Polityka Prywatności anyway.rent
Wersja 1.1 — data wejścia w życie: 2026-06-21
§1. Postanowienia ogólne
- Niniejsza Polityka Prywatności (dalej „Polityka”) określa zasady przetwarzania danych osobowych Najemców i osób korzystających ze strony internetowej Wynajmującego w związku z usługami krótkoterminowego najmu motocykli świadczonymi pod marką anyway.rent.
- Polityka stanowi realizację obowiązku informacyjnego z art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”).
- Polityka jest udostępniana Najemcy w formularzu rezerwacji przed zawarciem Umowy Najmu i jest akceptowana odrębnym oświadczeniem (osobne pole akceptacji obok akceptacji Regulaminu).
- Pojęcia pisane wielką literą i niezdefiniowane w Polityce mają znaczenie nadane im w Regulaminie świadczenia usług anyway.rent.
§2. Administrator danych osobowych
-
Administratorem danych osobowych jest Marcin Kasprowicz, prowadzący jednoosobową działalność gospodarczą wpisaną do CEIDG, posługujący się w obrocie nazwą handlową anyway.rent:
- NIP: 9212000334,
- adres siedziby: Aleja Pokoju 81B/62, 31-564 Kraków,
- punkt odbioru / garaż: Sołtysowska 37, 31-589 Kraków,
- e-mail kontaktowy w sprawach ochrony danych: marcin@anywayrent.pl,
- telefon: +48 789 773 558.
- Wszelkie zapytania, wnioski i sprzeciwy dotyczące przetwarzania danych osobowych Najemca może kierować pisemnie na adres siedziby albo elektronicznie na adres e-mail wskazany w ust. 1 pkt 4.
- Administrator nie powołał Inspektora Ochrony Danych (IOD) — nie istnieje obowiązek prawny powołania IOD wynikający z art. 37 RODO, a skala i charakter przetwarzania nie wymagają stałego nadzoru.
§3. Kategorie przetwarzanych danych
W związku z procesem rezerwacji, zawarcia i wykonania Umowy Najmu Administrator przetwarza następujące kategorie danych osobowych Najemcy:
- Dane identyfikacyjne: imię, nazwisko, PESEL, numer i kategoria prawa jazdy (kat. A), adres zamieszkania, data urodzenia. Dokument tożsamości ze zdjęciem (dowód osobisty albo paszport) jest okazywany wyłącznie do wglądu przy odbiorze Pojazdu — w celu weryfikacji tożsamości, bez wykonywania skanów, fotokopii ani zapisywania jego numeru. Spośród danych dokumentowych w bazie danych oraz w Umowie zapisywane są wyłącznie PESEL i numer prawa jazdy (przechowywane w postaci zaszyfrowanej — §12 ust. 2).
- Dane kontaktowe: adres e-mail, numer telefonu.
- Dane płatnicze: dane karty płatniczej, numer rachunku bankowego (IBAN) podany dla zwrotu Kaucji, historie transakcji w systemie Operatora Płatności. Pełne dane karty płatniczej (PAN, CVV) nigdy nie są przetwarzane ani przechowywane przez Administratora — przetwarzane są wyłącznie przez Operatora Płatności (Stripe) w sposób zgodny ze standardem PCI DSS.
- Dane lokalizacyjne (GPS): dane geolokalizacyjne Pojazdu rejestrowane w okresie najmu przez urządzenie telematyczne Teltonika FMC880 zainstalowane w Pojeździe (współrzędne GPS, prędkość, zdarzenia akcelerometryczne, znaczniki geofencing). Dane lokalizacyjne nie identyfikują Najemcy bezpośrednio, ale w połączeniu z Umową umożliwiają pośrednie powiązanie z Najemcą — dlatego są traktowane jako dane osobowe Najemcy w okresie obowiązywania Umowy.
- Dane z PZO (Protokół Zdawczo-Odbiorczy): dokumentacja fotograficzna stanu Pojazdu przy wydaniu i zwrocie, podpis Najemcy w formie elektronicznej, opisy stanu, ewentualne zastrzeżenia.
- Dane korespondencyjne: treść korespondencji elektronicznej z Najemcą (e-mail, SMS), zgłoszenia reklamacyjne, treść rozmów telefonicznych w zakresie obejmującym ustalenia operacyjne (Administrator nie nagrywa rozmów telefonicznych).
