Basket

Polityka prywatności

ENGLISH

Privacy Policy (GDPR / RODO)

Effective date: 23 of November, 2025

This Privacy Policy explains how Kartonika Sp. z o.o. processes personal data of users of the online platform (marketplace) operated by Kartonika Sp. z o.o.

1. Data Controller

The controller of your personal data is:

Kartonika Sp. z o.o.

Al. Armii Ludowej 6/164

00-571 Warsaw, POLAND

NIP (VAT ID): PL7010516252

You can contact us regarding privacy matters via the contact form available on the website. The current contact details are always indicated in the “Contact” section of the platform.

Kartonika Sp. z o.o. has not appointed a Data Protection Officer (DPO). All questions related to data protection are handled directly by the Controller.

2. Scope of this Policy

This Policy applies to:

• visitors of the website and platform;

• registered Buyers (clients);

• registered Sellers (service providers, product vendors, creative service providers);

• persons contacting us via forms, email or other channels in connection with the platform.

This Policy does not regulate processing of data by Sellers for their own independent purposes (e.g. issuing invoices to their customers, maintaining their own CRM). In such cases, the Seller acts as an independent controller and is responsible for its own privacy obligations.

3. Categories of data we process

Depending on how you use the platform, we may process in particular:

1. Account data

•name, surname or business name;

• login, password (stored in encrypted form), user ID;

• contact details (email, phone number if voluntarily provided);

• country and, where needed, address or registered office.

2. Transaction and billing data

• information about orders, services and products purchased or sold;

• payment details (amount, date, payment method, transaction ID);

• invoicing data (company name, VAT number, address);

• payout details for Sellers (bank account or payment service ID).

3. Communication data

• messages exchanged via the platform chat;

• enquiries sent via contact forms or email;

• information necessary to handle disputes, complaints and support requests.

4. Technical and usage data

• IP address, browser type, device information;

• logs of actions within the platform (log-in, orders, status changes);

• cookie identifiers and similar technologies (see section 10).

5. Marketing data

• consents to receive newsletters or marketing information;

• data on opening of messages and use of links in marketing communication.

In some cases (for example verification of Sellers, anti-fraud checks, legal obligations) we may also ask for additional identification or business documents, but only where necessary and justified.

We do not intentionally collect special categories of data (“sensitive data”) such as information about health, religion or political views. Please do not provide such data via the platform.

4. Purposes and legal bases of processing

We process your personal data for the following purposes and on the following legal bases (Art. 6 GDPR):

1. Creating and managing your user account; enabling the use of the platform

o Legal basis: performance of a contract or taking steps at your request prior to entering into a contract (Art. 6(1)(b) GDPR).

2. Handling orders, payments, payouts and escrow

• registering and processing transactions between Buyers and Sellers;

• calculating and collecting platform commission;

• paying out funds to Sellers once a month;

• dealing with disputes and complaints.

• Legal basis: performance of a contract (Art. 6(1)(b) GDPR) and legal obligations (Art. 6(1)(c) GDPR).

3. Fulfilling legal obligations

• tax, accounting and reporting obligations;

• obligations related to consumer protection and e-commerce law.

• Legal basis: legal obligation (Art. 6(1)(c) GDPR).

4. Ensuring security and proper functioning of the platform

• preventing fraud and abuse;

• maintaining logs, backups and technical security.

• Legal basis: legitimate interest of the Controller (Art. 6(1)(f) GDPR).

5. Internal analytics and improvement of services

• analysis of how the platform is used;

• improving functionality and user experience.

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR).

6. Marketing of our own services

• sending information about new features, promotions and updates (newsletter, email marketing) – only to the extent permitted by law.

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) or consent (Art. 6(1)(a) GDPR), depending on the channel and jurisdiction.

7. Handling your enquiries sent via forms or email

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) – communication with users and persons interested in our services.

If processing is based on your consent, you may withdraw that consent at any time. Withdrawal does not affect the lawfulness of processing based on consent before its withdrawal.

