Przejdź do treści
DROPY.

Privacy Policy

Polityka Prywatności

Obowiązuje od 26 marca 2026 r.

1. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w ramach platformy Dropy (dalej: Platforma) jest SecondHandy Marcin Laskarzewski, prowadzący jednoosobową działalność gospodarczą z siedzibą w Poznań, Polska (dalej: Administrator).

Kontakt w sprawach ochrony danych: kontakt@dropy.com.pl

2. Charakter Platformy i zakres stosowania

Dropy jest marketplace'em B2B łączącym hurtownie i dostawców odzieży vintage oraz second-hand z kupcami — sklepami, resellerami i innymi podmiotami gospodarczymi. Platforma nie obsługuje konsumentów w rozumieniu art. 22¹ Kodeksu cywilnego.

Niniejsza Polityka Prywatności dotyczy przetwarzania danych osobowych osób fizycznych działających w imieniu podmiotów gospodarczych (np. właścicieli JDG, przedstawicieli spółek), które korzystają z Platformy jako Sprzedawcy (Vendorzy) lub Kupujący (Buyerzy).

Polityka ma zastosowanie do serwisów: dropy.com.pl, panel.vintagewholesale.com.pl oraz vintagewholesale.com.pl.

3. Zakres zbieranych danych

3.1. Dane podawane przez Użytkownika

  • Dane identyfikacyjne: imię, nazwisko, nazwa firmy, NIP
  • Dane kontaktowe: adres e-mail, numer telefonu, adres korespondencyjny
  • Dane firmowe: adres siedziby, dane rejestrowe (pobierane z GUS na podstawie NIP)
  • Dane logowania: adres e-mail, hasło (przechowywane w formie zaszyfrowanej)

3.2. Dane generowane automatycznie

  • Dane transakcyjne: historia zamówień, statusy płatności, kwoty, prowizje
  • Dane techniczne: adres IP, typ przeglądarki, system operacyjny, rozdzielczość ekranu
  • Dane z plików cookies: identyfikatory sesji, preferencje, dane analityczne
  • Dane z localStorage: dane formularza wysyłkowego (tylko dla niezalogowanych użytkowników)

3.3. Dane przetwarzane w ramach płatności

Dane kart płatniczych i rachunków bankowych są przetwarzane wyłącznie przez operatora płatności — Stripe, Inc. Administrator nie przechowuje pełnych numerów kart ani danych uwierzytelniających płatności. W ramach Stripe Connect przetwarzane są dane niezbędne do realizacji wypłat dla Sprzedawców (identyfikator konta Stripe, status weryfikacji, historia wypłat).

4. Cele i podstawy prawne przetwarzania

Cel przetwarzaniaPodstawa prawna (RODO)Okres przechowywania
Rejestracja i obsługa kontaArt. 6 ust. 1 lit. b — wykonanie umowyDo usunięcia konta + 30 dni
Realizacja zamówień i transakcjiArt. 6 ust. 1 lit. b — wykonanie umowy5 lat (obowiązek podatkowy)
Wystawianie faktur i rozliczeniaArt. 6 ust. 1 lit. c — obowiązek prawny5 lat od końca roku podatkowego
Obsługa reklamacji i sporówArt. 6 ust. 1 lit. b i f — umowa i interes prawnyDo zakończenia sprawy + okres przedawnienia
Komunikacja (e-mail transakcyjny)Art. 6 ust. 1 lit. b — wykonanie umowyDo usunięcia konta
Marketing bezpośredni (newsletter)Art. 6 ust. 1 lit. a — zgodaDo wycofania zgody
Analityka i poprawa jakości usługArt. 6 ust. 1 lit. f — uzasadniony interes14 miesięcy (GA4)
Bezpieczeństwo i zapobieganie nadużyciomArt. 6 ust. 1 lit. f — uzasadniony interesDo 12 miesięcy
Weryfikacja NIP (GUS API)Art. 6 ust. 1 lit. b — wykonanie umowyDane nie są przechowywane (jednorazowe)

5. Odbiorcy danych

Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:

5.1. Podmioty przetwarzające (procesory)

  • Stripe, Inc. — obsługa płatności i wypłat (Stripe Connect). Posiada certyfikat EU-US Data Privacy Framework.
  • Brevo (Sendinblue) — wysyłka e-maili transakcyjnych. Serwery w UE.
  • Vercel, Inc. — hosting aplikacji frontendowej. DPA Vercel.
  • cyber_Folks S.A. — hosting backendu WordPress/WooCommerce. Serwery w Polsce.
  • Google LLC — analityka (Google Analytics 4). Dane zanonimizowane, IP skracane.

5.2. Strony transakcji

W ramach realizacji zamówienia dane Kupującego niezbędne do wysyłki (nazwa firmy, adres dostawy) są udostępniane Sprzedawcy. Sprzedawca zobowiązany jest do wykorzystania tych danych wyłącznie w celu realizacji zamówienia.

