Przejdź do treści

Polityka prywatności

Ostatnia aktualizacja: 2026-05-16

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych użytkowników serwisu internetowego dostępnego pod adresem ztmizera.pl (dalej: Serwis), zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).

§1. Administrator danych osobowych

Administratorem danych osobowych użytkowników Serwisu jest:

Zakład Transportowo-Mechaniczny Mizera (ZTMizera)
Ul. Dębowa 9, 43-460 Wisła
NIP: 5481240096
E-mail: [email protected]
Telefon: +48 600 549 105

Z Administratorem można skontaktować się we wszystkich sprawach dotyczących przetwarzania danych osobowych pisemnie na adres siedziby lub e-mailem.

§2. Inspektor Ochrony Danych

Administrator nie wyznaczył Inspektora Ochrony Danych. W sprawach dotyczących ochrony danych osobowych prosimy o kontakt bezpośrednio z Administratorem (§1).

§3. Cele, podstawy prawne i okresy przetwarzania

Administrator przetwarza dane osobowe użytkowników Serwisu w następujących celach i na następujących podstawach prawnych (art. 6 ust. 1 RODO):

1. Obsługa zapytań kontaktowych

  • Zakres danych: imię, numer telefonu, adres e-mail (opcjonalnie), treść wiadomości, dane zawarte w załącznikach (jeśli zostały dodane).
  • Cel: obsługa zapytania, kontakt zwrotny, przygotowanie oferty, ewentualne zawarcie umowy.
  • Podstawa prawna: art. 6 ust. 1 lit. b RODO — podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
  • Okres przechowywania: do zakończenia obsługi sprawy. W przypadku zawarcia umowy — przez okres niezbędny do jej realizacji, a następnie przez okres przedawnienia roszczeń oraz okres wymagany przepisami podatkowymi i rachunkowymi (do 6 lat liczonych od końca roku rozliczeniowego).

2. Ochrona przed botami i nadużyciami

  • Zakres danych: adres IP, identyfikator sesji przeglądarki, sygnały o zachowaniu w przeglądarce (przetwarzane przez Cloudflare Turnstile).
  • Cel: weryfikacja, że formularz wypełnia człowiek, a nie skrypt; ochrona przed spamem i atakami.
  • Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na ochronie Serwisu przed nadużyciami.
  • Okres przechowywania: zgodnie z polityką Cloudflare — czas weryfikacji oraz krótki okres analityczny po stronie dostawcy (do 30 dni).

3. Analityka ruchu — Umami

  • Zakres danych: zaszyfrowany (haszowany) identyfikator sesji, adres URL strony, referer, kraj (na podstawie zanonimizowanego adresu IP), rodzaj urządzenia i przeglądarki. Adres IP nie jest przechowywany w postaci pozwalającej na identyfikację użytkownika; jest haszowany z rotującą codzienną solą po stronie dostawcy.
  • Cel: agregowana statystyka oglądalności, identyfikacja popularnych treści, wykrywanie błędów technicznych.
  • Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora w prowadzeniu pomiaru agregowanego. Z uwagi na brak plików cookie, brak identyfikatorów osobowych oraz brak śledzenia między stronami, pomiar nie wymaga zgody w rozumieniu art. 173 ustawy Prawo Telekomunikacyjne.
  • Okres przechowywania: do 12 miesięcy w postaci zagregowanej. Dane indywidualne nie są przechowywane.

4. Analityka ruchu — Google Analytics 4 (po wyrażeniu zgody)

  • Zakres danych: identyfikator klienta GA4 (client_id) zapisany w plikach cookie, dane o przeglądaniu Serwisu (strony, czas wizyty, kliknięcia w elementy nawigacji), źródło wejścia, parametry kampanii (UTM).
  • Cel: szczegółowa analiza zachowań użytkowników, atrybucja źródeł ruchu, optymalizacja kampanii marketingowych.
  • Podstawa prawna: art. 6 ust. 1 lit. a RODO — zgoda osoby, której dane dotyczą, wyrażona poprzez interakcję z banerem cookies. Zgodę można wycofać w każdej chwili (zob. §6 pkt 3). Do momentu wyrażenia zgody Google Analytics działa w trybie Consent Mode v2 z domyślnym ustawieniem denied dla wszystkich sygnałów (ad_storage, ad_user_data, ad_personalization, analytics_storage) — Google otrzymuje wyłącznie anonimowe sygnały pomiarowe bez plików cookie.
  • Okres przechowywania: do 14 miesięcy po stronie Google (zgodnie z domyślną konfiguracją GA4); pliki cookie _ga / _ga_* przechowywane są w przeglądarce użytkownika do 2 lat.

