Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych przez DEVSITY Bartłomiej Hudecki (dalej: „Administrator" lub „Operator") w ramach serwisu AutoLert.ai, sporządzona na podstawie Rozporządzenia (UE) 2016/679 (RODO).
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest: DEVSITY Bartłomiej Hudecki, jednoosobowa działalność gospodarcza (CEIDG), adres: Mordarka 509, 34-600 Limanowa, NIP: 7372210677, REGON: 367488827.
Kontakt w sprawach ochrony danych: kontakt@autolert.pl
Administrator nie powołał Inspektora Ochrony Danych (brak obowiązku per art. 37 RODO). Zapytania RODO kieruj na adres e-mail powyżej.
2. Jakie dane zbieramy i przetwarzamy
2.1 Dane konta (uwierzytelnianie Clerk)
Rejestracja i logowanie obsługiwane są przez dostawcę Clerk - poprzez e-mail i hasło albo logowanie zewnętrzne Google. Przetwarzamy: adres e-mail; nazwę wyświetlaną; identyfikator użytkownika; przy logowaniu Google - identyfikator Google i (jeśli publiczny) URL awatara. Haseł nie przechowujemy w postaci jawnej (obsługuje je Clerk).
2.2 Dane transakcyjne i płatnicze
Przechowujemy: identyfikator transakcji Przelewy24; kwotę i walutę; status płatności; datę transakcji; dane do faktury (w tym NIP nabywcy dla faktur B2B). Dane kart płatniczych nigdy nie trafiają na nasze serwery (obsługuje je PayPro SA).
2.3 Dane użytkowania
Wygenerowane Raporty AI; saldo raportów/kredytów; zapisane zgody.
2.4 Dane techniczne i logi
Identyfikator żądania; UUID Użytkownika (nie e-mail); endpoint, kod HTTP, czas. Nie logujemy treści żądań, e-maili ani danych płatniczych.
2.5 Dane z analizowanych ogłoszeń (na żądanie)
W celu wygenerowania Raportu AI pobieramy tymczasowo dane ogłoszenia (URL, tekst, zdjęcia, fakty o pojeździe). Zdjęcia nie są trwale przechowywane - analizowane wyłącznie w momencie generowania Raportu. Zasady dotyczące danych osobowych sprzedających opisuje sekcja 3.
3. Dane osób trzecich (sprzedających) z ogłoszeń
Analizując ogłoszenia, możemy przetwarzać dane osobowe sprzedających (np. imię, numer telefonu, lokalizacja, czasem VIN), pozyskane nie bezpośrednio od tych osób, lecz z publicznie dostępnych ogłoszeń.
- Podstawa prawna: prawnie uzasadniony interes Administratora i Użytkownika (art. 6 ust. 1 lit. f RODO) - realizacja zleconej przez Użytkownika analizy publicznego ogłoszenia. Przeprowadzamy test równowagi interesów.
- Obowiązek informacyjny (art. 14 RODO): dane pochodzą z publicznych ogłoszeń. W zakresie, w jakim bezpośrednie poinformowanie każdej osoby okazałoby się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, korzystamy z wyłączenia z art. 14 ust. 5 RODO; niniejsza sekcja pełni rolę informacji o przetwarzaniu.
- Minimalizacja i retencja: przetwarzamy tylko dane niezbędne do realizacji usługi; VIN i numery telefonu usuwamy po 30 dniach; przetwarzanie ograniczone do czasu realizacji Raportu.
- Brak profilowania sprzedających i brak wykorzystywania ich danych do innych celów (marketing, sprzedaż danych). Sprzedający może zwrócić się do nas na adres kontaktowy w celu realizacji praw.
