20% ZNIŻKI NA WSZYSTKO Bezpłatna dostawa od 325 zł Masz ochotę na 10% zniżki? Otrzymasz ją oraz wiele wyjątkowych nagród, gdy dołączysz do Sparks Nowość: marka Jaeger już jest
Pomoc
Pomoc
Jakie są dostępne opcje dostawy?
Jaka jest polityka zwrotu towaru i zwrotu pieniędzy?
Kiedy otrzymam zwrot pieniędzy?
Potrzebujesz pomocy?
Bezpłatna dostawa do domu przy zamówieniach o wartości powyżej 325 zł |Pomoc i wsparcie |Wszystkie cła opłacone

Polityka prywatności klientów M&S

Niniejsza Polityka prywatności została zaktualizowana w celu zapewnienia szczegółowych informacji na temat sposobu przetwarzania danych osobowych użytkowników. Główne zmiany obejmują:

  • uszczegółowienie informacji dotyczących rodzajów gromadzonych danych osobowych oraz sposobów ich wykorzystywania,

  • rozszerzenie informacji o partnerach wspierających świadczenie usług na rzecz użytkowników, a także o podmiotach oferujących usługi pod marką M&S.

Wprowadzone zmiany nie wpływają na prawa użytkowników ani na zobowiązanie do ochrony ich prywatności.

M&S zobowiązuje się do poszanowania prawa do prywatności oraz do przestrzegania obowiązujących przepisów o ochronie danych osobowych. Niniejsza Polityka prywatności określa rodzaje gromadzonych danych osobowych, sposoby ich wykorzystywania, metody ochrony prywatności, a także prawa przysługujące użytkownikom w odniesieniu do ich danych osobowych. Niniejsza Polityka ma zastosowanie niezależnie od tego, czy użytkownicy odwiedzają sklepy stacjonarne, dokonują zakupów online, czy też w inny sposób korzystają z usług lub wchodzą w interakcje z nami.

W przypadku pytań lub potrzeby uzyskania dodatkowych informacji na temat sposobu, w jaki wykorzystujemy dane, należy skontaktować się z naszym Zespołem ds. ochrony danych.

Kim jesteśmy

Marks and Spencer plc jest spółką zarejestrowaną w Anglii i Walii, należącą do grupy spółek M&S. W skład grupy wchodzą również: Marks and Spencer (Ireland) Limited (zarejestrowana w Republice Irlandii), Marks & Spencer Greece Single Member SA (zarejestrowana w Grecji) oraz Marks and Spencer Czech Republic AS (zarejestrowana w Republice Czeskiej) – określane łącznie w niniejszej Polityce jako „M&S”, „my”, „nas” lub „nasz”.

Niniejsza Polityka nie obejmuje przetwarzania danych osobowych przez:

  • partnerów franczyzowych sprzedających produkty stacjonarnie i online pod marką M&S;

  • Marks and Spencer Reliance India Private Limited (podmiot prowadzący stronę internetową M&S India oraz sklepy M&S w Indiach, będący spółką joint venture M&S oraz Reliance Group).

Przetwarzanie danych osobowych przez te spółki regulują ich własne polityki prywatności. Więcej informacji znajduje się w punkcie Jak wykorzystujemy dane osobowe.

Naszym międzynarodowym partnerem w zakresie obsługi sprzedaży i realizacji zamówień jest Global-e U.K. Limited („Global-e”), spółka zarejestrowana w Anglii i Walii (numer rejestracyjny 08632376), której siedziba znajduje się pod adresem: 2nd Floor, 167-169 Great Portland Street, London, W1W 5PF. W przypadku zakupu produktów za pośrednictwem dowolnej strony internetowej obsługiwanej przez M&S dla klientów spoza Wielkiej Brytanii i Irlandii, dane osobowe użytkownika będą gromadzone i wykorzystywane przez Global-e w celu realizacji zamówienia i dostarczenia produktów użytkownikowi. Więcej informacji na temat sposobu wykorzystywania danych osobowych przez Global E można znaleźć w polityce prywatności tej spółki.

Dane gromadzone na temat użytkowników

Gromadzimy, wykorzystujemy, przechowujemy i przekazujemy różne rodzaje danych osobowych dotyczących użytkowników, które podzieliliśmy na kategorie wymienione poniżej. W przypadku większości klientów będziemy gromadzić dane tylko z niektórych, a nie ze wszystkich wymienionych kategorii. Część gromadzonych przez nas danych osobowych pochodzi bezpośrednio od użytkownika, na przykład podczas zakładania konta online M&S, dokonywania zakupu lub kontaktu z naszym zespołem obsługi klienta. Inne dane osobowe gromadzimy natomiast w związku z korzystaniem z naszych usług, na przykład na podstawie aktywności użytkownika związanej z przeglądaniem stron internetowych lub dokonywaniem zakupów. Gromadzimy również dane użytkownika, gdy zostaną one przekazane przez innego klienta w ramach zakupu (na przykład karty podarunkowej lub kwiatów), a klient ten poda je jako dane odbiorcy.

Kategorie danych osobowych

  • Dane kontaktowe obejmują adres rozliczeniowy, adres dostawy, adres e-mail oraz numer telefonu.