- Dane techniczne strony internetowej: adres IP, typ przeglądarki, system operacyjny, dane sesji formularza rezerwacji (włącznie z czasem, wersją Regulaminu i Polityki zaakceptowanymi przez Najemcę).
- Beztokenowe statystyki pierwszej strony: zagregowane zdarzenia odwiedzin i konwersji oraz pochodny, dzienny identyfikator odwiedzającego wyliczany po stronie serwera z adresu IP i typu przeglądarki (samego adresu IP nie przechowuje się), rotowany co 24 h i niepozwalający na łączenie wizyt między dniami. Pomiar nie wykorzystuje plików cookie ani pamięci przeglądarki i odbywa się wyłącznie w systemach Administratora (dane nie są udostępniane podmiotom trzecim).
-
Dane zdarzeń marketingowych (Meta Conversions API): zdarzenia odwiedzin i konwersji przekazywane do Meta po stronie serwera (Conversions API) na potrzeby pomiaru skuteczności reklam i remarketingu, wraz z danymi technicznymi służącymi dopasowaniu (adres IP, typ przeglądarki) oraz — jeśli są dostępne — zahaszowanym (SHA-256) adresem e-mail lub numerem telefonu. Pomiar nie zapisuje ani nie odczytuje plików cookie (
_fbp,_fbc) ani pamięci przeglądarki — nie ma piksela ładowanego w przeglądarce Najemcy. -
Beztokenowe dane pomiarowe Google Analytics 4: zdarzenia odwiedzin i konwersji oraz dane techniczne (adres IP, typ urządzenia i przeglądarki, przybliżona lokalizacja na poziomie kraju/regionu, adres odwiedzanej strony) przekazywane do Google w trybie beztokenowym (Google Consent Mode z domyślnym ustawieniem „denied”). Pomiar nie zapisuje ani nie odczytuje plików cookie (
_ga,_gid) ani pamięci przeglądarki — Google otrzymuje wyłącznie zagregowane, modelowane sygnały służące do pomiaru ruchu i skuteczności reklam, bez identyfikatorów trwałych po stronie urządzenia Najemcy.
Administrator nie przetwarza szczególnych kategorii danych w rozumieniu art. 9 RODO (m.in. danych dotyczących zdrowia, biometrycznych, dotyczących pochodzenia rasowego lub etnicznego).
§4. Cele i podstawy prawne przetwarzania
| # | Cel przetwarzania | Kategorie danych (§3) | Podstawa prawna | Okres przechowywania |
|---|---|---|---|---|
| 1 | Zawarcie i wykonanie Umowy Najmu (rezerwacja, weryfikacja CEPiK, wydanie, zwrot, rozliczenie) | 1, 2, 3, 5, 6 | art. 6 ust. 1 lit. b RODO (wykonanie umowy) | 6 lat od zakończenia Umowy — okres przedawnienia roszczeń (art. 118 KC) |
| 2 | Wystawienie i przechowywanie dokumentów księgowych (faktury, ewidencje, deklaracje) | 1, 2, 3 | art. 6 ust. 1 lit. c RODO (obowiązek prawny — Ordynacja podatkowa, ustawa o VAT) | 5 lat od końca roku obrotowego |
| 3 | Monitorowanie Pojazdu i ochrona przed kradzieżą / przywłaszczeniem | 4 | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora — ochrona Pojazdu o znacznej wartości) | 30 dni po zwrocie Pojazdu; dłużej wyłącznie w razie aktywnego postępowania (kradzież, spór, likwidacja szkody) |
| 4 | Wskazanie danych Najemcy jako kierującego Pojazdem na żądanie organów (mandaty, wykroczenia, kolizje) | 1, 2 | art. 6 ust. 1 lit. c RODO (obowiązek prawny — art. 78 ust. 4 ustawy Prawo o ruchu drogowym) | przez okres istnienia obowiązku informacyjnego oraz okres przedawnienia roszczenia administracyjnego |
| 5 | Likwidacja szkód komunikacyjnych i obsługa roszczeń z polisy OC/AC | 1, 2, 4, 5, 6 | art. 6 ust. 1 lit. b i f RODO | przez okres trwania postępowania likwidacyjnego oraz okres przedawnienia roszczeń ubezpieczeniowych |
| 6 | Dochodzenie i obrona roszczeń (sądowych, przedsądowych, polubownych) | wszystkie kategorie odpowiednio | art. 6 ust. 1 lit. f RODO | do prawomocnego zakończenia postępowania lub upływu okresu przedawnienia roszczeń |
