Polityka Prywatności

Wersja 1.2 · Ostatnia aktualizacja:

Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych przez DEVSITY Bartłomiej Hudecki (dalej: „Administrator" lub „Operator") w ramach serwisu AutoLert.ai, sporządzona na podstawie Rozporządzenia (UE) 2016/679 (RODO).

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest: DEVSITY Bartłomiej Hudecki, jednoosobowa działalność gospodarcza (CEIDG), adres: Mordarka 509, 34-600 Limanowa, NIP: 7372210677, REGON: 367488827.

Kontakt w sprawach ochrony danych: kontakt@autolert.pl

Administrator nie powołał Inspektora Ochrony Danych (brak obowiązku per art. 37 RODO). Zapytania RODO kieruj na adres e-mail powyżej.

2. Jakie dane zbieramy i przetwarzamy

2.1 Dane konta (uwierzytelnianie Clerk)

Rejestracja i logowanie obsługiwane są przez dostawcę Clerk - poprzez e-mail i hasło albo logowanie zewnętrzne Google. Przetwarzamy: adres e-mail; nazwę wyświetlaną; identyfikator użytkownika; przy logowaniu Google - identyfikator Google i (jeśli publiczny) URL awatara. Haseł nie przechowujemy w postaci jawnej (obsługuje je Clerk).

2.2 Dane transakcyjne i płatnicze

Przechowujemy: identyfikator transakcji Przelewy24; kwotę i walutę; status płatności; datę transakcji; dane do faktury (w tym NIP nabywcy dla faktur B2B). Dane kart płatniczych nigdy nie trafiają na nasze serwery (obsługuje je PayPro SA).

2.3 Dane użytkowania

Wygenerowane Raporty AI; saldo raportów/kredytów; zapisane zgody.

2.4 Dane techniczne i logi

Identyfikator żądania; UUID Użytkownika (nie e-mail); endpoint, kod HTTP, czas. Nie logujemy treści żądań, e-maili ani danych płatniczych.

2.5 Dane z analizowanych ogłoszeń (na żądanie)

W celu wygenerowania Raportu AI pobieramy tymczasowo dane ogłoszenia (URL, tekst, zdjęcia, fakty o pojeździe). Zdjęcia nie są trwale przechowywane - analizowane wyłącznie w momencie generowania Raportu. Zasady dotyczące danych osobowych sprzedających opisuje sekcja 3.

3. Dane osób trzecich (sprzedających) z ogłoszeń

Analizując ogłoszenia, możemy przetwarzać dane osobowe sprzedających (np. imię, numer telefonu, lokalizacja, czasem VIN), pozyskane nie bezpośrednio od tych osób, lecz z publicznie dostępnych ogłoszeń.

  1. Podstawa prawna: prawnie uzasadniony interes Administratora i Użytkownika (art. 6 ust. 1 lit. f RODO) - realizacja zleconej przez Użytkownika analizy publicznego ogłoszenia. Przeprowadzamy test równowagi interesów.
  2. Obowiązek informacyjny (art. 14 RODO): dane pochodzą z publicznych ogłoszeń. W zakresie, w jakim bezpośrednie poinformowanie każdej osoby okazałoby się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, korzystamy z wyłączenia z art. 14 ust. 5 RODO; niniejsza sekcja pełni rolę informacji o przetwarzaniu.
  3. Minimalizacja i retencja: przetwarzamy tylko dane niezbędne do realizacji usługi; VIN i numery telefonu usuwamy po 30 dniach; przetwarzanie ograniczone do czasu realizacji Raportu.
  4. Brak profilowania sprzedających i brak wykorzystywania ich danych do innych celów (marketing, sprzedaż danych). Sprzedający może zwrócić się do nas na adres kontaktowy w celu realizacji praw.

