Niniejsze tłumaczenie ma charakter informacyjny. W przypadku rozbieżności zastosowanie ma wersja angielska.
1. Kim jesteśmy
1.1. Niniejsza Polityka prywatności wyjaśnia, w jaki sposób GrowthTurn Marcin Chirowski, prowadzący jednoosobową działalność gospodarczą wpisaną do CEIDG, NIP 7542694209, z siedzibą przy al. Zwycięstwa 241/13, 81-521 Gdynia („Carseto”, „my”, „nas”), zbiera, przetwarza, przechowuje i udostępnia Twoje dane osobowe podczas korzystania z witryny carseto.com, aplikacji mobilnych i powiązanych usług („Platforma").
1.2. Carseto jest administratorem danych odpowiedzialnym za Twoje dane osobowe zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych (UE) 2016/679 („RODO").
1.3. W sprawach ochrony danych skontaktuj się z nami: privacy@carseto.com lub pisemnie: Ochrona danych, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Polska.
2. Jakie dane zbieramy
Zbieramy następujące kategorie danych osobowych:
2.1. Dane konta - imię i nazwisko, adres e-mail, hasło (zahashowane), numer telefonu (opcjonalnie), nazwa wyświetlana, zdjęcie profilowe, kraj zamieszkania, preferowany język.
2.2. Dane Garażu i ogłoszeń - informacje o pojeździe (marka, model, rok, numer VIN/nadwozia, stan, zdjęcia, historia serwisowa, dokumenty), ceny wywoławcze, opisy ogłoszeń.
2.3. Dane weryfikacji tożsamości - gdy wybierzesz weryfikację: dowód tożsamości, dokumenty rejestracyjne firmy, dane konta bankowego (dla dealerów), selfie do porównania. Przetwarzane wyłącznie w celach weryfikacji i przechowywane z podwyższonym zabezpieczeniem.
2.4. Dane komunikacji - wiadomości wysyłane przez wewnętrzny system wiadomości, zapytania, zgłoszenia pomocy, komentarze do ogłoszeń.
2.5. Dane transakcji - zapisy zakupów i płatności, szczegóły subskrypcji, adres rozliczeniowy, identyfikatory metody płatności (nie przechowujemy pełnych numerów kart; są przechowywane przez Stripe).
2.6. Dane użycia - odwiedzane strony, używane funkcje, zapytania wyszukiwania, informacje o urządzeniu (typ przeglądarki, system operacyjny, rozdzielczość), adres IP, źródło odsyłania, czas sesji.
2.7. Dane plików cookie i śledzenia - zgodnie z Polityką plików cookie, w tym dane analityczne, preferencje, identyfikatory marketingowe (wyłącznie za zgodą).
2.8. Dane stron trzecich - gdy ogłoszenia pochodzą z publicznych rynków, możemy zbierać publicznie dostępne informacje, w tym opisy pojazdów i dane kontaktowe sprzedających publikowane przez użytkowników tych platform.