4. Cele i podstawy prawne przetwarzania
| Cel | Kategoria danych | Podstawa prawna (RODO) |
|---|---|---|
| Świadczenie usług (Konto, Raporty AI) | Dane konta, użytkowania | Art. 6 ust. 1 lit. b - wykonanie umowy |
| Obsługa płatności i faktur | Dane transakcyjne, faktury | Art. 6 ust. 1 lit. b i c - umowa + obowiązek prawny |
| Powiadomienia transakcyjne (raport gotowy, rachunki) | Adres e-mail | Art. 6 ust. 1 lit. b - wykonanie umowy (NIE marketing) |
| Analiza ogłoszeń - dane sprzedających | Dane z ogłoszeń (sek. 3) | Art. 6 ust. 1 lit. f - uzasadniony interes |
| Bezpieczeństwo, logi techniczne | Dane techniczne i logi | Art. 6 ust. 1 lit. f - bezpieczeństwo |
| Analityka produktowa (PostHog, za zgodą) | Zagregowane statystyki sesji/zdarzeń (bez PII) | Art. 6 ust. 1 lit. a - zgoda |
| Marketing e-mail / newsletter | Adres e-mail | Art. 6 ust. 1 lit. a - zgoda (odwoływalna) + UŚUDE |
| Anonimizowane Raporty AI po usunięciu Konta | Zanonimizowane wyniki (bez PII) | Art. 6 ust. 1 lit. f. Dane zanonimizowane ≠ dane osobowe. |
| Obrona przed roszczeniami | Dane konta, transakcyjne | Art. 6 ust. 1 lit. f - uzasadniony interes |
Wymóg podania danych (art. 13 ust. 2 lit. e RODO): podanie danych konta i danych transakcyjnych jest wymogiem umownym - bez nich nie jest możliwe założenie Konta ani świadczenie usług odpłatnych. Podanie danych w celach marketingowych (newsletter) jest dobrowolne i nie warunkuje korzystania z usług.
5. Okresy przechowywania danych
| Kategoria danych | Okres retencji | Podstawa |
|---|---|---|
| Dane konta (e-mail, nazwa, ID) | Do usunięcia Konta + 12 miesięcy (bufor) | Bufor operacyjny i kopie zapasowe; dłuższe okresy wynikają z odrębnych podstaw (np. faktury - 5 lat) |
| Dane transakcyjne i faktury | 5 lat od końca roku podatkowego | Ustawa o rachunkowości / Ordynacja podatkowa - ma pierwszeństwo nad prawem do usunięcia (art. 17 ust. 3 lit. b RODO) |
| Raporty AI | Do usunięcia Konta; po usunięciu - anonimizacja | Uzasadniony interes (poprawa usługi) |
| VIN i numery telefonu z ogłoszeń | 30 dni | Minimalizacja danych (sek. 3) |
| Logi zgód (terms, marketing, natychmiastowe wykonanie) | min. 3 lata | RODO art. 7 - ciężar dowodu + przedawnienie roszczeń |
| Logi techniczne | 30 dni | Bezpieczeństwo - minimalizacja |
| Logi błędów (Sentry) | 90 dni | Debugowanie i bezpieczeństwo |
| Logi e-mail (Resend) | 30 dni | Weryfikacja dostarczalności |
6. Odbiorcy danych i sub-procesory
| Sub-procesor | Rola | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| Vercel Inc. | Hosting frontendów + pliki (Vercel Blob: faktury, eksport RODO) | USA | SCC / EU-US DPF |
| Railway Corp. | Host bazy Postgres + Redis (backend) | [DO POTWIERDZENIA US/EU] | SCC (jeśli USA) |
| Cloudflare Inc. | CDN, DNS, WAF | Globalnie; metadane do USA | SCC / EU-US DPF |
| Clerk Inc. | Uwierzytelnianie, konta, sesje | USA | SCC / EU-US DPF |
| Google LLC | Logowanie Google (OAuth) - gdy wybrane przez Użytkownika | USA | SCC / EU-US DPF |
| PayPro SA (Przelewy24) | Operator płatności i kart | Polska (EU) | Umowa; prawo UE (PSD2) |
| OpenAI L.L.C. | Modele AI do Raportów AI (LLM + Vision) | USA | SCC. OpenAI nie trenuje modeli na danych API. |
| Jina AI GmbH | Pobieranie treści ogłoszeń (Reader) | Niemcy (EOG) | W EOG |
| Resend Inc. | E-mail transakcyjny i powiadomienia | USA/EU | SCC |
| Functional Software Inc. (Sentry) | Śledzenie błędów (PII-scrubbed) | EU residency [DO POTWIERDZENIA] | DPA / SCC |
| PostHog Inc. | Analityka produktowa (za zgodą) | USA / EU Cloud (Frankfurt) | SCC / DPF |
| Allegro.pl sp. z o.o. | API ofert (connector) | Polska (EU) | Regulamin API / umowa |
Administrator nie sprzedaje danych Użytkowników osobom trzecim.
