[email protected]

720 803 375

Polityka prywatności

Polityka prywatności Saint Hair Europe Sp. z o.o. (właściciel marki Korban Professional). Wersja KPROF-PRIV-v2, obowiązuje od 2026-05-19.

Polityka prywatności — Korban Professional (Saint Hair Europe Sp. z o.o.)

Wersja: KPROF-PRIV-v2

Obowiązuje od: 2026-05-19

Poprzednia wersja: v1 (data nieznana, brak daty na żywej stronie)

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

Saint Hair Europe Sp. z o.o.

ul. Karola Marcinkowskiego 8a/1

85-056 Bydgoszcz

NIP: 9671483384

REGON: 540589167

KRS: 0001147669

Kontakt w sprawach danych osobowych: [email protected]

Telefon: +48 720 803 375 (dni robocze 8:00–16:00)

Marka Korban Professional stanowi działalność handlową prowadzoną przez Saint Hair Europe Sp. z o.o.

2. Cele i podstawy prawne przetwarzania (art. 6 RODO)

Cel	Podstawa prawna	Okres przechowywania
a) Zawarcie i wykonanie umowy sprzedaży (zamówienia w sklepie korbanprofessional.pl)	art. 6 ust. 1 lit. b RODO (wykonanie umowy)	przez czas trwania umowy + 6 lat (rozliczenia podatkowe)
b) Rozpatrywanie reklamacji, gwarancji, zwrotów	art. 6 ust. 1 lit. b i c RODO (umowa + obowiązki prawne)	przez czas trwania umowy + 2 lata
c) Wystawienie i przechowywanie faktur	art. 6 ust. 1 lit. c RODO (obowiązek ustawowy, art. 86 § 1 Ordynacji podatkowej)	5 lat od końca roku, w którym wystawiono fakturę
d) Newsletter, mailing marketingowy, follow-up po targach	art. 6 ust. 1 lit. a RODO (Twoja zgoda)	do wycofania zgody, max 5 lat od ostatniej aktywności
e) Komunikacja WhatsApp / SMS marketingowa	art. 6 ust. 1 lit. a RODO (Twoja zgoda)	do wycofania zgody, max 5 lat od ostatniej aktywności
f) Profilowanie marketingowe (dopasowanie ofert do Twoich aktywności)	art. 6 ust. 1 lit. a RODO (Twoja zgoda)	do wycofania zgody, max 24 miesiące
g) Marketing własnych produktów drogą tradycyjną (np. ulotka w paczce)	art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora)	do wniesienia sprzeciwu
h) Obsługa zapytań kontaktowych (formularz, email, telefon)	art. 6 ust. 1 lit. f RODO (uzasadniony interes — udzielenie odpowiedzi)	12 miesięcy od ostatniej korespondencji
i) Analityka ruchu na stronie (statystyki — Plausible, agregowane)	art. 6 ust. 1 lit. f RODO (uzasadniony interes — poprawa serwisu)	25 miesięcy (zgodnie z konfiguracją narzędzia)
j) Reklama Google Ads, Facebook Ads (retargeting, lookalike)	art. 6 ust. 1 lit. a RODO (Twoja zgoda przez cookies)	do wycofania zgody, max 24 miesiące
k) Dochodzenie i obrona roszczeń	art. 6 ust. 1 lit. f RODO (uzasadniony interes)	do upływu terminu przedawnienia

3. Kategorie danych

W zależności od celu przetwarzamy następujące dane:

Identyfikacyjne: imię, nazwisko, nazwa firmy/salonu, NIP (dla B2B)
Kontaktowe: e-mail, telefon, adres dostawy, adres rozliczeniowy
Transakcyjne: historia zamówień, kwoty, sposoby płatności
Behawioralne: aktywność w sklepie, otwarcia maili, kliknięcia (jeśli wyrażono zgodę)
Techniczne: adres IP (anonimizowany w analityce), przeglądarka, system operacyjny — zbierane przez pliki cookies (zob. sekcja 7)

4. Odbiorcy danych (procesory)

Twoje dane mogą być przekazane następującym podmiotom przetwarzającym, na podstawie umów powierzenia (art. 28 RODO):

