Cześć!
POLITYKA PRYWATNOŚCI v.41
Polityka prywatności strony internetowej www.crmdlakazdego.pl, subdomen *.crmdlakazdego.pl oraz innych serwisów internetowych prowadzonych przez Administratora, w tym mojbni.pl.
## Słownik pojęć
Na potrzeby niniejszej Polityki przyjmuje się następujące znaczenia pojęć:
1. **Serwis** — strony internetowe prowadzone przez Administratora, w szczególności crmdlakazdego.pl wraz ze wszystkimi podstronami i subdomenami (m.in. ad.crmdlakazdego.pl, basic.crmdlakazdego.pl, sms.crmdlakazdego.pl) oraz mojbni.pl.
2. **Użytkownik** — każda osoba fizyczna korzystająca z Serwisu, kontaktująca się z Administratorem przez formularze, e-mail, SMS, Facebook Messenger, WhatsApp lub w wyniku wypełnienia formularza reklamowego Meta.
3. **Dane osobowe** — informacje umożliwiające identyfikację osoby fizycznej (w szczególności: imię, nazwisko, adres e-mail, numer telefonu, nazwa firmy, NIP).
4. **Przetwarzanie** — każda operacja wykonywana na danych osobowych (zbieranie, przechowywanie, modyfikacja, udostępnianie, usunięcie).
5. **RODO** — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
§ 1 Postanowienia ogólne — Administrator danych osobowych
Administratorem danych osobowych zbieranych za pośrednictwem strony internetowej www.crmdlakazdego.pl oraz subdomen *.crmdlakazdego.pl jest:
CRMDLAKAŻDEGO.PL SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ z siedzibą w Międzyrzeczu Górnym, Międzyrzecze Górne nr 552, 43-392 Międzyrzecze Górne, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000646936, której akta rejestrowe znajdują się w SĄDZIE REJONOWYM W BIELSKU-BIAŁEJ, VIII WYDZIAŁ GOSPODARCZY KRAJOWEGO REJESTRU SĄDOWEGO, posiadająca numer NIP: 9372687179, REGON: 365857551, kapitał zakładowy 6 250,00 zł (opłacony w całości), adres poczty elektronicznej: biuro@crmdlakazdego.pl, numer telefonu: +48 660 563 040, zwana dalej „Administratorem".
Osoba kontaktowa po stronie Administratora w sprawach związanych z ochroną danych osobowych: Artur Osiński (e-mail: biuro@crmdlakazdego.pl).
Administrator nie wyznaczył Inspektora Ochrony Danych. We wszystkich sprawach związanych z ochroną danych osobowych prosimy o kontakt bezpośredni na adres biuro@crmdlakazdego.pl.
Dane osobowe zbierane przez Administratora za pośrednictwem strony internetowej oraz subdomen są przetwarzane zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO, oraz z przepisami ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
§ 2 Rodzaj przetwarzanych danych osobowych, cel i zakres zbierania danych
CEL PRZETWARZANIA I PODSTAWA PRAWNA. Administrator przetwarza dane osobowe Użytkowników w następujących celach:
w przypadku przesłania formularza kontaktowego lub e-maila — w celu udzielenia odpowiedzi na zapytanie oraz obsługi korespondencji handlowej, na podstawie art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes Administratora polegający na obsłudze zapytań osób zainteresowanych ofertą),
w przypadku zapisania się do Newslettera lub wyrażenia zgody marketingowej — w celu przesyłania informacji handlowych drogą elektroniczną, na podstawie art. 6 ust. 1 lit. a) RODO (zgoda Użytkownika) oraz art. 10 ust. 2 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
w przypadku wyrażenia zgody na pliki cookie analityczne — w celu analizy ruchu na stronie za pomocą Google Analytics 4, na podstawie art. 6 ust. 1 lit. a) RODO (zgoda Użytkownika) w związku z art. 173 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne,
w przypadku wyrażenia zgody na pliki cookie marketingowe — w celu mierzenia skuteczności kampanii reklamowych i prowadzenia remarketingu za pomocą Piksela Meta, na podstawie art. 6 ust. 1 lit. a) RODO (zgoda Użytkownika),
w przypadku przesłania formularza reklamowego Meta (Facebook / Instagram Lead Ads) — w celu odpowiedzi na zapytanie, przedstawienia oferty handlowej oraz kontaktu zwrotnego, na podstawie art. 6 ust. 1 lit. b) RODO (podjęcie działań przed zawarciem umowy na żądanie osoby, której dane dotyczą),
w przypadku nawiązania kontaktu z Administratorem przez Facebook Messenger (w tym za pośrednictwem linku z reklam Google Ads) — w celu odpowiedzi na zapytanie oraz obsługi konwersacji handlowej, na podstawie art. 6 ust. 1 lit. b) RODO oraz art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes Administratora w obsłudze potencjalnych klientów),
w celu zapewnienia bezpieczeństwa Serwisu, obrony przed roszczeniami, dochodzenia roszczeń oraz prowadzenia statystyk wewnętrznych — na podstawie art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes Administratora).
