Basket

Politique de confidentialité

ENGLISH

Privacy Policy (GDPR / RODO)

Effective date: 23 of November, 2025

This Privacy Policy explains how Kartonika Sp. z o.o. processes personal data of users of the online platform (marketplace) operated by Kartonika Sp. z o.o.

1. Data Controller

The controller of your personal data is:

Kartonika Sp. z o.o.

Al. Armii Ludowej 6/164

00-571 Warsaw, POLAND

NIP (VAT ID): PL7010516252

You can contact us regarding privacy matters via the contact form available on the website. The current contact details are always indicated in the “Contact” section of the platform.

Kartonika Sp. z o.o. has not appointed a Data Protection Officer (DPO). All questions related to data protection are handled directly by the Controller.

2. Scope of this Policy

This Policy applies to:

• visitors of the website and platform;

• registered Buyers (clients);

• registered Sellers (service providers, product vendors, creative service providers);

• persons contacting us via forms, email or other channels in connection with the platform.

This Policy does not regulate processing of data by Sellers for their own independent purposes (e.g. issuing invoices to their customers, maintaining their own CRM). In such cases, the Seller acts as an independent controller and is responsible for its own privacy obligations.

3. Categories of data we process

Depending on how you use the platform, we may process in particular:

1. Account data

•name, surname or business name;

• login, password (stored in encrypted form), user ID;

• contact details (email, phone number if voluntarily provided);

• country and, where needed, address or registered office.

2. Transaction and billing data

• information about orders, services and products purchased or sold;

• payment details (amount, date, payment method, transaction ID);

• invoicing data (company name, VAT number, address);

• payout details for Sellers (bank account or payment service ID).

3. Communication data

• messages exchanged via the platform chat;

• enquiries sent via contact forms or email;

• information necessary to handle disputes, complaints and support requests.

4. Technical and usage data

• IP address, browser type, device information;

• logs of actions within the platform (log-in, orders, status changes);

• cookie identifiers and similar technologies (see section 10).

5. Marketing data

• consents to receive newsletters or marketing information;

• data on opening of messages and use of links in marketing communication.

In some cases (for example verification of Sellers, anti-fraud checks, legal obligations) we may also ask for additional identification or business documents, but only where necessary and justified.

We do not intentionally collect special categories of data (“sensitive data”) such as information about health, religion or political views. Please do not provide such data via the platform.

4. Purposes and legal bases of processing

We process your personal data for the following purposes and on the following legal bases (Art. 6 GDPR):

1. Creating and managing your user account; enabling the use of the platform

o Legal basis: performance of a contract or taking steps at your request prior to entering into a contract (Art. 6(1)(b) GDPR).

2. Handling orders, payments, payouts and escrow

• registering and processing transactions between Buyers and Sellers;

• calculating and collecting platform commission;

• paying out funds to Sellers once a month;

• dealing with disputes and complaints.

• Legal basis: performance of a contract (Art. 6(1)(b) GDPR) and legal obligations (Art. 6(1)(c) GDPR).

3. Fulfilling legal obligations

• tax, accounting and reporting obligations;

• obligations related to consumer protection and e-commerce law.

• Legal basis: legal obligation (Art. 6(1)(c) GDPR).

4. Ensuring security and proper functioning of the platform

• preventing fraud and abuse;

• maintaining logs, backups and technical security.

• Legal basis: legitimate interest of the Controller (Art. 6(1)(f) GDPR).

5. Internal analytics and improvement of services

• analysis of how the platform is used;

• improving functionality and user experience.

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR).

6. Marketing of our own services

• sending information about new features, promotions and updates (newsletter, email marketing) – only to the extent permitted by law.

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) or consent (Art. 6(1)(a) GDPR), depending on the channel and jurisdiction.

7. Handling your enquiries sent via forms or email

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) – communication with users and persons interested in our services.

If processing is based on your consent, you may withdraw that consent at any time. Withdrawal does not affect the lawfulness of processing based on consent before its withdrawal.

5. Data recipients

We may share your personal data with:

• technical service providers (hosting, IT, cloud services, maintenance);

• payment service providers and banks processing transactions and payouts;

• accounting and legal service providers;

• email and communication service providers (e.g. newsletter tools, transactional email providers);

• analytics and marketing tools (within the limits permitted by law);

• courier and logistics providers (for physical goods shipments);

• public authorities or courts, when we are legally obliged to do so.

Where Sellers receive your data (e.g. as Buyers, for the purposes of contract performance), they process it as independent controllers for their own purposes and in accordance with their own privacy policies.

We do not sell your personal data.

6. Transfers outside the EEA

Some of our service providers may be located outside the European Economic Area (EEA), for example in countries where the European Commission has not issued an adequacy decision.

