anyway.rent.

polityka prywatności.

Polityka Prywatności anyway.rent

Wersja 1.0 — data wejścia w życie: 2026-05-23

§1. Postanowienia ogólne

  1. Niniejsza Polityka Prywatności (dalej „Polityka”) określa zasady przetwarzania danych osobowych Najemców i osób korzystających ze strony internetowej Wynajmującego w związku z usługami krótkoterminowego najmu motocykli świadczonymi pod marką anyway.rent.
  2. Polityka stanowi realizację obowiązku informacyjnego z art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”).
  3. Polityka jest udostępniana Najemcy w formularzu rezerwacji przed zawarciem Umowy Najmu i jest akceptowana odrębnym oświadczeniem (osobne pole akceptacji obok akceptacji Regulaminu).
  4. Pojęcia pisane wielką literą i niezdefiniowane w Polityce mają znaczenie nadane im w Regulaminie świadczenia usług anyway.rent.

§2. Administrator danych osobowych

  1. Administratorem danych osobowych jest Marcin Kasprowicz, prowadzący jednoosobową działalność gospodarczą wpisaną do CEIDG, posługujący się w obrocie nazwą handlową anyway.rent:
    1. NIP: 9212000334,
    2. adres siedziby: Aleja Pokoju 81B/62, 31-564 Kraków,
    3. punkt odbioru / garaż: Sołtysowska 37, 31-589 Kraków,
    4. e-mail kontaktowy w sprawach ochrony danych: marcin@anywayrent.pl,
    5. telefon: +48 789 773 558.
  2. Wszelkie zapytania, wnioski i sprzeciwy dotyczące przetwarzania danych osobowych Najemca może kierować pisemnie na adres siedziby albo elektronicznie na adres e-mail wskazany w ust. 1 pkt 4.
  3. Administrator nie powołał Inspektora Ochrony Danych (IOD) — nie istnieje obowiązek prawny powołania IOD wynikający z art. 37 RODO, a skala i charakter przetwarzania nie wymagają stałego nadzoru.

§3. Kategorie przetwarzanych danych

W związku z procesem rezerwacji, zawarcia i wykonania Umowy Najmu Administrator przetwarza następujące kategorie danych osobowych Najemcy:

  1. Dane identyfikacyjne: imię, nazwisko, PESEL, numer i kategoria prawa jazdy (kat. A), numer i seria dokumentu tożsamości (dowód osobisty albo paszport — okazywany przy odbiorze, bez wykonywania skanów ani fotokopii, jedynie weryfikacja wizualna i wpis numeru w PZO), adres zamieszkania, data urodzenia.
  2. Dane kontaktowe: adres e-mail, numer telefonu.
  3. Dane płatnicze: dane karty płatniczej, numer rachunku bankowego (IBAN) podany dla zwrotu Kaucji, historie transakcji w systemie Operatora Płatności. Pełne dane karty płatniczej (PAN, CVV) nigdy nie są przetwarzane ani przechowywane przez Administratora — przetwarzane są wyłącznie przez Operatora Płatności (Stripe) w sposób zgodny ze standardem PCI DSS.
  4. Dane lokalizacyjne (GPS): dane geolokalizacyjne Pojazdu rejestrowane w okresie najmu przez urządzenie telematyczne Teltonika FMC880 zainstalowane w Pojeździe (współrzędne GPS, prędkość, zdarzenia akcelerometryczne, znaczniki geofencing). Dane lokalizacyjne nie identyfikują Najemcy bezpośrednio, ale w połączeniu z Umową umożliwiają pośrednie powiązanie z Najemcą — dlatego są traktowane jako dane osobowe Najemcy w okresie obowiązywania Umowy.
  5. Dane z PZO (Protokół Zdawczo-Odbiorczy): dokumentacja fotograficzna stanu Pojazdu przy wydaniu i zwrocie, podpis Najemcy w formie elektronicznej, opisy stanu, ewentualne zastrzeżenia.
  6. Dane korespondencyjne: treść korespondencji elektronicznej z Najemcą (e-mail, SMS), zgłoszenia reklamacyjne, treść rozmów telefonicznych w zakresie obejmującym ustalenia operacyjne (Administrator nie nagrywa rozmów telefonicznych).
  7. Dane techniczne strony internetowej: adres IP, typ przeglądarki, system operacyjny, dane sesji formularza rezerwacji (włącznie z czasem, wersją Regulaminu i Polityki zaakceptowanymi przez Najemcę).

