22 511 53 00

Polityka prywatności

Niniejsza Polityka prywatności określa zasady przetwarzania danych osobowych Użytkowników serwisu internetowego dostępnego pod adresem www.oreco.pl (dalej: „Serwis") oraz wykorzystywania plików cookies i innych technologii śledzących. Dokument ma charakter informacyjny i nie stanowi źródła obowiązków dla osób, których dotyczy.

Przetwarzanie danych osobowych odbywa się zgodnie z:

  • Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO),
  • ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych,
  • ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
  • ustawą z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne,
  • ustawą z dnia 14 czerwca 2024 r. o ochronie sygnalistów (w zakresie zgłoszeń nieprawidłowości).

1. Cele polityki i tożsamość administratora

1.1 Administrator danych osobowych

Administratorem danych osobowych Użytkowników Serwisu jest:

Oreco sp. z o.o. z siedzibą w Żdżarów 71C, 96-500 Sochaczew, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000493416, posiadająca NIP 837 181 49 88 oraz REGON 147077508, o kapitale zakładowym 14.582.300,00 PLN (dalej: „Administrator" lub „Oreco").

Kontakt z Administratorem:

  • adres korespondencyjny: Żdżarów 71C, 96-500 Sochaczew,
  • e-mail: biuro@oreco.pl,
  • telefon: +48 22 511 53 00.

Inspektor Ochrony Danych (IOD):

Administrator wyznaczył Inspektora Ochrony Danych, którym jest Damian Sękulski. Z IOD można skontaktować się we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem:

  • e-mail: iod@oreco.pl,
  • korespondencja pisemna na adres Administratora z dopiskiem „IOD".

1.2 Cele i podstawy prawne przetwarzania

Dane osobowe Użytkowników mogą być przetwarzane w wielu różnych celach — w zależności od tego, z których funkcji Serwisu Użytkownik korzysta, jakich zgód udziela oraz czy nawiązuje z Administratorem relację handlową. Poniższa tabela przedstawia pełen katalog celów wraz z podstawami prawnymi i okresami retencji:

Cel przetwarzaniaPodstawa prawnaOkres przechowywania
a) sprawdzenie zasięgu dostawy na podstawie kodu pocztowegoart. 6 ust. 1 lit. b RODO (czynności poprzedzające zawarcie umowy) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes — pomiar zainteresowania regionami obsługi)dane nie są utrwalane poza sesją przeglądarki
b) obsługa prośby o oddzwonienie złożonej przez formularz callbackart. 6 ust. 1 lit. b RODO (czynności przedumowne) oraz art. 172 Prawa telekomunikacyjnego (kontakt telefoniczny w celach marketingowych)30 dni od zgłoszenia bez nawiązanej relacji handlowej; w razie zawarcia umowy — przez czas jej trwania i kolejne 6 lat (przedawnienie roszczeń, obowiązki księgowe)
c) obsługa zapytań kierowanych przez formularz kontaktowy oraz formularze partnerskie/B2Bart. 6 ust. 1 lit. b RODO oraz art. 6 ust. 1 lit. f RODO (prowadzenie korespondencji)24 miesiące od ostatniego kontaktu, jeśli nie doszło do zawarcia umowy
d) wysyłka newslettera i informacji handlowych drogą elektroniczną (mailing produktowy)art. 6 ust. 1 lit. a RODO (zgoda) oraz art. 10 ustawy o świadczeniu usług drogą elektronicznądo wycofania zgody lub 24 miesiące braku aktywności (czyszczenie listy)
e) marketing bezpośredni produktów i usług własnych Administratora wobec istniejących Klientówart. 6 ust. 1 lit. f RODO (uzasadniony interes, motyw 47 RODO)do wniesienia skutecznego sprzeciwu
f) profilowanie marketingowe oraz remarketing z wykorzystaniem narzędzi Google Analytics 4, Meta Pixel oraz potencjalnie Google Ads i Meta Adsart. 6 ust. 1 lit. a RODO (zgoda wyrażona przez cookie banner)zgodnie z czasem życia plików cookies oraz politykami dostawców narzędzi
g) procesy rekrutacyjneart. 22¹ Kodeksu pracy w zw. z art. 6 ust. 1 lit. c RODO (rekrutacja bieżąca) oraz art. 6 ust. 1 lit. a RODO (dane wykraczające poza zakres ustawowy i przyszłe rekrutacje)do zakończenia rekrutacji powiększone o 6 miesięcy; przyszłe rekrutacje — 24 miesiące lub do wycofania zgody
h) prowadzenie programów lojalnościowych i partnerskichart. 6 ust. 1 lit. b RODO oraz art. 6 ust. 1 lit. a RODOprzez czas uczestnictwa w programie i 6 lat po jego zakończeniu
i) prowadzenie ankiet satysfakcji i badań rynkuart. 6 ust. 1 lit. a RODO (zgoda) oraz art. 6 ust. 1 lit. f RODO (badanie jakości — uzasadniony interes)12 miesięcy w formie zanonimizowanej
j) realizacja umów sprzedaży i przekazywanie danych do platformy B2B sklep.oreco.plart. 6 ust. 1 lit. b RODOprzez czas trwania umowy i 6 lat po jej zakończeniu
k) ustalenie, dochodzenie i obrona roszczeńart. 6 ust. 1 lit. f RODO (uzasadniony interes)do upływu terminów przedawnienia (co do zasady 6 lat)
l) wypełnianie obowiązków księgowych, podatkowych oraz wynikających z przepisów AMLart. 6 ust. 1 lit. c RODOprzez okres wymagany przepisami (co do zasady 5–6 lat)
m) rozpatrywanie zgłoszeń sygnalistów i realizacja obowiązków wynikających z ustawy z 14 czerwca 2024 r.art. 6 ust. 1 lit. c RODO3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze
n) obsługa praw osoby, której dane dotycząart. 6 ust. 1 lit. c RODOprzez okres wymagany przepisami