Podmiot	Cel	Lokalizacja serwerów	DPA
Hostinger sp. z o.o.	Hosting sklepu korbanprofessional.pl	UE	tak
BaseLinker sp. z o.o.	Zarządzanie zamówieniami i wysyłką	UE (Polska)	tak
Brevo SAS (dawniej Sendinblue)	Wysyłka maili marketingowych i transakcyjnych	UE (Francja)	tak
Plausible Insights OÜ (lub self-hosted EU)	Analityka ruchu strony (cookieless)	UE (Niemcy / własna instancja w Polsce)	tak
Twenty Sàrl (instancja self-hosted)	CRM (zarządzanie kontaktami)	UE (własny serwer w Polsce)	nie dotyczy (własna infrastruktura)
PayU S.A. / Przelewy24	Obsługa płatności online	UE (Polska)	tak
InPost / DPD / DHL / Poczta Polska	Dostawa zamówień	UE (Polska)	tak
Google LLC (Google Ads, Google Analytics, Google Tag Manager — tylko po wyrażeniu zgody przez banner cookies)	Reklama i analityka	USA (SCC + Data Privacy Framework)	tak
Meta Platforms Ireland Ltd. (Facebook, Instagram Ads — tylko po wyrażeniu zgody przez banner cookies)	Reklama i remarketing	UE (Irlandia) + USA (SCC + DPF)	tak
Biuro księgowe (na podstawie odrębnej umowy)	Księgowość, rozliczenia podatkowe	UE (Polska)	tak

Przekazania poza EOG: Google i Meta mają serwery w USA. Korzystamy z Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską oraz z Data Privacy Framework (DPF) dla tych dostawców, którzy są certyfikowani.

5. Klauzula informacyjna (art. 13 RODO)

Niniejsza polityka stanowi pełną klauzulę informacyjną w rozumieniu art. 13 RODO. W szczególności informujemy że:

a) Administratorem danych jest podmiot wskazany w sekcji 1.
b) Cele i podstawy prawne — zob. sekcja 2.
c) Odbiorcy danych — zob. sekcja 4.
d) Okres przechowywania — zob. sekcja 2 (kolumna „Okres przechowywania”).
e) Przysługujące prawa — zob. sekcja 6.
f) Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
g) Podanie danych przy zawarciu umowy sprzedaży jest dobrowolne, ale niezbędne do wykonania umowy. Brak podania uniemożliwia zakup. Podanie danych do newslettera / marketingu jest dobrowolne — brak nie ma skutków.
h) Dane nie są wykorzystywane do podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu wywołującym skutki prawne. Profilowanie marketingowe (jeśli wyrażono zgodę) nie wywołuje takich skutków.

6. Twoje prawa (art. 15-22 RODO)

Masz prawo:

Dostępu do danych (art. 15 RODO) — uzyskania kopii Twoich danych
Sprostowania (art. 16 RODO) — poprawienia nieprawidłowych danych
Usunięcia / „prawo do bycia zapomnianym” (art. 17 RODO) — gdy dane nie są już potrzebne, zgoda została cofnięta, lub przetwarzanie jest niezgodne z prawem
Ograniczenia przetwarzania (art. 18 RODO)
Przenoszenia danych (art. 20 RODO) — otrzymania danych w formacie strukturalnym (JSON/CSV) i przesłania ich do innego administratora
Sprzeciwu (art. 21 RODO) — zwłaszcza wobec przetwarzania opartego na art. 6 ust. 1 lit. f (uzasadniony interes), w tym marketingu tradycyjnego
Wycofania zgody (art. 7 ust. 3 RODO) — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania przed wycofaniem. Sposób wycofania:

– Mailing: kliknij „Nie chcę więcej wiadomości” w stopce dowolnej wiadomości, lub napisz na [email protected]

– WhatsApp / SMS: odpisz słowem STOP, lub napisz na [email protected]

– Cookies: kliknij „Zarządzaj zgodami” w stopce strony i odznacz odpowiednie kategorie

Wniesienia skargi do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl)

Realizacja praw: napisz na [email protected]. Odpowiadamy w ciągu 30 dni (max 90 dni przy skomplikowanych żądaniach, z uprzedzeniem).

