POLITYKA PRYWATNOŚCI

I Informacje ogólne i administrator danych

1. Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych przez KLIN GALLERY  SP. Z O.O., z siedzibą w Warszawie, przy Aleja Jana Pawła II 43A/37B, 01-001 Warszawa, wpisaną do rejestru przedsiębiorców KRS pod numerem 0001161139, posiadającą NIP 4990705539 oraz REGON 541155181 (dalej: „Administrator”, „Klin Gallery ”, „my”, „Galeria”, „Dom Aukcyjny”).
2. Administrator przetwarza dane osobowe zgodnie z:
   

   • Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO”),
   • ustawą o ochronie danych osobowych,
   • ustawą o rachunkowości,
   • ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML),
   • przepisami regulującymi obrót dobrami kultury i dziełami sztuki,
   • przepisami dotyczącymi usług elektronicznych oraz marketingu bezpośredniego.

3. Niniejsza Polityka obejmuje przetwarzanie danych osób:
   

   • korzystających z usług Galerii,
   • kupujących lub sprzedających dzieła sztuki,
   • uczestników aukcji, wernisaży i wydarzeń,
   • odbiorców newslettera i materiałów marketingowych,
   • odwiedzających stronę internetową i profile społecznościowe,
   • artystów współpracujących oraz ich przedstawicieli,
   • kontrahentów, podwykonawców i kuratorów,
   • osób objętych obowiązkami AML oraz KYC.

4. Administratorem danych osobowych jest Klin Gallery  Sp. z o.o.
   Kontakt w sprawach związanych z ochroną danych: info@kling
5. Administrator może wyznaczyć Inspektora Ochrony Danych (IOD) — jeśli zostanie ustanowiony, dane kontaktowe IOD zostaną opublikowane na stronie internetowej Galerie i w zaktualizowanej Polityce.

2. Zakres i kategorie przetwarzanych danych osobowych

Administrator przetwarza dane w zależności od tego, w jakim charakterze osoba korzysta z usług Galerii. W szczególności mogą to być dane:

2.1. Dane klientów i kolekcjonerów

• imię, nazwisko,
• adres zamieszkania lub dostawy,
• adres e-mail, numer telefonu,
• dane do faktury,
• dane płatnicze (pośrednie – nie przechowujemy numerów kart),
• historia zakupów, transakcji, aukcji,
• dane AML/KYC (w przypadkach wymaganych prawem).

2.2. Dane uczestników aukcji stacjonarnych i online

• dane identyfikacyjne,
• numer paddle/bidder ID,
• nagrania wideo i CCTV (jeśli aukcja jest monitorowana),
• adres IP, identyfikatory urządzeń (dla aukcji online).

2.3. Dane uczestników wernisaży i wydarzeń

• imię i nazwisko,
• adres e-mail,
• lista obecności (jeśli wymagana),
• dane zgłoszenia, formularze RSVP,
• wizerunek w materiałach foto/video — jeśli wydarzenie jest dokumentowane.

2.4. Dane artystów i twórców

• dane identyfikacyjne,
• adres korespondencyjny i dane kontaktowe,
• dane finansowe do rozliczeń,
• biogramy dostarczone do publikacji,
• wizerunek, reprodukcje prac, portfolio.

2.5. Dane kontrahentów i współpracowników

• dane identyfikacyjne osoby reprezentującej,
• dane kontaktowe,
• dane do faktur i rozliczeń,
• numer rachunku bankowego.

2.6. Dane osób odwiedzających strony internetowe i profile społecznościowe

• adres IP,
• identyfikator urządzenia,
• cookies i identyfikatory analityczne (Google, Meta, etc.),
• dane z formularzy kontaktowych, newslettera i zgłoszeń.

2.7. Dane AML i KYC (jeżeli wymagane ustawą)

• dokument tożsamości,
• adres zamieszkania,
• obywatelstwo,
• status PEP,
• informacje dotyczące beneficjenta rzeczywistego,
• informacje dotyczące źródła pochodzenia środków.

Są to dane szczególne wymagające osobnego sposobu przetwarzania, opisane w późniejszych częściach polityki.

3. Zasady pozyskiwania danych

1. Dane osobowe są pozyskiwane:
   

   • bezpośrednio od osoby, której dotyczą,
   • poprzez wypełnienie formularzy (online lub papierowych),
   • przy rejestracji do newslettera,
   • przy rejestracji na aukcję,
   • w ramach korespondencji mailowej lub telefonicznej,
   • przy zawieraniu umów,
   • przy udziale w wydarzeniach,
   • poprzez monitoring wizyjny (jeżeli stosowany),
   • poprzez narzędzia analityczne na stronie internetowej.

2. W wyjątkowych przypadkach dane mogą pochodzić od:
   

   • upoważnionych pełnomocników,
   • instytucji finansowych,
   • stron trzecich prowadzących aukcje w imieniu Galerii,
   • platform aukcyjnych współpracujących (np. OneBid, Artinfo, Invaluable — jeśli dotyczy).