Źródła danych a procesorzy: Portale Zewnętrzne (w tym Allegro za pośrednictwem API ofert) są źródłami publicznie dostępnych danych ogłoszeń, a nie procesorami danych osobowych Użytkowników. Jina AI przetwarza wyłącznie treść ogłoszeń na zlecenie Administratora w celu wygenerowania Raportu.
7. Transfery danych poza EOG
Transfery poza Europejski Obszar Gospodarczy realizowane są z zabezpieczeniami:
- Standardowe Klauzule Umowne (SCC) - Decyzja KE 2021/914 - stosowane w DPA z Vercel, Cloudflare, Clerk, Google, OpenAI, Resend, Railway (jeśli USA), PostHog Inc.
- EU-US Data Privacy Framework (DPF) - tam, gdzie procesor jest certyfikowany.
Procesorzy w EOG (Jina AI - Niemcy, PayPro SA i Allegro - Polska) nie wymagają dodatkowej podstawy transferu. PostHog korzysta z EU Cloud (Frankfurt) - dane przetwarzane w EOG.
8. Twoje prawa w zakresie ochrony danych
- Prawo dostępu (art. 15) - kopię przetwarzanych danych.
- Prawo do sprostowania (art. 16).
- Prawo do usunięcia (art. 17) - z wyjątkami (np. obowiązek przechowywania faktur 5 lat).
- Prawo do ograniczenia (art. 18).
- Prawo do przenoszenia (art. 20) - dane w formacie JSON/ZIP.
- Prawo do sprzeciwu (art. 21) - wobec przetwarzania opartego na uzasadnionym interesie.
- Prawo do cofnięcia zgody (art. 7 ust. 3) - np. marketing/newsletter; cofnięcie w ustawieniach lub linkiem w mailu.
- Prawo skargi do PUODO - ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
Kontakt RODO: kontakt@autolert.pl. Odpowiadamy w terminie 30 dni (możliwość przedłużenia o 2 miesiące).
Eksport danych konta (art. 20)
Na żądanie udostępniamy eksport (JSON/ZIP): dane konta, Raporty AI, historia transakcji i faktury. Dostępny w ustawieniach Konta lub na wniosek e-mail. Link ważny 7 dni.
9. Profilowanie i zautomatyzowane decyzje
- Raport AI jest automatyczną analizą, ale nie jest zautomatyzowanym podejmowaniem decyzji w rozumieniu art. 22 RODO - nie wywołuje skutków prawnych ani podobnie istotnych. Decyzja o zakupie należy wyłącznie do Użytkownika.
- Administrator nie profiluje Użytkowników w celach marketingowych bez zgody.
- Użytkownik może zwrócić się o wyjaśnienie wyników Raportu przez człowieka - kontakt@autolert.pl.
10. Bezpieczeństwo danych i naruszenia
Stosujemy m.in.:
- szyfrowanie transmisji TLS/HTTPS;
- szyfrowanie danych w spoczynku (at rest);
- kontrolę dostępu i zasadę minimalizacji danych;
- ciasteczka sesyjne z atrybutami HttpOnly, Secure, SameSite;
- monitorowanie anomalii (Sentry, PII-scrubbed).
Naruszenia: w przypadku naruszenia ochrony danych powodującego ryzyko dla praw i wolności osób Administrator zawiadamia PUODO w terminie 72 godzin (art. 33 RODO), a przy wysokim ryzyku - również osoby, których dane dotyczą (art. 34 RODO).
11. Pliki cookies
Szczegółowe informacje zawiera Polityka Cookies.
12. Ograniczenia wiekowe
Serwis przeznaczony jest dla osób, które ukończyły 18 lat. Zgody, których podstawą jest art. 6 ust. 1 lit. a RODO, mogą być wyrażone wyłącznie przez osoby, które ukończyły 16 lat. Nie zbieramy świadomie danych osób poniżej tych granic; w razie powzięcia takiej informacji dane usuwamy niezwłocznie.
13. Zmiany Polityki Prywatności
O istotnych zmianach informujemy z co najmniej 14-dniowym wyprzedzeniem e-mailem i powiadomieniem w Serwisie. Aktualna wersja: autolert.pl/polityka-prywatnosci.
14. Kontakt
- E-mail: kontakt@autolert.pl
- Formularz: autolert.pl/kontakt
- Adres: DEVSITY Bartłomiej Hudecki, Mordarka 509, 34-600 Limanowa
