1. Administrator i kontakt

1.1. Administratorem danych jest MODOSPACE spółka z ograniczoną odpowiedzialnością, ul. Poznańska 11, 62-023 Gądki, Polska, KRS 0001173492, NIP 7773447037, REGON 541753930, kapitał zakładowy 5 000,00 PLN.
1.2. W sprawach ochrony danych oraz w celu realizacji praw prosimy o kontakt: privacy@modospace.pl.
1.3. Zgłoszenia incydentów bezpieczeństwa i naruszeń ochrony danych: security@modospace.pl.
1.4. Nie wyznaczyliśmy Inspektora Ochrony Danych (IOD).
1.5. Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl. Jeżeli mieszkasz lub pracujesz w innym państwie EOG, możesz skontaktować się również z lokalnym organem nadzorczym. W przypadku przetwarzania transgranicznego naszym organem wiodącym (one-stop-shop) jest Prezes UODO; niezależnie od tego możesz wnieść skargę także do lokalnego organu nadzorczego w swoim państwie EOG.

2. Jakie dane przetwarzamy i skąd je mamy

2.1. Dane podawane bezpośrednio: imię i nazwisko, dane kontaktowe (e-mail, telefon), adresy dostawy i rozliczeniowe, NIP/identyfikator VAT UE (w przypadku firm), dane konta, historia zamówień/zwrotów/gwarancji, treść korespondencji.
2.2. Dane techniczne z przeglądarki/urządzenia: adres IP, typ i wersja przeglądarki, informacje o urządzeniu, znaczniki czasu, identyfikatory sesji oraz logi bezpieczeństwa.
2.3. Dane z innych źródeł: ograniczone dane od operatorów płatności i przewoźników – wyłącznie w celu rozliczenia płatności i dostawy. Przy integracjach otrzymujemy tylko dane niezbędne do realizacji zamówienia. Nie przetwarzamy pełnych danych kart płatniczych – przetwarza je bezpośrednio wybrany operator płatności.
2.4. Analityka/marketing online i treści osadzone (np. mapa, wideo) uruchamiamy dopiero po wyrażeniu zgody. Szczegóły opisuje Polityka plików cookies.
2.5. Szczególne kategorie danych (art. 9 RODO). Nie zbieramy ich celowo. Prosimy, abyś nie przekazywał informacji o zdrowiu, biometrii, poglądach religijnych lub politycznych w notatkach do zamówień ani w korespondencji.
2.6. Informacja z art. 14 RODO. Gdy pozyskujemy Twoje dane od podmiotu trzeciego, przekazujemy wymagane informacje w ciągu miesiąca, a najpóźniej przy pierwszym kontakcie lub przy pierwszym udostępnieniu danych odbiorcy – w zależności od tego, co nastąpi wcześniej.

3. Cele i podstawy prawne przetwarzania

3.1. Zawarcie i wykonanie umowy, prowadzenie konta – art. 6 ust. 1 lit. b RODO.
3.2. Obowiązki prawne (księgowe i podatkowe) – art. 6 ust. 1 lit. c RODO.
3.3. Kontakt i obsługa zapytań – art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes: sprawna komunikacja), albo art. 6 ust. 1 lit. b (gdy zapytanie dotyczy działań przedumownych).
3.4. Reklamacje, rękojmia, gwarancja – art. 6 ust. 1 lit. b i c RODO.
3.5. Newsletter i marketing bezpośredni – art. 6 ust. 1 lit. a RODO (zgoda) + przepisy e-privacy; stosujemy double opt-in.
3.6. Analityka, marketing online, treści osadzone – art. 6 ust. 1 lit. a RODO (zgoda w banerze cookies).
3.7. Bezpieczeństwo i stabilność usługi (logi, wykrywanie nadużyć) – art. 6 ust. 1 lit. f RODO.
3.8. Ustalenie, dochodzenie lub obrona roszczeń – art. 6 ust. 1 lit. f RODO.
3.9. Wiadomości transakcyjne i systemowe. Wysyłamy potwierdzenia zamówień, informacje o dostawie, reset haseł itp. na podstawie wykonania umowy [art. 6 ust. 1 lit. b] albo prawnie uzasadnionego interesu [art. 6 ust. 1 lit. f]. To nie są komunikaty marketingowe i nie wymagają zgody marketingowej.
3.10. Nie podejmujemy decyzji wyłącznie zautomatyzowanych wywołujących wobec Ciebie skutki prawne. Jeżeli – po wyrażeniu zgody – zastosujemy proste profilowanie marketingowe, przekażemy na żądanie zrozumiałe informacje o logice.

