1. Wprowadzenie i zakres
Niniejsza Polityka Zgodności z RODO opisuje, w jaki sposób AUTONOMi gromadzi, przetwarza, przechowuje i chroni dane osobowe zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych (RODO) oraz obowiązującym prawem państw członkowskich UE.
Niniejsza polityka ma zastosowanie do:
- Wszystkich danych osobowych gromadzonych od osób znajdujących się na terenie Unii Europejskiej (UE) i Europejskiego Obszaru Gospodarczego (EOG), w tym Niemiec i Polski
- Wszystkich czynności przetwarzania realizowanych przez AUTONOMi jako administrator danych lub podmiot przetwarzający
- Wszystkich pracowników, podwykonawców i stron trzecich, które przetwarzają dane osobowe w imieniu AUTONOMi
2. Role administratora danych i podmiotu przetwarzającego
2.1 AUTONOMi jako administrator danych
AUTONOMi działa jako administrator danych, gdy samodzielnie określa cele i sposoby przetwarzania danych osobowych, w tym:
- Dane osobowe gromadzone od odwiedzających stronę internetową (goautonomi.com)
- Dane kontaktowe i informacje o koncie udostępniane przez użytkowników platformy
- Dane marketingowe i komunikacyjne
Dane kontaktowe administratora:
AUTONOMi
E-mail: gdpr@goautonomi.com
Strona internetowa: goautonomi.com
2.2 AUTONOMi jako podmiot przetwarzający
AUTONOMi działa jako podmiot przetwarzający, gdy przetwarza dane osobowe w imieniu swoich klientów (salonów samochodowych i grup dealerskich), którzy są administratorami danych. Obejmuje to:
- Dane CRM i DMS synchronizowane z platformą
- Listy klientów i dane własnych grup odbiorców przesyłane przez klientów
- Dane z platform reklamowych i dane atrybucji kampanii
W tej roli AUTONOMi przetwarza dane wyłącznie zgodnie z instrukcjami klienta określonymi w obowiązującej Umowie Powierzenia Przetwarzania Danych (UPP).
2.3 Przedstawiciel w UE
AUTONOMi jest dostępne dla osób, których dane dotyczą w UE, za pośrednictwem podanych powyżej danych kontaktowych. Jeśli jest to wymagane na mocy art. 27 RODO, AUTONOMi wyznaczy przedstawiciela w UE. Użytkownicy z UE mogą kontaktować się z nami pod adresem gdpr@goautonomi.com we wszystkich sprawach związanych z RODO.
3. Podstawy prawne przetwarzania
AUTONOMi przetwarza dane osobowe wyłącznie wtedy, gdy istnieje podstawa prawna zgodnie z art. 6 RODO. Poniższa tabela przedstawia czynności przetwarzania i odpowiadające im podstawy prawne:
| Czynność przetwarzania | Podstawa prawna | Artykuł RODO |
|---|---|---|
| Świadczenie usług platformy objętych umową | Wykonanie umowy | Art. 6(1)(b) |
| Zarządzanie kontami użytkowników | Wykonanie umowy | Art. 6(1)(b) |
| Rozliczenia i przetwarzanie płatności | Obowiązek prawny | Art. 6(1)(c) |
| Przechowywanie dokumentacji podatkowej i finansowej | Obowiązek prawny (7 lat przechowywania) | Art. 6(1)(c) |
| Komunikacja marketingowa (opt-in) | Zgoda | Art. 6(1)(a) |
| Analityka i doskonalenie platformy | Prawnie uzasadniony interes | Art. 6(1)(f) |
| Zapobieganie oszustwom i bezpieczeństwo | Prawnie uzasadniony interes | Art. 6(1)(f) |
| Nieistotne pliki cookie i śledzenie | Zgoda | Art. 6(1)(a) |
| Realizacja obowiązków prawnych | Obowiązek prawny | Art. 6(1)(c) |
3.1 Zgoda
Gdy zgoda stanowi podstawę prawną, AUTONOMi:
- Pozyskuje zgodę poprzez jednoznaczne, potwierdzające działanie
- Przedstawia zrozumiałe wyjaśnienie, jakie dane są gromadzone i w jaki sposób będą wykorzystywane
- Prowadzi rejestry zgód (znacznik czasu, wersja polityki, na którą wyrażono zgodę, oraz metoda wyrażenia zgody)
- Umożliwia wycofanie zgody w dowolnym momencie, bez żadnych konsekwencji
Aby wycofać zgodę w dowolnym momencie: gdpr@goautonomi.com
3.2 Prawnie uzasadnione interesy
Gdy opieramy się na prawnie uzasadnionych interesach, przeprowadziliśmy ocenę prawnie uzasadnionego interesu (LIA), aby upewnić się, że nasze interesy nie są nadrzędne wobec praw i wolności osób, których dane dotyczą. Mają Państwo prawo do sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (patrz Sekcja 7).
