Polityka prywatności i ochrona danych

Wprowadzenie

GEOBUYER LIMITED LIABILITY COMPANY (Cypr, nr rej. HE 464159), z siedzibą pod adresem Arch. Makariou III 1–7, 3rd Floor, Flat 310, 1065 Nikozja, Cypr (dalej „Geobuyer", „my", „nas" lub „nasz"), jest właścicielem i operatorem marki Geobuyer® oraz udostępnia stronę internetową Geobuyer i aplikację mobilną (dalej „Aplikacja").

NLS group, trgovina in inovacije, d.o.o. działa jako licencjobiorca i oficjalny przedstawiciel w Republice Słowenii oraz w innych krajach Unii Europejskiej, zgodnie z ustaleniami z licencjodawcą.

Niniejsza Polityka prywatności wyjaśnia, w jaki sposób zbieramy, wykorzystujemy, udostępniamy i chronimy dane osobowe użytkowników naszej Aplikacji i Strony internetowej zgodnie z prawem Unii Europejskiej, w tym Ogólnym Rozporządzeniem o Ochronie Danych (RODO) (Rozporządzenie (UE) 2016/679), oraz — w stosownych przypadkach — z odpowiednimi przepisami Stanów Zjednoczonych (w tym California Consumer Privacy Act — CCPA).

Kategorie zbieranych danych osobowych

Możemy zbierać i przetwarzać następujące kategorie danych osobowych:

• Informacje kontaktowe: imię i nazwisko, adres e-mail, numer telefonu oraz adres korespondencyjny.
• Dane finansowe: Obecnie nie przetwarzamy informacji o płatnościach bezpośrednio w Aplikacji. Jeśli w przyszłości zostaną wprowadzone funkcje płatności lub realizacji transakcji (checkout), możemy przetwarzać ograniczone dane dotyczące płatności i transakcji wyłącznie w celu obsługi płatności oraz zapobiegania nadużyciom i oszustwom, zgodnie z obowiązującymi przepisami.
• Dane lokalizacyjne: informacje o geolokalizacji (wyłącznie za zgodą użytkownika).
• Dane techniczne: adres IP, typ urządzenia, system operacyjny, typ i wersja przeglądarki.
• Dane dotyczące korzystania: dane o interakcjach z Aplikacją, przeglądane oferty, zapisane promocje, historia interakcji, zapisy produktów zakupionych lub oznaczonych przez użytkowników jako zakupione (z wyłączeniem danych płatniczych i finansowych), preferencje oraz aktywność przeglądania. Historia zakupów związana z transakcjami w aplikacji będzie przetwarzana wyłącznie wtedy, gdy i jeśli zostaną udostępnione funkcje zakupów w aplikacji.
• Pliki cookie i dane śledzenia: informacje o interakcjach użytkownika z Aplikacją za pomocą plików cookie i podobnych technologii.
• Dane analityczne (Firebase Analytics): Informacje o interakcji użytkownika z Aplikacją (np. czas trwania sesji, ścieżki nawigacji, kliknięcia, uruchomienia aplikacji), identyfikatory urządzenia (Advertising ID, Instance ID) oraz dane dotyczące atrybucji marketingowej.
• Dane diagnostyczne (Firebase Crashlytics): Informacje techniczne o Aplikacji i urządzeniu w momencie awarii lub poważnego błędu (takie jak wersja systemu operacyjnego, model urządzenia, wersja aplikacji, znacznik czasu awarii, stan urządzenia i pamięci, logi techniczne), a także identyfikator instalacji generowany przez Crashlytics (Crashlytics Install ID). Dane te obejmują szczegóły awarii (typ błędu i ślad stosu) i są wykorzystywane wyłącznie do wykrywania, analizowania i usuwania błędów oraz poprawy stabilności i wydajności Aplikacji. Nie wykorzystujemy danych Crashlytics do bezpośredniej identyfikacji poszczególnych użytkowników ani do tworzenia profili marketingowych.
• Dane Session Replay i analityki behawioralnej (Amplitude): informacje o interakcjach użytkownika z Aplikacją (np. ścieżki nawigacji, kliknięcia, przewijanie, czas trwania sesji i znaczniki czasu), metadane sesji, identyfikatory urządzenia oraz informacje techniczne. Session replay może rejestrować interakcje na ekranie oraz ograniczone wizualne dane o interakcji z ekranu Twojego urządzenia, w tym wizualną rekonstrukcję interfejsu użytkownika tak, jak był doświadczany podczas sesji (podobnie do nagrania ekranu). Może to obejmować odwiedzane strony, wyszukiwane produkty, używane funkcje oraz wzorce nawigacji w ramach Aplikacji. Stosujemy techniczne zabezpieczenia zaprojektowane w celu zapobiegania pozyskiwaniu wrażliwych danych osobowych. Wpisy tekstowe oraz wrażliwe pola są maskowane lub wykluczane z nagrań.