Aktualnie w Serwisie aktywne są wyłącznie funkcje wskazane w pkt a) i b). Pozostałe cele mają zastosowanie w miarę uruchamiania kolejnych funkcji Serwisu (np. po wdrożeniu formularza kontaktowego, newslettera, sekcji kariery) — w każdym takim przypadku odpowiedni cel zostanie aktywowany dopiero w momencie, gdy Użytkownik samodzielnie przekaże dane przez nową funkcję i — jeśli jest to wymagane — wyrazi odpowiednią zgodę.

1.3 Newsletter i lista mailingowa

W Serwisie udostępniona zostaje funkcja zapisu na newsletter oraz inne listy mailingowe (np. mailing produktowy, oferty sezonowe). Zasady działania newslettera:

a) zapis odbywa się w mechanizmie double opt-in — po wpisaniu adresu e-mail Użytkownik otrzymuje wiadomość weryfikacyjną z linkiem aktywacyjnym i dopiero kliknięcie tego linku potwierdza zgodę, b) każda zgoda dotycząca innego kanału komunikacji (e-mail, SMS, kontakt telefoniczny) wyrażana jest odrębnie, c) zgoda na newsletter nie jest łączona ze zgodą na profilowanie ani z żadnym innym celem przetwarzania, d) zgodę można wycofać w każdym momencie — przez link rezygnacyjny zawarty w każdej wiadomości lub przez kontakt z IOD; wycofanie zgody nie wpływa na zgodność z prawem przetwarzania przed jej wycofaniem, e) w razie braku otwarcia żadnej wiadomości przez 24 miesiące adres jest automatycznie usuwany z listy.

1.4 Profilowanie i remarketing

W Serwisie wykorzystywane są (lub będą wykorzystywane po udzieleniu zgody przez Użytkownika w mechanizmie cookie banner) narzędzia analityki internetowej oraz narzędzia marketingowe, które mogą prowadzić do profilowania w rozumieniu art. 4 pkt 4 RODO, w szczególności:

  • Google Analytics 4 — segmentacja Użytkowników na potrzeby pomiaru ruchu i optymalizacji Serwisu,
  • Meta Pixel — tworzenie grup odbiorców niestandardowych (Custom Audiences) i grup podobnych (Lookalike Audiences) do prowadzenia kampanii reklamowych na Facebook i Instagram,
  • Google Ads / Meta Ads — remarketing wobec Użytkowników, którzy odwiedzili Serwis.

Administrator nie podejmuje wobec Użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na ich sytuację (art. 22 RODO). Użytkownikowi przysługuje prawo wniesienia w każdym momencie sprzeciwu wobec profilowania prowadzonego w celach marketingu bezpośredniego (art. 21 ust. 2–3 RODO).

Szczegółowy opis plików cookies wykorzystywanych do profilowania znajduje się w Polityce cookies.