5. Pomiar źródła leadów (first-touch)

  • Zakres danych: adres strony, na której użytkownik rozpoczął sesję (landing page), adres strony odsyłającej (referer), parametry kampanii (utm_source, utm_medium, utm_campaign, utm_term, utm_content, gclid, fbclid) jeżeli występują w adresie URL, znacznik czasu pierwszej wizyty. Dane przechowywane w pliku cookie ztm_ft. Brak danych osobowych ani identyfikatorów pozwalających na zidentyfikowanie osoby fizycznej.
  • Cel: ustalenie źródła pochodzenia zapytania ofertowego (np. wyszukiwarka, kampania reklamowa, link zewnętrzny). Informacja ta jest dołączana do wiadomości e-mail przekazywanej do Administratora w momencie wysłania formularza.
  • Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na ustaleniu efektywności źródeł pozyskania klientów.
  • Okres przechowywania: 90 dni w przeglądarce użytkownika. Po stronie Administratora — wraz z treścią wiadomości e-mail (zob. pkt 1).

6. Obsługa map interaktywnych — Mapbox

  • Zakres danych: adres IP, identyfikator sesji przeglądarki, typ urządzenia (przetwarzane przez Mapbox dla rozliczenia wywołań API).
  • Cel: wyświetlanie kafelków mapy oraz interaktywnych funkcji map (na stronach Realizacje i Kruszywa Budowlane).
  • Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes polegający na prezentacji ofert oraz lokalizacji realizacji.

7. Realizacja obowiązków księgowych i podatkowych

  • Zakres danych: dane kontrahentów w zakresie niezbędnym do wystawienia dokumentów księgowych (faktur).
  • Podstawa prawna: art. 6 ust. 1 lit. c RODO — realizacja obowiązków prawnych ciążących na Administratorze (ustawa o rachunkowości, ustawa o VAT).
  • Okres przechowywania: 6 lat (zgodnie z art. 70 Ordynacji podatkowej).

§4. Odbiorcy danych osobowych

Dane osobowe użytkowników mogą być przekazywane następującym kategoriom odbiorców (procesorom oraz odbiorcom samodzielnym):

  • Resend, Inc. (Stany Zjednoczone) — dostawca usługi dostarczania wiadomości e-mail z formularzy do Administratora. Przetwarzanie obejmuje treść wiadomości formularza, adres e-mail nadawcy, numer telefonu, imię. Podstawa transferu do USA: standardowe klauzule umowne (SCC) oraz EU-U.S. Data Privacy Framework (decyzja Komisji Europejskiej z 10 lipca 2023 r.).
  • Cloudflare, Inc. (Stany Zjednoczone) — dostawca usługi anty-spamowej Turnstile. Podstawa transferu: SCC + EU-U.S. Data Privacy Framework.
  • Google Ireland Ltd. (Irlandia) — dostawca usługi Google Analytics 4. Dane przekazywane wyłącznie po wyrażeniu zgody (§3 pkt 4). Dane mogą być przekazywane do infrastruktury Google w USA — podstawa: SCC + EU-U.S. Data Privacy Framework.
  • Umami Software, Inc. (Wielka Brytania) — dostawca usługi analitycznej Umami Cloud. Wielka Brytania objęta decyzją Komisji Europejskiej z 28 czerwca 2021 r. stwierdzającą odpowiedni stopień ochrony danych osobowych.
  • Mapbox, Inc. (Stany Zjednoczone) — dostawca map interaktywnych. Podstawa transferu: SCC + EU-U.S. Data Privacy Framework.
  • Hostodawca serwera (mydevil.net) — w zakresie niezbędnym do utrzymania infrastruktury Serwisu.
  • Biuro księgowe / podmioty świadczące obsługę księgową — w zakresie niezbędnym do realizacji obowiązków księgowych.
  • Organy państwowe — w zakresie wynikającym z obowiązujących przepisów prawa, na ich uprawniony wniosek.

§5. Przekazywanie danych do państw trzecich

Niektóre dane mogą być przekazywane poza Europejski Obszar Gospodarczy (EOG) — do Stanów Zjednoczonych (Resend, Cloudflare, Google, Mapbox). Transfer odbywa się w oparciu o:

  • Standardowe klauzule umowne (SCC) zatwierdzone decyzją Komisji Europejskiej 2021/914/UE z 4 czerwca 2021 r.
  • EU-U.S. Data Privacy Framework — decyzja Komisji Europejskiej z 10 lipca 2023 r. (dla podmiotów certyfikowanych w ramach DPF).

Kopię zabezpieczeń (SCC) można uzyskać na żądanie skierowane do Administratora.