| 7 | Obsługa reklamacji Najemcy | 1, 2, 5, 6 | art. 6 ust. 1 lit. c i f RODO | 6 lat od daty wpływu reklamacji |
| 8 | Bezpieczeństwo strony internetowej, formularza rezerwacji i komunikacji elektronicznej | 7 | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — bezpieczeństwo systemów IT) | logi serwera: 12 miesięcy; dane sesji formularza rezerwacji wraz z wersją zaakceptowanego Regulaminu i Polityki: 6 lat |
| 9 | Pomiar skuteczności reklam i remarketing (Meta Conversions API — Facebook/Instagram, po stronie serwera, bez plików cookie) | 9 | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — pomiar i poprawa skuteczności kampanii reklamowych) | czas przechowywania po stronie Meta określa polityka Meta; prawo sprzeciwu — §9 |
| 10 | Pomiar ruchu i konwersji — beztokenowa statystyka pierwszej strony (bez plików cookie) | 8 | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — pomiar i poprawa skuteczności strony) | dane zagregowane; dzienny identyfikator odwiedzającego rotowany co 24 h (brak łączenia wizyt między dniami); adres IP nieprzechowywany |
| 11 | Pomiar ruchu i skuteczności reklam — Google Analytics 4 w trybie beztokenowym (bez plików cookie) | 10 | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — pomiar i poprawa skuteczności strony oraz kampanii reklamowych) | dane zagregowane i modelowane; brak trwałych identyfikatorów po stronie urządzenia; okres przechowywania po stronie Google określa polityka Google |
Administrator nie prowadzi newslettera ani marketingu e-mailowego. Marketing internetowy ogranicza się do pomiaru skuteczności reklam realizowanego bez plików cookie: przez Meta Conversions API po stronie serwera (cel nr 9, §5 pkt 9) oraz przez beztokenowy pomiar Google Analytics 4 (cel nr 11, §5 pkt 10). Oba narzędzia nie zapisują ani nie odczytują plików cookie w przeglądarce Najemcy i z tego względu nie wymagają zgody — działają na podstawie prawnie uzasadnionego interesu Administratora (§13). Najemcy przysługuje prawo sprzeciwu (§9). Strona nie korzysta z żadnych plików cookie marketingowych.
§5. Odbiorcy danych — procesorzy i podmioty współpracujące
Dane osobowe Najemcy mogą być udostępniane następującym kategoriom odbiorców, wyłącznie w zakresie i celu wskazanym powyżej:
-
Operator Płatności — Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlandia); dane karty i transakcji są przetwarzane przez Stripe jako odrębny administrator danych płatniczych zgodnie z polityką prywatności Stripe (
https://stripe.com/privacy). Stripe Payments Europe Ltd. współpracuje z Stripe, Inc. z siedzibą w Stanach Zjednoczonych — patrz §7 (transfery poza EOG). - Ubezpieczyciel — Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. (ul. Hestii 1, 81-731 Sopot) — w zakresie obsługi polis OC/AC, likwidacji szkód i prowadzonych postępowań.
-
Platforma telematyczna — Traccar Ltd. (Wielka Brytania), operator usługi SaaS obsługującej urządzenie Teltonika FMC880. Dane GPS są przesyłane bezpośrednio z urządzenia FMC880 zainstalowanego w Pojeździe przez sieć komórkową do serwerów Traccar; Administrator korzysta z dashboardu Traccar w celu monitorowania lokalizacji Pojazdu. Polityka prywatności Traccar:
https://www.traccar.org/privacy/. - Dostawca poczty transakcyjnej — Resend, Inc. (2261 Market Street #4471, San Francisco, CA 94114, USA) — wysyłka e-maili rezerwacyjnych, potwierdzeń, dokumentów Umowy i komunikacji w sprawie najmu. Resend jest organizacją certyfikowaną w ramach EU-U.S. Data Privacy Framework (DPF) oraz stosuje standardowe klauzule umowne UE (SCC) — patrz §7.