  • Dane finansowe obejmują dane karty płatniczej oraz informacje dotyczące rachunku bankowego.

  • Dane identyfikacyjne obejmują imię i nazwisko, nazwę użytkownika M&S, numer klienta, numer Sparks lub podobny identyfikator, stan cywilny, tytuł grzecznościowy, datę urodzenia oraz płeć.

  • Dane wizerunkowe obejmują wizerunek użytkownika zarejestrowany przez nasze systemy monitoringu wizyjnego (CCTV) w sklepach.

  • Dane dotyczące cech fizycznych obejmują informacje o wyglądzie, takie jak wzrost, budowa ciała, wymiary, rozmiary odzieży, kolor oczu i włosów, cechy szczególne itp. (w zakresie niezbędnym do celów bezpieczeństwa lub gdy zostaną one udostępnione przez użytkownika, abyśmy mogli przedstawiać rekomendacje lub świadczyć usługi dostosowane do jego potrzeb).

  • Dane dotyczące transakcji obejmują informacje o zakupionych przez użytkownika produktach (w tym o miejscu i sposobie zakupu, cenie oraz dacie i godzinie transakcji).

  • Dane dotyczące obsługi klienta obejmują rozmowy i korespondencję prowadzoną podczas kontaktu z naszymi zespołami obsługi klienta, interakcje z nami za pośrednictwem mediów społecznościowych lub odpowiedzi udzielane w naszych ankietach.

  • Dane techniczne obejmują adres protokołu internetowego (IP) urządzenia, informacje o plikach cookie zapisanych na urządzeniu, dane logowania, typ i wersję przeglądarki, ustawienia strefy czasowej i lokalizacji, typy i wersje wtyczek do przeglądarki, system operacyjny i platformę oraz inne technologie wykorzystywane przez urządzenia służące do uzyskiwania dostępu do naszej Strony/Aplikacji.

  • Dane profilowe obejmują zainteresowania i preferencje użytkownika, które pozyskujemy bezpośrednio od niego (takie jak status zgody marketingowej i preferencje marketingowe) lub które wnioskujemy na podstawie korzystania z naszych usług oraz informacji demograficznych i dotyczących gospodarstwa domowego uzyskanych od firmy analitycznej Experian.

  • Dane dotyczące użytkowania i przeglądania obejmują informacje o sposobie korzystania z naszych usług (w tym z naszych stron internetowych i aplikacji), aktywności związanej z przeglądaniem naszych stron oraz reakcjach na wiadomości i kampanie marketingowe (w tym informacje o tym, czy marketingowe wiadomości e-mail zostały otwarte i/lub czy użytkownik podjął w związku z nimi określone działania).

  • Wrażliwe dane osobowe (zwane również danymi szczególnej kategorii) – są to informacje objęte szczególną ochroną na mocy przepisów o ochronie danych. Co do zasady nie przetwarzamy wrażliwych danych osobowych, jednak będziemy gromadzić informacje dotyczące zdrowia w związku z konkretnymi działaniami opisanymi w punkcie „Jak wykorzystujemy Twoje dane osobowe”.

  • Dane dotyczące przestępstw i czynów zabronionych obejmują informacje dotyczące rzeczywistych lub podejrzewanych czynów zabronionych w kontekście działalności przestępczej, zarzutów, dochodzeń, postępowań wyjaśniających oraz postępowań sądowych.

Jak wykorzystujemy dane osobowe i podstawy prawne ich przetwarzania

Musimy poinformować użytkowników, dlaczego przetwarzamy ich dane osobowe oraz na jakiej podstawie prawnej się opieramy. Istnieje kilka podstaw prawnych, jednak w większości przypadków opieramy się na jednej lub kilku z poniższych.

  • Umowa – dotyczy sytuacji, gdy przetwarzamy dane w celu wykonania umowy zawartej z użytkownikiem lub ponieważ zwrócił się on do nas o wykonanie usługi przed zawarciem umowy. Na przykład składając zamówienie, użytkownik zawiera z nami umowę, a my nie możemy zrealizować tego zamówienia bez zgromadzenia określonych danych osobowych, takich jak dane kontaktowe i dane dotyczące płatności.

  • Zgoda – dotyczy sytuacji, gdy użytkownik udzielił nam zgody na wykorzystanie danych w określonym celu. Co do zasady, polegamy na zgodzie wyłącznie w celu przesyłania elektronicznych komunikatów marketingu bezpośredniego. Jeżeli będziemy prosić o zgodę w innym celu, poinformujemy o tym w momencie gromadzenia danych. Wyrażoną zgodę można w każdej chwili wycofać (patrz punkt Prawa użytkownika)..

  • Prawnie uzasadnione interesy - dotyczy to sytuacji, gdy opieramy się na naszych interesach lub interesach stron trzecich. Interesy te mogą obejmować nasze interesy handlowe.

  • Obowiązek prawny - dotyczy sytuacji, gdy musimy przetwarzać dane w celu spełnienia wymogu prawnego.

W przypadku przetwarzania danych szczególnej kategorii lub danych dotyczących przestępstw i czynów zabronionych zwykle opieramy się na jednej z następujących podstaw prawnych.

