Spis treści

1. Administrator danych
2. Jakie dane zbieramy
3. Cele i podstawy prawne przetwarzania
4. Odbiorcy danych – procesorzy
5. Transfer danych poza EOG
6. Metody logowania
7. Dane techniczne urządzenia (anty-fraud)
8. Program lojalnościowy Cleafs Wallet
9. Płatności
10. Pliki cookies i technologie śledzące
11. Google Analytics i Search Console
12. Newsletter
13. Profilowanie i automatyczne decyzje
14. Okresy przechowywania danych
15. Twoje prawa
16. Usuwanie konta i danych
17. Bezpieczeństwo danych
18. Marka Kumplo
19. Zmiany polityki
20. Kontakt

1. Administrator danych

Administratorem Twoich danych osobowych (dalej: „Administrator") jest:

Administrator prowadzi serwis Wypromowani.pl (oraz markę Kumplo w innych krajach) i pełni rolę data controller w rozumieniu art. 4 pkt 7 RODO. W realizacji usług Administrator współpracuje z podmiotem powiązanym Cleafs Technologies L.L.C-FZ z siedzibą w Dubaju (szczegóły w sekcji 4).

2. Jakie dane zbieramy

2.1. Dane podawane przez Ciebie

• Adres e-mail – podawany w checkoucie, automatycznie tworzymy konto na ten adres
• Imię, nazwisko, nazwa firmy, NIP/VAT-ID – jeśli kupujesz jako firma lub prosisz o fakturę
• Adres rozliczeniowy – kraj, miasto, kod pocztowy, ulica
• Numer telefonu – opcjonalnie, do kontaktu w sprawie zamówienia
• Linki / nazwy użytkownika w mediach społecznościowych – cel zamówionej usługi (np. link do Twojego konta na Instagramie, na które kupujesz followersów)
• Treść wiadomości – jeśli kontaktujesz się z obsługą klienta przez ticket, e-mail lub WhatsApp

2.2. Dane z logowania społecznościowego

Jeśli logujesz się przez Facebook lub Google, otrzymujemy od dostawcy:

• Imię i nazwa publiczna profilu
• Adres e-mail powiązany z kontem
• Identyfikator zewnętrzny (Facebook ID / Google sub)
• Zdjęcie profilowe

Szczegóły w sekcji 6.

2.3. Dane techniczne urządzenia

Automatycznie zbieramy informacje o urządzeniu, z którego korzystasz – szczegółowo opisane w sekcji 7.

2.4. Dane transakcyjne

• Historia zamówień (data, kwota, waluta, status realizacji, metoda płatności)
• Dane do faktury (jeśli wystawiana)
• Saldo i historia punktów w programie Cleafs Wallet
• Wpłaty kryptowalutowe (adres portfela, hash transakcji – tylko jeśli korzystałeś z tej metody)

2.5. Dane marketingowe

• Źródło wejścia na stronę i parametry UTM
• Adres IP i wynikający z niego kraj (z Cloudflare)
• Strona referująca i historia poruszania się po Serwisie (Google Analytics – tylko po wyrażeniu zgody)

3. Cele i podstawy prawne przetwarzania

4. Odbiorcy danych – procesorzy

Twoje dane powierzamy następującym podmiotom (data processors), działającym na podstawie umów powierzenia zgodnych z art. 28 RODO:

4.1. Infrastruktura techniczna

• OVH SAS – hosting i baza danych (Francja, EOG). Wszystkie dane Serwisu przechowywane są na serwerach OVH.
• Cloudflare, Inc. – CDN, proxy, ochrona DDoS i WAF (USA, przetwarzanie globalne). Cloudflare widzi metadane ruchu (IP, nagłówki, geolokalizacja kraju) podczas każdej wizyty.

4.2. Operacje i obsługa klienta

• Cleafs Technologies L.L.C-FZ – siostrzany podmiot z siedzibą w Zjednoczonych Emiratach Arabskich, prowadzący system zarządzania zamówieniami i ticketami (panel Cleafs). Dane przekazywane: e-mail, numer zamówienia, treść zgłoszenia, link do promowanego konta w mediach społecznościowych.
  Trade License Number: 2530208.01 · Adres: Meydan Grandstand, 6th floor, Meydan Road, Nad Al Sheba, Dubai, U.A.E. · Licensing Authority: Meydan Free Zone Authority

4.3. Płatności

• HotPay (e-Pay24 sp. z o.o.) – BLIK, szybkie przelewy (Polska)
• Mollie B.V. – karty płatnicze, Apple Pay, Klarna i inne metody (Holandia, EOG)
• BoxCoin – wpłaty kryptowalutowe na portfel klienta (ledger Cleafs Wallet)

Dane karty płatniczej oraz dane uwierzytelniające do banku nigdy nie trafiają do Wypromowani – są przetwarzane wyłącznie przez operatorów płatności na ich serwerach.

