Polityka prywatności
Ostatnia aktualizacja: 04.07.2026
§1 Postanowienia ogólne i dane Administratora
- Niniejsza Polityka Prywatności określa zasady, podstawy prawne, zakres oraz sposoby przetwarzania i ochrony danych osobowych Użytkowników korzystających z platformy internetowej CARIZO.
- Administratorem danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) jest Wiktor Niezgoda prowadzący jednoosobową działalność gospodarczą pod firmą CARIZO Wiktor Niezgoda z siedzibą w Krakowie, pod adresem: ul. Henryka Pachońskiego 7/60, 31-223 Kraków, wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej pod numerem NIP: 9452331007, REGON: 544870688 (dalej jako: „Administrator" lub „CARIZO").
- W celu zapewnienia najwyższego standardu ochrony danych, Administrator wyznaczył punkt kontaktowy, za pośrednictwem którego Użytkownik może zgłaszać wszelkie zapytania oraz realizować swoje prawa związane z prywatnością, dostępny pod adresem e-mail: kontakt@carizo.eu.
- Inspektor Ochrony Danych (IOD/DPO): Administrator nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych w rozumieniu art. 37 RODO, gdyż przetwarzanie danych przez CARIZO nie stanowi działalności wymagającej regularnego i systematycznego monitorowania podmiotów danych na dużą skalę ani nie obejmuje przetwarzania danych szczególnych kategorii na dużą skalę. Wszelkie żądania dotyczące danych osobowych należy kierować bezpośrednio do Administratora na adres e-mail: kontakt@carizo.eu.
§2 Kategorie, źródła i metody uwierzytelniania przetwarzanych danych
CARIZO przetwarza dane osobowe pozyskane bezpośrednio od Użytkowników podczas procedury rejestracji Konta, interakcji z interfejsem Serwisu, a także pakiety danych przekazywane za pośrednictwem zewnętrznych dostawców usług uwierzytelniających. Zakres oraz struktura przetwarzanych informacji są ściśle uwarunkowane wybraną przez Użytkownika metodą autoryzacji:
- Użytkownik Przeglądający (Kupujący bez Konta):
- Dane telemetryczne i sprzętowe: adres IP, identyfikatory urządzeń mobilnych, typ i konfiguracja przeglądarki internetowej, system operacyjny, rozdzielczość ekranu.
- Dane behawioralne i analityczne: historia wyszukiwań pojazdów, parametry filtrowania (marka, model, przedział cenowy), czas spędzony na kartach konkretnych ogłoszeń, zdarzenia konwersji.
- Dane lokalizacyjne: przybliżone położenie geograficzne (na poziomie miasta/województwa) wykorzystywane do celów sortowania odległości ofert.
- Użytkownik Zarejestrowany – Dane zbierane w zależności od metody rejestracji i logowania:
- Klasyczna metoda uwierzytelniania (E-mail i Hasło): adres e-mail, imię i nazwisko, numer telefonu kontaktowego oraz hasło dostępu, które zostaje nieodwracalnie przekształcone metodami kryptograficznymi (haszowanie) i nie jest znane Administratorowi.
- Logowanie przez konto Google (Google Ireland Limited): unikalny identyfikator użytkownika (Google ID), adres e-mail, imię i nazwisko oraz informacja o zweryfikowaniu adresu e-mail przez Google.
- Logowanie przez konto Facebook (Meta Platforms Ireland Limited): unikalny identyfikator użytkownika w ekosystemie Meta (Facebook ID), adres e-mail, imię i nazwisko oraz opcjonalnie publiczne zdjęcie profilowe.
- Dane dodatkowe Sprzedawców (Indywidualnych i Biznesowych):
- Sprzedawca Prywatny: opis pojazdu, zdjęcia, żądana cena, lokalizacja pojazdu, obowiązkowy numer VIN, treść konwersacji na wewnętrznym czacie.
- Klient Biznesowy: pełna firma (nazwa), adres stałego wykonywania działalności, numer NIP oraz numer REGON (weryfikowane w publicznych rejestrach CEIDG/KRS).
- Dane pozyskane ze źródeł publicznie dostępnych (Klienci Biznesowi): Administrator może przetwarzać dane kontaktowe przedsiębiorców z branży motoryzacyjnej (komisy, dealerzy, warsztaty) pozyskane z publicznych rejestrów (CEIDG, KRS) oraz ogólnodostępnych źródeł internetowych. Zakres tych danych ogranicza się do: nazwy firmy, numeru NIP, adresu oraz publicznego numeru telefonu lub adresu e-mail.