3. Podanie danych może być:
   

   • dobrowolne, jeśli dotyczą kontaktu, newslettera, uczestnictwa w wydarzeniach,
   • obowiązkowe, gdy wynika to z przepisów (np. AML, podatki).

4. Cele przetwarzania danych osobowych oraz podstawy prawne

Administrator przetwarza dane tylko wtedy, gdy jest to niezbędne do realizacji jasno określonych celów. Poniżej znajduje się pełny katalog czynności wraz z podstawami z art. 6 RODO.

4.1. Zawarcie i wykonywanie umów sprzedaży dzieł sztuki oraz usług galerii

Cele:

• przygotowanie i zawarcie umowy,
• przyjmowanie i obsługa zamówień,
• weryfikacja tożsamości,
• dostarczenie Dzieła,
• kontakt w sprawach realizacji zamówienia.

Podstawa prawna:
Art. 6 ust. 1 lit. b RODO – wykonanie umowy lub działania przed jej zawarciem.

Kategorie danych:
Dane identyfikacyjne, adresowe, kontaktowe, płatnicze.

4.2. Organizacja aukcji (stacjonarnych i online)

Cele:

• rejestracja uczestników,
• weryfikacja możliwości udziału (wiek, status prawny),
• prowadzenie licytacji i naliczanie opłat aukcyjnych,
• nagranie wideo i monitoring (jeśli stosowany),
• archiwizacja dokumentacji aukcyjnej.

Podstawa prawna:
Art. 6 ust. 1 lit. b RODO (wykonanie umowy),
Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes: zapewnienie bezpieczeństwa i integralności aukcji).

4.3. Realizacja obowiązków prawnych (AML, podatki, rachunkowość)

Cele:

• identyfikacja klienta (KYC),
• ocena ryzyka AML,
• weryfikacja beneficjenta rzeczywistego i statusu PEP,
• raportowanie transakcji ponadprogowych,
• prowadzenie ksiąg rachunkowych i dokumentacji podatkowej.

Podstawy prawne:
Art. 6 ust. 1 lit. c RODO – wypełnienie obowiązku prawnego (m.in. ustawa AML, ustawa o rachunkowości).
Art. 6 ust. 1 lit. e RODO – w niektórych przypadkach wynikających z regulacji administracyjnych.

4.4. Udział w wydarzeniach, wernisażach i zapisach na listy gości

Cele:

• zarządzanie zgłoszeniami,
• obsługa list obecności,
• zapewnienie bezpieczeństwa podczas wydarzeń,
• tworzenie dokumentacji (foto/video),
• informacja o przyszłych wydarzeniach (za zgodą).

Podstawa prawna:
Art. 6 ust. 1 lit. b (rejestracja na wydarzenie),
Art. 6 ust. 1 lit. f (uzasadniony interes: dokumentacja działalności, marketing),
Art. 6 ust. 1 lit. a (zgoda na wykorzystanie wizerunku, jeśli wymagana).

4.5. Prowadzenie działań marketingowych i newslettera

Cele:

• wysyłka newsletterów, zaproszeń, informacji o aukcjach, nowych pracach, premierach,
• działania remarketingowe i statystyczne,
• personalizacja treści newslettera.

Podstawy prawne:
Art. 6 ust. 1 lit. a RODO – zgoda (newsletter i komunikacja marketingowa),
Art. 6 ust. 1 lit. f RODO – uzasadniony interes (marketing własny do klientów).

Co ważne:
Wysyłka newslettera wymaga podwójnej zgody:

1. na przetwarzanie danych (RODO),
2. na komunikację elektroniczną (Prawo telekomunikacyjne).

4.6. Kontakt i korespondencja (formularze kontaktowe, e-mail, telefon)

Cele:

• odpowiedź na zapytania,
• przedstawienie oferty,
• obsługa reklamacji i zapytań o proweniencję.

Podstawa prawna:
Art. 6 ust. 1 lit. f RODO – uzasadniony interes (odpowiedź na zapytanie).

4.7. Prowadzenie fanpage’y i profili społecznościowych (Meta, Instagram, YouTube, LinkedIn)

Cele:

• komunikacja z odbiorcami,
• prezentacja działalności Galerii,
• moderacja komentarzy,
• statystyki i analityka.

Podstawa prawna:
Art. 6 ust. 1 lit. f – uzasadniony interes administratora.

UWAGA:
Współadministracja z Meta (Facebook/Instagram) jest obowiązkowa.
Zostanie opisana w jednej z kolejnych części polityki.

4.8. Monitoring wizyjny

Cele:

• bezpieczeństwo pracowników, klientów i dzieł sztuki,
• zabezpieczenie mienia,
• dochodzenie roszczeń po incydentach.

Podstawa prawna:
Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora.

Nagrania przechowywane są zwykle do 30 dni (chyba że doszło do zdarzenia wymagającego dłuższego przechowywania).

