Polityka Prywatności i RODO

Wersja: 1.1 · Data wejścia w życie: 2026-06-01 · kuzniazdrowia.com

Dane szczególnej kategorii — art. 9 RODO. Kuźnia Zdrowia przetwarza dane dotyczące zdrowia (wyniki badań krwi, schorzenia, leki). Są to dane szczególnej kategorii wymagające wyraźnej, odrębnej zgody. Przetwarzanie odbywa się wyłącznie w celu świadczenia spersonalizowanej usługi żywieniowej i nie jest przekazywane osobom trzecim w celach komercyjnych.

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

Aleksandra Miszczyk
prowadząca działalność pod nazwą Kuźnia Trening Aleksandra Miszczyk
Wioska 6, 56-215 Niechlów
NIP: 5010084136 | REGON: 525991576

Kontakt w sprawach ochrony danych osobowych: raport.kuźnia@gmail.com
Na żądania dotyczące danych osobowych odpowiadamy w terminie do 30 dni od otrzymania zgłoszenia (z możliwością wydłużenia do 3 miesięcy w sprawach złożonych — o czym poinformujemy).

2. Zasady przetwarzania danych (art. 5 RODO)

Wszystkie dane osobowe przetwarzamy zgodnie z zasadami RODO:

Zgodność z prawem, rzetelność i przejrzystość — przetwarzamy dane tylko na podstawie prawnej, otwarcie informując o celach.
Ograniczenie celu — dane zbieramy w określonych, wyraźnych celach i nie przetwarzamy ich dalej w sposób z nimi niezgodny.
Minimalizacja danych — zbieramy tylko te dane, które są niezbędne do danego celu.
Prawidłowość — podejmujesz działania w celu utrzymania danych w aktualności; masz prawo do ich sprostowania.
Ograniczenie przechowywania — usuwamy lub anonimizujemy dane po ustaniu celu ich przetwarzania.
Integralność i poufność — stosujemy odpowiednie środki techniczne i organizacyjne chroniące dane przed nieuprawnionym dostępem, utratą i zniszczeniem.

3. Jakie dane przetwarzamy

3.1. Dane zwykłe

Imię i nazwisko
Adres e-mail
Numer telefonu
Dane do faktury (jeśli wystawiana na życzenie)
Adres IP i dane techniczne urządzenia

3.2. Dane szczególnych kategorii — dane zdrowotne (art. 9 RODO)

W celu świadczenia spersonalizowanej usługi żywieniowej przetwarzamy, wyłącznie na podstawie Twojej wyraźnej zgody, następujące dane dotyczące zdrowia:

Wyniki badań krwi i badań laboratoryjnych
Informacje o zdiagnozowanych schorzeniach (m.in. Hashimoto, niedoczynność tarczycy, PCOS, insulinooporność, zespół jelita drażliwego, inne)
Informacje o przyjmowanych lekach i suplementach diety
Dane dotyczące masy ciała, wzrostu, składu ciała, BMI
Informacje o alergiach i nietolerancjach pokarmowych
Informacje o dotychczasowych nawykach żywieniowych
Informacje o poziomie aktywności fizycznej i stylu życia
Inne dane zdrowotne przekazane dobrowolnie w formularzu diagnostycznym

Podanie powyższych danych jest dobrowolne, lecz niezbędne do wykonania usługi — ich nieprzekazanie uniemożliwia sporządzenie spersonalizowanego planu.

3.3. Co robimy z danymi zdrowotnymi, a czego nie robimy

Dane zdrowotne wykorzystujemy wyłącznie do sporządzenia Twojego planu żywieniowego i suplementacyjnego. Nie przekazujemy ich operatorom płatności, narzędziom marketingowym ani jakimkolwiek podmiotom zewnętrznym niewymienionym w tej Polityce. PayU i inne narzędzia techniczne nie mają dostępu do Twoich danych zdrowotnych.

4. Profilowanie

Sporządzanie spersonalizowanego planu żywieniowego i suplementacyjnego na podstawie danych zdrowotnych stanowi profilowanie w rozumieniu art. 4 pkt 4 RODO — polega na analizie czynników osobistych (stan zdrowia, nawyki, wyniki badań) w celu wytworzenia indywidualnego produktu. Podstawą prawną profilowania jest Twoja wyraźna zgoda (art. 9 ust. 2 lit. a RODO) udzielana przed zakupem usługi.