5. Data recipients

We may share your personal data with:

• technical service providers (hosting, IT, cloud services, maintenance);

• payment service providers and banks processing transactions and payouts;

• accounting and legal service providers;

• email and communication service providers (e.g. newsletter tools, transactional email providers);

• analytics and marketing tools (within the limits permitted by law);

• courier and logistics providers (for physical goods shipments);

• public authorities or courts, when we are legally obliged to do so.

Where Sellers receive your data (e.g. as Buyers, for the purposes of contract performance), they process it as independent controllers for their own purposes and in accordance with their own privacy policies.

We do not sell your personal data.

6. Transfers outside the EEA

Some of our service providers may be located outside the European Economic Area (EEA), for example in countries where the European Commission has not issued an adequacy decision.

If data is transferred outside the EEA, we ensure that:

• appropriate legal safeguards are in place, in particular Standard Contractual Clauses (SCCs) adopted by the European Commission, or

• the transfer takes place to a country with an adequate level of protection as recognised by the European Commission.

You may obtain a copy of the safeguards relating to a specific transfer by contacting us via the contact form.

7. Data retention periods

We store personal data only for as long as necessary for the purposes for which it was collected, in particular:

• data related to your account – for the duration of your account and then for a limitation period for claims (for example, usually up to 6 years from the end of the year in which the relationship ended);

• transaction, invoicing and accounting data – for periods required by Polish tax and accounting law (usually up to several years);

• communication data (support, disputes) – for the time necessary to handle the matter and for the limitation period for potential claims;

• marketing data – until you object to processing or withdraw your consent (where consent is the legal basis).

After these periods, data is erased or anonymised.

8. Your rights

Under GDPR, you have the following rights in relation to your personal data:

1. Right of access – to obtain information whether we process your data and to receive a copy of it.

2. Right to rectification – to have inaccurate or incomplete data corrected.

3. Right to erasure (“right to be forgotten”) – where legal grounds exist (e.g. data is no longer necessary, consent is withdrawn and no other legal basis applies).

4. Right to restriction of processing – in cases specified by law.

5. Right to data portability – to receive data you provided to us in a structured, commonly used machine-readable format and to have it transmitted to another controller, where technically feasible.

6. Right to object – to processing based on our legitimate interest (Art. 6(1)(f) GDPR), including profiling; in particular you may object at any time to processing for direct marketing.

7. Right to withdraw consent – where processing is based on consent, you can withdraw it at any time.

To exercise your rights, please contact us via the contact form. We may need to verify your identity before fulfilling your request.

You also have the right to lodge a complaint with the supervisory authority:

President of the Personal Data Protection Office (Prezes Urzędu Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Warsaw, Poland

website address available on the authority’s official site.

9. Automated decision-making and profiling

We do not make decisions based solely on automated processing, including profiling, which would produce legal effects concerning you or similarly significantly affect you.

We may use basic profiling (e.g. segmentation by language, country, category of services used) for analytical and marketing purposes, but such processing does not have significant impact on your rights and freedoms.

10. Cookies and similar technologies

The platform uses cookies and similar technologies to:

• ensure proper functioning of the website and user sessions;

• remember your settings and preferences;

• perform statistics and analytics;

• support marketing activities in accordance with applicable law.

You can manage cookies using your browser settings or, where provided, via the cookie banner / preference centre on the website. Restricting cookies may affect some functionalities of the platform.

Details regarding types of cookies used may be described in a separate Cookie Policy.

11. Changes to this Policy

We may update this Privacy Policy from time to time, for example due to changes in law or in how the platform operates. The updated version will be published on the website with a new “Effective date”. In case of significant changes, we may additionally inform you by email or via the platform.

POLISH

Polityka prywatności (RODO)

Data wejścia w życie: 23 listopada 2025 r.

Niniejsza Polityka prywatności wyjaśnia, w jaki sposób Kartonika Sp. z o.o. przetwarza dane osobowe użytkowników platformy internetowej (marketplace) obsługiwanej przez Kartonika Sp. z o.o.

1. Administrator danych

Administratorem Państwa danych osobowych jest:

Kartonika Sp. z o.o.