3A. Nasze prawnie uzasadnione interesy (art. 6 ust. 1 lit. f RODO)

3A.1. Komunikacja z klientami i obsługa spraw: udzielanie odpowiedzi, informowanie o statusie zamówień, niezawodna pomoc.
3A.2. Bezpieczeństwo i ciągłość działania: monitorowanie logów technicznych, wykrywanie nadużyć/błędów, obrona przed atakami, stabilność i wydajność serwisu.
3A.3. Zapobieganie oszustwom i ochrona praw: weryfikacja sytuacji podejrzanych, zabezpieczanie dowodów, wykorzystanie danych w postępowaniach.
3A.4. Podstawowa analityka nieidentyfikująca: raporty zagregowane/zanonimizowane do usuwania błędów i poprawy użyteczności; nie łączymy ich z konkretnymi osobami. Analitykę wymagającą cookies/ID marketingowych uruchamiamy wyłącznie po zgodzie.
3A.5. Marketing bezpośredni – PKE. W zakresie kontaktów e-mail/SMS/telefon wymagamy uprzedniej zgody zgodnie z obowiązującymi przepisami e-privacy (Prawo komunikacji elektronicznej – PKE). Zgody zbieramy per kanał komunikacji, zapewniamy łatwe wycofanie oraz dokumentujemy ich pozyskanie i zmianę. Jeżeli przepisy ulegną zmianie, zaktualizujemy mechanizmy zgód i poinformujemy o tym w Polityce. Kampanie oparte na cookies/profilowaniu uruchamiamy tylko po zgodzie.
3A.6. Usprawnianie procesów wewnętrznych: optymalizacja obsługi klienta, logistyki i płatności, szkolenia zespołu – w reżimie minimalizacji danych.
3A.7. Test równowagi (LIA): prowadzimy test równowagi interesów i na żądanie przedstawiamy skrót podsumowania. Możesz wnosić sprzeciw wobec przetwarzania opartego na uzasadnionym interesie; rozpatrzymy go bez zbędnej zwłoki i poinformujemy o wyniku.

4. Okresy przechowywania

4.1. Konto klienta: do czasu usunięcia konta; powiązane logi bezpieczeństwa przechowujemy maksymalnie 6 miesięcy dłużej.
4.2. Dokumenty księgowe/podatkowe: co do zasady 5 lat od końca roku obrotowego (zgodnie z przepisami).
4.3. Korespondencja niezwiązana z umową: maksymalnie 12 miesięcy od zakończenia sprawy.
4.4. Reklamacje/rękojmia/gwarancje: co do zasady 2 lata od wydania rzeczy, następnie do upływu właściwych terminów przedawnienia.
4.5. Newsletter i zgody marketingowe: do odwołania; logi double opt-in przechowujemy do 3 lat w celach dowodowych. Rejestry zgód cookies (CMP) przechowujemy przez czas proporcjonalny do potrzeb wykazania zgodności.
4.6. Logi serwerowe: 7–14 dni do celów bezpieczeństwa i diagnostyki; w razie incydentu dłużej – do zakończenia analizy.
4.7. Uwaga: usunięcie konta nie oznacza usunięcia danych, które musimy dalej przechowywać z powodu obowiązku prawnego lub obrony roszczeń.
4.8. Kopie zapasowe i propagacja zmian. Wdrożymy usunięcie/ograniczenie przetwarzania bez zbędnej zwłoki w systemach aktywnych. Dane mogą przez pewien czas znajdować się w plikach kopii zapasowych aż do ich nadpisania zwykłym cyklem; nie korzystamy z tych kopii w bieżących celach i po okresie retencji stają się niedostępne.

5. Odbiorcy danych i ich role

5.1. Podmioty przetwarzające (art. 28 RODO): hosting/CDN, systemy e-commerce/CRM, dostawcy poczty e-mail, wsparcie IT – działają na nasze polecenie na podstawie umów powierzenia.
5.2. Samodzielni administratorzy: operatorzy płatności i przewoźnicy (płatność/dostawa) oraz dostawcy analityki/reklamy i treści osadzonych (np. wideo, mapa) – dopiero po zgodzie na stosowne cookies. Te podmioty określają własne cele i sposoby przetwarzania.
5.3. Doradcy: biuro rachunkowe i pełnomocnicy prawni, gdy to konieczne.
5.4. Aktualne kategorie odbiorców udostępniamy na wniosek (privacy@modospace.pl). Dostawców cookies/technologii wskazujemy w Polityce plików cookies i w panelu zarządzania zgodami.
5.5. Linki zewnętrzne i media społecznościowe. Nasza strona może zawierać odnośniki lub treści osadzone podmiotów trzecich. Są to odrębni administratorzy z własnymi politykami.
5.6. Sprzedaż danych. Nie sprzedajemy danych osobowych i nie przekazujemy ich odpłatnie podmiotom trzecim do ich własnych celów. Gdy prawo wymaga przekazania danych, informujemy o tym transparentnie.
5.7. Media społecznościowe (strony firmowe). Jeżeli prowadzimy strony firmowe, możemy być – w zakresie statystyk odwiedzin (np. „Page Insights”) – współadministratorami z daną platformą. Przetwarzanie odbywa się również na warunkach tej platformy i jej aneksów o współadministracji.

