Polityka prywatności serwisu Cacadi.pl

Data wejścia w życie: 9 sierpnia 2025 r.

Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych Użytkowników serwisu Cacadi.pl (dalej: „Serwis”) oraz zasady wykorzystywania plików cookies i podobnych technologii. Dokument obejmuje zarówno wersję WWW Serwisu, jak i aplikację mobilną.

1. Administrator danych

Administratorem danych osobowych przetwarzanych w związku z korzystaniem z Serwisu jest Operator serwisu Cacadi.pl (dalej: „Administrator”). Dane kontaktowe Administratora oraz dane umożliwiające kontakt są dostępne w Serwisie (strona „Kontakt”).

2. Zakres i źródła danych

W Serwisie przetwarzane są następujące kategorie danych osobowych:

  • Dane identyfikacyjne i kontaktowe: adres e-mail, imię i nazwisko (jeżeli podane), dane konta użytkownika.
  • Dane transakcyjne i finansowe: historia transakcji związanych z cashback (identyfikatory zamówień, kwoty, daty), dane potrzebne do realizacji wypłat (np. numer rachunku bankowego, identyfikator konta w systemie płatności), o ile zostały przekazane.
  • Dane techniczne i telemetria: adres IP, typ przeglądarki i systemu operacyjnego, identyfikatory urządzeń (np. IDFA/GAID), dane logów serwerowych, dane o korzystaniu z Serwisu.
  • Dane marketingowe i preferencje: zgody marketingowe, preferencje komunikacyjne, dane o interakcjach z komunikatami i reklamami.
  • Dane dostarczone przez Partnerów: informacje przekazywane przez partnerów afiliacyjnych/handlowych w celu potwierdzenia transakcji i rozliczeń cashback.

Dane pochodzą m.in. bezpośrednio od Użytkowników (podczas rejestracji, w ustawieniach konta, w zgłoszeniach do supportu), automatycznie z urządzeń i usług (logi, cookies, SDK aplikacji) oraz od Partnerów/pośredników (dane transakcyjne niezbędne do rozliczeń).

3. Cele i podstawy prawne przetwarzania

Dane są przetwarzane w następujących celach wraz z podstawą prawną:

  • Realizacja umowy / świadczenie usług: prowadzenie konta, naliczanie i wypłata cashback — podstawa: art. 6 ust. 1 lit. b RODO.
  • Wypełnianie obowiązków prawnych: archiwizacja dokumentów księgowych, rozliczenia podatkowe (jeżeli mają zastosowanie) — podstawa: art. 6 ust. 1 lit. c RODO.
  • Ochrona prawnie uzasadnionych interesów Administratora: wykrywanie i zapobieganie nadużyciom, bezpieczeństwo Serwisu, dochodzenie roszczeń — podstawa: art. 6 ust. 1 lit. f RODO.
  • Marketing i profilowanie: wysyłka ofert, personalizacja treści i reklam — podstawa: zgoda (art. 6 ust. 1 lit. a RODO) lub, w ograniczonym zakresie, prawnie uzasadniony interes (po ocenie równowagi interesów) — użytkownik zawsze może się sprzeciwić.

4. Odbiorcy danych (kategorie)

Dane mogą być ujawniane następującym kategoriom odbiorców:

  • Partnerzy handlowi i afiliacyjni — w celu potwierdzenia transakcji i naliczenia cashback;
  • dostawcy usług płatniczych i banki — w celu realizacji wypłat;
  • dostawcy usług IT i hostingowych (np. chmura, bazy danych), firmy utrzymujące serwery;
  • dostawcy narzędzi analitycznych i monitorujących (np. narzędzia analityczne, SDK telemetryczne);
  • dostawcy usług marketingowych i reklamowych (platformy reklamowe, DSP, sieci reklamowe);
  • organy publiczne i wymiar sprawiedliwości — gdy obowiązek ujawnienia wynika z obowiązujących przepisów prawa.

5. Przetwarzanie przez podmioty zewnętrzne (procesory)

Administrator korzysta z usług podmiotów przetwarzających (procesorów). Powierzenie przetwarzania odbywa się na podstawie umów powierzenia, które wymagają, by procesor stosował odpowiednie środki techniczne i organizacyjne oraz przetwarzał dane wyłącznie zgodnie z poleceniami Administratora.

6. Transfery danych poza Europejski Obszar Gospodarczy (EOG)

W przypadku przekazywania danych poza EOG Administrator zapewnia odpowiednie zabezpieczenia prawne, takie jak decyzje stwierdzające adekwatność ochrony danych przez Komisję Europejską, Standardowe Klauzule Umowne (SCC) lub inne dopuszczalne mechanizmy. Szczegóły dotyczące odbiorców poza EOG i zastosowanych zabezpieczeń są dostępne na żądanie (kontakt poprzez formularz w Serwisie).

