Wersja z dnia 7 lipca 2026 r.

Polityka prywatności

platformy CarsLine — systemu do zarządzania wypożyczalnią sprzętu samochodowego (boxy dachowe, bagażniki bazowe, uchwyty rowerowe, akcesoria montażowe)

1. Kim jesteśmy i czego dotyczy ten dokument

Platforma CarsLine (dalej: „Platforma”) jest usługą świadczoną drogą elektroniczną w modelu SaaS, przeznaczoną dla przedsiębiorców prowadzących wypożyczalnie sprzętu samochodowego. Dostawcą Platformy jest BH-Wandex Jarosław Czechowski, NIP: PL5251917081, adres: ul. Ciołka 8/210 01-402 Warszawa (dalej: „my”, „CarsLine” lub „Dostawca”).

Kontakt we wszystkich sprawach dotyczących danych osobowych: lukasz.r.czechowski@gmail.com. Inspektor ochrony danych nie został wyznaczony.

Niniejsza polityka opisuje, w jaki sposób przetwarzamy dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO”) oraz ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Dotyczy ona strony internetowej CarsLine, panelu administracyjnego dla wypożyczalni oraz osadzanego widgetu rezerwacyjnego (moduł „embed”).

2. Dwie role: kiedy jesteśmy administratorem, a kiedy procesorem

Platforma jest wielodostępna (multi-tenant) — korzysta z niej wiele niezależnych wypożyczalni. Z tego powodu nasza rola w rozumieniu RODO zależy od tego, czyje dane są przetwarzane:

2.1. CarsLine jako administrator danych osobowych

Jesteśmy administratorem w rozumieniu art. 4 pkt 7 RODO wyłącznie w odniesieniu do:

2.2. CarsLine jako podmiot przetwarzający (procesor)

Administratorem danych klientów końcowych wypożyczalni (osób rezerwujących i wypożyczających sprzęt) jest wypożyczalnia, która korzysta z Platformy. My przetwarzamy te dane wyłącznie w jej imieniu i na jej udokumentowane polecenie, jako podmiot przetwarzający w rozumieniu art. 28 RODO. Zasady tego powierzenia reguluje Umowa powierzenia przetwarzania danych osobowych, zawierana z każdą wypożyczalnią.

Jeżeli jesteś klientem wypożyczalni (np. dokonujesz rezerwacji boxu dachowego przez widget na jej stronie), administratorem Twoich danych jest ta wypożyczalnia — informacji o przetwarzaniu Twoich danych, a także realizacji Twoich praw, dokonuje ona. Otrzymane od Ciebie żądania przekażemy administratorowi i będziemy wspierać go w ich realizacji.

3. Jakie dane przetwarzamy jako administrator — cele i podstawy prawne

3.1. Osoby zakładające i obsługujące konto wypożyczalni

Podanie adresu e-mail i danych rozliczeniowych jest dobrowolne, ale niezbędne do zawarcia i wykonania umowy — bez nich nie założysz konta ani nie otrzymasz faktury.

3.2. Osoby odwiedzające stronę oraz widget rezerwacyjny

4. Dane powierzone nam przez wypożyczalnie (przetwarzane jako procesor)

W ramach świadczenia usługi przechowujemy i przetwarzamy w imieniu wypożyczalni następujące kategorie danych ich klientów końcowych:

O celach i podstawach prawnych przetwarzania tych danych decyduje wypożyczalnia jako administrator. My nie wykorzystujemy powierzonych danych do własnych celów — w szczególności nie prowadzimy na nich marketingu, nie sprzedajemy ich ani nie profilujemy na ich podstawie klientów końcowych.

5. Jak długo przechowujemy dane

6. Odbiorcy danych i podprocesorzy

Do świadczenia usługi korzystamy z niżej wymienionych dostawców infrastruktury. Wobec danych, których jesteśmy administratorem, są oni odbiorcami (podmiotami przetwarzającymi w naszym imieniu); wobec danych powierzonych nam przez wypożyczalnie działają jako dalsze podmioty przetwarzające (podprocesorzy) — zgodnie z art. 28 ust. 2 i 4 RODO.

