Basket

Политика конфиденциальности

ENGLISH

Privacy Policy (GDPR / RODO)

Effective date: 23 of November, 2025

This Privacy Policy explains how Kartonika Sp. z o.o. processes personal data of users of the online platform (marketplace) operated by Kartonika Sp. z o.o.

1. Data Controller

The controller of your personal data is:

Kartonika Sp. z o.o.

Al. Armii Ludowej 6/164

00-571 Warsaw, POLAND

NIP (VAT ID): PL7010516252

You can contact us regarding privacy matters via the contact form available on the website. The current contact details are always indicated in the “Contact” section of the platform.

Kartonika Sp. z o.o. has not appointed a Data Protection Officer (DPO). All questions related to data protection are handled directly by the Controller.

2. Scope of this Policy

This Policy applies to:

• visitors of the website and platform;

• registered Buyers (clients);

• registered Sellers (service providers, product vendors, creative service providers);

• persons contacting us via forms, email or other channels in connection with the platform.

This Policy does not regulate processing of data by Sellers for their own independent purposes (e.g. issuing invoices to their customers, maintaining their own CRM). In such cases, the Seller acts as an independent controller and is responsible for its own privacy obligations.

3. Categories of data we process

Depending on how you use the platform, we may process in particular:

1. Account data

•name, surname or business name;

• login, password (stored in encrypted form), user ID;

• contact details (email, phone number if voluntarily provided);

• country and, where needed, address or registered office.

2. Transaction and billing data

• information about orders, services and products purchased or sold;

• payment details (amount, date, payment method, transaction ID);

• invoicing data (company name, VAT number, address);

• payout details for Sellers (bank account or payment service ID).

3. Communication data

• messages exchanged via the platform chat;

• enquiries sent via contact forms or email;

• information necessary to handle disputes, complaints and support requests.

4. Technical and usage data

• IP address, browser type, device information;

• logs of actions within the platform (log-in, orders, status changes);

• cookie identifiers and similar technologies (see section 10).

5. Marketing data

• consents to receive newsletters or marketing information;

• data on opening of messages and use of links in marketing communication.

In some cases (for example verification of Sellers, anti-fraud checks, legal obligations) we may also ask for additional identification or business documents, but only where necessary and justified.

We do not intentionally collect special categories of data (“sensitive data”) such as information about health, religion or political views. Please do not provide such data via the platform.

4. Purposes and legal bases of processing

We process your personal data for the following purposes and on the following legal bases (Art. 6 GDPR):

1. Creating and managing your user account; enabling the use of the platform

o Legal basis: performance of a contract or taking steps at your request prior to entering into a contract (Art. 6(1)(b) GDPR).

2. Handling orders, payments, payouts and escrow

• registering and processing transactions between Buyers and Sellers;

• calculating and collecting platform commission;

• paying out funds to Sellers once a month;

• dealing with disputes and complaints.

• Legal basis: performance of a contract (Art. 6(1)(b) GDPR) and legal obligations (Art. 6(1)(c) GDPR).

3. Fulfilling legal obligations

• tax, accounting and reporting obligations;

• obligations related to consumer protection and e-commerce law.

• Legal basis: legal obligation (Art. 6(1)(c) GDPR).

4. Ensuring security and proper functioning of the platform

• preventing fraud and abuse;

• maintaining logs, backups and technical security.

• Legal basis: legitimate interest of the Controller (Art. 6(1)(f) GDPR).

5. Internal analytics and improvement of services

• analysis of how the platform is used;

• improving functionality and user experience.

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR).

6. Marketing of our own services

• sending information about new features, promotions and updates (newsletter, email marketing) – only to the extent permitted by law.

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) or consent (Art. 6(1)(a) GDPR), depending on the channel and jurisdiction.

7. Handling your enquiries sent via forms or email

• Legal basis: legitimate interest (Art. 6(1)(f) GDPR) – communication with users and persons interested in our services.

If processing is based on your consent, you may withdraw that consent at any time. Withdrawal does not affect the lawfulness of processing based on consent before its withdrawal.

5. Data recipients

We may share your personal data with:

• technical service providers (hosting, IT, cloud services, maintenance);

• payment service providers and banks processing transactions and payouts;

• accounting and legal service providers;

• email and communication service providers (e.g. newsletter tools, transactional email providers);

• analytics and marketing tools (within the limits permitted by law);

• courier and logistics providers (for physical goods shipments);

• public authorities or courts, when we are legally obliged to do so.

Where Sellers receive your data (e.g. as Buyers, for the purposes of contract performance), they process it as independent controllers for their own purposes and in accordance with their own privacy policies.

We do not sell your personal data.