1.5 Linki do serwisów zewnętrznych

Serwis może zawierać odesłania do witryn zewnętrznych (m.in. platformy B2B sklep.oreco.pl, profili Oreco w mediach społecznościowych — LinkedIn, Facebook, Instagram). Polityka prywatności tych podmiotów oraz zasady przetwarzania danych w ich serwisach są dostępne na ich stronach internetowych. Administrator nie ponosi odpowiedzialności za sposób przetwarzania danych przez operatorów tych zewnętrznych serwisów.

2. Dane Użytkowników, sposoby ich gromadzenia i prawa

2.1 Dane gromadzone biernie

2.1.1 Logi serwera

Serwery, na których działa Serwis, automatycznie zapisują w logach informacje techniczne (m.in. adres IP, typ przeglądarki, system operacyjny, czas wizyty, adres strony, z której Użytkownik został przekierowany). Dane te przetwarzane są na podstawie art. 6 ust. 1 lit. f RODO (uzasadniony interes — zapewnienie bezpieczeństwa Serwisu i diagnostyka błędów) i nie są łączone z konkretnymi Użytkownikami w celach marketingowych.

2.1.2 Google Analytics 4

W Serwisie wykorzystywane jest narzędzie analityki ruchu Google Analytics 4 dostarczane przez Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irlandia), z transferem danych do Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Narzędzie ładowane jest wyłącznie po wyrażeniu przez Użytkownika zgody za pomocą cookie bannera (art. 6 ust. 1 lit. a RODO oraz art. 173 Prawa telekomunikacyjnego). Konfiguracja narzędzia obejmuje:

  • anonimizację adresu IP,
  • wdrożenie mechanizmu Google Consent Mode v2,
  • skrócenie okresu retencji zdarzeń do 14 miesięcy.

Szczegółowe informacje o przetwarzaniu danych przez Google znajdują się pod adresem: https://policies.google.com/privacy.

2.1.3 Meta Pixel

W Serwisie wykorzystywane jest narzędzie marketingowe Meta Pixel dostarczane przez Meta Platforms Ireland Limited (Merrion Road, Dublin 4, Irlandia), z transferem danych do Meta Platforms, Inc. (1601 Willow Road, Menlo Park, CA 94025, USA). Narzędzie ładowane jest wyłącznie po wyrażeniu przez Użytkownika zgody za pomocą cookie bannera. Konfiguracja narzędzia obejmuje:

  • aktywowany tryb Limited Data Use dla Użytkowników z Europejskiego Obszaru Gospodarczego,
  • ograniczenie funkcji Advanced Matching (jeśli aktywna — z hashowaniem danych identyfikujących po stronie klienta algorytmem SHA-256).

Szczegółowe informacje o przetwarzaniu danych przez Meta znajdują się pod adresem: https://www.facebook.com/privacy/policy.

2.1.4 Czcionki internetowe (Google Fonts)

Serwis wykorzystuje rodzinę krojów pisma DM Sans udostępnianą w ramach usługi Google Fonts. Pliki czcionek są pobierane w trakcie publikacji Serwisu i serwowane bezpośrednio z domeny Administratora, w związku z czym przy każdorazowym wyświetleniu strony adres IP Użytkownika nie jest przekazywany do Google. Czcionki nie wymagają wyrażenia zgody przez Użytkownika.

2.2 Dane gromadzone aktywnie

Administrator przetwarza również dane, które Użytkownik samodzielnie przekazuje, korzystając z funkcji Serwisu.

2.2.1 Formularz sprawdzenia zasięgu dostawy

  • Zakres danych: kod pocztowy (format XX-XXX).
  • Cel: weryfikacja, czy podany adres mieści się w obszarze, na którym Oreco świadczy usługi dostawy.
  • Podstawa prawna: art. 6 ust. 1 lit. b oraz art. 6 ust. 1 lit. f RODO.
  • Retencja: kod pocztowy nie jest zapisywany w bazach Administratora; służy wyłącznie do natychmiastowej weryfikacji w trakcie sesji przeglądarki. Anonimowe zdarzenie sprawdzenia (bez identyfikacji Użytkownika) może być rejestrowane wyłącznie do celów statystycznych.

2.2.2 Formularz prośby o oddzwonienie (callback)

  • Zakres danych: numer telefonu Użytkownika (w formacie +48 i 9 cyfr) wraz z wcześniej podanym kodem pocztowym oraz oświadczenie zgody.
  • Cel: kontakt zwrotny w celu obsługi zapytania o produkty i warunki dostawy oraz — po wyrażeniu odrębnej zgody — kierowanie do Użytkownika informacji handlowych.
  • Podstawa prawna: art. 6 ust. 1 lit. b RODO (czynności przedumowne — obsługa zgłoszenia); art. 6 ust. 1 lit. a RODO w związku z art. 172 Prawa telekomunikacyjnego oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną (w zakresie marketingu).
  • Retencja: 30 dni od zgłoszenia bez nawiązanej relacji handlowej; w przypadku zawarcia umowy — przez czas jej trwania powiększony o 6 lat (przedawnienie roszczeń i obowiązki księgowe); zgoda marketingowa — do jej wycofania.