Al. Armii Ludowej 6/164

00-571 Warszawa, POLSKA

NIP (numer identyfikacyjny VAT): PL7010516252

W sprawach dotyczących prywatności można się z nami skontaktować za pośrednictwem formularza kontaktowego dostępnego na stronie internetowej. Aktualne dane kontaktowe są zawsze podane w sekcji „Kontakt” platformy.

Kartonika Sp. z o.o. nie wyznaczyła inspektora ochrony danych (DPO). Wszystkie pytania związane z ochroną danych są rozpatrywane bezpośrednio przez administratora.

2. Zakres niniejszej polityki

Niniejsza polityka dotyczy:

• osób odwiedzających stronę internetową i platformę;

• zarejestrowanych kupujących (klientów);

• zarejestrowanych sprzedawców (usługodawców, dostawców produktów, dostawców usług kreatywnych);

• osoby kontaktujące się z nami za pośrednictwem formularzy, poczty elektronicznej lub innych kanałów w związku z platformą.

Niniejsza Polityka nie reguluje przetwarzania danych przez Sprzedawców do ich własnych, niezależnych celów (np. wystawianie faktur swoim klientom, prowadzenie własnego systemu CRM). W takich przypadkach Sprzedawca działa jako niezależny administrator i ponosi odpowiedzialność za swoje własne obowiązki w zakresie ochrony prywatności.

3. Kategorie danych, które przetwarzamy

W zależności od sposobu korzystania z platformy możemy przetwarzać w szczególności:

1. Dane konta

• imię, nazwisko lub nazwa firmy;

• login, hasło (przechowywane w postaci zaszyfrowanej), identyfikator użytkownika;

• dane kontaktowe (adres e-mail, numer telefonu, jeśli został podany dobrowolnie);

• kraj i, w razie potrzeby, adres lub siedziba.

2. Dane dotyczące transakcji i rozliczeń

• informacje o zamówieniach, usługach i produktach zakupionych lub sprzedanych;

• szczegóły płatności (kwota, data, metoda płatności, identyfikator transakcji);

• dane do fakturowania (nazwa firmy, numer VAT, adres);

• szczegóły dotyczące wypłat dla Sprzedawców (numer konta bankowego lub identyfikator usługi płatniczej).

3. Dane dotyczące komunikacji

• wiadomości wymieniane za pośrednictwem czatu platformy;

• zapytania wysyłane za pośrednictwem formularzy kontaktowych lub poczty elektronicznej;

• informacje niezbędne do rozpatrywania sporów, reklamacji i wniosków o wsparcie.

4. Dane techniczne i dotyczące użytkowania

• adres IP, typ przeglądarki, informacje o urządzeniu;

• logi działań na platformie (logowanie, zamówienia, zmiany statusu);

• identyfikatory plików cookie i podobne technologie (patrz sekcja 10).

5. Dane marketingowe

• zgody na otrzymywanie biuletynów lub informacji marketingowych;

• dane dotyczące otwierania wiadomości i korzystania z linków w komunikacji marketingowej.

W niektórych przypadkach (na przykład weryfikacja sprzedawców, kontrole przeciwdziałające oszustwom, obowiązki prawne) możemy również poprosić o dodatkowe dokumenty identyfikacyjne lub biznesowe, ale tylko wtedy, gdy jest to konieczne i uzasadnione.

Nie gromadzimy celowo specjalnych kategorii danych („dane wrażliwe”), takich jak informacje dotyczące zdrowia, religii lub poglądów politycznych. Prosimy nie podawać takich danych za pośrednictwem platformy.

4. Cele i podstawy prawne przetwarzania

Przetwarzamy Państwa dane osobowe w następujących celach i na następujących podstawach prawnych (art. 6 RODO):

1. Tworzenie i zarządzanie kontem użytkownika; umożliwienie korzystania z platformy

o Podstawa prawna: wykonanie umowy lub podjęcie działań na Państwa żądanie przed zawarciem umowy (art. 6 ust. 1 lit. b) RODO).

