POLITYKA PRYWATNOŚCI SERWISU APTEKA.ONLINE

Data ostatniej aktualizacji: 14 maja 2026 r.

---

§ 1. POSTANOWIENIA OGÓLNE

1. Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych Użytkowników korzystających z serwisu internetowego dostępnego pod adresem https://apteka.online (dalej: „Serwis").

2. Administratorem danych osobowych w zakresie świadczenia usług Serwisu jest apteka.online sp. z o.o. z siedzibą w Elblągu, ul. Powstańców Warszawskich 7/2, 82-300 Elbląg, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Olsztynie, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001187876, NIP: 5783179749, REGON: 542415916 (dalej: „Spółka" lub „Administrator").

3. Kontakt w sprawach związanych z ochroną danych osobowych jest możliwy:

   • drogą elektroniczną: kontakt@apteka.online
   • telefonicznie: 89 616 89 13
   • pisemnie: apteka.online sp. z o.o., ul. Powstańców Warszawskich 7/2, 82-300 Elbląg

4. Administrator dokłada szczególnej staranności w celu ochrony prywatności Użytkowników i przetwarzania ich danych osobowych zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) oraz innymi obowiązującymi przepisami prawa.

5. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności na zasadach określonych w § 14.

---

§ 2. DEFINICJE

Ilekroć w niniejszej Polityce Prywatności mowa o:

1. Administrator – oznacza podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W przypadku Serwisu Administratorami są Spółka oraz Placówka Partnerska w zakresach określonych w § 3.

2. Dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy.

3. Dane szczególnych kategorii (dane wrażliwe) – oznaczają dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Zgodnie z wyrokiem Trybunału Sprawiedliwości UE z dnia 4 października 2024 r. w sprawie C-21/23 (Lindenapotheke), informacje o zakupionych produktach leczniczych w połączeniu z danymi identyfikacyjnymi klienta mogą stanowić dane dotyczące zdrowia.

4. Serwis – oznacza platformę internetową dostępną pod adresem https://apteka.online, prowadzoną przez Spółkę, umożliwiającą Użytkownikom składanie zamówień na produkty oferowane przez Placówkę Partnerską.

5. Użytkownik – oznacza osobę fizyczną korzystającą z Serwisu, w tym osobę posiadającą Konto w Serwisie lub składającą zamówienie bez rejestracji.

6. Placówka Partnerska – oznacza podmiot prowadzący aptekę lub punkt apteczny współpracujący ze Spółką, który realizuje zamówienia złożone przez Użytkowników za pośrednictwem Serwisu. Aktualnie funkcję Placówki Partnerskiej pełni Pharmer Polska sp. z o.o. prowadząca Punkt Apteczny Pharmer.

7. Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

8. RODO – oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

9. Cookies (ciasteczka) – oznaczają małe pliki tekstowe wysyłane przez Serwis i przechowywane na urządzeniu końcowym Użytkownika, służące do ułatwienia korzystania z Serwisu oraz zbierania informacji o sposobie jego wykorzystania.

10. Konto – oznacza indywidualny panel Użytkownika w Serwisie, dostępny po rejestracji i zalogowaniu, umożliwiający korzystanie z funkcjonalności Serwisu.

---

§ 3. WSPÓŁADMINISTRATORZY DANYCH

1. Z uwagi na specyfikę działalności Serwisu, w procesie przetwarzania danych osobowych Użytkowników uczestniczą dwa podmioty pełniące rolę odrębnych administratorów danych osobowych:

Spółka (apteka.online sp. z o.o.)

1. Spółka jest administratorem danych osobowych w zakresie:

   • prowadzenia i obsługi Serwisu,
   • umożliwienia rejestracji i prowadzenia Konta Użytkownika,
   • przetwarzania danych niezbędnych do złożenia zamówienia,
   • przekazania danych do Placówki Partnerskiej w celu realizacji zamówienia,
   • obsługi zapytań i komunikacji z Użytkownikami,
   • prowadzenia działań marketingowych (w tym newslettera),
   • prowadzenia analityki i statystyk Serwisu,
   • dochodzenia lub obrony przed roszczeniami.

2. Spółka nie jest stroną umów sprzedaży produktów leczniczych zawieranych między Użytkownikiem a Placówką Partnerską. Spółka nie przetwarza szczegółowych informacji o konkretnych zamówionych produktach leczniczych w celach innych niż techniczne umożliwienie złożenia zamówienia i przekazania go do Placówki Partnerskiej.

