POLITYKA PRYWATNOŚCI DLA PLATFORMY CRM/ERP CARBOOK
Ostatnia aktualizacja: 1 lipca 2026 r.
Niniejsza Polityka Prywatności (dalej „Polityka”) określa zasady, na jakich spółka Carbook Soft LLC (dalej „Carbook Soft”, „my”, „nas” lub „nasz”) przetwarza dane osobowe w związku z korzystaniem z naszej chmurowej platformy SaaS CRM/ERP przeznaczonej dla stacji obsługi pojazdów (dalej „Platforma”).
Polityka ta dotyczy wyłącznie autoryzowanych użytkowników naszej Platformy (naszych Klientów Biznesowych oraz ich personelu). Nasza publiczna strona internetowa (carbook.pro) oraz powiązane działania marketingowe podlegają osobnemu oświadczeniu o prywatności.
1. ADMINISTRATOR DANYCH I DANE KONTAKTOWE
W odniesieniu do czynności przetwarzania opisanych w sekcji 3 niniejszej Polityki, Carbook Soft działa jako samodzielny Administrator Danych w rozumieniu Ogólnego Rozporządzenia o Ochronie Danych (RODO/GDPR).
- Pełna nazwa prawna: Carbook Soft LLC (ТОВ «Карбук Софт»)
- Adres rejestracyjny: Kharkivske Shose, 19, off. 2005, Kijów, 02090, Ukraina
- Numer rejestracyjny (EDRPOU): 44322813
- E-mail ds. prywatności danych: [email protected] (Główny punkt kontaktowy w sprawach ochrony danych)
1.1 Przedstawiciel w UE (art. 27 RODO)
Ponieważ spółka Carbook Soft ma siedzibę poza UE/EOG (na Ukrainie) i oferuje usługi klientom w UE, wyznaczyliśmy Przedstawiciela w UE. Wszelkie zapytania dotyczące RODO oraz przysługujących praw prywatności można kierować również do:
- Nazwa Przedstawiciela w UE: Prighter EU Rep GmbH
- Adres: Schellinggasse 3/10, 1010 Wiedeń, Austria
- Centrum Zaufania (Trust Center): https://app.prighter.com/portal/18533612568
2. CARBOOK SOFT JAKO PODMIOT PRZETWARZAJĄCY (WAŻNA INFORMACJA)
Należy pamiętać, że gdy nasi Klienci Biznesowi (warsztaty samochodowe / STO) korzystają z Platformy do zarządzania swoją codzienną działalnością operacyjną, wprowadzają do systemu CRM dane osobowe dotyczące swoich klientów końcowych (właścicieli pojazdów, kierowców) oraz własnego personelu warsztatowego.
W odniesieniu do takich danych nasz Klient działa jako Administrator Danych, natomiast Carbook Soft działa wyłącznie jako Podmiot Przetwarzający (Procesor). Jako Podmiot Przetwarzający obsługujemy następujące działania w imieniu Klienta:
- Zarządzanie klientami i kontaktami
- Śledzenie pojazdów i rejestr logów pojazdów
- Zlecenia napraw, historia serwisowa i harmonogramowanie
- Zintegrowana telefonia, rejestry połączeń oraz funkcje SMS
- Rejestrowanie przepływów pieniężnych i operacji fiskalnych
- Automatyczne powiadomienia systemowe dla klientów końcowych
- Import danych z plików zewnętrznych (procesy ETL)
- Zarządzanie opiniami i odpowiedziami klientów
- Przetwarzanie danych personelu warsztatowego Klienta
Przetwarzanie tych danych reguluje ściśle osobna Umowa Powierzenia Przetwarzania Danych (DPA) zawarta pomiędzy Carbook Soft a Klientem i nie jest ono objęte warunkami niniejszej Polityki Prywatności.
3. REJESTR CZYNNOŚCI PRZETWARZANIA (ROPA) — JAKO ADMINISTRATOR
Poniżej znajduje się ustrukturyzowany przegląd sposobów przetwarzania danych osobowych, w których Carbook Soft działa jako Administrator Danych (dotyczy to głównie administracyjnych i technicznych danych kont naszych Klientów oraz ich użytkowników).