Szczegółowe zasady przetwarzania danych w związku z reklamami Meta opisuje § 9 niniejszej Polityki.
RODZAJ PRZETWARZANYCH DANYCH OSOBOWYCH:
Newsletter i formularz kontaktowy — imię i nazwisko, adres e-mail, numer telefonu (opcjonalnie), nazwa firmy (opcjonalnie), treść zapytania.
Formularz reklamowy Meta (Lead Ads) — imię i nazwisko, adres e-mail, numer telefonu, miejscowość, nazwa firmy oraz inne pola, które Użytkownik wypełni w formularzu reklamowym (zakres zależy od konkretnej kampanii i jest widoczny w treści formularza przed jego wysłaniem). Dodatkowo Administrator otrzymuje od Meta metadane techniczne leada: identyfikator leada, identyfikator kampanii, identyfikator zestawu reklam, datę i godzinę wypełnienia formularza.
Facebook Messenger — publicznie dostępne dane profilu Facebook Użytkownika (imię, nazwisko, zdjęcie profilowe), treść wiadomości wraz z ewentualnymi załącznikami (zdjęcia, pliki, lokalizacja), identyfikator Użytkownika w zakresie ograniczonym do strony Administratora (tzw. Page-Scoped ID), daty i godziny wiadomości, a także dane kontaktowe, które Użytkownik samodzielnie udostępni w treści konwersacji (e-mail, numer telefonu, NIP firmy itp.).
Dane techniczne (pseudonimowe) — adres IP (zanonimizowany), typ urządzenia i przeglądarki, system operacyjny, sposób korzystania z Serwisu (cookies analityczne i marketingowe — po wyrażeniu zgody).
OKRES ARCHIWIZACJI DANYCH OSOBOWYCH. Dane osobowe Użytkowników przechowywane są przez Administratora:
W przypadku obsługi zapytań z formularza kontaktowego lub e-maila — przez czas niezbędny do obsługi zapytania, nie dłużej niż 3 lata od ostatniego kontaktu.
W przypadku, gdy podstawą przetwarzania danych jest wykonanie umowy — tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres odpowiadający okresowi przedawnienia roszczeń (co do zasady 3 lub 10 lat, zgodnie z przepisami Kodeksu cywilnego).
W przypadku, gdy podstawą przetwarzania danych jest zgoda (newsletter, marketing) — do momentu wycofania zgody przez Użytkownika.
Leady z formularzy reklamowych Meta (Lead Ads) — w arkuszu pośrednim (Google Sheets) maksymalnie przez 6 miesięcy od daty pozyskania, a w systemie wewnętrznym Administratora (CRM) — do momentu wycofania zgody lub żądania usunięcia, z zastrzeżeniem obowiązku przechowywania dokumentacji księgowej, jeżeli kontakt skutkował zawarciem umowy.
Wiadomości Facebook Messenger — w infrastrukturze Meta zgodnie z polityką tego dostawcy; kopia konwersacji w systemach Administratora jest tworzona dopiero po zakwalifikowaniu kontaktu jako potencjalny klient i przechowywana analogicznie jak dane z formularza kontaktowego.
