Polityka prywatności serwisu CarBoard

1.1. Administratorem danych osobowych użytkowników serwisu jest CarBoard (zespół projektowy, w trakcie przygotowań do rejestracji spółki/firmy).

1.2. Kontakt preferowany w sprawach ochrony danych osobowych i prywatności:

e-mail: carboardteam@gmail.pl
(po formalnej rejestracji podmiotu uzupełnimy tę politykę o pełne dane identyfikacyjne: nazwę, adres siedziby, NIP, KRS/CEIDG).

1.3. W tej Polityce „my” lub „Administrator” oznacza CarBoard jako operator serwisu ogłoszeń motoryzacyjnych, działający jako administrator danych w rozumieniu RODO.

2.1. Polityka prywatności opisuje zasady przetwarzania danych osobowych użytkowników serwisu CarBoard, w tym osób:

• przeglądających ogłoszenia (użytkownicy niezalogowani),
• zakładających konto i wystawiających ogłoszenia,
• korzystających z czatu i formularzy kontaktowych,
• składających zgłoszenia naruszeń (DSA) lub reklamacje.

2.2. Stosujemy przepisy RODO, dyrektywy ePrivacy, ustaw krajowych (w szczególności polskiej ustawy o ochronie danych osobowych i Prawa telekomunikacyjnego) oraz inne właściwe regulacje UE.

2.3. Dokument dotyczy polskiej wersji serwisu. W przypadku uruchomienia wersji dla innych krajów UE opublikujemy odpowiednie lokalne dokumenty lub uzupełnienia.

2.4. Polityka prywatności uzupełnia Regulamin serwisu oraz Politykę cookies. W razie rozbieżności co do ochrony danych pierwszeństwo ma niniejsza Polityka.

Przetwarzamy następujące główne kategorie danych:

• Konto i logowanie (pochodzące głównie z Clerk): identyfikator użytkownika, adres e-mail, nazwa wyświetlana; opcjonalnie imię i nazwisko lub pseudonim, zdjęcie profilowe (avatar).
• Profil i ogłoszenia: miasto, województwo (jeśli podane), numer telefonu (opcjonalnie), treści i zdjęcia ogłoszeń (w tym parametry pojazdu, opis, cena), metadane plików (np. typ, rozdzielczość, rozmiar).
• Komunikacja: wiadomości w czacie (treść, czas wysłania, nadawca/odbiorca), e-maile transakcyjne (np. reset hasła, powiadomienia o czacie), dane z formularzy kontaktowych (reklamacje, zgłoszenia naruszeń – dane kontaktowe, opis sprawy, linki).
• Dane techniczne i bezpieczeństwo: adres IP, nagłówki HTTP, typ przeglądarki i systemu, identyfikatory sesji/cookies, logi serwera (błędy, próby nadużyć), dane o działaniach (np. ilość zapytań, limity anty-spam).
• Cookies i analityka: identyfikatory cookie i podobne (po wyrażeniu zgody), informacje o odwiedzanych podstronach, czasie wizyty, kliknięciach, dane agregowane o ruchu (Google Analytics 4, lekkie statystyki własne).
• Zgłoszenia DSA i odwołania: imię/nazwa zgłaszającego, adres e-mail, treść zgłoszenia/odwołania, adresy URL, podstawa prawna (np. naruszenie praw autorskich).

3.1. Dane pochodzą przede wszystkim od Ciebie (formularze, profil, ogłoszenia, czat). Część danych technicznych pochodzi z Twojego urządzenia/przeglądarki (nagłówki, IP), a część od naszych dostawców (np. Clerk – identyfikator konta, Resend – status dostarczenia e-maila).

3.2. Nie pozyskujemy danych z zewnętrznych brokerów danych, portali społecznościowych itp., chyba że wyraźnie o tym poinformujemy i poprosimy o zgodę.

