Polityka Prywatności

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

• Nazwa: KUPMAX PROSTA SPÓŁKA AKCYJNA (KupMax PSA)
• Siedziba: ul. Marsz. Józefa Piłsudskiego 74/320, 50-020 Wrocław
• KRS: 0001224803
• NIP: 8971967476
• REGON: 54404302800000
• Email: kontakt@kupmax.pl
• Telefon: +48 539 977 433

Inspektor Ochrony Danych

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD). We wszelkich sprawach dotyczących przetwarzania danych osobowych prosimy o kontakt pod adresem: kontakt@kupmax.pl.

2. Ekosystem KUPMAX

Niniejsza Polityka Prywatności obejmuje cały ekosystem KUPMAX:

• kupmax.pl - główna strona KUPMAX
• ai.kupmax.pl - platforma marketplace AI
• Vibe3D - aplikacja mobilna (Android)
• Gra Roblox - gra edukacyjna
• Retro Portal - portal w stylu lat 90.

Jedno konto użytkownika działa we wszystkich usługach ekosystemu.

3. Jakie dane zbieramy

3.1. Dane zbierane automatycznie

• Adres IP
• Typ przeglądarki i system operacyjny
• Data i godzina wizyty
• Odwiedzone strony
• Źródło wejścia (referer)
• Przybliżona lokalizacja (na podstawie IP)

3.2. Dane podane przez Użytkownika

Podczas rejestracji:

• Imię i nazwisko
• Adres email
• Hasło (hashowane)

Przy składaniu zamówienia:

• Adres dostawy
• Adres rozliczeniowy (jeśli różny od dostawy)
• Numer telefonu
• Uwagi od kupującego do zamówienia
• Wybór paczkomatu (dla dostaw do punktów)
• Preferowane szybkie wysłanie (ekspres)
• Dane do faktury VAT (NIP, nazwa firmy, adres, telefon) - przechowywane w Order.metadata

Podczas rejestracji firmy:

• Nazwa firmy
• NIP, REGON
• Adres siedziby
• Opis działalności
• Dane Stripe Connect (przetwarzane bezpośrednio przez Stripe)

Przy sprzedaży produktów artystycznych:

• Sposób tworzenia (creationMethod)
• Technika artystyczna (artTechnique)
• Podłoże/materiał (artSurface)
• Styl artystyczny (artStyle)
• Rok utworzenia (yearCreated)
• Informacja o edycji limitowanej
• Dane certyfikatu autentyczności
• Podpis artysty
• Status gotowości do Vibe3D

Uwierzytelnianie telefoniczne:

• Numer telefonu (weryfikacja przez Firebase Phone Auth)
• Hash weryfikacji SMS

Komisja "Cząsteczka Energii":

• Opłata dla kupującego (buyerFee)
• Opłata dla sprzedawcy (sellerFee)
• Historia zmian stawek prowizji

W aplikacji Vibe3D:

• Dane konta (email, imię)
• Modele 3D przesłane przez użytkownika
• Komentarze i reakcje
• Dane urządzenia

4. Cele przetwarzania i podstawy prawne

5. Profilowanie i zautomatyzowane podejmowanie decyzji

5.1. AI Studio

Funkcja AI Studio wykorzystuje sztuczną inteligencję (modele GPT-4o) do analizy zdjęć produktów przesłanych przez Użytkownika. Analiza dotyczy wyłącznie produktów, nie danych osobowych Użytkownika. Wyniki analizy mają charakter informacyjny i nie wpływają na prawa Użytkownika.

5.2. System gamifikacji

System XP i rang automatycznie przydziela punkty za aktywność Użytkownika (zakupy, questy, quizy). Proces ten jest zautomatyzowany, ale nie stanowi profilowania w rozumieniu Art. 22 RODO, ponieważ nie wywołuje skutków prawnych ani nie wpływa istotnie na Użytkownika.

5.3. Rekomendacje produktów

Platforma może wyświetlać spersonalizowane rekomendacje produktów na podstawie historii przeglądania. Użytkownik może w każdej chwili wyłączyć personalizację w ustawieniach konta.

