ENGLISH
Privacy Policy (GDPR / RODO)
Effective date: 23 of November, 2025
This Privacy Policy explains how Kartonika Sp. z o.o. processes personal data of users of the online platform (marketplace) operated by Kartonika Sp. z o.o.
1. Data Controller
The controller of your personal data is:
Kartonika Sp. z o.o.
Al. Armii Ludowej 6/164
00-571 Warsaw, POLAND
NIP (VAT ID): PL7010516252
You can contact us regarding privacy matters via the contact form available on the website. The current contact details are always indicated in the “Contact” section of the platform.
Kartonika Sp. z o.o. has not appointed a Data Protection Officer (DPO). All questions related to data protection are handled directly by the Controller.
2. Scope of this Policy
This Policy applies to:
• visitors of the website and platform;
• registered Buyers (clients);
• registered Sellers (service providers, product vendors, creative service providers);
• persons contacting us via forms, email or other channels in connection with the platform.
This Policy does not regulate processing of data by Sellers for their own independent purposes (e.g. issuing invoices to their customers, maintaining their own CRM). In such cases, the Seller acts as an independent controller and is responsible for its own privacy obligations.
3. Categories of data we process
Depending on how you use the platform, we may process in particular:
1. Account data
•name, surname or business name;
• login, password (stored in encrypted form), user ID;
• contact details (email, phone number if voluntarily provided);
• country and, where needed, address or registered office.
2. Transaction and billing data
• information about orders, services and products purchased or sold;
• payment details (amount, date, payment method, transaction ID);
• invoicing data (company name, VAT number, address);
• payout details for Sellers (bank account or payment service ID).
3. Communication data
• messages exchanged via the platform chat;
• enquiries sent via contact forms or email;
• information necessary to handle disputes, complaints and support requests.
4. Technical and usage data
• IP address, browser type, device information;
• logs of actions within the platform (log-in, orders, status changes);
• cookie identifiers and similar technologies (see section 10).
5. Marketing data
• consents to receive newsletters or marketing information;
• data on opening of messages and use of links in marketing communication.
In some cases (for example verification of Sellers, anti-fraud checks, legal obligations) we may also ask for additional identification or business documents, but only where necessary and justified.
We do not intentionally collect special categories of data (“sensitive data”) such as information about health, religion or political views. Please do not provide such data via the platform.
4. Purposes and legal bases of processing
We process your personal data for the following purposes and on the following legal bases (Art. 6 GDPR):
1. Creating and managing your user account; enabling the use of the platform
o Legal basis: performance of a contract or taking steps at your request prior to entering into a contract (Art. 6(1)(b) GDPR).
2. Handling orders, payments, payouts and escrow
• registering and processing transactions between Buyers and Sellers;
• calculating and collecting platform commission;
• paying out funds to Sellers once a month;
• dealing with disputes and complaints.
• Legal basis: performance of a contract (Art. 6(1)(b) GDPR) and legal obligations (Art. 6(1)(c) GDPR).
3. Fulfilling legal obligations
• tax, accounting and reporting obligations;
• obligations related to consumer protection and e-commerce law.
• Legal basis: legal obligation (Art. 6(1)(c) GDPR).
4. Ensuring security and proper functioning of the platform
• preventing fraud and abuse;
• maintaining logs, backups and technical security.
• Legal basis: legitimate interest of the Controller (Art. 6(1)(f) GDPR).
5. Internal analytics and improvement of services
• analysis of how the platform is used;
• improving functionality and user experience.
• Legal basis: legitimate interest (Art. 6(1)(f) GDPR).
6. Marketing of our own services
• sending information about new features, promotions and updates (newsletter, email marketing) – only to the extent permitted by law.
• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) or consent (Art. 6(1)(a) GDPR), depending on the channel and jurisdiction.
7. Handling your enquiries sent via forms or email
• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) – communication with users and persons interested in our services.
If processing is based on your consent, you may withdraw that consent at any time. Withdrawal does not affect the lawfulness of processing based on consent before its withdrawal.
5. Data recipients
We may share your personal data with:
• technical service providers (hosting, IT, cloud services, maintenance);
• payment service providers and banks processing transactions and payouts;
• accounting and legal service providers;
• email and communication service providers (e.g. newsletter tools, transactional email providers);
• analytics and marketing tools (within the limits permitted by law);
• courier and logistics providers (for physical goods shipments);
• public authorities or courts, when we are legally obliged to do so.
Where Sellers receive your data (e.g. as Buyers, for the purposes of contract performance), they process it as independent controllers for their own purposes and in accordance with their own privacy policies.
We do not sell your personal data.
6. Transfers outside the EEA
Some of our service providers may be located outside the European Economic Area (EEA), for example in countries where the European Commission has not issued an adequacy decision.
