Polityka prywatności

1. Administrator danych

Administratorem danych osobowych użytkowników serwisu tańszykoszyk.pl (wersja beta) jest jego operator. Kontakt w sprawach ochrony danych: kontakt@tanszykoszyk.pl

Inspektor Ochrony Danych (IOD/DPO): Operator nie wyznaczył Inspektora Ochrony Danych — nie wymaga tego art. 37 RODO (Serwis nie prowadzi systematycznego monitorowania na dużą skalę ani nie przetwarza szczególnych kategorii danych w rozumieniu art. 9 RODO). Wszystkie sprawy związane z RODO obsługuje bezpośrednio Administrator pod powyższym adresem e-mail.

2. Jakie dane zbieramy

• Logi serwera – adres IP, typ przeglądarki, czas i adres odwiedzonej strony. Zbierane automatycznie przez infrastrukturę hostingową (Vercel).
• Dane analityczne (Vercel Analytics / Speed Insights) – anonimowe dane o ruchu na stronie: liczba odsłon, czas ładowania, kraj odwiedzającego. Dane te nie zawierają danych osobowych i nie są powiązane z kontem użytkownika. Vercel Analytics działa bez plików cookie śledzących (cookieless analytics).
• Dane analityczne (Google Analytics 4) – dane o ruchu, sesjach i zdarzeniach na stronie zbierane anonimowo (IP jest anonimizowane). Google Analytics 4 może używać plików cookie i identyfikatorów (np. _ga) do mierzenia zachowania użytkowników.
• Dane analityczne (Microsoft Clarity) – nagrania sesji i mapy cieplne (heatmapy) zbierane w celach diagnostycznych i optymalizacji UX. Clarity może używać plików cookie do identyfikacji sesji. Dane są pseudonimizowane i nie ujawniają tożsamości użytkownika.
• Dane konta Google (opcjonalne) – adres e-mail i imię z profilu Google, przekazywane podczas logowania przez Google OAuth. Hasła nie są przechowywane.
• Listy zakupów i alerty cenowe – treść list i konfiguracja alertów zapisywane wyłącznie dla zalogowanych użytkowników, powiązane z kontem.
• Koszyk zakupów – przechowywany lokalnie w przeglądarce (localStorage), nie jest wysyłany na serwer bez wyraźnego działania użytkownika.

3. Podstawa prawna przetwarzania

Dane przetwarzamy na następujących podstawach prawnych (art. 6 RODO):

• art. 6 ust. 1 lit. a – zgoda użytkownika (logowanie kontem Google, ustawianie alertów cenowych).
• art. 6 ust. 1 lit. b – wykonanie umowy/usługi (świadczenie funkcji konta: listy zakupów, alerty).
• art. 6 ust. 1 lit. f – prawnie uzasadniony interes administratora (logi serwera dla bezpieczeństwa i diagnostyki technicznej; anonimowa analityka ruchu w celu poprawy jakości serwisu).

4. Okres przechowywania danych

• Logi serwera (IP, User-Agent, ścieżka dostępu) – przechowywane przez Vercel zgodnie z ich polityką prywatności (standardowo do 30 dni). Po tym czasie automatyczne usunięcie.
• Dane konta, listy zakupów, alerty – przechowywane do czasu usunięcia konta przez użytkownika lub na pisemne żądanie skierowane do administratora.
• Google Analytics 4 – dane zdarzeń przechowywane do 14 miesięcy(ustawienie konta GA4). Po tym czasie automatyczne usunięcie przez Google.
• Microsoft Clarity – nagrania sesji i heatmapy przechowywane przez Microsoft do 13 miesięcy zgodnie z ich polityką retencji.
• Cookies konsentu (preferencja accept/reject) – przechowywane lokalnie w przeglądarce użytkownika przez 12 miesięcy lub do czasu wyczyszczenia danych przeglądarki.
• Własna analityka serwisu (zdarzenia typu wyświetlenie produktu, dodanie do koszyka, wyszukiwanie, otwarcie gazetki) – przechowywane przez 365 dni. Identyfikator sesji to anonimowy UUID generowany lokalnie w przeglądarce; adres IP jest natychmiast skrótowany funkcją SHA-256 z tajnym kluczem (nie da się odtworzyć oryginalnego IP). Nie wiążemy tych danych z innymi profilami marketingowymi. Cel: doskonalenie serwisu i potencjalne raporty zbiorcze dla sieci handlowych i producentów (zanonimizowane, np. „produkt X miał Y wyświetleń w tym tygodniu”). Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes – analityka first-party).