§3 Cele, podstawy prawne oraz okresy przetwarzania danych
| Cel przetwarzania | Podstawa prawna (RODO) | Okres retencji |
|---|---|---|
| Świadczenie usług drogą elektroniczną: rejestracja Konta, publikacja Ogłoszeń, obsługa czatu. | Art. 6 ust. 1 lit. b – niezbędność do wykonania umowy. | Do momentu skutecznego usunięcia Konta. |
| Obsługa i procesowanie płatności online. | Art. 6 ust. 1 lit. b – niezbędność do wykonania umowy odpłatnej. | Do finalizacji transakcji płatniczej. |
| Wypełnienie obowiązków finansowo-księgowych (wystawianie faktur, archiwizacja). | Art. 6 ust. 1 lit. c – obowiązek prawny wynikający z przepisów podatkowych i ustawy o rachunkowości. | 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności zobowiązania podatkowego. |
| Zapewnienie cyberbezpieczeństwa i ochrona platformy (anty-bot, anty-scam, analiza czatu). | Art. 6 ust. 1 lit. f – prawnie uzasadniony interes CARIZO. | 24 miesiące od momentu rejestracji zdarzenia lub logu sieciowego. |
| Analityka i statystyki (Google Analytics 4, Microsoft Clarity). | Art. 6 ust. 1 lit. a – zgoda wyrażona przez baner cookies (CMP). | Do momentu wycofania zgody lub wygaśnięcia plików cookies (maks. 24 miesiące). |
| Marketing bezpośredni (e-mail, SMS) i profilowanie (spersonalizowane rekomendacje). | Art. 6 ust. 1 lit. a – dobrowolna, odrębna zgoda Użytkownika (wymagana dla komunikacji e-mail/SMS zgodnie z art. 172 Prawa komunikacji elektronicznej); dla profilowania onsite na podstawie lit. f – prawnie uzasadniony interes. | Do momentu cofnięcia zgody lub wniesienia skutecznego sprzeciwu. |
| Newsletter i powiadomienia Web-Push. | Art. 6 ust. 1 lit. a – dobrowolna, odrębna zgoda. | Do momentu cofnięcia zgody lub anulowania subskrypcji. |
| Obsługa procedur moderacyjnych (DSA). | Art. 6 ust. 1 lit. c – obowiązek prawny wynikający z Aktu o usługach cyfrowych. | 6 miesięcy od zakończenia procedury moderacyjnej. |
| Ochrona prawna i windykacja roszczeń. | Art. 6 ust. 1 lit. f – prawnie uzasadniony interes CARIZO. | Do upływu terminów przedawnienia roszczeń; logi czatu i autoryzacyjnych SMS – do 3 lat od zakończenia konwersacji. |
§4 Zasady komunikacji, powiadomień oraz marketingu
- Komunikacja Transakcyjna i Systemowa (niezbędna): CARIZO przekazuje Użytkownikom zarejestrowanym kluczowe informacje związane z realizacją usług za pośrednictwem e-mail, SMS lub natywnych powiadomień systemowych. Obejmuje:
- Aktualizacje statusu weryfikacji Konta.
- Powiadomienia techniczne o aktywacji, zbliżającym się terminie zakończenia lub wygaśnięciu publikacji Ogłoszeń.
- Wiadomości systemowe związane z bezpieczeństwem Konta oraz obsługą zgłoszeń. Z uwagi na techniczną niezbędność tych komunikatów, Użytkownik nie ma możliwości rezygnacji z ich otrzymywania bez jednoczesnego usunięcia Konta.
- Interakcje pomiędzy Użytkownikami oraz badanie opinii:
- Administrator może skontaktować się ze Sprzedawcą w celu potwierdzenia szczegółów transakcji bądź oględzin pojazdu zainicjowanych przez innego Użytkownika (prawnie uzasadniony interes, art. 6 ust. 1 lit. f RODO).
- Administrator zastrzega sobie prawo do okazjonalnego kontaktu z Użytkownikami w celu przeprowadzenia ankiet satysfakcji i zbierania opinii o działaniu Serwisu.
- Komunikacja Marketingowa (Opcjonalna): Pod warunkiem wyrażenia przez Użytkownika odrębnej, dobrowolnej zgody (art. 6 ust. 1 lit. a RODO), CARIZO może przesyłać informacje o charakterze handlowym z wykorzystaniem adresu e-mail (newsletter) lub numeru telefonu (kampanie SMS). Użytkownik zachowuje pełne prawo do cofnięcia tej zgody w każdym momencie.
- Specjalne procedury dla zewnętrznych kontaktów B2B: W przypadku pozyskania danych kontaktowych przedsiębiorcy ze źródeł zewnętrznych, CARIZO zobowiązuje się do:
- Spełnienia obowiązku informacyjnego podczas pierwszego kontaktu.
- Uzyskania wyraźnej zgody przed przesłaniem jakichkolwiek szczegółowych ofert handlowych drogą elektroniczną.
- Zapewnienia natychmiastowej możliwości zgłoszenia sprzeciwu wobec dalszego kontaktu (opt-out).