Administrator nie przetwarza szczególnych kategorii danych w rozumieniu art. 9 RODO (m.in. danych dotyczących zdrowia, biometrycznych, dotyczących pochodzenia rasowego lub etnicznego).

§4. Cele i podstawy prawne przetwarzania

# Cel przetwarzania Kategorie danych (§3) Podstawa prawna Okres przechowywania
1 Zawarcie i wykonanie Umowy Najmu (rezerwacja, weryfikacja CEPiK, wydanie, zwrot, rozliczenie) 1, 2, 3, 5, 6 art. 6 ust. 1 lit. b RODO (wykonanie umowy) 6 lat od zakończenia Umowy — okres przedawnienia roszczeń (art. 118 KC)
2 Wystawienie i przechowywanie dokumentów księgowych (faktury, ewidencje, deklaracje) 1, 2, 3 art. 6 ust. 1 lit. c RODO (obowiązek prawny — Ordynacja podatkowa, ustawa o VAT) 5 lat od końca roku obrotowego
3 Monitorowanie Pojazdu i ochrona przed kradzieżą / przywłaszczeniem 4 art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora — ochrona Pojazdu o znacznej wartości) 30 dni po zwrocie Pojazdu; dłużej wyłącznie w razie aktywnego postępowania (kradzież, spór, likwidacja szkody)
4 Wskazanie danych Najemcy jako kierującego Pojazdem na żądanie organów (mandaty, wykroczenia, kolizje) 1, 2 art. 6 ust. 1 lit. c RODO (obowiązek prawny — art. 78 ust. 4 ustawy Prawo o ruchu drogowym) przez okres istnienia obowiązku informacyjnego oraz okres przedawnienia roszczenia administracyjnego
5 Likwidacja szkód komunikacyjnych i obsługa roszczeń z polisy OC/AC 1, 2, 4, 5, 6 art. 6 ust. 1 lit. b i f RODO przez okres trwania postępowania likwidacyjnego oraz okres przedawnienia roszczeń ubezpieczeniowych
6 Dochodzenie i obrona roszczeń (sądowych, przedsądowych, polubownych) wszystkie kategorie odpowiednio art. 6 ust. 1 lit. f RODO do prawomocnego zakończenia postępowania lub upływu okresu przedawnienia roszczeń
7 Obsługa reklamacji Najemcy 1, 2, 5, 6 art. 6 ust. 1 lit. c i f RODO 6 lat od daty wpływu reklamacji
8 Bezpieczeństwo strony internetowej, formularza rezerwacji i komunikacji elektronicznej 7 art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — bezpieczeństwo systemów IT) logi serwera: 12 miesięcy; dane sesji formularza rezerwacji wraz z wersją zaakceptowanego Regulaminu i Polityki: 6 lat

Administrator nie przetwarza danych osobowych w celach marketingowych i nie prowadzi działań typu newsletter, profilowanie ofertowe ani remarketing.

§5. Odbiorcy danych — procesorzy i podmioty współpracujące

Dane osobowe Najemcy mogą być udostępniane następującym kategoriom odbiorców, wyłącznie w zakresie i celu wskazanym powyżej:

