Basket

Datenschutzbestimmungen

ENGLISH

Privacy Policy (GDPR / RODO)

Effective date: 23 of November, 2025

This Privacy Policy explains how Kartonika Sp. z o.o. processes personal data of users of the online platform (marketplace) operated by Kartonika Sp. z o.o.

1. Data Controller

The controller of your personal data is:

Kartonika Sp. z o.o.

Al. Armii Ludowej 6/164

00-571 Warsaw, POLAND

NIP (VAT ID): PL7010516252

You can contact us regarding privacy matters via the contact form available on the website. The current contact details are always indicated in the “Contact” section of the platform.

Kartonika Sp. z o.o. has not appointed a Data Protection Officer (DPO). All questions related to data protection are handled directly by the Controller.

2. Scope of this Policy

This Policy applies to:

• visitors of the website and platform;

• registered Buyers (clients);

• registered Sellers (service providers, product vendors, creative service providers);

• persons contacting us via forms, email or other channels in connection with the platform.

This Policy does not regulate processing of data by Sellers for their own independent purposes (e.g. issuing invoices to their customers, maintaining their own CRM). In such cases, the Seller acts as an independent controller and is responsible for its own privacy obligations.

3. Categories of data we process

Depending on how you use the platform, we may process in particular:

1. Account data

•name, surname or business name;

• login, password (stored in encrypted form), user ID;

• contact details (email, phone number if voluntarily provided);

• country and, where needed, address or registered office.

2. Transaction and billing data

• information about orders, services and products purchased or sold;

• payment details (amount, date, payment method, transaction ID);

• invoicing data (company name, VAT number, address);

• payout details for Sellers (bank account or payment service ID).

3. Communication data

• messages exchanged via the platform chat;

• enquiries sent via contact forms or email;

• information necessary to handle disputes, complaints and support requests.

4. Technical and usage data

• IP address, browser type, device information;

• logs of actions within the platform (log-in, orders, status changes);

• cookie identifiers and similar technologies (see section 10).

5. Marketing data

• consents to receive newsletters or marketing information;

• data on opening of messages and use of links in marketing communication.

In some cases (for example verification of Sellers, anti-fraud checks, legal obligations) we may also ask for additional identification or business documents, but only where necessary and justified.

We do not intentionally collect special categories of data (“sensitive data”) such as information about health, religion or political views. Please do not provide such data via the platform.

4. Purposes and legal bases of processing

We process your personal data for the following purposes and on the following legal bases (Art. 6 GDPR):

1. Creating and managing your user account; enabling the use of the platform

o Legal basis: performance of a contract or taking steps at your request prior to entering into a contract (Art. 6(1)(b) GDPR).

2. Handling orders, payments, payouts and escrow

• registering and processing transactions between Buyers and Sellers;

• calculating and collecting platform commission;

• paying out funds to Sellers once a month;

• dealing with disputes and complaints.

• Legal basis: performance of a contract (Art. 6(1)(b) GDPR) and legal obligations (Art. 6(1)(c) GDPR).

3. Fulfilling legal obligations

• tax, accounting and reporting obligations;

• obligations related to consumer protection and e-commerce law.

• Legal basis: legal obligation (Art. 6(1)(c) GDPR).

4. Ensuring security and proper functioning of the platform

• preventing fraud and abuse;

• maintaining logs, backups and technical security.

• Legal basis: legitimate interest of the Controller (Art. 6(1)(f) GDPR).

5. Internal analytics and improvement of services

• analysis of how the platform is used;

• improving functionality and user experience.

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR).

6. Marketing of our own services

• sending information about new features, promotions and updates (newsletter, email marketing) – only to the extent permitted by law.

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) or consent (Art. 6(1)(a) GDPR), depending on the channel and jurisdiction.

7. Handling your enquiries sent via forms or email

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) – communication with users and persons interested in our services.

If processing is based on your consent, you may withdraw that consent at any time. Withdrawal does not affect the lawfulness of processing based on consent before its withdrawal.

