Polityka Prywatności

1. Administrator danych osobowych

Administratorem danych osobowych, w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej: „RODO"), jest:

Administrator nie powołał Inspektora Ochrony Danych. We wszystkich sprawach związanych z przetwarzaniem danych osobowych można kontaktować się bezpośrednio z administratorem pod adresem e-mail wskazanym powyżej.

2. Zakres zbieranych danych

Administrator zbiera i przetwarza wyłącznie te dane osobowe, które są niezbędne do realizacji wskazanych celów. W zależności od formy kontaktu i wykorzystanej usługi mogą to być:

• Dane podane w formularzach kontaktowych: imię i nazwisko, służbowy adres e-mail, nazwa firmy, stanowisko, numer telefonu (opcjonalnie).
• Dane techniczne: adres IP, identyfikator przeglądarki, typ urządzenia, system operacyjny, data i godzina odwiedzin, źródło wejścia (referrer), parametry UTM.
• Dane z plików cookies i podobnych technologii — zgodnie z sekcją 9 niniejszej Polityki.
• Dane z integracji z platformami zewnętrznymi (np. Pinterest, Meta, Google) — wyłącznie w zakresie udzielonych przez użytkownika zgód i autoryzacji OAuth. Dotyczy to identyfikatorów kont, publicznych metadanych boardów oraz tokenów dostępowych niezbędnych do działania zautomatyzowanych narzędzi marketingowych administratora.

Administrator nie zbiera danych szczególnej kategorii (art. 9 RODO) ani danych dotyczących wyroków skazujących (art. 10 RODO).

3. Cele i podstawy prawne przetwarzania

Dane osobowe są przetwarzane w następujących celach:

4. Odbiorcy danych i podmioty przetwarzające

Administrator powierza przetwarzanie danych osobowych zaufanym podmiotom (procesorom) na podstawie umów powierzenia zgodnych z art. 28 RODO. Kategorie odbiorców:

• Hosting i infrastruktura: Vercel Inc. (USA), OVH Sp. z o.o. (UE), Supabase Inc. (USA).
• Komunikacja e-mail: Resend Inc. (USA) — wysyłka wiadomości transakcyjnych.
• Platformy marketingowe i analityczne: Google LLC (Google Analytics, Google Ads), Meta Platforms Ireland Ltd. (Facebook, Instagram), Pinterest Inc. (USA).
• Narzędzia biznesowe: Notion Labs Inc., Anthropic PBC, OpenAI Inc., Microsoft Corporation — w zakresie obsługi procesów wewnętrznych administratora.
• Kontrahenci administracyjni: biuro rachunkowe, kancelaria prawna — wyłącznie w zakresie niezbędnym do świadczenia usług.

Dane osobowe nie są sprzedawane ani udostępniane osobom trzecim w celach niezwiązanych z realizacją wskazanych powyżej celów.

5. Przekazywanie danych poza Europejski Obszar Gospodarczy

Część podmiotów przetwarzających (np. Vercel, Supabase, Resend, Pinterest, OpenAI, Anthropic) ma siedzibę w Stanach Zjednoczonych. Przekazywanie danych odbywa się w oparciu o:

• decyzję Komisji Europejskiej z 10 lipca 2023 r. w sprawie EU–U.S. Data Privacy Framework (dla podmiotów certyfikowanych);
• standardowe klauzule umowne zatwierdzone przez Komisję Europejską (SCC) zgodnie z art. 46 ust. 2 lit. c RODO — dla pozostałych podmiotów.

Użytkownik ma prawo zażądać kopii zastosowanych zabezpieczeń pisząc na adres administratora.

6. Okres przechowywania danych

Okres przechowywania danych jest ustalany indywidualnie dla każdego celu (patrz tabela w sekcji 3). Po upływie tego okresu dane są trwale usuwane lub anonimizowane, chyba że obowiązujące przepisy prawa wymagają dłuższego przechowywania.

7. Prawa osób, których dane dotyczą

Każdej osobie, której dane są przetwarzane, przysługują następujące prawa wynikające z RODO:

• Prawo dostępu (art. 15) — uzyskanie informacji o przetwarzanych danych i ich kopii.
• Prawo do sprostowania (art. 16) — korekta nieprawidłowych lub nieaktualnych danych.
• Prawo do usunięcia danych (art. 17) — tzw. „prawo do bycia zapomnianym".
• Prawo do ograniczenia przetwarzania (art. 18).
• Prawo do przenoszenia danych (art. 20) — przesłanie danych w ustrukturyzowanym formacie.
• Prawo do sprzeciwu (art. 21) — zwłaszcza wobec przetwarzania w oparciu o uzasadniony interes.
• Prawo do wycofania zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem).

