Wersja z dnia 7 lipca 2026 r.
Polityka prywatności
platformy CarsLine — systemu do zarządzania wypożyczalnią sprzętu samochodowego (boxy dachowe, bagażniki bazowe, uchwyty rowerowe, akcesoria montażowe)
1. Kim jesteśmy i czego dotyczy ten dokument
Platforma CarsLine (dalej: „Platforma”) jest usługą świadczoną drogą elektroniczną w modelu SaaS, przeznaczoną dla przedsiębiorców prowadzących wypożyczalnie sprzętu samochodowego. Dostawcą Platformy jest BH-Wandex Jarosław Czechowski, NIP: PL5251917081, adres: ul. Ciołka 8/210 01-402 Warszawa (dalej: „my”, „CarsLine” lub „Dostawca”).
Kontakt we wszystkich sprawach dotyczących danych osobowych: lukasz.r.czechowski@gmail.com. Inspektor ochrony danych nie został wyznaczony.
Niniejsza polityka opisuje, w jaki sposób przetwarzamy dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO”) oraz ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Dotyczy ona strony internetowej CarsLine, panelu administracyjnego dla wypożyczalni oraz osadzanego widgetu rezerwacyjnego (moduł „embed”).
2. Dwie role: kiedy jesteśmy administratorem, a kiedy procesorem
Platforma jest wielodostępna (multi-tenant) — korzysta z niej wiele niezależnych wypożyczalni. Z tego powodu nasza rola w rozumieniu RODO zależy od tego, czyje dane są przetwarzane:
2.1. CarsLine jako administrator danych osobowych
Jesteśmy administratorem w rozumieniu art. 4 pkt 7 RODO wyłącznie w odniesieniu do:
- danych kont wypożyczalni — czyli danych osób, które rejestrują i obsługują konto swojej firmy na Platformie (adres e-mail służący do logowania, dane uwierzytelniające, dane rozliczeniowe związane z abonamentem),
- danych osób odwiedzających stronę internetową CarsLine oraz danych technicznych związanych z wyświetleniem widgetu rezerwacyjnego (logi, adres IP — patrz sekcja 4),
- danych osób kontaktujących się z nami (np. e-mailem w sprawie oferty lub wsparcia technicznego).
2.2. CarsLine jako podmiot przetwarzający (procesor)
Administratorem danych klientów końcowych wypożyczalni (osób rezerwujących i wypożyczających sprzęt) jest wypożyczalnia, która korzysta z Platformy. My przetwarzamy te dane wyłącznie w jej imieniu i na jej udokumentowane polecenie, jako podmiot przetwarzający w rozumieniu art. 28 RODO. Zasady tego powierzenia reguluje Umowa powierzenia przetwarzania danych osobowych, zawierana z każdą wypożyczalnią.
Jeżeli jesteś klientem wypożyczalni (np. dokonujesz rezerwacji boxu dachowego przez widget na jej stronie), administratorem Twoich danych jest ta wypożyczalnia — informacji o przetwarzaniu Twoich danych, a także realizacji Twoich praw, dokonuje ona. Otrzymane od Ciebie żądania przekażemy administratorowi i będziemy wspierać go w ich realizacji.
3. Jakie dane przetwarzamy jako administrator — cele i podstawy prawne
3.1. Osoby zakładające i obsługujące konto wypożyczalni
- Rejestracja i logowanie — adres e-mail oraz hasło (przechowywane wyłącznie w formie kryptograficznego skrótu w usłudze Supabase Auth). Podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usługi drogą elektroniczną).
- Rozliczenia abonamentu — dane rozliczeniowe firmy (nazwa, NIP, adres, dane niezbędne do wystawienia faktury). Podstawa: art. 6 ust. 1 lit. b RODO (rozliczenie umowy) oraz art. 6 ust. 1 lit. c RODO (obowiązki podatkowe i rachunkowe).
- Komunikacja serwisowa — powiadomienia o zmianach w usłudze, awariach, bezpieczeństwie konta. Podstawa: art. 6 ust. 1 lit. b RODO oraz nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) polegający na utrzymaniu prawidłowego działania usługi.
- Ustalenie, dochodzenie lub obrona roszczeń — podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes).
Podanie adresu e-mail i danych rozliczeniowych jest dobrowolne, ale niezbędne do zawarcia i wykonania umowy — bez nich nie założysz konta ani nie otrzymasz faktury.
3.2. Osoby odwiedzające stronę oraz widget rezerwacyjny
- Logi techniczne — adres IP, data i godzina żądania, adres URL, identyfikator przeglądarki (user-agent), zbierane automatycznie przez infrastrukturę hostingową (Vercel). Cel: zapewnienie bezpieczeństwa, wykrywanie nadużyć, diagnostyka błędów. Podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — bezpieczeństwo i utrzymanie usługi).
