Polityka Prywatności Platformy ShivaJoga
Zasady przetwarzania i ochrony danych osobowych użytkowników platformy.
§1. Postanowienia ogólne
- Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych użytkowników platformy ShivaJoga (dalej: „Serwis” lub „Platforma”).
- Polityka została przygotowana zgodnie z:
- Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO),
- ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych,
- ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
- ustawą z dnia 30 maja 2014 r. o prawach konsumenta,
- ustawą z dnia 12 lipca 2024 r. — Prawo komunikacji elektronicznej.
§2. Administrator danych
Administratorem danych osobowych jest:
- ADVAITA.OM LILIIA ROGALEVYCH
- ul. Kasprzaka 9 lok. 5, 64-730 Wieleń
- NIP: 7632150996
- REGON: 526948252
(dalej: „Administrator”).
Kontakt z Administratorem w sprawach dotyczących danych osobowych: kontakt@shivajoga.pl.
Administrator nie wyznaczył Inspektora Ochrony Danych. Wszelkie zapytania kierowane są bezpośrednio do Administratora.
§3. Zakres przetwarzanych danych
Administrator może przetwarzać następujące kategorie danych:
- Dane identyfikacyjne:
- imię i nazwisko,
- nazwa użytkownika.
- Dane kontaktowe:
- adres e-mail,
- opcjonalnie numer telefonu.
- Dane rozliczeniowe (dla nabywców):
- dane do faktury (firma, NIP, adres) — jeśli Użytkownik je poda,
- historia transakcji (bez numerów kart — obsługiwanych przez Stripe).
- Dane związane z usługą:
- historia zakupów i Subskrypcji,
- aktywność na Platformie (obejrzane treści, postęp w kursach),
- preferencje i ustawienia Konta.
- Dane techniczne:
- adres IP,
- typ urządzenia i przeglądarki,
- logi systemowe (zapytania, czas, kody odpowiedzi).
§4. Cele, podstawy prawne i okresy przetwarzania
Każda kategoria celu ma osobną podstawę prawną i okres retencji:
| Cel | Podstawa | Okres |
|---|---|---|
| Utworzenie i prowadzenie Konta | art. 6 ust. 1 lit. b RODO (umowa) | do usunięcia Konta + 30 dni backup |
| Realizacja zakupów i Subskrypcji | art. 6 ust. 1 lit. b RODO | do zakończenia umowy |
| Rozliczenia, faktury, księgowość | art. 6 ust. 1 lit. c RODO (obowiązek prawny) | 5 lat (ustawa o rachunkowości) |
| Kontakt i obsługa reklamacji | art. 6 ust. 1 lit. b + c RODO | 3 lata od zgłoszenia |
| Newsletter i marketing | art. 6 ust. 1 lit. a RODO (zgoda) | do cofnięcia zgody |
| Bezpieczeństwo Platformy, logi | art. 6 ust. 1 lit. f RODO (interes Administratora) | 90 dni |
| Personalizacja rekomendacji | art. 6 ust. 1 lit. f RODO | do zakończenia Umowy |
Prawnie uzasadnione interesy Administratora obejmują: zapewnienie bezpieczeństwa Platformy, poprawę jakości usług, obronę przed roszczeniami oraz personalizację doświadczenia użytkownika.
§5. Odbiorcy danych (podmioty przetwarzające)
Dane mogą być powierzane następującym podmiotom, działającym na podstawie umów powierzenia przetwarzania danych (art. 28 RODO):
| Podmiot | Rola | Lokalizacja |
|---|---|---|
| Stripe, Inc. | operator płatności (PCI DSS) | USA / Irlandia |
| Supabase Inc. | baza danych, uwierzytelnianie, storage | Singapur / UE (Frankfurt) |
| Vercel Inc. | hosting aplikacji, CDN | USA / globalny CDN |
| Resend | wysyłka e-maili transakcyjnych | USA |
| Sentry | monitoring błędów, obserwowalność | USA / UE |
| Biuro rachunkowe | księgowość i podatki | Polska (EOG) |
Dane mogą być również udostępniane organom państwowym na podstawie obowiązujących przepisów prawa. Administrator nie sprzedaje danych osobowych.
§6. Przekazywanie danych poza EOG
- Ze względu na korzystanie z usług dostawców spoza Europejskiego Obszaru Gospodarczego (EOG) — w szczególności Stripe, Vercel, Supabase, Resend — dane mogą być przekazywane do Stanów Zjednoczonych oraz Singapuru.