5. Data recipients

We may share your personal data with:

• technical service providers (hosting, IT, cloud services, maintenance);

• payment service providers and banks processing transactions and payouts;

• accounting and legal service providers;

• email and communication service providers (e.g. newsletter tools, transactional email providers);

• analytics and marketing tools (within the limits permitted by law);

• courier and logistics providers (for physical goods shipments);

• public authorities or courts, when we are legally obliged to do so.

Where Sellers receive your data (e.g. as Buyers, for the purposes of contract performance), they process it as independent controllers for their own purposes and in accordance with their own privacy policies.

We do not sell your personal data.

6. Transfers outside the EEA

Some of our service providers may be located outside the European Economic Area (EEA), for example in countries where the European Commission has not issued an adequacy decision.

If data is transferred outside the EEA, we ensure that:

• appropriate legal safeguards are in place, in particular Standard Contractual Clauses (SCCs) adopted by the European Commission, or

• the transfer takes place to a country with an adequate level of protection as recognised by the European Commission.

You may obtain a copy of the safeguards relating to a specific transfer by contacting us via the contact form.

7. Data retention periods

We store personal data only for as long as necessary for the purposes for which it was collected, in particular:

• data related to your account – for the duration of your account and then for a limitation period for claims (for example, usually up to 6 years from the end of the year in which the relationship ended);

• transaction, invoicing and accounting data – for periods required by Polish tax and accounting law (usually up to several years);

• communication data (support, disputes) – for the time necessary to handle the matter and for the limitation period for potential claims;

• marketing data – until you object to processing or withdraw your consent (where consent is the legal basis).

After these periods, data is erased or anonymised.

8. Your rights

Under GDPR, you have the following rights in relation to your personal data:

1. Right of access – to obtain information whether we process your data and to receive a copy of it.

2. Right to rectification – to have inaccurate or incomplete data corrected.

3. Right to erasure (“right to be forgotten”) – where legal grounds exist (e.g. data is no longer necessary, consent is withdrawn and no other legal basis applies).

4. Right to restriction of processing – in cases specified by law.

5. Right to data portability – to receive data you provided to us in a structured, commonly used machine-readable format and to have it transmitted to another controller, where technically feasible.

6. Right to object – to processing based on our legitimate interest (Art. 6(1)(f) GDPR), including profiling; in particular you may object at any time to processing for direct marketing.

7. Right to withdraw consent – where processing is based on consent, you can withdraw it at any time.

To exercise your rights, please contact us via the contact form. We may need to verify your identity before fulfilling your request.

You also have the right to lodge a complaint with the supervisory authority:

President of the Personal Data Protection Office (Prezes Urzędu Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Warsaw, Poland

website address available on the authority’s official site.

9. Automated decision-making and profiling

We do not make decisions based solely on automated processing, including profiling, which would produce legal effects concerning you or similarly significantly affect you.

We may use basic profiling (e.g. segmentation by language, country, category of services used) for analytical and marketing purposes, but such processing does not have significant impact on your rights and freedoms.

10. Cookies and similar technologies

The platform uses cookies and similar technologies to:

• ensure proper functioning of the website and user sessions;

• remember your settings and preferences;

• perform statistics and analytics;

• support marketing activities in accordance with applicable law.

You can manage cookies using your browser settings or, where provided, via the cookie banner / preference centre on the website. Restricting cookies may affect some functionalities of the platform.

Details regarding types of cookies used may be described in a separate Cookie Policy.

11. Changes to this Policy

We may update this Privacy Policy from time to time, for example due to changes in law or in how the platform operates. The updated version will be published on the website with a new “Effective date”. In case of significant changes, we may additionally inform you by email or via the platform.

GERMAN

Datenschutzerklärung (DSGVO / RODO)

Gültig ab: 23. November 2025

Diese Datenschutzerklärung erläutert, wie Kartonika Sp. z o.o. personenbezogene Daten von Nutzern der von Kartonika Sp. z o.o. betriebenen Online-Plattform (Marktplatz) verarbeitet.

1. Verantwortlicher

Der Verantwortliche für Ihre personenbezogenen Daten ist:

Kartonika Sp. z o.o.