7. Szczegółowa polityka cookies i technologii śledzących

Serwis wykorzystuje pliki cookies i podobne technologie (np. localStorage, Web beacons/piksele, SDK w aplikacji mobilnej) w celach funkcjonalnych, analitycznych i marketingowych. Użytkownik otrzymuje informacje oraz możliwość zarządzania zgodami zgodnie z obowiązującymi przepisami.

7.1. Tabela rodzajów cookies (szczegóły i przykłady)

Kategoria Cel Przykładowe nazwy (mogą się różnić) Dostawca / przykład Okres przechowywania
Niezbędne / sesyjne Zapewniają podstawowe funkcje Serwisu: utrzymanie sesji, bezpieczeństwo logowania. session_id, csrf_token, auth_session Serwis Do zakończenia sesji (cookies sesyjne) lub do 30 dni
Funkcjonalne Zapamiętują preferencje użytkownika (np. język, ustawienia interfejsu). lang, theme, prefs Serwis Do 6 miesięcy
Analityczne Zbierają anonimowe/ogólnosystemowe dane o korzystaniu z Serwisu w celu ulepszeń. _ga, _gid, _gat, _ga_* Google Analytics (przykład) Od 1 dnia do 2 lat (zależnie od cookie)
Marketing / reklamowe Umożliwiają personalizację reklam i pomiar skuteczności kampanii reklamowych. _gcl_au, _fbp, fr, _hjIncludedInSample Google Ads, Meta (Facebook), Hotjar (przykłady) Od kilku dni do 1 roku lub dłużej (zależnie od dostawcy)
Śledzenie afiliacyjne Umożliwiają przypisanie transakcji do kampanii afiliacyjnej (istotne dla cashback). aff_id, affiliate_tracker Partnerzy afiliacyjni / sieci afiliacyjne Zwykle do 30–90 dni (zależnie od umowy z partnerem)
Cookies techniczne SDK (aplikacja mobilna) Identyfikatory urządzenia (IDFA/GAID), dane telemetryczne wykorzystywane przez SDK do analiz i powiadomień. IDFA, GAID, firebase_instance SDK: Firebase, Branch, Adjust (przykłady) Zależnie od SDK — do momentu usunięcia aplikacji lub wycofania zgody

Uwaga: podane przykłady nazw cookie i dostawców są orientacyjne i mogą ulegać zmianie w zależności od konfiguracji Serwisu i zewnętrznych narzędzi. Aktualna lista cookies oraz opcje zarządzania zgodami są dostępne w panelu cookie Serwisu.

7.2. Zarządzanie cookie i wycofanie zgody

Użytkownik może zarządzać zgodami na cookies poprzez:

  • mechanizm zarządzania zgodami udostępniony w Serwisie (baner / panel ustawień),
  • ustawienia przeglądarki (blokowanie/usuwanie cookies),
  • ustawienia systemowe aplikacji mobilnej (np. wyłączenie powiadomień push, cofnięcie uprawnień).

Wyłączenie niektórych kategorii cookies może ograniczyć działanie Serwisu lub uniemożliwić korzystanie z niektórych funkcji.

8. Przetwarzanie danych w aplikacji mobilnej

Jeżeli Użytkownik korzysta z aplikacji mobilnej Serwisu, mogą być wykorzystywane dodatkowe mechanizmy przetwarzania:

  • Identyfikatory urządzeń: GAID (Android) lub IDFA (iOS) — używane do pomiarów skuteczności kampanii i analityki (wymagana zgoda tam, gdzie prawo tego wymaga);
  • Powiadomienia push: wykorzystywane po uzyskaniu wyraźnej zgody Użytkownika; Użytkownik może wyłączyć powiadomienia w ustawieniach systemu;
  • SDK zewnętrzne: aplikacja może integrować biblioteki (np. Firebase, narzędzia analityczne, narzędzia do atrybucji) — każda integracja opiera się na umowach z dostawcami i odpowiednich zabezpieczeniach;
  • Dostępy do funkcji urządzenia: aplikacja może żądać dostępu do wybranych funkcji (np. aparat, pamięć), ale tylko w razie rzeczywistej potrzeby i po uzyskaniu zgody Użytkownika.

Jeżeli aplikacja będzie zbierać dane lokalizacyjne lub inne szczególne kategorie danych, ich zakres i cel będą wyraźnie opisane i opatrzone odrębną prośbą o zgodę.