PodmiotRola / zakresLokalizacja przetwarzania
Supabasebaza danych PostgreSQL, uwierzytelnianie (Auth), przechowywanie plików (Storage) — wszystkie dane Platformy, w tym zdjęcia i podpisyUnia Europejska (region projektu: UE)
Vercelhosting aplikacji i CDN — dane techniczne żądań (logi, adresy IP), przetwarzanie żądań aplikacjiUnia Europejska (funkcje serwerowe w regionie UE); infrastruktura brzegowa CDN może przetwarzać dane techniczne żądań globalnie
SMSAPI (SMSAPI sp. z o.o.)wysyłka wiadomości SMS do klientów końcowych wypożyczalni (numer telefonu odbiorcy, treść wiadomości)Polska / Unia Europejska
Stripe (Stripe Payments Europe, Ltd.)obsługa płatności za pakiety SMS (dane płatnicze, adres e-mail płacącego); Dostawca nie przechowuje danych kartIrlandia / UE; możliwy transfer do USA na podstawie standardowych klauzul umownych i EU–US Data Privacy Framework
Supabase Auth (e-mail)wysyłka systemowych wiadomości e-mail dotyczących konta (aktywacja, reset hasła)Unia Europejska

Ponadto odbiorcami danych mogą być: biuro rachunkowe obsługujące Dostawcę (dane rozliczeniowe), doradcy prawni oraz organy publiczne — wyłącznie gdy obowiązek udostępnienia wynika z przepisów prawa.

6.1. Przekazywanie danych poza EOG

Dane Platformy są przechowywane w Unii Europejskiej. Jeżeli w związku z korzystaniem z usług Vercel (CDN) lub Stripe (płatności) dochodzi do przekazania danych poza Europejski Obszar Gospodarczy (np. do USA), odbywa się ono na podstawie odpowiednich zabezpieczeń przewidzianych w rozdziale V RODO — standardowych klauzul umownych zatwierdzonych przez Komisję Europejską lub decyzji o adekwatności (EU–US Data Privacy Framework, jeżeli dostawca posiada aktywną certyfikację). Kopie stosowanych zabezpieczeń można uzyskać, kontaktując się z nami.

7. Twoje prawa

W zakresie, w jakim jesteśmy administratorem Twoich danych, przysługują Ci następujące prawa:

Aby skorzystać z powyższych praw, napisz na adres lukasz.r.czechowski@gmail.com. Odpowiadamy bez zbędnej zwłoki, najpóźniej w ciągu miesiąca.

Uwaga: jeżeli Twoje dane zostały wprowadzone do Platformy przez wypożyczalnię (jesteś jej klientem), powyższe żądania kieruj bezpośrednio do tej wypożyczalni jako administratora — my, na jej polecenie, technicznie wykonamy odpowiednie operacje na danych.

8. Pliki cookies i podobne technologie

Cookies można usunąć lub zablokować w ustawieniach przeglądarki — zablokowanie cookies niezbędnych uniemożliwi jednak zalogowanie się do panelu.

9. Bezpieczeństwo danych (art. 32 RODO)

Stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka, w szczególności:

W razie naruszenia ochrony danych osobowych postępujemy zgodnie z art. 33 i 34 RODO — w tym niezwłocznie (nie później niż w ciągu 24 godzin od stwierdzenia) informujemy wypożyczalnie o naruszeniach dotyczących danych powierzonych, zgodnie z umową powierzenia.

10. Zautomatyzowane podejmowanie decyzji i profilowanie

Nie podejmujemy wobec użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na nich wpływały (art. 22 RODO). Nie prowadzimy profilowania.

11. Zmiany polityki prywatności

Polityka może być aktualizowana, np. w związku ze zmianą przepisów, zakresu usług lub listy podprocesorów. O istotnych zmianach poinformujemy zarejestrowane wypożyczalnie e-mailem lub komunikatem w panelu, z odpowiednim wyprzedzeniem. Aktualna wersja jest zawsze dostępna pod adresem /polityka-prywatnosci, wraz z datą ostatniej aktualizacji.

Pytania dotyczące niniejszej polityki prosimy kierować na adres lukasz.r.czechowski@gmail.com.