Polityka Prywatności OwnCargo
1. Administrator danych
Administratorem danych osobowych jest [PEŁNA NAZWA FIRMY], [ADRES SIEDZIBY], NIP: [NIP], [KRS/CEIDG] (dalej: my, OwnCargo).
Kontakt w sprawach danych osobowych: [ADRES E-MAIL].
2. Kogo dotyczy ta polityka — i ważne rozróżnienie ról
Ta polityka dotyczy danych, dla których my jesteśmy administratorem: osób odwiedzających strony owncargo.com i docs.owncargo.com, osób rejestrujących konto i reprezentujących Klientów (panel klienta) oraz osób kontaktujących się z nami.
Odrębna rola — dane w instancjach TMS: dane wprowadzane przez Klientów do ich instancji systemu (np. dane kontrahentów, kierowców, pracowników Klienta, korespondencja, dokumenty) przetwarzamy wyłącznie w imieniu Klienta jako podmiot przetwarzający (art. 28 RODO). Administratorem tych danych jest Klient — osoby, których dane znajdują się w instancji Klienta, powinny kierować zapytania bezpośrednio do niego. Zasady powierzenia reguluje §10 Regulaminu.
3. Jakie dane przetwarzamy, po co i na jakiej podstawie
| Cel | Zakres danych | Podstawa (RODO) | Okres |
|---|---|---|---|
| Rejestracja konta i świadczenie usługi | firmowy e-mail, nazwa firmy, NIP/VAT UE, subdomena, hasło (wyłącznie jako skrót kryptograficzny), opcjonalnie: telefon, kod polecający; historia subskrypcji | art. 6 ust. 1 lit. b (umowa) | czas umowy + przedawnienie roszczeń |
| Rozliczenia i księgowość | dane do faktur | art. 6 ust. 1 lit. c (obowiązek prawny) | 5 lat od końca roku podatkowego |
| Bezpieczeństwo usługi (logi, blokowanie wrogiego ruchu, limity zapytań) | adres IP, dane techniczne żądań | art. 6 ust. 1 lit. f (uzasadniony interes — bezpieczeństwo i ciągłość usługi) | logi: do 30 dni; blokady: czas blokady |
| Obsługa zgłoszeń i wsparcie | e-mail, treść korespondencji | art. 6 ust. 1 lit. f / b | czas obsługi + 12 mies. |
| E-maile transakcyjne (aktywacja, reset hasła) | art. 6 ust. 1 lit. b | jak konto | |
| Program partnerski | e-mail, identyfikator konta, statystyki poleceń | art. 6 ust. 1 lit. b | czas udziału w programie |
| Statystyki odwiedzin (Google Analytics 4 / Tag Manager) | identyfikatory cookies, dane o urządzeniu i zachowaniu | art. 6 ust. 1 lit. a (zgoda — banner cookies) | do cofnięcia zgody; cookies GA4: do 14 mies. |
Podanie danych rejestracyjnych (poza polami opcjonalnymi) jest dobrowolne, ale niezbędne do zawarcia umowy.
4. Odbiorcy danych (podmioty przetwarzające)
- Hetzner Online GmbH (Niemcy) — infrastruktura serwerowa; dane w centrach danych w UE,
- OVHcloud (UE) — rejestracja domen, DNS,
- Brevo SAS (Francja) — wysyłka e-maili transakcyjnych,
- Google Ireland Ltd / Google LLC — statystyki (Google Analytics 4, Tag Manager — wyłącznie za zgodą) oraz przechowywanie szyfrowanych kopii zapasowych (Google Drive),
- [BIURO KSIĘGOWE — jeśli dotyczy],
- organy publiczne — wyłącznie gdy obowiązek wynika z prawa.
5. Przekazywanie danych poza EOG
Dane obsługiwane przez Google (Analytics, Drive) mogą być przekazywane do Google LLC w USA. Podstawą transferu jest decyzja Komisji Europejskiej ws. EU-U.S. Data Privacy Framework, a pomocniczo standardowe klauzule umowne (SCC). Pozostali dostawcy przetwarzają dane w EOG.
6. Prawa osób, których dane dotyczą
Masz prawo do: dostępu do danych i ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych (dot. danych przetwarzanych na podstawie umowy lub zgody), sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu oraz cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania sprzed cofnięcia).
Wnioski: [ADRES E-MAIL]. Odpowiadamy w ciągu miesiąca.
Masz też prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).
7. Pliki cookies
- Niezbędne (nie wymagają zgody): sesja logowania (token uwierzytelniający), preferencje języka, zabezpieczenia. Bez nich usługa nie działa.
- Analityczne (wymagają zgody): Google Analytics 4 / Google Tag Manager — instalowane wyłącznie po wyrażeniu zgody w bannerze cookies; zgodę można cofnąć w ustawieniach cookies na stronie.
- Cookies nie są używane do reklam ani sprzedawane podmiotom trzecim.
8. Zautomatyzowane decyzje i profilowanie
Nie podejmujemy wobec Ciebie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne. Automatyczne blokowanie ruchu sieciowego (ochrona przed atakami) dotyczy adresów IP i ma charakter wyłącznie techniczno-bezpieczeństwowy.
9. Bezpieczeństwo
Stosujemy m.in.: szyfrowanie transmisji (TLS), przechowywanie haseł wyłącznie w postaci skrótów kryptograficznych (obecnie bcrypt; konta utworzone w starszym formacie są automatycznie migrowane do bcrypt przy logowaniu), separację baz danych poszczególnych Klientów, kontrolę dostępu i uprawnień, limity zapytań i automatyczną ochronę przed wrogim ruchem, codzienne szyfrowane kopie zapasowe oraz monitoring dostępności.
10. Zmiany polityki
O istotnych zmianach poinformujemy na stronie oraz — zarejestrowanych Klientów — e-mailem, z wyprzedzeniem co najmniej 14 dni. Archiwalne wersje udostępniamy na żądanie.