4. Gromadzone przez nas dane
4.1 Dane administratora (użytkownicy strony internetowej i platformy)
| Kategoria | Przykłady | Okres przechowywania |
|---|---|---|
| Dane identyfikacyjne | Imię i nazwisko, stanowisko | Okres trwania konta + 3 lata |
| Dane kontaktowe | E-mail, numer telefonu | Okres trwania konta + 3 lata |
| Dane uwierzytelniające | Nazwa użytkownika, zahaszowane hasło | Okres trwania konta |
| Dane finansowe | Dane metody płatności (tokenizowane) | 7 lat (obowiązek prawny) |
| Dane o użytkowaniu | Znaczniki czasu logowania, wykorzystanie funkcji | 3 lata od ostatniej aktywności |
| Komunikacja | Zgłoszenia do pomocy technicznej, e-maile | 2 lata od rozwiązania |
| Dane techniczne | Adres IP, przeglądarka, urządzenie | 13 miesięcy (analityka) |
4.2 Dane podmiotu przetwarzającego (dane przesłane przez klienta)
Gdy klienci przesyłają dane na platformę AUTONOMi, przetwarzamy je jako podmiot przetwarzający zgodnie z instrukcjami klienta:
- Rekordy CRM klientów (imię i nazwisko, dane kontaktowe, historia zakupów)
- Dane dotyczące własności i serwisu pojazdów
- Własne grupy odbiorców reklamowych
- Dane atrybucji i konwersji
Okres przechowywania danych podmiotu przetwarzającego jest regulowany przez obowiązującą UPP.
5. Minimalizacja danych i ograniczenie celu
AUTONOMi przestrzega zasad:
- Minimalizacji danych — Gromadzimy wyłącznie dane osobowe niezbędne do określonego celu
- Ograniczenia celu — Dane osobowe zgromadzone w jednym celu nie są wykorzystywane do celów niezgodnych
- Ograniczenia przechowywania — Dane są przechowywane wyłącznie tak długo, jak jest to konieczne, i usuwane zgodnie z naszymi harmonogramami przechowywania
- Prawidłowości — Podejmujemy odpowiednie kroki w celu zapewnienia, że dane osobowe są prawidłowe i aktualne
6. Międzynarodowe przekazywanie danych
AUTONOMi działa w Stanach Zjednoczonych, Niemczech i Polsce. Gdy dane osobowe są przekazywane z EOG do Stanów Zjednoczonych lub innych państw trzecich, zapewniamy odpowiednie zabezpieczenia zgodnie z rozdziałem V RODO.