Placówka Partnerska (Pharmer Polska sp. z o.o.)

1. Placówka Partnerska jest administratorem danych osobowych w zakresie:

   • realizacji Umowy Sprzedaży produktów leczniczych i innych produktów,
   • prowadzenia dokumentacji aptecznej zgodnie z przepisami prawa farmaceutycznego,
   • obsługi reklamacji dotyczących zakupionych produktów,
   • wypełniania obowiązków wynikających z przepisów prawa farmaceutycznego,
   • dochodzenia lub obrony przed roszczeniami.

2. Dane kontaktowe Placówki Partnerskiej:

   • Pharmer Polska sp. z o.o., Punkt Apteczny Pharmer
   • Adres: ul. Kopernika 51, 11-135 Lubomino
   • E-mail: lubomino@punktapteczny.online

3. Każdy z administratorów samodzielnie odpowiada za przetwarzanie danych osobowych w zakresie swoich kompetencji i obowiązków określonych powyżej. Użytkownik może realizować swoje prawa wobec każdego z administratorów niezależnie.

---

§ 4. ZAKRES ZBIERANYCH DANYCH

Dane podawane przez Użytkownika

1. W ramach korzystania z Serwisu Użytkownik może podać następujące dane osobowe:

   • imię i nazwisko,
   • adres e-mail,
   • numer telefonu,
   • adres dostawy (ulica, numer domu/lokalu, kod pocztowy, miejscowość),
   • dane do faktury (opcjonalnie): nazwa firmy, NIP, adres siedziby,
   • inne dane podane dobrowolnie w korespondencji z Administratorem.

2. Podanie danych osobowych jest dobrowolne, jednak niezbędne do korzystania z określonych funkcjonalności Serwisu, w szczególności do złożenia zamówienia.

Dane zbierane automatycznie

1. Podczas korzystania z Serwisu automatycznie zbierane są następujące dane:
   • adres IP urządzenia,
   • typ i wersja przeglądarki internetowej,
   • typ urządzenia (komputer, tablet, telefon),
   • system operacyjny,
   • data i czas wizyty w Serwisie,
   • informacje o sposobie korzystania z Serwisu (przeglądane strony, kliknięcia),
   • źródło przejścia do Serwisu,
   • pliki cookies i podobne technologie.

Szczególna ochrona danych o zdrowiu

1. Ważna informacja: Zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z dnia 4 października 2024 r. w sprawie C-21/23 (Lindenapotheke), dane dotyczące zamówionych produktów leczniczych w połączeniu z danymi identyfikacyjnymi Użytkownika mogą stanowić dane dotyczące zdrowia w rozumieniu art. 9 RODO. Dane te podlegają szczególnej ochronie zgodnie z zasadami opisanymi w § 6 niniejszej Polityki.

---

§ 5. CELE I PODSTAWY PRAWNE PRZETWARZANIA

1. Dane osobowe Użytkowników są przetwarzane w następujących celach i na następujących podstawach prawnych:

Newsletter i marketing

1. Wysyłka newslettera oraz innych informacji handlowych drogą elektroniczną wymaga uprzedniej, wyraźnej i dobrowolnej zgody Użytkownika, wyrażonej zgodnie z:

   • art. 6 ust. 1 lit. a RODO (zgoda na przetwarzanie danych osobowych w celu marketingowym),
   • art. 398 ust. 1 ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221): zgoda na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, w tym na przesyłanie informacji handlowej pocztą elektroniczną. Przepis ten od 10 listopada 2024 r. zastąpił uchylony art. 10 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2024 poz. 1513), który uprzednio regulował tę materię,
   • art. 9 ust. 2 lit. a RODO: wyraźna zgoda na przetwarzanie danych mogących ujawniać informacje o stanie zdrowia, w zakresie, w jakim przetwarzanie adresu e-mail w kontekście korzystania z apteki internetowej może zostać uznane za przetwarzanie danych dotyczących zdrowia w rozumieniu wyroku TSUE z 4 października 2024 r. w sprawie C-21/23 (Lindenapotheke).

2. W ramach newslettera Spółka (apteka.online sp. z o.o.) przetwarza wyłącznie adres e-mail Użytkownika (opcjonalnie imię, jeżeli Użytkownik je poda). Spółka nie łączy bazy subskrybentów newslettera z historią zakupów ani z danymi o zamówionych produktach leczniczych.