4.4. Komunikacja e-mail

• Sinch Email (Mailgun Technologies, Inc.) – wysyłka wszystkich wiadomości transakcyjnych (PIN logowania, potwierdzenia zamówień, faktury) i marketingowych (newsletter). USA / EOG (region EU).

4.5. Księgowość

• J&K Accounts Ltd (Company Number SC560383, Wielka Brytania) – obsługa księgowa i podatkowa Administratora. Otrzymują dane z faktur (dane firmy/klienta, kwoty, daty).

4.6. Logowanie społecznościowe

• Meta Platforms Ireland Limited – Facebook Login (aplikacja „Cleafs WP Login", App ID: 2077506492830612)
• Google Ireland Limited – Google Login (OAuth 2.0)

4.7. Statystyki i pomiar ruchu

• Google Ireland Limited / Google LLC – Google Analytics 4 i Google Search Console (USA / EOG).

4.8. Inni odbiorcy

Dane mogą zostać udostępnione również:

• organom państwowym (policja, prokuratura, sądy, organy podatkowe) – na podstawie żądania zgodnego z prawem,
• kancelariom prawnym Administratora – w celu obrony lub dochodzenia roszczeń,
• audytorom – w razie kontroli skarbowej lub finansowej.

5. Transfer danych poza EOG

Część naszych procesorów przetwarza dane poza Europejskim Obszarem Gospodarczym:

Możesz uzyskać kopię SCC, kontaktując się z nami pod adresem mateusz@wypromowani.pl.

6. Metody logowania

Serwis Wypromowani umożliwia logowanie i zakładanie konta na pięć sposobów:

6.1. Logowanie kodem PIN (e-mail)

Wpisujesz adres e-mail, na który wysyłamy jednorazowy kod PIN. Nie wymaga zapamiętywania hasła. Wiadomość z PIN-em wysyłana jest przez Mailgun.

6.2. Logowanie hasłem

Klasyczna metoda e-mail + hasło. Hasła przechowujemy w formie zaszyfrowanej (jednokierunkowy hash bcrypt).

6.3. Logowanie przez Facebook

Przy pierwszym logowaniu otrzymujemy od Facebooka następujące dane (Platform Data w rozumieniu Meta Platform Terms):

• public_profile – imię, nazwa publiczna, zdjęcie profilowe, Facebook ID
• email – adres e-mail przypisany do konta Facebook

Dane te wykorzystujemy wyłącznie do:

• utworzenia konta w Wypromowani lub dopasowania do istniejącego konta o tym samym adresie e-mail,
• uwierzytelnienia użytkownika przy kolejnych logowaniach (token OAuth),
• wyświetlenia zdjęcia profilowego i imienia w panelu klienta.

Nie publikujemy nic w Twoim imieniu na Facebooku, nie czytamy znajomych ani postów, nie wykorzystujemy danych Meta do reklam. Możesz w każdej chwili odłączyć konto Facebook od Wypromowani – instrukcje są dostępne na stronie wypromowani.pl/usun-dane-facebook.

6.4. Logowanie przez Google

Analogicznie do Facebooka – używamy protokołu OAuth 2.0 (Google Identity Services). Otrzymujemy: adres e-mail, imię i nazwa publiczna, identyfikator Google (sub), zdjęcie profilowe. Operator: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia.

6.5. Logowanie Passkey (WebAuthn / FIDO2)

Logowanie z wykorzystaniem klucza kryptograficznego zapisanego na Twoim urządzeniu (Face ID, Touch ID, klucz sprzętowy). My zapisujemy wyłącznie publiczną część klucza – prywatna część nigdy nie opuszcza Twojego urządzenia.

7. Dane techniczne urządzenia (anty-fraud)

Przy składaniu zamówienia oraz przy logowaniu zbieramy fingerprint klienta – zestaw informacji technicznych o Twoim urządzeniu i przeglądarce. Ma to charakter prewencji nadużyć, ochrony przed botami i wykrywania prób oszustwa płatniczego (chargeback fraud). Podstawą prawną jest art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora).

