Polityka prywatności
Obowiązuje od: 07/2026
1. Administrator
Administratorem danych osobowych jest ETNERA LTD · Business Registration Number: HE480731, spółka prawa cypryjskiego z siedzibą: Neofytou Nikolaidi & Theodorou Kolokotroni, ONISIFOROU CENTER, 2nd floor, Agios Theodoros, 8011 Paphos, Cyprus ("Administrator"). Kontakt w sprawach danych osobowych: [email protected].
Serwis SkinsCartel jest jednym z serwisów prowadzonych przez Administratora pod różnymi markami i domenami na wspólnej infrastrukturze. Administratorem danych we wszystkich tych serwisach jest wyłącznie ETNERA LTD · Business Registration Number: HE480731. Twórcy internetowi promujący poszczególne serwisy nie są administratorami ani współadministratorami danych Użytkowników.
2. Kategorie przetwarzanych danych
Dane identyfikacyjne: imię i nazwisko.
Identyfikatory Steam: Steam ID, trade URL, publiczne dane inwentarza (w tym skład i szacunkowa wartość inwentarza — w zakresie opisanym w pkt 8.3).
Dane rozliczeniowe: numer rachunku (IBAN) albo dane karty płatniczej.
Dane kontaktowe: adres e-mail i numer telefonu — zbierane przy rozliczeniu transakcji w celu kontaktu w sprawach rozliczenia (np. weryfikacja danych wypłaty, nieudane przelewy, KYC), a w celach marketingowych wyłącznie w zakresie opisanym w pkt 3.4–3.5.
Dane techniczne: adres IP, identyfikatory urządzenia i przeglądarki, logi.
Dane atrybucji ruchu: domena/marka, z której Użytkownik trafił do Serwisu, parametry kampanii.
Treść korespondencji z przedstawicielem Administratora w Kanale Czatowym oraz korespondencji e-mail, SMS i telefonicznej.
Dane KYC (wyłącznie gdy zbierane zgodnie z regulaminem): skan/zdjęcie dokumentu tożsamości, wizerunek (selfie/liveness), dane z dokumentu.
Historia transakcji z Administratorem (we wszystkich serwisach Administratora).
3. Cele i podstawy prawne przetwarzania
Zawarcie i wykonanie umowy sprzedaży Przedmiotów, w tym negocjacje, obsługa wypłat, kontakt w sprawach rozliczenia (e-mail, telefon, SMS) i obsługa reklamacji — art. 6 ust. 1 lit. b RODO (dane z pkt 2.1–2.4, 2.7, 2.9).
Wykonanie obowiązków prawnych: przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu, przepisy sankcyjne, obowiązki podatkowe i rachunkowe — art. 6 ust. 1 lit. c RODO (dane z pkt 2.1–2.3, 2.8).
Prawnie uzasadnione interesy Administratora — art. 6 ust. 1 lit. f RODO: (a) zapobieganie oszustwom i nadużyciom, w tym profilowanie antyfraudowe (pkt 8.1–8.2); (b) ustalenie, dochodzenie i obrona roszczeń; (c) analityka i statystyka działania serwisów, w tym rozliczanie efektywności poszczególnych marek/domen (dane atrybucji); (d) bezpieczeństwo sieci i informacji; (e) przygotowywanie spersonalizowanych propozycji odkupu na podstawie profilowania opisanego w pkt 8.3 — przy czym samo wysłanie komunikacji marketingowej następuje wyłącznie na zasadach z pkt 3.4.
Marketing bezpośredni Administratora, obejmujący w szczególności: (a) proaktywne propozycje odkupu Przedmiotów z inwentarza Użytkownika; (b) powiadomienia o wycenach i zmianach cen rynkowych Przedmiotów Użytkownika (alerty cenowe); (c) informacje o promocjach, bonusach i podwyższonych stawkach skupu; (d) informacje o pozostałych serwisach i markach Administratora — kierowany kanałem e-mail, SMS lub telefonicznie wyłącznie za uprzednią, odrębną i dobrowolną zgodą Użytkownika na dany kanał komunikacji (art. 6 ust. 1 lit. a RODO; art. 398 ustawy — Prawo komunikacji elektronicznej / art. 13 dyrektywy 2002/58/WE i jej implementacje krajowe). Zgoda nie jest warunkiem zawarcia umowy ani otrzymania wypłaty.
Zakres zgody marketingowej obejmuje — jeżeli treść zgody tak stanowi — wszystkie serwisy prowadzone przez Administratora (marketing cross-brand); lista serwisów objętych zgodą jest każdorazowo wskazana w treści zgody. Każda wiadomość marketingowa zawiera możliwość rezygnacji (link opt-out lub STOP dla SMS). Cofnięcie zgody jest możliwe w każdym czasie i nie wpływa na komunikację rozliczeniową (pkt 3.1).
Podanie danych z pkt 2.1–2.4 jest warunkiem zawarcia i rozliczenia umowy; ich niepodanie uniemożliwia wypłatę. Podanie danych KYC jest wymagane w przypadkach określonych w regulaminie. Zgody marketingowe są w pełni dobrowolne i mogą być cofnięte niezależnie od siebie.
4. Odbiorcy danych
Dane mogą być przekazywane wyłącznie: dostawcom usług płatniczych i instytucjom pieniądza elektronicznego, bankom, dostawcom usług SMS i komunikacji e-mail (narzędzia wysyłkowe), dostawcom hostingu i infrastruktury IT, dostawcy usług weryfikacji tożsamości (KYC) — z chwilą jego zaangażowania, doradcom księgowym, podatkowym i prawnym, a także organom publicznym, gdy obowiązek taki wynika z prawa.