5. Przetwarzanie danych w sposób zautomatyzowany i profilowanie

1. Administrator może wykorzystywać narzędzia analityczne (np. Google Analytics, Meta Pixel, Hotjar), które analizują zachowanie użytkowników.
2. Dane te są przetwarzane w celu:
   

   • poprawy funkcjonalności strony,
   • analiz statystycznych,
   • optymalizacji kampanii marketingowych.

3. Profilowanie nie wywołuje skutków prawnych, nie wpływa na dostęp do usług i ma charakter wyłącznie marketingowy.
4. Wykorzystanie narzędzi reklamowych stron trzecich może wiązać się z przekazywaniem danych poza EOG — szczegóły opisane zostaną w części dotyczącej transferów danych.

6. Odbiorcy danych osobowych

Administrator udostępnia dane wyłącznie zaufanym podmiotom, które są niezbędne do realizacji usług Galerii lub wymagane przepisami prawa. Wszystkie podmioty przetwarzające dane działają na podstawie pisemnych umów powierzenia przetwarzania danych lub są odrębnymi administratorami danych (np. banki).

Poniżej znajduje się pełna lista kategorii odbiorców.

6.1. Podmioty świadczące usługi na rzecz Galerii

1. Firmy informatyczne, hostingowe, dostawcy oprogramowania
   

   • system aukcyjny,
   • CRM i system zarządzania klientami,
   • platformy Galerii online,
   • hosting i obsługa strony internetowej,
   • systemy newsletterowe.

2. Firmy księgowe i doradcy podatkowi
   – obsługa rozliczeń, faktur i dokumentacji podatkowej.
3. Kancelarie prawne
   – obsługa transakcji, spory, doradztwo, zapytania o proweniencję.
4. Firmy kurierskie i transportowe
   – wysyłka dzieł sztuki, transport specjalistyczny, logistyka.
5. Ubezpieczyciele
   – ubezpieczenia transportowe, ścienne i wystawowe.
6. Instytucje finansowe
   – banki, operatorzy płatności, operatorzy kart płatniczych.

6.2. Podmioty uczestniczące w przygotowaniu ekspozycji i wydarzeń

1. Kuratorki i kuratorzy
   – przygotowanie opisów prac, wystaw, autorskie aranżacje.
2. Fotografowie i firmy video
   – dokumentacja wydarzeń, katalogi, materiały promocyjne.
3. Drukarnie, graficy i studia wydawnicze
   – katalogi, materiały wystawowe, publikacje.
4. Instytucje kultury i partnerzy wydarzeń
   – współorganizatorzy wystaw, konferencji, aukcji, eventów.

6.3. Wymogi prawne i organy państwowe

W przypadkach przewidzianych przepisami, dane mogą być przekazane:

• urzędowi skarbowemu,
• sądom, organom ścigania, policji,
• Generalnemu Inspektorowi Informacji Finansowej (GIIF) – jeśli dotyczy AML,
• organom nadzoru (UODO),
• innym instytucjom państwowym uprawnionym ustawowo.

Administrator nie przekazuje danych tym instytucjom z własnej inicjatywy — wyłącznie w przypadkach wymaganych prawem.

6.4. Podmioty trzecie jako niezależni administratorzy

Niektóre podmioty przetwarzają dane samodzielnie i we własnym imieniu, np.:

• banki,
• operatorzy płatności,
• firmy ubezpieczeniowe,
• platformy społecznościowe (Meta, Instagram, YouTube, LinkedIn),
• platformy aukcyjne zewnętrzne (np. OneBid, Invaluable – jeśli używane).

W takich przypadkach użytkownikowi przysługują prawa bezpośrednio wobec danego podmiotu.

7. Współadministracja danych z Meta Platforms (Facebook, Instagram)

1. Administrator prowadzi profile na serwisach Meta Platforms Ireland Limited (Facebook, Instagram).
2. W zakresie przetwarzania danych osób odwiedzających profile, Administrator oraz Meta są współadministratorami danych.
3. Zakres odpowiedzialności:
   

   • Meta odpowiada za wykorzystanie danych do celów analitycznych i reklamowych,
   • Administrator odpowiada za treści publikowane na profilu i komunikację z użytkownikami.

4. Szczegółowe informacje o przetwarzaniu danych dostępne są w polityce prywatności Meta.

8. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

1. Dane mogą być przekazywane poza EOG tylko wtedy, gdy jest to konieczne i zgodne z RODO, w szczególności w ramach usług:
   

   • Google (Google LLC – USA),
   • Meta (Meta Platforms Inc. – USA),
   • narzędzi mailingowych i analitycznych,
   • systemów aukcyjnych lub CRM przechowywanych na serwerach poza UE.

2. Przekazanie danych następuje wyłącznie, jeśli spełnione jest co najmniej jedno z poniższych:
   

   • stosowane są standardowe klauzule umowne (SCC),
   • Komisja Europejska wydała decyzję o adekwatności (np. dla USA – jeśli obowiązuje),
   • użytkownik wyraził wyraźną zgodę,
   • zachodzi ważny interes prawny lub żywotny.

