Polityka Prywatności — Dieta Zacharskiej

Administrator danych osobowych: I’m Open sp. z o.o. ul. Dzieci Warszawy 25 A/171, 02-495 Warszawa NIP: 5223032672 | KRS: 0000564719 | REGON: 361860496 E-mail: kontakt@dietazacharskiej.pl

Obowiązuje od: 2026-04-23

Spis treści

  • § 1 – Administrator danych osobowych
  • § 2 – Jakie dane zbieramy i skąd
  • § 3 – Cele i podstawy prawne przetwarzania danych
  • § 4 – Okres przechowywania danych
  • § 5 – Odbiorcy danych — z kim dzielimy się danymi
  • § 6 – Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)
  • § 7 – Prawa osób, których dane dotyczą
  • § 8 – Pliki cookies i technologie śledzące
  • § 9 – Newsletter i komunikacja marketingowa
  • § 10 – Komunikacja SMS
  • § 11 – Automatyzacja Facebook Messenger
  • § 12 – Bezpieczeństwo danych
  • § 13 – Zmiany Polityki Prywatności
  • § 14 – Kontakt i skargi

§ 1. Administrator danych osobowych

  1. Administratorem Twoich danych osobowych jest I’m Open sp. z o.o. z siedzibą w Warszawie, ul. Dzieci Warszawy 25 A/171, 02-495 Warszawa, NIP: 5223032672 | KRS: 0000564719 | REGON: 361860496 (dalej: „Administrator”).
  2. Administrator zarządza serwisem internetowym działającym pod adresem dietazacharskiej.pl oraz jego subdomenami (dalej: „Serwis”).
  3. We wszystkich sprawach dotyczących ochrony danych osobowych możesz skontaktować się z Administratorem:

§ 2. Jakie dane zbieramy i skąd

W zależności od sposobu korzystania z Serwisu przetwarzamy następujące kategorie danych osobowych:

2.1 Dane podawane dobrowolnie przez użytkownika

Przy rejestracji konta i składaniu zamówień:

  • imię i nazwisko
  • adres e-mail
  • numer telefonu (opcjonalnie, wymagany przy komunikacji SMS)
  • dane adresowe (jeśli wymagane do faktury)
  • dane do faktury (NIP, nazwa firmy — jeśli dotyczy)

Przy zapisie na newsletter lub webinar:

  • imię
  • adres e-mail
  • numer telefonu (jeśli użytkownik wyraził zgodę na komunikację SMS)

Przy kontakcie z Administratorem:

  • imię
  • adres e-mail
  • treść wiadomości

Przy interakcji przez Facebook Messenger — automatyzacja lead capture (Przepływ 1: #dieta, lub podobny #):

  • imię i nazwisko (z profilu Facebook, jeśli udostępnione)
  • adres e-mail (podany dobrowolnie w rozmowie z botem)
  • identyfikator Facebook Messenger (PSID — Page-Scoped User ID)
  • płeć i język (z profilu Facebook, jeśli udostępnione)
  • zdjęcie profilowe (URL, jeśli udostępnione przez Facebook)

Przy interakcji przez Facebook Messenger — automatyzacja weryfikacji udostępnienia (Przepływ 2: screenshot):

  • imię i nazwisko (z profilu Facebook, jeśli udostępnione)
  • adres e-mail (podany dobrowolnie w rozmowie z botem)
  • identyfikator Facebook Messenger (PSID — Page-Scoped User ID)
  • zrzut ekranu przesłany przez użytkownika (jako dowód udostępnienia posta)
  • płeć i język (z profilu Facebook, jeśli udostępnione)
  • zdjęcie profilowe (URL, jeśli udostępnione przez Facebook)

2.2 Dane zbierane automatycznie

Podczas korzystania z Serwisu automatycznie zbieramy dane techniczne, w tym:

  • adres IP urządzenia
  • typ i wersja przeglądarki internetowej
  • system operacyjny
  • strony odwiedzane w Serwisie, czas i data wizyty
  • dane behawioralne (przewijanie strony, kliknięcia, czas spędzony na stronie)
  • dane o lokalizacji (na poziomie kraju/miasta, na podstawie adresu IP)

Dane te zbierane są za pomocą plików cookies oraz narzędzi analitycznych opisanych w § 8.