If data is transferred outside the EEA, we ensure that:

• appropriate legal safeguards are in place, in particular Standard Contractual Clauses (SCCs) adopted by the European Commission, or

• the transfer takes place to a country with an adequate level of protection as recognised by the European Commission.

You may obtain a copy of the safeguards relating to a specific transfer by contacting us via the contact form.

7. Data retention periods

We store personal data only for as long as necessary for the purposes for which it was collected, in particular:

• data related to your account – for the duration of your account and then for a limitation period for claims (for example, usually up to 6 years from the end of the year in which the relationship ended);

• transaction, invoicing and accounting data – for periods required by Polish tax and accounting law (usually up to several years);

• communication data (support, disputes) – for the time necessary to handle the matter and for the limitation period for potential claims;

• marketing data – until you object to processing or withdraw your consent (where consent is the legal basis).

After these periods, data is erased or anonymised.

8. Your rights

Under GDPR, you have the following rights in relation to your personal data:

1. Right of access – to obtain information whether we process your data and to receive a copy of it.

2. Right to rectification – to have inaccurate or incomplete data corrected.

3. Right to erasure (“right to be forgotten”) – where legal grounds exist (e.g. data is no longer necessary, consent is withdrawn and no other legal basis applies).

4. Right to restriction of processing – in cases specified by law.

5. Right to data portability – to receive data you provided to us in a structured, commonly used machine-readable format and to have it transmitted to another controller, where technically feasible.

6. Right to object – to processing based on our legitimate interest (Art. 6(1)(f) GDPR), including profiling; in particular you may object at any time to processing for direct marketing.

7. Right to withdraw consent – where processing is based on consent, you can withdraw it at any time.

To exercise your rights, please contact us via the contact form. We may need to verify your identity before fulfilling your request.

You also have the right to lodge a complaint with the supervisory authority:

President of the Personal Data Protection Office (Prezes Urzędu Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Warsaw, Poland

website address available on the authority’s official site.

9. Automated decision-making and profiling

We do not make decisions based solely on automated processing, including profiling, which would produce legal effects concerning you or similarly significantly affect you.

We may use basic profiling (e.g. segmentation by language, country, category of services used) for analytical and marketing purposes, but such processing does not have significant impact on your rights and freedoms.

10. Cookies and similar technologies

The platform uses cookies and similar technologies to:

• ensure proper functioning of the website and user sessions;

• remember your settings and preferences;

• perform statistics and analytics;

• support marketing activities in accordance with applicable law.

You can manage cookies using your browser settings or, where provided, via the cookie banner / preference centre on the website. Restricting cookies may affect some functionalities of the platform.

Details regarding types of cookies used may be described in a separate Cookie Policy.

11. Changes to this Policy

We may update this Privacy Policy from time to time, for example due to changes in law or in how the platform operates. The updated version will be published on the website with a new “Effective date”. In case of significant changes, we may additionally inform you by email or via the platform.

FRENCH

Politique de confidentialité (RGPD / RODO)

Date d’entrée en vigueur : 23 novembre 2025

La présente politique de confidentialité explique comment Kartonika Sp. z o.o. traite les données personnelles des utilisateurs de la plateforme en ligne (place de marché) exploitée par Kartonika Sp. z o.o.

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

Kartonika Sp. z o.o.

Al. Armii Ludowej 6/164

00-571 Varsovie, POLOGNE

NIP (numéro d’identification fiscale) : PL7010516252

Vous pouvez nous contacter pour toute question relative à la confidentialité via le formulaire de contact disponible sur le site web. Les coordonnées actuelles sont toujours indiquées dans la section « Contact » de la plateforme.

Kartonika Sp. z o.o. n’a pas désigné de délégué à la protection des données (DPO). Toutes les questions relatives à la protection des données sont traitées directement par le responsable du traitement.

2. Champ d’application de la présente politique

La présente politique s’applique :

• aux visiteurs du site web et de la plateforme ;

• aux acheteurs enregistrés (clients) ;

• aux vendeurs enregistrés (prestataires de services, vendeurs de produits, prestataires de services créatifs) ;

• aux personnes qui nous contactent via des formulaires, par e-mail ou par d’autres canaux en rapport avec la plateforme.

La présente politique ne régit pas le traitement des données par les vendeurs à des fins indépendantes (par exemple, l’émission de factures à leurs clients, la gestion de leur propre CRM). Dans de tels cas, le vendeur agit en tant que responsable du traitement indépendant et est responsable de ses propres obligations en matière de confidentialité.

3. Catégories de données que nous traitons

En fonction de la manière dont vous utilisez la plateforme, nous pouvons traiter en particulier :

1. Données du compte

• nom, prénom ou raison sociale ;

• identifiant, mot de passe (stocké sous forme cryptée), identifiant utilisateur ;

• coordonnées (e-mail, numéro de téléphone si fourni volontairement) ;

• pays et, si nécessaire, adresse ou siège social.