- Dostawca systemu fakturowania — Web INnovative Software Sp. z o.o. (właściciel serwisu wFirma.pl), ul. Bolesława Krzywoustego 105/21, 51-166 Wrocław, NIP: 8951930031 — w zakresie wystawiania, przechowywania i archiwizacji faktur dla Najemców.
- Dostawca usług hostingowych i bazy danych — Fly.io, Inc. (2261 Market Street #4711, San Francisco, CA 94114, USA), region serwerowy: Frankfurt (Niemcy) — przechowywanie danych Umowy, PZO, dokumentów elektronicznych i konfiguracji aplikacji. Dane fizycznie znajdują się na terenie EOG (Niemcy); operator Fly.io, Inc. ma siedzibę w USA — szczegóły dotyczące transferu w §7. Fly.io udostępnia standardowe klauzule umowne UE w ramach DPA.
- Organy administracji publicznej, organy ścigania, sądy, organy podatkowe — w zakresie wynikającym z obowiązków ustawowych (mandaty, wykroczenia, postępowania karne, podatkowe).
- Profesjonalni doradcy — kancelarie prawne, rzeczoznawcy, autoryzowane stacje obsługi (ASO), warsztaty naprawcze — wyłącznie w zakresie niezbędnym do realizacji konkretnej sprawy.
-
Meta Platforms Ireland Ltd. (4 Grand Canal Square, Dublin 2, Irlandia) — odbiorca zdarzeń marketingowych przekazywanych po stronie serwera przez Meta Conversions API (Facebook/Instagram) na potrzeby pomiaru skuteczności reklam i remarketingu. Przekazywane są zdarzenia odwiedzin i konwersji wraz z danymi dopasowania (adres IP, typ przeglądarki, ewentualnie zahaszowany e-mail/telefon) — bez plików cookie i bez piksela w przeglądarce, na podstawie prawnie uzasadnionego interesu (§4 cel nr 9, §13). W tym zakresie Administrator i Meta działają jako współadministratorzy na podstawie ustaleń Meta (Controller Addendum,
https://www.facebook.com/legal/controller_addendum); polityka prywatności Meta:https://www.facebook.com/privacy/policy. -
Google — Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irlandia) oraz Google LLC (USA): (a) Google Calendar — wewnętrzny, operatorski kalendarz rezerwacji; zdarzenia kalendarza zawierają wyłącznie numer rezerwacji, model Pojazdu i terminy (bez imienia, nazwiska, e-maila i telefonu Najemcy); (b) Google Fonts oraz osadzony odnośnik do Google Maps na stronie internetowej — przy wyświetlaniu strony przeglądarka Najemcy może połączyć się z serwerami Google, co wiąże się z przekazaniem adresu IP; (c) Google Analytics 4 — beztokenowy pomiar ruchu i skuteczności reklam (§3 pkt 10, §4 cel nr 11), działający bez plików cookie (Google Consent Mode z domyślnym ustawieniem „denied”); w zakresie danych pomiarowych Google działa jako podmiot przetwarzający na podstawie warunków przetwarzania danych Google (Google Ads Data Processing Terms). Google jest organizacją certyfikowaną w ramach EU-U.S. Data Privacy Framework (DPF) — patrz §7. Polityka prywatności Google:
https://policies.google.com/privacy. -
Mapbox, Inc. (San Francisco, CA, USA) — dostawca interaktywnej mapy wyświetlanej na stronie internetowej (lokalizacja punktu odbioru); przy wczytaniu mapy przeglądarka Najemcy łączy się z serwerami Mapbox, co wiąże się z przekazaniem adresu IP. Polityka prywatności:
https://www.mapbox.com/legal/privacy.
Z każdym z procesorów wskazanych w pkt 1, 3-6 oraz 10 (Google Calendar) Administrator zawarł umowę powierzenia przetwarzania danych osobowych (art. 28 RODO) albo opiera współpracę na ustandaryzowanych warunkach przetwarzania udostępnianych przez procesora (DPA — Data Processing Addendum). Ubezpieczyciel (pkt 2) oraz organy i profesjonalni doradcy (pkt 7-8) działają jako odrębni administratorzy, nie procesorzy. Z Meta Platforms Ireland Ltd. (pkt 9) Administrator działa na zasadzie współadministrowania ograniczonego do zdarzeń przekazywanych przez Meta Conversions API.