  • Wyraźna zgoda – dotyczy sytuacji, gdy uzyskujemy wyraźną zgodę użytkownika na przetwarzanie danych, na przykład gdy przekazuje on nam informacje dotyczące zdrowia podczas wizyty związanej z dopasowaniem biustonosza.

  • Roszczenia prawne – dotyczy to sytuacji, gdy przetwarzamy dane w celu ustalenia, dochodzenia lub obrony praw albo roszczeń.

  • Zapobieganie czynom bezprawnym lub ich wykrywanie – dotyczy sytuacji, gdy przetwarzanie jest niezbędne do zapobiegania czynowi bezprawnemu lub jego wykrycia, musi być prowadzone bez zgody osoby, której dane dotyczą, aby nie utrudnić realizacji tych celów, oraz jest konieczne ze względu na ważny interes publiczny.

W poniższym punkcie opisaliśmy cele, w jakich wykorzystujemy dane, kategorie wykorzystywanych danych oraz podstawy prawne, na których się opieramy. W przypadku przetwarzania danych użytkowników na podstawie naszych prawnie uzasadnionych interesów lub interesów strony trzeciej wyjaśniliśmy, na czym te interesy polegają. Jeżeli przetwarzamy dane w celu spełnienia obowiązku prawnego, wskazaliśmy, jaki jest to obowiązek. Dla każdego sposobu wykorzystania danych wyjaśniliśmy również, czy udostępniamy je stronom trzecim lub czy otrzymujemy je od stron trzecich. Jak wszystkie firmy naszej wielkości, korzystamy z usług wielu dostawców wspierających świadczenie naszych usług i dostarczanie produktów, a dostawcy ci mogą się z czasem zmieniać. Wymienienie ich wszystkich nie jest możliwe, dlatego podaliśmy informacje o najważniejszych z nich. Większość tych podmiotów trzecich działa jako „podmioty przetwarzające dane”, co oznacza, że działają wyłącznie na nasze polecenie, nie mogą wykorzystywać danych użytkowników do własnych celów, a odpowiedzialność za te dane pozostaje po naszej stronie. Jeżeli podmiot trzeci jest administratorem danych, co oznacza, że sam odpowiada za dane, oznaczyliśmy go symbolem (C) obok nazwy. Polityki prywatności tych administratorów danych można znaleźć na ich stronach internetowych.

Obsługa klienta

Działanie: Zapytania do obsługi klienta, skargi i reklamacje oraz podobne sprawy.

Rodzaje danych: Dane dotyczące zachowań i incydentów, dane kontaktowe, dane dotyczące obsługi klienta, dane finansowe, dane identyfikacyjne, dane wizerunkowe, dane dotyczące transakcji.

Przetwarzane są również dane szczególnej kategorii (informacje dotyczące zdrowia), ale wyłącznie w związku z obsługą określonych zgłoszeń, w których użytkownik przekazuje nam informacje zdrowotne, na przykład kontaktując się z nami w sprawie reakcji alergicznej na produkt lub zachorowania spowodowanego produktem, zapytań lub próśb dotyczących bielizny damskiej/strojów kąpielowych po operacji, a także wypadków w sklepie.

Podstawy prawne: Umowa, wyraźna zgoda, obowiązek prawny, prawnie uzasadnione interesy (w celu zapewnienia wsparcia klientom).

Udostępnianie danych: Dostawcy technologii wykorzystywanych w ramach świadczenia usług obsługi klienta, tacy jak Zendesk.

Działanie: Analiza interakcji dostarczająca informacji o powodach kontaktu, trendach oraz wolumenie zgłoszeń, wykorzystywana do tworzenia raportów dla kierownictwa.

Rodzaje danych: Dane kontaktowe, dane dotyczące obsługi klienta, dane identyfikacyjne.

Podstawa prawna: Prawnie uzasadnione interesy (w celu doskonalenia naszych usług).

Udostępnianie danych: Dostawcy platform do badania poziomu satysfakcji i nastawienia klientów, tacy jak Google Conversational Analytics i Medallia.

Działanie: Szkolenie naszych pracowników oraz monitorowanie jakości ich pracy (tzw. zapewnienie jakości).

Rodzaje danych: Dane kontaktowe, dane dotyczące obsługi klienta, dane identyfikacyjne.

Podstawa prawna: Prawnie uzasadnione interesy (w celu szkolenia naszych pracowników oraz monitorowania jakości obsługi świadczonej klientom).

Udostępnianie danych: NIE DOTYCZY

Sprzedaż i dostawa produktów oraz usług

Działanie: Sprzedaż, finalizowanie zamówienia, rezerwacje i płatności.

Rodzaje danych: Dane kontaktowe, dane finansowe (w formie tokenizowanej), dane identyfikacyjne, dane dotyczące transakcji.

Podstawy prawne: Umowa, prawnie uzasadnione interesy (w celu umożliwienia finalizowania zamówienia, dokonywania rezerwacji i realizacji płatności).

Udostępnianie danych: Współpracujemy z różnymi dostawcami usług płatniczych. Aktualna lista znajduje się w punkcie „Sposoby płatności” na naszej stronie internetowej.

Działanie: Realizacja zamówień i obsługa zwrotów.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne, dane dotyczące transakcji.