Profilowanie prowadzone jest przez człowieka (specjalistę), nie w sposób w pełni zautomatyzowany. Art. 22 RODO (prawo do niepodlegania wyłącznie zautomatyzowanym decyzjom) nie ma zastosowania, ponieważ ostateczny plan jest wytwarzany i weryfikowany przez osobę fizyczną.

5. Cele i podstawy prawne przetwarzania

Cel przetwarzania	Podstawa prawna
Świadczenie usługi — sporządzanie spersonalizowanego planu żywieniowego, suplementacyjnego i stylu życia (w tym profilowanie zdrowotne)	Art. 6 ust. 1 lit. b RODO (wykonanie umowy) + art. 9 ust. 2 lit. a RODO (wyraźna zgoda na dane zdrowotne)
Zarządzanie subskrypcją — wystawianie faktur, obsługa płatności cyklicznych PayU, historia zamówień	Art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. c RODO (obowiązek prawny — przepisy podatkowe i rachunkowe)
Wysyłka lead magnetów (poradniki, formularz badań krwi) po zapisie na listę mailingową	Art. 6 ust. 1 lit. a RODO (odrębna, dobrowolna zgoda)
Komunikacja marketingowa — newsletter, informacje o nowych produktach i usługach	Art. 6 ust. 1 lit. a RODO (odrębna, dobrowolna zgoda) + art. 10 ustawy o świadczeniu usług drogą elektroniczną
Obsługa zapytań, reklamacji i korespondencji	Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — obsługa klienta)
Analityka ruchu na stronie internetowej	Art. 6 ust. 1 lit. a RODO (zgoda cookie) lub art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — wyłącznie w zakresie danych zanonimizowanych)
Dochodzenie lub obrona roszczeń	Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes)

6. Odbiorcy danych

Twoje dane mogą być przekazywane następującym podmiotom:

6.1. Niezależni administratorzy

PayU SA, ul. Grunwaldzka 182, 60-166 Poznań, NIP: 779-23-08-495 — obsługa płatności cyklicznych. PayU przetwarza dane płatnicze (imię, nazwisko, e-mail, dane karty) jako niezależny administrator zgodnie z własną Polityką Prywatności dostępną na payU.pl. Dane zdrowotne nie są przekazywane do PayU.

6.2. Podmioty przetwarzające (procesorzy) — działające na nasze zlecenie

Dostawca hostingu — przechowuje pliki strony i dane na serwerach; związany z nami umową powierzenia przetwarzania danych (DPA).
Dostawca poczty e-mail — obsługa korespondencji; związany umową DPA.
Platforma e-mail marketingowa (np. MailerLite) — wyłącznie dla osób, które wyraziły odrębną zgodę na newsletter; związana umową DPA.
Biuro rachunkowe / księgowy — przetwarzanie danych finansowych niezbędnych do realizacji obowiązków podatkowych; związane umową DPA lub poufności.

Z każdym podmiotem przetwarzającym zawarliśmy umowę powierzenia danych zapewniającą przetwarzanie wyłącznie zgodnie z naszymi instrukcjami i w celu świadczenia usługi na naszą rzecz.

7. Przekazywanie danych poza EOG

Dane mogą być przekazywane poza Europejski Obszar Gospodarczy (EOG) wyłącznie gdy:

Komisja Europejska stwierdziła odpowiedni poziom ochrony w danym kraju (decyzja adekwatności), lub
dostawca stosuje Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską, lub
dostawca uczestniczy w programie Data Privacy Framework (USA).

Dotyczy to w szczególności Google LLC (Google Analytics) oraz Meta Platforms Ireland Ltd. (Meta Pixel). Aktualne informacje o mechanizmach transferu udostępniają sami dostawcy w swoich politykach prywatności.