6.1 Mechanizmy przekazywania
| Miejsce docelowe przekazania | Mechanizm | Odniesienie |
|---|---|---|
| Stany Zjednoczone (infrastruktura AUTONOMi) | Standardowe klauzule umowne (SKU) | Decyzja KE 2021/914 |
| Google (reklama i analityka) | SKU + warunki przetwarzania danych Google | policies.google.com/privacy |
| Meta (platforma reklamowa) | SKU + mechanizmy przekazywania danych Meta | facebook.com/privacy/policy |
| HubSpot (CRM/Marketing) | SKU + UPP | legal.hubspot.com/dpa |
| Inne podmioty przetwarzające z USA | SKU + indywidualne UPP | Dostępne na żądanie |
6.2 Standardowe klauzule umowne
Stosujemy Standardowe Klauzule Umowne zatwierdzone przez Komisję Europejską na mocy Decyzji 2021/914 jako główny mechanizm przekazywania danych do państw trzecich. Kopie SKU są dostępne na żądanie pod adresem gdpr@goautonomi.com.
7. Prawa osób, których dane dotyczą
Osoby w UE mają następujące prawa na mocy RODO. Aby skorzystać z dowolnego prawa, prosimy o przesłanie wniosku na adres gdpr@goautonomi.com. Odpowiemy w ciągu 30 dni kalendarzowych (z możliwością przedłużenia o kolejne 2 miesiące w przypadku złożonych wniosków, z wcześniejszym powiadomieniem).
7.1 Prawo dostępu (art. 15)
Mają Państwo prawo do uzyskania potwierdzenia, czy przetwarzamy Państwa dane osobowe, oraz do otrzymania kopii tych danych wraz z informacjami o czynnościach przetwarzania.
7.2 Prawo do sprostowania (art. 16)
Mają Państwo prawo żądania niezwłocznego poprawienia nieprawidłowych lub niekompletnych danych osobowych.
7.3 Prawo do usunięcia danych (art. 17)
Mają Państwo prawo żądania usunięcia swoich danych osobowych, gdy:
- Dane nie są już niezbędne do celu, w jakim zostały zgromadzone
- Wycofali Państwo zgodę i nie istnieje inna podstawa prawna
- Wnieśli Państwo sprzeciw wobec przetwarzania i nie istnieją nadrzędne prawnie uzasadnione podstawy
- Dane były przetwarzane niezgodnie z prawem
Prawo to nie ma zastosowania, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego lub do ustalenia, dochodzenia lub obrony roszczeń.
7.4 Prawo do ograniczenia przetwarzania (art. 18)
Mają Państwo prawo żądania ograniczenia przetwarzania swoich danych w określonych okolicznościach, w tym gdy kwestionowana jest prawidłowość danych lub sprzeciw jest w toku.
7.5 Prawo do przenoszenia danych (art. 20)
Gdy przetwarzanie odbywa się na podstawie zgody lub umowy i jest realizowane w sposób zautomatyzowany, mają Państwo prawo do otrzymania swoich danych osobowych w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie (JSON lub CSV) oraz do przesłania ich innemu administratorowi.
7.6 Prawo do sprzeciwu (art. 21)
Mają Państwo prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie lub w celach marketingu bezpośredniego. Zaprzestaniemy przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw nadrzędnych wobec Państwa interesów.
Aby zgłosić sprzeciw wobec marketingu bezpośredniego: wypisz się z dowolnej wiadomości e-mail lub skontaktuj się pod adresem privacy@goautonomi.com.
7.7 Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (art. 22)
AUTONOMi nie podejmuje decyzji wywołujących istotne skutki prawne wobec osób, opartych wyłącznie na zautomatyzowanym przetwarzaniu.
7.8 Prawo do wycofania zgody
Gdy przetwarzanie odbywa się na podstawie zgody, mają Państwo prawo do wycofania zgody w dowolnym momencie. Wycofanie nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem.
8. Organ nadzorczy
Osoby, których dane dotyczą w UE, mają prawo złożyć skargę do właściwego organu nadzorczego ds. ochrony danych:
Niemcy:
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Strona internetowa: bfdi.bund.de
Polska:
Urząd Ochrony Danych Osobowych (UODO)
Strona internetowa: uodo.gov.pl
Mają Państwo również prawo do dochodzenia swoich roszczeń przed sądami w kraju Państwa zwykłego pobytu.
