Polityka prywatności — Mobilna Cukiernia

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

Barbara Kostrzewa
Mobilna Cukiernia
Siołkowa 120, 33-330 Grybów
NIP: 1577069861
Email: marcinkostrzewa.pracownia@gmail.com
Telefon: +48 786 180 137

Inspektor Ochrony Danych (DPO): nie został wyznaczony — kontakt z administratorem na powyższe dane.

2. Jakie dane zbieramy i w jakim celu (RODO Art. 13 ust. 1 lit. c, d)

Poniższa tabela szczegółowo opisuje, jakie dane przetwarzamy, na jakiej podstawie prawnej i jak długo:

Dane	Cel	Podstawa	Retencja
Imię i nazwisko	Realizacja zamówienia, dostawa, faktura	Art. 6 ust. 1 lit. b RODO (umowa)	5 lat (faktura — ustawa o rachunkowości)
Email	Potwierdzenie zamówienia, komunikacja	Art. 6 ust. 1 lit. b RODO (umowa)	3 lata po ostatnim zamówieniu
Telefon	Kontakt w sprawie dostawy	Art. 6 ust. 1 lit. b RODO (umowa)	3 lata po ostatnim zamówieniu
Adres dostawy	Realizacja dostawy	Art. 6 ust. 1 lit. b RODO (umowa)	5 lat (faktura) lub 3 lata (gdy brak faktury)
Treść uwag do zamówienia	Personalizacja realizacji	Art. 6 ust. 1 lit. b RODO (umowa)	3 lata po ostatnim zamówieniu
IP i user-agent	Bezpieczeństwo (anti-fraud, rate-limit)	Art. 6 ust. 1 lit. f RODO (uzasadniony interes)	12 miesięcy
Zgody marketingowe	Newsletter, remarketing (jeśli wyrazisz zgodę)	Art. 6 ust. 1 lit. a RODO (zgoda)	Do wycofania zgody
Logi cookies (zgoda)	Rejestr zgód (Art. 7 ust. 1 RODO)	Art. 6 ust. 1 lit. c RODO (obowiązek prawny)	3 lata
Dane z faktury	Obowiązek księgowy	Art. 6 ust. 1 lit. c RODO (przepis prawa)	5 lat (Ustawa o rachunkowości Art. 74)

3. Cookies i technologie podobne

Używamy 3 kategorii ciasteczek:

Niezbędne — sesja użytkownika, koszyk, zgody. Wymagane do działania sklepu, nie wymagają zgody.
Analityka — anonimowe statystyki ruchu (np. najczęściej oglądane produkty). Tylko po Twojej zgodzie.
Marketing — personalizacja reklam i remarketing w mediach społecznościowych. Tylko po Twojej zgodzie.

Zgody przechowujemy 12 miesięcy w localStorage przeglądarki + rejestr w bazie danych (RODO Art. 7 ust. 1).

— możesz wycofać lub zmienić zgodę w każdej chwili.

4. Komu udostępniamy Twoje dane (procesorzy — RODO Art. 28)

Twoje dane powierzamy do przetwarzania następującym podmiotom (procesorom), którzy działają na podstawie umów powierzenia danych (DPA):

Supabase Inc. (USA, dane hostowane w EU Frankfurt) — hosting bazy danych. Transfer poza EOG: Standard Contractual Clauses (SCC). DPA
Vercel Inc. (USA) — hosting aplikacji, domena, CDN. Transfer poza EOG: SCC. DPA
Upstash Inc. (USA, dane w EU Frankfurt) — rate-limit / anti-fraud (logi IP). Transfer poza EOG: SCC.
Stripe Inc. (USA — Faza 2) — operator płatności kartą / BLIK / Apple Pay. Transfer poza EOG: SCC + BCR. DPA
Resend (Faza 2) — wysyłka emaili transakcyjnych (potwierdzenia zamówień).
Fakturownia.pl (Faza 2, Polska) — wystawianie faktur.
InPost / Paczkomat / kurier (Faza 2) — realizacja dostawy. Powierzamy: imię, nazwisko, adres, telefon.

