3. Logi serwera nie są łączone z danymi osobowymi Użytkowników i służą wyłącznie do administrowania Serwisem.
4. Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes — zapewnienie bezpieczeństwa i prawidłowego działania Serwisu).

---

CZĘŚĆ III — POSTANOWIENIA KOŃCOWE

§ 14. Zmiany Polityki

1. Niniejsza Polityka wchodzi w życie z dniem 07.05.2026.
2. Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce. O istotnych zmianach Użytkownicy zostaną poinformowani:
   • poprzez komunikat na stronie głównej Serwisu,
   • w przypadku osób posiadających Konto — drogą e-mailową co najmniej 14 dni przed wejściem zmian w życie.
3. Zmiany Polityki nie wpływają na zgodność z prawem przetwarzania danych dokonanego przed wejściem w życie nowej wersji.
4. Aktualna wersja Polityki dostępna jest zawsze pod adresem https://kovalskyfoodacademy.pl/polityka-prywatnosci.