2.3 Dane z zewnętrznych źródeł

W przypadku korzystania z funkcji logowania przez media społecznościowe lub integracji z platformami zewnętrznymi, możemy otrzymywać dane podstawowe z tych platform (np. imię, adres e-mail) zgodnie z ich politykami prywatności i udzielonymi przez Ciebie zgodami.

§ 3. Cele i podstawy prawne przetwarzania danych

Przetwarzamy Twoje dane osobowe wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach:

Cel przetwarzaniaPodstawa prawna (RODO)
Realizacja umowy (zamówienia, dostęp do produktów cyfrowych)Art. 6 ust. 1 lit. b — wykonanie umowy
Obsługa konta użytkownikaArt. 6 ust. 1 lit. b — wykonanie umowy
Wystawianie faktur i dokumentacji finansowejArt. 6 ust. 1 lit. c — obowiązek prawny
Obsługa reklamacji i zwrotówArt. 6 ust. 1 lit. b — wykonanie umowy; lit. c — obowiązek prawny
Wysyłka newslettera i kampanii e-mailArt. 6 ust. 1 lit. a — zgoda
Wysyłka przypomnień SMS (webinary, program)Art. 6 ust. 1 lit. a — zgoda
Analityka i statystyki Serwisu (GA4)Art. 6 ust. 1 lit. a — zgoda
Remarketing i reklama (Facebook, Instagram)Art. 6 ust. 1 lit. a — zgoda
Poprawa jakości usług i bezpieczeństwo SerwisuArt. 6 ust. 1 lit. f — prawnie uzasadniony interes
Dochodzenie i obrona roszczeńArt. 6 ust. 1 lit. f — prawnie uzasadniony interes
Prowadzenie webinarów i komunikacja z uczestnikamiArt. 6 ust. 1 lit. b — wykonanie umowy; lit. a — zgoda
Automatyzacja lead capture przez Facebook Messenger — Przepływ 1: wykrywanie komentarzy z hashtagiem #dieta, wysyłka wiadomości DM, zbieranie adresu e-mail, dostarczenie materiału edukacyjnegoArt. 6 ust. 1 lit. a — zgoda wyrażona przez dobrowolne, świadome działanie użytkownika (komentarz z hashtagiem inicjujący interakcję)
Automatyzacja weryfikacji udostępnienia — Przepływ 2: użytkownik przesyła screenshot udostępnienia posta przez Messenger, bot weryfikuje i dostarcza materiał edukacyjnyArt. 6 ust. 1 lit. a — zgoda wyrażona przez dobrowolne przesłanie wiadomości i zrzutu ekranu przez użytkownika

Zgody udzielone przez Ciebie (np. na newsletter lub SMS) możesz wycofać w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania dokonanego przed ich wycofaniem.

§ 4. Okres przechowywania danych

Przechowujemy Twoje dane przez okres niezbędny do realizacji celów, dla których zostały zebrane:

  • Dane z umowy (zamówienia, faktury): 5 lat od końca roku podatkowego, w którym powstał obowiązek podatkowy (wymóg prawa podatkowego)
  • Dane konta użytkownika: przez czas posiadania aktywnego konta + 12 miesięcy po jego usunięciu
  • Dane do newslettera / kampanii e-mail: do momentu wycofania zgody lub wypisania się z listy
  • Dane do komunikacji SMS: do momentu wycofania zgody
  • Dane analityczne (GA4, cookies): zgodnie z ustawieniami narzędzi — co do zasady do 14 miesięcy
  • Dane reklamacyjne: 3 lata od rozpatrzenia reklamacji (przedawnienie roszczeń)
  • Dane kontaktowe (formularz, e-mail): do 12 miesięcy od ostatniego kontaktu lub rozwiązania sprawy
  • Dane z Facebook Messenger (PSID, dane profilu, adres e-mail pozyskany przez bota): przez czas aktywności kontaktu w systemie CRM + 12 miesięcy po usunięciu kontaktu lub do momentu wycofania zgody — w zależności od tego, co nastąpi wcześniej
  • Zrzuty ekranu przesłane przez użytkownika (Przepływ 2): usuwane niezwłocznie po weryfikacji, nie są przechowywane w systemach Administratora

Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane.

