Basket

Informativa sulla privacy

ENGLISH

Privacy Policy (GDPR / RODO)

Effective date: 23 of November, 2025

This Privacy Policy explains how Kartonika Sp. z o.o. processes personal data of users of the online platform (marketplace) operated by Kartonika Sp. z o.o.

1. Data Controller

The controller of your personal data is:

Kartonika Sp. z o.o.

Al. Armii Ludowej 6/164

00-571 Warsaw, POLAND

NIP (VAT ID): PL7010516252

You can contact us regarding privacy matters via the contact form available on the website. The current contact details are always indicated in the “Contact” section of the platform.

Kartonika Sp. z o.o. has not appointed a Data Protection Officer (DPO). All questions related to data protection are handled directly by the Controller.

2. Scope of this Policy

This Policy applies to:

• visitors of the website and platform;

• registered Buyers (clients);

• registered Sellers (service providers, product vendors, creative service providers);

• persons contacting us via forms, email or other channels in connection with the platform.

This Policy does not regulate processing of data by Sellers for their own independent purposes (e.g. issuing invoices to their customers, maintaining their own CRM). In such cases, the Seller acts as an independent controller and is responsible for its own privacy obligations.

3. Categories of data we process

Depending on how you use the platform, we may process in particular:

1. Account data

•name, surname or business name;

• login, password (stored in encrypted form), user ID;

• contact details (email, phone number if voluntarily provided);

• country and, where needed, address or registered office.

2. Transaction and billing data

• information about orders, services and products purchased or sold;

• payment details (amount, date, payment method, transaction ID);

• invoicing data (company name, VAT number, address);

• payout details for Sellers (bank account or payment service ID).

3. Communication data

• messages exchanged via the platform chat;

• enquiries sent via contact forms or email;

• information necessary to handle disputes, complaints and support requests.

4. Technical and usage data

• IP address, browser type, device information;

• logs of actions within the platform (log-in, orders, status changes);

• cookie identifiers and similar technologies (see section 10).

5. Marketing data

• consents to receive newsletters or marketing information;

• data on opening of messages and use of links in marketing communication.

In some cases (for example verification of Sellers, anti-fraud checks, legal obligations) we may also ask for additional identification or business documents, but only where necessary and justified.

We do not intentionally collect special categories of data (“sensitive data”) such as information about health, religion or political views. Please do not provide such data via the platform.

4. Purposes and legal bases of processing

We process your personal data for the following purposes and on the following legal bases (Art. 6 GDPR):

1. Creating and managing your user account; enabling the use of the platform

o Legal basis: performance of a contract or taking steps at your request prior to entering into a contract (Art. 6(1)(b) GDPR).

2. Handling orders, payments, payouts and escrow

• registering and processing transactions between Buyers and Sellers;

• calculating and collecting platform commission;

• paying out funds to Sellers once a month;

• dealing with disputes and complaints.

• Legal basis: performance of a contract (Art. 6(1)(b) GDPR) and legal obligations (Art. 6(1)(c) GDPR).

3. Fulfilling legal obligations

• tax, accounting and reporting obligations;

• obligations related to consumer protection and e-commerce law.

• Legal basis: legal obligation (Art. 6(1)(c) GDPR).

4. Ensuring security and proper functioning of the platform

• preventing fraud and abuse;

• maintaining logs, backups and technical security.

• Legal basis: legitimate interest of the Controller (Art. 6(1)(f) GDPR).

5. Internal analytics and improvement of services

• analysis of how the platform is used;

• improving functionality and user experience.

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR).

6. Marketing of our own services

• sending information about new features, promotions and updates (newsletter, email marketing) – only to the extent permitted by law.

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) or consent (Art. 6(1)(a) GDPR), depending on the channel and jurisdiction.

7. Handling your enquiries sent via forms or email

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) – communication with users and persons interested in our services.