Wykorzystanie danych osobowych

Zebrane dane mogą być wykorzystywane w następujących celach:

• Świadczenie i ulepszanie funkcjonalności oraz wydajności Aplikacji.
• Personalizacja doświadczeń użytkowników.
• Przetwarzanie i realizacja żądań użytkowników (np. sprawy związane z kontem, zapytania do wsparcia oraz inne żądania dotyczące usług) oraz — w stosownych przypadkach — ułatwianie komunikacji lub obsługi zapytań związanych z zamówieniami.
• Analiza zachowań użytkowników w celu doskonalenia naszych usług.
• Analiza i statystyka: Pomiar korzystania z Aplikacji, identyfikacja błędów, ocena skuteczności funkcji oraz optymalizacja funkcji produktu i wydajności usług z wykorzystaniem Firebase Analytics.
• Diagnostyka awarii i stabilność aplikacji: Wykorzystywanie Firebase Crashlytics do identyfikowania, analizowania i usuwania awarii, błędów oraz problemów z wydajnością Aplikacji w celu zapewnienia jej prawidłowego działania i poprawy stabilności.
• Analityka behawioralna & Session Replay (Amplitude): zrozumienie sposobu korzystania z Aplikacji, poprawa użyteczności, wykrywanie problemów technicznych oraz zwiększanie bezpieczeństwa, a także zapobieganie działaniom o charakterze oszukańczym lub nadużyciom. Session replay jest domyślnie wyłączony, aktywowany wyłącznie po dobrowolnej, wyraźnej zgodzie opt-in i może zostać wyłączony w dowolnym momencie w ustawieniach prywatności.
• Komunikacja marketingowa (za zgodą użytkownika).
• Zapewnienie zgodności z prawem oraz ochrona naszych praw i interesów.

Podstawy prawne przetwarzania

• Zgoda (art. 6 ust. 1 lit. a RODO): w przypadku komunikacji marketingowej (jeśli jest włączona), dostępu do lokalizacji (gdy o to prosimy) oraz session replay / analityki behawioralnej (Amplitude), gdy prosimy o wyraźną zgodę opt-in.
• Realizacja umowy (art. 6 ust. 1 lit. b RODO): w celu wykonania umowy z użytkownikiem.
• Obowiązek prawny (art. 6 ust. 1 lit. c RODO): wypełnienie obowiązków wynikających z przepisów prawa.
• Życiowe interesy (art. 6 ust. 1 lit. d RODO): ochrona życia lub zdrowia użytkownika bądź osób trzecich.
• Uzasadnione interesy (art. 6 ust. 1 lit. f RODO): utrzymanie i poprawa bezpieczeństwa oraz stabilności Aplikacji (z wyłączeniem session replay, który przetwarzamy wyłącznie na podstawie zgody), zapobieganie oszustwom lub nadużyciom oraz prowadzenie ograniczonej analityki związanej z usługą.