Twórcy internetowi i partnerzy marketingowi promujący serwisy Administratora otrzymują wyłącznie dane zagregowane i statystyczne (np. liczba i łączna wartość transakcji z danej domeny). Nie otrzymują oni w żadnym przypadku danych osobowych Użytkowników.
Podmioty przetwarzające działają na podstawie umów powierzenia zgodnych z art. 28 RODO.
5. Przekazywanie danych poza EOG
Administrator co do zasady przetwarza dane na terenie Europejskiego Obszaru Gospodarczego. Jeżeli dostawca usług (hosting, komunikacja, weryfikacja tożsamości, płatności) przetwarza dane poza EOG, transfer odbywa się na podstawie decyzji o adekwatności Komisji Europejskiej albo standardowych klauzul umownych (art. 46 ust. 2 lit. c RODO). Informacje o aktualnych transferach i zastosowanych zabezpieczeniach można uzyskać pod adresem [email protected].
6. Okresy przechowywania
Dane transakcyjne oraz dane zebrane na potrzeby AML/KYC — 5 lat od zakończenia transakcji, chyba że przepisy wymagają okresu dłuższego.
Dane przetwarzane na podstawie zgody (marketing) — do cofnięcia zgody; po cofnięciu Administrator może zachować dowód udzielenia i cofnięcia zgody (obrona roszczeń, rozliczalność).
Korespondencja (Kanał Czatowy, e-mail, SMS, telefon) — przez okres przedawnienia roszczeń wynikający z prawa właściwego.
Dane techniczne i logi — 12 miesięcy, chyba że stanowią dowód nadużycia.
7. Prawa osób, których dane dotyczą
Użytkownikowi przysługuje prawo: dostępu do danych i uzyskania ich kopii (art. 15 RODO), sprostowania (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20), sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f (art. 21), oraz cofnięcia zgody (art. 7 ust. 3).
Sprzeciw wobec marketingu bezpośredniego, w tym profilowania w celach marketingowych (pkt 8.3), jest bezwzględnie skuteczny — po jego wniesieniu Administrator zaprzestaje przetwarzania danych w tym celu (art. 21 ust. 2–3 RODO).
Realizacja żądań: [email protected]. Administrator odpowiada bez zbędnej zwłoki, najpóźniej w ciągu miesiąca (z możliwością przedłużenia o dwa miesiące w sprawach złożonych, o czym informuje).
Prawa z pkt 7.1 mogą podlegać ograniczeniom wynikającym z przepisów AML (np. zakaz ujawnienia informacji o zgłoszeniu do jednostki analityki finansowej).
Skarga do organu nadzorczego: Komisarz ds. Ochrony Danych Osobowych Republiki Cypryjskiej (Office of the Commissioner for Personal Data Protection, Nikozja); Użytkownik może również wnieść skargę do organu państwa swojego zwykłego pobytu, w Polsce — Prezesa Urzędu Ochrony Danych Osobowych (UODO).
8. Profilowanie i zautomatyzowane decyzje
Profilowanie antyfraudowe: Administrator stosuje mechanizmy oceny ryzyka oszustwa (profilowanie w rozumieniu art. 4 pkt 4 RODO), analizujące m.in. parametry techniczne sesji, historię transakcji, cechy konta Steam i dane rozliczeniowe. Celem jest wyłącznie zapobieganie nadużyciom (art. 6 ust. 1 lit. f RODO).
Jeżeli system oceny ryzyka automatycznie wstrzyma wypłatę lub zablokuje transakcję, a decyzja ta wywołuje wobec Użytkownika istotne skutki, Użytkownik ma prawo — zgodnie z art. 22 ust. 3 RODO — uzyskać interwencję człowieka po stronie Administratora, wyrazić własne stanowisko oraz zakwestionować decyzję, kontaktując się pod [email protected]. Każde automatyczne wstrzymanie podlega weryfikacji przez personel Administratora.
Profilowanie marketingowe: w celu przygotowania spersonalizowanych propozycji odkupu Administrator może analizować publicznie dostępne dane inwentarza Steam Użytkownika oraz historię transakcji z Administratorem (np. rodzaj i szacunkowa wartość posiadanych Przedmiotów). Profilowanie to nie wywołuje wobec Użytkownika skutków prawnych ani podobnie istotnych skutków — służy wyłącznie doborowi treści ofert; komunikacja tych ofert następuje wyłącznie na zasadach z pkt 3.4. Użytkownik może w każdym czasie wnieść sprzeciw (pkt 7.2).
9. Pliki cookies
Serwis używa plików cookies i podobnych technologii: niezbędnych (sesja, bezpieczeństwo — podstawą jest niezbędność świadczenia usługi) oraz analitycznych i marketingowych (wyłącznie za zgodą wyrażoną w banerze zarządzania zgodami).
Szczegółowy wykaz cookies, okresy ich ważności i dostawcy zewnętrzni są dostępne w banerze zarządzania zgodami w Serwisie. Zgodę można zmienić lub cofnąć w ustawieniach banera w każdym czasie.
10. Zmiany Polityki
Administrator może aktualizować Politykę (np. przy zmianie dostawców, zakresu danych lub przepisów). O istotnych zmianach informuje w Serwisie. Wersje archiwalne udostępniane są na żądanie.
11. Wersje językowe
Polityka dostępna jest w wersji polskiej i angielskiej (skinscartel.com/privacy). Wobec Użytkowników mających zwykły pobyt w Polsce wiążąca jest wersja polska; rozbieżności tłumaczy się na korzyść Użytkownika.