- Transfer odbywa się na podstawie mechanizmów zabezpieczeń przewidzianych w rozdziale V RODO:
- Standardowe Klauzule Umowne (SCC)— decyzja wykonawcza Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r.,
- Data Privacy Framework (DPF)— decyzja wykonawcza KE z 10 lipca 2023 r. — dla certyfikowanych dostawców w USA (Stripe, Vercel).
- Użytkownik może otrzymać kopię zastosowanych zabezpieczeń kontaktując się na adres kontakt@shivajoga.pl.
§7. Prawa użytkownika
W związku z przetwarzaniem danych osobowych Użytkownik ma prawo do:
- dostępu do danych (art. 15 RODO),
- sprostowania nieprawidłowych danych (art. 16 RODO),
- usunięcia — „prawo do bycia zapomnianym” (art. 17 RODO),
- ograniczenia przetwarzania (art. 18 RODO),
- przenoszenia danych (art. 20 RODO),
- sprzeciwu wobec przetwarzania (art. 21 RODO),
- cofnięcia zgody w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania przed cofnięciem.
Realizacja praw: kontakt@shivajoga.pl. Usunięcie Konta dostępne jest również w ustawieniach Platformy. Odpowiedź udzielamy w terminie 1 miesiąca (możliwość przedłużenia o kolejne 2 miesiące — art. 12 ust. 3 RODO).
Użytkownik ma prawo wniesienia skargi do organu nadzorczego:
- Prezes Urzędu Ochrony Danych Osobowych
- ul. Stawki 2, 00-193 Warszawa
- https://uodo.gov.pl
§8. Dobrowolność podania danych
- Podanie danych przy rejestracji Konta i zakupie usług jest dobrowolne, ale niezbędne do zawarcia i wykonania Umowy. Brak podania danych uniemożliwia korzystanie z Platformy.
- Podanie adresu e-mail przy zapisie na newsletter jest w pełni dobrowolne — brak zgody nie wpływa na korzystanie z Platformy.
§9. Pliki cookies i technologie śledzące
- Platforma wykorzystuje pliki cookies oraz podobne technologie zgodnie z art. 173–174 Prawa komunikacji elektronicznej (PKE).
- Kategorie wykorzystywanych cookies:
- Niezbędne— zapewniają podstawowe funkcjonowanie Platformy (sesja logowania, koszyk, preferencje językowe). Nie wymagają zgody.
- Analityczne— pomagają zrozumieć, jak Użytkownicy korzystają z Platformy (Vercel Analytics — dane anonimowe). Wymagają zgody.
- Marketingowe — personalizacja komunikacji (jeśli włączone). Wymagają zgody.
- Użytkownik może w dowolnym momencie zmienić preferencje cookies poprzez baner w Serwisie lub ustawienia przeglądarki. Cofnięcie zgody jest równie proste jak jej udzielenie.
§10. Profilowanie i decyzje zautomatyzowane
- Administrator może wykorzystywać profilowanie w celu personalizacji rekomendacji Treści Cyfrowych. Profilowanie odbywa się na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO).
- Profilowanie nie wywołuje skutków prawnychwobec Użytkownika ani nie wpływa istotnie na jego sytuację w rozumieniu art. 22 RODO.
- Użytkownik ma prawo sprzeciwu wobec profilowania — poprzez kontakt z Administratorem.
- Administrator nie stosuje zautomatyzowanego podejmowania decyzji wywołującego skutki prawne.
§11. Zabezpieczenie danych
Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę danych odpowiednią do ryzyka, w szczególności:
- szyfrowanie połączeń TLS (HTTPS),
- szyfrowane hasła (bcrypt / argon2),
- kontrolę dostępu opartą na rolach (RBAC) i Row Level Security w bazie danych,
- regularne kopie zapasowe i testy odtworzenia,
- monitoring bezpieczeństwa i logów (Sentry),
- okresowe audyty bezpieczeństwa.
W razie naruszenia ochrony danych mogącego powodować ryzyko dla osób fizycznych, Administrator zgłasza naruszenie do PUODO w ciągu 72 godzin (art. 33 RODO) oraz informuje osoby, których dane dotyczą, jeśli wymaga tego art. 34 RODO.
§12. Zmiany Polityki Prywatności
- Administrator zastrzega sobie prawo do zmiany Polityki Prywatności w przypadku zmiany przepisów prawa, zakresu usług lub stack’a technologicznego.
- O istotnych zmianach Użytkownik zostanie poinformowany drogą elektroniczną lub powiadomieniem na Platformie.
- Aktualna wersja jest zawsze dostępna pod tym adresem.
§13. Dokumenty powiązane
Ostatnia aktualizacja: 16 kwietnia 2026