Al. Armii Ludowej 6/164

00-571 Warschau, POLEN

NIP (Umsatzsteuer-Identifikationsnummer): PL7010516252

Sie können uns in Datenschutzangelegenheiten über das Kontaktformular auf der Website kontaktieren. Die aktuellen Kontaktdaten finden Sie immer im Bereich „Kontakt” der Plattform.

Kartonika Sp. z o.o. hat keinen Datenschutzbeauftragten (DSB) ernannt. Alle Fragen zum Datenschutz werden direkt vom Verantwortlichen bearbeitet.

2. Geltungsbereich dieser Richtlinie

Diese Richtlinie gilt für:

• Besucher der Website und der Plattform;

• registrierte Käufer (Kunden);

• registrierte Verkäufer (Dienstleister, Produktanbieter, kreative Dienstleister);

• Personen, die uns über Formulare, E-Mail oder andere Kanäle im Zusammenhang mit der Plattform kontaktieren.

Diese Richtlinie regelt nicht die Verarbeitung von Daten durch Verkäufer für ihre eigenen unabhängigen Zwecke (z. B. Ausstellung von Rechnungen an ihre Kunden, Pflege ihres eigenen CRM). In solchen Fällen handelt der Verkäufer als unabhängiger Verantwortlicher und ist für seine eigenen Datenschutzverpflichtungen verantwortlich.

3. Kategorien von Daten, die wir verarbeiten

Je nachdem, wie Sie die Plattform nutzen, können wir insbesondere folgende Daten verarbeiten:

1. Kontodaten

• Vorname, Nachname oder Firmenname;

• Login, Passwort (in verschlüsselter Form gespeichert), Benutzer-ID;

• Kontaktdaten (E-Mail-Adresse, Telefonnummer, sofern freiwillig angegeben);

• Land und, falls erforderlich, Adresse oder Sitz der Firma.

2. Transaktions- und Rechnungsdaten

• Informationen über Bestellungen, gekaufte oder verkaufte Dienstleistungen und Produkte;

• Zahlungsdetails (Betrag, Datum, Zahlungsmethode, Transaktions-ID);

• Rechnungsdaten (Firmenname, Umsatzsteuer-Identifikationsnummer, Adresse);

• Auszahlungsdetails für Verkäufer (Bankkonto oder Zahlungsdienst-ID).

3. Kommunikationsdaten

• über den Plattform-Chat ausgetauschte Nachrichten;

• über Kontaktformulare oder E-Mail gesendete Anfragen;

• Informationen, die zur Bearbeitung von Streitigkeiten, Beschwerden und Supportanfragen erforderlich sind.

4. Technische Daten und Nutzungsdaten

• IP-Adresse, Browsertyp, Geräteinformationen;

• Protokolle von Aktionen innerhalb der Plattform (Anmeldung, Bestellungen, Statusänderungen);

• Cookie-Identifikatoren und ähnliche Technologien (siehe Abschnitt 10).

5. Marketingdaten

• Einwilligungen zum Erhalt von Newslettern oder Marketinginformationen;

• Daten zum Öffnen von Nachrichten und zur Nutzung von Links in der Marketingkommunikation.

In einigen Fällen (z. B. bei der Überprüfung von Verkäufern, bei Betrugsbekämpfungsmaßnahmen oder aufgrund gesetzlicher Verpflichtungen) können wir auch zusätzliche Identifikations- oder Geschäftsdokumente anfordern, jedoch nur, wenn dies notwendig und gerechtfertigt ist.

Wir erheben nicht absichtlich besondere Kategorien von Daten („sensible Daten“) wie Informationen über Gesundheit, Religion oder politische Ansichten. Bitte geben Sie solche Daten nicht über die Plattform ein.

4. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten für die folgenden Zwecke und auf der folgenden Rechtsgrundlage (Art. 6 DSGVO):

1. Erstellung und Verwaltung Ihres Benutzerkontos; Ermöglichung der Nutzung der Plattform

o Rechtsgrundlage: Erfüllung eines Vertrags oder Durchführung von Maßnahmen auf Ihren Wunsch vor Vertragsabschluss (Art. 6 Abs. 1 lit. b DSGVO).