9. Umowy powierzenia przetwarzania danych
AUTONOMi zawiera Umowę Powierzenia Przetwarzania Danych (UPP) z:
- Wszystkimi klientami z UE korzystającymi z platformy AUTONOMi (wymagane na mocy art. 28 RODO)
- Wszystkimi podwykonawcami przetwarzania, którzy przetwarzają dane osobowe w imieniu AUTONOMi
9.1 Wymagania UPP
Nasza UPP zawiera:
- Przedmiot i czas trwania przetwarzania
- Charakter i cel przetwarzania
- Rodzaj danych osobowych i kategorie osób, których dane dotyczą
- Obowiązki i prawa administratora
- Wymagania dotyczące upoważnienia i powiadamiania o podwykonawcach przetwarzania
- Usunięcie lub zwrot danych po zakończeniu umowy
- Środki bezpieczeństwa (techniczne i organizacyjne)
- Pomoc w realizacji wniosków osób, których dane dotyczą
Aby złożyć wniosek o UPP: gdpr@goautonomi.com
9.2 Podwykonawcy przetwarzania
AUTONOMi korzysta z następujących kategorii podwykonawców przetwarzania, którzy mogą przetwarzać dane osobowe z UE:
| Kategoria | Przykłady | Czynność przetwarzania |
|---|---|---|
| Infrastruktura chmurowa | AWS, Google Cloud | Przechowywanie danych i hosting |
| Przetwarzanie płatności | Stripe | Rozliczenia i zarządzanie subskrypcjami |
| CRM i wsparcie | HubSpot, Intercom | Komunikacja z klientami |
| Analityka | Google Analytics | Analityka użytkowania |
| Platformy reklamowe | Google Ads, Meta, LinkedIn | Realizacja kampanii (dane klientów) |
| Dostarczanie e-maili | SendGrid lub równoważny | E-maile transakcyjne |
Aktualna lista podwykonawców przetwarzania jest dostępna na żądanie pod adresem gdpr@goautonomi.com. Powiadomimy klientów z 30-dniowym wyprzedzeniem o dodaniu nowych podwykonawców przetwarzania.
10. Powiadamianie o naruszeniu ochrony danych
10.1 Reakcja wewnętrzna
Po wykryciu naruszenia ochrony danych osobowych AUTONOMi:
- Ograniczy naruszenie i oceni ryzyko dla osób, których dane dotyczą
- Udokumentuje naruszenie w naszym rejestrze incydentów
- Powiadomi właściwy organ nadzorczy, jeśli jest to wymagane
10.2 Powiadomienie organu nadzorczego
Gdy naruszenie może skutkować ryzykiem dla praw i wolności osób fizycznych, powiadomimy właściwy organ nadzorczy w ciągu 72 godzin od powzięcia wiadomości o naruszeniu, zgodnie z art. 33 RODO.
Powiadomienie będzie zawierać:
- Charakter naruszenia oraz kategorie/liczbę poszkodowanych osób, których dane dotyczą
- Dane kontaktowe naszego IOD lub osoby kontaktowej ds. RODO
- Prawdopodobne konsekwencje naruszenia
- Podjęte lub proponowane środki w celu zaradzenia naruszeniu
10.3 Powiadomienie osób, których dane dotyczą
Gdy naruszenie może skutkować wysokim ryzykiem dla praw i wolności osób, których dane dotyczą, powiadomimy poszkodowane osoby bez zbędnej zwłoki, zgodnie z art. 34 RODO.
10.4 Powiadomienie klienta (rola podmiotu przetwarzającego)
Gdy naruszenie dotyczy danych klienta, dla których AUTONOMi działa jako podmiot przetwarzający, powiadomimy odpowiedniego administratora bez zbędnej zwłoki, aby umożliwić klientowi wypełnienie jego własnych obowiązków powiadamiania.