Udostępnianie danych podmiotom trzecim

• Za zgodą użytkownika.
• W celu wypełnienia obowiązków prawnych.
• Partnerom i dostawcom usług wspierającym nas w świadczeniu usług.
• Organom ścigania i organom państwowym, gdy wymaga tego prawo.
• Z Google LLC (Firebase Analytics i Firebase Crashlytics), które przetwarzają w naszym imieniu dane dotyczące korzystania z Aplikacji, dane analityczne i diagnostyczne w celu świadczenia usług analitycznych, raportowych oraz diagnostyki awarii. Więcej informacji: Google Privacy Policy oraz dokumentacja prywatności Firebase.
• Z Amplitude Inc. (analityka behawioralna i session replay): Amplitude Inc., działając jako nasz podmiot przetwarzający, przetwarza określone dane dotyczące korzystania oraz session replay w naszym imieniu w celu świadczenia usług analitycznych i session replay. Więcej informacji: Polityka prywatności Amplitude.

Międzynarodowy transfer danych

Jeżeli przekazujemy dane osobowe poza Europejski Obszar Gospodarczy (EOG), zapewniamy odpowiedni poziom ochrony poprzez standardowe klauzule umowne zatwierdzone przez Komisję Europejską lub inne prawnie zgodne mechanizmy.

Ponieważ usługi Firebase (w tym Firebase Analytics i Firebase Crashlytics) są obsługiwane przez Google LLC, dane mogą być przekazywane do Stanów Zjednoczonych lub innych jurysdykcji i tam przetwarzane. Przekazy te są zabezpieczone standardowymi klauzulami umownymi (SCC) zatwierdzonymi przez Komisję Europejską lub — w stosownych przypadkach — innymi odpowiednimi zabezpieczeniami.

Ponieważ Amplitude Inc. może przetwarzać dane w Stanach Zjednoczonych lub innych jurysdykcjach, takie transfery są zabezpieczone odpowiednimi środkami ochrony, takimi jak standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską lub inne prawnie dopuszczalne mechanizmy, w stosownych przypadkach.

Okres przechowywania danych

Dane są przechowywane nie dłużej niż jest to niezbędne do realizacji celów lub zgodnie z wymogami prawa:

• Dane kontaktowe: do usunięcia konta lub wycofania zgody.
• Dane lokalizacyjne: wyłącznie przez okres konieczny do świadczenia usług lokalizacyjnych.
• Dane techniczne: przez rozsądny czas w celach bezpieczeństwa i utrzymania wydajności.
• Dane dotyczące korzystania: w celach ulepszania usług i analityki do czasu, gdy użytkownik zażąda usunięcia danych lub gdy dane nie będą już potrzebne.
• Dane Firebase Analytics: Przechowywane przez okres do 2 miesięcy, zgodnie z ustawieniami przechowywania danych w Firebase, chyba że użytkownik zażąda wcześniejszego usunięcia.
• Dane Firebase Crashlytics: Raporty o awariach i powiązane techniczne dane diagnostyczne są zazwyczaj przechowywane przez Google przez okres do 90 dni, chyba że prawo wymaga dłuższego okresu przechowywania. Nie przechowujemy danych Firebase Crashlytics w naszych własnych systemach dłużej, niż jest to konieczne do analizy i rozwiązania problemów ze stabilnością.
• Dane Session Replay (Amplitude): nagrania session replay są przechowywane nie dłużej niż 90 dni, po czym są usuwane lub anonimizowane. Okres przechowywania może być krótszy, jeśli wycofasz zgodę i zażądasz usunięcia danych, o ile jest to technicznie możliwe.

Pliki cookie i technologie śledzenia

Używamy plików cookie w celu poprawy jakości korzystania z Aplikacji. Pliki cookie mogą być funkcjonalne, analityczne lub niezbędne. Dla niezbędnych plików cookie zgoda użytkownika nie jest wymagana, dla pozostałych — tak.