Logi techniczne przetwarzania (m.in. n8n, webhook Meta) — maksymalnie 30 dni, po czym są automatycznie usuwane.
Dane przetwarzane na podstawie prawnie uzasadnionego interesu Administratora — przez czas niezbędny do realizacji celu, nie dłużej niż okresy przedawnienia roszczeń.
Podczas korzystania ze strony internetowej mogą być pobierane dodatkowe informacje, w szczególności: adres IP przypisany do komputera Użytkownika lub zewnętrzny adres IP dostawcy Internetu, nazwa domeny, rodzaj przeglądarki, czas dostępu, typ systemu operacyjnego. Podstawą prawną jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na zapewnieniu bezpieczeństwa i prawidłowego funkcjonowania Serwisu.
§ 3 Udostępnianie danych osobowych
Dane osobowe Użytkowników przekazywane są dostawcom usług, z których korzysta Administrator przy prowadzeniu Serwisu oraz przy obsłudze kanałów reklamowych i komunikacyjnych. Dostawcy usług, którym przekazywane są dane osobowe, w zależności od uzgodnień umownych i okoliczności, albo podlegają poleceniom Administratora co do celów i sposobów przetwarzania tych danych (podmioty przetwarzające — na podstawie umowy powierzenia, art. 28 RODO) albo samodzielnie określają cele i sposoby ich przetwarzania (administratorzy).
Głównymi dostawcami usług, którym Administrator przekazuje lub powierza dane osobowe, są:
Dostawcy infrastruktury hostingowej oraz kopii zapasowych — działający na terenie Europejskiego Obszaru Gospodarczego; kopie zapasowe off-site są dodatkowo szyfrowane przed przekazaniem.
Dostawcy poczty transakcyjnej oraz powiadomień e-mail — w tym dostawcy z siedzibą w Stanach Zjednoczonych Ameryki, którym dane przekazywane są na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (SCC 2021/914).
Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irlandia) oraz Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) — operator usług Google Analytics 4 (Measurement ID: G-X2PRW5TD4Z), Google Tag Manager oraz Google Sheets, wykorzystywanych jako pośredni magazyn leadów z reklam Meta przed ich przeniesieniem do systemu CRM Administratora.
Meta Platforms Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlandia) oraz Meta Platforms, Inc. (1601 Willow Road, Menlo Park, CA 94025, USA) — operator platform Facebook, Instagram oraz Messenger, za pośrednictwem których Administrator prowadzi reklamy Lead Ads oraz obsługę zapytań przez komunikator Messenger.
Dostawcy usług monitoringu technicznego i obsługi błędów aplikacji — w tym dostawcy z siedzibą w Stanach Zjednoczonych Ameryki, którym dane przekazywane są na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (SCC 2021/914).
Dostawcy narzędzi sztucznej inteligencji, w zakresie i na zasadach opisanych w § 8 niniejszej Polityki.
TRANSFER DANYCH POZA EUROPEJSKI OBSZAR GOSPODARCZY (EOG). Część operacji przetwarzania danych przez wskazanych powyżej dostawców może odbywać się na serwerach zlokalizowanych w Stanach Zjednoczonych Ameryki. Podstawą prawną takiego transferu są:
w przypadku Google LLC — uczestnictwo w programie EU-US Data Privacy Framework (certyfikacja aktualna w dniu wejścia w życie niniejszej Polityki),
w przypadku Meta Platforms, Inc. — uczestnictwo w programie EU-US Data Privacy Framework (certyfikacja aktualna w dniu wejścia w życie niniejszej Polityki),
w przypadku dostawców poczty transakcyjnej oraz dostawców usług monitoringu technicznego z siedzibą w Stanach Zjednoczonych — standardowe klauzule umowne zatwierdzone przez Komisję Europejską (SCC 2021/914),
w przypadku dostawców narzędzi sztucznej inteligencji wskazanych w § 8 — standardowe klauzule umowne zatwierdzone przez Komisję Europejską (jeżeli dany dostawca nie uczestniczy w programie EU-US Data Privacy Framework).