Podstawy prawne: Umowa, prawnie uzasadnione interesy (w celu realizacji zamówień i obsługi zwrotów).

Udostępnianie danych: Korzystamy z usług różnych firm kurierskich

Działanie: Zapobieganie oszustwom.

Rodzaje danych: Dane kontaktowe, dane finansowe (w formie tokenizowanej), dane identyfikacyjne, dane dotyczące transakcji.

Podstawa prawna: Prawnie uzasadnione interesy (w celu ochrony nas i naszych klientów przed nieuczciwymi transakcjami).

Udostępnianie danych: Dostawcy usług zapobiegania oszustwom, np. Accertify.

Działanie: Komunikacja związana ze świadczeniem usług, taka jak aktualizacje dotyczące zamówień.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne, dane dotyczące transakcji.

Podstawy prawne: Umowa, prawnie uzasadnione interesy (wysyłanie komunikatów związanych ze świadczeniem usług leży w prawnie uzasadnionym interesie zarówno naszym, jak i naszych klientów).

Udostępnianie danych: Dostawcy platform komunikacyjnych, np. Salesforce.

Działanie: Powiadomienia o ponownej dostępności produktów. Na prośbę użytkownika będziemy wysyłać wiadomości e-mail informujące go o ponownej dostępności produktu w magazynie.

Rodzaje danych: Dane kontaktowe, dane profilowe.

Podstawa prawna: Prawnie uzasadnione interesy (w celu wysyłania powiadomień o dostępności produktów).

Udostępnianie danych: Dostawcy platform komunikacyjnych, np. Salesforce.

Działanie: Konkursy. Organizowanie i zarządzanie konkursami i wydarzeniami.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne.

Podstawa prawna: Prawnie uzasadnione interesy (w celu organizacji i obsługi konkursów).

Udostępnianie danych: Zależy od konkretnego konkursu i zostanie jasno określone w formularzu zgłoszeniowym.

Obsługa programu lojalnościowego Sparks

Działanie: Świadczenie usług i zapewnianie korzyści dostępnych w ramach naszego programu lojalnościowego. Obejmuje to:

  • informowanie użytkownika o nagrodach i korzyściach wynikających z uczestnictwa w programie, takich jak oferty, promocje, prezenty urodzinowe, a także rekomendacje, usługi i wydarzenia organizowane przez nas lub nasze spółki partnerskie;

  • przekazywanie informacji o ważnych aktualizacjach i zmianach dotyczących statusu członkostwa lub warunków uczestnictwa; oraz

  • wykrywanie naruszeń naszego Regulaminu programu lojalnościowego oraz zachowań o charakterze oszukańczym oraz przeciwdziałanie im.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne, dane dotyczące przeglądania, dane profilowe, dane dotyczące użytkowania.

Podstawy prawne: Podstawy prawne: Zgoda (w odniesieniu do marketingu elektronicznego), umowa, prawnie uzasadnione interesy.

Marketing, profilowanie, analityka i reklama cyfrowa

Działanie: Analityka.

Analizujemy dane osobowe i inne informacje w celu formułowania rekomendacji dotyczących zmian w naszej działalności oraz ulepszeń usług oferowanych klientom. Przykładowo analizujemy sposób korzystania przez klientów z naszych usług (w tym naszej strony internetowej i aplikacji mobilnej), aby identyfikować obszary wymagające usprawnień. W ramach działań analitycznych wykorzystujemy również dane do tworzenia tzw. jednolitego widoku klienta, co polega na porządkowaniu i łączeniu danych w jeden spójny profil, dzięki któremu możemy lepiej rozumieć potrzeby i preferencje użytkownika.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne. Dane profilowe, dane dotyczące transakcji, dane techniczne, dane dotyczące użytkowania.

Podstawa prawna: Prawnie uzasadnione interesy (w celu określania grup klientów dla naszych produktów i usług, utrzymywania aktualności i trafności oferowanych rozwiązań, rozwijania naszej działalności oraz kształtowania strategii marketingowej).

Udostępnianie danych: W celu wspierania jednolitego widoku klienta korzystamy z usług świadczonych przez firmę analityczną Experian.

Działanie: Profilowanie.

Profilowanie polega na analizie zachowań i zainteresowań danej osoby w celu lepszego jej poznania i zrozumienia. Wykorzystujemy profilowanie do wspierania działań marketingu bezpośredniego, ponieważ pomaga nam ono określić, jakie oferty i informacje mogą zainteresować użytkownika oraz inne osoby. Nie wywołuje ono skutków prawnych ani innych skutków o podobnym znaczeniu, jednak może wpływać na rodzaj otrzymywanych materiałów marketingowych lub rekomendowanych produktów. W przypadku posiadania konta Sparks możemy wykorzystywać model oceny skłonności kredytowej w celu określenia prawdopodobieństwa złożenia przez klienta wniosku o kredyt oraz uzyskania jego akceptacji.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne, dane profilowe, dane dotyczące transakcji, dane techniczne, dane dotyczące użytkowania.

Podstawa prawna: Prawnie uzasadnione interesy (w celu określania grup klientów dla naszych produktów i usług, utrzymywania aktualności i trafności oferowanych rozwiązań, rozwijania naszej działalności oraz kształtowania strategii marketingowej).

