Przejdź do głównej treści

Polityka prywatności

Ostatnia aktualizacja: 9 kwietnia 2026

1. Administrator danych

Administratorem danych osobowych przetwarzanych na tej stronie jest:

BSI OÜ
Maakivi tn 8-2, Räni alevik
Kambja vald, Tartu maakond, 61708
Estonia
E-mail: info@carlytics.eu

2. Zbierane dane

2.1 Wyniki sprawdzenia VIN (rekordy podsumowania)

Podczas sprawdzenia VIN lub numeru rejestracyjnego zapisujemy zdekodowane informacje o pojeździe (marka, model, specyfikacja, dane o akcjach serwisowych itp.) w rekordzie podsumowania. Umożliwia to dostęp do wyników raportu. Rekordy podsumowania nie są powiązane z tożsamością użytkownika — zawierają jedynie dane pojazdu, losowy identyfikator raportu i (w przypadku płatnych raportów) metadane płatności.

  • Płatne raporty wygasają po 30 dniach od zakupu.

  • Bezpłatne wyniki wygasają po 30 dniach od utworzenia.

2.2 Wyświetlenia stron i analityka

Rejestrujemy wyświetlenia stron do wewnętrznej analityki. Każde wyświetlenie strony rejestruje: ścieżkę strony, referrer, kraj (z nagłówków Vercel) i zahaszowany adres IP. Adresy IP są haszowane z codziennie zmienianym soltem i nie mogą być odwrócone do oryginalnego adresu IP. Wyświetlenia stron są powiązane z identyfikatorem sesji w ciasteczku httpOnly (_sid), które wygasa po 24 godzinach.

2.3 Pliki cookies

Stosujemy następujące pliki cookies:

  • _sid (httpOnly, 24h) — identyfikator sesji do analityki wyświetleń stron. Ustawiany automatycznie.

  • cookie-consent — przechowuje wybór dotyczący zgody. Cookies analityczne nie są ładowane, dopóki zgoda nie zostanie wyrażona.

  • _admin (httpOnly, 24h, tylko ścieżka /admin) — uwierzytelnianie administratora. Ustawiane tylko dla administratorów.

2.4 Podmioty trzecie — analityka (wymagana zgoda)

Wyłącznie po zaakceptowaniu plików cookies analitycznych za pomocą banera zgody ładowane są następujące usługi zewnętrzne:

  • Google Analytics (Google Tag) \u2014 analityka internetowa. Dostawca: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia. Dane mogą być przekazywane do USA w ramach EU-U.S. Data Privacy Framework. Polityka prywatności Google

  • Microsoft Clarity \u2014 nagrywanie sesji i mapy ciepła. Dostawca: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA. Dane mogą być przekazywane do USA w ramach EU-U.S. Data Privacy Framework. Oświadczenie o ochronie prywatności Microsoft

2.5 Obsługa płatności

Raporty premium są przetwarzane przez Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Nigdy nie otrzymujemy ani nie przechowujemy pełnego numeru karty kredytowej. Stripe przetwarza płatności jako nasz podmiot przetwarzający na podstawie umowy o powierzenie przetwarzania danych. Przechowujemy jedynie: identyfikator płatności Stripe, kwotę, walutę i znacznik czasu. Polityka prywatności Stripe

2.6 Hosting

Ta strona jest hostowana przez Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel przetwarza logi serwera (w tym adresy IP) w ramach obsługi infrastruktury. Polityka prywatności Vercel

3. Podstawa prawna (RODO art. 6)

  • Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — Dekodowanie VIN i generowanie raportu są niezbędne do świadczenia zamawianej usługi.

  • Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) — Rejestrowanie wyświetleń stron z zahaszowanymi adresami IP do analityki i bezpieczeństwa.

  • Zgoda (art. 6 ust. 1 lit. a RODO) — Google Analytics i Microsoft Clarity są ładowane dopiero po wyraźnej zgodzie użytkownika. Zgodę można wycofać w dowolnym momencie, usuwając pliki cookies i odrzucając je przy następnej wizycie.

  • Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — Dane płatności są przechowywane zgodnie z wymaganiami przepisów podatkowych i księgowych.

4. Przechowywanie danych

  • Wyświetlenia stron: usuwane na żądanie za pośrednictwem endpointu RODO.

  • Bezpłatne wyniki sprawdzenia VIN: 30 dni od utworzenia.

  • Płatne raporty: 30 dni od zakupu.

  • Metadane płatności: przechowywane zgodnie z wymogami prawa (zwykle 10 lat na potrzeby dokumentacji podatkowej).

  • Ciasteczka sesyjne: wygasają po 24 godzinach.

5. Prawa użytkownika (RODO art. 15–21)

Użytkownik ma prawo do:

  • Dostępu do swoich danych (art. 15)

  • Sprostowania nieprawidłowych danych (art. 16)

  • Usunięcia („prawo do bycia zapomnianym”) (art. 17)

  • Ograniczenia przetwarzania (art. 18)

  • Przenoszenia danych (art. 20)

  • Sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21)

Aby skorzystać z tych praw, należy użyć endpointu RODO pod adresem /api/gdpr (eksport lub usunięcie danych na podstawie identyfikatora sesji) lub skontaktować się z nami pod adresem info@carlytics.eu.

Użytkownik ma również prawo złożyć skargę do organu nadzorczego. W Polsce właściwym organem jest Prezes Urzędu Ochrony Danych Osobowych (UODO).

6. Przekazywanie danych poza UE

Niektórzy z naszych podmiotów przetwarzających mają siedzibę w USA (Stripe, Vercel, Google, Microsoft). Przekazywanie danych jest zabezpieczone przez EU-U.S. Data Privacy Framework i/lub standardowe klauzule umowne (SCC).

7. Bezpieczeństwo danych

Wdrażamy odpowiednie środki techniczne i organizacyjne, w tym: szyfrowanie HTTPS, nagłówki Content Security Policy, ograniczanie prędkości (rate limiting) na wszystkich endpointach, zahaszowane adresy IP, ciasteczka httpOnly i walidację secretów po stronie serwera.

8. Prywatność dzieci

Nasza usługa nie jest skierowana do dzieci poniżej 16 roku życia. Świadomie nie zbieramy danych od dzieci poniżej 16 lat.

9. Zmiany w polityce prywatności

Możemy okresowo aktualizować niniejszą politykę prywatności. Zmiany będą publikowane na tej stronie z aktualizowanym datowaniem.

10. Kontakt

W sprawach dotyczących prywatności prosimy o kontakt:

E-mail: info@carlytics.eu
BSI OÜ, Maakivi tn 8-2, Räni alevik, Kambja vald, Tartu maakond, 61708, Estonia

Polityka prywatności | Carlytics