  1. Operator Płatności — Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlandia); dane karty i transakcji są przetwarzane przez Stripe jako odrębny administrator danych płatniczych zgodnie z polityką prywatności Stripe (https://stripe.com/privacy). Stripe Payments Europe Ltd. współpracuje z Stripe, Inc. z siedzibą w Stanach Zjednoczonych — patrz §7 (transfery poza EOG).
  2. Ubezpieczyciel — Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. (ul. Hestii 1, 81-731 Sopot) — w zakresie obsługi polis OC/AC, likwidacji szkód i prowadzonych postępowań.
  3. Platforma telematyczna — Traccar Ltd. (Wielka Brytania), operator usługi SaaS obsługującej urządzenie Teltonika FMC880. Dane GPS są przesyłane bezpośrednio z urządzenia FMC880 zainstalowanego w Pojeździe przez sieć komórkową do serwerów Traccar; Administrator korzysta z dashboardu Traccar w celu monitorowania lokalizacji Pojazdu. Polityka prywatności Traccar: https://www.traccar.org/privacy/.
  4. Dostawca poczty transakcyjnej — Resend, Inc. (2261 Market Street #4471, San Francisco, CA 94114, USA) — wysyłka e-maili rezerwacyjnych, potwierdzeń, dokumentów Umowy i komunikacji w sprawie najmu. Resend jest organizacją certyfikowaną w ramach EU-U.S. Data Privacy Framework (DPF) oraz stosuje standardowe klauzule umowne UE (SCC) — patrz §7.
  5. Dostawca systemu fakturowania — Web INnovative Software Sp. z o.o. (właściciel serwisu wFirma.pl), ul. Bolesława Krzywoustego 105/21, 51-166 Wrocław, NIP: 8951930031 — w zakresie wystawiania, przechowywania i archiwizacji faktur dla Najemców.
  6. Dostawca usług hostingowych i bazy danych — Fly.io, Inc. (2261 Market Street #4711, San Francisco, CA 94114, USA), region serwerowy: Frankfurt (Niemcy) — przechowywanie danych Umowy, PZO, dokumentów elektronicznych i konfiguracji aplikacji. Dane fizycznie znajdują się na terenie EOG (Niemcy); operator Fly.io, Inc. ma siedzibę w USA — szczegóły dotyczące transferu w §7. Fly.io udostępnia standardowe klauzule umowne UE w ramach DPA.
  7. Organy administracji publicznej, organy ścigania, sądy, organy podatkowe — w zakresie wynikającym z obowiązków ustawowych (mandaty, wykroczenia, postępowania karne, podatkowe).
  8. Profesjonalni doradcy — kancelarie prawne, rzeczoznawcy, autoryzowane stacje obsługi (ASO), warsztaty naprawcze — wyłącznie w zakresie niezbędnym do realizacji konkretnej sprawy.

Z każdym z procesorów wskazanych w pkt 1, 3-6 Administrator zawarł umowę powierzenia przetwarzania danych osobowych (art. 28 RODO) albo opiera współpracę na ustandaryzowanych warunkach przetwarzania udostępnianych przez procesora (DPA — Data Processing Addendum).

§6. Procesor zewnętrzny — Stripe i przetwarzanie danych płatniczych

  1. Płatności online są obsługiwane przez Stripe Payments Europe, Ltd. — dostawcę usług płatniczych z siedzibą w Irlandii, działającego na podstawie zezwolenia Banku Centralnego Irlandii.
  2. Stripe przetwarza dane karty płatniczej (PAN, CVV, data ważności) jako niezależny administrator danych płatniczych, w sposób zgodny ze standardem PCI DSS Level 1. Administrator anyway.rent nie otrzymuje pełnych danych karty — otrzymuje wyłącznie token płatności oraz metadane transakcji (kwota, status, ostatnie 4 cyfry karty, znacznik czasu).
  3. Polityka prywatności Stripe dostępna jest pod adresem: https://stripe.com/privacy.
  4. Standardy bezpieczeństwa Stripe oraz zakres przetwarzanych przez nią danych dostępne są pod adresem: https://stripe.com/legal/dpa (Stripe Data Processing Addendum).

§7. Transfer danych poza Europejski Obszar Gospodarczy

  1. W ramach świadczenia usług niektórzy procesorzy wskazani w §5 mają siedzibę w Stanach Zjednoczonych lub mogą uzyskać dostęp do danych z USA:
    1. Stripe, Inc. (354 Oyster Point Boulevard, South San Francisco, CA 94080, USA) — podmiot powiązany ze Stripe Payments Europe, Ltd., przetwarzający dane płatnicze;
    2. Resend, Inc. (San Francisco, CA, USA) — dostawca poczty transakcyjnej;
    3. Fly.io, Inc. (San Francisco, CA, USA) — operator infrastruktury hostingowej. Dane Najemcy fizycznie znajdują się w centrum danych we Frankfurcie (Niemcy, terytorium EOG); Fly.io, Inc. jako operator może potencjalnie uzyskać dostęp administracyjny do tych danych z USA w zakresie świadczenia usług hostingowych.
  2. Transfer danych osobowych do USA odbywa się na podstawie decyzji wykonawczej Komisji (UE) 2023/1795 z dnia 10 lipca 2023 r. stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniany przez ramy ochrony danych UE–USA (EU-U.S. Data Privacy Framework — DPF), o ile dany procesor jest certyfikowany w ramach DPF. Status certyfikacji można zweryfikować pod adresem: https://www.dataprivacyframework.gov/list.
  3. Dodatkowo wszyscy wskazani procesorzy stosują standardowe klauzule umowne zatwierdzone przez Komisję Europejską (SCC — Standard Contractual Clauses) na wypadek zmiany ram prawnych dla transferów.
  4. Transfer danych do Wielkiej Brytanii — w ramach korzystania z platformy telematycznej Traccar Ltd. dochodzi do transferu danych lokalizacyjnych do Wielkiej Brytanii. Transfer odbywa się na podstawie decyzji wykonawczej Komisji (UE) 2021/1772 z dnia 28 czerwca 2021 r. stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniany przez Zjednoczone Królestwo.
  5. Pozostali procesorzy wskazani w §5 (wFirma) przetwarzają dane wyłącznie na terenie Europejskiego Obszaru Gospodarczego.