Udostępnianie danych: Współpracujemy z firmą analityczną Experian, która dostarcza dane demograficzne pomagające nam lepiej rozumieć naszych klientów oraz oferować produkty i usługi, które będą cieszyć się zainteresowaniem.

Działanie: Elektroniczny marketing bezpośredni (e-mail, SMS).

Rodzaje danych: Dane kontaktowe, dane profilowe, dane dotyczące transakcji.

Podstawa prawna: Zgoda (na elektroniczny marketing bezpośredni).

Udostępnianie danych: Dostawcy platform komunikacyjnych, np. Salesforce.

Działanie: Reklama cyfrowa na stronach internetowych.

Osobom odwiedzającym nasze strony internetowe mogą być wyświetlane spersonalizowane reklamy produktów i usług marki M&S podczas korzystania z innych stron internetowych. Wszelkie prezentowane reklamy będą odnosić się do produktów, które użytkownik oglądał podczas przeglądania naszych stron internetowych na komputerze lub innych urządzeniach, lub które naszym zdaniem mogą go zainteresować.

Reklamy te są przekazywane przez M&S za pośrednictwem naszych partnerów przy użyciu plików cookie i podobnych technologii umieszczanych na komputerze lub innych urządzeniach użytkownika (więcej informacji na temat korzystania z plików cookie znajduje się w naszej Polityce dotyczącej plików cookie). Istnieje możliwość odrzucenia wszystkich niekoniecznych plików cookie w dowolnym momencie przy użyciu naszego narzędzia do zarządzania zgodami dotyczącymi plików cookie.

Rodzaje danych: Dane kontaktowe, dane profilowe, dane techniczne, dane dotyczące transakcji.

Podstawy prawne: Prawnie uzasadnione interesy (w celu rozwoju naszej działalności oraz kształtowania strategii marketingowej). Uzyskujemy zgodę na przechowywanie informacji na urządzeniu użytkownika lub uzyskiwanie do nich dostępu za pomocą technologii takich jak pliki cookie, co jest wymagane w przypadku większości form reklamy cyfrowej.

Udostępnianie danych: Flashtalking.

M&S korzysta z platformy Flashtalking, dostarczanej przez Innovid, do tworzenia i dostarczania reklam, rozpoznawania urządzeń oraz analizy kampanii reklamowych. Flashtalking wykorzystuje zarówno technologie oparte na plikach cookie (jeśli użytkownik akceptuje korzystanie z plików cookie na stronie internetowej M&S), jak i technologie bez plików cookie w celu identyfikacji i łączenia urządzeń z klientami M&S.

Technologie bez plików cookie oznaczają, że Flashtalking może rozpoznać urządzenie użytkownika za pomocą adresu IP lub identyfikatora urządzenia. Umożliwia to wyświetlanie spersonalizowanych reklam, które są bardziej odpowiednie dla użytkownika.

Więcej informacji na temat tego, w jaki sposób Flashtalking przetwarza dane osobowe użytkowników i jak korzystać z praw osób, których dane dotyczą, można znaleźć w oświadczeniu o ochronie prywatności konsumentów. Użytkownik może również zrezygnować ze spersonalizowanych reklam wyświetlanych przez Flashtalking, korzystając z tego linku .

Działanie: Reklama cyfrowa na platformach społecznościowych lub w wyszukiwarkach internetowych.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne, dane profilowe, dane dotyczące transakcji, dane techniczne, dane dotyczące użytkowania.

Podstawy prawne: Prawnie uzasadnione interesy (w celu rozwoju naszej działalności oraz kształtowania strategii marketingowej). Uzyskujemy zgodę na przechowywanie informacji na urządzeniu użytkownika lub uzyskiwanie do nich dostępu za pomocą technologii takich jak pliki cookie, co jest wymagane w przypadku większości form reklamy cyfrowej.

Udostępnianie danych: Jeśli użytkownik posiada konto na platformie Meta (takiej jak Facebook lub Instagram), Pinterest lub TikTok, lub korzysta z wyszukiwarki Google i akceptuje pliki cookie na naszej stronie internetowej, jego dane osobowe, w tym dane dotyczące zakupów i przeglądania, zostaną im udostępnione. Dane te są udostępniane, aby mogły one wyświetlać użytkownikowi dostosowane i spersonalizowane reklamy (w tym odpowiednie produkty i usługi M&S) podczas korzystania z ich platform i aplikacji.

W przypadku niektórych czynności przetwarzania danych Meta, Pinterest, TikTok lub Google działają jako administrator danych, wykorzystując dane wyłącznie do własnych celów. W przypadku innych czynności związanych z przetwarzaniem danych Meta, Pinterest i TikTok pełnią rolę współadministratorów danych wraz z M&S.

Zgodnie z obowiązującymi przepisami o ochronie danych osobowych spółka M&S zawarła z koncernem Meta, Pinterest i TikTok umowę w celu określenia zakresu odpowiedzialności stron za przestrzeganie obowiązków wynikających z brytyjskiego ogólnego rozporządzenia o ochronie danych (brytyjskie RODO) w odniesieniu do wspólnego przetwarzania danych. Umowy te określane są odpowiednio jako: „Aneks Administratorów danych” w przypadku Meta, „Aneks Współadministratora danych” w przypadku Pinterest oraz „Warunki Współadministratora danych” w przypadku serwisu TikTok.