6. Przekazywanie danych poza EOG i zabezpieczenia

6.1. Przekazujemy dane poza EOG tylko wtedy, gdy korzystamy z usług dostawców mających siedzibę w państwach trzecich.
6.2. Zabezpieczamy takie przekazania standardowymi klauzulami umownymi (SCC) i oceną skutków transferu (TIA); w przypadku dostawców z USA – o ile posiadają ważną certyfikację – korzystamy także z EU–US Data Privacy Framework (DPF).
6.3. Polityka cookies podaje lokalizacje przetwarzania i zastosowane zabezpieczenia u poszczególnych dostawców; na żądanie udostępnimy kopie odpowiednich zabezpieczeń.
6.4. Uwaga dot. cookies i technologii na urządzeniu końcowym (PL) – wersja po zmianie

Zapisywanie/odczyt informacji na Twoim urządzeniu (cookies, local storage) podlega przepisom e-privacy. Technologie niekonieczne (opcjonalne) stosujemy wyłącznie po wyrażeniu zgody; odmowa jest równie prosta jak wyrażenie zgody. Możesz w każdej chwili zmienić wybór w panelu zgód (stały link w stopce). Nie stosujemy dark patterns i nie pogarszamy funkcjonalności ponad to, co technicznie konieczne, jeśli odmówisz technologii niekoniecznych (opcjonalnych). Odmowa cookies nie uniemożliwia zawarcia umowy ani nie zakłóca procesu zakupowego ponad niezbędne minimum.

7. Twoje prawa i sposób ich realizacji

7.1. Przysługują Ci prawa: dostępu (w tym kopii), sprostowania, usunięcia, ograniczenia, przenoszenia oraz sprzeciwu, w szczególności wobec marketingu bezpośredniego.
7.1a. Przenoszenie danych (art. 20 RODO). Dotyczy danych, które nam dostarczyłeś, jeśli przetwarzamy je na podstawie zgody lub umowy i w sposób zautomatyzowany. Przekazujemy je w ustrukturyzowanym, powszechnie używanym i możliwym do odczytu maszynowego formacie, albo – gdy jest to technicznie możliwe – przesyłamy bezpośrednio innemu administratorowi.
7.1b. Wycofanie zgody. Możesz wycofać zgodę w dowolnym momencie; nie wpływa to na zgodność z prawem przetwarzania sprzed wycofania. Zmiany uwzględniamy bez zbędnej zwłoki we wszystkich systemach.
7.1c. Sprzeciw wobec marketingu (art. 21 RODO). Gdy zgłosisz sprzeciw wobec marketingu bezpośredniego, niezwłocznie zakończymy takie przetwarzanie – bez prowadzenia testu równowagi interesów.
Weryfikacja tożsamości i forma odpowiedzi. Przed realizacją wniosku możemy poprosić o rozsądne potwierdzenie tożsamości, aby zapobiec nieuprawnionemu ujawnieniu danych. Gdy działasz w imieniu innej osoby, możemy poprosić o pełnomocnictwo lub inny dowód umocowania. Standardowo odpowiadamy elektronicznie, chyba że poprosisz inaczej.
Dyspozycje pośmiertne. Możesz określić dyspozycje dotyczące danych po śmierci (wyznaczenie zaufanej osoby lub złożenie dyspozycji w uprawnionym podmiocie). Jeśli nie ustanowisz dyspozycji, spadkobiercy mogą realizować niektóre prawa (np. dostęp, zamknięcie konta) w granicach prawa.
7.2. Skargę możesz złożyć do UODO lub – jeżeli mieszkasz/pracujesz w innym państwie EOG – do właściwego lokalnego organu nadzorczego.
7.3. Odpowiadamy w ciągu miesiąca od otrzymania wniosku. W przypadku spraw skomplikowanych lub wielu wniosków możemy przedłużyć termin maksymalnie o dwa miesiące; poinformujemy o tym w ciągu pierwszego miesiąca, podając powody.
7.3a. Zawiadamianie odbiorców (art. 19 RODO). Gdy sprostujemy, usuniemy dane lub ograniczymy przetwarzanie, zawiadomimy odbiorców, którym dane ujawniliśmy – o ile to możliwe. Na żądanie przekażemy listę tych odbiorców.
7.4. Wnioski kieruj na privacy@modospace.pl. Odpowiadamy zwykle po polsku, angielsku lub francusku; na życzenie możemy odpowiedzieć inną drogą niż elektroniczna.
7.5. Za dodatkowe kopie możemy pobrać uzasadnioną opłatę (art. 15 ust. 3 RODO) – informujemy o tym wcześniej.
7.6. W przypadku wniosków oczywiście bezzasadnych lub nadmiernych (zwłaszcza powtarzających się) możemy pobrać uzasadnioną opłatę lub odmówić ich realizacji (art. 12 ust. 5 RODO) – z uzasadnieniem.