3. Jak i dlaczego używamy Twoich danych
Przetwarzamy Twoje dane osobowe na następujących podstawach prawnych:
| Cel | Używane dane | Podstawa prawna (RODO art. 6) |
|---|---|---|
| Tworzenie i zarządzanie kontem | Dane konta | Wykonanie umowy - art. 6(1)(b) |
| Świadczenie usługi marketplace | Dane Garażu, ogłoszeń, komunikacji | Wykonanie umowy - art. 6(1)(b) |
| Przetwarzanie płatności | Dane transakcji | Wykonanie umowy - art. 6(1)(b) |
| Weryfikacja tożsamości i zapobieganie oszustwom | Dane weryfikacyjne, dane użycia | Prawnie uzasadniony interes - art. 6(1)(f) |
| Ocena zaufania i bezpieczeństwo platformy | Dane użycia, dane komunikacji | Prawnie uzasadniony interes - art. 6(1)(f) |
| Monitoring wiadomości w celu wykrywania oszustw | Dane komunikacji | Prawnie uzasadniony interes - art. 6(1)(f) |
| Dane rynkowe i indeksy cen CCI | Dane ogłoszeń (zagregowane/anonimowe) | Prawnie uzasadniony interes - art. 6(1)(f) |
| Analityka i ulepszanie platformy | Dane użycia | Prawnie uzasadniony interes - art. 6(1)(f) |
| Obsługa klienta | Dane konta, komunikacji | Wykonanie umowy - art. 6(1)(b) |
| E-maile marketingowe i newsletter | Dane konta | Zgoda - art. 6(1)(a) |
| Spersonalizowane rekomendacje | Dane użycia, Garażu | Zgoda - art. 6(1)(a) |
| Zgodność z prawem (zapisy podatkowe, spory) | Dane transakcji, konta | Obowiązek prawny - art. 6(1)(c) |
| Przetłumaczona treść ogłoszeń | Dane ogłoszeń | Prawnie uzasadniony interes - art. 6(1)(f) |
| Dynamiczne generowanie obrazów OG dla udostępnionych URL | Dane Garażu, ogłoszeń | Prawnie uzasadniony interes - art. 6(1)(f) |
3.2. Gdy opieramy się na prawnie uzasadnionym interesie, przeprowadziliśmy test równowagi i ustaliliśmy, że nasze interesy nie przeważają nad Twoimi prawami i wolnościami. Możesz zażądać szczegółów ocen, pisząc na privacy@carseto.com.
5. Transfery międzynarodowe
5.1. Twoje dane są przede wszystkim przechowywane i przetwarzane w Europejskim Obszarze Gospodarczym (EOG). Główna baza danych jest hostowana przez Supabase w regionie EU-West (Frankfurt).
5.2. Niektórzy dostawcy mogą przetwarzać dane poza EOG (np. niektóre węzły CDN Vercel). W takich przypadkach stosujemy odpowiednie zabezpieczenia: standardowe klauzule umowne UE (SCC) zgodnie z art. 46(2)(c) RODO lub decyzje o adekwatności Komisji Europejskiej zgodnie z art. 45 RODO.
5.3. Możesz zażądać kopii stosowanych zabezpieczeń, pisząc na privacy@carseto.com.
6. Przechowywanie danych
6.1. Przechowujemy dane osobowe tylko tak długo, jak jest to konieczne do celów zbierania lub wymagane przez prawo.
| Kategoria danych | Okres przechowywania | Powód |
|---|---|---|
| Dane konta | Czas trwania konta + 2 lata | Świadczenie usług + okno sporów |
| Dane ogłoszeń (aktywne) | Czas trwania ogłoszenia + 5 lat | Dane rynkowe, rozwiązywanie sporów |
| Dane ogłoszeń (sprzedane/wygasłe) | 5 lat od sprzedaży/wygasnięcia | Indeks cen CCI, zgodność z prawem |
| Zapisy transakcji/płatności | 7 lat od transakcji | Przepisy podatkowe i finansowe |
| Wiadomości | 3 lata od ostatniej aktywności | Zapobieganie oszustwom, rozwiązywanie sporów |
| Dokumenty weryfikacyjne | 1 rok po udanej weryfikacji | Zgodność z przepisami |
| Dane użycia/analityki | 26 miesięcy (ruchomy) | Ulepszanie platformy |
| Zapisy zgody marketingowej | Czas trwania zgody + 3 lata | Dowód zgody |
| Zgłoszenia pomocy | 3 lata od rozwiązania | Jakość i szkolenia |
6.2. Po tym okresie dane są bezpiecznie usuwane lub nieodwracalnie anonimizowane do celów statystycznych.
7. Twoje prawa
7.1. Zgodnie z RODO masz następujące prawa dotyczące danych osobowych:
- Prawo dostępu (art. 15) - żądanie kopii danych, które przechowujemy.
- Prawo do sprostowania (art. 16) - żądanie poprawienia nieprawidłowych lub niekompletnych danych.
- Prawo do usunięcia (art. 17) - żądanie usunięcia danych, gdy nie ma uzasadnionego powodu dalszego przetwarzania (z zastrzeżeniem obowiązków przechowywania).
