Polityka prywatności / Privacy Policy

Ostatnia aktualizacja: 2026-06-04 (v2)

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych oraz wykorzystywania plików cookies w sklepie internetowym sparkbiom.pl, prowadzonym przez:

Spark-Tech sp. z o.o.
Rynek Główny 28, 31-010 Kraków, Polska
NIP: 6772391908 · REGON: 362273329 · KRS: 0000571898
E-mail: office@spark-tech.eu

Administrator przetwarza dane zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO”), a w odniesieniu do osób mających miejsce zwykłego pobytu w Zjednoczonym Królestwie — również zgodnie z UK GDPR.

1. Administrator danych osobowych

Administratorem danych osobowych („Administrator”) jest Spark-Tech sp. z o.o. z siedzibą w Krakowie. Możesz skontaktować się z Administratorem pod adresem: kontakt@sparkbiom.pl.

2. Cele i podstawy przetwarzania danych

2.1. Realizacja zamówień i obsługa konta klienta. Podstawy prawne: art. 6 ust. 1 lit. b RODO (wykonanie umowy), art. 6 ust. 1 lit. c RODO (obowiązki prawne, np. księgowe). Zakres danych: imię, nazwisko, adres, e-mail, telefon, dane płatności, historia zamówień.

2.2. Rozliczenia księgowe i podatkowe. Podstawa prawna: art. 6 ust. 1 lit. c RODO. Zakres danych: dane z faktur i dokumentacji sprzedażowej.

2.3. Kontakt e-mailowy lub poprzez formularz. Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes – obsługa zapytania).

2.4. Newsletter i marketing e-mailowy. Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda użytkownika). Zakres danych: imię, e-mail, preferencje marketingowe. Użytkownik może w każdej chwili wycofać zgodę. Zapis do newslettera odbywa się poprzez formularz na stronie; subskrybent wyraża zgodę poprzez zaznaczenie checkboxa i kliknięcie przycisku zapisu. Administrator rejestruje datę, godzinę oraz adres IP zapisu jako dowód udzielonej zgody. Dostawca systemu wysyłki: Listmonk, hostowany na serwerze Spark-Tech sp. z o.o. pod adresem newsletter.sparkbiom.cloud.

2.5. Cele marketingowe, statystyczne i analityczne. Podstawa prawna: art. 6 ust. 1 lit. f RODO. Zakres danych: zachowania na stronie, identyfikatory plików cookie, adres IP, dane o urządzeniu.

2.6. Program Partnerski (SliceWP). Przetwarzamy dane Partnerów: imię, nazwisko, e-mail, ID użytkownika, statystyki kliknięć i sprzedaży, numer rachunku bankowego, adres IP. Cele: realizacja Programu Partnerskiego, przypisanie sprzedaży, wypłata prowizji, rozliczenia księgowe, zabezpieczenie przed nadużyciami. Podstawy prawne: art. 6 ust. 1 lit. b, c oraz f RODO.

3. Dane dotyczące zdrowia (kategorie szczególne) i architektura ochrony danych pacjenta

SPARK-TECH działa jako laboratorium wykonujące diagnostykę mikrobiomu. Świadczenie tej usługi wiąże się z przetwarzaniem danych dotyczących zdrowia, które stanowią szczególną kategorię danych osobowych w rozumieniu art. 9 RODO. Przetwarzanie odbywa się na podstawie:

• art. 9 ust. 2 lit. h RODO — przetwarzanie do celów diagnostyki medycznej oraz świadczenia opieki zdrowotnej, na podstawie przepisów prawa i w związku z wykonywaniem działalności diagnostyki laboratoryjnej;
• art. 9 ust. 2 lit. a RODO — wyraźna zgoda osoby badanej, wyrażona w formularzu „Zlecenie badania diagnostycznego”.

Zasada minimalizacji i rozdzielenia danych. Sposób organizacji usługi został zaprojektowany tak, aby ograniczyć przetwarzanie danych identyfikujących pacjenta:

