Privacybeleid

1.1. Dit Privacybeleid legt uit hoe GrowthTurn Marcin Chirowski, geregistreerd in Polen met NIP 7542694209, gevestigd aan al. Zwycięstwa 241/13, 81-521 Gdynia ("Carseto", "wij", "ons", "onze"), uw persoonsgegevens verzamelt, gebruikt, opslaat en deelt wanneer u onze website carseto.com, mobiele applicaties en gerelateerde diensten (het "Platform") gebruikt.

1.2. Carseto is de verwerkingsverantwoordelijke voor uw persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG").

1.3. Voor vragen over gegevensbescherming kunt u contact opnemen met onze contactpersoon voor gegevensbescherming via: privacy@carseto.com of schrijven naar: Gegevensbescherming, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Polen.

Wij verzamelen de volgende categorieën persoonsgegevens:

2.1. Accountgegevens - naam, e-mailadres, wachtwoord (gehasht), telefoonnummer (optioneel), weergavenaam, profielfoto, land van verblijf, voorkeurstaal.

2.2. Garage- en aanbodgegevens - voertuiggegevens die u verstrekt (merk, model, bouwjaar, VIN/chassisnummer, staat, foto's, onderhoudshistorie, documenten), vraagprijzen, aanbiedingsbeschrijvingen.

2.3. Identiteitsverificatiegegevens - wanneer u ervoor kiest uw identiteit te verifiëren: door de overheid uitgegeven identiteitsbewijs, bedrijfsregistratiedocumenten, bankrekeninggegevens (voor dealers), selfie voor identiteitsmatching. Deze worden uitsluitend verwerkt voor verificatiedoeleinden en met verhoogde beveiliging opgeslagen.

2.4. Communicatiegegevens - berichten verzonden via ons intern berichtensysteem, vragen, supportverzoeken, reacties op aanbiedingen.

2.5. Transactiegegevens - aankoop- en betalingsgegevens, abonnementsgegevens, factuuradres, betalingsmethode-identificatienummers (wij slaan geen volledige kaartnummers op; deze worden bewaard door Stripe).

2.6. Gebruiksgegevens - bezochte pagina's, gebruikte functies, zoekopdrachten, apparaatinformatie (browsertype, besturingssysteem, schermresolutie), IP-adres, verwijzingsbron, sessieduur.

2.7. Cookie- en trackinggegevens - zoals beschreven in ons Cookiebeleid, waaronder analysegegevens, voorkeurscookies en marketing-identificatoren (alleen met uw toestemming).

2.8. Gegevens van derden - wanneer aanbiedingen afkomstig zijn van openbare marktplaatsen, kunnen wij openbaar beschikbare aanbiedingsinformatie verzamelen, waaronder voertuigbeschrijvingen en contactgegevens van verkopers die door gebruikers op die platforms zijn gepubliceerd.

Wij verwerken uw persoonsgegevens op de volgende rechtsgronden:

3.2. Wanneer wij ons beroepen op gerechtvaardigd belang, hebben wij een belangenafweging gemaakt en vastgesteld dat onze belangen uw rechten en vrijheden niet prevaleren. U kunt details van onze belangenafwegingen opvragen door contact op te nemen met privacy@carseto.com.

4.1. Met andere gebruikers. Wanneer u een aanbieding plaatst, zijn uw aanbiedingsgegevens en beperkte profielinformatie (weergavenaam, verificatiestatus, lid sinds, reactietijd) zichtbaar voor andere gebruikers. Wanneer u een bericht verstuurt, zijn uw weergavenaam en berichtinhoud zichtbaar voor de ontvanger.

4.2. Dienstverleners. Wij delen gegevens met de volgende categorieën verwerkers die handelen volgens onze instructies:

4.3. Wettelijke vereisten. Wij kunnen uw gegevens openbaar maken wanneer dit vereist is door wet, regelgeving, juridische procedure of overheidsverzoek, inclusief aan wetshandhaving als wij menen dat een aanbieding betrekking heeft op een gestolen voertuig of frauduleuze activiteit.

4.4. Bedrijfsoverdrachten. In het geval van een fusie, overname of verkoop van activa kunnen uw gegevens worden overgedragen aan de overnemende entiteit. Wij zullen u op de hoogte stellen van een dergelijke overdracht en eventuele wijzigingen in het toepasselijke privacybeleid.

4.5. Geaggregeerde gegevens. Wij kunnen geanonimiseerde, geaggregeerde gegevens (zoals markttrends en CCI-prijsindexen) delen met derden. Deze gegevens kunnen niet worden gebruikt om u te identificeren.

4.6. Wij verkopen uw persoonsgegevens niet. Wij delen uw persoonsgegevens niet met derden voor hun eigen marketingdoeleinden zonder uw uitdrukkelijke toestemming.

5.1. Uw gegevens worden voornamelijk opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER). Onze primaire database wordt gehost door Supabase in de EU-West (Frankfurt) regio.

