Mototeo

Polityka Prywatności

Wersja 1.0 · Obowiązuje od: 2026-05-12

⚠️ Wersja robocza. Treść do finalnej weryfikacji prawnej (IODO/prawnik RODO) przed pre-launch produkcyjnym.

1. Administrator danych

Administratorem Twoich danych osobowych jest Mototeo sp. z o.o. (w organizacji), z siedzibą w Polsce. Kontakt: hello@mototeo.pl.

W sprawach związanych z ochroną danych osobowych można kontaktować się z Inspektorem Ochrony Danych: iod@mototeo.pl.

2. Podstawa prawna i cele przetwarzania (RODO art. 6)

Przetwarzamy Twoje dane na następujących podstawach:

  • Art. 6 ust. 1 lit. b RODO — wykonanie umowy (świadczenie usług platformy)
  • Art. 6 ust. 1 lit. c RODO — obowiązek prawny (księgowość, RODO, KSeF)
  • Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (bezpieczeństwo, marketing własny, analityka)
  • Art. 6 ust. 1 lit. a RODO — zgoda (newsletter, profilowanie marketingowe)

3. Zakres przetwarzanych danych

3.1. Dane konta

  • Adres email
  • Imię i nazwisko
  • Numer telefonu
  • Hasło (przechowywane w postaci zaszyfrowanej — bcrypt)

3.2. Dane organizacji (warsztat, flota, SKP)

  • Nazwa firmy, NIP, REGON, adres
  • Lokalizacje (adres, koordynaty geograficzne)
  • Lista pracowników z rolami

3.3. Dane operacyjne

  • Pojazdy (numer rejestracyjny, VIN, marka, model, rok)
  • Klienci stali (imię, nazwisko, telefon, email — tylko dla SKP/warsztat)
  • Zlecenia, kosztorysy, przeglądy
  • Komunikacja (wiadomości, notatki)

3.4. Dane techniczne

  • Adres IP
  • Typ przeglądarki, system operacyjny
  • Logi aktywności (audit log)
  • Cookies (techniczne — niezbędne do działania, nie wymagają zgody)

4. Okres przechowywania danych

  • Dane konta — do czasu usunięcia konta + 30 dni (możliwość odzyskania)
  • Dane operacyjne (zlecenia, faktury) — 5 lat (wymóg podatkowy)
  • Audit log — 2 lata
  • Logi techniczne — 90 dni

5. Twoje prawa (RODO art. 15-22)

Masz prawo do:

  • Dostępu do swoich danych (art. 15)
  • Sprostowania nieprawidłowych danych (art. 16)
  • Usunięcia danych — „prawo do bycia zapomnianym” (art. 17)
  • Ograniczenia przetwarzania (art. 18)
  • Przenoszenia danych w formacie maszynowym (art. 20) — eksport CSV/JSON dostępny w panelu
  • Sprzeciwu wobec przetwarzania (art. 21)
  • Wycofania zgody w dowolnym momencie (jeśli przetwarzanie odbywa się na podstawie zgody)
  • Wniesienia skargi do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych)

6. Odbiorcy danych

Twoje dane mogą być przekazywane:

  • Supabase Inc. (hosting bazy danych — serwery w UE/Frankfurt) — procesor danych z umową DPA
  • Vercel Inc. (hosting aplikacji — serwery w UE/Sztokholm) — procesor danych z umową DPA
  • Resend / Postmark (wysyłka emaili transakcyjnych) — procesor
  • SMSAPI (wysyłka SMS) — procesor
  • Google LLC (Google Places autocomplete dla lokacji) — tylko zapytania o adresy
  • NHTSA (decoder VIN) — tylko numer VIN, brak innych danych
  • Inne warsztaty/floty — TYLKO w ramach świadczenia usługi (np. zlecenie wysyłane do warsztatu zawiera dane pojazdu i kontakt)

7. Bezpieczeństwo danych

  • Multi-tenant isolation — Twoje dane są technicznie odizolowane od danych innych organizacji (Row Level Security w bazie PostgreSQL)
  • Szyfrowanie — HTTPS/TLS 1.3 dla całej komunikacji
  • Hasła — przechowywane jako bcrypt hash (nieodwracalne)
  • Backups — automatyczne kopie zapasowe + Point-in-Time Recovery (7 dni)
  • Audit log — pełna historia zmian, kto/kiedy/skąd
  • Penetration tests — coroczne (od Q1 2027)

8. Cookies

Używamy następujących rodzajów cookies:

  • Niezbędne — sesja, autentykacja (nie wymagają zgody)
  • Analityczne — Vercel Analytics + PostHog (anonimizowane, IP zamaskowany)
  • Funkcjonalne — preferencje (dark mode, język) — wymagają zgody

Możesz zarządzać cookies w ustawieniach przeglądarki lub w panelu Twojego konta.

9. Transfer poza UE

Dane przechowywane są w UE (Frankfurt — Supabase, Sztokholm — Vercel). Niektórzy procesorzy (np. NHTSA dla VIN decoder) mogą znajdować się w USA — w tym przypadku transfer odbywa się na podstawie standardowych klauzul umownych UE (SCC) lub Data Privacy Framework.

10. Profilowanie i automatyczne decyzje

Nie podejmujemy decyzji wywołujących skutki prawne na podstawie automatycznego profilowania. Algorytmy używane w platformie (np. wyszukiwarka warsztatów, predykcyjny serwis) są jawne i podlegają ludzkiej kontroli.

11. Zmiany Polityki

Zastrzegamy prawo do zmian Polityki Prywatności. O istotnych zmianach poinformujemy email-em z 14-dniowym wyprzedzeniem.

Pytania? Napisz: iod@mototeo.pl