Poza wyżej opisanymi przypadkami dane osobowe Użytkowników są przechowywane wyłącznie na terenie Europejskiego Obszaru Gospodarczego (EOG).
W zakresie usługi Google Analytics 4 dane są dodatkowo anonimizowane (włączona opcja anonymize_ip) przed przekazaniem do Google.
§ 4 Prawo kontroli, dostępu do treści własnych danych oraz ich poprawiania
Osoba, której dane dotyczą, ma prawo dostępu do treści swoich danych osobowych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
Podstawy prawne żądania Użytkownika:
Dostęp do danych – art. 15 RODO
Sprostowanie danych – art. 16 RODO
Usunięcie danych (tzw. prawo do bycia zapomnianym) – art. 17 RODO
Ograniczenie przetwarzania – art. 18 RODO
Przeniesienie danych – art. 20 RODO
Sprzeciw – art. 21 RODO
Cofnięcie zgody – art. 7 ust. 3 RODO
Sposoby realizacji uprawnień:
W przypadku ogólnych żądań dotyczących danych osobowych (dostęp, sprostowanie, usunięcie wszystkich danych, ograniczenie przetwarzania, przeniesienie, sprzeciw, cofnięcie zgody) — należy wysłać wiadomość e-mail na adres: biuro@crmdlakazdego.pl.
W przypadku żądania zaprzestania kontaktu drogą elektroniczną (newsletter, wiadomości handlowe wysyłane przez e-mail, SMS, Facebook Messenger lub WhatsApp) — w zależności od kanału:
— e-mail: należy odpowiedzieć słowem STOP lub REZYGNUJĘ, kierując odpowiedź na adres biuro@crmdlakazdego.pl (niezależnie od adresu nadawcy, z którego Użytkownik otrzymał wiadomość);
— SMS: należy wysłać wiadomość zwrotną o treści STOP lub REZYGNUJĘ na numer kontaktowy Administratora podany w treści otrzymanego SMS-a; jeżeli numer kontaktowy nie został podany w treści — na numer +48 660 563 040;
— Facebook Messenger lub WhatsApp: należy odpowiedzieć słowem STOP lub REZYGNUJĘ w danej konwersacji.
W przypadku żądania usunięcia danych pozyskanych w związku z reklamami Meta (Lead Ads na Facebook / Instagram lub komunikacja przez Messenger) — w sposób opisany szczegółowo w § 10 niniejszej Polityki.
Administrator spełnia żądanie lub odmawia jego spełnienia bez zbędnej zwłoki, nie później jednak niż w terminie 30 dni od daty jego otrzymania. W przypadku stwierdzenia, że przetwarzanie danych osobowych narusza przepisy RODO, osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa (uodo.gov.pl).
§ 5 Pliki „cookies" i technologie śledzenia
Serwis używa plików „cookies" (ciasteczek) — niewielkich plików tekstowych zapisywanych na urządzeniu końcowym Użytkownika podczas korzystania z Serwisu — w celu zapewnienia prawidłowego działania serwisu (cookies niezbędne), obsługi funkcji takich jak walidacja formularzy (cookies funkcjonalne), w celu analizy ruchu i zachowań Użytkowników (cookies analityczne) oraz w celu mierzenia skuteczności reklam i prowadzenia kampanii remarketingowych (cookies marketingowe).
Kategorie cookies stosowane w Serwisie:
— Niezbędne — sesja Użytkownika, preferencje zgód cookies, token CSRF. Stosowane bez zgody Użytkownika na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO), bez nich Serwis nie działa.
— Funkcjonalne — obsługa formularza kontaktowego (anti-spam token, walidacja). Domyślnie aktywne, z możliwością wyłączenia w menedżerze zgód.
— Analityczne — Google Analytics 4 (Measurement ID: G-X2PRW5TD4Z), pomagają zrozumieć sposób korzystania z Serwisu. Wymagana zgoda Użytkownika, domyślnie wyłączone.
— Marketingowe — Piksel Meta (Facebook Pixel), służą mierzeniu skuteczności kampanii reklamowych i remarketingowi. Wymagana zgoda Użytkownika, domyślnie wyłączone.