3. Administrator zawsze stosuje dodatkowe środki bezpieczeństwa, w szczególności:
   

   • minimalizację danych,
   • pseudonimizację,
   • szyfrowanie komunikacji,
   • ograniczenie dostępu według zasady „need to know”.

4. W przypadku braku możliwości zapewnienia odpowiedniego poziomu ochrony Administrator może odmówić korzystania z usług wymagających transferu danych poza UE.

9. Okres przechowywania danych (retencja)

Administrator przechowuje dane osobowe przez okres nie dłuższy, niż jest to konieczne do realizacji celów, dla których dane zostały zebrane, lub przez okres wymagany przepisami prawa.
Zasady retencji w Galerii są szczegółowo uregulowane i obejmują:

9.1. Dane związane z realizacją umów sprzedaży, komisowych i aukcyjnych

• przechowywane przez 5 lat od końca roku, w którym dokonano rozliczenia transakcji,
  zgodnie z ustawą o rachunkowości i przepisami podatkowymi.

9.2. Dane związane z realizacją obowiązków AML/KYC

• przechowywane przez 5 lat od dnia przeprowadzenia transakcji,
• okres może zostać przedłużony do 10 lat decyzją Generalnego Inspektora Informacji Finansowej (GIIF).

Uwaga: dane AML podlegają szczególnym regulacjom i nie mogą zostać usunięte na żądanie osoby, której dotyczą — co wynika z art. 51 ustawy AML.

9.3. Dane uczestników aukcji i wydarzeń

• dane rejestracyjne, listy uczestników: 12 miesięcy,
• nagrania wideo (jeżeli stosowany monitoring): 30 dni, chyba że nagranie stanowi dowód w postępowaniu.

9.4. Dane marketingowe i newsletter

• do momentu wycofania zgody,
• w przypadku braku aktywności – maksymalnie 24 miesiące.

Po tym czasie dane mogą być ponownie poproszone do potwierdzenia lub całkowicie usunięte.

9.5. Dane z formularzy kontaktowych i korespondencji

• przechowywane przez 12 miesięcy od daty zakończenia korespondencji,
  w celu obsługi sprawy i ewentualnych roszczeń.

9.6. Dane artystów, kuratorów i współpracowników

• dane umowne: 5 lat,
• dane dotyczące portfolio, opisów prac i materiałów promocyjnych: przechowywane bezterminowo w celach archiwalnych, chyba że Strony ustalą inaczej.

9.7. Dane stron transakcji zagranicznych

W przypadku współpracy międzynarodowej okres retencji może być dostosowany do wymogów przepisów kraju kontrahenta — jeśli jest to niezbędne do dochodzenia roszczeń lub rozliczeń.

10. Prawa osób, których dane dotyczą

Każdej osobie, której dane są przetwarzane przez Klin Gallery , przysługują prawa wynikające z RODO. Administrator gwarantuje ich pełną realizację.

10.1. Prawo dostępu do danych (art. 15 RODO)

Osoba, której dane dotyczą, ma prawo uzyskać:

• potwierdzenie, czy jej dane są przetwarzane,
• dostęp do danych,
• informacje o celach, kategoriach danych, odbiorcach, okresie retencji, prawach, źródle danych oraz zautomatyzowanym przetwarzaniu.

10.2. Prawo do sprostowania danych (art. 16 RODO)

Możesz żądać poprawienia, uzupełnienia lub aktualizacji danych, jeżeli są nieprawidłowe lub niekompletne.

10.3. Prawo do usunięcia danych („prawo do bycia zapomnianym”) (art. 17 RODO)

Przysługuje, gdy:

• dane nie są już potrzebne do celów, w których zostały zebrane,
• zgoda została cofnięta,
• wniesiono skuteczny sprzeciw wobec przetwarzania,
• dane były przetwarzane niezgodnie z prawem.

UWAGA:
Prawo to nie obowiązuje wobec danych:

• AML/KYC,
• związanych z obowiązkami podatkowymi i rachunkowością,
• niezbędnych do dochodzenia roszczeń.

10.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)

Może zostać zastosowane, gdy:

• kwestionujesz prawidłowość danych,
• przetwarzanie jest niezgodne z prawem, ale nie chcesz usunięcia danych,
• dane są potrzebne do roszczeń,
• został wniesiony sprzeciw.

10.5. Prawo do przenoszenia danych (art. 20 RODO)

Dotyczy danych:

• dostarczonych Administratorowi,
• przetwarzanych na podstawie zgody lub umowy,
• przetwarzanych w sposób zautomatyzowany.

Administrator może przekazać dane w formacie CSV, JSON lub innym powszechnie używanym.

10.6. Prawo sprzeciwu wobec przetwarzania (art. 21 RODO)

Przysługuje, gdy:

• dane są przetwarzane na podstawie prawnie uzasadnionego interesu Administratora,
• dane przetwarzane są na potrzeby marketingu bezpośredniego.

Sprzeciw wobec marketingu bezpośredniego jest skuteczny natychmiast.