3. Mając na uwadze wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 4 października 2024 r. w sprawie C-21/23 (Lindenapotheke) oraz komunikat Głównego Inspektora Farmaceutycznego z dnia 30 stycznia 2025 r., Spółka informuje, że Serwis jest apteką internetową, a zgoda na newsletter jest wyrażana w kontekście korzystania z usług apteki internetowej. Zgoda Użytkownika stanowi również, w zakresie, w jakim przetwarzanie adresu e-mail powiązanego z korzystaniem z apteki internetowej mogłoby zostać uznane za przetwarzanie danych dotyczących zdrowia, wyraźną zgodę na przetwarzanie danych dotyczących zdrowia w rozumieniu art. 9 ust. 2 lit. a RODO. Zgoda ta jest odrębna od umowy sprzedaży i jej wycofanie nie wpływa na realizację zamówienia.

4. Użytkownik może w każdej chwili cofnąć zgodę na otrzymywanie newslettera poprzez:

   • kliknięcie linku rezygnacji zamieszczonego w każdej wiadomości newslettera,
   • wysłanie wiadomości e-mail na adres kontakt@apteka.online,
   • zmianę ustawień w Koncie Użytkownika.

5. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem (art. 7 ust. 3 zd. 3 RODO). Po cofnięciu zgody adres e-mail Użytkownika zostaje usunięty z listy subskrybentów newslettera w terminie nie dłuższym niż 7 dni.

6. Niezależnie od usunięcia adresu e-mail z listy subskrybentów, Administrator — w celu wykazania zgodności przetwarzania z art. 7 ust. 1 RODO oraz obrony przed ewentualnymi roszczeniami — prowadzi rejestr zgód marketingowych. Rejestr obejmuje: adres e-mail, datę i źródło udzielenia zgody, wersję i hash (SHA-256) tekstu zgody obowiązującego w chwili jej wyrażenia, a także datę i źródło cofnięcia zgody. Rejestr zgód jest prowadzony jako zbiór odrębny od listy subskrybentów newslettera, niedostępny dla systemu wysyłki wiadomości. Okres przechowywania rejestru to 3 lata od dnia cofnięcia zgody. Podstawą prawną przechowywania rejestru jest art. 6 ust. 1 lit. c RODO w zw. z art. 5 ust. 2 i art. 7 ust. 1 RODO (obowiązek wykazania zgodności) oraz posiłkowo art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora w obronie przed roszczeniami).

---

§ 6. DANE DOTYCZĄCE ZDROWIA (SZCZEGÓLNE KATEGORIE DANYCH)

1. Mając na uwadze wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 4 października 2024 r. w sprawie C-21/23 (Lindenapotheke), Administrator informuje, że informacje o zakupie produktów leczniczych w połączeniu z danymi identyfikacyjnymi Użytkownika mogą stanowić dane dotyczące zdrowia w rozumieniu art. 9 ust. 1 RODO.

2. Przetwarzanie danych dotyczących zamówionych produktów leczniczych odbywa się przez Placówkę Partnerską na podstawie art. 9 ust. 2 lit. h RODO, tj. jest niezbędne do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej lub leczenia, zarządzania systemami i usługami opieki zdrowotnej.

3. Placówka Partnerska przetwarza dane o zamówionych produktach leczniczych pod nadzorem farmaceutycznym, zgodnie z wymogami ustawy z dnia 6 września 2001 r. Prawo farmaceutyczne oraz przepisami wykonawczymi.

4. Spółka przetwarza dane o zamówionych produktach wyłącznie w zakresie technicznie niezbędnym do:

   • umożliwienia złożenia zamówienia w Serwisie,
   • przekazania zamówienia do Placówki Partnerskiej w celu jego realizacji,
   • obsługi procesu płatności.

5. Spółka nie wykorzystuje danych o konkretnych zamówionych produktach leczniczych do celów marketingowych, profilowania ani tworzenia profili zdrowotnych Użytkowników. W szczególności Spółka nie kieruje treści newslettera na podstawie historii zakupów ani nie segmentuje bazy subskrybentów w oparciu o zamówione produkty lecznicze.