4.1. Twoje dane przetwarzamy w następujących celach i na następujących podstawach prawnych:

• Świadczenie usług serwisu CarBoard
  – założenie i obsługa konta, logowanie przez Clerk,
  – publikacja i prezentacja ogłoszeń,
  – obsługa czatu i powiadomień o wiadomościach,
  – zapis wyszukiwań, ulubionych ogłoszeń, ustawień użytkownika.
  Podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy / działania na Twoje żądanie przed jej zawarciem).
• Bezpieczeństwo i utrzymanie serwisu
  – prowadzenie logów bezpieczeństwa i serwera,
  – zabezpieczenia przed nadużyciami (np. spam, scraping, ataki DDoS),
  – tworzenie kopii zapasowych i analiza błędów technicznych.
  Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora – zapewnienie bezpieczeństwa i ciągłości działania).
• Realizacja obowiązków prawnych
  – rozliczenia (po wdrożeniu płatności), przechowywanie dokumentacji księgowej,
  – odpowiedzi na żądania uprawnionych organów,
  – obowiązki wynikające z przepisów o ochronie konsumentów i usług cyfrowych.
  Podstawa: art. 6 ust. 1 lit. c RODO (obowiązek prawny administratora).
• Rozpatrywanie reklamacji, zgłoszeń naruszeń (DSA) i odwołań
  – obsługa zgłoszeń treści potencjalnie bezprawnych,
  – informowanie o działaniach moderacyjnych,
  – prowadzenie dokumentacji na potrzeby ewentualnych roszczeń.
  Podstawa: art. 6 ust. 1 lit. c oraz lit. f RODO (obowiązek prawny i uzasadniony interes – zgodność z prawem i obrona przed roszczeniami).
• Analityka i statystyki (Google Analytics 4, wewnętrzny track.js)
  – pomiar ruchu, optymalizacja działania serwisu,
  – testy nowych funkcji, analiza UX (zagregowane dane).
  Podstawa: art. 6 ust. 1 lit. a RODO (zgoda wyrażona przez CMP) – dla narzędzi analitycznych zewnętrznych oraz naszego skryptu track.js.
• Powiadomienia web-push (po wdrożeniu)
  – wysyłanie powiadomień o ważnych zdarzeniach (np. nowe wiadomości, zapytania o ogłoszenia),
  – powiadomienia o zmianach w usługach lub ważnych komunikatach.
  Podstawa: art. 6 ust. 1 lit. a RODO (zgoda) oraz – w przypadku powiadomień krytycznych dot. bezpieczeństwa – art. 6 ust. 1 lit. f RODO (uzasadniony interes).

4.2. Nie prowadzimy zautomatyzowanego podejmowania decyzji wywołującego wobec Ciebie skutki prawne w rozumieniu art. 22 RODO (np. automatyczna odmowa świadczenia usług wyłącznie na podstawie profilowania).

4.3. Jeżeli będziemy chcieli wykorzystać Twoje dane w innym celu niż opisany powyżej, poinformujemy Cię o tym przed rozpoczęciem takiego przetwarzania, wskazując podstawę prawną i przysługujące Ci prawa.

5.1. Korzystamy z usług dostawców technologicznych, którzy przetwarzają dane w naszym imieniu jako podmioty przetwarzające na podstawie umów powierzenia danych lub Standardowych Klauzul Umownych (SCC):

• Clerk – obsługa logowania i kont użytkowników (USA/EOG; SCC).
• Cloudflare – proxy/CDN, ochrona przed atakami oraz Cloudflare Images (globalna infrastruktura; SCC).
• Render – hosting backendu/API serwisu (USA/EOG; SCC).
• Neon – baza danych PostgreSQL (region UE, dostawca z USA; SCC).
• Resend – wysyłka e-maili transakcyjnych i technicznych (USA/EOG; SCC).

5.2. Niektóre podmioty działają jako odrębni administratorzy dla danych technicznych związanych z ruchem do ich usług (np. logi serwerowe, metadane połączeń):

• jsDelivr – CDN doładowujący wybrane skrypty bibliotek.
• Nominatim/OpenStreetMap – geokodowanie lokalizacji (jeśli użyte w wyszukiwaniu/mapach).
• Google – w zakresie działania Google Analytics 4 (po wyrażeniu zgody).

5.3. Dane mogą być ujawniane także uprawnionym organom publicznym, kancelariom prawnym lub doradcom – wyłącznie gdy jest to konieczne i zgodne z prawem (np. w związku z roszczeniami lub postępowaniami).

5.4. Aktualną listę głównych podmiotów przetwarzających oraz odnośniki do ich polityk prywatności możemy udostępnić na uzasadnione żądanie. W razie istotnych zmian listy dostawców poinformujemy o tym w serwisie.

