Privacy Policy

Effective date: 17 April 2026 · Version 1.0

1. Data Controller

nesell sp. z o.o., a limited liability company registered in Poland (hereinafter "nesell", "we", "us").

2. Scope

This Privacy Policy describes how nesell processes personal data of end users (buyers) when acting as a seller on marketplaces including Temu, Amazon, Allegro, and Empik, and when operating ancillary order-management, fulfilment, and support systems.

3. Categories of personal data we process

Category	Examples	Source
Identity	Full name	Marketplace API
Contact	Shipping address, phone number, email address	Marketplace API
Transaction	Order ID, product, quantity, price, date	Marketplace API
Shipping	Tracking number, parcel weight, destination	Carrier API (DPD)
Support	Messages exchanged through marketplace inbox	Marketplace API

4. Purposes and legal bases (GDPR art. 6)

Order fulfilment - art. 6(1)(b) performance of a contract
Accounting and tax - art. 6(1)(c) legal obligation (Polish Accounting Act art. 74, Tax Ordinance art. 86)
Customer support - art. 6(1)(b) / (f) legitimate interest
Fraud prevention - art. 6(1)(f) legitimate interest

5. Sub-processors

Sub-processor	Role	Location
Supabase Inc.	Database hosting (encrypted at rest, AES-256)	AWS eu-central-1, Germany
Amazon Web Services EMEA SARL	Infrastructure (compute, storage)	eu-central-1, Germany
Exportivo sp. z o.o.	Logistics / 3PL fulfilment centre	Poland
DPD Polska sp. z o.o.	Parcel carrier	Poland / EU
Baselinker sp. z o.o.	Order management system	Poland
Google Ireland Ltd	Email (Google Workspace)	EU

6. International data transfers

All primary processing occurs within the European Economic Area. Where a limited transfer outside the EEA may occur (e.g. sub-processor support operations), we rely on the EU-U.S. Data Privacy Framework, Standard Contractual Clauses (SCCs) and supplementary Transfer Impact Assessments as required by GDPR art. 46.

7. Retention

Personal data related to orders and invoices is retained for 5 years from the end of the calendar year in which the transaction took place, pursuant to Polish Accounting Act art. 74 and Tax Ordinance art. 86. Support correspondence is retained for 24 months unless a longer period is legally required. After the retention period, data is deleted or anonymised.

8. Data subject rights

Under GDPR art. 15-22 you have the right to access, rectify, erase, restrict, port, and object to the processing of your personal data, and to withdraw consent where processing is based on it.

Requests: alexander@nesell.co. We respond within 30 days (GDPR art. 12(3)).

You have the right to lodge a complaint with the Polish supervisory authority (UODO, uodo.gov.pl).

9. Security

Encryption at rest (AES-256) for all stored personal data
Encryption in transit (TLS 1.2 or higher) for all system communication
Role-based access control following least-privilege and need-to-know principles
Authentication required for all systems processing personal data
Audit logging for internal and external queries involving personal data
Access revocation procedures for personnel changes

10. Breach notification

In case of a personal data breach likely to result in a risk to data subjects, nesell will notify the Polish supervisory authority (UODO) within 72 hours of becoming aware (GDPR art. 33) and, where required, the affected data subjects and any relevant marketplace partners including Temu.

11. Updates

We may update this Privacy Policy. The current version is always available at nesell.co/privacy.

Polityka prywatności

Data obowiązywania: 17 kwietnia 2026 · Wersja 1.0

1. Administrator danych

nesell sp. z o.o., spółka z ograniczoną odpowiedzialnością zarejestrowana w Polsce (dalej "nesell").

Kontakt: alexander@nesell.co

2. Zakres

Niniejsza Polityka prywatności opisuje w jaki sposób nesell przetwarza dane osobowe kupujących przy sprzedaży na platformach Temu, Amazon, Allegro i Empik oraz w systemach wsparcia zamówień, fulfillmentu i obsługi klienta.