5.3. Organy państwowe

Dane mogą być udostępnione organom państwowym (Urząd Skarbowy, organy ścigania, UODO) wyłącznie na podstawie obowiązujących przepisów prawa.

6. Przekazywanie danych poza EOG

Niektóre podmioty przetwarzające dane mają siedzibę w Stanach Zjednoczonych:

  • Stripe, Inc. — EU-US Data Privacy Framework (decyzja adekwatności KE z 10.07.2023).
  • Vercel, Inc. — Standardowe Klauzule Umowne (SCC) oraz Data Processing Addendum.
  • Google LLC — EU-US Data Privacy Framework. Dane GA4 z anonimizacją IP.

Pozostali podmioty przetwarzające dane (Brevo, cyber_Folks) mają serwery w Unii Europejskiej.

7. Pliki cookies i technologie śledzenia

Platforma wykorzystuje pliki cookies oraz mechanizm localStorage. Przy pierwszej wizycie wyświetlany jest baner umożliwiający wyrażenie zgody na poszczególne kategorie cookies.

7.1. Kategorie cookies

KategoriaCelDostawcaCzas życia
NiezbędneSesja, koszyk, JWT, cookie consentDropySesja / 1 rok
FunkcjonalnePreferencje, dane formularzaDropy30 dni
AnalityczneStatystyki odwiedzinGoogle Analytics 4Do 14 miesięcy
PłatnościPrzetwarzanie płatności, fraudStripeWg polityki Stripe

7.2. localStorage

Platforma wykorzystuje localStorage do przechowywania danych formularza wysyłkowego (klucz: vw-shipping-data) wyłącznie dla niezalogowanych użytkowników (guest checkout). Dane pozostają na urządzeniu i nie są przesyłane na serwer.

7.3. Zarządzanie cookies

Możesz zarządzać zgodami za pomocą banera na stronie lub w ustawieniach przeglądarki. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z Platformy.

8. Prawa osób, których dane dotyczą

Zgodnie z RODO przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15) — informacja o przetwarzanych danych i ich kopia
  • Prawo do sprostowania (art. 16) — poprawienie nieprawidłowych danych
  • Prawo do usunięcia (art. 17) — usunięcie danych (“prawo do bycia zapomnianym”), z zastrzeżeniem obowiązków prawnych
  • Prawo do ograniczenia przetwarzania (art. 18)
  • Prawo do przenoszenia danych (art. 20) — format nadający się do odczytu maszynowego
  • Prawo do sprzeciwu (art. 21) — w tym wobec marketingu bezpośredniego
  • Prawo do cofnięcia zgody (art. 7 ust. 3) — bez wpływu na zgodność wcześniejszego przetwarzania
  • Prawo do skargi — do Prezesa UODO, ul. Stawki 2, 00-193 Warszawa

Kontakt: kontakt@dropy.com.pl. Odpowiadamy w terminie 30 dni.

9. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne:

  • Szyfrowanie połączeń (SSL/TLS) na wszystkich domenach Platformy
  • Szyfrowanie haseł (hash bcrypt)
  • Uwierzytelnianie JWT z ograniczonym czasem ważności tokenów
  • Ograniczenie dostępu do danych osobowych do uprawnionych osób
  • Regularne kopie zapasowe
  • Zabezpieczenie API (CORS, rate limiting)

10. Profilowanie i automatyczne podejmowanie decyzji

Platforma nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub w podobny istotny sposób wpływały na Użytkownika.

Dane analityczne (GA4) służą wyłącznie zbiorczym analizom statystycznym — nie profilujemy indywidualnie.

11. Szczególne zasady dla Sprzedawców (Stripe Connect)

Sprzedawcy podłączają konto płatnicze za pośrednictwem Stripe Connect:

  • Stripe jest niezależnym administratorem danych do weryfikacji tożsamości (KYC/AML)
  • Administrator przechowuje jedynie identyfikator konta Stripe, status weryfikacji i historię wypłat
  • Dane kart/rachunków Sprzedawcy nie są przechowywane przez Administratora
  • Polityka Stripe: stripe.com/privacy

12. Dane udostępniane między stronami transakcji

  • Kupujący → Sprzedawca: nazwa firmy, adres dostawy, NIP — wysyłka i faktura
  • Sprzedawca → Kupujący: nazwa firmy, dane kontaktowe — profil i faktura

Administrator pośredniczy jako operator technologiczny. Strony zobowiązane są do wykorzystania danych wyłącznie w celu realizacji zamówienia.

13. Zmiany Polityki Prywatności

O istotnych zmianach Użytkownicy zostaną powiadomieni e-mailem lub komunikatem na Platformie co najmniej 14 dni przed wejściem zmian w życie.

14. Kontakt

Organ nadzorczy: Prezes UODO, ul. Stawki 2, 00-193 Warszawa — uodo.gov.pl

Ostatnia aktualizacja: 26 marca 2026 r.