4. Cele i podstawy prawne przetwarzania

CelKategoria danychPodstawa prawna (RODO)
Świadczenie usług (Konto, Raporty AI)Dane konta, użytkowaniaArt. 6 ust. 1 lit. b - wykonanie umowy
Obsługa płatności i fakturDane transakcyjne, fakturyArt. 6 ust. 1 lit. b i c - umowa + obowiązek prawny
Powiadomienia transakcyjne (raport gotowy, rachunki)Adres e-mailArt. 6 ust. 1 lit. b - wykonanie umowy (NIE marketing)
Analiza ogłoszeń - dane sprzedającychDane z ogłoszeń (sek. 3)Art. 6 ust. 1 lit. f - uzasadniony interes
Bezpieczeństwo, logi techniczneDane techniczne i logiArt. 6 ust. 1 lit. f - bezpieczeństwo
Analityka produktowa (PostHog, za zgodą)Zagregowane statystyki sesji/zdarzeń (bez PII)Art. 6 ust. 1 lit. a - zgoda
Marketing e-mail / newsletterAdres e-mailArt. 6 ust. 1 lit. a - zgoda (odwoływalna) + UŚUDE
Anonimizowane Raporty AI po usunięciu KontaZanonimizowane wyniki (bez PII)Art. 6 ust. 1 lit. f. Dane zanonimizowane ≠ dane osobowe.
Obrona przed roszczeniamiDane konta, transakcyjneArt. 6 ust. 1 lit. f - uzasadniony interes

Wymóg podania danych (art. 13 ust. 2 lit. e RODO): podanie danych konta i danych transakcyjnych jest wymogiem umownym - bez nich nie jest możliwe założenie Konta ani świadczenie usług odpłatnych. Podanie danych w celach marketingowych (newsletter) jest dobrowolne i nie warunkuje korzystania z usług.

5. Okresy przechowywania danych

Kategoria danychOkres retencjiPodstawa
Dane konta (e-mail, nazwa, ID)Do usunięcia Konta + 12 miesięcy (bufor)Bufor operacyjny i kopie zapasowe; dłuższe okresy wynikają z odrębnych podstaw (np. faktury - 5 lat)
Dane transakcyjne i faktury5 lat od końca roku podatkowegoUstawa o rachunkowości / Ordynacja podatkowa - ma pierwszeństwo nad prawem do usunięcia (art. 17 ust. 3 lit. b RODO)
Raporty AIDo usunięcia Konta; po usunięciu - anonimizacjaUzasadniony interes (poprawa usługi)
VIN i numery telefonu z ogłoszeń30 dniMinimalizacja danych (sek. 3)
Logi zgód (terms, marketing, natychmiastowe wykonanie)min. 3 lataRODO art. 7 - ciężar dowodu + przedawnienie roszczeń
Logi techniczne30 dniBezpieczeństwo - minimalizacja
Logi błędów (Sentry)90 dniDebugowanie i bezpieczeństwo
Logi e-mail (Resend)30 dniWeryfikacja dostarczalności

6. Odbiorcy danych i sub-procesory

Sub-procesorRolaLokalizacjaPodstawa transferu
Vercel Inc.Hosting frontendów + pliki (Vercel Blob: faktury, eksport RODO)USASCC / EU-US DPF
Railway Corp.Host bazy Postgres + Redis (backend)[DO POTWIERDZENIA US/EU]SCC (jeśli USA)
Cloudflare Inc.CDN, DNS, WAFGlobalnie; metadane do USASCC / EU-US DPF
Clerk Inc.Uwierzytelnianie, konta, sesjeUSASCC / EU-US DPF
Google LLCLogowanie Google (OAuth) - gdy wybrane przez UżytkownikaUSASCC / EU-US DPF
PayPro SA (Przelewy24)Operator płatności i kartPolska (EU)Umowa; prawo UE (PSD2)
OpenAI L.L.C.Modele AI do Raportów AI (LLM + Vision)USASCC. OpenAI nie trenuje modeli na danych API.
Jina AI GmbHPobieranie treści ogłoszeń (Reader)Niemcy (EOG)W EOG
Resend Inc.E-mail transakcyjny i powiadomieniaUSA/EUSCC
Functional Software Inc. (Sentry)Śledzenie błędów (PII-scrubbed)EU residency [DO POTWIERDZENIA]DPA / SCC
PostHog Inc.Analityka produktowa (za zgodą)USA / EU Cloud (Frankfurt)SCC / DPF
Allegro.pl sp. z o.o.API ofert (connector)Polska (EU)Regulamin API / umowa

Administrator nie sprzedaje danych Użytkowników osobom trzecim.