2.2.3 Formularz kontaktowy

  • Zakres danych: imię, adres e-mail, numer telefonu (opcjonalnie), nazwa firmy (opcjonalnie), treść wiadomości.
  • Cel: udzielenie odpowiedzi na zapytanie skierowane przez Użytkownika.
  • Podstawa prawna: art. 6 ust. 1 lit. b oraz art. 6 ust. 1 lit. f RODO (prowadzenie korespondencji).
  • Retencja: 24 miesiące od ostatniego kontaktu, jeśli nie doszło do zawarcia umowy; w razie zawarcia umowy — zgodnie z pkt 2.2.2.

2.2.4 Formularz zapisu na newsletter / listę mailingową

  • Zakres danych: adres e-mail (obowiązkowy), imię (opcjonalnie, do personalizacji), preferencje tematyczne (opcjonalnie).
  • Cel: wysyłka newslettera oraz informacji handlowych.
  • Podstawa prawna: art. 6 ust. 1 lit. a RODO oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną.
  • Mechanizm: double opt-in (potwierdzenie zapisu przez link aktywacyjny w e-mailu weryfikacyjnym).
  • Retencja: do wycofania zgody albo do 24 miesięcy braku otwarcia wiadomości.

2.2.5 Formularz „zostań partnerem" / zapytanie B2B

  • Zakres danych: imię i nazwisko, stanowisko, nazwa firmy, NIP, adres siedziby, e-mail, telefon, kategoria zainteresowania (gastronomia / handel detaliczny), treść zapytania.
  • Cel: rozmowa o nawiązaniu współpracy handlowej B2B.
  • Podstawa prawna: art. 6 ust. 1 lit. b RODO (czynności przedumowne) oraz, w odniesieniu do dodatkowych zgód marketingowych, art. 6 ust. 1 lit. a RODO.
  • Retencja: 24 miesiące od ostatniego kontaktu w przypadku braku zawarcia umowy.

2.2.6 Formularz rekrutacyjny

  • Zakres danych: dane wymagane art. 22¹ Kodeksu pracy (imię, nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia) oraz dodatkowo — wyłącznie za zgodą Kandydata — dane wykraczające poza zakres ustawowy (np. CV ze zdjęciem, klauzula zgody na przyszłe rekrutacje).
  • Cel: prowadzenie procesu rekrutacji na konkretne stanowisko oraz — za odrębną zgodą — uwzględnienie kandydatury w przyszłych rekrutacjach.
  • Podstawa prawna: art. 22¹ Kodeksu pracy w zw. z art. 6 ust. 1 lit. c RODO (dane wymagane przepisami) oraz art. 6 ust. 1 lit. a RODO (dane wykraczające i przyszłe rekrutacje).
  • Retencja: do zakończenia rekrutacji powiększone o 6 miesięcy na obronę roszczeń; w razie zgody na przyszłe rekrutacje — 24 miesiące lub do wycofania zgody.

2.2.7 Ankiety satysfakcji i badania rynku

  • Zakres danych: zmienny, zależny od ankiety; w miarę możliwości w formie zanonimizowanej.
  • Cel: badanie jakości obsługi i preferencji rynkowych.
  • Podstawa prawna: art. 6 ust. 1 lit. a RODO oraz art. 6 ust. 1 lit. f RODO.
  • Retencja: 12 miesięcy w formie umożliwiającej identyfikację, a następnie wyłącznie w formie zanonimizowanej.

2.3 Prawa Użytkownika

W związku z przetwarzaniem danych osobowych Użytkownikowi przysługuje szereg praw szczegółowo opisanych w pkt 6 niniejszej Polityki. W zakresie realizacji praw Użytkownik może kontaktować się bezpośrednio z IOD pod adresem iod@oreco.pl lub korespondencyjnie z Administratorem.