- Dane wpisywane w widgecie rezerwacyjnym (imię i nazwisko, dane kontaktowe, dane rezerwacji) — trafiają do wypożyczalni, na której stronie widget jest osadzony. Ich administratorem jest ta wypożyczalnia (patrz sekcja 2.2), a my przetwarzamy je jako procesor.
4. Dane powierzone nam przez wypożyczalnie (przetwarzane jako procesor)
W ramach świadczenia usługi przechowujemy i przetwarzamy w imieniu wypożyczalni następujące kategorie danych ich klientów końcowych:
- dane identyfikacyjne i kontaktowe klienta — imię i nazwisko, adres e-mail, numer telefonu, adres oraz rodzaj dokumentu tożsamości wraz z jego zredagowaną (częściowo zamaskowaną) formą — Platforma nie przechowuje pełnych numerów dokumentów tożsamości,
- dane pojazdów klienta — marka, model i parametry pojazdu, na którym montowany jest wypożyczany sprzęt,
- dane rezerwacji — w tym utrwalony na moment rezerwacji opis pojazdu i sprzętu (tzw. snapshot),
- podpis odręczny składany przy wydaniu lub zwrocie sprzętu (zapis graficzny podpisu) wraz z adresem IP urządzenia i znacznikiem czasu jego złożenia — dane te służą wypożyczalni do wykazania zawarcia i wykonania umowy najmu,
- zdjęcia sprzętu i dokumentacja fotograficzna rezerwacji (np. stan sprzętu przy wydaniu i zwrocie) przechowywane w usłudze Storage.
O celach i podstawach prawnych przetwarzania tych danych decyduje wypożyczalnia jako administrator. My nie wykorzystujemy powierzonych danych do własnych celów — w szczególności nie prowadzimy na nich marketingu, nie sprzedajemy ich ani nie profilujemy na ich podstawie klientów końcowych.
5. Jak długo przechowujemy dane
- Dane konta wypożyczalni — przez czas trwania umowy o korzystanie z Platformy, a po jej zakończeniu przez 90 dni w celu umożliwienia odzyskania konta i eksportu danych, chyba że przepisy wymagają dłuższego okresu.
- Dane rozliczeniowe (faktury) — przez 5 lat od końca roku podatkowego, w którym powstał obowiązek podatkowy (przepisy podatkowe i rachunkowe).
- Logi techniczne — przez 90 dni, po czym są usuwane lub anonimizowane.
- Dane powierzone (klienci końcowi wypożyczalni) — przez czas świadczenia usługi na rzecz danej wypożyczalni; po zakończeniu umowy dane są zwracane lub trwale usuwane zgodnie z umową powierzenia. O okresie przechowywania tych danych w trakcie trwania usługi decyduje wypożyczalnia.
- Dane związane z roszczeniami — do upływu okresów przedawnienia wynikających z przepisów prawa.
6. Odbiorcy danych i podprocesorzy
Do świadczenia usługi korzystamy z niżej wymienionych dostawców infrastruktury. Wobec danych, których jesteśmy administratorem, są oni odbiorcami (podmiotami przetwarzającymi w naszym imieniu); wobec danych powierzonych nam przez wypożyczalnie działają jako dalsze podmioty przetwarzające (podprocesorzy) — zgodnie z art. 28 ust. 2 i 4 RODO.
| Podmiot | Rola / zakres | Lokalizacja przetwarzania |
|---|---|---|
| Supabase | baza danych PostgreSQL, uwierzytelnianie (Auth), przechowywanie plików (Storage) — wszystkie dane Platformy, w tym zdjęcia i podpisy | Unia Europejska (region projektu: UE) |
| Vercel | hosting aplikacji i CDN — dane techniczne żądań (logi, adresy IP), przetwarzanie żądań aplikacji | Unia Europejska (funkcje serwerowe w regionie UE); infrastruktura brzegowa CDN może przetwarzać dane techniczne żądań globalnie |
| SMSAPI (SMSAPI sp. z o.o.) | wysyłka wiadomości SMS do klientów końcowych wypożyczalni (numer telefonu odbiorcy, treść wiadomości) | Polska / Unia Europejska |
| Stripe (Stripe Payments Europe, Ltd.) | obsługa płatności za pakiety SMS (dane płatnicze, adres e-mail płacącego); Dostawca nie przechowuje danych kart | Irlandia / UE; możliwy transfer do USA na podstawie standardowych klauzul umownych i EU–US Data Privacy Framework |
| Supabase Auth (e-mail) | wysyłka systemowych wiadomości e-mail dotyczących konta (aktywacja, reset hasła) | Unia Europejska |
Ponadto odbiorcami danych mogą być: biuro rachunkowe obsługujące Dostawcę (dane rozliczeniowe), doradcy prawni oraz organy publiczne — wyłącznie gdy obowiązek udostępnienia wynika z przepisów prawa.