2. Obsługa zamówień, płatności, wypłat i depozytów

• rejestrowanie i przetwarzanie transakcji między kupującymi a sprzedającymi;

• obliczanie i pobieranie prowizji platformy;

• wypłacanie środków sprzedającym raz w miesiącu;

• rozpatrywanie sporów i reklamacji.

• Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b) RODO) i obowiązki prawne (art. 6 ust. 1 lit. c) RODO).

3. Wypełnianie obowiązków prawnych

• obowiązki podatkowe, księgowe i sprawozdawcze;

• obowiązki związane z ochroną konsumentów i prawem handlu elektronicznego.

• Podstawa prawna: obowiązek prawny (art. 6 ust. 1 lit. c) RODO).

4. Zapewnienie bezpieczeństwa i prawidłowego funkcjonowania platformy

• zapobieganie oszustwom i nadużyciom;

• prowadzenie dzienników, tworzenie kopii zapasowych i zapewnienie bezpieczeństwa technicznego.

• Podstawa prawna: prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f) RODO).

5. Wewnętrzna analityka i ulepszanie usług

• analiza sposobu korzystania z platformy;

• ulepszanie funkcjonalności i komfortu użytkowania.

• Podstawa prawna: prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO).

6. Marketing naszych własnych usług

• wysyłanie informacji o nowych funkcjach, promocjach i aktualizacjach (newsletter, marketing e-mailowy) – wyłącznie w zakresie dozwolonym przez prawo.

• Podstawa prawna: prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO) lub zgoda (art. 6 ust. 1 lit. a) RODO), w zależności od kanału i jurysdykcji.

7. Obsługa zapytań przesyłanych za pośrednictwem formularzy lub poczty elektronicznej

• Podstawa prawna: prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO) – komunikacja z użytkownikami i osobami zainteresowanymi naszymi usługami.

Jeśli przetwarzanie opiera się na Twojej zgodzie, możesz ją wycofać w dowolnym momencie. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, które miało miejsce przed jej wycofaniem.

5. Odbiorcy danych

Możemy udostępniać Twoje dane osobowe:

• dostawcom usług technicznych (hosting, IT, usługi w chmurze, konserwacja);

• dostawcami usług płatniczych i bankami przetwarzającymi transakcje i wypłaty;

• dostawcami usług księgowych i prawnych;

• dostawcami usług poczty elektronicznej i komunikacyjnych (np. narzędzi do wysyłania biuletynów, dostawcami poczty elektronicznej do celów transakcyjnych);

• narzędziami analitycznymi i marketingowymi (w granicach dozwolonych przez prawo);

• dostawcami usług kurierskich i logistycznych (w przypadku wysyłki towarów fizycznych);

• organami publicznymi lub sądami, gdy jesteśmy do tego zobowiązani prawnie.

W przypadku gdy sprzedawcy otrzymują dane użytkownika (np. jako nabywcy, w celu wykonania umowy), przetwarzają je jako niezależni administratorzy do własnych celów i zgodnie z własnymi politykami prywatności.

Nie sprzedajemy danych osobowych użytkownika.

6. Przekazywanie danych poza EOG

Niektórzy z naszych dostawców usług mogą mieć siedzibę poza Europejskim Obszarem Gospodarczym (EOG), na przykład w krajach, w których Komisja Europejska nie wydała decyzji o odpowiednim poziomie ochrony.

W przypadku przekazywania danych poza EOG zapewniamy, że:

• istnieją odpowiednie zabezpieczenia prawne, w szczególności standardowe klauzule umowne (SCC) przyjęte przez Komisję Europejską, lub

• przekazywanie danych odbywa się do kraju o odpowiednim poziomie ochrony uznanym przez Komisję Europejską.

Możesz uzyskać kopię zabezpieczeń dotyczących konkretnego transferu, kontaktując się z nami za pośrednictwem formularza kontaktowego.

