Polityka prywatności sklepu tuttopizza.pl

§1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

W naszej firmie nie wyznaczyliśmy Inspektora Ochrony Danych — ze względu na skalę działalności (jednoosobowa działalność gospodarcza, lokalna restauracja) nie jesteśmy do tego prawnie zobowiązani (art. 37 RODO). Pytania dotyczące przetwarzania danych prosimy kierować bezpośrednio na adres kontakt@tuttopizza.pl.

§2. Jakie dane zbieramy

• Dane identyfikacyjne — imię, nazwisko (przy składaniu zamówienia).
• Dane kontaktowe — e-mail, telefon, adres dostawy (ulica, kod pocztowy, miasto).
• Dane transakcyjne — numer zamówienia, kwota, sposób płatności (NIE numer karty), status realizacji.
• Dane techniczne — adres IP, typ urządzenia, przeglądarka, system operacyjny (automatycznie).
• Cookies i identyfikatory sesji — szczegóły w §9.
• Dodatkowe uwagi do zamówienia — komentarz Klienta (dobrowolne).

Nie zbieramy bezpośrednio danych karty płatniczej. Płatności online przetwarza operator zewnętrzny — PayPro SA (operator systemu Przelewy24), któremu przekazujesz dane karty/BLIK-a bezpośrednio na zaszyfrowanym formularzu. PayPro SA przekazuje nam jedynie status płatności i identyfikator transakcji.

§3. Cele i podstawy prawne przetwarzania

• Realizacja zamówienia — art. 6 ust. 1 lit. b RODO (wykonanie umowy).
• Wystawienie faktury / paragonu i rozliczenia podatkowe — art. 6 ust. 1 lit. c (obowiązek prawny: VAT, ordynacja podatkowa, KSeF).
• Komunikacja w sprawie zamówienia — art. 6 ust. 1 lit. b.
• Rozpatrywanie reklamacji i obsługa zwrotów — art. 6 ust. 1 lit. b + c.
• Zabezpieczenie i dochodzenie roszczeń — art. 6 ust. 1 lit. f (prawnie uzasadniony interes).
• Statystyki i ulepszanie Sklepu — art. 6 ust. 1 lit. f.
• Cookies funkcjonalne/statystyczne/marketingowe — art. 6 ust. 1 lit. a (zgoda).

Newsletter / marketing e-mail / SMS — obecnie nie prowadzimy. Wprowadzenie newslettera będzie wymagało osobnej, dobrowolnej zgody (checkbox), którą Klient w każdej chwili będzie mógł cofnąć.

§4. Czy podanie danych jest obowiązkowe?

Podanie danych jest dobrowolne, ale niezbędne do złożenia zamówienia. Bez imienia, adresu, telefonu i e-maila nie zrealizujemy dostawy ani nie skontaktujemy się w sprawie zamówienia. Niepodanie danych = brak możliwości zawarcia umowy.

§5. Komu przekazujemy Twoje dane (odbiorcy)

Twoje dane przekazujemy podmiotom działającym jako procesorzy (przetwarzają dane na nasze zlecenie) lub odrębni administratorzy (otrzymują dane do własnych celów wynikających z umowy lub przepisów):

• PayPro SA (Przelewy24), ul. Kanclerska 15, 60-327 Poznań, NIP 779-236-98-87 — obsługa płatności (odrębny administrator).
• Hostinger International Ltd, Larnaca, Cypr (UE) — hosting aplikacji i bazy (procesor).
• Supabase Inc. (region UE, Frankfurt eu-central-1) — przechowywanie danych zamówień i klientów (procesor, DPA: https://supabase.com/legal/dpa).
• TT Grupa Marcin Maciejewski (NIP 8393028257) — wewnętrzny system FV Control: wystawianie faktur i przesył do KSeF (ten sam podmiot).
• Ministerstwo Finansów RP — KSeF — obowiązek wystawiania e-faktur (odbiorca z mocy prawa).
• Plausible Analytics (Plausible Insights OÜ, Estonia, UE) — anonimowe statystyki ruchu, bez identyfikacji osoby (procesor).
• Organy państwowe (KAS, sądy, policja) — wyłącznie na żądanie i z mocy prawa.

