§ 1
Administrator danych osobowych
Fashionsize.me P.S.A.
- Forma prawna: Prosta Spółka Akcyjna
- Adres siedziby: ul. Siedlecka 159, 08-110 Pruszyn-Pieńki, woj. mazowieckie
- NIP: 8212703466
- REGON: 543919027
- KRS: 0001222205
- E-mail: privacy@fashionsize.me
- Strona: https://fashionsize.me
W sprawach dotyczących ochrony danych osobowych można kontaktować się z Administratorem pod adresem e-mail: privacy@fashionsize.me lub pisemnie na adres siedziby spółki.
§ 2
Jakie dane zbieramy
2.1. Użytkownicy B2C — aplikacja mobilna
| Kategoria danych | Zakres |
|---|---|
| Dane identyfikacyjne | Imię, nazwisko, adres e-mail |
| Dane logowania | Login, hasło (hashowane), token OAuth (Google/Apple) |
| Dane sylwetki | Zdjęcia sylwetki (2–3 fotografie), wymiary ciała (wzrost, waga, obwody: klatka piersiowa, talia, biodra) |
| Dane awatara 3D | Wygenerowany model 3D sylwetki (dane pochodne) |
| Paszport Rozmiarowy | Profil rozmiarowy per marka i produkt |
| Historia zakupów | Dane o zamówieniach i zwrotach (jeśli użytkownik je udostępni) |
| Dane techniczne | Adres IP, typ urządzenia, system operacyjny, wersja aplikacji |
| Dane behawioralne | Sposób korzystania z aplikacji, kliknięcia, czas spędzony w sekcjach |
2.2. Użytkownicy B2B — sklepy odzieżowe
| Kategoria danych | Zakres |
|---|---|
| Dane rejestracyjne | Nazwa firmy, NIP, adres, imię i nazwisko osoby kontaktowej |
| Dane logowania | Adres e-mail, hasło (hashowane) |
| Dane sklepu | URL sklepu, platforma e-commerce, liczba zamówień, dane o zwrotach |
| Dane finansowe | Dane do fakturowania (przetwarzane przez Stripe — nie przechowujemy danych karty) |
| Dane techniczne | Adres IP, logi systemowe, klucze API |
| Dane analityczne | Statystyki dopasowań, wskaźniki zwrotów, raporty ROI |
Dane szczególnej kategorii — dane biometryczne
Zdjęcia sylwetki oraz wygenerowane wymiary ciała mogą stanowić dane biometryczne w rozumieniu art. 9 RODO. Przetwarzamy je wyłącznie na podstawie Twojej wyraźnej, dobrowolnej zgody. Możesz wycofać zgodę w każdej chwili — spowoduje to usunięcie zdjęć i wymiarów z naszych systemów.
§ 3
Cele i podstawy prawne przetwarzania
| Cel przetwarzania | Podstawa prawna (RODO) |
|---|---|
| Rejestracja i prowadzenie konta użytkownika | Art. 6 ust. 1 lit. b) — wykonanie umowy |
| Świadczenie usługi dopasowania rozmiarów | Art. 6 ust. 1 lit. b) — wykonanie umowy |
| Przetwarzanie zdjęć sylwetki (dane biometryczne) | Art. 9 ust. 2 lit. a) — wyraźna zgoda osoby |
| Wysyłka e-maili transakcyjnych | Art. 6 ust. 1 lit. b) — wykonanie umowy |
| Marketing i newsletter | Art. 6 ust. 1 lit. a) — zgoda |
| Analityka i heatmapy (Clarity, GA4) | Art. 6 ust. 1 lit. a) — zgoda (cookies) |
| Billing i obsługa płatności | Art. 6 ust. 1 lit. b) + lit. c) — umowa i obowiązek prawny |
| Wystawianie faktur i dokumentów księgowych | Art. 6 ust. 1 lit. c) — obowiązek prawny |
| Dochodzenie lub obrona roszczeń | Art. 6 ust. 1 lit. f) — prawnie uzasadniony interes |
| Bezpieczeństwo systemów | Art. 6 ust. 1 lit. f) — prawnie uzasadniony interes |
§ 4
Okres przechowywania danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta użytkownika | Do czasu usunięcia konta + 30 dni bufor |
| Zdjęcia sylwetki | Do wycofania zgody lub usunięcia konta — maksymalnie 3 lata |
| Paszport Rozmiarowy i wymiary | Do czasu usunięcia konta lub wycofania zgody |
| Dane fakturowe i księgowe | 5 lat od końca roku podatkowego (wymóg ustawy o rachunkowości) |
| Logi systemowe i bezpieczeństwo | 12 miesięcy |
| Dane analityczne (Clarity, GA4) | 26 miesięcy (GA4) / 13 miesięcy (Clarity) |
| Dane marketingowe (newsletter) | Do czasu cofnięcia zgody |
| Dane dochodzenia roszczeń | Do czasu przedawnienia — maksymalnie 6 lat |
§ 5
Odbiorcy danych
5.1. Podmioty przetwarzające
Dane osobowe mogą być przekazywane następującym podmiotom przetwarzającym, z którymi Administrator zawarł umowy powierzenia przetwarzania danych (art. 28 RODO):
- Supabase Inc. — hosting bazy danych i przechowywanie plików
- 3DLOOK Inc. — pomiar sylwetki z zdjęć (API)
- Stripe Inc. — obsługa płatności B2B
- Brevo (Sendinblue) — wysyłka e-maili transakcyjnych i marketingowych
- n8n GmbH — automatyzacje procesów biznesowych
- Netlify Inc. — hosting strony internetowej
- Microsoft Corporation — Microsoft Clarity (analityka, heatmapy)
- Google LLC — Google Analytics 4, Google Ads
- Clerk Inc. — uwierzytelnianie użytkowników
5.2. Przekazywanie danych poza EOG
Część dostawców (Google, Microsoft, Stripe, Netlify) ma siedziby w USA. Przekazywanie danych odbywa się na podstawie Standardowych Klauzul Umownych (SCC) lub decyzji o adekwatności (EU-US Data Privacy Framework). Na żądanie udostępnimy kopię stosowanych zabezpieczeń prawnych.