§ 5. Odbiorcy danych — z kim dzielimy się danymi

Twoje dane osobowe mogą być przekazywane wyłącznie zaufanym podmiotom, z którymi Administrator zawarł stosowne umowy powierzenia przetwarzania danych (art. 28 RODO) lub które przetwarzają dane na podstawie własnych, niezależnych podstaw prawnych.

5.1 Obsługa płatności

W zależności od wybranej metody płatności, dane niezbędne do realizacji transakcji przekazywane są do jednego z następujących operatorów:

  • Stripe Payments Europe, Ltd. — płatności kartą (Visa, Mastercard i inne), płatności cykliczne (subskrypcje); siedziba: Dublin, Irlandia. Polityka prywatności Stripe
  • Autopay S.A. — przelewy online, płatności kartą, BLIK; siedziba: Sopot, Polska. Polityka prywatności Autopay
  • PayNow / mBank S.A. — przelewy online, BLIK; siedziba: Warszawa, Polska. Polityka prywatności mBank
  • PayPo sp. z o.o. — płatności odroczone; siedziba: Warszawa, Polska. Polityka prywatności PayPo
  • Revolut Ltd. — płatności przez portfel cyfrowy Revolut; siedziba: Londyn, Wielka Brytania.

Następujące metody płatności — BLIK, Google Pay, Apple Pay, Revolut oraz Klarna — stanowią metody inicjowania lub finalizowania płatności realizowanych za pośrednictwem ww. operatorów bramek płatniczych. Sprzedawca nie posiada bezpośredniej relacji umownej z tymi podmiotami.

5.2 Infrastruktura techniczna i wysyłka e-mail

  • Dostawcy hostingu i serwerów — infrastruktura, na której działa Serwis i przechowywane są dane
  • Amazon Web Services / Amazon SES — wysyłka wiadomości e-mail transakcyjnych; dane przetwarzane w regionach EU — patrz § 6

5.3 Marketing, analityka i reklama

  • Google Ireland Ltd. (Google Analytics 4) — analityka ruchu i zachowań użytkowników; siedziba: Dublin, Irlandia. Dane mogą być przetwarzane przez Google poza EOG — patrz § 6. Polityka prywatności Google
  • Google Ireland Ltd. (YouTube) — platforma do prowadzenia webinarów na żywo i przechowywania nagrań
  • Meta Platforms Ireland Ltd. (Facebook / Instagram) — remarketing i reklama targetowana, piksel Meta; obsługa automatyzacji komentarzy i wiadomości przez Facebook Messenger API (wykrywanie słów kluczowych w komentarzach pod postami, odbieranie wiadomości bezpośrednich przesyłanych przez użytkowników, automatyczne odpowiedzi, pozyskiwanie adresu e-mail i danych profilu); siedziba: Dublin, Irlandia. Dane mogą być przetwarzane przez Meta poza EOG — patrz § 6. Polityka prywatności Meta

5.4 CRM i automatyzacja marketingu

  • FluentCRM (WPManageNinja LLC) — system CRM i automatyzacji kampanii e-mail działający w ramach własnej infrastruktury serwera Administratora. Dane nie są przekazywane do zewnętrznych serwerów FluentCRM.
  • Oracle Eloqua / Oracle Corporation — platforma do zaawansowanej automatyzacji marketingu; siedziba: Austin, Teksas, USA. Dane mogą być przetwarzane poza EOG — patrz § 6.

5.5 Automatyzacja procesów (n8n)

Administrator korzysta z platformy n8n (self-hosted — działającej na własnym serwerze Administratora) do automatyzacji przepływów danych, w tym obsługi integracji między Facebook Messenger API a systemem CRM. Dane przetwarzane przez n8n nie opuszczają infrastruktury Administratora.