§6. Procesor zewnętrzny — Stripe i przetwarzanie danych płatniczych
- Płatności online są obsługiwane przez Stripe Payments Europe, Ltd. — dostawcę usług płatniczych z siedzibą w Irlandii, działającego na podstawie zezwolenia Banku Centralnego Irlandii.
- Stripe przetwarza dane karty płatniczej (PAN, CVV, data ważności) jako niezależny administrator danych płatniczych, w sposób zgodny ze standardem PCI DSS Level 1. Administrator anyway.rent nie otrzymuje pełnych danych karty — otrzymuje wyłącznie token płatności oraz metadane transakcji (kwota, status, ostatnie 4 cyfry karty, znacznik czasu).
-
Polityka prywatności Stripe dostępna jest pod adresem:
https://stripe.com/privacy. -
Standardy bezpieczeństwa Stripe oraz zakres przetwarzanych przez nią danych dostępne są pod adresem:
https://stripe.com/legal/dpa(Stripe Data Processing Addendum).
§7. Transfer danych poza Europejski Obszar Gospodarczy
-
W ramach świadczenia usług niektórzy procesorzy wskazani w §5 mają siedzibę w Stanach Zjednoczonych lub mogą uzyskać dostęp do danych z USA:
- Stripe, Inc. (354 Oyster Point Boulevard, South San Francisco, CA 94080, USA) — podmiot powiązany ze Stripe Payments Europe, Ltd., przetwarzający dane płatnicze;
- Resend, Inc. (San Francisco, CA, USA) — dostawca poczty transakcyjnej;
- Fly.io, Inc. (San Francisco, CA, USA) — operator infrastruktury hostingowej. Dane Najemcy fizycznie znajdują się w centrum danych we Frankfurcie (Niemcy, terytorium EOG); Fly.io, Inc. jako operator może potencjalnie uzyskać dostęp administracyjny do tych danych z USA w zakresie świadczenia usług hostingowych;
- Meta Platforms, Inc. (1 Hacker Way, Menlo Park, CA, USA) — podmiot powiązany z Meta Platforms Ireland Ltd., w zakresie zdarzeń marketingowych przekazywanych przez Meta Conversions API na podstawie prawnie uzasadnionego interesu (§4 cel nr 9, §5 pkt 9); Meta Platforms, Inc. jest certyfikowane w ramach EU-U.S. Data Privacy Framework (DPF);
- Google LLC (1600 Amphitheatre Parkway, Mountain View, CA, USA) — w zakresie Google Calendar, Google Fonts, Google Maps oraz Google Analytics 4 (§5 pkt 10); Google LLC jest certyfikowane w ramach EU-U.S. Data Privacy Framework (DPF);
- Mapbox, Inc. (San Francisco, CA, USA) — w zakresie map wyświetlanych na stronie internetowej (§5 pkt 11).
-
Transfer danych osobowych do USA odbywa się na podstawie decyzji wykonawczej Komisji (UE) 2023/1795 z dnia 10 lipca 2023 r. stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniany przez ramy ochrony danych UE–USA (EU-U.S. Data Privacy Framework — DPF), o ile dany procesor jest certyfikowany w ramach DPF. Status certyfikacji można zweryfikować pod adresem:
https://www.dataprivacyframework.gov/list. - Dodatkowo wszyscy wskazani procesorzy stosują standardowe klauzule umowne zatwierdzone przez Komisję Europejską (SCC — Standard Contractual Clauses) na wypadek zmiany ram prawnych dla transferów.
- Transfer danych do Wielkiej Brytanii — w ramach korzystania z platformy telematycznej Traccar Ltd. dochodzi do transferu danych lokalizacyjnych do Wielkiej Brytanii. Transfer odbywa się na podstawie obowiązującej decyzji wykonawczej Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniany przez Zjednoczone Królestwo (decyzja (UE) 2021/1772 w aktualnie obowiązującym brzmieniu); w razie jej wygaśnięcia transfer odbywa się na podstawie standardowych klauzul umownych UE (SCC).
- Pozostali procesorzy wskazani w §5 (wFirma) przetwarzają dane wyłącznie na terenie Europejskiego Obszaru Gospodarczego.
§8. Prawa Najemcy w związku z przetwarzaniem danych
Najemcy przysługują następujące prawa wynikające z RODO:
- Prawo dostępu do danych (art. 15 RODO) — Najemca może żądać informacji o tym, jakie dane są przetwarzane, w jakim celu i przez kogo, oraz otrzymać kopię tych danych.