§ 6
Prawa osób, których dane dotyczą
| Prawo | Opis |
|---|---|
| Prawo dostępu (art. 15 RODO) | Możesz uzyskać potwierdzenie, czy przetwarzamy Twoje dane oraz kopię danych. |
| Prawo do sprostowania (art. 16 RODO) | Możesz żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych. |
| Prawo do usunięcia (art. 17 RODO) | Możesz żądać usunięcia danych — z wyjątkiem danych wymaganych przepisami prawa. |
| Prawo do ograniczenia (art. 18 RODO) | Możesz żądać ograniczenia przetwarzania w określonych przypadkach. |
| Prawo do przenoszenia (art. 20 RODO) | Możesz otrzymać swoje dane w formacie JSON/CSV. |
| Prawo sprzeciwu (art. 21 RODO) | Możesz wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie. |
| Prawo wycofania zgody (art. 7 RODO) | Możesz wycofać zgodę w każdej chwili — bez wpływu na wcześniejsze przetwarzanie. |
| Prawo skargi do UODO | Możesz wnieść skargę do Prezesa UODO, ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl |
Jak skorzystać z praw
Wnioski kieruj na adres: privacy@fashionsize.me. Odpowiedź w terminie 30 dni (art. 12 ust. 3 RODO). W uzasadnionych przypadkach termin może zostać przedłużony o kolejne 60 dni.
§ 7
Pliki cookies i technologie śledzące
| Rodzaj cookie | Cel | Zgoda |
|---|---|---|
| Niezbędne | Logowanie, sesja, CSRF token | Nie wymagają |
| Analityczne | Google Analytics 4, Microsoft Clarity — ruch, heatmapy, nagrania sesji | Wymagają zgody |
| Marketingowe | Google Ads, Meta Pixel — remarketing, konwersje | Wymagają zgody |
| Funkcjonalne | Preferencje językowe i ustawienia | Opcjonalne |
Możesz zarządzać cookies poprzez baner na stronie fashionsize.me, ustawienia przeglądarki lub narzędzia opt-out: Google Analytics opt-out oraz Microsoft Clarity opt-out.
§ 8
Bezpieczeństwo danych
Stosujemy następujące środki techniczne i organizacyjne:
- Szyfrowanie danych w tranzycie (TLS 1.3 / HTTPS)
- Szyfrowanie danych w spoczynku (AES-256) dla zdjęć sylwetki
- Hashowanie haseł (bcrypt)
- Kontrola dostępu oparta na rolach (RBAC)
- Regularne kopie zapasowe bazy danych
- Monitoring i alerty bezpieczeństwa (Sentry)
- Izolacja danych per klient B2B (Row Level Security)
W przypadku naruszenia ochrony danych Administrator powiadomi Prezesa UODO w ciągu 72 godzin (art. 33 RODO) oraz osoby, których dane dotyczą — jeśli naruszenie może powodować wysokie ryzyko (art. 34 RODO).
§ 9
Zautomatyzowane podejmowanie decyzji i profilowanie
Fashionsize.me stosuje zautomatyzowane przetwarzanie danych w celu generowania rekomendacji rozmiaru. Nie stanowi to decyzji wywołującej skutki prawne w rozumieniu art. 22 RODO. Stosujemy profilowanie na podstawie zgody lub wykonania umowy. Użytkownik ma prawo do uzyskania interwencji ludzkiej i zakwestionowania wyniku.
§ 10
Zmiany Polityki Prywatności
O istotnych zmianach informujemy poprzez powiadomienie w aplikacji, wiadomość e-mail lub komunikat na stronie. Zmiany wchodzą w życie nie wcześniej niż 14 dni od powiadomienia, chyba że wymagają tego przepisy prawa.
Powiązane dokumenty