If data is transferred outside the EEA, we ensure that:
• appropriate legal safeguards are in place, in particular Standard Contractual Clauses (SCCs) adopted by the European Commission, or
• the transfer takes place to a country with an adequate level of protection as recognised by the European Commission.
You may obtain a copy of the safeguards relating to a specific transfer by contacting us via the contact form.
7. Data retention periods
We store personal data only for as long as necessary for the purposes for which it was collected, in particular:
• data related to your account – for the duration of your account and then for a limitation period for claims (for example, usually up to 6 years from the end of the year in which the relationship ended);
• transaction, invoicing and accounting data – for periods required by Polish tax and accounting law (usually up to several years);
• communication data (support, disputes) – for the time necessary to handle the matter and for the limitation period for potential claims;
• marketing data – until you object to processing or withdraw your consent (where consent is the legal basis).
After these periods, data is erased or anonymised.
8. Your rights
Under GDPR, you have the following rights in relation to your personal data:
1. Right of access – to obtain information whether we process your data and to receive a copy of it.
2. Right to rectification – to have inaccurate or incomplete data corrected.
3. Right to erasure (“right to be forgotten”) – where legal grounds exist (e.g. data is no longer necessary, consent is withdrawn and no other legal basis applies).
4. Right to restriction of processing – in cases specified by law.
5. Right to data portability – to receive data you provided to us in a structured, commonly used machine-readable format and to have it transmitted to another controller, where technically feasible.
6. Right to object – to processing based on our legitimate interest (Art. 6(1)(f) GDPR), including profiling; in particular you may object at any time to processing for direct marketing.
7. Right to withdraw consent – where processing is based on consent, you can withdraw it at any time.
To exercise your rights, please contact us via the contact form. We may need to verify your identity before fulfilling your request.
You also have the right to lodge a complaint with the supervisory authority:
President of the Personal Data Protection Office (Prezes Urzędu Ochrony Danych Osobowych)
ul. Stawki 2, 00-193 Warsaw, Poland
website address available on the authority’s official site.
9. Automated decision-making and profiling
We do not make decisions based solely on automated processing, including profiling, which would produce legal effects concerning you or similarly significantly affect you.
We may use basic profiling (e.g. segmentation by language, country, category of services used) for analytical and marketing purposes, but such processing does not have significant impact on your rights and freedoms.
10. Cookies and similar technologies
The platform uses cookies and similar technologies to:
• ensure proper functioning of the website and user sessions;
• remember your settings and preferences;
• perform statistics and analytics;
• support marketing activities in accordance with applicable law.
You can manage cookies using your browser settings or, where provided, via the cookie banner / preference centre on the website. Restricting cookies may affect some functionalities of the platform.
Details regarding types of cookies used may be described in a separate Cookie Policy.
11. Changes to this Policy
We may update this Privacy Policy from time to time, for example due to changes in law or in how the platform operates. The updated version will be published on the website with a new “Effective date”. In case of significant changes, we may additionally inform you by email or via the platform.
PORTUGAL
Política de Privacidade (RGPD / RODO)
Data de entrada em vigor: 23 de novembro de 2025
Esta Política de Privacidade explica como a Kartonika Sp. z o.o. processa os dados pessoais dos utilizadores da plataforma online (marketplace) operada pela Kartonika Sp. z o.o.
1. Controlador de dados
O controlador dos seus dados pessoais é:
Kartonika Sp. z o.o.
Al. Armii Ludowej 6/164
00-571 Varsóvia, POLÓNIA
NIP (identificação fiscal): PL7010516252
Pode contactar-nos sobre questões de privacidade através do formulário de contacto disponível no site. Os dados de contacto atuais estão sempre indicados na secção «Contacto» da plataforma.
A Kartonika Sp. z o.o. não nomeou um Encarregado da Proteção de Dados (DPO). Todas as questões relacionadas com a proteção de dados são tratadas diretamente pelo Controlador.
2. Âmbito desta Política
Esta Política aplica-se a:
• visitantes do site e da plataforma;
• Compradores registados (clientes);
• Vendedores registados (prestadores de serviços, vendedores de produtos, prestadores de serviços criativos);
• pessoas que nos contactam através de formulários, e-mail ou outros canais relacionados com a plataforma.
Esta Política não regula o tratamento de dados pelos Vendedores para os seus próprios fins independentes (por exemplo, emissão de faturas aos seus clientes, manutenção do seu próprio CRM). Nesses casos, o Vendedor atua como um responsável pelo tratamento independente e é responsável pelas suas próprias obrigações de privacidade.
3. Categorias de dados que processamos
Dependendo de como utiliza a plataforma, podemos processar, em particular:
1. Dados da conta
• nome, apelido ou nome comercial;
• login, palavra-passe (armazenada de forma encriptada), ID de utilizador;
• detalhes de contacto (e-mail, número de telefone, se fornecido voluntariamente);
• país e, quando necessário, endereço ou sede social.