• Niezbędne pliki cookie: zapewniają podstawową funkcjonalność Aplikacji.
• Analityczne pliki cookie: zbierają dane o interakcjach użytkowników w celu ulepszania Aplikacji.
• Śledzenie za pomocą mobilnych SDK: Oprócz plików cookie korzystamy z zewnętrznych pakietów SDK (takich jak Firebase Analytics, Firebase Crashlytics oraz Amplitude) w celu gromadzenia danych technicznych, analitycznych i behawioralnych w mobilnej Aplikacji. Session Replay Amplitude jest domyślnie wyłączony i jest aktywowany wyłącznie po udzieleniu dobrowolnej, wyraźnej zgody opt-in; można go wyłączyć w dowolnym momencie w ustawieniach prywatności.

Firebase Crashlytics

Korzystamy z Firebase Crashlytics, usługi świadczonej przez Google LLC, aby monitorować stabilność Aplikacji i diagnozować błędy. Crashlytics automatycznie zbiera określone dane techniczne, gdy w Aplikacji dochodzi do awarii lub poważnego błędu, w tym:

• wersję i kompilację aplikacji;
• wersję systemu operacyjnego i model urządzenia;
• znacznik czasu awarii oraz stan urządzenia (np. wykorzystanie pamięci);
• logi techniczne i szczegóły awarii (typ błędu i ślad stosu);
• losowo generowany identyfikator instalacji (Crashlytics Install ID).

Dane te są wykorzystywane wyłącznie do wykrywania, analizowania i usuwania awarii oraz do poprawy wydajności i niezawodności Aplikacji. Nie wykorzystujemy danych Crashlytics do celów marketingowych ani reklamowych i nie podejmujemy prób bezpośredniej identyfikacji poszczególnych użytkowników na podstawie tych danych.

Prawa użytkownika (RODO i CCPA)

• Prawo dostępu: uzyskanie kopii swoich danych i informacji o ich przetwarzaniu.
• Prawo sprostowania: poprawienie nieścisłych lub niekompletnych danych.
• Prawo usunięcia: żądanie usunięcia danych w określonych sytuacjach.
• Prawo ograniczenia przetwarzania: ograniczenie sposobu przetwarzania danych.
• Prawo przenoszenia danych: otrzymanie danych w ustrukturyzowanym, maszynowo czytelnym formacie.
• Prawo wniesienia sprzeciwu: sprzeciw wobec przetwarzania danych na podstawie prawnie uzasadnionych interesów lub marketingu.
• Prawo wycofania zgody: cofnięcie zgody w dowolnym momencie.
• Prawo do rezygnacji z analityki: Użytkownicy mogą wyłączyć zbieranie danych przez Firebase Analytics w ustawieniach Aplikacji (jeśli dostępne) lub poprzez ustawienia prywatności/reklamowe swojego urządzenia (np. ograniczenie śledzenia reklam na iOS lub Androidzie).
• Prawo do rezygnacji z Session Replay: Użytkownicy mogą w dowolnym momencie wyłączyć Session Replay Amplitude w ustawieniach prywatności Aplikacji. Wycofanie zgody nie wpływa na dostęp do kluczowych funkcji Aplikacji. Rezygnacja działa na przyszłość i zatrzymuje dalsze nagrywanie Session Replay.

Prawa wymienione w niniejszej sekcji mają zastosowanie do wszystkich danych osobowych, które przetwarzamy, w tym do danych analitycznych i diagnostycznych zbieranych za pośrednictwem Firebase Analytics i Firebase Crashlytics. Chociaż gromadzenie danych diagnostycznych za pomocą Firebase Crashlytics jest konieczne dla zapewnienia bezpieczeństwa i stabilności Aplikacji i nie zawsze może zostać w pełni wyłączone w ustawieniach w Aplikacji, możesz w każdej chwili skontaktować się z nami, aby — w zakresie, w jakim jest to technicznie możliwe — zażądać dostępu do danych diagnostycznych powiązanych z Twoim urządzeniem, ich usunięcia lub ograniczenia ich przetwarzania.

