Logo PyroNationPyroNation

Polityka prywatności

Wyjaśniamy, jakie dane osobowe przetwarzamy w PyroNation, w jakich celach, komu je powierzamy, jak długo je przechowujemy i jakie prawa Ci przysługują. Dokument napisany jest możliwie prostym językiem przy zachowaniu wymogów RODO.

Ostatnia aktualizacja: 25 kwietnia 2026

Kontakt w sprawach prywatności

kontakt@pyronation.pl

Zapytania o dane, realizacja praw z RODO, zgłoszenia incydentów ochrony danych.

Samodzielna obsługa

Eksport danych i usunięcie konta

Najważniejsze działania wykonasz w ustawieniach konta w zakładce Prywatność.

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest operator platformy PyroNation, prowadzący platformę PyroNation dostępną pod adresem pyronation.pl.

We wszystkich sprawach związanych z przetwarzaniem danych skontaktuj się z nami pod adresem kontakt@pyronation.pl lub poprzez formularz kontaktowy.

Inspektor Ochrony Danych nie został wyznaczony, ponieważ nie zachodzą przesłanki z art. 37 ust. 1 RODO. Wszystkie zapytania kierowane na powyższy adres trafiają do osoby odpowiedzialnej za ochronę danych w PyroNation.

2. Kogo dotyczy ta polityka

Polityka dotyczy każdej osoby fizycznej, która korzysta z PyroNation jako:

  • kupujący (przegląda ogłoszenia, kontaktuje się ze sprzedawcami, dodaje opinie),
  • sprzedawca (publikuje ogłoszenia, prowadzi profil sprzedawcy, korzysta z subskrypcji i promocji),
  • odwiedzający (osoba odwiedzająca stronę bez założonego konta).

Dane osób poniżej 18 roku życia: Platforma jest przeznaczona wyłącznie dla osób pełnoletnich. Z uwagi na sprzedaż wyrobów pirotechnicznych klas F1-F3, T1 oraz P1, świadomie nie kierujemy oferty do osób małoletnich i nie zbieramy ich danych. Jeżeli dowiemy się, że przetwarzamy dane osoby poniżej 18 r.ż., niezwłocznie usuniemy konto i powiązane z nim dane.

3. Jakie dane przetwarzamy

Dane konta

  • adres e-mail (login, kanał komunikacji)
  • zahaszowane hasło (algorytm jednokierunkowy — nie znamy hasła w postaci jawnej)
  • imię/nazwa wyświetlana, opcjonalnie miasto i województwo
  • numer telefonu (jeżeli zdecydujesz się go potwierdzić)
  • role i uprawnienia, status weryfikacji e-mail/telefonu/wieku
  • sekret 2FA i kody zapasowe (jeśli włączysz weryfikację dwuetapową — przechowywane w postaci umożliwiającej weryfikację)

Dane profilu sprzedawcy

  • nazwa sklepu, slug, opis, logo, baner, motyw profilu
  • dane kontaktowe sprzedawcy (telefon, e-mail kontaktowy)
  • identyfikatory płatności (Stripe customer ID, subscription ID), pakiet subskrypcji
  • status weryfikacji „Zaufanego Sprzedawcy" — wyłącznie informacja o tym, czy weryfikacja została przyznana.

Treść ogłoszeń i interakcji

  • tytuł, opis, cena, kategoria, klasa pirotechniczna, parametry, lokalizacja, zdjęcia ogłoszenia
  • wiadomości w czacie, w tym załączone zdjęcia
  • opinie i odpowiedzi na opinie
  • zgłoszenia naruszeń składane przez Ciebie lub dotyczące Ciebie
  • wnioski o status „Zaufanego Sprzedawcy" wraz z notatkami administracyjnymi

Dane z formularzy kontaktowych

  • imię, e-mail, temat, treść wiadomości w formularzu „Kontakt"
  • treść wiadomości i zgłoszeń w panelu pomocy

Dane techniczne, zabezpieczające i logi

  • adres IP w postaci surowej (logi serwera, krótkoterminowo) i w postaci zahaszowanej (rejestr wyświetleń ogłoszeń — do anty-spamu)
  • identyfikator urządzenia/przeglądarki (User-Agent), znaczniki czasu zdarzeń
  • cookies sesyjne i tokeny CSRF (zob. Polityka cookies)
  • metadane subskrypcji push (jeśli wyrazisz zgodę na powiadomienia w przeglądarce)
  • logi czynności administratorów (audit log) — w zakresie modyfikacji Twoich danych przez administrację

Dane płatnicze

  • identyfikatory transakcji i subskrypcji w Stripe
  • historia płatności i faktur (kwota, data, pakiet/promocja, status)
  • NIE przetwarzamy ani nie przechowujemy pełnych numerów kart płatniczych — robi to wyłącznie Stripe

Nie przetwarzamy „danych szczególnych kategorii" w rozumieniu art. 9 RODO (zdrowie, dane biometryczne, poglądy itp.). Nie wymagamy ani nie przechowujemy skanu zezwolenia na obrót materiałami pirotechnicznymi — status „Zaufanego Sprzedawcy" przyznajemy w oparciu o historię konta i oceny od kupujących.