Menedżer zgód cookies — Klaro. Serwis korzysta z menedżera zgód cookies Klaro (open-source, hostowany lokalnie). W każdej chwili Użytkownik może zmienić swoje preferencje, klikając „Ustawienia cookies" w stopce strony — otworzy się modal Klaro, w którym można włączyć lub wyłączyć poszczególne kategorie cookies.
Cookies analityczne — Google Analytics 4 (GA4). Administrator wykorzystuje Google Analytics 4 (Measurement ID: G-X2PRW5TD4Z) do zbierania informacji o sposobie korzystania ze strony, w tym typu przeglądarki, czasie wizyty, klikanych linkach oraz stronach odwiedzanych przez Użytkownika. Dane te służą do tworzenia statystyk i analiz pomagających w optymalizacji Serwisu.
Google Tag Manager (GTM). Administrator wykorzystuje narzędzie Google Tag Manager (operator: Google Ireland Limited oraz Google LLC) do zarządzania tagami i skryptami śledzącymi osadzonymi na stronie. Sam GTM nie zbiera danych osobowych Użytkowników — pełni wyłącznie funkcję kontenera dla innych narzędzi (m.in. Google Analytics 4 i Piksela Meta), które są uruchamiane zgodnie z udzielonymi przez Użytkownika zgodami w mechanizmie Consent Mode v2.
Cookies marketingowe — Piksel Meta (Facebook Pixel). Administrator wykorzystuje Piksel Meta dostarczany przez Meta Platforms Ireland Limited oraz Meta Platforms, Inc. w celu:
— pomiaru skuteczności reklam emitowanych na platformach Facebook i Instagram (konwersje, zdarzenia typu „Lead", „PageView", „ViewContent"),
— tworzenia niestandardowych grup odbiorców (custom audiences) na potrzeby remarketingu,
— tworzenia grup podobnych odbiorców (lookalike audiences) w oparciu o zachowanie Użytkowników na stronie.
Piksel Meta zbiera informacje techniczne (m.in. adres IP, identyfikator urządzenia, informacje o przeglądarce i systemie operacyjnym, dane o przeglądanych podstronach, zdarzenia takie jak kliknięcia w przyciski), a także — wyłącznie jeżeli Użytkownik został rozpoznany jako zalogowany w Meta — może być powiązany z jego profilem na Facebooku lub Instagramie.
Podstawa prawna: art. 6 ust. 1 lit. a) RODO (zgoda Użytkownika wyrażona w banerze cookie).
Współadministrowanie: w zakresie pomiaru efektywności reklam Administrator i Meta Platforms Ireland Limited występują w roli współadministratorów danych w rozumieniu art. 26 RODO, na zasadach określonych w Controller Addendum opublikowanym przez Meta pod adresem facebook.com/legal/controller_addendum. Pozostały zakres przetwarzania danych po stronie Meta (m.in. tworzenie audiences) odbywa się na zasadach określonych w Polityce Prywatności Meta.
Mechanizm zgody (Consent Mode v2). Zgodnie z przepisami RODO oraz ustawy Prawo telekomunikacyjne, cookies analityczne i marketingowe są domyślnie wyłączone (sygnały analytics_storage, ad_storage, ad_user_data oraz ad_personalization w stanie denied). Google Analytics 4, Piksel Meta i pozostałe narzędzia śledzące nie zbierają danych ani nie strzelają zdarzeniami do momentu, w którym Użytkownik wyrazi aktywną zgodę (opt-in) poprzez kliknięcie przycisku „Akceptuję wszystkie" w banerze cookie. Odrzucenie cookies lub brak wyboru oznacza, że dane analityczne i marketingowe nie są zbierane.
Anonimizacja IP. W przypadku wyrażenia zgody, adresy IP Użytkowników są anonimizowane przed przekazaniem do Google.