Zbierane dane obejmują:

7.1. Urządzenie i system

• Typ urządzenia (komputer, telefon, tablet)
• Model i producent (jeśli przeglądarka udostępnia)
• System operacyjny i jego wersja
• Architektura procesora (np. x86_64, ARM64)
• Liczba rdzeni CPU (raportowana przez przeglądarkę)
• Identyfikator GPU (z WebGL: renderer i vendor)
• Pamięć urządzenia (deviceMemory)

7.2. Przeglądarka i ekran

• Nazwa i wersja przeglądarki (Chrome, Safari, Firefox itp.)
• User-Agent
• Rozdzielczość ekranu i głębia kolorów
• Rozmiar okna przeglądarki
• Wykrycie trybu headless / automatyzacji (sygnały anty-bot)

7.3. Lokalizacja i język

• Strefa czasowa systemu
• Język systemowy i preferowane języki przeglądarki
• Kraj wykryty z adresu IP (przez Cloudflare)
• Adres IP (zanonimizowany przez ustawienie ostatniego oktetu na 0)

7.4. Marketing i sesja

• Parametry UTM (źródło kampanii)
• Strona referująca (z jakiej strony trafiłeś)
• Czas spędzony przed złożeniem zamówienia
• Wykryte rozbieżności (np. niezgodność strefy czasowej z krajem IP – sygnał VPN/proxy)

Nie zbieramy danych biometrycznych, nagrań ekranu ani treści wpisywanych do innych formularzy. Fingerprint nie służy do reklamy i nie jest udostępniany podmiotom trzecim.

8. Program lojalnościowy Cleafs Wallet

Serwis prowadzi program punktowy Cleafs Wallet, w ramach którego:

• naliczamy punkty (cashback) od dokonanych zakupów,
• przyznajemy odznaki / rangi (np. „Złoty klient") za osiągnięte poziomy wydatków,
• umożliwiamy realizację misji i odbieranie nagród,
• wymieniamy punkty na zniżki w koszyku.

Ważne: ranga klienta nie wpływa na ceny produktów ani na ich dostępność. Nie różnicujemy oferty na podstawie profilowania. Punkty służą wyłącznie do uzyskania zniżki przy kolejnym zakupie i odznaczenia statusu klienta.

9. Płatności

Obsługujemy następujące metody płatności poprzez operatorów zewnętrznych:

• HotPay (e-Pay24 sp. z o.o.) – BLIK i szybkie przelewy bankowe (Polska),
• Mollie B.V. – karty Visa/Mastercard, Apple Pay, Klarna oraz inne lokalne metody (Holandia),
• BoxCoin – wpłaty kryptowalutowe (Bitcoin, Ethereum, USDT i inne) bezpośrednio na portfel klienta (Cleafs Wallet).

W trakcie płatności jesteś przekierowywany do strony operatora. Dane karty płatniczej, BLIK-a oraz dane uwierzytelniające w banku są przetwarzane wyłącznie przez operatora płatności – Wypromowani nie ma do nich dostępu i ich nie przechowuje. Otrzymujemy jedynie potwierdzenie transakcji (status, kwota, ID transakcji, ostatnie cyfry karty).

10. Pliki cookies i technologie śledzące

10.1. Cookies niezbędne (zawsze aktywne)

• Cookies sesyjne i logowania – utrzymanie zalogowania, zapamiętanie koszyka
• Cookies Cloudflare – ochrona przed botami i atakami DDoS
• Cookies bezpieczeństwa – tokeny CSRF, antybot

10.2. Cookies analityczne (wymagają zgody)

• Google Analytics 4 (_ga, _ga_*) – pomiar ruchu, statystyki wizyt

10.3. Cookies funkcjonalne

• Local storage – preferencje interfejsu (waluta, język, tryb wyświetlania)

Cookies analityczne ustawiane są wyłącznie po Twojej zgodzie wyrażonej w banerze cookies. Możesz tę zgodę cofnąć w każdej chwili, modyfikując ustawienia banera lub usuwając cookies w przeglądarce.

11. Google Analytics i Search Console

Korzystamy z dwóch narzędzi pomiarowych Google:

• Google Analytics 4 (GA4) – statystyki wizyt: liczba użytkowników, źródła ruchu, najczęściej oglądane strony, urządzenia. Adres IP jest anonimizowany na poziomie Google. Dane nie zawierają informacji pozwalających bezpośrednio Cię zidentyfikować.
• Google Search Console – informacje o tym, jakie zapytania prowadzą do naszej strony z wyszukiwarki Google. Search Console pokazuje zagregowane dane, bez identyfikatorów konkretnych użytkowników.

Możesz zablokować Google Analytics, instalując oficjalny dodatek do przeglądarki Google Analytics Opt-out lub odmawiając zgody w banerze cookies.

12. Newsletter

Newsletter wysyłany jest po wyrażeniu dobrowolnej zgody – poprzez:

• zaznaczenie checkboxu „Chcę otrzymywać newsletter" przy składaniu zamówienia, lub
• samodzielny zapis przez formularz na stronie.

