22 511 53 00

Obowiązek informacyjny

Wypełniając obowiązek wynikający z art. 13 i art. 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO"), poniżej przedstawiamy informacje dotyczące przetwarzania danych osobowych osób kontaktujących się z Oreco sp. z o.o. oraz korzystających z serwisu www.oreco.pl.

1. Administrator danych osobowych

Administratorem Państwa danych osobowych jest:

Oreco sp. z o.o. z siedzibą w Żdżarów 71C, 96-500 Sochaczew, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000493416, posiadająca NIP 837 181 49 88 oraz REGON 147077508, o kapitale zakładowym 14.582.300,00 PLN, reprezentowana zgodnie z zasadami reprezentacji ujawnionymi w Krajowym Rejestrze Sądowym (dalej: „Administrator" lub „Oreco").

2. Kontakt z Administratorem i Inspektorem Ochrony Danych

Z Administratorem można skontaktować się:

  • listownie: Żdżarów 71C, 96-500 Sochaczew,
  • pocztą elektroniczną: biuro@oreco.pl,
  • telefonicznie: +48 22 511 53 00.

Administrator wyznaczył Inspektora Ochrony Danych, którym jest Damian Sękulski. Z Inspektorem Ochrony Danych można skontaktować się we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem:

  • pocztą elektroniczną: iod@oreco.pl,
  • listownie na adres Administratora z dopiskiem „IOD".

3. Cele i podstawy prawne przetwarzania danych osobowych

Państwa dane osobowe mogą być przetwarzane w jednym lub wielu z poniższych celów — w zależności od tego, w jakim charakterze pozostają Państwo w relacji z Administratorem oraz jakich zgód udzielili Państwo:

a) obsługa zapytań kierowanych przez formularze dostępne w serwisie www.oreco.pl (formularz sprawdzenia zasięgu dostawy, formularz prośby o oddzwonienie, formularz kontaktowy, formularz partnerski/B2B) oraz przez bezpośrednie kanały komunikacji (e-mail, telefon) — na podstawie art. 6 ust. 1 lit. b RODO (czynności poprzedzające zawarcie umowy) oraz art. 6 ust. 1 lit. f RODO (prowadzenie korespondencji);

b) zawarcie i wykonanie umowy sprzedaży lub dystrybucji produktów spożywczych oraz przekazywanie danych do platformy B2B sklep.oreco.pl — na podstawie art. 6 ust. 1 lit. b RODO;

c) marketing bezpośredni produktów i usług własnych Administratora wobec dotychczasowych Klientów — na podstawie art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora, zgodnie z motywem 47 RODO);

d) wysyłka newslettera i informacji handlowych drogą elektroniczną (mailing produktowy, listy mailingowe) — na podstawie art. 6 ust. 1 lit. a RODO oraz art. 10 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną;

e) profilowanie marketingowe i remarketing z wykorzystaniem narzędzi Google Analytics 4, Meta Pixel oraz potencjalnie Google Ads i Meta Ads — na podstawie art. 6 ust. 1 lit. a RODO (zgoda wyrażona za pośrednictwem bannera zgody na cookies);

f) prowadzenie procesów rekrutacyjnych — na podstawie art. 22¹ Kodeksu pracy w związku z art. 6 ust. 1 lit. c RODO (rekrutacja bieżąca) oraz art. 6 ust. 1 lit. a RODO (dane wykraczające poza zakres ustawowy i przyszłe rekrutacje);

g) prowadzenie programów lojalnościowych i partnerskich oraz ankiet satysfakcji — na podstawie art. 6 ust. 1 lit. a oraz lit. f RODO;

h) ustalenie, dochodzenie i obrona roszczeń wynikających z prowadzonej działalności — na podstawie art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora);

i) wypełnianie obowiązków księgowych, podatkowych i wynikających z przepisów AML — na podstawie art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego);

j) rozpatrywanie zgłoszeń sygnalistów zgodnie z ustawą z 14 czerwca 2024 r. o ochronie sygnalistów — na podstawie art. 6 ust. 1 lit. c RODO;

k) realizacja praw osób, których dane dotyczą oraz obsługa korespondencji z organami publicznymi — na podstawie art. 6 ust. 1 lit. c RODO.