Uzgodniliśmy, że spółka M&S jest odpowiedzialna za przekazanie osobom, których dane dotyczą, informacji określonych powyżej oraz ustaliliśmy, że odpowiednio koncern Meta, Pinterest i/lub TikTok są stroną odpowiedzialną za umożliwienie osobom, których dane dotyczą, korzystania z praw przysługujących im na mocy art. 15–20 brytyjskiego RODO w odniesieniu do danych osobowych przechowywanych przez Meta, Pinterest i/lub TikTok po wspólnym przetwarzaniu.

Dalsze informacje na temat sposobu, w jaki te organizacje przetwarzają dane osobowe użytkownika, w tym podstawy prawnej przetwarzania danych oraz sposobu, w jaki użytkownik może skorzystać z przysługujących mu praw, są określone w ich Politykach prywatności pod poniższymi linkami:

Meta | Centrum prywatności | Zarządzanie prywatnością na Facebooku, Instagramie i Messengerze | Prywatność na Facebooku. .

Polityka prywatności serwisu Pinterest. .

Polityka prywatności serwisu TikTok. .

Działanie: Marketing pocztowy.

Rodzaje danych: Dane kontaktowe, dane profilowe.

Podstawa prawna: Prawnie uzasadnione interesy (w celu rozwoju naszej działalności oraz kształtowania strategii marketingowej).

Udostępnianie danych: Dostawcy platform komunikacyjnych, np. Paragon, oraz drukarnie.

Ankiety, recenzje produktów i badania

Działanie: Kontaktowanie się z użytkownikiem w celu umożliwienia udziału w badaniach satysfakcji klientów, przekazywania opinii oraz oceniania naszych produktów i usług. W przypadku odpowiedzi użytkownika na prośby o udział w ankietach lub innego rodzaju przekazania opinii na temat naszych produktów lub usług, będziemy gromadzić te uwagi i wykorzystywać je do rozwoju oferowanych produktów i usług.

Rodzaje danych: Dane kontaktowe, dane dotyczące obsługi klienta, dane identyfikacyjne, dane dotyczące transakcji.

Podstawa prawna: Prawnie uzasadniony interes (w celu doskonalenia naszej oferty produktowej i usług, co pozwala nam lepiej obsługiwać naszych klientów).

Udostępnianie danych: Dostawcy platform ankietowych i systemów ocen, np. Medallia i Bazaarvoice.

Działanie: Projekty badawcze. Nasi partnerzy badawczy mogą przekazywać nam dane użytkownika, jeśli wyraził on zgodę na udział w projekcie badawczym. Cel badania oraz zakres udostępniania danych zostaną wyjaśnione w momencie wyrażania zgody na udział w badaniu.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne, dane profilowe, wrażliwe dane osobowe (gromadzone wyłącznie w przypadku badań dotyczących potrzeb związanych z dostępnością).

Podstawy prawne: Zgoda, prawnie uzasadniony interes (w celu doskonalenia naszej oferty produktowej i usług, co pozwala nam lepiej obsługiwać naszych klientów).

Udostępnianie danych: Przykładami firm badawczych, z którymi współpracujemy, są Maze (C) oraz User Testing.

Bezpieczeństwo i ochrona

Działanie: Zapobieganie przestępczości i oszustwom, ich wykrywanie oraz powiązane działania podejmowane w celu:

  1. ochrony pracowników i klientów przed szkodą, nadużyciami, niewłaściwym zachowaniem, napaściami oraz innymi przestępstwami;

  2. ochrony spółki M&S, jej aktywów, a także innych przedsiębiorstw przed przestępczością, w tym kradzieżą, oszustwami i umyślnym niszczeniem mienia; oraz

  3. wspierania policji i organów ścigania w zapobieganiu przestępstwom, ich wykrywaniu, zatrzymywaniu sprawców i prowadzeniu postępowań karnych.

Przetwarzanie obejmuje rejestrowanie i analizowanie nagrań z monitoringu wizyjnego (CCTV) oraz tworzenie dokumentacji dotyczącej incydentów bezpieczeństwa i przestępstw, a także osób w nich uczestniczących – przede wszystkim podejrzanych i sprawców, ale również ofiar i świadków.

Rodzaje danych: Dane dotyczące zachowań i incydentów, dane kontaktowe, dane dotyczące przestępstw i czynów zabronionych, dane identyfikacyjne, dane wizerunkowe, dane dotyczące płatności, dane dotyczące cech fizycznych, dane dotyczące użytkowania.

Podstawy prawne: Prawnie uzasadnione interesy (w celu ochrony naszej firmy, społeczności lokalnej, klientów i pracowników), roszczenia prawne, zapobieganie czynom bezprawnym lub ich wykrywanie.

Udostępnianie danych: Organy ścigania (C).

Partnerzy franczyzowi M&S.

Działanie: Obsługa skarg i reklamacji.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne, dane dotyczące transakcji.

Podstawy prawne: Umowa, prawnie uzasadnione interesy (w celu zapewnienia prawidłowej obsługi skargi lub reklamacji).