8. Okres przechowywania danych

Kategoria danych	Okres przechowywania	Podstawa
Dane kontraktowe (umowa, faktura, historia subskrypcji)	5 lat od końca roku podatkowego, w którym zakończyła się usługa	Art. 74 ustawy o rachunkowości, przepisy podatkowe
Dane zdrowotne (formularz diagnostyczny, wyniki badań, plany)	Czas trwania subskrypcji + 12 miesięcy po zakończeniu	Wyraźna zgoda + uzasadniony interes (roszczenia)
Dane przetwarzane na podstawie zgody (newsletter)	Do momentu cofnięcia zgody	Art. 6 ust. 1 lit. a RODO
Dane do obrony roszczeń	Do upływu terminu przedawnienia (co do zasady 3 lata — art. 118 KC, dla roszczeń z umowy sprzedaży/usługi 2 lata)	Art. 6 ust. 1 lit. f RODO
Dane techniczne (logi, IP)	Do 24 miesięcy od ostatniej aktywności	Art. 6 ust. 1 lit. f RODO

Prawo do usunięcia a obowiązek podatkowy. Jeśli zgłosisz żądanie usunięcia danych („prawo do bycia zapomnianym"), usuniemy wszelkie dane, co do których nie ciąży na nas obowiązek ich przechowywania. Dane finansowe (faktury, historia transakcji) musimy przechowywać przez 5 lat zgodnie z przepisami podatkowymi — nie jest to naruszenie Twojego prawa, lecz ustawowe wyłączenie stosowania art. 17 ust. 3 lit. b RODO. Poinformujemy Cię o tym fakcie i o tym, jakie konkretnie dane pozostają zachowane.

9. Twoje prawa

Na podstawie RODO przysługują Ci następujące prawa, z których możesz skorzystać, kontaktując się na adres raport.kuźnia@gmail.com:

Prawo dostępu (art. 15 RODO) — informacja o przetwarzanych danych i prawo do ich kopii
Prawo do sprostowania (art. 16 RODO) — poprawienie nieprawidłowych lub uzupełnienie niekompletnych danych
Prawo do usunięcia (art. 17 RODO) — usunięcie danych, gdy nie są już niezbędne lub gdy cofasz zgodę (z zastrzeżeniem opisanym powyżej dot. danych podatkowych)
Prawo do ograniczenia przetwarzania (art. 18 RODO) — możesz żądać wstrzymania przetwarzania na czas wyjaśnienia sporu
Prawo do przenoszenia danych (art. 20 RODO) — otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie (dot. danych przetwarzanych automatycznie na podstawie zgody lub umowy)
Prawo do sprzeciwu (art. 21 RODO) — wobec przetwarzania opartego na prawnie uzasadnionym interesie
Prawo do cofnięcia zgody — w każdej chwili, bez wpływu na zgodność z prawem przetwarzania przed cofnięciem
Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl

Odpowiedź udzielamy w terminie 30 dni. W sprawach złożonych termin może zostać wydłużony o kolejne 2 miesiące — poinformujemy Cię o tym fakcie i przyczynach.

10. Cofnięcie zgody na przetwarzanie danych zdrowotnych

Zgodę na przetwarzanie danych zdrowotnych (art. 9 RODO) możesz cofnąć w każdej chwili, wysyłając wiadomość na adres raport.kuźnia@gmail.com z tytułem „Cofnięcie zgody Art. 9 RODO".

Skutek cofnięcia zgody. Cofnięcie zgody jest skuteczne na przyszłość — nie wpływa na zgodność z prawem przetwarzania, które miało miejsce przed cofnięciem. Ponieważ dane zdrowotne są niezbędne do świadczenia Usługi, cofnięcie zgody skutkuje brakiem możliwości kontynuowania subskrypcji. W takim wypadku umowa rozwiązuje się z zachowaniem zasad określonych w Regulaminie.

11. Bezpieczeństwo danych

Stosujemy następujące środki techniczne i organizacyjne ochrony danych:

Szyfrowanie transmisji danych (protokół HTTPS/TLS)
Dostęp do danych zdrowotnych ograniczony wyłącznie do osoby sporządzającej plan
Regularne tworzenie kopii zapasowych
Zobowiązanie do zachowania poufności przez osoby mające dostęp do danych
Umowy powierzenia danych (DPA) z procesorami

W przypadku naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko dla Twoich praw i wolności, zostaniesz poinformowany/a o naruszeniu bez zbędnej zwłoki (art. 34 RODO).

12. Pliki cookies

Szczegółowe informacje o plikach cookies, w tym o stosowaniu Meta Pixel i Google Analytics, zawarte są w odrębnym dokumencie: Polityka Cookies.

13. Zmiany polityki prywatności

O istotnych zmianach Użytkownicy posiadający aktywną subskrypcję zostaną poinformowani drogą e-mail z co najmniej 14-dniowym wyprzedzeniem. Aktualna wersja Polityki dostępna jest zawsze pod adresem kuzniazdrowia.com/polityka-prywatnosci.