- Prawo do sprostowania (art. 16 RODO) — Najemca może żądać korekty danych nieprawidłowych albo uzupełnienia danych niekompletnych.
- Prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO) — z zastrzeżeniem obowiązków prawnych Administratora (przepisy podatkowe, księgowe, okres przedawnienia roszczeń).
- Prawo do ograniczenia przetwarzania (art. 18 RODO).
- Prawo do przenoszenia danych (art. 20 RODO) — gdy przetwarzanie odbywa się na podstawie umowy lub zgody i w sposób zautomatyzowany.
- Prawo do sprzeciwu (art. 21 RODO) — wyraźnie i odrębnie ujawnione poniżej, w §9.
- Prawo wycofania zgody (art. 7 ust. 3 RODO) — gdy podstawą przetwarzania jest zgoda; wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem.
-
Prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa,
https://uodo.gov.pl), jeżeli Najemca uzna, że przetwarzanie jego danych narusza przepisy RODO.
Wniosek w zakresie praw z pkt 1-7 Najemca składa pisemnie na adres siedziby Administratora albo elektronicznie na adres e-mail wskazany w §2 ust. 1. Administrator odpowiada na wniosek bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania wniosku (art. 12 ust. 3 RODO). W przypadku skomplikowanego wniosku lub dużej liczby wniosków termin może zostać przedłużony o kolejne dwa miesiące — o czym Administrator informuje Najemcę w terminie miesiąca od otrzymania wniosku.
§9. Prawo sprzeciwu — informacja wyraźna i odrębna (art. 21 RODO)
Najemcy przysługuje prawo do wniesienia w dowolnym momencie sprzeciwu — z przyczyn związanych z jego szczególną sytuacją — wobec przetwarzania danych osobowych, którego podstawą prawną jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).
Sprzeciw może dotyczyć w szczególności:
- przetwarzania danych lokalizacyjnych Pojazdu zarejestrowanych przez urządzenie telematyczne (§4 cel nr 3);
- dochodzenia i obrony roszczeń (§4 cel nr 6);
- zapewnienia bezpieczeństwa strony internetowej i formularza rezerwacji (§4 cel nr 8);
- pomiaru skuteczności reklam przekazywanego do Meta przez Conversions API (§4 cel nr 9) oraz pomiaru ruchu i konwersji w Google Analytics 4 (§4 cel nr 11).
W razie wniesienia sprzeciwu Administrator zaprzestaje przetwarzania danych objętych sprzeciwem, chyba że wykaże istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności Najemcy, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
W przypadku danych lokalizacyjnych w okresie obowiązywania Umowy Najmu Administrator co do zasady wykazuje przesłanki nadrzędne — ochronę Pojazdu o znacznej wartości oraz prawidłowe wykonanie Umowy — i może kontynuować przetwarzanie do momentu zwrotu Pojazdu. Najemca, który nie zgadza się na monitorowanie lokalizacji w okresie najmu, powinien wstrzymać się z zawarciem Umowy. Po zwrocie Pojazdu dane lokalizacyjne dotyczące Najemcy są usuwane nie później niż w terminie 30 dni (usunięcie następuje w platformie telematycznej Traccar), z wyjątkiem aktywnego postępowania (likwidacja szkody, kradzież, spór sądowy).
§10. Wymóg podania danych i konsekwencje ich niepodania
- Podanie danych osobowych wskazanych w §3 pkt 1-3 i 5 jest dobrowolne, jednak niezbędne do zawarcia i wykonania Umowy Najmu. Brak ich podania uniemożliwia weryfikację uprawnień Najemcy w CEPiK oraz finalizację rezerwacji.
- Przetwarzanie danych lokalizacyjnych Pojazdu (§3 pkt 4) jest integralnym warunkiem najmu — Pojazd jest wyposażony w urządzenie telematyczne fabrycznie, a wyłączenie monitoringu w okresie najmu nie jest możliwe.
- Podanie numeru rachunku bankowego (IBAN) dla zwrotu Kaucji jest dobrowolne; nieprzekazanie IBAN skutkuje zwrotem Kaucji na kartę płatniczą w terminie do 10 dni roboczych (zamiast 2 dni roboczych przelewem).