6.1. Część naszych dostawców ma siedziby poza EOG (np. w USA) lub korzysta z centrów danych poza EOG. W takim przypadku zapewniamy, aby transfer danych odbywał się z wykorzystaniem odpowiednich mechanizmów ochrony przewidzianych przez RODO, w szczególności Standardowych Klauzul Umownych (SCC).

6.2. Stosujemy dodatkowe środki bezpieczeństwa, takie jak szyfrowanie transmisji (TLS), ograniczenie zakresu przekazywanych danych do niezbędnego minimum (data minimization) oraz kontrolowanie konfiguracji usług zewnętrznych.

6.3. Informacje o stosowanych zabezpieczeniach i kopie istotnych postanowień (z zachowaniem tajemnicy handlowej) możemy udostępnić na uzasadnione żądanie osób, których dane dotyczą.

Dane przechowujemy nie dłużej, niż jest to konieczne do celów, w których zostały zebrane. Typowe okresy przechowywania:

• Dane konta użytkownika – przez okres istnienia konta, a następnie przez okres przedawnienia potencjalnych roszczeń (co do zasady do kilku lat), o ile wymagają tego przepisy lub uzasadniony interes (np. obrona przed roszczeniami).
• Ogłoszenia i powiązane czaty – przez czas aktywności ogłoszenia, a po jego zakończeniu co do zasady do 24 miesięcy (chyba że przepisy lub spór wymagają dłuższego przechowywania).
• Logi techniczne i bezpieczeństwa – zwykle do 12 miesięcy, chyba że poważne incydenty bezpieczeństwa uzasadniają dłuższy okres.
• Zgody marketingowe/analityczne i preferencje cookies – do czasu odwołania zgody lub wygaśnięcia plików cookie/technologii (zgodnie z ustawieniami).
• Dokumenty księgowe i rozliczeniowe (po wdrożeniu płatności) – co do zasady 6 lat, zgodnie z przepisami o rachunkowości i podatkach.
• Zgłoszenia naruszeń, reklamacje i korespondencja – co do zasady przez okres niezbędny do obsługi sprawy i przedawnienia ewentualnych roszczeń.

7.1. Dane w kopiach zapasowych (backupach) przechowywane są przez ograniczony czas i służą wyłącznie odtworzeniu ciągłości działania serwisu w razie awarii; po upływie tego czasu kopie są nadpisywane.

8.1. Nasz serwis korzysta z plików cookie oraz podobnych technologii (np. localStorage) w kilku celach:

W ramach działania serwisu korzystamy także z mechanizmu service worker i Cache Storage, który pozwala przeglądarce lokalnie buforować część zasobów (np. strony HTML, pliki CSS/JS, obrazy lub listy ogłoszeń) w celu przyspieszenia działania serwisu i ograniczenia transferu danych. Mechanizm ten wykorzystywany jest wyłącznie w celach technicznych i wydajnościowych i nie służy do profilowania użytkowników.

• zapewnienie działania serwisu (cookies niezbędne: sesja, logowanie, preferencje motywu, ustawienia języka),
• zapamiętywanie Twoich ustawień (np. zapisywanie wyszukiwań),
• analityka ruchu (Google Analytics 4, lekkie statystyki własne – po wyrażeniu zgody),
• obsługa zgody w CMP (baner cookies) oraz Consent Mode v2.

8.2. Cookies niezbędne są wymagane do korzystania z serwisu i nie możesz ich wyłączyć z poziomu banera, ale możesz zawsze usunąć je w ustawieniach przeglądarki (co może utrudnić korzystanie z serwisu).

8.3. Cookies analityczne/marketingowe uruchamiamy dopiero po wyrażeniu zgody w naszym panelu zgód (CMP). Zgody możesz w każdej chwili zmienić: Ustawienia cookies.

8.4. Szczegółowe informacje znajdziesz w Polityce cookies, w tym rodzaje stosowanych plików, okres ich przechowywania oraz sposób zarządzania nimi.

9.1. Funkcja powiadomień web-push (np. informacje o nowych wiadomościach na czacie, zmianach statusu ogłoszeń) może zostać udostępniona po wyrażeniu przez Ciebie odrębnej zgody w przeglądarce i/lub w ustawieniach konta.

9.2. W ramach tej funkcji przechowujemy przede wszystkim:

• endpoint subskrypcji,
• klucze publiczne (p256dh, auth),
• identyfikator użytkownika w serwisie CarBoard,
• podstawowe informacje o przeglądarce (user-agent).