2. Abwicklung von Bestellungen, Zahlungen, Auszahlungen und Treuhandgeschäften

• Registrierung und Abwicklung von Transaktionen zwischen Käufern und Verkäufern;

• Berechnung und Einziehung der Plattformprovision;

• monatliche Auszahlung der Gelder an die Verkäufer;

• Bearbeitung von Streitigkeiten und Beschwerden.

• Rechtsgrundlage: Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) und gesetzliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).

3. Erfüllung gesetzlicher Verpflichtungen

• Steuer-, Buchhaltungs- und Berichtspflichten;

• Verpflichtungen im Zusammenhang mit dem Verbraucherschutz und dem E-Commerce-Recht.

• Rechtsgrundlage: gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).

4. Gewährleistung der Sicherheit und des ordnungsgemäßen Funktionierens der Plattform

• Verhinderung von Betrug und Missbrauch;

• Führung von Protokollen, Backups und technische Sicherheit.

• Rechtsgrundlage: berechtigtes Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO).

5. Interne Analysen und Verbesserung der Dienste

• Analyse der Nutzung der Plattform;

• Verbesserung der Funktionalität und der Benutzererfahrung.

• Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

6. Vermarktung unserer eigenen Dienste

• Versand von Informationen über neue Funktionen, Werbeaktionen und Aktualisierungen (Newsletter, E-Mail-Marketing) – nur im gesetzlich zulässigen Umfang.

• Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), je nach Kanal und Rechtsordnung.

7. Bearbeitung Ihrer Anfragen, die Sie über Formulare oder per E-Mail senden

• Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – Kommunikation mit Nutzern und Personen, die an unseren Dienstleistungen interessiert sind.

Wenn die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese Einwilligung jederzeit widerrufen. Der Widerruf hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung auf der Grundlage der Einwilligung vor deren Widerruf.

5. Empfänger der Daten

Wir können Ihre personenbezogenen Daten weitergeben an:

• technische Dienstleister (Hosting, IT, Cloud-Dienste, Wartung);

• Zahlungsdienstleistern und Banken, die Transaktionen und Auszahlungen verarbeiten;

• Buchhaltungs- und Rechtsdienstleistern;

• E-Mail- und Kommunikationsdienstleistern (z. B. Newsletter-Tools, Transaktions-E-Mail-Anbieter);

• Analyse- und Marketing-Tools (im gesetzlich zulässigen Rahmen);

• Kurier- und Logistikdienstleistern (für den Versand physischer Waren);

• Behörden oder Gerichten, wenn wir gesetzlich dazu verpflichtet sind.

Wenn Verkäufer Ihre Daten erhalten (z. B. als Käufer zum Zwecke der Vertragserfüllung), verarbeiten sie diese als unabhängige Verantwortliche für ihre eigenen Zwecke und in Übereinstimmung mit ihren eigenen Datenschutzrichtlinien.

Wir verkaufen Ihre personenbezogenen Daten nicht.

6. Übermittlungen außerhalb des EWR

Einige unserer Dienstleister können außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig sein, beispielsweise in Ländern, für die die Europäische Kommission keine Angemessenheitsentscheidung getroffen hat.

Wenn Daten außerhalb des EWR übertragen werden, stellen wir sicher, dass

• angemessene rechtliche Garantien vorhanden sind, insbesondere die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (SCCs), oder

• die Übertragung in ein Land erfolgt, das nach Ansicht der Europäischen Kommission ein angemessenes Schutzniveau bietet.

Sie können eine Kopie der Garantien für eine bestimmte Übermittlung erhalten, indem Sie uns über das Kontaktformular kontaktieren.