Administrator nie podejmuje wobec Państwa decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na Państwa sytuację (art. 22 RODO). Profilowanie marketingowe (Google Analytics 4, Meta Pixel) ma charakter wyłącznie statystyczno-marketingowy. Mają Państwo prawo w każdym momencie wnieść sprzeciw wobec profilowania marketingowego.

4. Odbiorcy danych osobowych

Państwa dane osobowe mogą być przekazywane następującym kategoriom odbiorców:

a) pracownikom i współpracownikom Administratora upoważnionym do przetwarzania danych w zakresie wynikającym z ich obowiązków służbowych — wyłącznie zgodnie z zasadą minimalnych uprawnień;

b) podmiotom przetwarzającym dane na zlecenie Administratora (procesorom), z którymi Administrator zawarł umowy powierzenia przetwarzania danych zgodne z art. 28 RODO, w szczególności:

  • dostawca hostingu Serwisu (Vercel Inc., USA, lub inny dostawca — wybór będzie aktualizowany w niniejszej informacji),
  • Google Ireland Limited oraz Google LLC — w zakresie usług Google Analytics 4, Google Tag Manager oraz Google Ads (w miarę uruchamiania),
  • Meta Platforms Ireland Limited oraz Meta Platforms, Inc. — w zakresie usług Meta Pixel oraz Meta Ads,
  • dostawca usług e-mail marketing (ESP) i CRM — np. Mailchimp, Brevo, GetResponse, HubSpot, Klaviyo lub inny — informacja zostanie zaktualizowana po wyborze konkretnego dostawcy,
  • dostawca platformy do prowadzenia ankiet — opcjonalnie,
  • dostawca platformy rekrutacyjnej (ATS) — opcjonalnie,
  • dostawca platformy B2B / sklepu internetowego sklep.oreco.pl,
  • dostawca poczty firmowej i pakietów biurowych (Microsoft 365 lub Google Workspace),
  • zewnętrzny administrator infrastruktury IT i sieci komputerowych,
  • operatorzy płatności (w przypadku obsługi e-commerce — m.in. Przelewy24, PayU, Stripe),
  • firmy kurierskie i transportowe — w zakresie obsługi dostawy zamówień;

c) innym odbiorcom:

  • kancelariom prawnym, radcom prawnym i adwokatom obsługującym Administratora,
  • biurom rachunkowym i podmiotom prowadzącym audyt,
  • ubezpieczycielom,
  • organom publicznym (m.in. organom administracji skarbowej, ZUS, Prezesowi UODO, sądom, organom ścigania) — w zakresie wymaganym przez przepisy prawa.

5. Przekazywanie danych poza Europejski Obszar Gospodarczy

W związku z korzystaniem z usług dostawców mających siedziby spółek dominujących w Stanach Zjednoczonych (m.in. Vercel Inc., Google LLC, Meta Platforms, Inc., a w przyszłości możliwy dostawca CRM/ESP) Państwa dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy. Podstawą transferu są:

  • decyzja wykonawcza Komisji Europejskiej 2023/1795 z 10 lipca 2023 r. stwierdzająca odpowiedni stopień ochrony danych osobowych zapewnianej przez Stany Zjednoczone w ramach EU–US Data Privacy Framework — w odniesieniu do dostawców, którzy przystąpili do tego programu (m.in. Google LLC i Meta Platforms, Inc.),
  • standardowe klauzule umowne zatwierdzone decyzją wykonawczą Komisji (UE) 2021/914 z 4 czerwca 2021 r. — jako mechanizm zapasowy (art. 46 ust. 2 lit. c RODO).