• Sklep / zamówienie: w sklepie internetowym podawane są wyłącznie zwykłe dane osobowe niezbędne do realizacji zamówienia i wysyłki zestawu (imię, nazwisko, adres dostawy, e-mail, telefon, dane płatności). Osoba składająca zamówienie nie musi być osobą badaną (może to być np. rodzic, opiekun lub partner). Na etapie sklepu nie są zbierane dane medyczne ani dane identyfikujące pacjenta dla celów diagnostycznych.
• Identyfikacja pacjenta — wyłącznie papierowo. Dane identyfikujące osobę badaną (w tym numer PESEL lub numer dokumentu tożsamości) pacjent podaje samodzielnie w papierowym formularzu „Zlecenie badania diagnostycznego” dołączonym do zestawu i odsyłanym wraz z próbką. Prowadzenie takiej dokumentacji jest wymagane przepisami prawa dotyczącymi działalności laboratoryjnej i dokumentacji medycznej. Dokumentacja identyfikująca pacjenta przechowywana jest w postaci papierowej, z ograniczonym dostępem.
• Wywiad kliniczny — anonimowo. Pacjent wypełnia wywiad medyczny poprzez indywidualny, anonimowy link. W wywiadzie nie są podawane dane osobowe — dane wywiadu są powiązane z badaniem wyłącznie poprzez identyfikator zlecenia, a nie poprzez tożsamość pacjenta.
• Wynik badania. Raport jest udostępniany wyłącznie w formie elektronicznej jako plik PDF zabezpieczony hasłem stanowiącym numer PESEL lub numer dokumentu pacjenta podany w zleceniu. Dzięki temu treść wyniku jest dostępna wyłącznie dla osoby znającej ten numer.

Okres przechowywania danych medycznych: dokumentacja związana z wykonaną diagnostyką (w tym zlecenie badania i wynik) przechowywana jest przez okres wymagany przepisami o dokumentacji medycznej (co do zasady 20 lat), o ile przepisy szczególne nie stanowią inaczej.

4. Wersja zagraniczna Usługi (UE + Wielka Brytania) i przekazywanie danych

Dla pacjentów spoza Polski (państwa członkowskie Unii Europejskiej oraz Zjednoczone Królestwo) badanie jest wykonywane w laboratorium Administratora w Polsce, a próbka jest odsyłana przez pacjenta zgodnie z instrukcją dołączoną do zestawu. W związku z Wersją zagraniczną:

• UE → Polska: przekazywanie danych odbywa się w obrębie Europejskiego Obszaru Gospodarczego i nie wymaga dodatkowych zabezpieczeń transferowych.
• Zjednoczone Królestwo → Polska: przekazywanie danych między UK a EOG odbywa się na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (decyzja adekwatności dla UK). Wobec pacjentów z UK Administrator wykonuje obowiązki również na podstawie UK GDPR. Status decyzji adekwatności może podlegać aktualizacji — Administrator monitoruje jego obowiązywanie.

5. Kategorie danych przetwarzanych przez Administratora

W zależności od sposobu korzystania z serwisu możemy przetwarzać: dane identyfikacyjne (imię, nazwisko), dane kontaktowe (adres, e-mail, telefon), dane logowania i identyfikatory konta, dane transakcyjne i płatnicze, dane adresowe do wysyłki, dane z plików cookie i technologii śledzących, dane Partnerów afiliacyjnych, korespondencję z Administratorem, adres e-mail subskrybentów newslettera (oraz datę i godzinę zapisu), a w zakresie diagnostyki — dane dotyczące zdrowia oraz dane identyfikujące pacjenta na zasadach opisanych w pkt 3.

6. Odbiorcy danych

Dane mogą być przekazywane podmiotom współpracującym z Administratorem:

• firmie hostingowej (dhosting.pl);
• operatorom płatności: Przelewy24 (oraz obsługiwane przez niego metody, m.in. Google Pay, BLIK);
• dostawcy systemu fakturowania (Fakturownia);
• firmom kurierskim i logistycznym (dla wysyłki krajowej m.in. InPost; dla Wersji zagranicznej — przewoźnik wybrany przez pacjenta do odesłania próbki);
• dostawcy usługi podpowiedzi adresu (autouzupełnianie adresu na checkoucie), jeśli jest aktywny;
• firmie księgowej;
• systemowi e-mail marketingu / newsletter (Listmonk — własny serwer Administratora);
• dostawcom narzędzi analitycznych (np. Google Analytics);
• dostawcy systemu afiliacyjnego (SliceWP).

Wszystkie podmioty przetwarzają dane zgodnie z umową powierzenia lub własną polityką RODO, jeśli działają jako administratorzy. Poza przypadkami opisanymi w pkt 4 Administrator nie przekazuje danych poza EOG, chyba że zapewnione są odpowiednie zabezpieczenia zgodne z RODO.

7. Okres przechowywania danych

• dane zamówień – przez 5 lat zgodnie z przepisami podatkowymi;
• dokumentacja diagnostyczna i dane dotyczące zdrowia – zgodnie z pkt 3 (co do zasady 20 lat);
• dane konta klienta – do czasu usunięcia konta;
• dane z formularza kontaktowego – przez 12 miesięcy;
• dane newsletterowe – do momentu wycofania zgody;
• dane Partnerów afiliacyjnych – przez okres współpracy oraz okres wymagany ustawowo;
• pliki cookie – zgodnie z ich cyklem życia lub do czasu ich usunięcia przez użytkownika.