5.6 Komunikacja SMS

5.7 Narzędzia oparte na sztucznej inteligencji (AI / LLM)

Administrator może korzystać z narzędzi opartych na sztucznej inteligencji w celu poprawy jakości usług i automatyzacji procesów. Dane przekazywane do systemów AI są anonimizowane lub pseudonimizowane w maksymalnym możliwym zakresie. Aktualnie Administrator korzysta lub może korzystać z:

  • Anthropic (Claude) — automatyzacja treści i procesów; siedziba: San Francisco, USA
  • OpenAI — generowanie treści; siedziba: San Francisco, USA
  • Google (Vertex AI / Gemini) — analityka i automatyzacja; siedziba: Mountain View, USA

5.8 Podmioty zewnętrzne na mocy przepisów prawa

Dane mogą być udostępniane organom państwowym (m.in. Urząd Skarbowy, ZUS, organy ścigania) wyłącznie w zakresie wymaganym przez bezwzględnie obowiązujące przepisy prawa.

§ 6. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

Część z wymienionych odbiorców danych — w szczególności Google, Meta, Oracle, Amazon oraz dostawcy narzędzi AI — ma siedziby lub przetwarza dane poza EOG (głównie w USA).

Przekazywanie danych do tych podmiotów odbywa się z zastosowaniem odpowiednich zabezpieczeń wymaganych przez RODO art. 46, w szczególności:

  • Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską (decyzja 2021/914)
  • Certyfikacja w ramach EU-US Data Privacy Framework — w przypadku podmiotów posiadających aktualną certyfikację

Możesz uzyskać informację o konkretnym mechanizmie transferu dla danego podmiotu, kontaktując się z Administratorem: kontakt@dietazacharskiej.pl

§ 7. Prawa osób, których dane dotyczą

Na podstawie przepisów RODO przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15 RODO) — prawo do uzyskania informacji o tym, jakie Twoje dane przetwarzamy
  • Prawo do sprostowania (art. 16 RODO) — prawo do żądania poprawienia nieprawidłowych danych
  • Prawo do usunięcia (art. 17 RODO) — prawo do żądania usunięcia danych, w tym identyfikatora Facebook Messenger (PSID) i wszystkich danych pozyskanych przez bota
  • Prawo do ograniczenia przetwarzania (art. 18 RODO)
  • Prawo do przenoszenia danych (art. 20 RODO)
  • Prawo do sprzeciwu (art. 21 RODO)
  • Prawo do wycofania zgody — w dowolnym momencie, bez wpływu na zgodność z prawem wcześniejszego przetwarzania

Jak skorzystać ze swoich praw: Skontaktuj się z Administratorem drogą elektroniczną (kontakt@dietazacharskiej.pl) lub pisemnie. Administrator odpowie w terminie 30 dni.

Prawo do skargi: Jeśli uznasz, że przetwarzanie Twoich danych narusza przepisy RODO, możesz wnieść skargę do:

Prezes Urzędu Ochrony Danych Osobowych (UODO) ul. Stawki 2, 00-193 Warszawa | uodo.gov.pl | Infolinia: 606 950 000

§ 8. Pliki cookies i technologie śledzące

8.1 Czym są pliki cookies

Pliki cookies to małe pliki tekstowe zapisywane na Twoim urządzeniu przez przeglądarkę internetową podczas odwiedzania Serwisu.

8.2 Rodzaje stosowanych cookies

Cookies niezbędne (techniczne) — niezbędne do prawidłowego działania Serwisu. Nie wymagają zgody.

Cookies analityczne — zbierają dane o sposobie korzystania z Serwisu (Google Analytics 4). Wymagają zgody.

Cookies marketingowe i remarketingowe — umożliwiają wyświetlanie spersonalizowanych reklam (piksel Meta/Facebook, Google Ads). Wymagają zgody.

Cookies funkcjonalne — zapamiętują Twoje preferencje. Wymagają zgody.

8.3 Stosowane narzędzia zewnętrzne

Google Analytics 4 (GA4) — zbiera anonimizowane dane o ruchu w Serwisie. Administrator stosuje anonimizację adresów IP. policies.google.com/privacy

Meta Pixel (Facebook / Instagram) — piksel rejestruje odwiedzone strony i wykonane akcje w celu pomiaru skuteczności kampanii reklamowych i remarketingu. facebook.com/privacy

8.4 Zarządzanie zgodami na cookies

Przy pierwszej wizycie wyświetlamy baner zgód umożliwiający zaakceptowanie, odrzucenie lub dostosowanie ustawień cookies. Ustawienia możesz zmienić w dowolnym momencie klikając ikonę ustawień cookies w stopce Serwisu.