5.4. Produkty artystyczne i oznaczanie treści generowanych AI

Platforma obsługuje sprzedaż produktów artystycznych, w tym dzieł sztuki, rzeźb, grafik i projektów artystycznych. Gromadźimy szczegółowe metadane o tych produktach (technika, materiały, rok tworzenia, certyfikaty) w celu wsparcia procesu sprzedaży i integracji z Vibe3D.

Zgodnie z Ustawą o Regulacji Sztucznej Inteligencji (Ustawa AI) Art. 50: Treści wygenerowane sztuczną inteligencją powinny być wyraźnie oznaczone. Sprzedawcy są zobowiązani do ujawnienia, czy produkt (szczególnie dzieło sztuki, fotografia, grafika) został całkowicie czy częściowo wygenerowany za pomocą narzędzi AI. Informacja ta przechowywana jest w metadanych produktu.

AI Studio: Funkcja analizy AI może zasugerować pola metadanych na podstawie zdjęcia produktu, ale ostateczna odpowiedzialność za poprawność i zgodność z rzeczywistością spoczywa na Sprzedawcy.

5.5. Hive Sounds - dane aktywizacji planu

Dla użytkowników korzystających z systemu Hive Sounds (gdzie 9 planet obniża prowizję), gromadźimy:

• Aktywne planety użytkownika (activePlanets)
• Typ sprzedawcy (sellerType) - prywatny/biznesowy
• Historia zmian stawek komisji
• Okresy aktywności planu

Dane przechowywane są przez okres 5 lat (przepisy podatkowe) w celu audytu i rozliczeń finansowych.

6. Udostępnianie danych

6.1. Podmioty przetwarzające (procesory)

• Stripe, Inc. - obsługa płatności, Stripe Connect (USA, SCC)
• Vercel, Inc. - hosting aplikacji (USA, SCC)
• Supabase, Inc. - baza danych i uwierzytelnianie (USA, SCC)
• Firebase (Google LLC) - uwierzytelnianie telefoniczne, backend Vibe3D, analityka (USA/UE europe-west1, SCC)
• OpenAI, Inc. - analiza AI w AI Studio (USA, SCC) - przekazywane są wyłącznie zdjęcia produktów, nie dane osobowe
• Resend, Inc. - wysyłka emaili transakcyjnych (USA, SCC)
• Sentry.io (GmbH) - monitoring błędów i wydajności (EU, de.sentry.io)
• Anthropic PBC - AI Clippy w Retro Portal (USA, SCC)

6.2. Wysyłka i firmy kurierskie

Dane adresowe Użytkownika są udostępniane Sprzedawcy (Firmie) w celu realizacji dostawy. Wysyłka obsługiwana jest za pośrednictwem:

• Apaczka Sp. z o.o. (apaczka.pl) - broker usług kurierskich (Polska)
• InPost Sp. z o.o. - paczkomaty i kurier (Polska)
• DPD Polska Sp. z o.o. - kurier (Polska)
• DHL Express (Poland) Sp. z o.o. - kurier międzynarodowy (Polska)
• Poczta Polska S.A. - poczta (Polska)

6.2.1. Reklamy w aplikacji Vibe3D

• Google AdMob - wyświetlanie reklam w aplikacji (USA, SCC)

6.3. Sprzedawcy (Firmy)

Dane niezbędne do realizacji zamówienia (imię, nazwisko, adres dostawy, telefon) są udostępniane Firmie (Sprzedawcy), która jest odrębnym administratorem tych danych w zakresie realizacji umowy sprzedaży.

6.4. Transfer poza EOG

Niektórzy partnerzy przetwarzają dane w USA. Stosujemy Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską jako podstawę przekazywania danych.