2. Données relatives aux transactions et à la facturation

• informations sur les commandes, les services et les produits achetés ou vendus ;

• détails du paiement (montant, date, mode de paiement, identifiant de la transaction) ;

• données de facturation (nom de l’entreprise, numéro de TVA, adresse) ;

• détails du paiement pour les vendeurs (compte bancaire ou identifiant du service de paiement).

3. Données de communication

• messages échangés via le chat de la plateforme ;

• demandes envoyées via les formulaires de contact ou par e-mail ;

• informations nécessaires pour traiter les litiges, les réclamations et les demandes d’assistance.

4. Données techniques et d’utilisation

• adresse IP, type de navigateur, informations sur l’appareil ;

• journaux des actions effectuées sur la plateforme (connexion, commandes, changements de statut) ;

• identifiants de cookies et technologies similaires (voir section 10).

5. Données marketing

• consentements à recevoir des newsletters ou des informations marketing ;

• données sur l’ouverture des messages et l’utilisation des liens dans les communications marketing.

Dans certains cas (par exemple, vérification des vendeurs, contrôles anti-fraude, obligations légales), nous pouvons également demander des documents d’identification ou commerciaux supplémentaires, mais uniquement lorsque cela est nécessaire et justifié.

Nous ne collectons pas intentionnellement de catégories particulières de données (« données sensibles ») telles que des informations sur la santé, la religion ou les opinions politiques. Veuillez ne pas fournir de telles données via la plateforme.

4. Finalités et bases juridiques du traitement

Nous traitons vos données à caractère personnel aux fins suivantes et sur les bases juridiques suivantes (art. 6 du RGPD) :

1. Création et gestion de votre compte utilisateur ; activation de l’utilisation de la plateforme

o Base juridique : exécution d’un contrat ou prise de mesures à votre demande avant la conclusion d’un contrat (art. 6, paragraphe 1, point b), du RGPD).

2. Traitement des commandes, des paiements, des versements et des dépôts fiduciaires

• enregistrement et traitement des transactions entre acheteurs et vendeurs ;

• calcul et perception de la commission de la plateforme ;

• versement des fonds aux vendeurs une fois par mois ;

• traitement des litiges et des réclamations.

• Base juridique : exécution d’un contrat (art. 6(1)(b) du RGPD) et obligations légales (art. 6(1)(c) du RGPD).

3. Respect des obligations légales

• obligations fiscales, comptables et de déclaration ;

• obligations liées à la protection des consommateurs et au droit du commerce électronique.

• Base juridique : obligation légale (art. 6(1)(c) du RGPD).

4. Garantie de la sécurité et du bon fonctionnement de la plateforme

• prévention de la fraude et des abus ;

• tenue de journaux, sauvegardes et sécurité technique.

• Base juridique : intérêt légitime du responsable du traitement (art. 6(1)(f) du RGPD).

5. Analyse interne et amélioration des services

• analyse de l’utilisation de la plateforme ;

• amélioration des fonctionnalités et de l’expérience utilisateur.

• Base juridique : intérêt légitime (art. 6(1)(f) du RGPD).

6. Commercialisation de nos propres services

• envoi d’informations sur les nouvelles fonctionnalités, les promotions et les mises à jour (newsletter, marketing par e-mail) – uniquement dans la mesure autorisée par la loi.

• Base juridique : intérêt légitime (art. 6(1)(f) du RGPD) ou consentement (art. 6(1)(a) du RGPD), selon le canal et la juridiction.

7. Traitement de vos demandes envoyées via des formulaires ou par e-mail

• Base juridique : intérêt légitime (art. 6(1)(f) du RGPD) – communication avec les utilisateurs et les personnes intéressées par nos services.

Si le traitement est basé sur votre consentement, vous pouvez retirer ce consentement à tout moment. Le retrait n’affecte pas la licéité du traitement basé sur le consentement avant son retrait.

5. Destinataires des données

Nous pouvons partager vos données personnelles avec :

• des prestataires de services techniques (hébergement, informatique, services cloud, maintenance) ;

• des prestataires de services de paiement et des banques traitant les transactions et les paiements ;

• des prestataires de services comptables et juridiques ;

• des prestataires de services de messagerie électronique et de communication (par exemple, outils de newsletter, prestataires de messagerie électronique transactionnelle) ;

• des outils d’analyse et de marketing (dans les limites autorisées par la loi) ;

• des prestataires de services de messagerie et de logistique (pour les expéditions de marchandises physiques) ;

• les autorités publiques ou les tribunaux, lorsque nous y sommes légalement tenus.