§ 9. Newsletter i komunikacja marketingowa

9.1 Newsletter e-mail

  1. Możesz dobrowolnie zapisać się do newslettera, podając swój adres e-mail w formularzu zapisu.
  2. Zapis wymaga potwierdzenia poprzez kliknięcie linku w wiadomości weryfikacyjnej (model double opt-in).
  3. Możesz zrezygnować z newslettera w dowolnym momencie klikając link „wypisz się” w każdej wiadomości.
  4. Do wysyłki Administrator korzysta z systemu FluentCRM (dane na własnym serwerze) oraz Amazon SES.

9.2 Kampanie e-mail i automatyzacja marketingu

W ramach zakupionych produktów lub udzielonych zgód Administrator może wysyłać sekwencje onboardingowe, przypomnienia o webinarach, kampanie edukacyjne i powiadomienia o subskrypcjach.

9.3 Remarketing w mediach społecznościowych

Na podstawie udzielonej zgody Administrator prowadzi kampanie remarketingowe na platformach Facebook i Instagram.

§ 10. Komunikacja SMS

  1. Jeśli podasz swój numer telefonu i wyrazisz odrębną zgodę, Administrator może wysyłać Ci wiadomości SMS — przypomnienia o webinarach, powiadomienia o dostępie do treści, powiadomienia transakcyjne.
  2. Do wysyłki SMS Administrator korzysta z usług SMSAPI (Spidernet Distributed Services sp. z o.o.).
  3. Zgoda na SMS jest dobrowolna i niezależna od innych zgód. Jej brak nie wpływa na możliwość korzystania z usług Serwisu.
  4. Możesz wycofać zgodę w dowolnym momencie kontaktując się na adres: kontakt@dietazacharskiej.pl

§ 11. Automatyzacja Facebook Messenger

Administrator korzysta z Facebook Messenger API (udostępnianego przez Meta Platforms Ireland Ltd.) do automatycznego pozyskiwania danych kontaktowych i obsługi komunikacji z osobami zainteresowanymi ofertą edukacyjną. Działają dwa niezależne przepływy automatyzacji:

11.1 Przepływ 1 — Komentarz z hashtagiem #dieta (lub podobnym)

Jak działa:

  1. Użytkownik komentuje post na stronie Marzena Zacharska dietetyk kliniczny na Facebooku, używając hashtagu #dieta
  2. Zautomatyzowany system (bot) wysyła użytkownikowi prywatną wiadomość przez Messenger z prośbą o podanie adresu e-mail
  3. Użytkownik dobrowolnie podaje adres e-mail w odpowiedzi
  4. System zapisuje dane w CRM (FluentCRM) i wysyła materiał edukacyjny (ebook) na podany adres e-mail
  5. Jeśli użytkownik jest już zarejestrowany w CRM, bot proponuje bezpłatną konsultację dietetyczną

Dane zbierane: imię i nazwisko, adres e-mail, PSID, płeć, język, URL zdjęcia profilowego (wszystkie z wyjątkiem adresu e-mail — pobierane z profilu Facebook, jeśli publicznie dostępne).

Podstawa prawna: Art. 6 ust. 1 lit. a RODO — zgoda wyrażona przez dobrowolne, świadome skomentowanie posta z hashtagiem #dieta, inicjujące interakcję z botem.

11.2 Przepływ 2 — Weryfikacja udostępnienia posta (screenshot przez Messenger)

Jak działa:

  1. Użytkownik udostępnia post ze strony na swoim profilu Facebook, a następnie przesyła zrzut ekranu tego udostępnienia bezpośrednio do Messengera strony
  2. Bot potwierdza odbiór wiadomości i prosi o podanie adresu e-mail
  3. Użytkownik dobrowolnie podaje adres e-mail
  4. System zapisuje dane w CRM i wysyła materiał edukacyjny (ebook) na podany adres e-mail
  5. Zrzut ekranu nie jest przechowywany — służy wyłącznie jako potwierdzenie interakcji

Dane zbierane: imię i nazwisko, adres e-mail, PSID, płeć, język, URL zdjęcia profilowego. Zrzut ekranu jest przetwarzany wyłącznie w celu weryfikacji i niezwłocznie usuwany.