Podanie danych oznaczonych jako obowiązkowe jest niezbędne do założenia konta lub korzystania z danej funkcji. Dane oznaczone jako opcjonalne podajesz dobrowolnie — możemy bez nich świadczyć usługę w ograniczonym zakresie.

4. Cele i podstawy prawne przetwarzania

Każda operacja na Twoich danych ma określoną podstawę prawną. Oto pełna lista celów i podstaw, zgodnie z art. 6 RODO:

CelPodstawa prawna
Świadczenie usług platformy (rejestracja, logowanie, publikacja ogłoszeń, czat, opinie, profil sprzedawcy)art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usług drogą elektroniczną)
Obsługa płatności, subskrypcji i wystawianie dokumentów rozliczeniowychart. 6 ust. 1 lit. b RODO (umowa) oraz art. 6 ust. 1 lit. c RODO w zw. z przepisami podatkowo-rachunkowymi
Weryfikacja pełnoletności użytkowników korzystających z platformy oraz nadawanie statusu „Zaufanego Sprzedawcy" na podstawie historii konta i ocenart. 6 ust. 1 lit. f RODO (uzasadniony interes — bezpieczeństwo użytkowników i odbiorców końcowych) oraz art. 6 ust. 1 lit. c RODO w zakresie obowiązków wynikających m.in. z ustawy o materiałach wybuchowych przeznaczonych do użytku cywilnego
Bezpieczeństwo platformy: wykrywanie oszustw, spamu, duplikatów ogłoszeń, prób obejścia banów, ochrona przed atakami (rate limiting, CSRF, MFA dla administratorów)art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora i użytkowników w bezpieczeństwie usługi)
Kontakt i obsługa zgłoszeń, reklamacji, raportów naruszeńart. 6 ust. 1 lit. b RODO (gdy dotyczy umowy) lub art. 6 ust. 1 lit. f RODO (gdy dotyczy obrony przed roszczeniami albo zgłoszeń od osób trzecich)
Dochodzenie i obrona roszczeńart. 6 ust. 1 lit. f RODO (uzasadniony interes administratora)
Wysyłka powiadomień push i e-mail (poza transakcyjnymi)art. 6 ust. 1 lit. a RODO (zgoda — możesz ją wycofać w każdej chwili w ustawieniach przeglądarki lub konta)
Cookies i podobne technologie inne niż niezbędne (analityczne, marketingowe, preferencyjne) — jeżeli zostaną wdrożoneart. 6 ust. 1 lit. a RODO oraz art. 173 Prawa telekomunikacyjnego (zgoda)
Wypełnianie obowiązków prawnych (np. odpowiedzi na żądania uprawnionych organów, prowadzenie audit logu)art. 6 ust. 1 lit. c RODO

5. Skąd pozyskujemy Twoje dane

  • bezpośrednio od Ciebie (formularze rejestracji, profilu, ogłoszenia, czat, kontakt, wnioski),
  • od innych użytkowników, którzy korzystają z platformy w sposób Cię dotyczący (np. opinie, zgłoszenia, wiadomości adresowane do Ciebie),
  • automatycznie z Twojego urządzenia (IP, User-Agent, znaczniki czasu, błędy aplikacji),
  • od dostawców usług płatniczych (statusy płatności i subskrypcji ze Stripe),

6. Komu udostępniamy dane

Nie sprzedajemy Twoich danych. Korzystamy natomiast z dostawców usług, którzy przetwarzają dane w naszym imieniu (podmioty przetwarzające — art. 28 RODO) albo jako niezależni administratorzy:

Stripe Payments Europe, Ltd. (Irlandia)

obsługa płatności subskrypcyjnych i jednorazowych (promocje ogłoszeń), wystawianie faktur. Pełne dane karty płatniczej są obsługiwane wyłącznie przez Stripe — nie trafiają na serwery PyroNation.

Lokalizacja przetwarzania: EOG; możliwy dostęp pomocniczy z USA na podstawie SCC.