Okres przechowywania danych cookie. Dane zbierane za pomocą plików cookies analitycznych są przechowywane przez Google przez okres do 14 miesięcy (zgodnie z domyślnymi ustawieniami GA4). Wybór Użytkownika dotyczący zgody jest przechowywany lokalnie w przeglądarce. W przypadku akceptacji — wybór jest trwały i baner nie zostanie wyświetlony ponownie. W przypadku odrzucenia — wybór wygasa po 6 miesiącach, po czym baner zostanie wyświetlony ponownie, dając możliwość ponownego wyboru.
§ 6 Zarządzanie zgodą na cookies
Użytkownik ma prawo do zarządzania swoją zgodą na cookies w dowolnym momencie. Możliwe jest to na kilka sposobów:
Baner cookie — wyświetlany przy pierwszej wizycie na stronie. Użytkownik może zaakceptować wszystkie cookies lub wybrać tylko niezbędne.
Panel ustawień prywatności — dostępny w stopce Serwisu (link „Ustawienia cookies") — otwiera modal menedżera Klaro z możliwością granularnego włączania / wyłączania poszczególnych kategorii.
Ustawienia przeglądarki — Użytkownik może usunąć lub zablokować cookies za pomocą ustawień swojej przeglądarki internetowej.
Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
Uwaga: Odrzucenie cookies analitycznych lub marketingowych albo brak zgody oznacza, że Administrator nie zbiera ani nie przetwarza danych za pomocą Google Analytics, Piksela Meta ani innych narzędzi śledzących wymagających zgody.
§ 7 Bezpieczeństwo danych i postanowienia końcowe
Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Zastosowane przez Administratora środki techniczne obejmują w szczególności:
— szyfrowanie połączeń HTTPS (TLS 1.2 lub nowszy) na wszystkich podstronach Serwisu;
— szyfrowanie kopii zapasowych off-site z użyciem GPG przed ich przekazaniem do podmiotów zewnętrznych;
— dwuskładnikowe uwierzytelnianie (2FA) dla osób z dostępem do panelu administracyjnego oraz do systemów wewnętrznych Administratora;
— monitoring bezpieczeństwa i obsługa błędów aplikacji (m.in. Sentry, Better Stack) z logowaniem zdarzeń;
— regularne aktualizacje oprogramowania serwerowego i aplikacyjnego;
— ograniczenie dostępu do danych osobowych wyłącznie do upoważnionych członków zespołu Administratora.
Administrator udostępnia odpowiednie środki techniczne zapobiegające pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione danych osobowych przesyłanych drogą elektroniczną.
W sprawach nieuregulowanych niniejszą Polityką prywatności stosuje się odpowiednio przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz inne właściwe przepisy prawa polskiego.
§ 8 Przetwarzanie danych z użyciem narzędzi sztucznej inteligencji (AI)
Administrator informuje, że w ramach prowadzenia obsługi Użytkowników strony — w szczególności w analizie zapytań z formularza kontaktowego, korespondencji handlowej, planowania pracy zespołu, archiwizacji notatek ze spotkań oraz wsparcia operacyjnego — dokonywane jest profilowanie z użyciem narzędzi wykorzystujących sztuczną inteligencję (modele językowe takie jak Claude firmy Anthropic, Google Gemini lub narzędzi równoważnych).
Dane osobowe Użytkowników (w zakresie określonym w § 2: imię i nazwisko, adres e-mail, numer telefonu, treść zapytania) mogą być w tym celu przetwarzane przez dostawców usług sztucznej inteligencji — wyłącznie na terenie Unii Europejskiej / Europejskiego Obszaru Gospodarczego, lub na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską w przypadku transferu poza UE/EOG.
Administrator zachowuje poufność tych danych oraz stosuje pseudonimizację tam, gdzie jest to operacyjnie możliwe.
Narzędzia sztucznej inteligencji wykorzystywane przez Administratora nie służą do zautomatyzowanego podejmowania decyzji wywierających wpływ na sytuację Użytkownika strony.