9.3. Możesz w każdej chwili wyłączyć powiadomienia web-push w ustawieniach przeglądarki (dla naszej domeny) albo w ustawieniach konta w serwisie (jeśli funkcja będzie dostępna).

9.4. Podstawą prawną jest Twoja zgoda (art. 6 ust. 1 lit. a RODO). Możemy dodatkowo powołać się na uzasadniony interes (art. 6 ust. 1 lit. f RODO) w przypadku krytycznych komunikatów związanych z bezpieczeństwem lub ważnymi zmianami regulaminu/usługi.

10.1. Stosujemy odpowiednie środki techniczne i organizacyjne, aby chronić dane osobowe przed nieuprawnionym dostępem, utratą, modyfikacją lub zniszczeniem. W szczególności:

• transmisja danych między Twoją przeglądarką a serwerem jest szyfrowana (TLS/HTTPS),
• dostęp do paneli administracyjnych mają wyłącznie upoważnione osoby,
• stosujemy kontrolę dostępu, logi bezpieczeństwa i systemy anty-DDoS,
• regularnie wykonujemy kopie zapasowe kluczowych danych,
• ograniczamy zakres danych przechowywanych u podmiotów zewnętrznych.

10.2. Jeśli dojdzie do naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia Twoich praw lub wolności, poinformujemy Cię o tym zgodnie z art. 34 RODO oraz zgłosimy incydent właściwemu organowi nadzorczemu (Prezes UODO), jeżeli będzie to wymagane.

11.1. Przysługują Ci następujące prawa związane z przetwarzaniem danych osobowych:

• Prawo dostępu do danych (art. 15 RODO) – możesz otrzymać kopię danych i informacje o ich przetwarzaniu.
• Prawo sprostowania (art. 16 RODO) – jeśli dane są nieprawidłowe lub niekompletne.
• Prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO) – w określonych przypadkach, np. gdy dane nie są już potrzebne lub cofniesz zgodę.
• Prawo ograniczenia przetwarzania (art. 18 RODO) – np. gdy kwestionujesz prawidłowość danych.
• Prawo przenoszenia danych (art. 20 RODO) – w zakresie danych przetwarzanych na podstawie zgody lub umowy i w sposób zautomatyzowany.
• Prawo sprzeciwu (art. 21 RODO) – wobec przetwarzania opartego na uzasadnionym interesie (np. cele bezpieczeństwa, statystyki pierwszej strony) – w takiej sytuacji rozważymy Twój sprzeciw i poinformujemy o wyniku.
• Prawo do cofnięcia zgody w dowolnym momencie (art. 7 ust. 3 RODO) – jeśli przetwarzanie odbywa się na podstawie zgody (np. analityka, web-push); cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania przed jej cofnięciem.

11.2. Aby skorzystać z powyższych praw, skontaktuj się z nami pod adresem: carboardteam@gmail.pl. Odpowiemy nie później niż w ciągu 30 dni od otrzymania żądania, chyba że przepisy przewidują krótszy termin.

11.3. Jeśli uznasz, że przetwarzamy Twoje dane niezgodnie z prawem, przysługuje Ci prawo wniesienia skargi do organu nadzorczego – w Polsce jest to:

Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
uodo.gov.pl

12.1. Serwis jest przeznaczony dla osób, które ukończyły 16 lat. Nie kierujemy oferty do dzieci w rozumieniu RODO.

12.2. Nie przetwarzamy świadomie danych osobowych dzieci poniżej 16 roku życia. Jeśli dowiemy się, że takie dane zostały nam przekazane, podejmiemy odpowiednie kroki, w tym usunięcie konta i danych – w zakresie dozwolonym przez prawo.

13.1. Obecnie nie stosujemy profilowania prowadzącego do zautomatyzowanego podejmowania decyzji wywołującego wobec Ciebie skutki prawne (art. 22 RODO).

13.2. Możemy stosować proste mechanizmy rekomendacji (np. sortowanie ogłoszeń po dopasowaniu, świeżości, kompletności danych lub wyróżnieniach), ale nie mają one charakteru „automatycznej decyzji” w rozumieniu RODO.