- Prawo do ograniczenia przetwarzania (art. 18) - żądanie ograniczenia sposobu korzystania z danych w określonych przypadkach.
- Prawo do przenoszenia danych (art. 20) - otrzymanie danych w ustrukturyzowanym, powszechnie używanym, maszynowo czytelnym formacie i przekazanie innemu administratorowi.
- Prawo sprzeciwu (art. 21) - sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie, w tym profilowania. Przy przetwarzaniu do marketingu bezpośredniego masz bezwzględne prawo sprzeciwu.
- Prawo do wycofania zgody - gdy przetwarzanie opiera się na zgodzie, możesz ją wycofać w każdej chwili bez wpływu na legalność wcześniejszego przetwarzania.
7.2. Aby skorzystać z tych praw, skontaktuj się z nami: privacy@carseto.com. Odpowiemy w ciągu miesiąca. Przy złożonych wnioskach możemy przedłużyć termin o kolejne dwa miesiące i poinformujemy Cię o tym.
7.3. Nie pobieramy opłat za realizację praw, chyba że wnioski są ewidentnie nieuzasadnione lub nadmierne - wówczas możemy pobrać rozsądną opłatę lub odmówić.
7.4. Jeśli jesteś niezadowolony z naszej reakcji, masz prawo złożyć skargę do polskiego organu nadzorczego: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polska, https://uodo.gov.pl. Możesz także złożyć skargę do organu w kraju zamieszkania.
8. Bezpieczeństwo danych
8.1. Stosujemy odpowiednie środki techniczne i organizacyjne chroniące dane przed nieuprawnionym dostępem, zmianą, ujawnieniem lub zniszczeniem, w tym:
- Szyfrowanie danych w tranzycie (TLS 1.2+) i w spoczynku;
- Row Level Security (RLS) na wszystkich tabelach bazy, z zakresem dla uwierzytelnionych użytkowników;
- Ograniczanie liczby zapytań i zapobieganie botom na wszystkich endpointach;
- Regularne audyty bezpieczeństwa i oceny luk;
- Kontrola dostępu ograniczająca dostęp pracowników do danych na zasadzie need-to-know;
- Bezpieczne uwierzytelnianie przez Supabase Auth z obsługą uwierzytelniania wieloskładnikowego.
8.2. Choć dbamy o bezpieczeństwo, żadna metoda przechowywania lub transmisji elektronicznej nie jest w 100% bezpieczna. Nie możemy gwarantować absolutnego bezpieczeństwa.
9. Dzieci
9.1. Platforma nie jest przeznaczona dla osób poniżej 18 lat. Świadomie nie zbieramy danych od dzieci. Jeśli uważasz, że zebraliśmy dane małoletniego, skontaktuj się z nami: privacy@carseto.com - niezwłocznie usuniemy dane.
10. Zautomatyzowane podejmowanie decyzji
10.1. Używamy zautomatyzowanych systemów do oceny zaufania, wykrywania oszustw i moderacji ogłoszeń. Mogą one wpływać na widoczność ogłoszeń lub status konta. Żadna decyzja automatyczna skutkująca prawnymi lub podobnie istotnymi efektami nie jest podejmowana bez nadzoru człowieka.
10.2. Masz prawo zażądać weryfikacji przez człowieka każdej decyzji automatycznej znacząco Cię dotyczącej.
11. Zmiany Polityki prywatności
11.1. Możemy aktualizować Politykę prywatności. W przypadku istotnych zmian powiadomimy Cię e-mailem lub wyraźnym ogłoszeniem na Platformie co najmniej 30 dni przed wejściem zmian w życie.
11.2. Data ostatniej aktualizacji jest wyświetlana na górze strony.
12. Kontakt
12.1. W sprawach Polityki prywatności lub praktyk danych skontaktuj się z nami:
- E-mail: privacy@carseto.com
- Pisemnie: Ochrona danych, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Polska
- Organ nadzorczy: UODO, ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl
Więcej informacji znajdziesz w naszych Regulaminie oraz Polityce plików cookie.