7. Pliki cookies i technologie śledzące

Strona korbanprofessional.pl używa plików cookies oraz podobnych technologii (localStorage, sessionStorage, pixels).

7.1 Kategorie cookies

Kategoria	Cel	Wymagana zgoda	Przykłady
Niezbędne (Necessary)	Funkcjonowanie sklepu, koszyk, sesja zalogowania	NIE (art. 6 ust. 1 lit. b — wykonanie umowy)	`PHPSESSID`, `woocommerce_cart_`, `wcml_client_` (currency/language), `cookieyes-consent`
Preferencje (Preferences)	Zapamiętanie ustawień (język, waluta, lista życzeń)	tak (art. 6 ust. 1 lit. a)	`wp_lang`, `breakdance_*`
Statystyka (Statistics)	Analityka ruchu, popularność stron	tak (art. 6 ust. 1 lit. a)	Plausible (cookieless — bez plików cookies!), `_ga`, `_ga_*`, `_gid` (Google Analytics)
Marketing	Reklama, retargeting, mailingi	tak (art. 6 ust. 1 lit. a)	`_fbp`, `_fbc`, `fr` (Facebook Pixel), `_gcl_au`, `IDE` (Google Ads), `c_user`

7.2 Zarządzanie zgodą

Przy pierwszej wizycie wyświetlamy banner cookies (CookieYes), gdzie możesz:

Zaakceptować wszystkie (Accept All)
Odrzucić wszystkie (Reject All — równie widoczny przycisk)
Dostosować ustawienia (Customize) — wybrać per kategoria

Twoja decyzja jest zapisywana w cookie cookieyes-consent i obowiązuje 365 dni. Po tym czasie banner pojawi się ponownie. W każdej chwili możesz zmienić wybory klikając „Zarządzaj zgodami” w stopce strony.

7.3 Plausible — dlaczego nie wymaga zgody

Plausible Analytics to alternatywa dla Google Analytics która nie używa plików cookies ani nie zbiera danych osobowych. Mierzy tylko anonimowe statystyki agregowane (liczba wizyt, źródła ruchu, popularne strony). Z tego powodu nie wymaga zgody — działa od momentu wejścia na stronę, ale nie pozwala na identyfikację konkretnej osoby.

7.4 Google Consent Mode v2

Jeśli zaakceptujesz kategorie „Statistics” i/lub „Marketing”, aktywujemy Google Consent Mode v2 — system, w którym Google Tag Manager dostosowuje sposób ładowania skryptów Google (Analytics, Ads) do Twojej zgody.

8. Bezpieczeństwo danych

Stosujemy adekwatne środki techniczne i organizacyjne:

Szyfrowanie transmisji (HTTPS / TLS 1.3) dla wszystkich komunikacji ze stroną
Szyfrowanie haseł (bcrypt) w bazie danych
Regularne kopie zapasowe (codziennie, retencja 30 dni)
Dostęp ograniczony do osób autoryzowanych (zasada minimalnych uprawnień)
Logi dostępu do systemów CRM i hostingu (retencja 12 mc)
Aktualizacje bezpieczeństwa WordPress, WooCommerce, wtyczek (max 14 dni od publikacji)
MFA (uwierzytelnianie dwuetapowe) dla kont administracyjnych

9. Procedura zgłaszania naruszeń

W przypadku naruszenia ochrony danych osobowych:

Zgłoszenie do Prezesa UODO w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO)
Powiadomienie osób, których dane dotyczą, gdy naruszenie może powodować wysokie ryzyko (art. 34 RODO)

10. Postanowienia końcowe

Polityka może być aktualizowana w związku ze zmianami przepisów lub rozwojem usług
Każda istotna zmiana będzie ogłaszana z 14-dniowym wyprzedzeniem na stronie głównej
W przypadku pytań związanych z ochroną danych osobowych prosimy o kontakt: [email protected]

Data ostatniej aktualizacji: 2026-05-19

Wersja: KPROF-PRIV-v2

Hash SHA-256 tej wersji: _do wyliczenia po publikacji (sha256sum POLITYKA-PRYWATNOSCI-v2.md)_