6.1. Przekazywanie danych poza EOG
Dane Platformy są przechowywane w Unii Europejskiej. Jeżeli w związku z korzystaniem z usług Vercel (CDN) lub Stripe (płatności) dochodzi do przekazania danych poza Europejski Obszar Gospodarczy (np. do USA), odbywa się ono na podstawie odpowiednich zabezpieczeń przewidzianych w rozdziale V RODO — standardowych klauzul umownych zatwierdzonych przez Komisję Europejską lub decyzji o adekwatności (EU–US Data Privacy Framework, jeżeli dostawca posiada aktywną certyfikację). Kopie stosowanych zabezpieczeń można uzyskać, kontaktując się z nami.
7. Twoje prawa
W zakresie, w jakim jesteśmy administratorem Twoich danych, przysługują Ci następujące prawa:
- prawo dostępu do danych oraz otrzymania ich kopii (art. 15 RODO),
- prawo do sprostowania danych (art. 16 RODO),
- prawo do usunięcia danych (art. 17 RODO),
- prawo do ograniczenia przetwarzania (art. 18 RODO),
- prawo do przenoszenia danych — w zakresie danych przetwarzanych na podstawie umowy lub zgody, w sposób zautomatyzowany (art. 20 RODO),
- prawo sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21 RODO),
- prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa (uodo.gov.pl).
Aby skorzystać z powyższych praw, napisz na adres lukasz.r.czechowski@gmail.com. Odpowiadamy bez zbędnej zwłoki, najpóźniej w ciągu miesiąca.
Uwaga: jeżeli Twoje dane zostały wprowadzone do Platformy przez wypożyczalnię (jesteś jej klientem), powyższe żądania kieruj bezpośrednio do tej wypożyczalni jako administratora — my, na jej polecenie, technicznie wykonamy odpowiednie operacje na danych.
8. Pliki cookies i podobne technologie
- Cookies niezbędne (sesja logowania) — Platforma wykorzystuje pliki cookies usługi Supabase Auth do utrzymania bezpiecznej sesji zalogowanego użytkownika panelu wypożyczalni. Cookies te są niezbędne do świadczenia usługi żądanej przez użytkownika i nie wymagają zgody (art. 399 ust. 3 ustawy z dnia 12 lipca 2024 r. — Prawo komunikacji elektronicznej). Są usuwane lub wygasają po zakończeniu sesji albo wylogowaniu.
- Analityka — nie stosujemy narzędzi analitycznych osób trzecich śledzących użytkowników ani cookies analitycznych.
- Cookies marketingowe — nie stosujemy. Nie wyświetlamy reklam ani nie udostępniamy danych sieciom reklamowym.
Cookies można usunąć lub zablokować w ustawieniach przeglądarki — zablokowanie cookies niezbędnych uniemożliwi jednak zalogowanie się do panelu.
9. Bezpieczeństwo danych (art. 32 RODO)
Stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka, w szczególności:
- izolację danych między wypożyczalniami (multi-tenant) — reguły Row Level Security (RLS) na poziomie bazy danych PostgreSQL gwarantują, że każda wypożyczalnia ma dostęp wyłącznie do własnych danych,
- szyfrowanie transmisji — cała komunikacja z Platformą odbywa się wyłącznie po protokole HTTPS/TLS,
- szyfrowanie danych w spoczynku po stronie dostawców infrastruktury (Supabase, Vercel),
- kontrolę dostępu — uwierzytelnianie kont przez Supabase Auth, hasła przechowywane wyłącznie w postaci kryptograficznych skrótów, rozdzielenie uprawnień ról w aplikacji,
- minimalizację danych — dane dokumentów tożsamości klientów końcowych przechowywane są wyłącznie w formie zredagowanej (częściowo zamaskowanej), bez pełnych numerów dokumentów,
- kontrolowany dostęp do plików — zdjęcia i podpisy przechowywane w Storage są dostępne wyłącznie w ramach uprawnień danej wypożyczalni,
- kopie zapasowe bazy danych realizowane przez dostawcę infrastruktury.
W razie naruszenia ochrony danych osobowych postępujemy zgodnie z art. 33 i 34 RODO — w tym niezwłocznie (nie później niż w ciągu 24 godzin od stwierdzenia) informujemy wypożyczalnie o naruszeniach dotyczących danych powierzonych, zgodnie z umową powierzenia.
10. Zautomatyzowane podejmowanie decyzji i profilowanie
Nie podejmujemy wobec użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na nich wpływały (art. 22 RODO). Nie prowadzimy profilowania.
11. Zmiany polityki prywatności
Polityka może być aktualizowana, np. w związku ze zmianą przepisów, zakresu usług lub listy podprocesorów. O istotnych zmianach poinformujemy zarejestrowane wypożyczalnie e-mailem lub komunikatem w panelu, z odpowiednim wyprzedzeniem. Aktualna wersja jest zawsze dostępna pod adresem /polityka-prywatnosci, wraz z datą ostatniej aktualizacji.
Pytania dotyczące niniejszej polityki prosimy kierować na adres lukasz.r.czechowski@gmail.com.