Mają Państwo prawo otrzymać od Administratora kopię stosowanych zabezpieczeń, zwracając się z takim żądaniem do Inspektora Ochrony Danych.

6. Okres przechowywania danych osobowych

Państwa dane osobowe są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane, a po jego zakończeniu — przez okres wynikający z przepisów prawa i interesów Administratora w zakresie dochodzenia i obrony roszczeń. W szczególności:

a) dane przekazane przez formularz prośby o oddzwonienie (callback) — 30 dni od zgłoszenia, jeżeli nie doszło do nawiązania relacji handlowej; w przypadku zawarcia umowy — przez czas jej trwania powiększony o 6 lat (przedawnienie roszczeń + obowiązki księgowe);

b) dane z formularzy kontaktowych i partnerskich B2B — 24 miesiące od ostatniego kontaktu, jeśli nie doszło do zawarcia umowy;

c) dane przetwarzane w celach marketingowych i newslettera (na podstawie zgody) — do wycofania zgody albo do 24 miesięcy braku aktywności po stronie odbiorcy;

d) dane z procesów rekrutacyjnych — do zakończenia rekrutacji powiększone o 6 miesięcy (obrona przed ewentualnymi roszczeniami); w razie zgody na uwzględnienie w przyszłych rekrutacjach — przez 24 miesiące lub do wycofania zgody;

e) dane przetwarzane na potrzeby księgowe i podatkowe — przez okres 5–6 lat wynikający z przepisów ustawy o rachunkowości i Ordynacji podatkowej;

f) dane przetwarzane w związku ze zgłoszeniami sygnalistów — przez 3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze (art. 29 ustawy z 14 czerwca 2024 r.);

g) dane przetwarzane na podstawie uzasadnionego interesu Administratora — do czasu wniesienia skutecznego sprzeciwu albo upływu okresu przedawnienia roszczeń.

7. Prawa osoby, której dane dotyczą

W związku z przetwarzaniem przez Administratora Państwa danych osobowych przysługują Państwu następujące prawa:

  1. prawo dostępu do danych (art. 15 RODO) — uzyskania potwierdzenia, czy Państwa dane są przetwarzane oraz otrzymania ich kopii;
  2. prawo do sprostowania danych (art. 16 RODO) — żądania niezwłocznego sprostowania danych nieprawidłowych lub uzupełnienia niekompletnych;
  3. prawo do usunięcia danych (art. 17 RODO, „prawo do bycia zapomnianym") — w sytuacjach wskazanych w przepisach;
  4. prawo do ograniczenia przetwarzania (art. 18 RODO);
  5. prawo do przenoszenia danych (art. 20 RODO) — otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego i przekazania ich innemu administratorowi;
  6. prawo wniesienia sprzeciwu (art. 21 RODO) wobec przetwarzania danych na podstawie uzasadnionego interesu Administratora oraz bezwarunkowy sprzeciw wobec przetwarzania danych w celach marketingu bezpośredniego, w tym profilowania;
  7. prawo wycofania zgody w dowolnym momencie (art. 7 ust. 3 RODO) — bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem;
  8. prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, https://www.uodo.gov.pl).

W celu skorzystania z powyższych praw prosimy o kontakt z Inspektorem Ochrony Danych pod adresem iod@oreco.pl albo listownie na adres Administratora.

8. Informacja o wymogu podania danych

Podanie danych osobowych jest dobrowolne, jednak ich niepodanie w zakresie wymaganym do realizacji konkretnego celu może uniemożliwić skontaktowanie się z Państwem, obsługę zapytania, zawarcie umowy, świadczenie newslettera czy udział w procesie rekrutacyjnym. W przypadku danych zbieranych na podstawie obowiązków prawnych (m.in. art. 22¹ Kodeksu pracy, przepisy księgowe i podatkowe) — ich podanie jest wymagane przepisami prawa.

9. Dokumenty powiązane

Niniejszy obowiązek informacyjny powinien być czytany łącznie z:

Wersja 1 · Wydanie: 14 maja 2026