Stosujemy mechanizm double opt-in – po zapisie wysyłamy wiadomość z linkiem potwierdzającym, który należy kliknąć. Bez tego potwierdzenia nie zaczynamy wysyłać newslettera.

Wiadomości wysyłane są przez Mailgun (Sinch Email). W każdej wiadomości znajduje się jednoklikowy link rezygnacji („unsubscribe"), który natychmiast wyłącza wysyłkę. Możesz również napisać do nas na mateusz@wypromowani.pl.

13. Profilowanie i automatyczne decyzje

W rozumieniu art. 4 pkt 4 RODO „profilowaniem" jest każda forma zautomatyzowanego przetwarzania danych osobowych pozwalająca ocenić aspekty osobiste osoby.

Wypromowani stosuje profilowanie wyłącznie w ograniczonym zakresie:

• naliczanie punktów Cleafs Wallet w oparciu o sumę zakupów,
• przyznawanie odznak i rang lojalnościowych,
• automatyczna ocena ryzyka oszustwa płatniczego (anty-fraud) na podstawie fingerprintu i historii zamówień.

Nie podejmujemy wyłącznie automatycznych decyzji, które wywoływałyby wobec Ciebie skutki prawne lub w istotny sposób na Ciebie wpływały, w rozumieniu art. 22 RODO. Każde wstrzymanie zamówienia z powodu ryzyka oszustwa jest weryfikowane manualnie przez pracownika obsługi klienta.

Masz prawo w każdej chwili sprzeciwić się profilowaniu, kontaktując się z nami pod adresem mateusz@wypromowani.pl.

14. Okresy przechowywania danych

Po upływie okresów wskazanych powyżej dane są trwale usuwane lub anonimizowane (pozbawione cech pozwalających na identyfikację osoby).

15. Twoje prawa

Na podstawie RODO (art. 15–22) i UK Data Protection Act 2018 przysługują Ci następujące prawa:

Aby skorzystać z któregokolwiek z tych praw, napisz do nas na mateusz@wypromowani.pl. Odpowiadamy w terminie do 30 dni od otrzymania zgłoszenia.

16. Usuwanie konta i danych

Szczegółowa procedura usuwania konta i danych (w tym danych otrzymanych z Facebooka) jest opisana na osobnej stronie: wypromowani.pl/usun-dane-facebook.

W skrócie:

• Odłączenie tylko Facebooka: w panelu konta → „Logowanie Facebookiem" → „Odłącz konto Facebook"
• Pełne usunięcie konta: wyślij e-mail na mateusz@wypromowani.pl z tematem „Żądanie usunięcia danych"

Czas realizacji żądania usunięcia: do 30 dni od otrzymania zgłoszenia (zazwyczaj 24–72 godziny).

17. Bezpieczeństwo danych

Stosujemy techniczne i organizacyjne środki bezpieczeństwa zgodne z art. 32 RODO:

• szyfrowanie połączeń (TLS 1.3 / HTTPS) we wszystkich kanałach komunikacji,
• szyfrowanie haseł algorytmem bcrypt (jednokierunkowy hash),
• ochronę przed atakami i botami (Cloudflare WAF, rate limiting),
• regularne kopie zapasowe bazy danych,
• ograniczony dostęp do danych – tylko wyznaczeni pracownicy i procesorzy na podstawie umów powierzenia,
• monitoring podejrzanych zdarzeń (próby logowania, nietypowy ruch),
• aktualizacja oprogramowania serwera, systemu CMS i wtyczek.

Pomimo zastosowanych środków, żadna metoda transmisji ani przechowywania danych w Internecie nie jest w 100% bezpieczna. W przypadku wykrycia naruszenia zgłosimy je organowi nadzorczemu w ciągu 72 godzin (art. 33 RODO) i powiadomimy osoby, których dane mogą być zagrożone.

18. Marka Kumplo

Administrator (Aggressive Marketing Limited) prowadzi również serwis Kumplo, działający pod inną marką w innych krajach. Kumplo jest tym samym podmiotem prawnym co Wypromowani – w razie posiadania konta na obu serwisach dane mogą być powiązane na poziomie wewnętrznym (ten sam Administrator, ten sam panel zarządzania).

19. Zmiany polityki

Niniejsza polityka może być aktualizowana w związku ze zmianą prawa, wprowadzeniem nowych funkcji Serwisu lub zmianą procesorów. O istotnych zmianach poinformujemy:

• e-mailem (jeśli masz konto i adres jest aktywny),
• poprzez widoczne powiadomienie na stronie głównej Serwisu.

Data ostatniej aktualizacji jest zawsze podana na początku tej polityki.

20. Kontakt