| Cel przetwarzania | Kategorie danych osobowych | Podstawa prawna (RODO) | Okres przechowywania |
|---|---|---|---|
| Rejestracja konta i uwierzytelnianie na Platformie | Imię i nazwisko, nazwa firmy, służbowy adres e-mail, numer telefonu, dane uwierzytelniające, zaszyfrowane hasło, przypisana rola w systemie. | Art. 6 ust. 1 lit. b RODO — Wykonanie umowy (Regulamin świadczenia usług Platformy). | Okres trwania stosunku umownego + 3 lata. |
| Fakturowanie i księgowość korporacyjna | Nazwa firmy, identyfikator podatkowy (NIP/NIP-UE), firmowe dane bankowe (IBAN), historia transakcji. *Uwaga: Nie korzystamy z zewnętrznych bramek płatniczych; płatności są realizowane wyłącznie przelewem bezpośrednim na nasz rachunek IBAN. |
Art. 6 ust. 1 lit. c RODO — Wypełnienie obowiązku prawnego ciążącego na administratorze (przepisy księgowe i podatkowe). | 7 lat (zgodnie z obowiązującymi ustawowymi terminami przechowywania dokumentacji finansowej). |
| Analityka Platformy i optymalizacja wydajności | Zanonimizowane i pozbawione identyfikatorów dane o użytkowaniu, wskaźniki statystyczne, interakcje z funkcjami systemu. | Art. 6 ust. 1 lit. f RODO — Nasz Prawnie Uzasadniony Interes polegający na analizie wydajności oprogramowania i ulepszaniu funkcji naszego produktu SaaS. | Przechowywane wyłącznie w formie zanonimizowanej, uniemożliwiającej identyfikację jakiejkolwiek osoby. |
| Marketing i komunikacja biznesowa | Imię i nazwisko, biznesowy e-mail, biznesowy numer telefonu. *Uwaga: Nie wysyłamy automatycznych masowych wiadomości e-mail o charakterze marketingowym lub serwisowym. Wszelka komunikacja prowadzona jest ręcznie przez naszych opiekunów klienta kanałami wskazanymi przez klienta. |
Art. 6 ust. 1 lit. f RODO — Nasz Prawnie Uzasadniony Interes polegający na utrzymywaniu relacji biznesowych i informowaniu obecnych klientów o ulepszeniach platformy. | Do czasu wniesienia sprzeciwu przez klienta wobec komunikacji marketingowej lub żądania usunięcia danych. |
| Dzienniki bezpieczeństwa i zapobieganie oszustwom | Adresy IP, typy przeglądarek, systemy operacyjne, znaczniki czasu logowania, logi aktywności na platformie oraz techniczne dane o zdarzeniach bezpieczeństwa. | Art. 6 ust. 1 lit. f RODO — Nasz Prawnie Uzasadniony Interes polegający na zapewnieniu bezpieczeństwa technicznego, zapobieganiu działaniom o charakterze przestępczym (hacking, oszustwa) i utrzymaniu ciągłości działania platformy. | Techniczne logi serwerowe dotyczące bezpieczeństwa są automatycznie usuwane po 12 miesiącach. |
| Zarządzanie personelem (HR Carbook) | Imię i nazwisko, dane kontaktowe, szczegóły umów, dane płacowe pracowników i kontrahentów Carbook Soft. | Art. 6 ust. 1 lit. b & c RODO — Wykonanie umowy oraz realizacja obowiązków wynikających z prawa pracy i prawa podatkowego. | Przez czas trwania zatrudnienia/umowy + ustawowe okresy przechowywania dokumentacji. |
4. ODBIORCY DANYCH I PODMIOTY PRZETWARZAJĄCE
Nie sprzedajemy, nie wypożyczamy ani nie handlujemy danymi osobowymi z podmiotami trzecimi. W celu zapewnienia sprawnego działania funkcji Platformy, udostępniamy dane wyłącznie zaufanym dostawcom usług na podstawie rygorystycznych umów o ochronie danych:
- Dostawca infrastruktury i hostingu: Wszystkie produkcyjne bazy danych oraz dane użytkowników są bezpiecznie hostowane na terytorium Unii Europejskiej na serwerach dostarczanych przez firmę Hetzner Online GmbH (Niemcy).
- Platformy komunikacyjne i komunikatory: Jeśli zdecydują się Państwo na włączenie integracji z zewnętrznymi komunikatorami w ramach Platformy (takimi jak Telegram Bot API lub UserBot API), niezbędne dane do dostarczenia wiadomości (np. numery telefonów, treść powiadomień) zostaną przekazane odpowiedniemu dostawcy usług komunikacyjnych (np. Telegram Group Inc.) wyłącznie w celu realizacji wysyłki na Państwa żądanie.
- Organy publiczne: Dane mogą zostać udostępnione organom ścigania lub organom regulacyjnym wyłącznie wtedy, gdy będziemy do tego prawnie zobowiązani na podstawie jednoznacznego, wykonalnego żądania ustawowego lub nakazu sądowego.
5. MIĘDZYNARODOWE TRANSFERY DANYCH (POZA OBSZAR UE/EOG)
Główna infrastruktura techniczna Platformy znajduje się fizycznie w Niemczech (Hetzner). Jednakże spółka Carbook Soft LLC jest prawnie zarejestrowana na Ukrainie, która na gruncie RODO jest obecnie klasyfikowana jako państwo trzecie bez pełnej decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony.