5. Odbiorcy danych i przekazywanie do państw trzecich

Dane mogą być przetwarzane przez następujących podprzetwarzających, którzy mogą przetwarzać je poza Europejskim Obszarem Gospodarczym (USA) na podstawie odpowiednich zabezpieczeń przewidzianych w RODO — decyzji Komisji Europejskiej w sprawie adekwatności (EU-US Data Privacy Framework, którym objęci są certyfikowani dostawcy z USA) oraz Standardowych Klauzul Umownych (SCC):

• Supabase Inc. – baza danych i uwierzytelnianie
• Vercel Inc. – hosting, infrastruktura i anonimowa analityka ruchu (Vercel Analytics)
• Google LLC – logowanie OAuth (Google Sign-In) i analityka ruchu (Google Analytics 4)
• Microsoft Corporation – analityka sesji i heatmapy (Microsoft Clarity)
• Resend Inc. – wysyłka e-maili z alertami cenowymi

Nie sprzedajemy danych osobowych żadnym podmiotom trzecim.

6. Twoje prawa

Na podstawie RODO przysługują Ci następujące prawa:

• Prawo dostępu do swoich danych osobowych.
• Prawo do sprostowania nieprawidłowych danych.
• Prawo do usunięcia danych („prawo do bycia zapomnianym”).
• Prawo do ograniczenia przetwarzania.
• Prawo do przenoszenia danych.
• Prawo do sprzeciwu wobec przetwarzania.
• Prawo do cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania przed cofnięciem).

Alerty i listy zakupów możesz usunąć samodzielnie w serwisie. Aby usunąć konto i wszystkie powiązane dane – użyj opcji „Usuń konto” w ustawieniach profilu lub napisz na kontakt@tanszykoszyk.pl. Masz również prawo złożyć skargę do organu nadzorczego: Urząd Ochrony Danych Osobowych (UODO).

7. Automatyczne przetwarzanie danych (AI)

Dane o cenach i promocjach prezentowane w Serwisie są pozyskiwane z gazetek promocyjnych w sposób zautomatyzowany, z wykorzystaniem technologii sztucznej inteligencji (AI/OCR). Przetwarzanie to dotyczy wyłącznie publicznie dostępnych obrazów gazetek — nie obejmuje danych osobowych użytkowników.

Automatyczne przetwarzanie obrazów może powodować błędy (np. nieprawidłowo odczytane ceny, gramaturę lub daty). Przed dokonaniem zakupu zalecamy weryfikację ceny bezpośrednio u sprzedawcy.

8. Pliki cookie i analityka

Serwis stosuje dwie kategorie plików cookie oraz technologii podobnych — zgodnie z art. 173 ust. 3 ustawy Prawo telekomunikacyjne oraz wymogami RODO.

A) Cookies niezbędne (nie wymagają zgody)

• Cookie sesji logowania (Supabase Auth, np. sb-access-token, sb-refresh-token) – pliki HTTP-only ustawiane wyłącznie po zalogowaniu, niezbędne do utrzymania sesji. Wygasają automatycznie po wylogowaniu lub po upływie czasu ważności.
• cookie-consent (przechowywany w localStorage) – pamięta Twój wybór dotyczący zgody na cookies analityczne.
• Koszyk zakupowy w localStorage przeglądarki (nie jest plikiem cookie i nie jest przesyłany na serwer).

B) Cookies analityczne (wymagają zgody)

Ładowane wyłącznie po kliknięciu „Akceptuję wszystkie” w banerze zgody. Bez zgody NIE ładujemy żadnych skryptów ani plików cookie z tej kategorii. Możesz wycofać zgodę w każdej chwili — wystarczy wyczyścić pliki cookie i wpis cookie-consent w ustawieniach przeglądarki.

• Google Analytics 4 (Google LLC, USA) — pliki cookie _ga, _ga_*. Adresy IP są anonimizowane. Dodatkowy opt-out: dodatek do przeglądarki Google Analytics.
• Microsoft Clarity (Microsoft Corporation, USA) — nagrywanie sesji i mapy cieplne dla celów UX. Pliki cookie sesyjne (_clck, _clsk, MR, SM). Dane są pseudonimizowane. Polityka Microsoft.

C) Vercel Analytics i Speed Insights

Działają w trybie cookieless (nie używają plików cookie). Zbierają wyłącznie anonimowe dane zagregowane (liczba odsłon, czas ładowania, kraj). Dane nie pozwalają na identyfikację konkretnego użytkownika. Vercel deklaruje, że identyfikacja użytkownika opiera się na efemerycznym haszu opartym o IP + User-Agent, rotowanym codziennie.

Ustawieniami plików cookie możesz zarządzać w swojej przeglądarce: Chrome, Firefox, Safari, Edge.

9. Zmiany polityki prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej polityki prywatności. Zmiany będą publikowane na tej stronie z podaniem daty aktualizacji. Użytkownicy posiadający konto zostaną poinformowani o istotnych zmianach drogą e-mail co najmniej 14 dni przed ich wejściem w życie. Jeżeli użytkownik nie akceptuje zmienionej polityki, może zaprzestać korzystania z Serwisu i usunąć konto.