Dostawcy i informacje prawne

Wersja: 1.1 • Dokument informacyjny • Aktualizowane przy zmianach integracji

1. Podprocesorzy / dostawcy usług

Niniejszy dokument uzupełnia Politykę prywatności oraz Regulamin i ma na celu zwiększenie przejrzystości zgodnie z wymogami RODO oraz rozporządzenia DSA (Digital Services Act), w szczególności w zakresie informacji o podmiotach współpracujących przy świadczeniu usług CarBoard.

Poniżej przedstawiamy głównych dostawców (podprocesorów), z których usług korzystamy przy utrzymaniu serwisu. Zakres dotyczy wyłącznie danych niezbędnych do realizacji konkretnych funkcji – stosujemy zasadę minimalizacji danych.

  • Clerk – uwierzytelnianie/logowanie, zarządzanie kontem i sesjami użytkowników.
    Lokalizacja: USA/EOG.
    Podstawa transferu: Standardowe Klauzule Umowne (SCC).
    Zakres: identyfikatory kont, adres e-mail, podstawowe metadane sesji logowania, informacje o stanie weryfikacji konta.
  • Cloudflare (w tym Cloudflare Images) – proxy/CDN, bezpieczeństwo aplikacji, hosting obrazów.
    Lokalizacja: globalna infrastruktura (punkty obecności na świecie).
    Podstawa transferu: SCC oraz środki techniczne (np. szyfrowanie, minimalizacja logów).
    Zakres: logi techniczne (IP, nagłówki żądań), cache treści, przechowywanie i dystrybucja zdjęć ogłoszeń.
  • Render – hosting API (backend serwisu).
    Lokalizacja: USA/EOG (region zgodny z konfiguracją projektu).
    Podstawa transferu: SCC.
    Zakres: hosting backendu, logi serwerowe, dane niezbędne do obsługi żądań HTTP/HTTPS.
  • Neon – baza danych PostgreSQL (region UE). Dostawca z siedzibą w USA.
    Lokalizacja danych: region UE, zgodny z konfiguracją klastra.
    Podstawa transferu: SCC.
    Zakres: dane aplikacji (konta, ogłoszenia, wiadomości czatu, zapisane wyszukiwania itd.), przechowywane zgodnie z zasadą minimalizacji i okresem retencji opisanym w Polityce prywatności.
  • Resend – e-maile transakcyjne (np. potwierdzenia, komunikaty systemowe).
    Lokalizacja: USA/EOG.
    Podstawa transferu: SCC.
    Zakres: adresy e-mail odbiorców, treść komunikatów systemowych, techniczne metadane wysyłki.
  • jsDelivr – CDN skryptów front-end (np. biblioteki zewnętrzne).
    Lokalizacja: globalna infrastruktura CDN.
    Zakres: dostarczanie plików JS/CSS; przetwarzanie ograniczonych logów technicznych (zwykle bez cookies, jako niezależny administrator).
  • Nominatim/OpenStreetMap – geokodowanie i dane mapowe, wykorzystywane np. przy lokalizacji ogłoszeń.
    Status: niezależni administratorzy danych.
    Zakres: zapytania HTTP wysyłane z serwisu (np. informacje o lokalizacji), logi techniczne zgodnie z ich politykami prywatności.

Lista ma charakter roboczy i może być rozszerzana, np. przy wdrożeniu operatora płatności, dodatkowej analityki lub systemów antyfraudowych. Szczegóły znajdziesz zawsze w aktualnej Polityce prywatności.

2. Transfery poza Europejski Obszar Gospodarczy (EOG)

Jeżeli w ramach współpracy z danym dostawcą dochodzi do przekazania danych osobowych poza EOG (np. do USA), opieramy się na:

  • Standardowych Klauzulach Umownych (SCC) zaakceptowanych przez Komisję Europejską,
  • dodatkowych środkach technicznych i organizacyjnych (np. szyfrowanie, ograniczenie logów, kontrola dostępu),
  • zasadzie minimalizacji danych (przekazujemy tylko to, co jest konieczne do realizacji konkretnej funkcji).

Informacje o rodzaju danych, które mogą być transferowane, oraz okresach ich przechowywania opisano szczegółowo w Polityce prywatności. Na uzasadnione żądanie możemy przekazać bardziej szczegółowy opis stosowanych zabezpieczeń.

3. Retencja i bezpieczeństwo

Okresy przechowywania danych (konta, ogłoszenia, czat, logi, zgody) opisujemy szczegółowo w Polityce prywatności. W skrócie:

  • Dane konta – co do zasady do czasu usunięcia konta lub wygaśnięcia roszczeń.
  • Ogłoszenia i czat – co do zasady do 24 miesięcy od dezaktywacji ogłoszenia, chyba że przepisy lub spór wymagają dłuższego przechowywania.
  • Logi techniczne / bezpieczeństwo – co do zasady do 12 miesięcy.
  • Zgody (np. marketing, powiadomienia push) – do momentu wycofania zgody.

W zakresie bezpieczeństwa stosujemy m.in. szyfrowanie transmisji (TLS), kontrolę dostępu, logowanie wybranych zdarzeń, kopie zapasowe oraz okresowe przeglądy konfiguracji bezpieczeństwa u dostawców. Dostawcy są wybierani także pod kątem ich zgodności z RODO oraz standardami branżowymi.

4. Zmiany listy dostawców i aktualizacje dokumentu

Lista dostawców i zakres przetwarzania może się zmieniać wraz z rozwojem serwisu CarBoard (np. wdrożenie operatora płatności, dodatkowych usług chmurowych lub narzędzi antyfraudowych).

  • O istotnych zmianach, które wpływają na sposób przetwarzania danych osobowych, poinformujemy w serwisie (np. komunikat na stronie, aktualizacja daty dokumentu).
  • Zaktualizowana lista będzie zawsze dostępna w aktualnej wersji tego dokumentu oraz w Polityce prywatności.
  • Jeżeli zmiany wymagają uzyskania dodatkowych zgód (np. nowy typ analityki lub marketingu), poprosimy o nie w przejrzysty sposób (np. przez baner cookies/CMP).

Kontakt w sprawie zmian i pytań dotyczących dostawców: carboardteam@gmail.pl.

5. Informacje dodatkowe i zastrzeżenia
  • Niniejszy dokument ma charakter informacyjny i służy zwiększeniu przejrzystości wobec użytkowników oraz partnerów (w tym komisów), w szczególności w kontekście wymogów RODO i DSA.
  • Dokument nie stanowi porady prawnej. Chcąc uzyskać wiążącą ocenę prawną sytuacji, powinieneś skonsultować się z profesjonalnym doradcą (radca prawny/adwokat).
  • W przypadku rozbieżności między niniejszym dokumentem a Polityką prywatności lub Regulaminem, pierwszeństwo mają odpowiednio: Polityka prywatności (dla kwestii danych osobowych) oraz Regulamin (dla zasad korzystania z serwisu).
  • Wdrażanie nowych funkcji (np. paneli dla komisów, subdomen dealerskich, integracji z zewnętrznymi systemami) może wiązać się z dodaniem kolejnych dostawców lub zmianą konfiguracji istniejących. Będziemy aktualizować dokumenty tak, aby odzwierciedlały faktyczny stan integracji.