8. Czy musisz podawać dane i co jeśli ich nie podasz

8.1. Podanie danych jest dobrowolne, ale w niektórych przypadkach konieczne:
— umownie, gdy zakładasz konto i składasz zamówienie (bez danych nie zawrzemy/nie wykonamy umowy),
— prawnie, gdy wystawiamy dokumenty księgowe/podatkowe.
8.2. Korzystanie ze sklepu nie wymaga zgody marketingowej; każdą zgodę możesz cofnąć w dowolnym momencie.

9. Dane dzieci

9.1. Nasze usługi nie są skierowane do dzieci poniżej 16 lat.
Uwaga – art. 8 RODO. W Polsce granica 16 lat dotyczy wyłącznie sytuacji, gdy podstawą prawną jest zgoda dziecka przy usługach społeczeństwa informacyjnego oferowanych bezpośrednio dziecku. Poniżej 16 lat wymagana jest zgoda lub zatwierdzenie zgody przez przedstawiciela ustawowego.
9.2. Gdy dowiemy się, że przetwarzamy dane dziecka, usuniemy je lub ograniczymy przetwarzanie i – o ile to możliwe – poinformujemy opiekuna prawnego. Nie prowadzimy obowiązkowej weryfikacji wieku, ale niezwłocznie działamy po uzyskaniu informacji o takiej sytuacji.

10. Bezpieczeństwo, rejestry i postępowanie w razie naruszeń

10.1. Projektujemy rozwiązania zgodnie z zasadami privacy by design i privacy by default. Domyślnie przetwarzamy tylko niezbędne minimum; funkcje opcjonalne – w tym analitykę i marketing – aktywujemy dopiero po zgodzie.
10.2. Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka: szyfrowanie transmisji (TLS) oraz – w wybranych systemach – szyfrowanie danych w spoczynku, MFA, zasadę najmniejszych uprawnień i separację ról, rejestrowanie i monitorowanie dostępu, testy bezpieczeństwa oraz okresowe oceny dostawców.
10.3. Prowadzimy rejestry czynności przetwarzania i wykonujemy oceny skutków (DPIA), gdy wymagają tego ryzyko i charakter operacji.
10.4. W razie naruszenia ochrony danych oceniamy poufność, integralność i dostępność danych, zakres i kategorie danych, liczbę osób, możliwe skutki oraz istniejące zabezpieczenia. Gdy jest to wymagane, zgłaszamy naruszenie organowi nadzorczemu w ciągu 72 godzin, a przy wysokim ryzyku dla osób niezwłocznie je informujemy (opis, możliwe skutki, działania zaradcze).
10.5. Prowadzimy rejestr naruszeń i dokumentujemy okoliczności, skutki oraz działania naprawcze. Pilne zgłoszenia: security@modospace.pl.

11. Zmiany Polityki

11.1. Publikujemy aktualną wersję na tej stronie i podajemy datę aktualizacji.
11.2. W razie istotnych zmian (np. nowa kategoria narzędzi analitycznych/marketingowych, zmiana podstawy prawnej, nowy dostawca w państwie trzecim) poprosimy o ponowny wybór w banerze cookies.
11.3. Wersja rozstrzygająca. W przypadku rozbieżności między wersjami językowymi, w sprawach podlegających prawu polskiemu rozstrzygające jest brzmienie polskie. Tłumaczenia lokalne służą ułatwieniu zrozumienia na danym rynku.