Lorsque les vendeurs reçoivent vos données (par exemple en tant qu’acheteurs, aux fins de l’exécution du contrat), ils les traitent en tant que responsables indépendants à leurs propres fins et conformément à leurs propres politiques de confidentialité.

Nous ne vendons pas vos données personnelles.

6. Transferts en dehors de l’EEE

Certains de nos prestataires de services peuvent être situés en dehors de l’Espace économique européen (EEE), par exemple dans des pays où la Commission européenne n’a pas rendu de décision d’adéquation.

Si des données sont transférées en dehors de l’EEE, nous veillons à ce que :

• des garanties juridiques appropriées soient en place, en particulier les clauses contractuelles types (SCC) adoptées par la Commission européenne, ou

• le transfert ait lieu vers un pays offrant un niveau de protection adéquat reconnu par la Commission européenne.

Vous pouvez obtenir une copie des garanties relatives à un transfert spécifique en nous contactant via le formulaire de contact.

7. Périodes de conservation des données

Nous conservons les données à caractère personnel uniquement pendant la durée nécessaire aux fins pour lesquelles elles ont été collectées, en particulier :

• les données relatives à votre compte – pendant la durée de votre compte, puis pendant un délai de prescription pour les réclamations (par exemple, généralement jusqu’à 6 ans à compter de la fin de l’année au cours de laquelle la relation a pris fin) ;

• les données relatives aux transactions, à la facturation et à la comptabilité – pendant les périodes requises par la législation fiscale et comptable polonaise (généralement jusqu’à plusieurs années) ;

• les données de communication (assistance, litiges) – pendant le temps nécessaire au traitement du dossier et pendant le délai de prescription pour d’éventuelles réclamations ;

• les données marketing – jusqu’à ce que vous vous opposiez au traitement ou retiriez votre consentement (lorsque le consentement est la base juridique).

Au terme de ces périodes, les données sont effacées ou anonymisées.

8. Vos droits

En vertu du RGPD, vous disposez des droits suivants en ce qui concerne vos données à caractère personnel :

1. Droit d’accès – obtenir des informations sur le traitement de vos données et en recevoir une copie.

2. Droit de rectification – faire corriger des données inexactes ou incomplètes.

3. Droit à l’effacement (« droit à l’oubli ») : lorsqu’il existe des motifs légaux (par exemple, les données ne sont plus nécessaires, le consentement est retiré et aucune autre base juridique ne s’applique).

4. Droit à la limitation du traitement : dans les cas prévus par la loi.

5. Droit à la portabilité des données : recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et les faire transmettre à un autre responsable du traitement, lorsque cela est techniquement possible.

6. Droit d’opposition – au traitement fondé sur notre intérêt légitime (art. 6, paragraphe 1, point f) du RGPD), y compris le profilage ; vous pouvez notamment vous opposer à tout moment au traitement à des fins de marketing direct.

7. Droit de retirer votre consentement – lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment.

Pour exercer vos droits, veuillez nous contacter via le formulaire de contact. Nous pouvons être amenés à vérifier votre identité avant de donner suite à votre demande.

Vous avez également le droit de déposer une plainte auprès de l’autorité de contrôle :

Président de l’Office de protection des données personnelles (Prezes Urzędu Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Varsovie, Pologne

adresse du site web disponible sur le site officiel de l’autorité.

9. Prise de décision automatisée et profilage

Nous ne prenons pas de décisions fondées uniquement sur un traitement automatisé, y compris le profilage, qui produirait des effets juridiques vous concernant ou vous affecterait de manière similaire et significative.

Nous pouvons utiliser un profilage de base (par exemple, segmentation par langue, pays, catégorie de services utilisés) à des fins d’analyse et de marketing, mais ce traitement n’a pas d’impact significatif sur vos droits et libertés.

10. Cookies et technologies similaires

La plateforme utilise des cookies et des technologies similaires pour :

• assurer le bon fonctionnement du site web et des sessions des utilisateurs ;

• mémoriser vos paramètres et préférences ;

• effectuer des statistiques et des analyses ;

• soutenir les activités de marketing conformément à la législation applicable.

Vous pouvez gérer les cookies à l’aide des paramètres de votre navigateur ou, le cas échéant, via la bannière/le centre de préférences des cookies sur le site web. La restriction des cookies peut affecter certaines fonctionnalités de la plateforme.

Les détails concernant les types de cookies utilisés peuvent être décrits dans une politique distincte relative aux cookies.

11. Modifications de la présente politique

Nous pouvons mettre à jour la présente politique de confidentialité de temps à autre, par exemple en raison de modifications de la législation ou du fonctionnement de la plateforme. La version mise à jour sera publiée sur le site web avec une nouvelle « date d’entrée en vigueur ». En cas de modifications importantes, nous pouvons également vous en informer par e-mail ou via la plateforme.