§ 9 Przetwarzanie danych w związku z reklamami Meta (Lead Ads i Messenger)
Administrator prowadzi działalność reklamową na platformach Facebook i Instagram (operator: Meta Platforms Ireland Limited oraz Meta Platforms, Inc., zwany dalej „Meta") oraz odbiera za ich pośrednictwem zapytania od osób zainteresowanych ofertą Administratora. Niniejszy paragraf wyjaśnia, jakie dane są w związku z tym przetwarzane i na jakich zasadach.
9.1. Formularze reklamowe Meta Lead Ads.
a) Reklamy emitowane na Facebooku i Instagramie zawierają wbudowany formularz kontaktowy (Lead Ad), który Użytkownik wypełnia bezpośrednio w aplikacji Meta. Wypełnione dane są następnie przekazywane do Administratora za pośrednictwem interfejsu programistycznego Meta (Marketing API, zdarzenie leadgen).
b) Zakres danych zbieranych przez formularz reklamowy obejmuje co najmniej imię i nazwisko, adres e-mail oraz numer telefonu. W zależności od kampanii formularz może zawierać dodatkowe pola, których pełna lista jest widoczna dla Użytkownika w treści formularza przed jego wysłaniem (m.in. miejscowość, nazwa firmy, branża, pytania otwarte). Administrator otrzymuje od Meta także metadane techniczne leada: identyfikator leada, identyfikator kampanii, identyfikator zestawu reklam, datę i godzinę wypełnienia formularza.
c) Po otrzymaniu danych z Meta są one tymczasowo zapisywane w arkuszu pośrednim (Google Sheets) jako bufor operacyjny przed ich przeniesieniem do systemu CRM Administratora. Arkusz pośredni nie jest udostępniany podmiotom trzecim i jest dostępny wyłącznie dla upoważnionych członków zespołu Administratora. Maksymalny okres przechowywania danych w arkuszu pośrednim wynosi 6 miesięcy.
d) Po przeniesieniu danych do systemu CRM Administratora są one przetwarzane na zasadach opisanych w § 2 (cel: obsługa zapytania i kontakt handlowy) oraz § 4 (prawa Użytkownika).
e) Podstawą prawną przetwarzania danych zebranych przez formularz Lead Ad jest art. 6 ust. 1 lit. b) RODO — podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
9.2. Komunikacja przez Facebook Messenger.
a) Administrator prowadzi oficjalną stronę na Facebooku pod adresem https://www.facebook.com/crmdlakazdego (identyfikator publiczny strony: 1850174928623460). Strona ta posiada własny komunikator Messenger, do którego Użytkownicy mogą napisać bezpośrednio z poziomu Facebooka lub poprzez link m.me/1850174928623460 — w szczególności po kliknięciu reklamy w wynikach wyszukiwania Google Ads lub w innych kampaniach Administratora. Link kierujący do Messengera może zawierać dodatkowy parametr (np. ?ref=`<identyfikator-kampanii>`), który Administrator wykorzystuje wyłącznie do oceny skuteczności kampanii reklamowych; parametr ten jest zapisywany razem z metadanymi konwersacji.
b) Z chwilą rozpoczęcia konwersacji Administrator otrzymuje od Meta:
— publicznie dostępne dane profilu Facebook Użytkownika (imię, nazwisko, zdjęcie profilowe),
— identyfikator Użytkownika ograniczony do strony Administratora (tzw. Page-Scoped ID — identyfikator nieuniwersalny, niemożliwy do skojarzenia z innym fanpage'em),
— treść wszystkich wiadomości wymienionych w konwersacji wraz z ewentualnymi załącznikami (zdjęcia, pliki, lokalizacja),
— daty i godziny wiadomości,
— dane kontaktowe (e-mail, numer telefonu, NIP, inne), które Użytkownik samodzielnie udostępni w treści konwersacji.
c) Treść konwersacji jest przechowywana w infrastrukturze Meta zgodnie z polityką tego dostawcy. Administrator tworzy kopię konwersacji w swoich systemach (CRM) dopiero z chwilą zakwalifikowania kontaktu jako potencjalny klient handlowy.
d) Podstawą prawną przetwarzania danych z konwersacji Messenger jest art. 6 ust. 1 lit. b) RODO (działania przed zawarciem umowy) oraz art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes Administratora polegający na obsłudze potencjalnych klientów).