7. Aufbewahrungsfristen für Daten

Wir speichern personenbezogene Daten nur so lange, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist, insbesondere:

• Daten zu Ihrem Konto – für die Dauer Ihres Kontos und anschließend für eine Verjährungsfrist für Ansprüche (in der Regel bis zu 6 Jahre ab dem Ende des Jahres, in dem die Beziehung beendet wurde);

• Transaktions-, Rechnungs- und Buchhaltungsdaten – für die nach polnischem Steuer- und Rechnungslegungsrecht vorgeschriebenen Zeiträume (in der Regel bis zu mehreren Jahren);

• Kommunikationsdaten (Support, Streitigkeiten) – für die zur Bearbeitung der Angelegenheit erforderliche Zeit und für die Verjährungsfrist für mögliche Ansprüche;

• Marketingdaten – bis Sie der Verarbeitung widersprechen oder Ihre Einwilligung widerrufen (sofern die Einwilligung die Rechtsgrundlage ist).

Nach Ablauf dieser Fristen werden die Daten gelöscht oder anonymisiert.

8. Ihre Rechte

Gemäß der DSGVO haben Sie in Bezug auf Ihre personenbezogenen Daten folgende Rechte:

1. Recht auf Auskunft – Sie haben das Recht, Auskunft darüber zu erhalten, ob wir Ihre Daten verarbeiten, und eine Kopie davon zu erhalten.

2. Recht auf Berichtigung – Sie haben das Recht, unrichtige oder unvollständige Daten berichtigen zu lassen.

3. Recht auf Löschung („Recht auf Vergessenwerden“) – wenn gesetzliche Gründe vorliegen (z. B. wenn die Daten nicht mehr benötigt werden, die Einwilligung widerrufen wurde und keine andere Rechtsgrundlage gilt).

4. Recht auf Einschränkung der Verarbeitung – in gesetzlich festgelegten Fällen.

5. Recht auf Datenübertragbarkeit – Sie haben das Recht, die uns von Ihnen zur Verfügung gestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen übermitteln zu lassen, sofern dies technisch möglich ist.

6. Widerspruchsrecht – gegen die Verarbeitung auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), einschließlich Profiling; insbesondere können Sie jederzeit der Verarbeitung für Direktmarketingzwecke widersprechen.

7. Recht auf Widerruf der Einwilligung – wenn die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen.

Um Ihre Rechte auszuüben, kontaktieren Sie uns bitte über das Kontaktformular. Möglicherweise müssen wir Ihre Identität überprüfen, bevor wir Ihrer Anfrage nachkommen können.

Sie haben auch das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen:

Präsident des Amtes für den Schutz personenbezogener Daten (Prezes Urzędu Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Warschau, Polen

Die Website-Adresse finden Sie auf der offiziellen Website der Behörde.

9. Automatisierte Entscheidungsfindung und Profiling

Wir treffen keine Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen und die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen würden.

Wir können grundlegendes Profiling (z. B. Segmentierung nach Sprache, Land, Kategorie der genutzten Dienste) für Analyse- und Marketingzwecke verwenden, aber eine solche Verarbeitung hat keine wesentlichen Auswirkungen auf Ihre Rechte und Freiheiten.

10. Cookies und ähnliche Technologien

Die Plattform verwendet Cookies und ähnliche Technologien, um:

• das ordnungsgemäße Funktionieren der Website und der Benutzersitzungen sicherzustellen;

• Ihre Einstellungen und Präferenzen zu speichern;

• Statistiken und Analysen durchzuführen;

• Marketingaktivitäten in Übereinstimmung mit geltendem Recht zu unterstützen.

Sie können Cookies über Ihre Browsereinstellungen oder, sofern vorhanden, über das Cookie-Banner/Einstellungscenter auf der Website verwalten. Die Einschränkung von Cookies kann einige Funktionen der Plattform beeinträchtigen.

Einzelheiten zu den verwendeten Cookie-Typen können in einer separaten Cookie-Richtlinie beschrieben sein.

11. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren, beispielsweise aufgrund von Änderungen der Gesetzgebung oder der Funktionsweise der Plattform. Die aktualisierte Version wird auf der Website mit einem neuen „Gültigkeitsdatum” veröffentlicht. Bei wesentlichen Änderungen können wir Sie zusätzlich per E-Mail oder über die Plattform informieren.