W celu legalnego zabezpieczenia dostępu oraz wsparcia techniczno-administracyjnego świadczonego przez nasz personel zlokalizowany na Ukrainie, wszelkie transfery danych oraz dostęp zdalny są w pełni objęte Standardowymi Klauzulami Umownymi (SCC) zatwierdzonymi przez Komisję Europejską, połączonymi z rygorystycznymi uzupełniającymi środkami organizacyjnymi i technicznymi.
6. ŚRODKI BEZPIECZEŃSTWA DANYCH
Wdrażamy kompleksowe techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Państwa danych przed nieautoryzowanym dostępem, utratą lub modyfikacją, w tym:
- Szyfrowanie w locie (w tranzycie): Wszystkie połączenia z Platformą są obligatoryjnie szyfrowane przy użyciu branżowych protokołów Transport Layer Security (TLS/HTTPS).
- Zarządzanie magazynem tajnych danych (Secret-Store): Klucze systemowe, poświadczenia i tokeny konfiguracyjne są ściśle izolowane i zarządzane przy użyciu dedykowanych, bezpiecznych rozwiązań typu secret-store.
- Oparta na rolach kontrola dostępu (RBAC): Dostęp do klastrów baz danych jest ściśle ograniczony wyłącznie do uprawnionego personelu technicznego na zasadzie „wiedzy koniecznej” (need-to-know).
- Bezpieczne usuwanie danych: Dane przechowywane u naszego dostawcy hostingu (Hetzner) podlegają audytowanym procedurom bezpiecznego elektronicznego czyszczenia nośników po wycofaniu infrastruktury z eksploatacji.
7. POLITYKA NIEZBĘDNYCH PLIKÓW COOKIE
Platforma wykorzystuje bezwzględnie niezbędne (sesyjne) pliki cookie. Pliki te są wymagane do uwierzytelniania użytkowników, utrzymywania bezpiecznych sesji oraz zapamiętywania podstawowych preferencji interfejsu użytkownika podczas zalogowanej sesji. Ponieważ te pliki cookie są niezbędne do technicznego świadczenia usługi, o którą użytkownik wyraźnie prosił, nie wymagają one uprzedniej zgody użytkownika na mocy Dyrektywy o prywatności i łączności elektronicznej (ePrivacy).
Platforma nie wykorzystuje żadnych zewnętrznych marketingowych, śledzących, behawioralnych ani analitycznych plików cookie.
8. PRAWA UŻYTKOWNIKÓW NA MOCY RODO
Jako osobie fizycznej znajdującej się na terytorium UE/EOG, na mocy Rozdziału III RODO przysługują Państwu następujące prawnie egzekwowalne prawa:
- Prawo dostępu do danych (art. 15 RODO): Prawo do uzyskania kopii danych osobowych, które przechowujemy.
- Prawo do sprostowania danych (art. 16 RODO): Prawo do żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
- Prawo do usunięcia danych / „Prawo do bycia zapomnianym” (art. 17 RODO): Prawo do żądania trwałego usunięcia danych w przypadkach przewidzianych prawem.
- Prawo do ograniczenia przetwarzania (art. 18 RODO): Prawo do żądania czasowego wstrzymania przetwarzania danych.
- Prawo do przenoszenia danych (art. 20 RODO): Prawo do otrzymania swoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
- Prawo do sprzeciwu (art. 21 RODO): Prawo do wniesienia sprzeciwu wobec przetwarzania realizowanego na podstawie naszych prawnie uzasadnionych interesów.
W celu skorzystania z któregokolwiek z tych praw prosimy o bezpośredni kontakt pod adresem: [email protected]. Zweryfikujemy Państwa tożsamość i odpowiemy na prawidłowo złożone żądanie w ustawowym terminie 30 dni kalendarzowych.
9. ZMIANY W NINIEJSZEJ POLITYCE
Zastrzegamy sobie prawo do modyfikacji niniejszej Polityki Prywatności w celu dostosowania jej do zmieniających się praktyk technicznych lub wymogów prawnych. W przypadku istotnych zmian zostaną Państwo powiadomieni w interfejsie użytkownika Platformy lub drogą bezpośredniej komunikacji z co najmniej 30-dniowym wyprzedzeniem przed wejściem zmian w życie.
10. PRAWO DO WNIESIENIA SKARGI
Jeżeli uważają Państwo, że przetwarzanie przez nas danych osobowych narusza przepisy RODO, przysługuje Państwu bezwzględne prawo do wniesienia skargi do właściwego organu nadzorczego w państwie członkowskim UE swojego miejsca zamieszkania lub miejsca pracy (w Polsce organem tym jest Prezes Urzędu Ochrony Danych Osobowych — PUODO). Pełną listę krajowych organów ochrony danych można znaleźć pod adresem: https://edpb.europa.eu.