11. Ochrona danych w fazie projektowania i domyślna ochrona danych
AUTONOMi wdraża ochronę danych w fazie projektowania i domyślną ochronę danych zgodnie z art. 25 RODO:
- Środki techniczne: Szyfrowanie danych w trakcie przesyłu i w stanie spoczynku, pseudonimizacja, gdy ma to zastosowanie, kontrola dostępu
- Środki organizacyjne: Oceny skutków dla ochrony danych (DPIA) dla czynności przetwarzania o wysokim ryzyku, szkolenia pracowników, polityki dostępu opartego na zasadzie najmniejszych uprawnień
- Ustawienia domyślne: Domyślne ustawienia chroniące prywatność — brak nieistotnych plików cookie bez zgody, minimalne gromadzenie danych, opt-in (nie opt-out) dla komunikacji marketingowej
12. Oceny skutków dla ochrony danych
AUTONOMi przeprowadza oceny skutków dla ochrony danych (DPIA) przed podjęciem czynności przetwarzania o wysokim ryzyku, w tym:
- Przetwarzanie danych osobowych na dużą skalę
- Systematyczne monitorowanie osób
- Przetwarzanie szczególnych kategorii danych
- Nowe technologie, które mogą stwarzać znaczące ryzyko
Dokumentacja DPIA jest prowadzona wewnętrznie i udostępniana organom nadzorczym na żądanie.
13. Wymagania specyficzne dla Niemiec (BDSG)
Oprócz wymogów RODO, AUTONOMi spełnia wymogi niemieckiej Federalnej Ustawy o Ochronie Danych (BDSG):
- Dane pracowników są przetwarzane zgodnie z §26 BDSG
- Środki techniczne i organizacyjne są zgodne ze standardami BSI IT-Grundschutz (Załącznik 1), gdy ma to zastosowanie
- Wnioski osób, których dane dotyczą, od rezydentów Niemiec są realizowane w 30-dniowym terminie RODO
Niemiecki organ nadzorczy dla niemieckich operacji AUTONOMi:
Landesbeauftragter für Datenschutz und Informationsfreiheit (właściwy organ krajowy w zależności od siedziby AUTONOMi w Niemczech lub BfDI w sprawach transgranicznych)
14. Wymagania specyficzne dla Polski
AUTONOMi spełnia polskie przepisy wdrażające RODO oraz stosowne wytyczne Urzędu Ochrony Danych Osobowych (UODO):
- Wnioski osób, których dane dotyczą, od rezydentów Polski są realizowane w 30-dniowym terminie RODO
- Marketing skierowany do rezydentów Polski jest prowadzony wyłącznie na podstawie ważnej zgody lub udokumentowanej oceny prawnie uzasadnionego interesu
Polski organ nadzorczy:
Urząd Ochrony Danych Osobowych (UODO)
Strona internetowa: uodo.gov.pl
15. Aktualizacje polityki
Dokonujemy przeglądu i aktualizacji niniejszej Polityki Zgodności z RODO co najmniej raz w roku lub gdy:
- Następują istotne zmiany w naszych czynnościach przetwarzania
- Nowe wytyczne UE lub decyzje regulacyjne mają wpływ na nasze obowiązki w zakresie zgodności
- Rozszerzamy działalność na nowe rynki UE lub dodajemy nowe czynności przetwarzania danych
Powiadomimy zarejestrowanych użytkowników z UE o istotnych zmianach drogą e-mailową z 30-dniowym wyprzedzeniem.
16. Kontakt
W sprawie zapytań dotyczących RODO, wniosków o realizację praw osób, których dane dotyczą, lub wniosków o UPP:
Kontakt AUTONOMi ds. RODO
E-mail: gdpr@goautonomi.com
Strona internetowa: goautonomi.com
W sprawie ogólnych zapytań dotyczących prywatności:
E-mail: privacy@goautonomi.com