5a. Adres e-mail Użytkownika może zostać wykorzystany do przesyłania newslettera wyłącznie na podstawie odrębnej, wyraźnej zgody wyrażonej w dedykowanym checkboxie (w trakcie procesu zakupowego, w Koncie Użytkownika lub w formularzu zapisu na stronie). Sam adres e-mail, w odróżnieniu od danych o zamówionych produktach leczniczych, nie jest wiązany z historią zakupów dla celów marketingowych. Baza subskrybentów newslettera jest prowadzona jako odrębny zbiór danych, technicznie oddzielony od bazy zamówień apteki.

5b. Dla uniknięcia wątpliwości: zgoda na newsletter nie stanowi zgody na przetwarzanie danych o zamówionych produktach leczniczych w celach marketingowych. Takie przetwarzanie jest wyłączone w § 6 ust. 5 i nie może być dokonywane nawet za zgodą Użytkownika, jako sprzeczne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO) oraz zasadą celowości (art. 5 ust. 1 lit. b RODO).

1. Administrator stosuje podwyższone środki bezpieczeństwa w zakresie ochrony danych dotyczących zdrowia, w tym:
   • szyfrowanie transmisji danych,
   • ograniczony dostęp do danych wyłącznie dla uprawnionych osób,
   • pseudonimizację danych tam, gdzie jest to możliwe.

---

§ 7. ODBIORCY DANYCH

1. Dane osobowe Użytkowników mogą być przekazywane następującym kategoriom odbiorców:

Placówka Partnerska

1. Dane niezbędne do realizacji zamówienia są przekazywane Placówce Partnerskiej (Pharmer Polska sp. z o.o.), która staje się odrębnym administratorem tych danych w zakresie realizacji Umowy Sprzedaży.

Operatorzy płatności

1. W celu realizacji płatności elektronicznych dane są przekazywane do operatora płatności PayU S.A. z siedzibą w Poznaniu.

Firmy kurierskie i operatorzy pocztowi

1. W celu dostarczenia zamówienia dane adresowe są przekazywane firmom kurierskim i operatorom pocztowym współpracującym z Placówką Partnerską.

Dostawcy usług IT

1. Dane mogą być przetwarzane przez podmioty świadczące usługi hostingowe, utrzymania infrastruktury IT oraz obsługi technicznej Serwisu na podstawie umów powierzenia przetwarzania danych.

Dostawca usługi newslettera

5a. W celu wysyłki newslettera Spółka korzysta z usług firmy Resend, Inc. (2261 Market Street, #4667, San Francisco, CA 94114, Stany Zjednoczone), będącej procesorem danych w rozumieniu art. 28 RODO. Resend przetwarza wyłącznie adresy e-mail subskrybentów newslettera oraz treści wysyłanych wiadomości. Resend nie otrzymuje żadnych danych o zamówionych produktach leczniczych, danych identyfikacyjnych Użytkownika (poza imieniem, jeżeli zostało podane) ani danych adresowych dostawy.

5b. Spółka zawarła z Resend, Inc. umowę powierzenia przetwarzania danych osobowych (Data Processing Agreement) zgodną z art. 28 RODO. Przekazywanie danych do Stanów Zjednoczonych odbywa się na podstawie decyzji wykonawczej Komisji Europejskiej (UE) 2023/1795 z dnia 10 lipca 2023 r. stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniany w ramach Data Privacy Framework (DPF), do którego Resend, Inc. jest certyfikowany (art. 45 RODO). W przypadku uchylenia decyzji DPF Spółka stosuje standardowe klauzule umowne zatwierdzone przez Komisję (art. 46 ust. 2 lit. c RODO).

5c. Aktualna umowa DPA Resend oraz lista sub-procesorów Resend dostępne są pod adresami: https://resend.com/legal/dpa i https://resend.com/legal/sub-processors. Użytkownik może w każdej chwili zażądać od Spółki informacji o aktualnych procesorach, kontaktując się na adres kontakt@apteka.online.

Dostawcy usług analitycznych

1. W celu analizy ruchu w Serwisie i optymalizacji jego działania korzystamy z następujących narzędzi:

   • Google Analytics (Google Ireland Limited),
   • Hotjar lub Microsoft Clarity (narzędzia do analizy zachowań użytkowników).

   Szczegółowe informacje o przetwarzaniu danych przez te narzędzia znajdują się w § 11 (Pliki cookies).

Media społecznościowe

1. Administrator prowadzi profile w mediach społecznościowych (Facebook, Instagram, LinkedIn). Szczegółowe informacje znajdują się w § 12.