If processing is based on your consent, you may withdraw that consent at any time. Withdrawal does not affect the lawfulness of processing based on consent before its withdrawal.

5. Data recipients

We may share your personal data with:

• technical service providers (hosting, IT, cloud services, maintenance);

• payment service providers and banks processing transactions and payouts;

• accounting and legal service providers;

• email and communication service providers (e.g. newsletter tools, transactional email providers);

• analytics and marketing tools (within the limits permitted by law);

• courier and logistics providers (for physical goods shipments);

• public authorities or courts, when we are legally obliged to do so.

Where Sellers receive your data (e.g. as Buyers, for the purposes of contract performance), they process it as independent controllers for their own purposes and in accordance with their own privacy policies.

We do not sell your personal data.

6. Transfers outside the EEA

Some of our service providers may be located outside the European Economic Area (EEA), for example in countries where the European Commission has not issued an adequacy decision.

If data is transferred outside the EEA, we ensure that:

• appropriate legal safeguards are in place, in particular Standard Contractual Clauses (SCCs) adopted by the European Commission, or

• the transfer takes place to a country with an adequate level of protection as recognised by the European Commission.

You may obtain a copy of the safeguards relating to a specific transfer by contacting us via the contact form.

7. Data retention periods

We store personal data only for as long as necessary for the purposes for which it was collected, in particular:

• data related to your account – for the duration of your account and then for a limitation period for claims (for example, usually up to 6 years from the end of the year in which the relationship ended);

• transaction, invoicing and accounting data – for periods required by Polish tax and accounting law (usually up to several years);

• communication data (support, disputes) – for the time necessary to handle the matter and for the limitation period for potential claims;

• marketing data – until you object to processing or withdraw your consent (where consent is the legal basis).

After these periods, data is erased or anonymised.

8. Your rights

Under GDPR, you have the following rights in relation to your personal data:

1. Right of access – to obtain information whether we process your data and to receive a copy of it.

2. Right to rectification – to have inaccurate or incomplete data corrected.

3. Right to erasure (“right to be forgotten”) – where legal grounds exist (e.g. data is no longer necessary, consent is withdrawn and no other legal basis applies).

4. Right to restriction of processing – in cases specified by law.

5. Right to data portability – to receive data you provided to us in a structured, commonly used machine-readable format and to have it transmitted to another controller, where technically feasible.

6. Right to object – to processing based on our legitimate interest (Art. 6(1)(f) GDPR), including profiling; in particular you may object at any time to processing for direct marketing.

7. Right to withdraw consent – where processing is based on consent, you can withdraw it at any time.

To exercise your rights, please contact us via the contact form. We may need to verify your identity before fulfilling your request.

You also have the right to lodge a complaint with the supervisory authority:

President of the Personal Data Protection Office (Prezes Urzędu Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Warsaw, Poland

website address available on the authority’s official site.

9. Automated decision-making and profiling

We do not make decisions based solely on automated processing, including profiling, which would produce legal effects concerning you or similarly significantly affect you.

We may use basic profiling (e.g. segmentation by language, country, category of services used) for analytical and marketing purposes, but such processing does not have significant impact on your rights and freedoms.

10. Cookies and similar technologies

The platform uses cookies and similar technologies to:

• ensure proper functioning of the website and user sessions;

• remember your settings and preferences;

• perform statistics and analytics;

• support marketing activities in accordance with applicable law.

You can manage cookies using your browser settings or, where provided, via the cookie banner / preference centre on the website. Restricting cookies may affect some functionalities of the platform.

Details regarding types of cookies used may be described in a separate Cookie Policy.

11. Changes to this Policy

We may update this Privacy Policy from time to time, for example due to changes in law or in how the platform operates. The updated version will be published on the website with a new “Effective date”. In case of significant changes, we may additionally inform you by email or via the platform.