§6. Prawa osób, których dane dotyczą

Zgodnie z art. 15–22 RODO, każdej osobie, której dane dotyczą, przysługują następujące prawa:

  1. Prawo dostępu do swoich danych osobowych (art. 15 RODO) — w tym uzyskania kopii.
  2. Prawo sprostowania nieprawidłowych lub niekompletnych danych (art. 16 RODO).
  3. Prawo do usunięcia danych („prawo do bycia zapomnianym"), w zakresie, w jakim przetwarzanie nie jest niezbędne do wywiązania się z obowiązku prawnego ani do ustalenia, dochodzenia lub obrony roszczeń (art. 17 RODO).
  4. Prawo do ograniczenia przetwarzania (art. 18 RODO).
  5. Prawo do przenoszenia danych dostarczonych Administratorowi (art. 20 RODO) — w przypadku przetwarzania na podstawie zgody lub umowy.
  6. Prawo wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21 RODO).
  7. Prawo wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem (art. 7 ust. 3 RODO). Zgodę na Google Analytics można wycofać poprzez wyczyszczenie pamięci cookies w przeglądarce dla domeny ztmizera.pl — przy kolejnej wizycie baner zgody pojawi się ponownie.
  8. Prawo niepodlegania zautomatyzowanym decyzjom, w tym profilowaniu (art. 22 RODO).

Wszelkie wnioski można składać pisemnie na adres siedziby Administratora lub e-mailem na adres [email protected]. Wniosek zostanie rozpatrzony bez zbędnej zwłoki, nie później niż w terminie miesiąca od jego otrzymania (z możliwością przedłużenia o dwa miesiące w uzasadnionych przypadkach — art. 12 ust. 3 RODO).

§7. Prawo wniesienia skargi

Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych:

Urząd Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
uodo.gov.pl

§8. Dobrowolność podania danych

Podanie danych osobowych jest dobrowolne, jednak niezbędne do realizacji celów wskazanych w §3. Niepodanie danych skutkuje brakiem możliwości obsługi zapytania ofertowego. W przypadku analityki opartej na zgodzie (§3 pkt 4) brak zgody nie wpływa na możliwość korzystania z Serwisu — pomiar wówczas działa w trybie zanonimizowanym (Consent Mode v2 – cookieless pings).

§9. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator nie podejmuje wobec użytkowników Serwisu decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływałyby na osobę, której dane dotyczą (art. 22 RODO). W szczególności kalkulator zamówienia oraz wszystkie wyceny mają charakter wyłącznie informacyjny i wymagają akceptacji Administratora.

§10. Pliki cookie i podobne technologie

Serwis wykorzystuje pliki cookie (ciasteczka) — niewielkie pliki tekstowe zapisywane w urządzeniu użytkownika. Pełna lista plików cookie używanych w Serwisie:

Nazwa Cel Czas życia Podstawa
ztm_consent Zapamiętanie wyboru z banera zgody na cookies Bezterminowo (do wyczyszczenia) Niezbędny (art. 173 ust. 3 Prawa Telekomunikacyjnego)
ztm_ft Pierwszy punkt styku (źródło wejścia, kampania) 90 dni Uzasadniony interes (§3 pkt 5)
_ga, _ga_* Identyfikacja użytkownika w Google Analytics 2 lata Zgoda (§3 pkt 4) — tylko po akceptacji w banerze

Użytkownik może w każdej chwili wyłączyć obsługę plików cookie w ustawieniach przeglądarki. Wyłączenie cookies niezbędnych może spowodować niepoprawne działanie Serwisu (m.in. utratę zapamiętanej decyzji w sprawie zgody na cookies analityczne).

§11. Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne mające na celu zapewnienie odpowiedniego poziomu ochrony danych osobowych (art. 32 RODO), w tym:

  • Szyfrowanie transmisji danych protokołem TLS (HTTPS) na całej stronie.
  • Ochronę przed botami w formularzach (Cloudflare Turnstile).
  • Mechanizmy rate limiting chroniące przed atakami spamowymi na formularze.
  • Regularne aktualizacje oprogramowania serwera i aplikacji.
  • Hashowanie adresów IP po stronie dostawcy analityki agregowanej (Umami).

§12. Postanowienia końcowe

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności. Aktualna wersja Polityki jest zawsze dostępna pod adresem ztmizera.pl/polityka-prywatnosci. Data ostatniej aktualizacji widnieje w nagłówku dokumentu.

W sprawach nieuregulowanych w niniejszej Polityce Prywatności stosuje się przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz ustawy z dnia 16 lipca 2004 r. Prawo Telekomunikacyjne.

Niniejszy dokument odzwierciedla rzeczywisty zakres przetwarzania danych osobowych w Serwisie na dzień ostatniej aktualizacji. Ostateczna walidacja zgodności z aktualnym stanem prawnym oraz z indywidualną sytuacją Administratora należy do radcy prawnego wskazanego przez Administratora.