How much can I earn as a creator?

Typical creators earn €0.08 to €0.40 per click depending on rank and audience size. Minimum payout threshold is €20. Top creators in Diamond tier negotiate fixed fees per campaign.

We support Stripe Connect, PayPal, IBAN/SEPA bank transfer, and Bitcoin. KYC required per EU DAC7 (mandatory creator-income reporting). First payout within 7 days of request, recurring payouts daily after that.

How much does it cost to launch a campaign?

Minimum campaign budget is €200, minimum CPC bid is €0.15. No setup fees. Payout fee is 5–15% depending on plan, deducted from creator earnings.

Which e-commerce platforms do you integrate with?

Shopify, WooCommerce, Shoptet (CZ market), WordPress, plus generic webhook + S2S postback for custom stacks. Integration takes under 10 minutes.

Is there a free plan?

Yes. Brands get 5 campaigns/month at 15% fee on Basic plan. Creators get 3 active campaigns and basic analytics on Basic. Upgrade anytime.

How do you prevent click and conversion fraud?

Click-bot detection (Turnstile + FingerprintJS), dual-confirmation barter with QR delivery codes, content approval workflow on Premium, and content moderation team for disputes. Fraudulent clicks are not paid.

Can agencies use Tandemio?

Yes. Premium plan includes agency mode with multi-brand workspaces, delegated access, shared budgets, white-label invoicing, and team roles.

Polityka prywatności

Podsumowanie

Administrator: Signal Core s.r.o. IOD: [email protected]. Nie sprzedajemy danych.

1. Administrator danych

Signal Core s.r.o., Rybná 716/24, 110 00 Praga 1, Republika Czeska · Reg.: 24460354 · NIP: CZ24460354

Wpis: Sąd Miejski w Pradze, sekcja C, plik 198765

Pytania RODO: [email protected]

2. Inspektor Ochrony Danych (IOD)

Wyznaczyliśmy Inspektora Ochrony Danych odpowiedzialnego za zgodność z RODO. IOD jest niezależny i raportuje bezpośrednio do zarządu.

Kontakt: [email protected] · pocztą: Signal Core s.r.o., do rąk IOD, Rybná 716/24, Praga 1

3. Jakie dane przetwarzamy

W zależności od typu użytkownika i celu przetwarzamy następujące kategorie danych:

Identyfikacja i kontakt

Imię, nazwisko (twórca) / nazwa firmy (marka)
Adres email, telefon (opcjonalnie)
Adres (rozliczeniowy, siedziba)
Numer rejestrowy, NIP, numer konta bankowego (IBAN, BIC)
Numer Identyfikacji Podatkowej (TIN) dla DAC7

Dane profilowe

Avatar, bio, profile społecznościowe (IG, TikTok, YouTube), liczba obserwujących
Kategorie treści (lifestyle, gaming, fashion itp.)
Referencje, poprzednie wyniki

Dane transakcyjne

Historia kampanii, konwersji, wypłat
Faktury, dokumenty podatkowe
Logi logowania, adres IP, user agent

Tracking i pomiar

Cookies (domyślnie tylko funkcjonalne, zob. Cookies)
Click ID, Conversion ID, fraud score
Geolokalizacja IP (kraj, region) — dla raportowania i anti-fraud, nie zapisujemy dokładnej lokalizacji

KYC i dane podatkowe

Dokument tożsamości — przez Stripe Identity, nie przechowujemy obrazu, tylko status weryfikacji
Biometria selfie — przechowywana w Stripe / Sumsub, nie u nas
Log sprawdzenia VIES

4. Cele i podstawy prawne (RODO art. 6)

Dla każdej kategorii danych jasno wiemy dlaczego ją przetwarzamy i na podstawie którego przepisu RODO art. 6:

Cel	Podstawa prawna	Przykładowe dane
Wykonanie umowy	Art. 6(1)(b)	Konto, fakturowanie, wypłaty
Obowiązek prawny	Art. 6(1)(c)	DAC7, AML, raporty podatkowe
Prawnie uzasadniony interes	Art. 6(1)(f)	Anti-fraud, logi bezpieczeństwa, analityka
Zgoda	Art. 6(1)(a)	Newsletter marketingowy, cookies nieesencjalne

Zgodę można wycofać w dowolnym momencie (email, ustawienia w aplikacji) bez wpływu na przetwarzanie przed wycofaniem.

5. Odbiorcy i podmioty przetwarzające

Dane udostępniamy starannie wybranym podmiotom przetwarzającym, wszystkie z DPA zgodnie z RODO art. 28:

Stripe (Irlandia/USA) — płatności, KYC; SCC + adekwatność dla USA
Polygon.io (USA) — dane rynkowe; SCC
Cloudflare (USA) — CDN, anti-DDoS; SCC + ENISA
DigitalOcean (USA/regiony EU) — hosting; SCC, serwery EU we Frankfurcie
Sumsub (UK) — fallback KYC; decyzja adekwatności UK
Twilio / SendGrid (USA) — emaile transakcyjne; SCC
Anthropic (USA) — Claude AI do analizy treści (opcjonalnie, tylko metadane, brak danych osobowych)
Firma księgowa (CZ) — fakturowanie, podatki; relacja umowna

Lista jest publiczna i aktualizowana w Ustawienia → Prywatność → Subprocessors.