Organy państwowe

1. Dane osobowe mogą być udostępniane uprawnionym organom państwowym na podstawie obowiązujących przepisów prawa, w szczególności:

   • Państwowej Inspekcji Farmaceutycznej,
   • Narodowemu Funduszowi Zdrowia,
   • Prezesowi Urzędu Ochrony Danych Osobowych,
   • organom ścigania i sądom.

2. Administrator nie sprzedaje danych osobowych Użytkowników podmiotom trzecim.

---

§ 8. PRZEKAZYWANIE DANYCH POZA EUROPEJSKI OBSZAR GOSPODARCZY

1. Co do zasady dane osobowe Użytkowników są przechowywane i przetwarzane na serwerach zlokalizowanych na terytorium Europejskiego Obszaru Gospodarczego (EOG).

2. W przypadku korzystania z niektórych narzędzi i procesorów dane mogą być przekazywane do państw spoza EOG, w szczególności do Stanów Zjednoczonych. Dotyczy to między innymi:

   • Google LLC (Google Analytics) — podstawa przekazania: decyzja wykonawcza Komisji (UE) 2023/1795 z dnia 10 lipca 2023 r. w sprawie odpowiedniego stopnia ochrony danych osobowych zapewnianego przez EU-U.S. Data Privacy Framework (art. 45 RODO). Google LLC jest wpisany na listę uczestników DPF prowadzoną przez Departament Handlu Stanów Zjednoczonych;
   • Resend, Inc. (dostawca usługi wysyłki newslettera, patrz § 7) — podstawa przekazania: decyzja wykonawcza Komisji (UE) 2023/1795 (Data Privacy Framework, art. 45 RODO). Resend, Inc. jest certyfikowany w ramach DPF. W razie uchylenia decyzji DPF Spółka stosuje standardowe klauzule umowne zatwierdzone przez Komisję Europejską w decyzji wykonawczej (UE) 2021/914 z dnia 4 czerwca 2021 r. (art. 46 ust. 2 lit. c RODO).

3. W przypadku przekazywania danych poza EOG Administrator zapewnia odpowiedni poziom ochrony danych poprzez:

   • przekazywanie danych do państw, wobec których Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony (art. 45 RODO),
   • stosowanie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO),
   • inne odpowiednie zabezpieczenia przewidziane w art. 46 RODO.

4. Użytkownik ma prawo uzyskać kopię zastosowanych zabezpieczeń lub informację o miejscu ich udostępnienia (art. 13 ust. 1 lit. f RODO), kontaktując się z Administratorem na adres kontakt@apteka.online. Administrator udostępnia taką informację w terminie nie dłuższym niż 14 dni od otrzymania żądania. Aktualna umowa DPA Resend oraz lista sub-procesorów dostępne są pod adresami: https://resend.com/legal/dpa i https://resend.com/legal/sub-processors.

---

§ 9. PRAWA UŻYTKOWNIKÓW

1. Użytkownikowi przysługują następujące prawa związane z przetwarzaniem danych osobowych:

Prawo dostępu do danych (art. 15 RODO)

1. Użytkownik ma prawo uzyskać od Administratora potwierdzenie, czy przetwarza jego dane osobowe, a jeżeli ma to miejsce – prawo do uzyskania dostępu do tych danych oraz informacji o sposobie ich przetwarzania.

Prawo do sprostowania danych (art. 16 RODO)

1. Użytkownik ma prawo żądać niezwłocznego sprostowania dotyczących go danych osobowych, które są nieprawidłowe, oraz uzupełnienia niekompletnych danych.

Prawo do usunięcia danych – „prawo do bycia zapomnianym" (art. 17 RODO)

1. Użytkownik ma prawo żądać usunięcia swoich danych osobowych, jeżeli:

   • dane nie są już niezbędne do celów, dla których zostały zebrane,
   • cofnął zgodę i nie ma innej podstawy prawnej przetwarzania,
   • wniósł sprzeciw i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
   • dane są przetwarzane niezgodnie z prawem.

2. Prawo do usunięcia danych może być ograniczone w zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego (np. prowadzenie dokumentacji aptecznej przez Placówkę Partnerską).

