Polityka Prywatności

Wersja 1.0  ·  Ostatnia aktualizacja: 10 kwietnia 2026  ·  English version

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

HOTBOX SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
ul. Marii i Bolesława Wysłouchów 13/LU1
30-611 Kraków, Polska
KRS: 0001036090
NIP: 6751782437
REGON: 525316633

We wszystkich sprawach dotyczących ochrony danych osobowych możesz skontaktować się z naszym punktem kontaktowym ds. prywatności:

E-mail: [email protected]

2. Kategorie przetwarzanych danych osobowych

W zależności od sposobu korzystania z naszej strony i usług możemy przetwarzać następujące kategorie danych osobowych:

2.1 Dane konta i zamówień

• Imię i nazwisko
• Adres e-mail
• Kraj zamieszkania
• Nazwa firmy i numer VAT (w przypadku klientów biznesowych rozliczanych w ramach procedury odwrotnego obciążenia)
• Adres rozliczeniowy

2.2 Dane płatności

Przyjmujemy płatności za pośrednictwem Stripe i PayPal. Wszystkie dane kart płatniczych są przetwarzane bezpośrednio przez tych dostawców usług płatniczych z zastosowaniem szyfrowania branżowego. Nigdy nie przechowujemy ani nie mamy dostępu do pełnego numeru karty, kodu CVV ani żadnych równoważnych danych uwierzytelniających płatność. Przechowujemy wyłącznie identyfikatory transakcji, kwoty, daty i statusy niezbędne do celów księgowych i rozpatrywania sporów.

2.3 Dane techniczne i dotyczące użytkowania

• Adresy IP (dzienniki połączeń)
• Typ przeglądarki i system operacyjny
• Odwiedzone strony i czas wizyty
• Adresy URL witryn odsyłających
• Dzienniki błędów i zdarzeń systemowych związanych z Twoimi usługami

2.4 Dane komunikacyjne

• Treść zgłoszeń do pomocy technicznej i wiadomości e-mail
• Zapisy korespondencji wymagane dla celów umownych lub prawnych

2.5 Dane dotyczące plików cookie i preferencji

Zob. sekcja 9 (Polityka plików cookie) poniżej.

3. Podstawy prawne przetwarzania danych

Cel przetwarzania	Podstawa prawna (art. 6 RODO)
Realizacja zamówień, świadczenie usług, fakturowanie, zarządzanie umową	Art. 6 ust. 1 lit. b) — wykonanie umowy
Wypełnienie obowiązków wynikających z polskiego prawa rachunkowego (5-letni okres przechowywania dokumentów księgowych)	Art. 6 ust. 1 lit. c) — obowiązek prawny
Monitorowanie bezpieczeństwa, zapobieganie nadużyciom, wykrywanie oszustw, analiza logów serwera	Art. 6 ust. 1 lit. f) — prawnie uzasadnione interesy administratora
Wysyłanie powiadomień i komunikatów związanych z usługami	Art. 6 ust. 1 lit. f) — prawnie uzasadnione interesy administratora
Analityczne pliki cookie (jeśli dotyczy)	Art. 6 ust. 1 lit. a) — zgoda osoby, której dane dotyczą
Pliki cookie przechowujące preferencje językowe i sesję	Art. 6 ust. 1 lit. f) — prawnie uzasadnione interesy (niezbędna funkcjonalność strony)

W przypadkach, gdy przetwarzanie odbywa się na podstawie zgody (art. 6 ust. 1 lit. a RODO), możesz w każdej chwili wycofać tę zgodę bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.

4. Odbiorcy danych osobowych

Udostępniamy Twoje dane osobowe wyłącznie w niezbędnym zakresie i na podstawie odpowiednich zabezpieczeń:

4.1 Dostawcy usług płatniczych

• Stripe, Inc. (Stany Zjednoczone) — płatności kartą. Stripe posiada certyfikat PCI DSS na poziomie 1 i działa na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską w odniesieniu do transferów poza EOG. Zob. politykę prywatności Stripe: stripe.com/privacy.
• PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luksemburg) — płatności PayPal. PayPal Europe jest podmiotem zarejestrowanym w EOG; transfery podlegają europejskim przepisom o ochronie danych. Zob. politykę prywatności PayPal: paypal.com/privacy.