6. Transfery międzynarodowe

Niektóre dane trafiają poza UE/EOG (USA — Stripe, Cloudflare, Polygon itp.). Dla każdego transferu mamy:

Standard Contractual Clauses (SCC) — wersja 2021/914
Data Privacy Framework (DPF) — dla certyfikowanych partnerów (Stripe, Cloudflare)
Środki uzupełniające — szyfrowanie w spoczynku i w transporcie (TLS 1.3, AES-256)
TIA (Transfer Impact Assessment) — przeprowadzona dla każdego transferu poza UE

7. Okresy przechowywania

Kategoria	Okres	Powód
Aktywne konto	Przez okres istnienia konta	Wykonanie umowy
Faktury, dane księgowe	10 lat	§ 31 czeskiej ustawy o rachunkowości
Dane raportowania DAC7	5 lat po ostatnim raporcie	Ustawa o współpracy międzynarodowej
Dokumenty KYC	5 lat po zakończeniu relacji	Czeska ustawa AML 253/2008
Logi logowania	12 miesięcy	Audyt bezpieczeństwa
Tracking konwersji	3 lata	Okres przedawnienia sporów
Zgoda marketingowa	Do wycofania	Zgoda

8. Twoje prawa (RODO art. 15–22)

Masz prawo do:

Dostępu (art. 15) — bezpłatnej kopii swoich danych; eksport przez Ustawienia → Prywatność → Pobierz dane
Sprostowania (art. 16) — poprawienia nieprawidłowych danych
Usunięcia / Right to be forgotten (art. 17) — usunięcia danych (z wyjątkiem ustawowych obowiązków archiwizacyjnych)
Ograniczenia przetwarzania (art. 18) — wstrzymanie przetwarzania w sporze
Przenośności (art. 20) — eksport danych w strukturalnym, maszynowo czytelnym formacie (JSON / CSV)
Sprzeciwu (art. 21) — wobec przetwarzania na podstawie prawnie uzasadnionego interesu
Skargi do organu nadzorczego — czeski ÚOOÚ, uoou.gov.cz

Odpowiadamy w ciągu 30 dni od złożenia wniosku. W złożonych przypadkach możemy przedłużyć o kolejne 60 dni z powiadomieniem.

9. Zautomatyzowane podejmowanie decyzji i profilowanie

Korzystamy ze zautomatyzowanego podejmowania decyzji tylko w ograniczonym zakresie:

Anti-fraud scoring — algorytm przypisuje fraud score 0–100. Score ≥ 80 oznacza automatyczne nieautoryzowanie konwersji. Możesz zażądać przeglądu człowieka przez support
Rekomendacje kampanii — algorytm dopasowuje twórców do kampanii na podstawie audience, niche, fraud score. Brak skutków prawnych, można zignorować

Nie używamy zautomatyzowanego podejmowania decyzji ze skutkami prawnymi zgodnie z art. 22 RODO.

10. Dzieci i osoby niepełnoletnie

Tandemio nie jest przeznaczone dla dzieci poniżej 18 lat. Przy rejestracji weryfikujemy wiek przez KYC (twórca) lub numer rejestrowy (marka).

Jeśli wykryjemy rejestrację osoby niepełnoletniej, natychmiast zamykamy konto i usuwamy dane. Rodzice, którzy odkryją, że ich dziecko korzysta z Tandemio, powinni napisać na [email protected].

11. Bezpieczeństwo

Wdrażamy środki techniczne i organizacyjne zgodnie z RODO art. 32:

Szyfrowanie w spoczynku — AES-256 dla baz danych i kopii zapasowych
Szyfrowanie w transporcie — TLS 1.3 + HSTS, brak fallbacku
Hashowanie haseł — Argon2id (memory-hard)
2FA — opcjonalne dla użytkowników, obowiązkowe dla adminów
Rate limiting + WAF — Cloudflare
Penetration testing — coroczny audit zewnętrzny
ISO 27001 alignment — bez certyfikacji, ale procesy zgodne
Background checks — dla pracowników z dostępem do danych produkcyjnych

12. Powiadomienia o naruszeniach

W przypadku naruszenia danych:

Organ nadzorczy (CZ ÚOOÚ) w ciągu 72 godzin od wykrycia (RODO art. 33)
Dotknięci użytkownicy bez nieuzasadnionej zwłoki, gdy powstaje wysokie ryzyko (RODO art. 34)
Powiadomienie zawiera: charakter naruszenia, kategorie i liczbę dotkniętych, prawdopodobne konsekwencje, środki

Status publiczny: tandemio.app/security (planowany).

13. Zmiany polityki

Możemy zmieniać tę politykę. Przy istotnych zmianach (nowe kategorie danych, nowi odbiorcy) powiadamiamy co najmniej 30 dni wcześniej mailowo.

Aktualna wersja znajduje się zawsze na tej stronie z datą wejścia w życie. Wersje historyczne archiwizujemy.

14. Kontakt i skargi

IOD: [email protected] · Ogólne: [email protected]

Pocztą: Signal Core s.r.o., do rąk IOD, Rybná 716/24, 110 00 Praga 1

Skarga do organu: Czeski Urząd Ochrony Danych Osobowych (ÚOOÚ), Pplk. Sochora 27, 170 00 Praga 7, uoou.gov.cz

Notice

Tyto zásady popisují aktuální praxi. Při sporech má přednost česká verze.