Wersja: 3.0
Obowiązuje od: 1 stycznia 2026
Zgodność: RODO, ePrivacy
1. Administrator danych
Administratorem danych osobowych jest Payment Gateway Sp. z o.o. z siedzibą w Lublinie (ul. Gospodarcza 26, 20-213 Lublin, KRS: 0001023004, NIP: 9462725914).
Kontakt z Inspektorem Ochrony Danych: dpo@payment-orchestrator.eu.
2. Zakres danych
Przetwarzamy następujące kategorie danych osobowych:
- Dane kontaktowe: imię, nazwisko, email, telefon (z formularza kontaktowego).
- Dane transakcyjne: tokenizowane numery kart, kwoty, waluty, znaczniki czasu, BIN/country.
- Dane biznesowe Merchanta: nazwa firmy, NIP, KRS, dane reprezentanta.
- Dane techniczne: adres IP, user-agent, fingerprint urządzenia (dla anti-fraud).
Nie przechowujemy pełnych numerów kart (PAN) w formie otwartej — zawsze tokenizacja przez VTS/MDES.
3. Cele przetwarzania
- Świadczenie usługi bramki płatniczej.
- Przeciwdziałanie oszustwom (fraud scoring).
- Wypełnianie obowiązków AML/KYC.
- Kontakt handlowy i obsługa zapytań.
- Analityka produktu (zagregowana, pseudonimizowana).
4. Podstawa prawna
- Art. 6(1)(b) RODO — wykonanie umowy (świadczenie usługi).
- Art. 6(1)(c) RODO — obowiązek prawny (AML, księgowość).
- Art. 6(1)(f) RODO — prawnie uzasadniony interes (anti-fraud, marketing B2B).
5. Okres przechowywania
- Dane transakcyjne: 5 lat (obowiązek AML).
- Dane fakturowe: 6 lat (Ordynacja podatkowa).
- Logi techniczne: 12 miesięcy.
- Dane z formularza kontaktowego (bez umowy): 24 miesiące.
6. Odbiorcy danych
Dane udostępniamy wyłącznie podmiotom niezbędnym do świadczenia Usługi:
- Acquirerom (Elavon, PayTech, Adyen) — na potrzeby rozliczenia transakcji.
- Organizacjom kartowym (Visa, Mastercard) — przez VTS/MDES tokenization.
- Dostawcom infrastruktury (AWS Frankfurt) — jako procesorzy.
- Organom państwowym — wyłącznie na podstawie obowiązujących przepisów.
7. Transfer poza EOG
Dane przetwarzamy wyłącznie w obrębie Europejskiego Obszaru Gospodarczego. W przypadku gdy transfer poza EOG jest konieczny (np. do fraud scoring provider z USA), stosujemy Standard Contractual Clauses oraz dodatkowe środki bezpieczeństwa zgodnie z wyrokiem Schrems II.
8. Prawa użytkownika
Zgodnie z RODO przysługują Ci prawa:
- Dostępu do danych (art. 15).
- Sprostowania (art. 16).
- Usunięcia — „prawo do bycia zapomnianym" (art. 17).
- Ograniczenia przetwarzania (art. 18).
- Przenoszenia danych (art. 20).
- Sprzeciwu (art. 21).
- Skargi do Prezesa UODO.
9. Cookies
Strona używa plików cookie w zakresie niezbędnym do jej działania (session, CSRF) oraz analitycznych (zagregowane metryki ruchu). Nie stosujemy cookies marketingowych ani trackerów reklamowych.
10. Kontakt
We wszystkich sprawach dotyczących przetwarzania danych osobowych: dpo@payment-orchestrator.eu lub korespondencyjnie na adres siedziby.