8. Twoje prawa

Użytkownik ma prawo do: dostępu do danych, sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania, przeniesienia danych, wniesienia sprzeciwu, wycofania zgody w dowolnym momencie (bez wpływu na zgodność wcześniejszego przetwarzania) oraz wniesienia skargi do organu nadzorczego — w Polsce do Prezesa UODO, a w przypadku osób z UK do Information Commissioner’s Office (ICO). W celu realizacji praw skontaktuj się: kontakt@sparkbiom.pl.

9. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne, m.in.: szyfrowanie SSL, zabezpieczenia serwera, ograniczenia dostępu do danych, regularne aktualizacje systemów, procesy minimalizacji danych, zabezpieczenie raportów PDF hasłem (pkt 3) oraz przechowywanie dokumentacji identyfikującej pacjenta w postaci papierowej z ograniczonym dostępem. Dane nie są profilowane w sposób wywołujący skutki prawne wobec użytkownika.

10. Pliki cookies i technologie śledzące

10.1. Rodzaje cookies: a) techniczne (niezbędne) — art. 6 ust. 1 lit. f RODO; b) analityczne i statystyczne — zgoda; c) marketingowe — zgoda; d) afiliacyjne (SliceWP) — zgoda (ePrivacy).

10.2. Zarządzanie zgodami: przez ustawienia przeglądarki, baner zgód na stronie lub usunięcie plików cookie.

11. Zmiany Polityki Prywatności

Administrator może aktualizować Politykę Prywatności w przypadku zmiany przepisów prawa, wprowadzenia nowych funkcjonalności lub modyfikacji procesów przetwarzania danych. O zmianach poinformujemy poprzez publikację nowej wersji na stronie. Niniejsza Polityka jest udostępniana w języku polskim oraz angielskim; w razie rozbieżności wersja polska ma charakter rozstrzygający.

12. Kontakt

W sprawach dotyczących danych osobowych:
Spark-Tech sp. z o.o.
E-mail: office@spark-tech.eu · kontakt@sparkbiom.pl

Last updated: 2026-06-04 (v2)

This Privacy Policy sets out how personal data is processed and how cookies are used in the sparkbiom.pl online store, operated by:

Spark-Tech sp. z o.o.
Rynek Główny 28, 31-010 Kraków, Poland
VAT (NIP): 6772391908 · REGON: 362273329 · KRS: 0000571898
E-mail: office@spark-tech.eu

The Controller processes data in accordance with Regulation (EU) 2016/679 (“GDPR”) and, for individuals habitually resident in the United Kingdom, also in accordance with the UK GDPR.

1. Data Controller

The Controller is Spark-Tech sp. z o.o., with its registered office in Kraków, Poland. You can contact the Controller at: kontakt@sparkbiom.pl.

2. Purposes and legal bases of processing

2.1. Order fulfilment and customer account. Legal bases: Art. 6(1)(b) GDPR (performance of a contract), Art. 6(1)(c) GDPR (legal obligations, e.g. accounting). Data: name, surname, address, e-mail, phone, payment data, order history.

2.2. Accounting and tax settlements. Legal basis: Art. 6(1)(c) GDPR. Data: invoice and sales documentation.

2.3. Contact by e-mail or contact form. Legal basis: Art. 6(1)(f) GDPR (legitimate interest – handling enquiries).

2.4. Newsletter and e-mail marketing. Legal basis: Art. 6(1)(a) GDPR (consent). Data: name, e-mail, marketing preferences. Consent can be withdrawn at any time. The date, time and IP address of sign-up are recorded as proof of consent. Sending system: Listmonk, hosted on Spark-Tech’s own server at newsletter.sparkbiom.cloud.

2.5. Marketing, statistical and analytical purposes. Legal basis: Art. 6(1)(f) GDPR. Data: on-site behaviour, cookie identifiers, IP address, device data.

2.6. Affiliate Programme (SliceWP). Partner data: name, surname, e-mail, user ID, click and sales statistics, bank account number, IP address. Legal bases: Art. 6(1)(b), (c) and (f) GDPR.

3. Health data (special category) and patient data-protection architecture

SPARK-TECH operates as a laboratory performing microbiome diagnostics. Providing this service involves processing health data, a special category of personal data under Art. 9 GDPR. Processing is based on:

• Art. 9(2)(h) GDPR — processing for the purposes of medical diagnosis and the provision of healthcare, under applicable law and in connection with laboratory-diagnostics activity;
• Art. 9(2)(a) GDPR — the explicit consent of the tested individual, given on the “Diagnostic test order” form.