§8. Prawa Najemcy w związku z przetwarzaniem danych

Najemcy przysługują następujące prawa wynikające z RODO:

  1. Prawo dostępu do danych (art. 15 RODO) — Najemca może żądać informacji o tym, jakie dane są przetwarzane, w jakim celu i przez kogo, oraz otrzymać kopię tych danych.
  2. Prawo do sprostowania (art. 16 RODO) — Najemca może żądać korekty danych nieprawidłowych albo uzupełnienia danych niekompletnych.
  3. Prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO) — z zastrzeżeniem obowiązków prawnych Administratora (przepisy podatkowe, księgowe, okres przedawnienia roszczeń).
  4. Prawo do ograniczenia przetwarzania (art. 18 RODO).
  5. Prawo do przenoszenia danych (art. 20 RODO) — gdy przetwarzanie odbywa się na podstawie umowy lub zgody i w sposób zautomatyzowany.
  6. Prawo do sprzeciwu (art. 21 RODO) — wyraźnie i odrębnie ujawnione poniżej, w §9.
  7. Prawo wycofania zgody (art. 7 ust. 3 RODO) — gdy podstawą przetwarzania jest zgoda; wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem.
  8. Prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl), jeżeli Najemca uzna, że przetwarzanie jego danych narusza przepisy RODO.

Wniosek w zakresie praw z pkt 1-7 Najemca składa pisemnie na adres siedziby Administratora albo elektronicznie na adres e-mail wskazany w §2 ust. 1. Administrator odpowiada na wniosek bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania wniosku (art. 12 ust. 3 RODO). W przypadku skomplikowanego wniosku lub dużej liczby wniosków termin może zostać przedłużony o kolejne dwa miesiące — o czym Administrator informuje Najemcę w terminie miesiąca od otrzymania wniosku.

§9. Prawo sprzeciwu — informacja wyraźna i odrębna (art. 21 RODO)

Najemcy przysługuje prawo do wniesienia w dowolnym momencie sprzeciwu — z przyczyn związanych z jego szczególną sytuacją — wobec przetwarzania danych osobowych, którego podstawą prawną jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).

Sprzeciw może dotyczyć w szczególności:

  1. przetwarzania danych lokalizacyjnych Pojazdu zarejestrowanych przez urządzenie telematyczne (§4 cel nr 3);
  2. dochodzenia i obrony roszczeń (§4 cel nr 6);
  3. zapewnienia bezpieczeństwa strony internetowej i formularza rezerwacji (§4 cel nr 8).

W razie wniesienia sprzeciwu Administrator zaprzestaje przetwarzania danych objętych sprzeciwem, chyba że wykaże istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności Najemcy, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

W przypadku danych lokalizacyjnych w okresie obowiązywania Umowy Najmu Administrator co do zasady wykazuje przesłanki nadrzędne — ochronę Pojazdu o znacznej wartości oraz prawidłowe wykonanie Umowy — i może kontynuować przetwarzanie do momentu zwrotu Pojazdu. Najemca, który nie zgadza się na monitorowanie lokalizacji w okresie najmu, powinien wstrzymać się z zawarciem Umowy. Po zwrocie Pojazdu dane lokalizacyjne dotyczące Najemcy są usuwane automatycznie w terminie 30 dni, z wyjątkiem aktywnego postępowania (likwidacja szkody, kradzież, spór sądowy).