Brevo (Brevo, Inc., Francja)

wysyłka wiadomości transakcyjnych i bezpieczeństwa (potwierdzenia, reset hasła, powiadomienia).

Lokalizacja przetwarzania: EOG — możliwy dostęp pomocniczy z USA na podstawie SCC.

Twilio Inc. (USA)

wysyłka i weryfikacja kodów SMS służących do potwierdzenia numeru telefonu.

Lokalizacja przetwarzania: USA — Standardowe Klauzule Umowne (SCC).

Cloudflare, Inc. — usługa R2

przechowywanie zdjęć ogłoszeń, logo sklepów, banerów profilu i załączników do wiadomości w czacie.

Lokalizacja przetwarzania: EOG (region EU); możliwa replikacja techniczna.

Dostawcy infrastruktury hostingowej i CDN

hosting serwerów aplikacyjnych, baz danych PostgreSQL, kolejek Redis, kopii zapasowych oraz ochrona przed atakami DDoS i nadużyciami.

Lokalizacja przetwarzania: EOG. Lista konkretnych podwykonawców dostępna na żądanie.

Organy państwowe i kancelarie prawne

wyłącznie na podstawie obowiązków prawnych (np. żądanie sądu, prokuratury, policji, UODO) lub w celu dochodzenia/obrony roszczeń.

Lokalizacja przetwarzania: Polska / EOG.

Innym użytkownikom platformy ujawniane są wyłącznie dane, które sam(a) opublikowałeś/aś (np. nazwa sprzedawcy, treść ogłoszenia, opinia, wiadomość w czacie).

7. Transfer danych poza Europejski Obszar Gospodarczy

Niektórzy z naszych dostawców (Stripe — w niektórych operacjach, Brevo, Twilio, Sentry) mogą przetwarzać dane w państwach trzecich, w szczególności w Stanach Zjednoczonych.

Transfer odbywa się na podstawie:

  • Decyzji Komisji Europejskiej o adekwatności (art. 45 RODO) — w przypadku odbiorców z państw uznanych za zapewniające odpowiedni poziom ochrony,
  • Standardowych Klauzul Umownych przyjętych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO),
  • Dodatkowych środków zabezpieczających (np. szyfrowanie w transporcie, pseudonimizacja), jeśli jest to konieczne w świetle wyroku „Schrems II".

Kopię odpowiednich zabezpieczeń możesz uzyskać kontaktując się pod adresem kontakt@pyronation.pl.

8. Jak długo przechowujemy dane

Okresy retencji ustalamy w oparciu o cel przetwarzania, przepisy szczególne (podatkowe, rachunkowe) i okresy przedawnienia roszczeń:

  • Dane konta i profilu sprzedawcyprzez okres posiadania konta. Po jego usunięciu — anonimizacja w terminie do 30 dni, z wyjątkiem danych wymaganych dla pkt poniżej.
  • Dane płatnicze i rozliczeniowe (faktury, transakcje)5 lat licząc od końca roku kalendarzowego, w którym powstał obowiązek podatkowy (art. 70 § 1 Ordynacji podatkowej, art. 74 ustawy o rachunkowości).
  • Treść ogłoszeń i historia ich zmiando czasu usunięcia ogłoszenia przez sprzedawcę lub administrację, a następnie do 12 miesięcy w celach dowodowych (np. obrona przed roszczeniami konsumenta).
  • Wiadomości w czaciedo czasu usunięcia konta przez użytkownika; treści wiadomości od drugiej strony pozostają widoczne dla niej, dopóki sama ich nie usunie. Po usunięciu konta — anonimizacja nadawcy.
  • Opiniedo czasu ich usunięcia przez autora lub przez administrację (np. po pozytywnym rozpatrzeniu zgłoszenia naruszenia). Po usunięciu autora — anonimizacja w terminie do 30 dni.
  • Logi serwera i logi bezpieczeństwa (IP, User-Agent, błędy)do 90 dni w postaci nieskompresowanej; pseudonimizowane logi zdarzeń bezpieczeństwa — do 12 miesięcy.
  • Logi wyświetleń ogłoszeń (zahaszowane IP)do 90 dni; służą wyłącznie do anty-spamu liczników wyświetleń.
  • Audit log działań administratorów dotyczących Twojego konta24 miesiące od dnia czynności.
  • Zgłoszenia naruszeń, treści moderowane24 miesiące od zakończenia sprawy lub do upływu terminu przedawnienia roszczeń, jeśli jest dłuższy.
  • Dane przetwarzane na podstawie zgody (np. powiadomienia push, marketingowe cookies — gdy będą)do czasu wycofania zgody, a następnie usunięcie w ciągu 30 dni (z zastrzeżeniem retencji wynikającej z innych podstaw).

9. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa:

  • Prawo do dostępu do danych i otrzymania ich kopii(art. 15 RODO)
  • Prawo do sprostowania danych nieprawidłowych lub niekompletnych(art. 16 RODO)
  • Prawo do usunięcia danych („prawo do bycia zapomnianym")(art. 17 RODO)
  • Prawo do ograniczenia przetwarzania(art. 18 RODO)
  • Prawo do przenoszenia danych dostarczonych nam na podstawie zgody lub umowy(art. 20 RODO)
  • Prawo do wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (w tym profilowania w celach bezpieczeństwa)(art. 21 RODO)
  • Prawo do cofnięcia zgody w dowolnym momencie — wycofanie nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed jej wycofaniem(art. 7 ust. 3 RODO)
  • Prawo do wniesienia skargi do organu nadzorczego (Prezes UODO, ul. Stawki 2, 00-193 Warszawa, kancelaria@uodo.gov.pl)(art. 77 RODO)

Większość praw zrealizujesz samodzielnie w ustawieniach konta (zakładka Prywatność) — eksport danych dostępny raz na 24 godziny, usunięcie konta jednym kliknięciem.

W innych sprawach napisz do nas na kontakt@pyronation.pl. Odpowiemy bez zbędnej zwłoki, najpóźniej w terminie miesiąca od otrzymania żądania (z możliwością przedłużenia o kolejne dwa miesiące w przypadku skomplikowanych żądań — art. 12 ust. 3 RODO).

10. Cookies i podobne technologie

Stosujemy wyłącznie niezbędne pliki cookies (utrzymanie sesji, ochrona CSRF) oraz lokalne ustawienia przechowywane w localStorage (motyw, preferencja co do banera cookies). Na dzień ostatniej aktualizacji nie używamy cookies analitycznych ani marketingowych.

Pełną listę cookies, kategoryzację i sposób zarządzania zgodami znajdziesz w Polityce cookies.

11. Zautomatyzowane przetwarzanie i profilowanie

Wykorzystujemy zautomatyzowane mechanizmy w celu:

  • wykrywania spamu i duplikatów ogłoszeń,
  • moderacji treści (np. flagowanie obraźliwego języka),
  • wyznaczania kolejności wyświetlania ogłoszeń,
  • limitowania liczby żądań i operacji (rate limiting) w celu ochrony przed nadużyciami,
  • wykrywania prób obejścia banów lub utworzenia wielu kont.

Nie podejmujemy wobec Ciebie wyłącznie zautomatyzowanych decyzji wywołujących skutki prawne w rozumieniu art. 22 RODO. Decyzje o blokadzie konta, usunięciu ogłoszenia czy odmowie statusu „Zaufanego Sprzedawcy" zawsze podejmuje człowiek, który może uwzględnić Twoje wyjaśnienia. Masz prawo uzyskania interwencji człowieka, wyrażenia własnego stanowiska oraz zakwestionowania decyzji.

12. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka, w tym:

  • szyfrowanie transmisji (HTTPS/TLS, HSTS), szyfrowanie haseł funkcją jednokierunkową,
  • tokeny CSRF i restrykcyjną politykę CORS,
  • uwierzytelnianie dwuskładnikowe (MFA) dla kont administracyjnych,
  • logowanie czynności administracyjnych (audit log),
  • regularne kopie zapasowe i monitoring stabilności,
  • minimalizację uprawnień dostępowych (zasada „need to know").

Jeżeli mimo to dojdzie do naruszenia ochrony danych mogącego skutkować wysokim ryzykiem dla Twoich praw, powiadomimy Cię bez zbędnej zwłoki (art. 34 RODO) i zgłosimy incydent Prezesowi UODO w terminie 72 godzin.

13. Zmiany polityki prywatności

Politykę aktualizujemy, gdy zmienia się prawo, nasi dostawcy, zakres przetwarzania lub gdy poprawiamy jej czytelność. Zmiany ogłaszamy w serwisie, a w przypadku istotnych modyfikacji — informujemy zalogowanych użytkowników e-mailem albo komunikatem w aplikacji.

Data ostatniej aktualizacji: 25 kwietnia 2026.

14. Kontakt i prawo skargi

W sprawach związanych z prywatnością napisz na kontakt@pyronation.pl.

Niezależnie od kontaktu z nami przysługuje Ci prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych:

  • ul. Stawki 2, 00-193 Warszawa,
  • e-mail: kancelaria@uodo.gov.pl,
  • infolinia: 606-950-000,
  • formularz online: uodo.gov.pl.