13.3. Ewentualne przyszłe funkcje marketingu spersonalizowanego lub zaawansowanego profilowania uruchomimy wyłącznie po wyraźnym poinformowaniu i uzyskaniu Twojej zgody (art. 6 ust. 1 lit. a RODO).

14.1. Polityka prywatności może być aktualizowana m.in. w przypadku:

• zmian w przepisach prawa,
• wprowadzenia nowych funkcji serwisu (np. płatności, rozbudowanych pakietów dla komisów),
• zmian w stosowanych narzędziach i dostawcach usług.

14.2. O istotnych zmianach poinformujemy w serwisie (np. komunikatem na stronie, w panelu użytkownika) i zaktualizujemy datę wejścia w życie na początku dokumentu.

14.3. Archiwalne wersje Polityki możemy przechowywać i udostępniać na uzasadnione żądanie (np. w celu wykazania, jakie zasady obowiązywały w danym okresie).

15.1. Do czasu formalnej rejestracji spółki dane korespondencyjne administratora udostępniamy w uzasadnionych przypadkach (np. w związku ze sporem prawnym, żądaniem organu, doręczeniem pism).

15.2. W celu realizacji niektórych praw (np. dostępu do danych, usunięcia) możemy poprosić Cię o dodatkowe informacje w rozsądnym zakresie, aby potwierdzić Twoją tożsamość i zabezpieczyć dane przed ujawnieniem osobom nieuprawnionym.

15.3. Prowadzimy ograniczone logi administracyjne i bezpieczeństwa zgodnie z zasadą minimalizacji danych – gromadzimy tylko tyle informacji, ile jest rzeczywiście potrzebne do zapewnienia bezpieczeństwa i rozliczalności.

16.1. Dane podane w formularzach zgłoszeń i odwołań (np. imię/nazwa, adres e-mail, treść zgłoszenia, adresy URL, podstawa prawna) przetwarzamy w celu:

• rozpatrzenia zgłoszenia dotyczącego potencjalnie bezprawnych treści,
• poinformowania zgłaszającego i autora treści o podjętych działaniach,
• obsługi odwołań od decyzji moderacyjnych,
• wykazania prawidłowego przebiegu procedury (rozliczalność).

16.2. Wysyłka potwierdzeń i korespondencji w związku z tymi zgłoszeniami odbywa się za pomocą usługi Resend, z wykorzystaniem zweryfikowanej domeny e-mail.

16.3. Podstawą prawną jest art. 6 ust. 1 lit. c RODO (obowiązek prawny wynikający z regulacji dot. usług cyfrowych i treści bezprawnych) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes – zapewnienie zgodności z prawem i możliwość obrony przed roszczeniami).

17.1. W serwisie możemy korzystać z Google Analytics 4 w celu analizy ruchu i poprawy jakości usług. Narzędzie to jest uruchamiane wyłącznie po wyrażeniu przez Ciebie odpowiedniej zgody w naszym banerze zgód (CMP).

17.2. Stosujemy Consent Mode v2, co oznacza, że:

• bez zgody wysyłane są jedynie ograniczone sygnały techniczne bez zapisywania identyfikatorów cookies (tzw. „cookieless pings”),
• po wyrażeniu zgody uruchamiane są pełne cookies/analityka GA4 zgodnie z ustawieniami CMP.

17.3. Szczegółowe informacje o działaniu GA4, zakresie gromadzonych danych i czasie przechowywania znajdziesz w politykach prywatności Google. Zarządzanie zgodą jest możliwe tutaj: Ustawienia cookies.

18.1. Oprócz zewnętrznych narzędzi analitycznych możemy używać naszego wewnętrznego skryptu track.js do zbierania minimalnych metryk wizyt (np. informacja, że strona główna została wyświetlona, prosty sygnał „page view”).

18.2. Skrypt ten jest projektowany tak, aby:

• nie zbierać treści wiadomości z czatu, danych formularzy ani danych kontaktowych (e-mail, telefon),
• nie gromadzić nadmiernych danych osobowych – koncentrujemy się na agregowanych statystykach ruchu,
• działać wyłącznie w zakresie objętym Twoją zgodą „Analityczne” w CMP (jeśli przypiszemy go do tej kategorii).

18.3. Dane z lekkich statystyk first-party są wykorzystywane głównie do oceny obciążenia serwisu, planowania infrastruktury i poprawy UX, nie zaś do działań reklamowych.