10.7. Prawo do wycofania zgody (art. 7 ust. 3 RODO)

Zgodę można wycofać w dowolnym momencie, bez wpływu na legalność przetwarzania, którego dokonano przed wycofaniem.

10.8. Prawo do wniesienia skargi do organu nadzorczego (art. 77 RODO)

Osoba, której dane dotyczą, ma prawo wnieść skargę do:
Prezesa Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa.

11. Realizacja praw osób, których dane dotyczą

Administrator zapewnia pełną realizację praw wynikających z RODO.
Wnioski dotyczące danych osobowych można składać:

mailowo: info@klingallery.com
pisemnie: Aleja Jana Pawła II 43A/37B, 01-001 Warszawa
telefonicznie: +48 514 886 905
poprzez formularz kontaktowy (jeśli zostanie wdrożony na stronie).

11.1. Procedura obsługi wniosku

1. Administrator potwierdza otrzymanie wniosku w ciągu 7 dni roboczych.
2. Administrator odpowiada na wniosek nie później niż w ciągu 30 dni.
3. W przypadku skomplikowanego wniosku termin może zostać przedłużony o dodatkowe 60 dni, o czym osoba zostanie powiadomiona.
4. Jeżeli wniosek jest złożony w sposób, który uniemożliwia jednoznaczną identyfikację osoby (np. brak danych w formularzu) — Administrator może poprosić o dodatkowe informacje.

11.2. Opłaty za realizację wniosku

Co do zasady realizacja praw RODO jest bezpłatna.
Administrator może pobrać opłatę tylko, gdy:

• wniosek jest oczywiście nieuzasadniony,
• wniosek jest składany nadmiernie często,
• realizacja wymaga nieproporcjonalnie dużych nakładów.

Opłata odpowiada kosztom związanym z realizacją wniosku.

11.3. Informacje przekazywane w ramach realizacji wniosku

Administrator przekazuje odpowiedź w sposób:

• pisemny,
• mailowy,
• lub w formie elektronicznej poprzez bezpieczne łącze.

Administrator może odmówić udostępnienia kopii danych, jeśli:

• naruszałoby to prawa innych osób,
• wymagałoby ujawnienia tajemnicy handlowej,
• dane objęte są obowiązkami ustawowymi, np. AML.

12. Bezpieczeństwo i ochrona danych osobowych

Klin Gallery  stosuje środki bezpieczeństwa w standardzie instytucji finansowych i dużych podmiotów kultury.
Obejmuje to środki techniczne, organizacyjne i proceduralne, zgodnie z art. 32 RODO.

12.1. Środki organizacyjne

1. Polityka Ochrony Danych Osobowych obowiązująca w Galerii.
2. Upoważnienia do przetwarzania danych wydawane tylko osobom przeszkolonym.
3. Ścisły nadzór nad dostępem do systemów i baz danych.
4. Procedury nadawania i odbierania uprawnień dostępowych.
5. Procedury archiwizacji, anonimizacji i niszczenia dokumentów.
6. Rejestr naruszeń bezpieczeństwa danych oraz procedura zgłoszeń incydentów do UODO.

12.2. Środki techniczne

1. Systemy informatyczne chronione hasłami, uwierzytelnieniem wieloskładnikowym (MFA) i szyfrowaniem.
2. Szyfrowanie transmisji danych (HTTPS/SSL/TLS).
3. Zapory sieciowe, systemy antywirusowe i antymalware.
4. Kopie zapasowe wykonywane cyklicznie i przechowywane w wyodrębnionym środowisku.
5. Dostęp do systemu aukcyjnego i CRM tylko dla osób upoważnionych.
6. Monitoring logów i wykrywanie nieautoryzowanych prób dostępu.

12.3. Środki proceduralne

1. Procedura identyfikacji klienta (KYC) i oceny ryzyka AML.
2. Procedura bezpiecznego przetwarzania dokumentów tożsamości.
3. Procedura bezpiecznego transportu dzieł sztuki (z elementem ochrony danych wysyłkowych).
4. Instrukcja korzystania z urządzeń służbowych poza siedzibą.
5. Zakaz wynoszenia dokumentów poza miejsce pracy bez uzasadnienia.
6. Zasady korzystania z prywatnych urządzeń w celach służbowych (BYOD).

12.4. Audyty i nadzór nad bezpieczeństwem

1. Administrator przeprowadza okresowe audyty bezpieczeństwa danych.
2. Co najmniej raz na 12 miesięcy przeprowadzana jest weryfikacja:
   

   • dostępu użytkowników,
   • procedur bezpieczeństwa,
   • retencji danych,
   • konfiguracji systemów IT.

3. W przypadku współpracy z podwykonawcami, Administrator wymaga certyfikacji lub spełnienia standardów bezpieczeństwa (ISO 27001, SOC 2, lub równoważne – jeśli dotyczy).

13. Dane dotyczące dzieci i osób małoletnich

1. Klin Gallery nie przetwarza świadomie danych dzieci poniżej 16 roku życia, poza sytuacjami, gdy:
   

   • udział dziecka w wydarzeniu wymaga rejestracji przez opiekuna,
   • monitoring obejmuje nieletnich przebywających w przestrzeni publicznej Galerii.