7. Okresy przechowywania danych

Przechowujemy dane osobowe tylko tak długo, jak jest to konieczne do celów, dla których zostały zebrane, w szczególności:

• dane związane z Twoim kontem – przez okres istnienia Twojego konta, a następnie przez okres przedawnienia roszczeń (na przykład zazwyczaj do 6 lat od końca roku, w którym zakończyła się relacja);

• dane dotyczące transakcji, fakturowania i księgowości – przez okresy wymagane przez polskie prawo podatkowe i księgowe (zwykle do kilku lat);

• dane dotyczące komunikacji (wsparcie, spory) – przez czas niezbędny do załatwienia sprawy oraz przez okres przedawnienia ewentualnych roszczeń;

• dane marketingowe – do momentu wyrażenia sprzeciwu wobec przetwarzania lub wycofania zgody (w przypadku gdy zgoda stanowi podstawę prawną).

Po upływie tych okresów dane są usuwane lub anonimizowane.

8. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa w odniesieniu do Twoich danych osobowych:

1. Prawo dostępu – do uzyskania informacji, czy przetwarzamy Twoje dane, oraz do otrzymania ich kopii.

2. Prawo do sprostowania – do poprawienia nieprawidłowych lub niekompletnych danych.

3. Prawo do usunięcia („prawo do bycia zapomnianym”) – w przypadku istnienia podstawy prawnej (np. dane nie są już potrzebne, zgoda została wycofana i nie ma innej podstawy prawnej).

4. Prawo do ograniczenia przetwarzania – w przypadkach określonych przez prawo.

5. Prawo do przenoszenia danych – do otrzymania danych, które nam przekazałeś, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz do przekazania ich innemu administratorowi, o ile jest to technicznie możliwe.

6. Prawo do sprzeciwu – wobec przetwarzania opartego na naszym uzasadnionym interesie (art. 6 ust. 1 lit. f) RODO), w tym profilowania; w szczególności możesz w dowolnym momencie sprzeciwić się przetwarzaniu danych w celach marketingu bezpośredniego.

7. Prawo do wycofania zgody – w przypadku gdy przetwarzanie opiera się na zgodzie, możesz ją wycofać w dowolnym momencie.

Aby skorzystać ze swoich praw, prosimy o kontakt za pośrednictwem formularza kontaktowego. Przed realizacją Państwa wniosku możemy być zmuszeni do weryfikacji Państwa tożsamości.

Mają Państwo również prawo do wniesienia skargi do organu nadzorczego:

Prezes Urzędu Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa, Polska

adres strony internetowej dostępny na oficjalnej stronie organu.

9. Zautomatyzowane podejmowanie decyzji i profilowanie

Nie podejmujemy decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne dotyczące użytkownika lub w podobny sposób miałyby na niego istotny wpływ.

Możemy stosować podstawowe profilowanie (np. segmentację według języka, kraju, kategorii wykorzystywanych usług) do celów analitycznych i marketingowych, ale takie przetwarzanie nie ma istotnego wpływu na prawa i wolności użytkownika.

10. Pliki cookie i podobne technologie

Platforma wykorzystuje pliki cookie i podobne technologie w celu:

• zapewnienia prawidłowego funkcjonowania strony internetowej i sesji użytkowników;

• zapamiętania ustawień i preferencji użytkownika;

• przeprowadzania statystyk i analiz;

• wspierania działań marketingowych zgodnie z obowiązującym prawem.

Użytkownik może zarządzać plikami cookie za pomocą ustawień przeglądarki lub, jeśli jest to możliwe, za pomocą banera cookie / centrum preferencji na stronie internetowej. Ograniczenie plików cookie może wpłynąć na niektóre funkcje platformy.

Szczegółowe informacje dotyczące rodzajów używanych plików cookie mogą być opisane w oddzielnej Polityce plików cookie.

11. Zmiany w niniejszej Polityce

Możemy od czasu do czasu aktualizować niniejszą Politykę prywatności, na przykład w związku ze zmianami w przepisach prawa lub sposobie działania platformy. Zaktualizowana wersja zostanie opublikowana na stronie internetowej z nową „datą wejścia w życie”. W przypadku istotnych zmian możemy dodatkowo poinformować Cię o tym pocztą elektroniczną lub za pośrednictwem platformy.