6. Transfers outside the EEA

Some of our service providers may be located outside the European Economic Area (EEA), for example in countries where the European Commission has not issued an adequacy decision.

If data is transferred outside the EEA, we ensure that:

• appropriate legal safeguards are in place, in particular Standard Contractual Clauses (SCCs) adopted by the European Commission, or

• the transfer takes place to a country with an adequate level of protection as recognised by the European Commission.

You may obtain a copy of the safeguards relating to a specific transfer by contacting us via the contact form.

7. Data retention periods

We store personal data only for as long as necessary for the purposes for which it was collected, in particular:

• data related to your account – for the duration of your account and then for a limitation period for claims (for example, usually up to 6 years from the end of the year in which the relationship ended);

• transaction, invoicing and accounting data – for periods required by Polish tax and accounting law (usually up to several years);

• communication data (support, disputes) – for the time necessary to handle the matter and for the limitation period for potential claims;

• marketing data – until you object to processing or withdraw your consent (where consent is the legal basis).

After these periods, data is erased or anonymised.

8. Your rights

Under GDPR, you have the following rights in relation to your personal data:

1. Right of access – to obtain information whether we process your data and to receive a copy of it.

2. Right to rectification – to have inaccurate or incomplete data corrected.

3. Right to erasure (“right to be forgotten”) – where legal grounds exist (e.g. data is no longer necessary, consent is withdrawn and no other legal basis applies).

4. Right to restriction of processing – in cases specified by law.

5. Right to data portability – to receive data you provided to us in a structured, commonly used machine-readable format and to have it transmitted to another controller, where technically feasible.

6. Right to object – to processing based on our legitimate interest (Art. 6(1)(f) GDPR), including profiling; in particular you may object at any time to processing for direct marketing.

7. Right to withdraw consent – where processing is based on consent, you can withdraw it at any time.

To exercise your rights, please contact us via the contact form. We may need to verify your identity before fulfilling your request.

You also have the right to lodge a complaint with the supervisory authority:

President of the Personal Data Protection Office (Prezes Urzędu Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Warsaw, Poland

website address available on the authority’s official site.

9. Automated decision-making and profiling

We do not make decisions based solely on automated processing, including profiling, which would produce legal effects concerning you or similarly significantly affect you.

We may use basic profiling (e.g. segmentation by language, country, category of services used) for analytical and marketing purposes, but such processing does not have significant impact on your rights and freedoms.

10. Cookies and similar technologies

The platform uses cookies and similar technologies to:

• ensure proper functioning of the website and user sessions;

• remember your settings and preferences;

• perform statistics and analytics;

• support marketing activities in accordance with applicable law.

You can manage cookies using your browser settings or, where provided, via the cookie banner / preference centre on the website. Restricting cookies may affect some functionalities of the platform.

Details regarding types of cookies used may be described in a separate Cookie Policy.

11. Changes to this Policy

We may update this Privacy Policy from time to time, for example due to changes in law or in how the platform operates. The updated version will be published on the website with a new “Effective date”. In case of significant changes, we may additionally inform you by email or via the platform.

RUSSIAN

Политика конфиденциальности (GDPR / RODO)

Дата вступления в силу: 23 ноября 2025 г.

Настоящая Политика конфиденциальности объясняет, как Kartonika Sp. z o.o. обрабатывает персональные данные пользователей онлайн-платформы (торговой площадки), управляемой Kartonika Sp. z o.o.

1. Контролер данных

Контролером ваших персональных данных является:

Kartonika Sp. z o.o.

Al. Armii Ludowej 6/164

00-571 Варшава, ПОЛЬША

NIP (идентификационный номер плательщика НДС): PL7010516252

Вы можете связаться с нами по вопросам конфиденциальности через контактную форму, доступную на веб-сайте. Актуальные контактные данные всегда указаны в разделе «Контакты» платформы.

Kartonika Sp. z o.o. не назначала сотрудника по защите данных (DPO). Все вопросы, связанные с защитой данных, обрабатываются непосредственно Контролером.

2. Сфера применения настоящей Политики

Настоящая Политика применяется к:

• посетителям веб-сайта и платформы;

• зарегистрированным Покупателям (клиентам);

• зарегистрированным Продавцам (поставщикам услуг, продавцам продуктов, поставщикам творческих услуг);

• лиц, связывающихся с нами через формы, электронную почту или другие каналы в связи с платформой.

Настоящая Политика не регулирует обработку данных Продавцами для их собственных независимых целей (например, выставление счетов своим клиентам, ведение собственной CRM). В таких случаях Продавец действует как независимый контролер и несет ответственность за соблюдение своих обязательств в области конфиденциальности.