9.3. Transfer danych do USA.
Dane przekazywane przez Meta do infrastruktury Administratora w ramach Lead Ads oraz Messenger mogą być w trakcie przetwarzania po stronie Meta zlokalizowane w Stanach Zjednoczonych Ameryki. Podstawą prawną takiego transferu jest uczestnictwo Meta Platforms, Inc. w programie EU-US Data Privacy Framework (certyfikacja aktualna w dniu wejścia w życie niniejszej Polityki), o czym mowa również w § 3 niniejszej Polityki.
9.4. Usuwanie danych pozyskanych z reklam Meta.
Sposób realizacji żądania usunięcia danych pozyskanych w związku z reklamami Meta (Lead Ads, Messenger) opisuje szczegółowo § 10 niniejszej Polityki.
§ 10 Usuwanie danych pozyskanych w związku z reklamami Meta
Niniejszy paragraf opisuje sposób realizacji żądania usunięcia danych osobowych, które Administrator pozyskał w związku z reklamami emitowanymi na platformach Meta (Facebook, Instagram) — w szczególności w wyniku wypełnienia formularza Lead Ad lub w wyniku konwersacji w komunikatorze Messenger.
10.1. Sposób złożenia żądania.
Aby zażądać usunięcia swoich danych osobowych pozyskanych przez Administratora w związku z reklamami Meta, należy wysłać wiadomość e-mail na adres: biuro@crmdlakazdego.pl, podając w temacie wiadomości frazę: „Usunięcie danych Meta".
W treści wiadomości należy podać dane umożliwiające jednoznaczną identyfikację osoby, której żądanie dotyczy:
— adres e-mail lub numer telefonu, z którym osoba żądająca kontaktowała się z Administratorem (np. dane podane w formularzu Lead Ad lub udostępnione w konwersacji Messenger);
— opcjonalnie: identyfikator konwersacji Messenger, przybliżoną datę kontaktu lub nazwę kampanii reklamowej, z której kontakt pochodził.
10.2. Czas realizacji.
Administrator usuwa dane osobowe objęte żądaniem ze swoich systemów (w tym z systemu CRM oraz z arkusza pośredniego Google Sheets) w terminie nie dłuższym niż 14 dni roboczych od daty otrzymania żądania.
Po wykonaniu usunięcia Administrator potwierdza fakt usunięcia danych zwrotną wiadomością e-mail.
10.3. Zastrzeżenia.
Z usunięcia danych mogą zostać wyłączone:
— dane, których przechowywanie jest wymagane przepisami prawa (w szczególności przepisami o rachunkowości, dotyczącymi dokumentacji księgowej, jeżeli kontakt skutkował zawarciem umowy i wystawieniem faktury);
— dane niezbędne do ustalenia, dochodzenia lub obrony roszczeń Administratora (do upływu okresu przedawnienia).
Dane, które nie podlegają wyłączeniom opisanym powyżej, są usuwane w całości.
10.4. Dane przechowywane przez Meta.
Administrator usuwa dane wyłącznie ze swoich systemów. Dane przechowywane niezależnie po stronie Meta (treść konwersacji Messenger w aplikacji Meta, dane o leadzie w panelu Meta Ads Manager) podlegają usunięciu zgodnie z odrębną polityką prywatności i procedurami Meta, dostępnymi pod adresem https://www.facebook.com/privacy/policy.
W celu usunięcia danych z systemów Meta Użytkownik powinien skorzystać z ustawień prywatności swojego konta na Facebooku / Instagramie lub skontaktować się bezpośrednio z Meta.
10.5. Pełne dane kontaktowe Administratora znajdują się w § 1 niniejszej Polityki.
§ 11 Wejście w życie
Niniejsza Polityka Prywatności w aktualnym brzmieniu obowiązuje od dnia 2026-06-08.
Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce Prywatności. O istotnych zmianach Użytkownicy zostaną poinformowani poprzez komunikat na stronie internetowej Administratora, a w stosownych przypadkach również drogą elektroniczną.