7. Okres przechowywania danych

8. Twoje prawa (RODO)

Przysługują Ci następujące prawa:

• Prawo dostępu (Art. 15) - możesz uzyskać kopię swoich danych
• Prawo do sprostowania (Art. 16) - korekta nieprawidłowych danych
• Prawo do usunięcia (Art. 17) - "prawo do bycia zapomnianym"
• Prawo do ograniczenia przetwarzania (Art. 18) - wstrzymanie przetwarzania
• Prawo do przenoszenia danych (Art. 20) - eksport danych w formacie nadającym się do odczytu maszynowego
• Prawo sprzeciwu (Art. 21) - wobec przetwarzania opartego na prawnie uzasadnionym interesie, w tym marketingu bezpośredniego
• Prawo do cofnięcia zgody (Art. 7 ust. 3) - w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem

Aby skorzystać ze swoich praw, napisz na: kontakt@kupmax.pl. Odpowiemy w terminie 30 dni.

Skarga do organu nadzorczego

Masz prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO):

• Adres: ul. Stawki 2, 00-193 Warszawa
• Strona: uodo.gov.pl

9. Wymóg podania danych

Podanie danych osobowych jest:

• Dobrowolne, lecz niezbędne do korzystania z usług Platformy (rejestracja konta, składanie zamówień)
• Wymagane w przypadku Firm rejestrujących się jako Sprzedawcy (NIP, dane firmy - wymóg prawny)

Konsekwencją niepodania danych jest brak możliwości korzystania z odpowiednich usług Platformy (np. brak możliwości złożenia zamówienia bez podania adresu dostawy).

10. Bezpieczeństwo

• Szyfrowanie SSL/TLS
• Hashowanie haseł (bcrypt)
• Content Security Policy (CSP)
• Regularne kopie zapasowe
• Kontrola dostępu (RLS w Supabase)
• Monitoring bezpieczeństwa

11. Cookies

Szczegółowe informacje o plikach cookies znajdują się w Polityce Cookies.

12. Ochrona danych dzieci i młodzież

12.1. Wymogi wiekowe dla poszczególnych usług

• kupmax.pl (Retro Portal) - 18+ (lub 16+ z zgodą rodzica, zgodnie z RODO Art. 8)
• ai.kupmax.pl (Marketplace AI) - 18+ (lub 16+ z zgodą rodzica, zgodnie z RODO Art. 8)
• Aplikacja Vibe3D - minimum 13 lat
• Gra Roblox - minimum 13 lat (dla poniżej 13 lat wymaga zgody rodzica, zgodnie z COPPA - Children's Online Privacy Protection Act)

12.2. Zgoda rodzicielska

W przypadku użytkowników w wieku 13-18 lat (w zależności od usługi), wymagamy weryfikowalnej zgody rodzica lub opiekuna prawnego. Procedura weryfikacji:

• Podanie adresu email rodzica
• Wysłanie linku weryfikacyjnego na email rodzica
• Potwierdzenie zgody przez rodzica/opiekuna

12.3. Polityka zbierania danych

Nie zbieramy świadomie danych osobowych dzieci poniżej wymogów wiekowych dla danej usługi bez weryfikowalnej zgody rodzicielskiej. W przypadku odkrycia takiego naruszenia, danych takie będą niezwłocznie usunięte.

12.4. Bezpieczeństwo na Robloxie (COPPA)

Gra KUPMAX na platformie Roblox podlega przepisom COPPA (USA). Roblox Corporation zbiera minimalny zestaw danych od dzieci poniżej 13 lat i nie umożliwia przetwarzania danych osobowych bez zgody rodzicielskiej.

13. Zmiany Polityki

O istotnych zmianach w Polityce Prywatności poinformujemy Cię emailem lub powiadomieniem na stronie z 14-dniowym wyprzedzeniem.

14. Kontakt

• Email: kontakt@kupmax.pl
• Telefon: +48 539 977 433
• Formularz: kupmax.pl/contact
• Adres: ul. Marsz. Józefa Piłsudskiego 74/320, 50-020 Wrocław

Czas odpowiedzi: do 30 dni (zgodnie z RODO Art. 12 ust. 3).