Prawo do ograniczenia przetwarzania (art. 18 RODO)

1. Użytkownik ma prawo żądać ograniczenia przetwarzania danych w przypadkach określonych w art. 18 RODO.

Prawo do przenoszenia danych (art. 20 RODO)

1. Użytkownik ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz prawo przesłać te dane innemu administratorowi, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i w sposób zautomatyzowany.

Prawo do sprzeciwu (art. 21 RODO)

1. Użytkownik ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania jego danych osobowych opartego na uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f RODO), w tym profilowania. W przypadku wniesienia sprzeciwu Administrator zaprzestanie przetwarzania danych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw.

2. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, Użytkownik ma prawo w dowolnym momencie wnieść sprzeciw wobec takiego przetwarzania, a Administrator niezwłocznie zaprzestanie przetwarzania danych w tym celu.

Prawo do cofnięcia zgody (art. 7 ust. 3 RODO)

1. W zakresie, w jakim przetwarzanie danych odbywa się na podstawie zgody, Użytkownik ma prawo w dowolnym momencie cofnąć zgodę. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

Prawo do wniesienia skargi do organu nadzorczego

1. Użytkownik ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl), jeżeli uzna, że przetwarzanie jego danych osobowych narusza przepisy RODO.

Sposób realizacji praw

1. W celu realizacji swoich praw Użytkownik może skontaktować się z Administratorem:

• drogą elektroniczną: kontakt@apteka.online
• pisemnie: apteka.online sp. z o.o., ul. Powstańców Warszawskich 7/2, 82-300 Elbląg

1. Administrator udziela odpowiedzi na żądanie Użytkownika bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od otrzymania żądania. W przypadku skomplikowanych żądań lub dużej liczby żądań termin może zostać przedłużony o kolejne dwa miesiące, o czym Administrator poinformuje Użytkownika.

2. Jeżeli żądanie wpływa drogą elektroniczną, odpowiedź jest udzielana w tej samej formie, chyba że Użytkownik zażąda innej formy.

3. W przypadku żądań kierowanych wobec Placówki Partnerskiej jako odrębnego administratora, Użytkownik powinien skontaktować się bezpośrednio z Placówką Partnerską na adres: lubomino@punktapteczny.online.

---

§ 10. BEZPIECZEŃSTWO DANYCH

1. Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych osobowych, w szczególności:

Środki techniczne

1. Administrator zapewnia:
   • szyfrowanie transmisji danych za pomocą protokołu SSL/TLS,
   • zabezpieczenia serwerowe przed nieautoryzowanym dostępem,
   • systemy antywirusowe i firewalle,
   • regularne aktualizacje oprogramowania,
   • tworzenie kopii zapasowych danych,
   • pseudonimizację i szyfrowanie danych, gdzie jest to uzasadnione.

Środki organizacyjne

1. Administrator zapewnia:
   • dostęp do danych osobowych wyłącznie dla upoważnionych osób,
   • szkolenia personelu z zakresu ochrony danych osobowych,
   • procedury weryfikacji tożsamości przy realizacji żądań Użytkowników,
   • dokumentację procesów przetwarzania danych.

Umowy powierzenia przetwarzania

1. Administrator zawiera umowy powierzenia przetwarzania danych osobowych z podmiotami, którym powierza przetwarzanie danych (np. dostawcy usług IT, hostingu), zapewniając odpowiedni poziom ochrony danych.

Procedury w przypadku naruszenia

1. W przypadku naruszenia ochrony danych osobowych Administrator:
   • bez zbędnej zwłoki, nie później niż w ciągu 72 godzin, zgłasza naruszenie Prezesowi UODO, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych,
   • jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności Użytkowników, bez zbędnej zwłoki zawiadamia o naruszeniu osoby, których dane dotyczą.

---

§ 11. PLIKI COOKIES I TECHNOLOGIE ŚLEDZĄCE

Czym są pliki cookies

1. Pliki cookies (ciasteczka) to małe pliki tekstowe wysyłane przez Serwis i przechowywane na urządzeniu końcowym Użytkownika (komputer, tablet, telefon). Cookies pozwalają na rozpoznanie urządzenia Użytkownika i odpowiednie dostosowanie działania Serwisu.

Rodzaje wykorzystywanych cookies

1. W Serwisie wykorzystywane są następujące rodzaje plików cookies:

Podstawa prawna

1. Pliki cookies niezbędne są stosowane na podstawie art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora w zapewnieniu prawidłowego działania Serwisu).