2. Rejestracja dziecka na wydarzenie wymaga zgody rodzica lub opiekuna prawnego.
3. W przypadku stwierdzenia, że dane dziecka zostały zebrane bez zgody opiekuna, Administrator je niezwłocznie usuwa.
4. Dane dzieci uczestniczących w wydarzeniach nie są wykorzystywane do celów marketingowych.

14. Pliki cookies i podobne technologie

Strona internetowa Galerii wykorzystuje pliki cookies oraz podobne technologie, takie jak:

• localStorage,
• pixel tracking,
• identyfikatory urządzeń,
• znaczniki konwersji,
• narzędzia analityczne i reklamowe.

Cookies pozwalają Administratorowi i jego partnerom technologicznym na:

• zapewnienie prawidłowego działania strony,
• analizę sposobu korzystania z serwisu,
• dostosowanie treści,
• prowadzenie kampanii reklamowych,
• zapewnienie bezpieczeństwa transmisji.

15. Rodzaje plików cookies wykorzystywanych na stronie

Administrator stosuje zarówno cookies własne (first-party), jak i należące do podmiotów trzecich (third-party cookies).

15.1. Cookies niezbędne (techniczne)

Niezbędne do prawidłowego działania strony — obejmują m.in.:

• sesję użytkownika,
• ustawienia prywatności,
• bezpieczeństwo (ochrona przed botami, limitowanie żądań),
• obsługę formularzy.

Te pliki są instalowane automatycznie i nie wymagają zgody.

15.2. Cookies analityczne (statystyczne)

Służą do analizy ruchu na stronie, np.:

• liczb odwiedzin,
• czasu spędzonego na stronie,
• ścieżek nawigacji,
• urządzeń i przeglądarek,
• skuteczności kampanii.

Ich stosowanie wymaga zgody użytkownika.

Najczęściej wykorzystywane narzędzia:

• Google Analytics 4 (GA4),
• Hotjar (mapy cieplne, analityka wideo),
• narzędzia serwerowe (np. logi serwera).

15.3. Cookies marketingowe / reklamowe

Umożliwiają:

• tworzenie list remarketingowych,
• wyświetlanie reklam dopasowanych do preferencji użytkownika,
• analizę skuteczności kampanii,
• pomiary konwersji.

Instalowane wyłącznie za zgodą użytkownika.

Narzędzia mogą obejmować:

• Meta Pixel (Facebook/Instagram),
• Google Ads & remarketing,
• YouTube Tags,
• LinkedIn Insight Tag.

15.4. Cookies funkcjonalne

Służą do:

• zapamiętywania ustawień użytkownika,
• personalizacji interfejsu,
• obsługi preferencji językowych,
• zapisania treści koszyka (jeśli sklep online zostanie wdrożony).

16. Narzędzia analityczne i marketingowe

Administrator korzysta wyłącznie z narzędzi, które są powszechnie stosowane w branży e-commerce, aukcyjnej i art market premium.

16.1. Google Analytics 4 (GA4)

GA4 gromadzi informacje takie jak:

• sposób korzystania ze strony,
• zdarzenia (eventy) i konwersje,
• dane demograficzne i zainteresowania,
• identyfikatory urządzenia i sesji.

Dane mogą być przekazywane do USA — zgodnie z zasadami opisanymi w sekcji o transferach.

Administrator stosuje:

• anonimizację IP (IP maskowanie),
• ograniczenia przechowywania danych (domyślnie 14 miesięcy).

16.2. Meta Pixel (Facebook/Instagram)

Pixel umożliwia:

• remarketing na Facebooku i Instagramie,
• pomiar konwersji,
• tworzenie niestandardowych grup odbiorców,
• analizę skuteczności kampanii reklamowych.

Instalowany jest wyłącznie na podstawie zgody użytkownika.

Meta może przetwarzać dane także jako współadministrator — opis w części 3 polityki.

16.3. Google Ads i remarketing

Klin Gallery  może wykorzystywać:

• tag konwersji Google Ads,
• listy remarketingowe,
• dopasowanie reklam do zainteresowań użytkownika.

Dane zebrane w ten sposób nie pozwalają Administratorowi na identyfikację osoby — dopóki użytkownik sam nie przekaże danych w formularzach.

16.4. YouTube / Google Video Services

Materiały wideo mogą być osadzone na stronie.
Może to powodować instalowanie:

• cookies reklamowych,
• cookies pomiarowych YouTube i DoubleClick.

Instalowane wyłącznie za zgodą.

16.5. Hotjar (jeśli wdrożony)

Służy do analizy zachowań użytkowników:

• nagrania ruchu myszki,
• kliknięcia,
• mapy cieplne,
• analizy formularzy.

Hotjar nie gromadzi danych umożliwiających bezpośrednią identyfikację (pseudonimizuje adres IP).