ITALIAN

Informativa sulla privacy (GDPR / RODO)

Data di entrata in vigore: 23 novembre 2025

La presente Informativa sulla privacy spiega come Kartonika Sp. z o.o. tratta i dati personali degli utenti della piattaforma online (marketplace) gestita da Kartonika Sp. z o.o.

1. Titolare del trattamento

Il titolare del trattamento dei tuoi dati personali è:

Kartonika Sp. z o.o.

Al. Armii Ludowej 6/164

00-571 Varsavia, POLONIA

NIP (Partita IVA): PL7010516252

È possibile contattarci in merito a questioni relative alla privacy tramite il modulo di contatto disponibile sul sito web. I recapiti attuali sono sempre indicati nella sezione “Contatti” della piattaforma.

Kartonika Sp. z o.o. non ha nominato un responsabile della protezione dei dati (DPO). Tutte le questioni relative alla protezione dei dati sono gestite direttamente dal Titolare.

2. Ambito di applicazione della presente Informativa

La presente Informativa si applica a:

• visitatori del sito web e della piattaforma;

• Acquirenti registrati (clienti);

• Venditori registrati (fornitori di servizi, venditori di prodotti, fornitori di servizi creativi);

• persone che ci contattano tramite moduli, e-mail o altri canali in relazione alla piattaforma.

La presente Informativa non disciplina il trattamento dei dati da parte dei Venditori per i propri scopi indipendenti (ad esempio, l’emissione di fatture ai propri clienti, la gestione del proprio CRM). In tali casi, il Venditore agisce come titolare del trattamento indipendente ed è responsabile dei propri obblighi in materia di privacy.

3. Categorie di dati che trattiamo

A seconda di come utilizzi la piattaforma, potremmo trattare in particolare:

1. Dati dell’account

• nome, cognome o ragione sociale;

• login, password (memorizzata in forma crittografata), ID utente;

• recapiti (e-mail, numero di telefono se fornito volontariamente);

• paese e, se necessario, indirizzo o sede legale.

2. Dati relativi alle transazioni e alla fatturazione

• informazioni su ordini, servizi e prodotti acquistati o venduti;

• dettagli di pagamento (importo, data, metodo di pagamento, ID della transazione);

• dati di fatturazione (ragione sociale, partita IVA, indirizzo);

• dettagli di pagamento per i venditori (conto bancario o ID del servizio di pagamento).

3. Dati di comunicazione

• messaggi scambiati tramite la chat della piattaforma;

• richieste inviate tramite moduli di contatto o e-mail;

• informazioni necessarie per gestire controversie, reclami e richieste di assistenza.

4. Dati tecnici e di utilizzo

• indirizzo IP, tipo di browser, informazioni sul dispositivo;

• registri delle azioni all’interno della piattaforma (accesso, ordini, modifiche di stato);

• identificatori dei cookie e tecnologie simili (vedere la sezione 10).

5. Dati di marketing

• consensi alla ricezione di newsletter o informazioni di marketing;

• dati sull’apertura dei messaggi e sull’utilizzo dei link nelle comunicazioni di marketing.

In alcuni casi (ad esempio verifica dei venditori, controlli antifrode, obblighi legali) potremmo anche richiedere ulteriori documenti di identificazione o commerciali, ma solo se necessario e giustificato.

Non raccogliamo intenzionalmente categorie speciali di dati (“dati sensibili”) come informazioni sulla salute, la religione o le opinioni politiche. Si prega di non fornire tali dati tramite la piattaforma.

4. Finalità e basi giuridiche del trattamento

Trattiamo i tuoi dati personali per le seguenti finalità e sulle seguenti basi giuridiche (art. 6 GDPR):

1. Creazione e gestione del tuo account utente; abilitazione all’uso della piattaforma

o Base giuridica: esecuzione di un contratto o adozione di misure su tua richiesta prima della stipula di un contratto (art. 6(1)(b) GDPR).