Aby skorzystać z tych praw, skontaktuj się z nami pod adresem [email protected] lub w ustawieniach swojego konta.

Bezpieczeństwo danych

Stosujemy nowoczesne środki bezpieczeństwa, w tym szyfrowanie (TLS podczas przesyłu, AES-256 w spoczynku), kontrolę dostępu (dostęp oparty na rolach) oraz regularne audyty, aby chronić dane przed nieautoryzowanym dostępem, zmianą lub utratą. Stosujemy zasadę minimalizacji danych i konfigurujemy narzędzia session replay w taki sposób, aby unikać rejestrowania danych niepotrzebnych.

Zgłaszanie naruszeń ochrony danych

W przypadku naruszenia ochrony danych osobowych powiadomimy właściwy organ nadzorczy w ciągu 72 godzin oraz — bez zbędnej zwłoki — użytkowników, zgodnie z wymogami RODO.

Linki zewnętrzne i strony osób trzecich

Nasza Aplikacja może zawierać odnośniki do zewnętrznych stron lub usług. Nie ponosimy odpowiedzialności za praktyki prywatności tych stron.

Komunikacja marketingowa i zgoda

Zgoda użytkownika jest wymagana na komunikację marketingową. Zgoda może być udzielona za pomocą formularzy opt-in i może zostać w każdej chwili cofnięta.

Polityka prywatności dotycząca dzieci

Aplikacja nie jest przeznaczona dla dzieci poniżej 16. roku życia (lub obowiązującego w kraju użytkownika wieku cyfrowej zgody, jednak nie niższego niż 13 lat). Nie zbieramy świadomie danych osobowych dzieci bez weryfikowalnej zgody rodzica lub opiekuna prawnego.

Zgoda użytkownika

Uzyskujemy zgodę użytkownika poprzez formularze rejestracyjne, powiadomienia typu pop-up i prośby o uprawnienia. Użytkownik może wycofać zgodę w dowolnym momencie za pośrednictwem ustawień swojego konta lub kontaktując się z nami.

Monit zgody na Amplitude Session Replay

Zanim zostanie aktywowane nagrywanie Session Replay, wyświetlamy w aplikacji monit zgody. Session Replay pozostaje wyłączony, chyba że klikniesz „Zezwól". Możesz odmówić, klikając „Nie teraz", i nadal korzystać z kluczowych funkcji Aplikacji. Zgodę możesz wycofać w dowolnym momencie w Profil → Ustawienia prywatności i danych, co zatrzyma dalsze nagrywanie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, które miało miejsce przed jej wycofaniem.

Procedura składania skarg

Jeżeli masz uwagi dotyczące naszych praktyk przetwarzania danych, możesz złożyć skargę do lokalnego organu nadzorczego lub skontaktować się z nami bezpośrednio pod adresem [email protected].

Zmiany w Polityce prywatności

Możemy okresowo aktualizować tę Politykę prywatności. Wszelkie zmiany będą publikowane z nową datą aktualizacji. W przypadku integracji nowych usług podmiotów trzecich (np. narzędzi analitycznych lub reklamowych) niniejsza Polityka Prywatności zostanie odpowiednio zaktualizowana.

Dane kontaktowe

W razie pytań, uwag lub próśb dotyczących tej Polityki prywatności, skontaktuj się z nami:

GEOBUYER LIMITED LIABILITY COMPANY

E-mail: [email protected]

Niniejsza Polityka prywatności może być udostępniana w wielu językach dla wygody użytkownika. W przypadku jakichkolwiek niespójności lub rozbieżności między wersjami językowymi, wersja angielska ma pierwszeństwo, w zakresie dozwolonym przez obowiązujące prawo.