Nie sprzedajemy Twoich danych podmiotom trzecim w celach marketingowych. Nie przekazujemy ich brokerom danych ani sieciom reklamowym.

§6. Jak długo przechowujemy dane (retencja)

• Dane zamówienia, faktury, paragony — 6 lat od końca roku rozliczenia (ordynacja podatkowa, art. 86 §1).
• Dane do reklamacji — do upływu przedawnienia roszczeń konsumenckich (2 lata od końca roku ujawnienia wady).
• Cookies — zgodnie z czasem życia poszczególnych plików (patrz §9).
• Dane do dochodzenia roszczeń — do upływu okresu przedawnienia (zwykle 3 lata wg KC).

Po upływie powyższych terminów dane są usuwane lub anonimizowane.

§7. Twoje prawa

• Dostępu (art. 15 RODO) — uzyskania kopii swoich danych.
• Sprostowania (art. 16) — poprawienia lub uzupełnienia danych.
• Usunięcia (art. 17) — z zastrzeżeniem obowiązków prawnych (np. faktury przechowywane 6 lat).
• Ograniczenia przetwarzania (art. 18).
• Przenoszenia danych (art. 20) — w formacie ustrukturyzowanym (CSV / JSON).
• Sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 21).
• Wycofania zgody w każdej chwili — bez wpływu na zgodność z prawem przetwarzania przed wycofaniem.
• Wniesienia skargi do Prezesa UODO — ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl.

Aby skorzystać z praw, skontaktuj się: kontakt@tuttopizza.pl. Odpowiemy w terminie do 30 dni (w sprawach skomplikowanych — do 60 dni z zawiadomieniem o przedłużeniu).

§8. Bezpieczeństwo danych

• Szyfrowanie transmisji (HTTPS/TLS 1.2+).
• Szyfrowanie danych w spoczynku (Supabase: AES-256).
• Hashowanie haseł (jeśli wprowadzimy konta — bcrypt lub Argon2).
• Ograniczenie dostępu na zasadzie „need to know”.
• Regularne aktualizacje oprogramowania.
• Kopie zapasowe (Supabase point-in-time recovery).
• Umowy powierzenia (DPA) z każdym procesorem.

§9. Pliki cookies

Cookies to małe pliki tekstowe zapisywane na Twoim urządzeniu. Pozwalają zapamiętać preferencje, utrzymać sesję (np. zawartość koszyka) i mierzyć ruch.

• Niezbędne (techniczne) — utrzymanie sesji, koszyk, CSRF; sesja/do 24 h; bez zgody (art. 173 ust. 3 Prawa telekomunikacyjnego).
• Funkcjonalne — zapamiętanie preferencji (np. strefa dostawy); do 12 miesięcy; za zgodą.
• Statystyczne — Plausible Analytics, anonimowe, bez identyfikacji osoby; do 24 h; bez zgody (anonimowe).
• Marketingowe — obecnie nie używamy.

Ponieważ statystyki realizujemy w sposób anonimowy (Plausible), banner zgody na cookies nie jest wymagany. Cookies można wyłączyć w ustawieniach przeglądarki — wyłączenie cookies niezbędnych może uniemożliwić złożenie zamówienia lub spowodować utratę zawartości koszyka.

§10. Profilowanie i decyzje automatyczne

Nie podejmujemy decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych (w tym profilowaniu), które wywoływałyby wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływały (art. 22 RODO). Zamówienia realizowane są przy udziale człowieka.

§11. Przekazywanie danych poza EOG

Co do zasady Twoje dane są przechowywane i przetwarzane w UE (Supabase: Frankfurt; Hostinger: Cypr; Plausible: Estonia). W każdym przypadku zapewniamy odpowiedni poziom ochrony danych zgodny z art. 46 RODO.

§12. Zmiany Polityki prywatności

Możemy aktualizować Politykę prywatności. Każda istotna zmiana zostanie ogłoszona na stronie Sklepu z minimum 14-dniowym wyprzedzeniem. Aktualna data wejścia w życie znajduje się na początku dokumentu.

§13. Kontakt

Pytania dotyczące Polityki prywatności: e-mail kontakt@tuttopizza.pl lub pisemnie: Tutto Grupa Marcin Maciejewski, ul. Szczecińska 83, 76-200 Słupsk. Zobacz też Regulamin sklepu.