17. Zarządzanie zgodami i plikami cookies

1. Podczas pierwszej wizyty na stronie użytkownik ma możliwość określenia, które kategorie plików cookies akceptuje.
2. Zgoda jest dobrowolna i może zostać wycofana w dowolnym momencie.
3. Ustawienia cookies można zmienić:
   

   • w banerze cookies,
   • w ustawieniach przeglądarki,
   • poprzez narzędzia prywatności (np. opt-out z Google, Meta).

4. Odmowa wyrażenia zgody na cookies marketingowe lub analityczne nie wpływa na możliwość korzystania z serwisu, choć pewne funkcjonalności mogą być ograniczone.

18. Monitoring wizyjny (CCTV)

Klin Gallery , ze względu na charakter działalności, eksponowane dzieła sztuki, wartość mienia oraz bezpieczeństwo wydarzeń, stosuje monitoring wizyjny obejmujący:

• przestrzeń ekspozycyjną Galerii,
• korytarze i ciągi komunikacyjne,
• salę aukcyjną,
• wejścia/wyjścia,
• strefy magazynowe (jeśli dotyczy).

Monitoring nie obejmuje pomieszczeń socjalnych, łazienek, zapleczy pracowniczych ani obszarów, gdzie naruszałoby to prawa pracowników lub gości.

18.1. Cele stosowania monitoringu

Monitoring jest stosowany w celach:

1. zapewnienia bezpieczeństwa osób i mienia,
2. ochrony dzieł sztuki i eksponatów,
3. zapobiegania kradzieżom, uszkodzeniom i aktom wandalizmu,
4. zabezpieczenia przebiegu wydarzeń i aukcji,
5. dochodzenia roszczeń lub ustalenia przebiegu incydentów,
6. zabezpieczenia interesu prawnego Administratora (art. 6 ust. 1 lit. f RODO).

18.2. Podstawa prawna przetwarzania

• art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora,
• przepisy Kodeksu pracy (jeżeli monitoring obejmuje przestrzeń pracowniczą),
• obrona przed roszczeniami lub zabezpieczenie materiału dowodowego.

18.3. Czas przechowywania nagrań

• 30 dni,
• chyba że nagranie stanowi dowód w postępowaniu — wtedy okres przechowywania ulega wydłużeniu do momentu zakończenia postępowania lub przedawnienia roszczeń.

18.4. Udostępnienie nagrań

Nagrania mogą zostać przekazane:

• policji lub organom ścigania,
• sądom,
• ubezpieczycielom (w zakresie niezbędnym),
• innym podmiotom uprawnionym do otrzymania danych na podstawie przepisów prawa.

Administrator nie przekazuje nagrań prywatnym osobom, chyba że jest to prawnie uzasadnione.

19. Przetwarzanie danych w mediach społecznościowych

Klin Gallery  prowadzi aktywne profile w serwisach społecznościowych, takich jak:

• Facebook,
• Instagram,
• YouTube,
• LinkedIn,
• TikTok (jeśli dotyczy).

19.1. Zakres przetwarzania w social mediach

Administrator przetwarza dane:

• komentarzy, polubień, reakcji,
• wiadomości prywatnych,
• danych obserwujących profile,
• statystyk i metryk udostępnianych przez platformy.

19.2. Podstawa prawna

• art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na komunikacji z użytkownikami i prowadzeniu działań promocyjnych,
• w przypadku konkursów — art. 6 ust. 1 lit. b RODO (wykonanie regulaminu).

19.3. Odpowiedzialność za dane

1. Administrator odpowiada za publikowane treści, moderowanie komentarzy oraz komunikację.
2. Operator platformy (Meta, Google itd.) odpowiada za dane przetwarzane w celach własnych — w tym analitykę, reklamy i profilowanie.
3. W zakresie statystyk Administrator i Meta mogą działać jako współadministratorzy (zgodnie z orzecznictwem TSUE).

20. Automatyczne podejmowanie decyzji i profilowanie

Administrator nie podejmuje wobec klientów ani użytkowników strony zautomatyzowanych decyzji wywołujących skutki prawne, takich jak:

• automatyczna odmowa udziału w aukcji,
• automatyczna wycena prac,
• automatyczna ocena zdolności zakupowej.

Decyzje zawsze podejmowane są przez osoby upoważnione.

20.1. Profilowanie w zakresie marketingu

Administrator może prowadzić profilowanie marketingowe, polegające na:

• dostosowaniu treści reklam do zainteresowań (remarketing),
• dopasowaniu komunikacji newsletterowej,
• analizie zachowań na stronie.

Profilowanie nie prowadzi do podejmowania decyzji wywołujących skutki prawne dla użytkownika.

20.2. Zakres danych wykorzystywanych do profilowania

Dane mogą obejmować:

• historię odwiedzin strony,
• przeglądanie podstron katalogu,
• aktywność w newsletterze,
• reakcje w social mediach,
• dane statystyczne i analityczne.