9. Retencja danych — okresy przechowywania

Okres przechowywania danych zależy od kategorii danych i celu przetwarzania. Poniżej przykładowe okresy:

  • Dane konta i podstawowe dane identyfikacyjne: przez okres aktywności konta + do 5 lat po usunięciu konta, jeżeli wymagają tego obowiązki prawne lub rozliczeniowe (np. ewentualne roszczenia, obowiązki księgowe).
  • Dane transakcyjne i rozliczeniowe (historyczne): do 5 lat (w zależności od obowiązków księgowych i podatkowych).
  • Logi systemowe i dane techniczne: standardowo przez okres do 12 miesięcy, chyba że dłuższe przechowywanie jest potrzebne do celów bezpieczeństwa lub dochodzenia roszczeń.
  • Dane marketingowe i zgody: do czasu cofnięcia zgody; dane związane z analizami marketingowymi przechowywane są przez okres niezbędny do realizacji kampanii.
  • Cookies: zgodnie z określeniami w tabeli cookies (sekcja 7).

Po upływie okresu przechowywania dane są usuwane lub zanonimizowane (jeżeli anonimizacja uniemożliwia identyfikację osoby).

10. Profilowanie i zautomatyzowane podejmowanie decyzji

Administrator może stosować profilowanie w celu personalizacji ofert, rekomendacji oraz wykrywania nadużyć. Profilowanie opiera się na analizie zachowań użytkownika, historii transakcji i innych danych dostępnych Administratorowi.

Jeżeli przetwarzanie obejmuje zautomatyzowane podejmowanie decyzji, które mają na Użytkownika skutki prawne lub w podobny sposób go istotnie dotykają, Użytkownik zostanie o tym poinformowany wraz z opisem zastosowanej logiki, przewidywanych konsekwencji oraz prawem do wniesienia sprzeciwu i zażądania interwencji człowieka.

11. Prawa osób, których dane dotyczą i sposób ich realizacji

Użytkownikom przysługują prawa wynikające z RODO, w tym prawo do:

  • dostępu do danych oraz otrzymania kopii tych danych,
  • sprostowania nieprawidłowych danych,
  • usunięcia danych („prawo do bycia zapomnianym”), w zakresie przewidzianym prawem,
  • ograniczenia przetwarzania,
  • przenoszenia danych (jeżeli przetwarzanie odbywa się na podstawie umowy lub zgody i jest zautomatyzowane),
  • wniesienia sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu lub w celach marketingowych,
  • wycofania zgody w dowolnym momencie (bez wpływu na zgodność przetwarzania przed jej wycofaniem).

W celu skorzystania z powyższych praw Użytkownik powinien skontaktować się z Administratorem za pośrednictwem formularza kontaktowego dostępnego w Serwisie lub adresu e-mail podanego w Serwisie. Administrator odpowie na żądanie w ustawowym terminie (zwykle 1 miesiąc), z możliwością przedłużenia o maksymalnie 2 miesiące w uzasadnionych przypadkach — o czym Użytkownik zostanie poinformowany wraz z przyczyną przedłużenia.

12. Naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych Administrator podejmie działania przewidziane prawem, w tym — gdy będzie to wymagane — powiadomi odpowiedni organ nadzorczy (np. Prezesa Urzędu Ochrony Danych Osobowych) niezwłocznie, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że naruszenie nie stwarza ryzyka dla praw i wolności osób fizycznych. Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator powiadomi również osoby, których dane dotyczą.

13. Ochrona danych — środki techniczne i organizacyjne

Administrator stosuje odpowiednie środki techniczne i organizacyjne adekwatne do ryzyka związanego z przetwarzaniem, w tym:

  • szyfrowanie transmisji danych (HTTPS),
  • mechanizmy kontroli dostępu i uwierzytelniania,
  • regularne kopie zapasowe i testy przywracania,
  • monitoring i systemy wykrywania incydentów bezpieczeństwa,
  • instrukcje i szkolenia w zakresie ochrony danych dla pracowników oraz umowy powierzenia z procesorami.

14. Dane dotyczące dzieci i osób nieletnich

Serwis nie jest przeznaczony do korzystania przez osoby niepełnoletnie bez zgody opiekuna prawnego. Jeżeli Administrator dowie się, że przetwarza dane osobowe dziecka bez wymaganego zezwolenia opiekuna, podejmie kroki w celu usunięcia takich danych, o ile nie istnieje podstawa prawna przetwarzania.

15. Zmiany polityki prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce. W razie istotnych zmian użytkownicy zostaną powiadomieni (np. poprzez komunikat w Serwisie lub e-mail). Aktualna wersja Polityki będzie dostępna w Serwisie i zawsze wskazywać datę wejścia w życie.

16. Kontakt i skarga do organu nadzorczego

W sprawach związanych z przetwarzaniem danych osobowych prosimy korzystać z formularza kontaktowego w Serwisie lub z adresu e-mail udostępnionego w Serwisie. Jeżeli Użytkownik uzna, że przetwarzanie jego danych narusza przepisy o ochronie danych osobowych, ma prawo wniesienia skargi do organu nadzorczego (w Polsce: Prezesa Urzędu Ochrony Danych Osobowych).

Dokument obowiązuje od dnia publikacji w Serwisie: 9 sierpnia 2025 r.