Viromo/Dokument prawny

Polityka prywatności

Dokument zawiera informacje wymagane przez art. 13 i 14 RODO. Opisuje, jakie dane osobowe przetwarzam w ramach prowadzonej działalności Viromo, w jakim celu, na jakiej podstawie, komu je przekazuję i jakie przysługują Państwu prawa.

Aktualizacja · 14.05.2026

1. Administrator danych

Nazwa
Viromo Jakub Paśnik
Forma
Jednoosobowa działalność gospodarcza
NIP
5512645139
Email
jakub@viromo.pl
Telefon
+48 788 420 200
Strona
www.viromo.pl

Inspektor Ochrony Danych

Inspektora Ochrony Danych nie wyznaczyłem. Główna działalność Viromo nie polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób na dużą skalę, ani na przetwarzaniu na dużą skalę szczególnych kategorii danych z art. 9 ust. 1 RODO. Nie wystąpiły przesłanki z art. 37 ust. 1 RODO.

W sprawach dotyczących Państwa danych osobowych proszę kontaktować się bezpośrednio: jakub@viromo.pl.

2. Cele i podstawy prawne przetwarzania

Cytat podstawy prawnej:

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę […]; b) przetwarzanie jest niezbędne do wykonania umowy […]; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; […] f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora […]. Art. 6 ust. 1 RODO

a) Odpowiedź na zapytanie z formularza kontaktowego

  • Zakres danych: imię i nazwisko, adres email, adres sklepu (URL), treść wiadomości.
  • Cel: przyjęcie zapytania i przygotowanie odpowiedzi, w tym wstępna analiza adresu sklepu pod kątem usług oferowanych przez Viromo.
  • Podstawa prawna: art. 6 ust. 1 lit. b RODO (działania na żądanie osoby, której dane dotyczą, przed zawarciem umowy) oraz art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora w postaci odpowiedzi na inicjatywę kontaktową).
  • Okres przechowywania: do 24 miesięcy od ostatniego kontaktu, jeżeli zapytanie nie doprowadziło do zawarcia umowy. Po tym terminie dane usuwam.

b) Realizacja umowy o audyt lub wdrożenie

  • Zakres danych: dane do umowy i faktury (nazwa firmy, NIP, adres, dane osoby upoważnionej), dane techniczne sklepu, dane kontaktowe osób upoważnionych.
  • Cel: realizacja zamówionych usług audytowych i wdrożeniowych, wystawienie i rozliczenie faktur, kontakt z klientem.
  • Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy), art. 6 ust. 1 lit. c RODO (obowiązki podatkowe z ustawy o rachunkowości i ordynacji podatkowej).
  • Okres przechowywania: 5 lat od końca roku kalendarzowego, w którym wystawiono fakturę (ustawa o rachunkowości, ordynacja podatkowa).

c) Marketing bezpośredni (cold mailing do firm)

  • Zakres danych: publicznie dostępne dane firmy (email z CEIDG, KRS albo strony firmowej), nazwa firmy, wynik wstępnej analizy strony.
  • Cel: jednorazowy kontakt z właścicielem sklepu internetowego w sprawie wykrytego problemu na jego stronie.
  • Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes), z wyraźnym osadzeniem w motywie 47 RODO.
Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Motyw 47 RODO (zdanie ostatnie)
  • Okres przechowywania: do czasu zgłoszenia sprzeciwu albo 12 miesięcy bez odpowiedzi (po tym czasie adres usuwam z bazy).
  • Rezygnacja: odpowiedź „STOP” na otrzymanego maila powoduje wpisanie adresu na listę wykluczeń w ciągu 24 godzin.
  • Zgoda na komunikację handlową: wymagana zgodnie z art. 398 ust. 1 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (PKE). W cold mailingu do publicznych skrzynek służbowych firm zgoda jest interpretowana w świetle motywu 47 RODO. Każdy odbiorca może w dowolnym momencie zażądać zaprzestania kontaktów.

d) Analityka i marketing na stronie (Google Analytics 4, GTM, Meta Pixel, Hotjar)

  • Zakres danych: identyfikatory cookies, adres IP (obcięty), informacje o urządzeniu i przeglądarce, nagrania sesji i mapy ciepła (Hotjar), zdarzenia kliknięć i przewinięć.
  • Cel: mierzenie ruchu na stronie, analiza skuteczności kampanii marketingowych, optymalizacja UX strony, retargeting reklamowy w Meta Ads.
  • Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda wyrażona przez baner cookies) oraz art. 398 i 399 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej.
  • Okres przechowywania: zgodnie z polityką poszczególnych cookies opisaną w Polityce cookies.
  • Cofnięcie zgody: w dowolnym momencie przez ponowne otwarcie banera cookies (link w stopce strony) albo usunięcie plików cookies w ustawieniach przeglądarki. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem (art. 7 ust. 3 RODO).

3. Profilowanie

Hotjar i Meta Pixel analizują zachowania użytkowników na stronie. Hotjar rejestruje nagrania sesji i mapy ciepła (gdzie odwiedzający klika, jak długo czyta poszczególne sekcje). Meta Pixel umożliwia segmentację odbiorców na potrzeby reklam w Facebooku i Instagramie.

Te narzędzia stanowią profilowanie w rozumieniu art. 4 pkt 4 RODO (zautomatyzowane przetwarzanie danych osobowych w celu oceny niektórych czynników osobowych dotyczących osoby fizycznej).

Nie są to decyzje opierające się wyłącznie na zautomatyzowanym przetwarzaniu w rozumieniu art. 22 RODO: żadne narzędzie na stronie nie wywołuje skutków prawnych ani podobnie znaczących wpływów wobec osoby.