2. Dados de transações e faturação
• informações sobre encomendas, serviços e produtos adquiridos ou vendidos;
• detalhes de pagamento (montante, data, método de pagamento, ID da transação);
• dados de faturação (nome da empresa, número de IVA, endereço);
• detalhes de pagamento para vendedores (conta bancária ou ID do serviço de pagamento).
3. Dados de comunicação
• mensagens trocadas através do chat da plataforma;
• consultas enviadas através de formulários de contacto ou e-mail;
• informações necessárias para lidar com disputas, reclamações e pedidos de suporte.
4. Dados técnicos e de utilização
• endereço IP, tipo de navegador, informações do dispositivo;
• registos de ações dentro da plataforma (login, encomendas, alterações de estado);
• identificadores de cookies e tecnologias semelhantes (ver secção 10).
5. Dados de marketing
• consentimentos para receber newsletters ou informações de marketing;
• dados sobre a abertura de mensagens e utilização de links em comunicações de marketing.
Em alguns casos (por exemplo, verificação de vendedores, verificações antifraude, obrigações legais), também podemos solicitar identificação adicional ou documentos comerciais, mas apenas quando necessário e justificado.
Não recolhemos intencionalmente categorias especiais de dados (“dados sensíveis”), tais como informações sobre saúde, religião ou opiniões políticas. Por favor, não forneça esses dados através da plataforma.
4. Finalidades e bases jurídicas do tratamento
Tratamos os seus dados pessoais para as seguintes finalidades e com base nas seguintes bases jurídicas (artigo 6.º do RGPD):
1. Criação e gestão da sua conta de utilizador; permitir a utilização da plataforma
o Base jurídica: execução de um contrato ou tomada de medidas a seu pedido antes da celebração de um contrato (artigo 6.º, n.º 1, alínea b), do RGPD).
2. Tratamento de encomendas, pagamentos, pagamentos e caução
• registo e processamento de transações entre compradores e vendedores;
• cálculo e cobrança da comissão da plataforma;
• pagamento de fundos aos vendedores uma vez por mês;
• tratamento de litígios e reclamações.
• Base jurídica: execução de um contrato (Art. 6.º, n.º 1, alínea b) do RGPD) e obrigações legais (Art. 6.º, n.º 1, alínea c) do RGPD).
3. Cumprimento de obrigações legais
• obrigações fiscais, contabilísticas e de reporte;
• obrigações relacionadas com a proteção do consumidor e a legislação sobre comércio eletrónico.
• Base jurídica: obrigação legal (Art. 6(1)(c) do RGPD).
4. Garantia da segurança e do bom funcionamento da plataforma
• prevenção de fraudes e abusos;
• manutenção de registos, cópias de segurança e segurança técnica.
• Base jurídica: interesse legítimo do responsável pelo tratamento (Art. 6(1)(f) do RGPD).
5. Análise interna e melhoria dos serviços
• análise da forma como a plataforma é utilizada;
• melhoria da funcionalidade e da experiência do utilizador.
• Base jurídica: interesse legítimo (Art. 6(1)(f) do RGPD).
6. Comercialização dos nossos próprios serviços
• envio de informações sobre novas funcionalidades, promoções e atualizações (newsletter, marketing por e-mail) – apenas na medida do permitido por lei.
• Base jurídica: interesse legítimo (Art. 6(1)(f) do RGPD) ou consentimento (Art. 6(1)(a) do RGPD), dependendo do canal e da jurisdição.
7. Tratamento das suas consultas enviadas através de formulários ou e-mail
• Base jurídica: interesse legítimo (Art. 6(1)(f) RGPD) – comunicação com utilizadores e pessoas interessadas nos nossos serviços.
Se o tratamento se basear no seu consentimento, pode retirar esse consentimento a qualquer momento. A retirada não afeta a legalidade do tratamento com base no consentimento antes da sua retirada.
5. Destinatários dos dados
Podemos partilhar os seus dados pessoais com:
• prestadores de serviços técnicos (alojamento, TI, serviços na nuvem, manutenção);
• prestadores de serviços de pagamento e bancos que processam transações e pagamentos;
• prestadores de serviços contabilísticos e jurídicos;
• prestadores de serviços de e-mail e comunicação (por exemplo, ferramentas de newsletter, prestadores de e-mail transacional);
• ferramentas de análise e marketing (dentro dos limites permitidos por lei);
• prestadores de serviços de correio e logística (para envios de bens físicos);
• autoridades públicas ou tribunais, quando somos legalmente obrigados a fazê-lo.