Podstawa prawna: Art. 6 ust. 1 lit. a RODO — zgoda wyrażona przez dobrowolne przesłanie wiadomości i zrzutu ekranu przez użytkownika, inicjujące interakcję z botem.

11.3 Wspólne zasady dla obu przepływów

  1. Identyfikator PSID (Page-Scoped User ID) to unikalny identyfikator przypisany do interakcji użytkownika z konkretną stroną na Facebooku. Nie jest to globalny identyfikator użytkownika Facebook — różni się dla każdej strony. PSID jest przechowywany w systemie CRM wyłącznie w celu umożliwienia przyszłej komunikacji przez Messenger w ramach dozwolonych okien czasowych określonych przez politykę Meta.
  2. Okno komunikacji: Wszystkie wiadomości wysyłane przez bota są odpowiedzią na działanie użytkownika i mieszczą się w standardowym oknie komunikacji Messenger (24 godziny od ostatniej interakcji). Wiadomości mają charakter użytkowy — dostarczenie zamówionego materiału edukacyjnego. Nie są wiadomościami promocyjnymi w rozumieniu polityki Meta.
  3. Prawo do usunięcia danych: Na żądanie użytkownika Administrator usunie PSID oraz wszystkie powiązane dane z systemu CRM w terminie 30 dni. Żądanie można złożyć na adres: kontakt@dietazacharskiej.pl
  4. Okres przechowywania: Dane z Messenger przechowywane są przez czas aktywności kontaktu w CRM + 12 miesięcy, lub do momentu wycofania zgody — w zależności od tego, co nastąpi wcześniej.
  5. Brak obowiązku: Udział w obu przepływach automatyzacji jest całkowicie dobrowolny. Nieudostępnienie danych przez Messenger nie wpływa na możliwość korzystania z usług Serwisu ani zakupu produktów.

§ 12. Bezpieczeństwo danych

  1. Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:
    • szyfrowanie połączeń SSL/TLS
    • kontrolę dostępu do systemów przetwarzających dane osobowe
    • regularne aktualizacje oprogramowania i tworzenie kopii zapasowych
    • ograniczenie dostępu do danych wyłącznie do upoważnionych osób
  2. W przypadku naruszenia ochrony danych stwarzającego ryzyko naruszenia praw osób fizycznych, Administrator powiadomi UODO w terminie 72 godzin, a w stosownych przypadkach — również osoby, których dane dotyczą.

§ 13. Zmiany Polityki Prywatności

  1. Administrator zastrzega sobie prawo do aktualizacji niniejszej Polityki w przypadku zmiany przepisów prawa, wdrożenia nowych usług lub narzędzi, lub istotnych zmian w zakresie przetwarzania danych.
  2. O każdej istotnej zmianie Administrator poinformuje użytkowników poprzez komunikat na stronie Serwisu lub wiadomość e-mail z co najmniej 14-dniowym wyprzedzeniem.
  3. Aktualna wersja Polityki jest zawsze dostępna pod adresem: dietazacharskiej.pl/polityka-prywatnosci

§ 14. Kontakt i skargi

W sprawach dotyczących ochrony danych osobowych prosimy o kontakt:

I’m Open sp. z o.o. ul. Dzieci Warszawy 25 A/171, 02-495 Warszawa E-mail: kontakt@dietazacharskiej.pl Tel.: +48 508 372 285

Dążymy do rozwiązania każdej sprawy w terminie 30 dni. Jeśli nie będziesz zadowolona/zadowolony z udzielonej odpowiedzi, przysługuje Ci prawo wniesienia skargi do organu nadzorczego:

Prezes Urzędu Ochrony Danych Osobowych (UODO) ul. Stawki 2, 00-193 Warszawa uodo.gov.pl | Infolinia: 606 950 000

Niniejsza Polityka Prywatności obowiązuje od dnia wskazanego przed spisem treści i zastępuje wszelkie poprzednie wersje dokumentu.