4.2 Infrastruktura pocztowa

• Mailcow — oprogramowanie serwera pocztowego o otwartym kodzie źródłowym, które hostujemy samodzielnie. Przetwarzanie poczty odbywa się na naszej własnej infrastrukturze zlokalizowanej w EOG. Żadne dane osobowe związane z korespondencją e-mail nie są udostępniane zewnętrznym dostawcom chmury.

4.3 Organy administracji publicznej i sądy

Możemy ujawnić dane osobowe polskim sądom, organom ścigania, Urzędowi Ochrony Danych Osobowych (UODO) lub innym organom publicznym, gdy jest to wymagane przez obowiązujące przepisy prawa lub prawomocne postanowienie sądu.

4.4 Brak sprzedaży danych

Nie sprzedajemy, nie wynajmujemy ani nie przekazujemy Twoich danych osobowych stronom trzecim w celach marketingowych ani w żadnym innym celu komercyjnym.

5. Przekazywanie danych poza Europejski Obszar Gospodarczy

Nasza główna infrastruktura jest zlokalizowana w Europejskim Obszarze Gospodarczym. Jedynym przypadkiem przekazywania danych osobowych poza EOG jest współpraca z Stripe, Inc. (Stany Zjednoczone) — naszym dostawcą usług płatniczych. Transfer ten jest regulowany Standardowymi Klauzulami Umownymi (decyzja Komisji 2021/914) oraz Wiążącymi Regułami Korporacyjnymi Stripe, zapewniającymi odpowiedni poziom ochrony zgodnie z art. 46 RODO.

Żadne inne dane osobowe nie są rutynowo przekazywane poza EOG. W razie zmiany tej sytuacji zaktualizujemy niniejszą politykę i wdrożymy stosowne zabezpieczenia przed dokonaniem jakiegokolwiek takiego transferu.

6. Okresy przechowywania danych

Kategoria danych	Okres przechowywania	Podstawa
Dane konta klienta i zamówień	Czas trwania stosunku umownego + 5 lat	Ustawa o rachunkowości — art. 74
Dokumenty fakturowe i rozliczeniowe	5 lat od zakończenia roku obrotowego	Ustawa o rachunkowości — art. 74 ust. 2
Logi połączeń i dostępu (IP, znaczniki czasu)	12 miesięcy od daty zebrania	Prawnie uzasadniony interes (bezpieczeństwo, zapobieganie nadużyciom)
Korespondencja w ramach zgłoszeń do pomocy technicznej	3 lata od zamknięcia zgłoszenia	Prawnie uzasadniony interes (rozwiązywanie sporów, jakość usług)
Zapisy zgody (pliki cookie)	2 lata od wyrażenia zgody lub do momentu jej wycofania	Obowiązek prawny (art. 7 ust. 1 RODO — możliwość wykazania zgody)

Po upływie właściwego okresu przechowywania dane osobowe są bezpiecznie usuwane lub anonimizowane.

7. Prawa osoby, której dane dotyczą

Na podstawie Rozdziału III RODO przysługują Ci następujące prawa:

• Prawo dostępu do danych (art. 15) — uzyskanie potwierdzenia, czy przetwarzamy Twoje dane, oraz otrzymanie ich kopii.
• Prawo do sprostowania danych (art. 16) — żądanie poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
• Prawo do usunięcia danych (art. 17) — żądanie usunięcia danych („prawo do bycia zapomnianym"), jeśli nie istnieje nadrzędna podstawa prawna ich przetwarzania.
• Prawo do ograniczenia przetwarzania (art. 18) — żądanie ograniczenia sposobu wykorzystania Twoich danych w określonych okolicznościach.
• Prawo do przenoszenia danych (art. 20) — otrzymanie danych w ustrukturyzowanym, nadającym się do odczytu maszynowego formacie i przesłanie ich do innego administratora.
• Prawo do sprzeciwu (art. 21) — sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie, w tym wobec marketingu bezpośredniego.
• Prawo do wycofania zgody (art. 7 ust. 3) — cofnięcie uprzednio udzielonej zgody bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem.

W celu skorzystania z któregokolwiek z powyższych praw prosimy o kontakt na adres [email protected]. Odpowiedzi udzielamy w terminie 30 dni kalendarzowych. Możemy poprosić o weryfikację tożsamości przed rozpatrzeniem wniosku.