3. Категории данных, которые мы обрабатываем

В зависимости от того, как вы используете платформу, мы можем обрабатывать, в частности:

1. Данные учетной записи

•имя, фамилия или название компании;

•логин, пароль (хранится в зашифрованном виде), идентификатор пользователя;

•контактные данные (электронная почта, номер телефона, если предоставлен добровольно);

•страна и, при необходимости, адрес или местонахождение зарегистрированного офиса.

2. Данные о транзакциях и выставлении счетов

• информация о заказах, услугах и продуктах, приобретенных или проданных;

• платежные реквизиты (сумма, дата, способ оплаты, идентификатор транзакции);

• данные для выставления счетов (название компании, номер НДС, адрес);

• реквизиты для выплат Продавцам (банковский счет или идентификатор платежного сервиса).

3. Данные о коммуникации

• сообщения, обмененные через чат платформы;

• запросы, отправленные через контактные формы или по электронной почте;

• информация, необходимая для разрешения споров, рассмотрения жалоб и запросов в службу поддержки.

4. Технические данные и данные об использовании

• IP-адрес, тип браузера, информация об устройстве;

• журналы действий на платформе (вход в систему, заказы, изменения статуса);

• идентификаторы файлов cookie и аналогичные технологии (см. раздел 10).

5. Маркетинговые данные

• согласие на получение новостных рассылок или маркетинговой информации;

• данные об открытии сообщений и использовании ссылок в маркетинговых коммуникациях.

В некоторых случаях (например, при проверке продавцов, проверке на предмет мошенничества, выполнении юридических обязательств) мы также можем запросить дополнительные идентификационные или деловые документы, но только в случае необходимости и обоснованности.

Мы не собираем специальные категории данных («конфиденциальные данные»), такие как информация о здоровье, религии или политических взглядах. Пожалуйста, не предоставляйте такие данные через платформу.

4. Цели и правовые основания обработки

Мы обрабатываем ваши персональные данные для следующих целей и на следующих правовых основаниях (ст. 6 GDPR):

1. Создание и управление вашей учетной записью пользователя; обеспечение возможности использования платформы

o Правовое основание: исполнение договора или принятие мер по вашему запросу до заключения договора (ст. 6(1)(b) GDPR).

2. Обработка заказов, платежей, выплат и депозитов

• регистрация и обработка транзакций между Покупателями и Продавцами;

• расчет и сбор комиссии платформы;

• выплата средств Продавцам один раз в месяц;

• рассмотрение споров и жалоб.

• Правовая основа: исполнение договора (ст. 6(1)(b) GDPR) и юридические обязательства (ст. 6(1)(c) GDPR).

3. Выполнение юридических обязательств

• налоговые, бухгалтерские и отчетные обязательства;

• обязательства, связанные с защитой прав потребителей и законодательством об электронной коммерции.

• Правовая основа: юридическое обязательство (ст. 6(1)(c) GDPR).

4. Обеспечение безопасности и надлежащего функционирования платформы

• предотвращение мошенничества и злоупотреблений;

• ведение журналов, резервное копирование и техническая безопасность.

• Правовая основа: законный интерес Контролера (ст. 6(1)(f) GDPR).

5. Внутренняя аналитика и улучшение услуг

• анализ использования платформы;

• улучшение функциональности и пользовательского опыта.

• Правовая основа: законный интерес (ст. 6(1)(f) GDPR).

6. Маркетинг наших собственных услуг

• отправка информации о новых функциях, рекламных акциях и обновлениях (информационный бюллетень, электронный маркетинг) — только в пределах, разрешенных законом.

• Правовая основа: законный интерес (ст. 6(1)(f) GDPR) или согласие (ст. 6(1)(a) GDPR), в зависимости от канала и юрисдикции.

7. Обработка ваших запросов, отправленных через формы или по электронной почте

• Правовая основа: законный интерес (ст. 6(1)(f) GDPR) – общение с пользователями и лицами, заинтересованными в наших услугах.

Если обработка основана на вашем согласии, вы можете отозвать это согласие в любое время. Отзыв не влияет на законность обработки, основанной на согласии до его отзыва.

5. Получатели данных

Мы можем передавать ваши персональные данные:

• поставщикам технических услуг (хостинг, ИТ, облачные услуги, техническое обслуживание);

• поставщиками платежных услуг и банками, обрабатывающими транзакции и выплаты;

• поставщиками бухгалтерских и юридических услуг;

• поставщиками услуг электронной почты и связи (например, инструментами для рассылки новостных писем, поставщиками транзакционных электронных писем);

• инструментами аналитики и маркетинга (в пределах, разрешенных законом);

• курьерскими и логистическими компаниями (для доставки физических товаров);

• государственными органами или судами, когда мы обязаны это делать по закону.