5.2. Sommige van onze dienstverleners kunnen gegevens buiten de EER verwerken (bijvoorbeeld bepaalde Vercel CDN edge-nodes). Waar dit voorkomt, waarborgen wij passende beveiligingsmaatregelen, waaronder: EU-standaardcontractbepalingen (SCC's) overeenkomstig Art. 46(2)(c) AVG; of adequaatheidsbesluiten van de Europese Commissie overeenkomstig Art. 45 AVG.

5.3. U kunt een kopie opvragen van de waarborgen die wij gebruiken voor internationale overdrachten door contact op te nemen met privacy@carseto.com.

6.1. Wij bewaren uw persoonsgegevens slechts zo lang als noodzakelijk voor de doeleinden waarvoor zij zijn verzameld, of zoals vereist door de wet.

6.2. Na de bewaartermijn worden gegevens veilig verwijderd of onomkeerbaar geanonimiseerd voor statistische doeleinden.

7.1. Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

- Recht van inzage (Art. 15) - een kopie opvragen van de persoonsgegevens die wij over u bewaren.
- Recht op rectificatie (Art. 16) - correctie vragen van onjuiste of onvolledige gegevens.
- Recht op gegevenswissing (Art. 17) - verwijdering van uw persoonsgegevens verzoeken wanneer er geen dwingende reden is voor verdere verwerking (onder voorbehoud van wettelijke bewaarverplichtingen).
- Recht op beperking van de verwerking (Art. 18) - verzoeken dat wij het gebruik van uw gegevens in bepaalde omstandigheden beperken.
- Recht op gegevensoverdraagbaarheid (Art. 20) - uw persoonsgegevens ontvangen in een gestructureerd, gangbaar, machineleesbaar formaat en deze overdragen aan een andere verwerkingsverantwoordelijke.
- Recht van bezwaar (Art. 21) - bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen, inclusief profilering. Wanneer wij gegevens verwerken voor direct marketing heeft u een absoluut recht van bezwaar.
- Recht om toestemming in te trekken - wanneer de verwerking gebaseerd is op toestemming, kunt u deze te allen tijde intrekken zonder dat dit de rechtmatigheid van eerdere verwerking aantast.

7.2. Om een van deze rechten uit te oefenen, neem contact met ons op via privacy@carseto.com. Wij reageren binnen één maand. Als uw verzoek complex is, kunnen wij deze termijn met nog eens twee maanden verlengen, en wij zullen u informeren over eventuele verlenging.

7.3. Wij brengen geen kosten in rekening voor het uitoefenen van uw rechten, tenzij verzoeken kennelijk ongegrond of buitensporig zijn, in welk geval wij een redelijke vergoeding kunnen vragen of kunnen weigeren te handelen.

7.4. Als u niet tevreden bent met de manier waarop wij uw verzoek behandelen, heeft u het recht een klacht in te dienen bij de Poolse toezichthouder: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warschau, Polen, https://uodo.gov.pl. U kunt ook een klacht indienen bij de toezichthoudende autoriteit in uw land van verblijf.

8.1. Wij treffen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging. Deze omvatten:
- Versleuteling van gegevens tijdens overdracht (TLS 1.2+) en in opslag;
- Row Level Security (RLS) op alle databasetabellen, beperkt tot geauthenticeerde gebruikers;
- Snelheidsbeperking en botpreventie op alle eindpunten;
- Regelmatige beveiligingsaudits en kwetsbaarheidsbeoordelingen;
- Toegangscontroles die werknemerstoegang tot persoonsgegevens beperken op basis van need-to-know;
- Veilige authenticatie via Supabase Auth met ondersteuning voor meervoudige authenticatie.

8.2. Hoewel wij ernaar streven uw gegevens te beschermen, is geen methode van elektronische opslag of overdracht 100% veilig. Wij kunnen absolute veiligheid niet garanderen.

9.1. Het Platform is niet bedoeld voor personen jonger dan 18 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen. Als u meent dat wij gegevens van een minderjarige hebben verzameld, neem dan contact met ons op via privacy@carseto.com en wij zullen deze onmiddellijk verwijderen.

10.1. Wij gebruiken geautomatiseerde systemen voor vertrouwensscores, fraudedetectie en moderatie van aanbiedingen. Deze systemen kunnen de zichtbaarheid van uw aanbiedingen of accountstatus beïnvloeden. Er wordt echter geen geautomatiseerd besluit met juridische of vergelijkbare wezenlijke gevolgen genomen zonder menselijk toezicht.

10.2. U heeft het recht om menselijke herbeoordeling te verzoeken van elk geautomatiseerd besluit dat u wezenlijk raakt.

11.1. Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken. Bij wezenlijke wijzigingen stellen wij u hiervan ten minste 30 dagen vóór de ingangsdatum op de hoogte via e-mail of een opvallende melding op het Platform.

11.2. De datum van de meest recente update wordt bovenaan deze pagina weergegeven.

12.1. Voor vragen over dit Privacybeleid of onze gegevenspraktijken kunt u contact met ons opnemen via:

- E-mail: privacy@carseto.com
- Post: Gegevensbescherming, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Polen
- Toezichthoudende autoriteit: UODO, ul. Stawki 2, 00-193 Warschau, https://uodo.gov.pl