§10. Wymóg podania danych i konsekwencje ich niepodania

  1. Podanie danych osobowych wskazanych w §3 pkt 1-3 i 5 jest dobrowolne, jednak niezbędne do zawarcia i wykonania Umowy Najmu. Brak ich podania uniemożliwia weryfikację uprawnień Najemcy w CEPiK oraz finalizację rezerwacji.
  2. Przetwarzanie danych lokalizacyjnych Pojazdu (§3 pkt 4) jest integralnym warunkiem najmu — Pojazd jest wyposażony w urządzenie telematyczne fabrycznie, a wyłączenie monitoringu w okresie najmu nie jest możliwe.
  3. Podanie numeru rachunku bankowego (IBAN) dla zwrotu Kaucji jest dobrowolne; nieprzekazanie IBAN skutkuje zwrotem Kaucji na kartę płatniczą w terminie do 10 dni roboczych (zamiast 2 dni roboczych przelewem).

§11. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator nie podejmuje wobec Najemcy decyzji w sposób zautomatyzowany, w tym poprzez profilowanie, które wywoływałyby skutki prawne lub w podobnie istotny sposób wpływały na Najemcę (art. 22 RODO). Decyzje w sprawie zawarcia Umowy, oceny szkód i rozliczenia Kaucji są podejmowane przez Administratora wyłącznie ręcznie, na podstawie oceny indywidualnej sytuacji.

§12. Bezpieczeństwo danych

  1. Administrator stosuje środki techniczne i organizacyjne adekwatne do ryzyka, w tym: szyfrowanie połączeń (TLS), kontrolę dostępu do systemów, uwierzytelnianie wieloskładnikowe (2FA) dla dostępu do panelu administracyjnego, kopie zapasowe, ograniczenie dostępu do danych do osób upoważnionych.
  2. Numer PESEL i numer prawa jazdy Najemcy są przechowywane w bazie danych w postaci zaszyfrowanej (szyfrowanie na poziomie kolumny — column-level encryption).
  3. W razie naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności Najemcy, Administrator zawiadamia Najemcę bez zbędnej zwłoki, zgodnie z art. 34 RODO.

§13. Pliki cookies

  1. Strona internetowa Administratora wykorzystuje wyłącznie pliki cookies niezbędne — niewielkie pliki tekstowe zapisywane przez przeglądarkę Najemcy na jego urządzeniu w celu zapewnienia podstawowych funkcji strony (utrzymanie sesji formularza rezerwacji, zapis stanu wyboru Pojazdu i terminu, zapis preferencji językowych). Cookies niezbędne nie wymagają odrębnej zgody Najemcy — ich stosowanie odbywa się na podstawie art. 173 ust. 3 ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne.
  2. Administrator nie stosuje cookies analitycznych, marketingowych ani profilujących, w tym narzędzi analityki ruchu (np. Google Analytics) oraz pikseli reklamowych (np. Meta Pixel). Jeżeli w przyszłości Administrator wdroży takie narzędzia, na stronie pojawi się baner cookies umożliwiający Najemcy świadome wyrażenie albo odmowę zgody, a niniejsza Polityka zostanie odpowiednio zaktualizowana.
  3. Najemca może w dowolnym momencie zmienić ustawienia cookies przeglądarki, w tym zablokować zapisywanie wszystkich cookies. Zablokowanie cookies niezbędnych może uniemożliwić prawidłowe działanie formularza rezerwacji.

§14. Postanowienia końcowe

  1. Aktualną wersję Polityki Administrator publikuje na swojej stronie internetowej wraz z datą wejścia w życie i numerem wersji.
  2. Administrator zastrzega sobie prawo do zmiany Polityki w razie zmiany przepisów prawa, zmiany zakresu lub charakteru przetwarzania danych. Zmiany Polityki nie mają mocy wstecznej — do Umów zawartych przed zmianą Polityki stosuje się Politykę w wersji obowiązującej w dacie zawarcia Umowy.
  3. W sprawach nieuregulowanych w Polityce zastosowanie mają przepisy RODO, ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz przepisy szczegółowe wskazane w treści Polityki.

Koniec Polityki Prywatności — wersja 1.0 (DRAFT)