Realizacja powyższych praw odbywa się poprzez kontakt mailowy: strategy@hatchmarketing.pl. Administrator odpowiada na żądanie w terminie nie dłuższym niż 30 dni (z możliwością przedłużenia o kolejne 60 dni w przypadkach szczególnie skomplikowanych).

Niezależnie od powyższego, każda osoba ma prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl).

8. Procedura usuwania danych

Aby zażądać trwałego usunięcia swoich danych z systemów administratora, wystarczy wysłać wiadomość e-mail na adres strategy@hatchmarketing.pl z tytułem „Żądanie usunięcia danych". W treści wiadomości należy podać adres e-mail, którym osoba kontaktowała się z administratorem oraz, jeśli to możliwe, źródło kontaktu (np. nazwa formularza, kampania marketingowa, integracja Pinterest).

Administrator potwierdzi otrzymanie żądania w ciągu 7 dni i zrealizuje usunięcie danych w terminie do 30 dni — z wyjątkiem danych, które muszą być zachowane na podstawie obowiązków prawnych (np. dokumentacja księgowa, faktury). W takim przypadku administrator poinformuje o zakresie i podstawie prawnej dalszego przetwarzania.

Dla danych pochodzących z integracji z platformami zewnętrznymi (Pinterest, Meta, Google), usunięcie obejmuje także usunięcie przechowywanych tokenów dostępowych OAuth oraz powiązanych metadanych z baz danych administratora. Cofnięcie zgody OAuth bezpośrednio w panelu danej platformy (np. www.pinterest.com/settings/apps) odłącza aplikację natychmiastowo.

9. Pliki cookies i technologie śledzące

Strony administratora wykorzystują pliki cookies oraz podobne technologie (local storage, piksele śledzące) w celu zapewnienia poprawnego działania serwisu, analizy ruchu i — za zgodą użytkownika — w celach marketingowych.

Wyróżniamy następujące kategorie plików cookies:

• Niezbędne (zawsze aktywne): wymagane do działania strony — np. zapamiętanie sesji, preferencji językowych, zabezpieczeń przed botami.
• Analityczne (opcjonalne): Google Analytics, Vercel Analytics — anonimowe statystyki ruchu.
• Marketingowe (opcjonalne): Meta Pixel, Google Ads, Pinterest Tag — kierowanie reklam i pomiar konwersji.

Użytkownik może w każdej chwili zmienić ustawienia cookies w swojej przeglądarce. Wyłączenie cookies analitycznych i marketingowych nie wpływa na podstawowe funkcjonalności strony.

10. Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne odpowiadające ryzyku naruszenia praw i wolności osób fizycznych, w szczególności:

• szyfrowanie połączeń za pomocą protokołu TLS 1.2+;
• szyfrowanie danych w spoczynku w bazach danych (AES-256);
• kontrolę dostępu w oparciu o zasadę najmniejszych uprawnień;
• uwierzytelnianie wieloskładnikowe (2FA) dla kont administracyjnych;
• regularne kopie zapasowe i procedury odtworzeniowe;
• monitorowanie integracji i tokenów OAuth pod kątem nieautoryzowanego użycia.

W przypadku naruszenia ochrony danych osobowych mogącego skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator powiadomi organ nadzorczy oraz, w razie potrzeby, osoby, których dane dotyczą — zgodnie z art. 33–34 RODO.

11. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do okresowej aktualizacji niniejszej Polityki Prywatności w celu odzwierciedlenia zmian w obowiązującym prawie, technologii lub procesach biznesowych. Aktualna wersja jest zawsze dostępna pod adresem geo.hatchmarketing.pl/polityka-prywatnosci. Data ostatniej aktualizacji wskazana jest na górze dokumentu.

12. Kontakt

W sprawach dotyczących ochrony danych osobowych prosimy o kontakt:

Niniejsza Polityka Prywatności jest częścią systemu zgodności RODO HATCH Marketing i ma zastosowanie do wszystkich serwisów i narzędzi prowadzonych przez administratora, w tym do integracji z API platform Pinterest, Meta i Google.