Źródła danych a procesorzy: Portale Zewnętrzne (w tym Allegro za pośrednictwem API ofert) są źródłami publicznie dostępnych danych ogłoszeń, a nie procesorami danych osobowych Użytkowników. Jina AI przetwarza wyłącznie treść ogłoszeń na zlecenie Administratora w celu wygenerowania Raportu.

7. Transfery danych poza EOG

Transfery poza Europejski Obszar Gospodarczy realizowane są z zabezpieczeniami:

  • Standardowe Klauzule Umowne (SCC) - Decyzja KE 2021/914 - stosowane w DPA z Vercel, Cloudflare, Clerk, Google, OpenAI, Resend, Railway (jeśli USA), PostHog Inc.
  • EU-US Data Privacy Framework (DPF) - tam, gdzie procesor jest certyfikowany.

Procesorzy w EOG (Jina AI - Niemcy, PayPro SA i Allegro - Polska) nie wymagają dodatkowej podstawy transferu. PostHog korzysta z EU Cloud (Frankfurt) - dane przetwarzane w EOG.

8. Twoje prawa w zakresie ochrony danych

  • Prawo dostępu (art. 15) - kopię przetwarzanych danych.
  • Prawo do sprostowania (art. 16).
  • Prawo do usunięcia (art. 17) - z wyjątkami (np. obowiązek przechowywania faktur 5 lat).
  • Prawo do ograniczenia (art. 18).
  • Prawo do przenoszenia (art. 20) - dane w formacie JSON/ZIP.
  • Prawo do sprzeciwu (art. 21) - wobec przetwarzania opartego na uzasadnionym interesie.
  • Prawo do cofnięcia zgody (art. 7 ust. 3) - np. marketing/newsletter; cofnięcie w ustawieniach lub linkiem w mailu.
  • Prawo skargi do PUODO - ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Kontakt RODO: kontakt@autolert.pl. Odpowiadamy w terminie 30 dni (możliwość przedłużenia o 2 miesiące).

Eksport danych konta (art. 20)

Na żądanie udostępniamy eksport (JSON/ZIP): dane konta, Raporty AI, historia transakcji i faktury. Dostępny w ustawieniach Konta lub na wniosek e-mail. Link ważny 7 dni.

9. Profilowanie i zautomatyzowane decyzje

  1. Raport AI jest automatyczną analizą, ale nie jest zautomatyzowanym podejmowaniem decyzji w rozumieniu art. 22 RODO - nie wywołuje skutków prawnych ani podobnie istotnych. Decyzja o zakupie należy wyłącznie do Użytkownika.
  2. Administrator nie profiluje Użytkowników w celach marketingowych bez zgody.
  3. Użytkownik może zwrócić się o wyjaśnienie wyników Raportu przez człowieka - kontakt@autolert.pl.

10. Bezpieczeństwo danych i naruszenia

Stosujemy m.in.:

  • szyfrowanie transmisji TLS/HTTPS;
  • szyfrowanie danych w spoczynku (at rest);
  • kontrolę dostępu i zasadę minimalizacji danych;
  • ciasteczka sesyjne z atrybutami HttpOnly, Secure, SameSite;
  • monitorowanie anomalii (Sentry, PII-scrubbed).

Naruszenia: w przypadku naruszenia ochrony danych powodującego ryzyko dla praw i wolności osób Administrator zawiadamia PUODO w terminie 72 godzin (art. 33 RODO), a przy wysokim ryzyku - również osoby, których dane dotyczą (art. 34 RODO).

11. Pliki cookies

Szczegółowe informacje zawiera Polityka Cookies.

12. Ograniczenia wiekowe

Serwis przeznaczony jest dla osób, które ukończyły 18 lat. Zgody, których podstawą jest art. 6 ust. 1 lit. a RODO, mogą być wyrażone wyłącznie przez osoby, które ukończyły 16 lat. Nie zbieramy świadomie danych osób poniżej tych granic; w razie powzięcia takiej informacji dane usuwamy niezwłocznie.

13. Zmiany Polityki Prywatności

O istotnych zmianach informujemy z co najmniej 14-dniowym wyprzedzeniem e-mailem i powiadomieniem w Serwisie. Aktualna wersja: autolert.pl/polityka-prywatnosci.

14. Kontakt