8. Prawo do wniesienia skargi do organu nadzorczego

Przysługuje Ci prawo wniesienia skargi do polskiego organu nadzorczego właściwego w sprawach ochrony danych osobowych:

Urząd Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
Strona internetowa: uodo.gov.pl
E-mail: [email protected]
Telefon: +48 22 531 03 00

Możesz również wnieść skargę do organu nadzorczego właściwego dla Twojego miejsca zwykłego pobytu lub miejsca pracy na terenie UE/EOG.

9. Polityka plików cookie

Pliki cookie to małe pliki tekstowe zapisywane na Twoim urządzeniu, które pomagają nam świadczyć i ulepszać nasze usługi. Stosujemy następujące kategorie plików cookie:

9.1 Niezbędne pliki cookie

Te pliki cookie są konieczne do prawidłowego działania strony. Umożliwiają zarządzanie sesją, uwierzytelnianie i obsługę koszyka zakupowego. Ich wyłączenie spowodowałoby istotne pogorszenie funkcjonalności witryny. Podstawa prawna: art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes — niezbędna funkcjonalność).

Nazwa pliku cookie	Cel	Czas trwania
session_id	Zarządzanie sesją użytkownika	Sesja
cart	Utrzymanie zawartości koszyka	7 dni
lang	Preferowany język interfejsu	1 rok

9.2 Preferencyjne pliki cookie

Te pliki cookie zapamiętują Twoje preferencje (język, ustawienia wyświetlania) w celu poprawy komfortu korzystania ze strony. Podstawa prawna: art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes — poprawa doświadczenia użytkownika).

9.3 Analityczne pliki cookie

W przypadku stosowania narzędzi analitycznych do badania zachowań użytkowników na stronie, pliki cookie tego rodzaju są ustawiane wyłącznie za Twoją uprzednią zgodą (art. 6 ust. 1 lit. a RODO). Możesz wycofać zgodę w dowolnym momencie, usuwając pliki cookie w przeglądarce lub korzystając z naszego centrum preferencji plików cookie.

Nie korzystamy z plików cookie służących do behawioralnego remarketingu przez podmioty trzecie.

9.4 Zarządzanie plikami cookie

Możesz zarządzać plikami cookie lub usunąć je w dowolnym momencie za pośrednictwem ustawień przeglądarki. Pamiętaj, że wyłączenie niezbędnych plików cookie może wpłynąć na funkcjonalność strony. Informacje na temat zarządzania plikami cookie w popularnych przeglądarkach znajdziesz na stronie aboutcookies.org.

10. Bezpieczeństwo danych

Wdrażamy środki techniczne i organizacyjne odpowiednie do poziomu ryzyka, w tym:

• Szyfrowanie danych w trakcie przesyłania z wykorzystaniem protokołu TLS 1.2 lub wyższego
• Kontrola dostępu i wymagania uwierzytelniania dla systemów administracyjnych
• Regularne monitorowanie bezpieczeństwa i wykrywanie włamań
• Szkolenie personelu z zakresu obowiązków dotyczących ochrony danych
• Umowy powierzenia przetwarzania danych zawarte ze wszystkimi podprzetwarzającymi

W przypadku naruszenia ochrony danych osobowych, które może skutkować ryzykiem dla Twoich praw i wolności, powiadomimy UODO w ciągu 72 godzin, a osoby, których dane dotyczą — bez zbędnej zwłoki, zgodnie z art. 33–34 RODO.

11. Osoby niepełnoletnie

Nasze usługi są przeznaczone dla osób pełnoletnich, które ukończyły 18 lat. Nie zbieramy świadomie danych osobowych osób poniżej 18. roku życia. Jeśli uważasz, że przypadkowo zebraliśmy dane osoby niepełnoletniej, prosimy o kontakt pod adresem [email protected] — usuniemy je niezwłocznie.

12. Zmiany niniejszej polityki

Możemy okresowo aktualizować niniejszą Politykę Prywatności, aby odzwierciedlić zmiany w naszych praktykach lub obowiązujących przepisach. O istotnych zmianach powiadomimy Cię poprzez ogłoszenie na naszej stronie internetowej lub za pośrednictwem poczty elektronicznej co najmniej 14 dni przed wejściem tych zmian w życie. Data ostatniej aktualizacji jest podana na początku niniejszego dokumentu.