Когда продавцы получают ваши данные (например, как покупатели, для целей исполнения договора), они обрабатывают их в качестве независимых контролеров для своих собственных целей и в соответствии со своими собственными политиками конфиденциальности.

Мы не продаем ваши персональные данные.

6. Передача за пределы ЕЭЗ

Некоторые из наших поставщиков услуг могут находиться за пределами Европейской экономической зоны (ЕЭЗ), например, в странах, в отношении которых Европейская комиссия не приняла решение об адекватности.

Если данные передаются за пределы ЕЭЗ, мы обеспечиваем, чтобы:

• были приняты надлежащие правовые меры защиты, в частности, стандартные договорные условия (SCC), принятые Европейской комиссией, или

• передача осуществлялась в страну с адекватным уровнем защиты, признанным Европейской комиссией.

Вы можете получить копию гарантий, относящихся к конкретной передаче, связавшись с нами через контактную форму.

7. Сроки хранения данных

Мы храним персональные данные только в течение времени, необходимого для целей, для которых они были собраны, в частности:

• данные, связанные с вашей учетной записью, — в течение срока действия вашей учетной записи, а затем в течение срока исковой давности (например, обычно до 6 лет с конца года, в котором отношения были прекращены);

• данные о транзакциях, выставлении счетов и бухгалтерском учете — в течение сроков, требуемых польским налоговым и бухгалтерским законодательством (обычно до нескольких лет);

• данные о коммуникации (поддержка, споры) — в течение времени, необходимого для решения вопроса, и в течение срока исковой давности для потенциальных претензий;

• маркетинговые данные — до тех пор, пока вы не возразите против обработки или не отзовете свое согласие (если согласие является правовой основой).

По истечении этих сроков данные удаляются или анонимизируются.

8. Ваши права

В соответствии с GDPR вы имеете следующие права в отношении ваших персональных данных:

1. Право на доступ – получить информацию о том, обрабатываем ли мы ваши данные, и получить их копию.

2. Право на исправление – исправить неточные или неполные данные.

3. Право на удаление («право на забвение») – при наличии правовых оснований (например, данные больше не нужны, согласие отозвано и нет других правовых оснований).

4. Право на ограничение обработки – в случаях, предусмотренных законом.

5. Право на переносимость данных – на получение данных, которые вы нам предоставили, в структурированном, широко используемом машиночитаемом формате и на их передачу другому контролеру, если это технически возможно.

6. Право на возражение – против обработки на основании наших законных интересов (ст. 6(1)(f) GDPR), включая профилирование; в частности, вы можете в любое время возразить против обработки для целей прямого маркетинга.

7. Право на отзыв согласия – если обработка основана на согласии, вы можете отозвать его в любое время.

Чтобы воспользоваться своими правами, свяжитесь с нами через контактную форму. Перед выполнением вашего запроса нам может потребоваться подтвердить вашу личность.

Вы также имеете право подать жалобу в надзорный орган:

Президент Управления по защите персональных данных (Prezes Urzędu Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Варшава, Польша

адрес веб-сайта доступен на официальном сайте органа.

9. Автоматизированное принятие решений и профилирование

Мы не принимаем решений, основанных исключительно на автоматизированной обработке, включая профилирование, которые могли бы иметь юридические последствия для вас или аналогичным образом существенно повлиять на вас.

Мы можем использовать базовое профилирование (например, сегментацию по языку, стране, категории используемых услуг) в аналитических и маркетинговых целях, но такая обработка не оказывает существенного влияния на ваши права и свободы.

10. Файлы cookie и аналогичные технологии

Платформа использует файлы cookie и аналогичные технологии для:

• обеспечения надлежащего функционирования веб-сайта и сеансов пользователей;

• запоминания ваших настроек и предпочтений;

• проведения статистики и аналитики;

• поддержки маркетинговых мероприятий в соответствии с применимым законодательством.

Вы можете управлять файлами cookie с помощью настроек своего браузера или, если это предусмотрено, через баннер файлов cookie / центр настроек на веб-сайте. Ограничение файлов cookie может повлиять на некоторые функции платформы.

Подробная информация о типах используемых файлов cookie может быть описана в отдельной Политике использования файлов cookie.

11. Изменения в настоящей Политике

Мы можем время от времени обновлять настоящую Политику конфиденциальности, например, в связи с изменениями в законодательстве или в порядке работы платформы. Обновленная версия будет опубликована на веб-сайте с новой «Датой вступления в силу». В случае значительных изменений мы можем дополнительно уведомить вас по электронной почте или через платформу.