2. Pliki cookies funkcjonalne, analityczne i marketingowe są stosowane na podstawie zgody Użytkownika (art. 6 ust. 1 lit. a RODO), wyrażonej za pomocą banera cookies wyświetlanego przy pierwszej wizycie w Serwisie.

Narzędzia zewnętrzne

1. W Serwisie mogą być wykorzystywane następujące narzędzia zewnętrzne:

Google Analytics (Google Ireland Limited)

• Cel: analiza ruchu i zachowań Użytkowników w Serwisie
• Dane: adres IP (anonimizowany), dane o urządzeniu, aktywność w Serwisie
• Polityka prywatności: https://policies.google.com/privacy

Hotjar / Microsoft Clarity

• Cel: analiza zachowań użytkowników, mapy cieplne, nagrania sesji
• Dane: anonimowe dane o interakcjach z Serwisem
• Polityka prywatności: https://www.hotjar.com/privacy / https://privacy.microsoft.com/

PayU

• Cel: realizacja płatności elektronicznych
• Dane: dane transakcyjne niezbędne do realizacji płatności
• Polityka prywatności: https://www.payu.pl/polityka-prywatnosci

Vercel Analytics (Vercel Inc.)

• Cel: analiza ruchu i wydajności strony
• Podstawa prawna: zgoda użytkownika (art. 6 ust. 1 lit. a RODO)

Vercel Speed Insights (Vercel Inc.)

• Cel: monitoring wydajności strony
• Podstawa prawna: zgoda użytkownika (art. 6 ust. 1 lit. a RODO)

Zarządzanie cookies

1. Użytkownik może zarządzać ustawieniami cookies poprzez:

   • Baner cookies – przy pierwszej wizycie w Serwisie Użytkownik może wyrazić zgodę na poszczególne kategorie cookies lub odmówić zgody,
   • Ustawienia przeglądarki – każda przeglądarka internetowa umożliwia zarządzanie cookies (akceptowanie, blokowanie, usuwanie). Szczegółowe instrukcje znajdują się w ustawieniach przeglądarki,
   • Ustawienia Konta – zalogowany Użytkownik może zarządzać preferencjami dotyczącymi cookies w ustawieniach Konta.

2. Przy pierwszej wizycie wyświetlany jest baner cookies z opcjami: Akceptuj wszystkie, Tylko niezbędne, Dostosuj preferencje. Preferencje można zmienić w każdej chwili przez przycisk "Preferencje cookies". Zgoda ważna 12 miesięcy.

3. Zablokowanie lub usunięcie cookies niezbędnych może uniemożliwić prawidłowe korzystanie z niektórych funkcjonalności Serwisu.

Odnośniki do instrukcji zarządzania cookies w popularnych przeglądarkach:

• Google Chrome: https://support.google.com/chrome/answer/95647
• Mozilla Firefox: https://support.mozilla.org/pl/kb/ciasteczka
• Microsoft Edge: https://support.microsoft.com/pl-pl/microsoft-edge
• Safari: https://support.apple.com/pl-pl/guide/safari/sfri11471/mac

---

§ 12. MEDIA SPOŁECZNOŚCIOWE

1. Administrator prowadzi profile w następujących serwisach społecznościowych:

   • Facebook: https://www.facebook.com/apteka.online
   • Instagram: https://www.instagram.com/twoja_apteka.online/
   • LinkedIn: https://www.linkedin.com/company/97838167

2. W przypadku interakcji Użytkownika z profilami Administratora w mediach społecznościowych (np. polubienie, komentarz, wiadomość prywatna), dane Użytkownika mogą być przetwarzane zarówno przez Administratora, jak i przez operatora danego serwisu społecznościowego.

3. W odniesieniu do serwisu Facebook i Instagram, Administrator jest współadministratorem danych osobowych wraz z Meta Platforms Ireland Limited w zakresie tzw. statystyk strony (Page Insights).

4. Główna odpowiedzialność za przetwarzanie danych Insights spoczywa na Meta Platforms. Użytkownik może realizować swoje prawa zarówno wobec Administratora, jak i wobec Meta Platforms.

4a. W odniesieniu do serwisu LinkedIn, operatorem serwisu jest LinkedIn Ireland Unlimited Company (Wilton Plaza, Wilton Place, Dublin 2, Irlandia), będący odrębnym administratorem danych w zakresie przetwarzania danych Użytkowników tego serwisu. Administrator przetwarza wyłącznie publiczne dane profilowe Użytkowników wchodzących w interakcję z profilem firmowym Spółki.