Udostępnianie danych: Dane osobowe będą udostępniane i otrzymywane w zakresie niezbędnym do rozpatrywania skarg i reklamacji.

Realizacja naszych obowiązków prawnych i zarządzanie roszczeniami prawnymi

Działanie: Prowadzenie dokumentacji dotyczącej incydentów związanych z bezpieczeństwem i higieną pracy (BHP) w naszych sklepach.

Rodzaje danych: Dane dotyczące zachowań i incydentów, dane kontaktowe, dane identyfikacyjne, dane wizerunkowe oraz wrażliwe dane osobowe.

Podstawy prawne: Obowiązek prawny wynikający z przepisów dotyczących bezpieczeństwa i higieny pracy, prawnie uzasadnione interesy (w celu ochrony firmy M&S oraz jej klientów, pracowników, dyrektorów i akcjonariuszy), roszczenia prawne.

Udostępnianie danych: Organy ścigania (C) oraz służby właściwe do spraw bezpieczeństwa i higieny pracy (C).

Działanie: Prowadzenie dokumentacji wymaganej przepisami podatkowymi.

Rodzaje danych: Dane dotyczące płatności, dane dotyczące transakcji.

Podstawa prawna: Obowiązek prawny wynikający z przepisów podatkowych, prawnie uzasadnione interesy (zapewnienie skutecznej kontroli finansowej i sprawnych procesów operacyjnych).

Udostępnianie danych: Organy podatkowe i inne organy administracji publicznej.

Działanie: Informowanie o wycofaniu produktów lub innych podobnych problemach związanych z jakością produktów.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne, dane dotyczące transakcji.

Podstawy prawne: Obowiązek prawny wynikający z przepisów dotyczących bezpieczeństwa produktów, prawnie uzasadnione interesy (ochrona klientów przed szkodą).

Udostępnianie danych: Organy administracji samorządowej oraz organy ścigania.

Działanie: Przestrzeganie obowiązków prawnych związanych ze sprzedażą produktów objętych ograniczeniami wiekowymi.

Rodzaje danych: Dane kontaktowe, dane identyfikacyjne, dane dotyczące transakcji.

Podstawa prawna: Obowiązek prawny wynikający z przepisów koncesyjnych oraz przepisów dotyczących przeciwdziałania przestępczości z użyciem niebezpiecznych narzędzi.

Udostępnianie danych: NIE DOTYCZY

Działanie: Realizacja obowiązków związanych z ujawnianiem informacji na podstawie nakazów sądowych, w tym w ramach postępowań sądowych.

Rodzaje danych: Zależą od zakresu wydanego nakazu.

Podstawa prawna: Obowiązek prawny.

Udostępnianie danych: Kancelarie prawne (C), sądy i trybunały (C).

Działanie: Zarządzanie roszczeniami prawnymi zgłaszanymi przez klientów.

Rodzaje danych: Zależą od charakteru i rodzaju roszczenia.

Podstawa prawna: Prawnie uzasadnione interesy (w celu obrony przed roszczeniami prawnymi).

Udostępnianie danych: Kancelarie prawne (C).

Działanie: Jeżeli sprzedamy lub przeniesiemy jakąkolwiek część naszej działalności na podmioty trzecie albo nabędziemy nowe przedsiębiorstwa, będziemy pozyskiwać lub ujawniać dane osobowe w zakresie wymaganym dla takich transakcji.

Rodzaje danych: Transferowi mogą podlegać wszystkie kategorie danych.

Podstawa prawna: Prawnie uzasadnione interesy (niezbędne do umożliwienia wyceny, przeniesienia lub sprawnego prowadzenia odpowiedniej części działalności).

Udostępnianie danych: Będzie to zależało od charakteru nabycia lub zbycia.

Transfer danych za granicę

Nasza główna działalność prowadzona jest w Wielkiej Brytanii, a dane osobowe są zasadniczo przetwarzane, przechowywane i wykorzystywane na terytorium Wielkiej Brytanii. Współpracujemy jednak z partnerami działającymi w różnych krajach na całym świecie lub świadczącymi usługi w tych krajach. Oznacza to, że dane mogą być przekazywane do kraju znajdującego się poza krajem zamieszkania użytkownika lub dostęp do nich może być uzyskiwany z takiego kraju. Przykładowo prowadzimy centrum obsługi klienta w Republice Południowej Afryki, a pracownicy tej jednostki mają dostęp do danych konta użytkownika w celu udzielenia pomocy w związku z jego zapytaniem. Współpracujemy również z dostawcami i partnerami korzystającymi z technologii chmurowych i/lub rozwiązań hostingowych działających w wielu lokalizacjach geograficznych.

Przekazując dane osobowe do krajów poza Wielką Brytanią i Unią Europejską lub umożliwiając dostęp do nich z takich krajów, musimy spełnić określone wymogi prawne. Zazwyczaj spełniamy te wymogi w jeden z poniższych sposobów.

  1. Ochrona zapewniana przez lokalne przepisy prawa. Rząd Wielkiej Brytanii oraz Komisja Europejska uznają niektóre państwa za bezpieczne w kontekście przekazywania danych osobowych, ponieważ zapewniają one odpowiedni poziom ochrony danych. Brytyjska lista znajduje siętutaj a lista Komisji Europejskiej tutaj. W przypadku naszych klientów z Wielkiej Brytanii i Europy możemy, w razie potrzeby, swobodnie przekazywać dane osobowe do tych państw.