2.4 Wycofanie zgody na marketing i wypis z newslettera

Użytkownik, który wyraził zgodę na otrzymywanie informacji handlowych, może w każdej chwili z niej zrezygnować poprzez:

  • kliknięcie linku rezygnacyjnego znajdującego się w stopce każdej otrzymanej wiadomości,
  • przesłanie żądania na adres iod@oreco.pl lub biuro@oreco.pl,
  • listowne zgłoszenie żądania na adres siedziby Administratora.

Mechanizm wycofania zgody jest tak prosty, jak mechanizm jej wyrażenia (art. 7 ust. 3 RODO).

3. Pliki cookies

Zasady wykorzystywania w Serwisie plików cookies i innych podobnych technologii (m.in. local storage, pixele) zostały szczegółowo opisane w odrębnym dokumencie — Polityce cookies. Cookies analityczne i marketingowe są aktywowane wyłącznie po wyrażeniu przez Użytkownika świadomej i dobrowolnej zgody za pomocą bannera zarządzania zgodami.

4. Zabezpieczenia

Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych odpowiednio do ryzyka oraz kategorii przetwarzanych danych (art. 32 RODO). Środki te obejmują m.in.:

  • szyfrowanie połączeń protokołem TLS,
  • kontrolę dostępu opartą na zasadzie minimalnych uprawnień (least privilege),
  • regularne kopie zapasowe i procedury odtworzeniowe,
  • regularne testy podatności i aktualizacje stosu technologicznego,
  • szkolenia personelu w zakresie ochrony danych,
  • procedury reagowania na naruszenia ochrony danych.

Administrator zawiera z podmiotami przetwarzającymi (procesorami) umowy powierzenia przetwarzania danych osobowych zgodne z art. 28 RODO.

5. Zmiany Polityki prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce prywatności w przypadku zmiany przepisów prawa, rozwoju funkcjonalności Serwisu albo wprowadzenia nowych narzędzi przetwarzania. O istotnych zmianach Użytkownicy zostaną poinformowani przez komunikat w Serwisie z odpowiednim wyprzedzeniem. Każda wersja Polityki jest oznaczona datą wydania i numerem wersji widocznymi na początku dokumentu.

6. Prawa wynikające z RODO

Na podstawie RODO Użytkownikowi przysługują następujące prawa:

  1. Prawo dostępu do danych (art. 15 RODO) — prawo uzyskania potwierdzenia, czy Administrator przetwarza dane Użytkownika oraz uzyskania kopii tych danych.
  2. Prawo do sprostowania danych (art. 16 RODO) — prawo żądania niezwłocznego sprostowania danych nieprawidłowych lub uzupełnienia niekompletnych.
  3. Prawo do usunięcia danych (art. 17 RODO, „prawo do bycia zapomnianym") — prawo żądania usunięcia danych, jeżeli zachodzi jedna z przesłanek wymienionych w RODO.
  4. Prawo do ograniczenia przetwarzania (art. 18 RODO) — prawo żądania ograniczenia przetwarzania w sytuacjach przewidzianych przepisami.
  5. Prawo do przenoszenia danych (art. 20 RODO) — prawo otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przekazania ich innemu administratorowi.
  6. Prawo wniesienia sprzeciwu (art. 21 RODO) — w szczególności wobec przetwarzania danych do celów marketingu bezpośredniego (w tym profilowania), które jest bezwarunkowe.
  7. Prawo wycofania zgody (art. 7 ust. 3 RODO) — w każdym momencie, bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
  8. Prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

Wszystkie wnioski dotyczące realizacji powyższych praw są rozpatrywane bez zbędnej zwłoki, w terminie nieprzekraczającym jednego miesiąca od ich otrzymania (z możliwością przedłużenia do trzech miesięcy ze względu na skomplikowany charakter żądania lub liczbę żądań — w takim przypadku Administrator informuje Użytkownika o przedłużeniu w terminie miesiąca).

7. Kontakt z Administratorem i zgłaszanie nieprawidłowości

We wszelkich sprawach dotyczących przetwarzania danych osobowych prosimy o kontakt:

  • z Inspektorem Ochrony Danych: iod@oreco.pl,
  • z Administratorem: biuro@oreco.pl, +48 22 511 53 00, Żdżarów 71C, 96-500 Sochaczew.

Zasady zgłaszania nieprawidłowości, w tym naruszeń ochrony danych osobowych, oraz prawa sygnalistów uregulowano w odrębnym dokumencie — Procedurze zgłaszania nieprawidłowości.

Pełen zakres informacji wymaganych art. 13 RODO zawiera Obowiązek informacyjny, stanowiący integralną część niniejszej Polityki.

Wersja 1 · Wydanie: 14 maja 2026