1. Dane przetwarzane w mediach społecznościowych:

   • dane publiczne z profilu Użytkownika (nazwa, zdjęcie profilowe),
   • treść interakcji (komentarze, wiadomości),
   • statystyki dotyczące aktywności na profilu Administratora.

2. Cele przetwarzania:

   • prowadzenie działań promocyjnych i informacyjnych,
   • komunikacja z Użytkownikami,
   • analiza statystyk i optymalizacja działań marketingowych.

3. Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora w prowadzeniu działań promocyjnych).

4. Szczegółowe informacje o przetwarzaniu danych przez operatorów serwisów społecznościowych znajdują się w ich politykach prywatności:

   • Meta (Facebook, Instagram): https://www.facebook.com/privacy/policy
   • LinkedIn: https://www.linkedin.com/legal/privacy-policy

---

§ 13. ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI I PROFILOWANIE

1. Administrator nie podejmuje wobec Użytkowników zautomatyzowanych decyzji, w tym decyzji opartych na profilowaniu, które wywoływałyby wobec nich skutki prawne lub w podobny sposób istotnie na nich wpływały.

2. Administrator może stosować profilowanie w celach marketingowych (np. personalizacja treści, rekomendacje produktów), jednak:

   • profilowanie marketingowe wymaga uprzedniej zgody Użytkownika,
   • Użytkownik ma prawo w każdej chwili wnieść sprzeciw wobec profilowania,
   • profilowanie nie wywołuje skutków prawnych ani nie wpływa istotnie na sytuację Użytkownika.

2a. Administrator jednoznacznie wyklucza profilowanie oparte na danych o zamówionych produktach leczniczych, nawet za zgodą Użytkownika, zgodnie z § 6 ust. 5 niniejszej Polityki oraz w związku z wyrokiem TSUE C-21/23 (Lindenapotheke). Profilowanie marketingowe dopuszczalne jest wyłącznie w oparciu o dane behawioralne niezwiązane z historią zakupów leków (np. kliknięcia w newsletterze, odwiedzane kategorie Serwisu z wyłączeniem kategorii produktów leczniczych).

1. W przypadku wprowadzenia zautomatyzowanego podejmowania decyzji w przyszłości, Administrator poinformuje o tym Użytkowników i zapewni możliwość zakwestionowania takiej decyzji oraz uzyskania interwencji ludzkiej.

---

§ 14. ZMIANY POLITYKI PRYWATNOŚCI

1. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności.

2. Zmiany mogą wynikać w szczególności z:

   • zmian w przepisach prawa dotyczących ochrony danych osobowych,
   • zmian w sposobie przetwarzania danych osobowych,
   • wprowadzenia nowych funkcjonalności Serwisu,
   • zmian organizacyjnych po stronie Administratora,
   • zaleceń organów nadzorczych.

3. O istotnych zmianach w Polityce Prywatności Administrator poinformuje Użytkowników poprzez:

   • zamieszczenie informacji w Serwisie,
   • wysłanie wiadomości e-mail na adres podany przez Użytkownika (w przypadku Użytkowników posiadających Konto).

4. Zmieniona Polityka Prywatności wchodzi w życie w terminie wskazanym przez Administratora, nie krótszym niż 14 dni od dnia jej opublikowania.

5. W przypadku niezaakceptowania zmian Użytkownik może usunąć Konto w Serwisie.

---

§ 15. POSTANOWIENIA KOŃCOWE

1. W sprawach nieuregulowanych niniejszą Polityką Prywatności zastosowanie mają przepisy:

   • Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO),
   • Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych,
   • Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
   • Ustawy z dnia 6 września 2001 r. Prawo farmaceutyczne,
   • Kodeksu cywilnego.

2. Niniejsza Polityka Prywatności stanowi integralną część Regulaminu Serwisu apteka.online.

3. Kontakt z Administratorem:

   • apteka.online sp. z o.o.
   • ul. Powstańców Warszawskich 7/2, 82-300 Elbląg
   • E-mail: kontakt@apteka.online
   • Telefon: 89 616 89 13

4. Niniejsza Polityka Prywatności wchodzi w życie z dniem publikacji.

---

apteka.online sp. z o.o.