Profilowanie odbywa się wyłącznie po wyrażeniu zgody w banerze cookies. Mają Państwo prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych do celów marketingu bezpośredniego (art. 21 ust. 2 i 3 RODO): wystarczy odmówić zgody w banerze albo wyczyścić cookies.

4. Odbiorcy danych

Państwa dane przekazuję wyłącznie podmiotom, z którymi mam zawartą umowę powierzenia przetwarzania (art. 28 RODO) i które są niezbędne do prowadzenia działalności:

PodmiotRolaLokalizacjaPodstawa transferu
Dostawca hostingu strony i poczty Procesor Polska / EOG EOG, brak transferu do państwa trzeciego
Biuro rachunkowe Procesor (faktury) Polska EOG
Google LLC
(Google Analytics 4, Google Tag Manager)		 Procesor USA Decyzja KE 2023/1795, EU-US Data Privacy Framework + SCC
Meta Platforms Inc.
(Facebook Pixel)		 Współadministrator (joint controller, art. 26 RODO) USA / Irlandia EU-US DPF + SCC
Hotjar Ltd. Procesor Malta (UE) EOG, brak transferu do państwa trzeciego
Organy uprawnione na podstawie przepisów prawa Niezależny administrator Polska Art. 6 ust. 1 lit. c RODO

5. Transfer danych do państw trzecich

Google Analytics 4, Google Tag Manager i Meta Pixel przetwarzają dane na serwerach w USA. USA są państwem trzecim w rozumieniu art. 44 RODO.

Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie […] zapewnia odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia. Art. 45 ust. 1 RODO

Komisja Europejska decyzją wykonawczą 2023/1795 z dnia 10 lipca 2023 r. stwierdziła, że USA zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z UE do podmiotów uczestniczących w programie EU-US Data Privacy Framework (DPF).

Google LLC i Meta Platforms Inc. są certyfikowanymi uczestnikami EU-US DPF. Status można zweryfikować w publicznym rejestrze dataprivacyframework.gov.

Dodatkowo podmioty te zobowiązały się do stosowania standardowych klauzul umownych (SCC) w rozumieniu art. 46 ust. 2 lit. c RODO, przyjętych decyzją wykonawczą Komisji 2021/914.

Kopię obowiązujących klauzul SCC oraz informację o certyfikacji DPF mogą Państwo otrzymać na żądanie: jakub@viromo.pl.

6. Państwa prawa

W związku z przetwarzaniem danych przysługują Państwu następujące prawa:

  • Prawo dostępu do danych (art. 15 RODO).
  • Prawo do sprostowania (art. 16 RODO).
  • Prawo do usunięcia, „prawo do bycia zapomnianym” (art. 17 RODO).
  • Prawo do ograniczenia przetwarzania (art. 18 RODO).
  • Prawo do przenoszenia danych (art. 20 RODO).
  • Prawo do sprzeciwu (art. 21 RODO).
  • Prawo do cofnięcia zgody (art. 7 ust. 3 RODO).
  • Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Aby skorzystać z któregokolwiek z powyższych praw, proszę o kontakt: jakub@viromo.pl. Odpowiem w terminie miesiąca od otrzymania żądania (art. 12 ust. 3 RODO).

7. Bezpieczeństwo danych

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych […], administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku […]. Art. 32 ust. 1 RODO

Wdrożone środki techniczne i organizacyjne:

  • Szyfrowanie połączeń HTTPS / TLS 1.3 na stronie i w komunikacji mailowej.
  • Szyfrowanie nośników z danymi klientów (full-disk encryption).
  • Ograniczenie dostępu do danych wyłącznie do osoby administratora.
  • Regularne aktualizacje oprogramowania serwera i stacji roboczej.
  • Nagłówki bezpieczeństwa HTTP (HSTS, CSP, X-Frame-Options, Referrer-Policy).
  • 2FA przy logowaniu do panelu hostingu, poczty i narzędzi analitycznych.
  • Pseudonimizacja danych analitycznych (obcinanie adresów IP w Google Analytics 4).

Naruszenia ochrony danych

W przypadku naruszenia ochrony danych osobowych:

  • Zgłoszenie do PUODO w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 ust. 1 RODO).
  • Zawiadomienie osoby, której dane dotyczą, jeżeli naruszenie może powodować wysokie ryzyko (art. 34 ust. 1 RODO).
  • Dokumentowanie wszystkich naruszeń (art. 33 ust. 5 RODO).

8. Pliki cookies

Strona www.viromo.pl używa plików cookies. Szczegółowy opis kategorii cookies, ich celów i okresów przechowywania znajduje się w Polityce cookies.

Cookies inne niż niezbędne do działania strony są instalowane wyłącznie po wyrażeniu zgody w banerze (art. 399 ust. 1 PKE). Mają Państwo możliwość odrzucenia wszystkich cookies opcjonalnych jednym kliknięciem na pierwszym ekranie banera.

9. Zautomatyzowane podejmowanie decyzji

Państwa dane nie podlegają zautomatyzowanemu podejmowaniu decyzji w rozumieniu art. 22 RODO. Podlegają natomiast profilowaniu behawioralnemu w celach analitycznych i marketingowych (zob. sekcja 3).

10. Zmiany w polityce

Politykę aktualizuję w razie zmiany przepisów albo sposobu przetwarzania danych. Data ostatniej aktualizacji widoczna jest na początku dokumentu. O istotnych zmianach informuję osoby, z którymi pozostaję w bieżącym kontakcie.