Data minimisation and separation. The service is designed to limit the processing of patient-identifying data:

• Store / order: the online store collects only ordinary personal data needed to fulfil the order and ship the kit (name, surname, delivery address, e-mail, phone, payment data). The person placing the order need not be the tested individual (it may be, e.g., a parent, guardian or partner). At the store stage no medical data and no patient-identifying data for diagnostic purposes are collected.
• Patient identification — on paper only. Data identifying the tested individual (including the PESEL number or ID document number) is provided by the patient on the paper “Diagnostic test order” form included in the kit and returned with the sample. Keeping such records is required by law governing laboratory activity and medical documentation. Patient-identifying documentation is stored in paper form with restricted access.
• Clinical questionnaire — anonymous. The patient completes the medical questionnaire via an individual, anonymous link. No personal data is entered in the questionnaire — its answers are linked to the test only by an order identifier, not by patient identity.
• Test result. The report is provided electronically only, as a PDF file password-protected with the PESEL or ID document number given on the order. The content is therefore accessible only to a person who knows that number.

Retention of medical data: documentation related to the diagnostics performed (including the order form and the result) is kept for the period required by medical-documentation law (as a rule, 20 years), unless specific provisions state otherwise.

4. International version of the Service (EU + United Kingdom) and data transfers

For patients outside Poland (EU Member States and the United Kingdom) the test is performed at the Controller’s laboratory in Poland, and the sample is returned by the patient following the instructions included in the kit. In relation to the international version:

• EU → Poland: data transfer takes place within the European Economic Area and requires no additional transfer safeguards.
• United Kingdom → Poland: transfers between the UK and the EEA rely on the European Commission’s adequacy decision for the UK. For UK patients the Controller also fulfils obligations under the UK GDPR. The status of the adequacy decision may be updated — the Controller monitors its validity.

5. Categories of data processed

Depending on how you use the service we may process: identification data (name, surname), contact data (address, e-mail, phone), login data and account identifiers, transactional and payment data, shipping address data, cookie and tracking data, affiliate-partner data, correspondence with the Controller, newsletter subscribers’ e-mail (and sign-up date/time), and — for diagnostics — health data and patient-identifying data as described in section 3.

6. Data recipients

Data may be shared with the Controller’s service providers:

• hosting provider (dhosting.pl);
• payment operators: Przelewy24 (and the methods it supports, incl. Google Pay, BLIK);
• invoicing system provider (Fakturownia);
• courier and logistics companies (for domestic shipping, e.g. InPost; for the international version — the carrier chosen by the patient to return the sample);
• address-suggestion (autocomplete) provider at checkout, where active;
• accounting firm;
• newsletter / e-mail system (Listmonk — Controller’s own server);
• analytics providers (e.g. Google Analytics);
• affiliate-system provider (SliceWP).

All entities process data under a data-processing agreement or their own GDPR policy where they act as controllers. Apart from the cases described in section 4, the Controller does not transfer data outside the EEA unless appropriate GDPR safeguards are in place.

7. Data retention

• order data – 5 years under tax law;
• diagnostic documentation and health data – per section 3 (as a rule, 20 years);
• customer account data – until the account is deleted;
• contact-form data – 12 months;
• newsletter data – until consent is withdrawn;
• affiliate-partner data – for the cooperation period and the statutory period;
• cookies – per their lifecycle or until deleted by the user.

8. Your rights

You have the right to: access, rectification, erasure (“right to be forgotten”), restriction of processing, data portability, objection, withdrawal of consent at any time (without affecting prior lawful processing), and to lodge a complaint with a supervisory authority — in Poland the President of the UODO, and for individuals in the UK the Information Commissioner’s Office (ICO). To exercise your rights, contact: kontakt@sparkbiom.pl.

9. Data security

The Controller applies appropriate technical and organisational measures, including: SSL encryption, server safeguards, restricted data access, regular system updates, data-minimisation processes, password protection of PDF reports (section 3), and storage of patient-identifying documentation in paper form with restricted access. Data is not profiled in a way that produces legal effects for the user.

10. Cookies and tracking technologies

10.1. Cookie types: a) technical (essential) — Art. 6(1)(f) GDPR; b) analytical/statistical — consent; c) marketing — consent; d) affiliate (SliceWP) — consent (ePrivacy).

10.2. Managing consent: via browser settings, the on-site consent banner, or by deleting cookies.

11. Changes to this Privacy Policy

The Controller may update this Policy where the law changes, new functionality is introduced, or processing operations are modified. Updates are published as a new version on the website. This Policy is provided in Polish and English; in the event of any discrepancy, the Polish version prevails.

12. Contact

For data-protection matters:
Spark-Tech sp. z o.o.
E-mail: office@spark-tech.eu · kontakt@sparkbiom.pl