3. Kategorie przetwarzanych danych

Kategoria	Przykłady	Źródło
Identyfikacja	Imię i nazwisko	API platformy
Kontakt	Adres dostawy, numer telefonu, e-mail	API platformy
Transakcja	ID zamówienia, produkt, ilość, cena, data	API platformy
Przesyłka	Numer listu przewozowego, waga, destynacja	API przewoźnika (DPD)
Obsługa	Wiadomości z platformy	API platformy

4. Cele i podstawy prawne (RODO art. 6)

Realizacja zamówień - art. 6 ust. 1 lit. b - wykonanie umowy
Księgowość i podatki - art. 6 ust. 1 lit. c - obowiązek prawny (Ustawa o rachunkowości art. 74, Ordynacja podatkowa art. 86)
Obsługa klienta - art. 6 ust. 1 lit. b / f - uzasadniony interes
Przeciwdziałanie oszustwom - art. 6 ust. 1 lit. f - uzasadniony interes

5. Podmioty przetwarzające (sub-processors)

Podmiot	Rola	Lokalizacja
Supabase Inc.	Hosting bazy danych (szyfrowanie at rest AES-256)	AWS eu-central-1, Niemcy
Amazon Web Services EMEA SARL	Infrastruktura (compute, storage)	eu-central-1, Niemcy
Exportivo sp. z o.o.	Logistyka / magazyn 3PL	Polska
DPD Polska sp. z o.o.	Przewoźnik	Polska / UE
Baselinker sp. z o.o.	System zarządzania zamówieniami	Polska
Google Ireland Ltd	E-mail (Google Workspace)	UE

6. Transfery międzynarodowe

Podstawowe przetwarzanie odbywa się w Europejskim Obszarze Gospodarczym. W przypadku ograniczonych transferów poza EOG (np. operacje wsparcia sub-processorów) opieramy się na ramach EU-U.S. Data Privacy Framework, Standardowych Klauzulach Umownych (SCC) oraz Ocenach Skutków Transferu (TIA) zgodnie z art. 46 RODO.

7. Okres przechowywania

Dane osobowe związane z zamówieniami i fakturami są przechowywane przez 5 lat licząc od końca roku kalendarzowego, w którym miała miejsce transakcja, zgodnie z art. 74 Ustawy o rachunkowości oraz art. 86 Ordynacji podatkowej. Korespondencja obsługowa przechowywana jest przez 24 miesiące chyba że prawo wymaga dłuższego okresu. Po upływie okresu retencji dane są usuwane lub anonimizowane.

8. Prawa osób, których dane dotyczą

Zgodnie z art. 15-22 RODO masz prawo dostępu, sprostowania, usunięcia, ograniczenia, przeniesienia oraz sprzeciwu wobec przetwarzania swoich danych osobowych, a także cofnięcia zgody, jeśli przetwarzanie odbywa się na jej podstawie.

Żądania: alexander@nesell.co. Odpowiadamy w terminie 30 dni (art. 12 ust. 3 RODO).

Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).

9. Bezpieczeństwo

Szyfrowanie danych w spoczynku (AES-256)
Szyfrowanie komunikacji (TLS 1.2 lub wyższy)
Kontrola dostępu oparta na rolach (RBAC) zgodna z zasadami least-privilege i need-to-know
Wymagane uwierzytelnianie dla wszystkich systemów przetwarzających dane osobowe
Logowanie audytowe zapytań wewnętrznych i zewnętrznych dotyczących danych osobowych
Procedury odbioru dostępu przy zmianach kadrowych

10. Zgłaszanie naruszeń

W przypadku naruszenia ochrony danych osobowych mogącego powodować ryzyko dla osób fizycznych, nesell zgłosi naruszenie Prezesowi UODO w terminie 72 godzin od powzięcia informacji (art. 33 RODO) oraz, jeśli to wymagane, osobom, których dane dotyczą, oraz partnerom platform sprzedażowych, w tym Temu.

11. Aktualizacje

Możemy aktualizować niniejszą Politykę prywatności. Aktualna wersja jest zawsze dostępna pod adresem nesell.co/privacy.