20.3. Prawo sprzeciwu

Każda osoba ma prawo w dowolnym momencie wnieść sprzeciw wobec:

• profilowania marketingowego,
• przetwarzania w celach marketingu bezpośredniego.

Sprzeciw jest skuteczny natychmiast.

21. Zasady dotyczące bezpieczeństwa korespondencji i kontaktu

1. Administrator może archiwizować korespondencję mailową w zakresie niezbędnym do celów dowodowych i bezpieczeństwa.
2. Kontakt telefoniczny nie jest nagrywany, chyba że użytkownik zostanie o tym wcześniej poinformowany.
3. Dane z formularzy kontaktowych są przetwarzane zgodnie z zasadami opisanymi w sekcji o retencji.

22. Zmiany Polityki Prywatności

1. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności w szczególności w przypadku:
   

   • zmian przepisów prawa,
   • aktualizacji procesów przetwarzania danych,
   • wdrożenia nowych systemów informatycznych,
   • zmian organizacyjnych,
   • rozwoju działalności (np. uruchomienie platformy aukcyjnej online).

2. O istotnych zmianach użytkownicy zostaną poinformowani poprzez:
   

   • aktualizację treści na stronie internetowej,
   • komunikat w serwisie,
   • newsletter (jeżeli dotyczy).

3. Zmiany wchodzą w życie z dniem publikacji zmienionej wersji Polityki, chyba że w komunikacie wskazano inny termin jej obowiązywania.

23. Obowiązek podania danych i konsekwencje ich niepodania

W zależności od charakteru relacji między osobą a Galerią, podanie danych może być:

23.1. Obowiązkowe (wymagane ustawowo)

Podstawa: art. 33–36 Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML).

Dotyczy to danych:

• przy transakcjach o wartości ≥ 10 000 EUR,
• w przypadku podejrzenia transakcji podejrzanej,
• w przypadku konfliktu interesów lub ryzyka wysokiego,
• w transakcjach międzynarodowych o podwyższonym ryzyku.

Brak podania danych oznacza brak możliwości realizacji transakcji.

23.2. Wymagane do zawarcia umowy

Dotyczy transakcji:

• zakupu dzieła sztuki,
• przyjęcia pracy w komis,
• depozytu,
• reprezentacji artystycznej,
• sprzedaży aukcyjnej.

Konsekwencja niepodania danych: brak możliwości zawarcia umowy.

23.3. Dobrowolne (marketing, newsletter, formularze kontaktowe)

Dotyczy:

• newslettera,
• zgód marketingowych,
• formularzy kontaktowych,
• powiadomień o aukcjach i wystawach.

Niepodanie danych skutkuje jedynie brakiem możliwości otrzymywania określonych informacji — nie wpływa na korzystanie z usług Galerii.

24. Zabezpieczenia dotyczące transferu danych

1. Administrator nie przekazuje danych do państw trzecich bez zapewnienia:
   

   • odpowiedniej decyzji Komisji Europejskiej,
   • zastosowania standardowych klauzul umownych (SCC),
   • dodatkowych środków technicznych i organizacyjnych,
   • poinformowania użytkownika o ryzykach transferu.

2. Użytkownik może uzyskać kopię mechanizmów zabezpieczających transfer — po zgłoszeniu pisemnego wniosku.

25. Zasady kontaktu z Administratorem

W sprawach związanych z ochroną danych osobowych, można kontaktować się w następujący sposób:

e-mail: info@klingallery.com
adres korespondencyjny:
Klin Gallery  Sp. z o.o.
Aleja Jana Pawła II 43A/37B
01-001 Warszawa

 telefon: +48 514 886 905
 strona www: klingallery@com

Jeśli Administrator powoła Inspektora Ochrony Danych, dane kontaktowe zostaną umieszczone w niniejszej Polityce.

26. Odpowiedzialność użytkownika

1. Użytkownik ponosi odpowiedzialność za prawdziwość podanych danych.
2. W przypadku podania danych innych osób, użytkownik oświadcza, że:
   

   • jest do tego uprawniony,
   • przekazał osobie informacje o przetwarzaniu,
   • zobowiązuje się do przekazania treści niniejszej Polityki.

27. Postanowienia końcowe

1. Niniejsza Polityka Prywatności obowiązuje wszystkich:
   

   • klientów,
   • uczestników aukcji,
   • uczestników wydarzeń,
   • użytkowników strony internetowej,
   • kontrahentów,
   • artystów i współpracowników,
   • osoby kontaktujące się z Administratorem.

2. W kwestiach nieuregulowanych niniejszą Polityką stosuje się przepisy:
   

   • Rozporządzenia RODO,
   • Ustawy o ochronie danych osobowych,
   • Ustawy AML,
   • Ustawy o świadczeniu usług drogą elektroniczną,
   • Kodeksu cywilnego (w zakresie relacji umownych).

3. Polityka została przyjęta przez Klin Gallery i obowiązuje od dnia 1 grudnia 2025 r.
4. Pełna treść Polityki jest dostępna na stronie internetowej Administratora oraz w siedzibie Spółki.