Quando os vendedores recebem os seus dados (por exemplo, como compradores, para efeitos de execução do contrato), eles processam-nos como controladores independentes para os seus próprios fins e de acordo com as suas próprias políticas de privacidade.
Não vendemos os seus dados pessoais.
6. Transferências para fora do EEE
Alguns dos nossos prestadores de serviços podem estar localizados fora do Espaço Económico Europeu (EEE), por exemplo, em países onde a Comissão Europeia não emitiu uma decisão de adequação.
Se os dados forem transferidos para fora do EEE, garantimos que:
• existem salvaguardas legais adequadas, em particular as Cláusulas Contratuais Padrão (SCC) adotadas pela Comissão Europeia, ou
• a transferência é feita para um país com um nível de proteção adequado, reconhecido pela Comissão Europeia.
Pode obter uma cópia das salvaguardas relativas a uma transferência específica contactando-nos através do formulário de contacto.
7. Períodos de retenção de dados
Armazenamos dados pessoais apenas durante o tempo necessário para os fins para os quais foram recolhidos, em particular:
• dados relacionados com a sua conta – durante o período de vigência da sua conta e, em seguida, durante um período de prescrição para reclamações (por exemplo, normalmente até 6 anos a partir do final do ano em que a relação terminou);
• dados de transações, faturação e contabilidade – durante os períodos exigidos pela legislação fiscal e contabilística polaca (normalmente até vários anos);
• dados de comunicação (suporte, litígios) – durante o tempo necessário para tratar do assunto e durante o prazo de prescrição para potenciais reclamações;
• dados de marketing – até que se oponha ao tratamento ou retire o seu consentimento (quando o consentimento é a base jurídica).
Após esses períodos, os dados são apagados ou anonimizados.
8. Os seus direitos
Nos termos do RGPD, tem os seguintes direitos em relação aos seus dados pessoais:
1. Direito de acesso – para obter informações sobre se processamos os seus dados e para receber uma cópia dos mesmos.
2. Direito de retificação – para que os dados inexatos ou incompletos sejam corrigidos.
3. Direito ao apagamento («direito ao esquecimento») – quando existirem fundamentos legais (por exemplo, os dados já não são necessários, o consentimento é retirado e não se aplica qualquer outra base jurídica).
4. Direito à limitação do tratamento – nos casos especificados por lei.
5. Direito à portabilidade dos dados – para receber os dados que nos forneceu num formato estruturado, comummente utilizado e legível por máquina, e para que sejam transmitidos a outro responsável pelo tratamento, quando tecnicamente viável.
6. Direito de se opor – ao tratamento com base no nosso interesse legítimo (Art. 6(1)(f) RGPD), incluindo a definição de perfis; em particular, pode opor-se a qualquer momento ao tratamento para fins de marketing direto.
7. Direito de retirar o consentimento – quando o tratamento se baseia no consentimento, pode retirá-lo a qualquer momento.
Para exercer os seus direitos, contacte-nos através do formulário de contacto. Poderemos ter de verificar a sua identidade antes de satisfazer o seu pedido.
Tem também o direito de apresentar uma reclamação à autoridade de controlo:
Presidente do Gabinete de Proteção de Dados Pessoais (Prezes Urzędu Ochrony Danych Osobowych)
ul. Stawki 2, 00-193 Varsóvia, Polónia
endereço do site disponível no site oficial da autoridade.
9. Tomada de decisão automatizada e criação de perfis
Não tomamos decisões com base exclusivamente no processamento automatizado, incluindo a criação de perfis, que produzam efeitos jurídicos que lhe digam respeito ou que o afetem de forma semelhante e significativa.
Podemos utilizar a criação de perfis básicos (por exemplo, segmentação por idioma, país, categoria de serviços utilizados) para fins analíticos e de marketing, mas esse processamento não tem um impacto significativo nos seus direitos e liberdades.
10. Cookies e tecnologias semelhantes
A plataforma utiliza cookies e tecnologias semelhantes para:
• garantir o funcionamento adequado do site e das sessões dos utilizadores;
• lembrar as suas configurações e preferências;
• realizar estatísticas e análises;
• apoiar atividades de marketing de acordo com a legislação aplicável.
Pode gerir os cookies utilizando as configurações do seu navegador ou, quando disponível, através do banner de cookies/centro de preferências no site. Restringir os cookies pode afetar algumas funcionalidades da plataforma.
Os detalhes relativos aos tipos de cookies utilizados podem ser descritos numa Política de Cookies separada.
11. Alterações a esta Política
Podemos atualizar esta Política de Privacidade periodicamente, por exemplo, devido a alterações na legislação ou no funcionamento da plataforma. A versão atualizada será publicada no website com uma nova «Data de entrada em vigor». Em caso de alterações significativas, poderemos informá-lo adicionalmente por e-mail ou através da plataforma.