Nie sprzedajemy Twoich danych podmiotom trzecim. Nie wykorzystujemy ich do profilowania zautomatyzowanego (RODO Art. 22) — żadne decyzje wpływające na Ciebie nie są podejmowane wyłącznie automatycznie.

5. Transfer poza EOG

Niektórzy z naszych dostawców (Supabase, Vercel, Stripe, Upstash) mają siedzibę w USA. Transfer Twoich danych odbywa się na podstawie:

Standard Contractual Clauses (SCC) — Decyzja KE 2021/914 z 4.06.2021
EU-US Data Privacy Framework (DPF) — gdy dostawca jest certyfikowany
Binding Corporate Rules (BCR) — dla Stripe

Dane przy realizacji zamówienia (imię, adres, email, telefon) przechowujemy w bazie danych w EU Frankfurt — Twoje dane fizycznie znajdują się w Unii Europejskiej.

6. Twoje prawa (RODO Art. 13 ust. 2 lit. b, c, d)

W każdej chwili masz prawo do:

Dostępu do danych (Art. 15 RODO) — wgląd w to, co o Tobie wiemy
Sprostowania (Art. 16 RODO) — poprawienia błędnych danych
Usunięcia / "bycia zapomnianym" (Art. 17 RODO) — z wyjątkiem danych z faktur (przechowanie wymagane przez prawo 5 lat)
Ograniczenia przetwarzania (Art. 18 RODO)
Przenoszenia danych (Art. 20 RODO) — otrzymania danych w formacie CSV/JSON
Sprzeciwu (Art. 21 RODO) — zwłaszcza wobec marketingu
Wycofania zgody (Art. 7 ust. 3 RODO) — w każdej chwili, bez wpływu na legalność wcześniejszego przetwarzania
Skargi do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych (PUODO), uodo.gov.pl

Aby skorzystać z praw — napisz na marcinkostrzewa.pracownia@gmail.com. Odpowiadamy w ciągu 30 dni (RODO Art. 12 ust. 3).

7. Profilowanie i decyzje zautomatyzowane (RODO Art. 22)

Nie podejmujemy decyzji w sposób zautomatyzowany, włącznie z profilowaniem, które wywierałyby wobec Ciebie skutki prawne lub w istotny sposób wpływały na Twoją sytuację. Każde zamówienie jest weryfikowane manualnie przez właścicielkę.

8. Bezpieczeństwo danych (RODO Art. 32)

Stosujemy techniczne i organizacyjne środki ochrony danych:

Szyfrowanie TLS 1.3 (HTTPS) dla całego ruchu
Row-Level Security (RLS) na każdej tabeli w bazie danych
Podpisane tokeny HMAC-SHA256 dla linków potwierdzeń (TTL 30 dni)
Rate-limit na wrażliwych endpointach (anti brute-force, anti-bot)
Hashowane backupy w EU Frankfurt
Magic-link auth dla panelu administratora (bez haseł)
Headers bezpieczeństwa (CSP, HSTS, X-Frame-Options, Referrer-Policy)

9. Soft-delete i retencja

Stosujemy soft-delete — usuwając konto lub zamówienie, oznaczamy je jako deleted_at = now() zamiast fizycznego usunięcia. Powód: przepisy księgowe (Ustawa o rachunkowości Art. 74) wymagają przechowywania faktur przez 5 lat.

Wyjątek od prawa do usunięcia (RODO Art. 17 ust. 3 lit. b) — dotyczy danych objętych obowiązkiem prawnym. Po 5 latach od ostatniego zamówienia dane są fizycznie usuwane z bazy.

10. Zmiany polityki prywatności

Polityka może być aktualizowana — w takim przypadku poinformujemy Cię emailem (jeśli wyraziłeś/aś zgodę na komunikację) lub bannerem na stronie. Aktualna wersja zawsze tutaj. Data ostatniej aktualizacji: 15 maja 2026.

11. Kontakt w sprawie RODO

Pytania, żądania, skargi — pisz na marcinkostrzewa.pracownia@gmail.com z dopiskiem „RODO" w temacie. Odpowiadamy w ciągu 30 dni.