2. Gestione di ordini, pagamenti, pagamenti e depositi a garanzia

• registrazione ed elaborazione delle transazioni tra acquirenti e venditori;

• calcolo e riscossione delle commissioni della piattaforma;

• pagamento dei fondi ai venditori una volta al mese;

• gestione di controversie e reclami.

• Base giuridica: esecuzione di un contratto (art. 6(1)(b) GDPR) e obblighi legali (art. 6(1)(c) GDPR).

3. Adempimento degli obblighi legali

• obblighi fiscali, contabili e di rendicontazione;

• obblighi relativi alla tutela dei consumatori e alla legislazione sul commercio elettronico.

• Base giuridica: obbligo legale (art. 6(1)(c) GDPR).

4. Garanzia della sicurezza e del corretto funzionamento della piattaforma

• prevenzione di frodi e abusi;

• mantenimento di registri, backup e sicurezza tecnica.

• Base giuridica: interesse legittimo del Titolare del trattamento (art. 6(1)(f) GDPR).

5. Analisi interna e miglioramento dei servizi

• analisi dell’utilizzo della piattaforma;

• miglioramento della funzionalità e dell’esperienza utente.

• Base giuridica: interesse legittimo (art. 6(1)(f) GDPR).

6. Commercializzazione dei nostri servizi

• invio di informazioni su nuove funzionalità, promozioni e aggiornamenti (newsletter, email marketing) – solo nella misura consentita dalla legge.

• Base giuridica: interesse legittimo (art. 6(1)(f) GDPR) o consenso (art. 6(1)(a) GDPR), a seconda del canale e della giurisdizione.

7. Gestione delle richieste inviate tramite moduli o email

• Base giuridica: interesse legittimo (art. 6(1)(f) GDPR) – comunicazione con gli utenti e le persone interessate ai nostri servizi.

Se il trattamento si basa sul tuo consenso, puoi revocarlo in qualsiasi momento. La revoca non pregiudica la liceità del trattamento basato sul consenso prima della sua revoca.

5. Destinatari dei dati

Potremmo condividere i tuoi dati personali con:

• fornitori di servizi tecnici (hosting, IT, servizi cloud, manutenzione);

• fornitori di servizi di pagamento e banche che elaborano transazioni e pagamenti;

• fornitori di servizi contabili e legali;

• fornitori di servizi di posta elettronica e comunicazione (ad es. strumenti per newsletter, fornitori di posta elettronica transazionale);

• strumenti di analisi e marketing (nei limiti consentiti dalla legge);

• corrieri e fornitori di servizi logistici (per la spedizione di beni fisici);

• autorità pubbliche o tribunali, quando siamo legalmente obbligati a farlo.

Quando i venditori ricevono i tuoi dati (ad esempio come acquirenti, ai fini dell’esecuzione del contratto), li trattano come titolari indipendenti per i propri scopi e in conformità con le proprie politiche sulla privacy.

Non vendiamo i tuoi dati personali.

6. Trasferimenti al di fuori del SEE

Alcuni dei nostri fornitori di servizi potrebbero avere sede al di fuori dello Spazio economico europeo (SEE), ad esempio in paesi in cui la Commissione europea non ha emesso una decisione di adeguatezza.

Se i dati vengono trasferiti al di fuori del SEE, garantiamo che:

• siano in atto adeguate garanzie giuridiche, in particolare le clausole contrattuali standard (SCC) adottate dalla Commissione Europea, oppure

• il trasferimento avvenga verso un paese con un livello di protezione adeguato riconosciuto dalla Commissione Europea.

È possibile ottenere una copia delle garanzie relative a un trasferimento specifico contattandoci tramite il modulo di contatto.