§11. Zautomatyzowane podejmowanie decyzji i profilowanie
Administrator nie podejmuje wobec Najemcy decyzji w sposób zautomatyzowany, w tym poprzez profilowanie, które wywoływałyby skutki prawne lub w podobnie istotny sposób wpływały na Najemcę (art. 22 RODO). Decyzje w sprawie zawarcia Umowy, oceny szkód i rozliczenia Kaucji są podejmowane przez Administratora wyłącznie ręcznie, na podstawie oceny indywidualnej sytuacji. Dane przekazywane do Meta przez Conversions API (§5 pkt 9) mogą służyć Meta do profilowania reklamowego po stronie Meta; profilowanie to nie wywołuje wobec Najemcy skutków prawnych ani nie wpływa na warunki najmu. Najemcy przysługuje prawo sprzeciwu (§9).
§12. Bezpieczeństwo danych
- Administrator stosuje środki techniczne i organizacyjne adekwatne do ryzyka, w tym: szyfrowanie połączeń (TLS), kontrolę dostępu do systemów, uwierzytelnianie wieloskładnikowe (2FA) dla dostępu do panelu administracyjnego, kopie zapasowe, ograniczenie dostępu do danych do osób upoważnionych.
- Numer PESEL i numer prawa jazdy Najemcy są przechowywane w bazie danych w postaci zaszyfrowanej (szyfrowanie na poziomie kolumny — column-level encryption).
- W razie naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności Najemcy, Administrator zawiadamia Najemcę bez zbędnej zwłoki, zgodnie z art. 34 RODO.
§13. Pliki cookies
-
Cookies niezbędne. Strona wykorzystuje pliki cookies niezbędne do podstawowych funkcji (utrzymanie sesji formularza rezerwacji, zapis stanu wyboru Pojazdu i terminu, preferencje językowe). Cookies niezbędne nie wymagają zgody — ich stosowanie odbywa się na podstawie art. 399 ustawy z dnia 12 lipca 2024 r. — Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221, z późn. zm.) lub przepisu go zastępującego.
-
Brak cookies marketingowych i analitycznych. Strona nie zapisuje ani nie odczytuje żadnych plików cookie marketingowych ani analitycznych i nie wyświetla banera zgody na cookies — nie ma takiej potrzeby. Cały pomiar prowadzony jest w sposób beztokenowy:
- własny pomiar ruchu Administratora — w pełni po stronie serwera, bez plików cookie (§3 pkt 8, §4 cel nr 10);
-
Meta Conversions API — zdarzenia przekazywane do Meta po stronie serwera, bez piksela i bez plików cookie (
_fbp,_fbc) (§3 pkt 9, §4 cel nr 9, §5 pkt 9); -
Google Analytics 4 w trybie beztokenowym (Google Consent Mode z domyślnym ustawieniem „denied”), bez plików cookie (
_ga,_gid) — do Google trafiają wyłącznie zagregowane, modelowane sygnały (§3 pkt 10, §4 cel nr 11, §5 pkt 10).
Ponieważ żadne z tych narzędzi nie przechowuje informacji w urządzeniu Najemcy ani nie uzyskuje do nich dostępu, nie podlegają obowiązkowi uzyskania zgody z art. 399 Prawa komunikacji elektronicznej i działają na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO). Najemcy przysługuje prawo sprzeciwu (§9).
-
Najemca może w dowolnym momencie zmienić ustawienia cookies przeglądarki, w tym zablokować zapisywanie wszystkich cookies. Zablokowanie cookies niezbędnych może uniemożliwić prawidłowe działanie formularza rezerwacji.
§14. Postanowienia końcowe
- Aktualną wersję Polityki Administrator publikuje na swojej stronie internetowej wraz z datą wejścia w życie i numerem wersji.
- Administrator zastrzega sobie prawo do zmiany Polityki w razie zmiany przepisów prawa, zmiany zakresu lub charakteru przetwarzania danych. Zmiany Polityki nie mają mocy wstecznej — do Umów zawartych przed zmianą Polityki stosuje się Politykę w wersji obowiązującej w dacie zawarcia Umowy.
- W sprawach nieuregulowanych w Polityce zastosowanie mają przepisy RODO, ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz przepisy szczegółowe wskazane w treści Polityki.
Koniec Polityki Prywatności — wersja 1.1