  2. chrona zapewniana przez inne zabezpieczenia Możemy również przekazywać dane osobowe do państw, które nie zostały uznane za zapewniające odpowiedni poziom ochrony, jeżeli stosujemy odpowiednie zabezpieczenia. Główne zabezpieczenia, z których korzystamy, to:

  • standardowe klauzule umowne zatwierdzone przez właściwe organy regulacyjne (dostępne Tutaj (otwiera plik PDF) oraz tutaj)

  • dodatkowe środki umowne, organizacyjne i techniczne (stosowane po przeprowadzeniu oceny ryzyka związanego z przekazaniem danych).

Jak długo przechowujemy dane użytkownika

Okres przechowywania danych użytkownika zależy od celu, w jakim zostały one zgromadzone. Informacje dotyczące zakupów mogą być przechowywane przez okres do 7 lat od daty transakcji, aby umożliwić nam prowadzenie postępowań dotyczących oszustw oraz obsługę roszczeń prawnych.

Bezpieczeństwo danych użytkowników

Zapewniamy bezpieczeństwo danych osobowych poprzez ciągłe rozwijanie naszych systemów bezpieczeństwa oraz prowadzenie szkoleń dla pracowników. Wdrożyliśmy odpowiednie środki techniczne i organizacyjne mające na celu ochronę danych osobowych zgodnie z obowiązującymi przepisami prawa.

Prawa użytkowników w zakresie danych osobowych

Każdy użytkownik ma prawo do:

  • otrzymania kopii danych osobowych, które posiadamy na temat użytkownika (prawo dostępu do danych);

  • żądania usunięcia przez nas danych osobowych przechowywanych na temat użytkownika, w przypadku gdy nie mamy już uzasadnionego powodu do ich przechowywania (prawo do usunięcia lub bycia zapomnianym);

  • aktualizacji i korekty wszelkich nieaktualnych lub nieprawidłowych danych osobowych, które posiadamy na temat użytkownika (prawo do korekty danych);

  • rezygnacji z wszelkich komunikatów marketingowych, które możemy wysyłać użytkownikowi, oraz do sprzeciwu wobec wykorzystywania / przechowywania przez nas jego danych osobowych do celów marketingu bezpośredniego lub w innych przypadkach, jeśli nie mamy ku temu uzasadnionych powodów (prawo do sprzeciwu);

  • „ograniczenia przetwarzania danych”, co oznacza, że będziemy musieli zabezpieczyć i przechowywać dane na korzyść użytkownika, ale nie będziemy ich wykorzystywać w inny sposób (prawo do ograniczenia przetwarzania danych); oraz

  • dostarczenia użytkownikowi niektórych danych osobowych, które posiadamy na jego temat, w uporządkowanym formacie nadającym się do odczytu maszynowego i/lub dostarczenia kopii danych w takim formacie innej organizacji (prawo do przeniesienia danych).

W celu skorzystania z prawa do rezygnacji z otrzymywania komunikatów marketingowych można:

  1. zmienić swoje preferencje marketingowe za pośrednictwem konta online M&S;

  2. skorzystać z linku rezygnacji z subskrypcji („unsubscribe”) w wiadomościach e-mail lub wysłać wiadomość o treści „STOP” w przypadku wiadomości tekstowych; oraz/lub

  3. skontaktować się z M&S za pośrednictwem kanałów kontaktu wskazanych w niniejszej Polityce.

Skargi dotyczące prywatności

Aby zgłosić skargę lub zastrzeżenie dotyczące ochrony danych albo skontaktować się z zespołem Inspektora Ochrony Danych, należy użyć danych kontaktowych wskazanych poniżej.

Użytkownikowi zawsze przysługuje prawo do złożenia skargi do właściwego organu nadzorczego ds. ochrony danych. Dla mieszkańców Wielkiej Brytanii jest to Information Commissioner’s Office (https://ico.org.uk) a dla mieszkańców Republiki Irlandii (https://www.dataprotection.ie/).

Choć istnieje możliwość złożenia skargi do właściwego organu nadzorczego bez wcześniejszego kontaktu z nami, organy te oczekują, że w pierwszej kolejności problem zostanie zgłoszony bezpośrednio do nas. Dlatego, jeśli sprawa nie była jeszcze zgłaszana, prosimy o kontakt pod adresem: generaldataprotectionrequests@customer-support.marksandspencer.mom a postaramy się pomóc.

Zmiany w niniejszej Polityce

Niniejsza Polityka prywatności została ostatnio zaktualizowana w maju 2026 r. Wszelkie zmiany, które możemy wprowadzić do naszej Polityki prywatności w przyszłości, będą publikowane na tej stronie. W przypadku wprowadzenia istotnych zmian, użytkownicy zostaną o tym poinformowani.

Published 05/05/2026

Sposoby płatności
M&S

Just Tap and 'Add to Home Screen'

Exit
M&S

Przyspiesz zakupy, umieszczając aplikację M&S na ekranie głównym urządzenia!

Not Now Install