7. Periodi di conservazione dei dati

Conserviamo i dati personali solo per il tempo necessario agli scopi per cui sono stati raccolti, in particolare:

• dati relativi al tuo account – per la durata del tuo account e poi per un periodo di prescrizione per i reclami (ad esempio, di solito fino a 6 anni dalla fine dell’anno in cui il rapporto è terminato);

• dati relativi a transazioni, fatturazione e contabilità – per i periodi richiesti dalla normativa fiscale e contabile polacca (di solito fino a diversi anni);

• dati relativi alle comunicazioni (assistenza, controversie) – per il tempo necessario a gestire la questione e per il periodo di prescrizione per potenziali reclami;

• dati di marketing – fino a quando non si oppone al trattamento o revoca il suo consenso (laddove il consenso sia la base giuridica).

Trascorsi tali periodi, i dati vengono cancellati o resi anonimi.

8. I vostri diritti

Ai sensi del GDPR, avete i seguenti diritti in relazione ai vostri dati personali:

1. Diritto di accesso: ottenere informazioni sul trattamento dei vostri dati e riceverne una copia.

2. Diritto di rettifica: ottenere la correzione di dati inesatti o incompleti.

3. Diritto alla cancellazione (“diritto all’oblio”) – laddove sussistano motivi legali (ad esempio, i dati non sono più necessari, il consenso è stato revocato e non si applica alcuna altra base giuridica).

4. Diritto alla limitazione del trattamento – nei casi specificati dalla legge.

5. Diritto alla portabilità dei dati – ricevere i dati che ci avete fornito in un formato strutturato, di uso comune e leggibile da dispositivo automatico e trasmetterli a un altro titolare del trattamento, ove tecnicamente fattibile.

6. Diritto di opposizione – al trattamento basato sul nostro legittimo interesse (art. 6(1)(f) GDPR), compresa la profilazione; in particolare, potete opporvi in qualsiasi momento al trattamento per finalità di marketing diretto.

7. Diritto di revoca del consenso – se il trattamento si basa sul consenso, potete revocarlo in qualsiasi momento.

Per esercitare i tuoi diritti, ti preghiamo di contattarci tramite il modulo di contatto. Potremmo dover verificare la tua identità prima di soddisfare la tua richiesta.

Hai anche il diritto di presentare un reclamo all’autorità di controllo:

Presidente dell’Ufficio per la protezione dei dati personali (Prezes Urzędu Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Varsavia, Polonia

indirizzo del sito web disponibile sul sito ufficiale dell’autorità.

9. Processo decisionale automatizzato e profilazione

Non prendiamo decisioni basate esclusivamente sul trattamento automatizzato, compresa la profilazione, che produrrebbero effetti giuridici che ti riguardano o che incidono in modo analogo significativamente su di te.

Potremmo utilizzare la profilazione di base (ad esempio, segmentazione per lingua, paese, categoria di servizi utilizzati) per scopi analitici e di marketing, ma tale trattamento non ha un impatto significativo sui tuoi diritti e sulle tue libertà.

10. Cookie e tecnologie simili

La piattaforma utilizza cookie e tecnologie simili per:

• garantire il corretto funzionamento del sito web e delle sessioni degli utenti;

• ricordare le impostazioni e le preferenze dell’utente;

• eseguire statistiche e analisi;

• supportare le attività di marketing in conformità con la legge applicabile.

È possibile gestire i cookie utilizzando le impostazioni del browser o, ove previsto, tramite il banner dei cookie / centro preferenze sul sito web. La limitazione dei cookie può influire su alcune funzionalità della piattaforma.

I dettagli relativi ai tipi di cookie utilizzati possono essere descritti in una Politica sui cookie separata.

11. Modifiche alla presente Politica

Ci riserviamo il diritto di aggiornare la presente Politica sulla privacy di tanto in tanto, ad esempio a seguito di modifiche alla legge o al funzionamento della piattaforma. La versione aggiornata sarà pubblicata sul sito web con una nuova “Data di entrata in vigore”. In caso di modifiche significative, potremmo inoltre informarti tramite e-mail o tramite la piattaforma.