§5 Charakter i dobrowolność podania danych osobowych
- Podanie danych osobowych w celu rejestracji Konta oraz publikacji Ogłoszeń (imię, nazwisko, adres e-mail, numer telefonu, a w przypadku firm – NIP i dane rejestrowe) ma charakter dobrowolny, lecz jest wymogiem umownym. Brak podania tych informacji uniemożliwia zawarcie umowy o świadczenie usług w Serwisie.
- Podanie danych w celach marketingowych, subskrypcji newslettera lub wyrażenia zgody na opcjonalne pliki cookies ma charakter całkowicie dobrowolny i nie warunkuje możliwości korzystania z podstawowych, darmowych zasobów platformy CARIZO.
§6 Kategorie odbiorców danych i podmioty przetwarzające
Administrator udostępnia dane Użytkowników dwóm kategoriom podmiotów zewnętrznych:
- Podmioty Przetwarzające (na zlecenie CARIZO): podmioty, z którymi Administrator zawarł umowy powierzenia przetwarzania danych (art. 28 RODO): dostawcy infrastruktury chmurowej i hostingu, dostawcy systemów IT i CRM, zewnętrzne biuro rachunkowo-księgowe oraz podmioty świadczące wsparcie prawne.
- Samodzielni Administratorzy (Odrębne podmioty prawne):
- Inni użytkownicy sieci: dane kontaktowe sprzedawcy (imię, telefon) są publicznie ujawniane w Ogłoszeniu w celu umożliwienia realizacji transakcji zakupu pojazdu.
- Dostawcy usług płatniczych: zewnętrzni operatorzy instytucji płatniczych obsługujący bramkę transakcyjną w Serwisie. CARIZO nie rejestruje, nie przetwarza ani nie przechowuje pełnych danych kart płatniczych Użytkowników.
- Partnerzy technologiczno-reklamowi: Google Ireland Limited (GA4, Google Ads, Google Maps), Meta Platforms Ireland Limited (Meta Pixel) oraz Microsoft Ireland Operations Limited (Clarity) – przetwarzający dane na własnych zasadach, o ile Użytkownik wyraził na to zgodę.
- Cloudinary (Cloudinary Inc., USA) — podmiot przetwarzający, któremu CARIZO powierza przechowywanie i przetwarzanie zdjęć ogłoszeń. Transfer danych do USA odbywa się na podstawie Standardowych Klauzul Umownych. Polityka prywatności: cloudinary.com/privacy.
- iMoje / ING Bank Śląski S.A. — operator obsługi płatności elektronicznych. Dane niezbędne do realizacji transakcji (dane płatnika, kwota, identyfikator zamówienia) są przekazywane bezpośrednio operatorowi bramki płatniczej. CARIZO nie przechowuje danych kart płatniczych. Polityka prywatności: imoje.pl/polityka-prywatnosci.
- Organy uprawnione: Sądy, Prokuratura, Policja, Prezes UODO lub UOKiK – wyłącznie na podstawie oficjalnego wezwania i w granicach obowiązujących przepisów prawa.
§7 Międzynarodowe transfery danych (Poza Obszar EOG)
Z uwagi na wykorzystanie narzędzi analitycznych i marketingowych dostarczanych przez podmioty z grupy kapitałowej Google, Meta oraz Microsoft, dane telemetryczne i identyfikatory reklamowe Użytkowników mogą być przekazywane do państw trzecich, w tym do Stanów Zjednoczonych Ameryki Północnej. Transfer ten realizowany jest w oparciu o:
- Decyzję wykonawczą Komisji Europejskiej z dnia 10 lipca 2023 r. stwierdzającą odpowiedni stopień ochrony danych w ramach EU-US Data Privacy Framework, lub
- Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską, nakładające na podmioty spoza EOG obowiązek stosowania zabezpieczeń tożsamych z RODO.
§8 Profilowanie behawioralne i zautomatyzowane decyzje (Anty-Fraud)
- W celu optymalizacji wrażeń Użytkownika oraz zwiększenia skuteczności sprzedaży pojazdów, CARIZO filtruje i analizuje aktywność Użytkowników (np. analizuje najczęściej wyszukiwane segmenty aut, lokalizacje czy przedziały cenowe), co stanowi profilowanie w rozumieniu RODO.
- Procesy profilowania służą wyłącznie spersonalizowaniu treści reklamowych i rekomendacji wewnątrz Serwisu. Profilowanie ma charakter marketingowo-informacyjny i nie wywołuje wobec Użytkownika skutków prawnych.
- W celu zapewnienia bezpieczeństwa Użytkowników i walki z oszustwami finansowymi, Serwis stosuje algorytmy automatycznie analizujące zachowania i parametry ogłoszeń. W przypadku wykrycia skrajnych anomalii bezpieczeństwa, system może podjąć zautomatyzowaną decyzję o zablokowaniu treści lub Konta. W każdym takim przypadku Użytkownikowi, zgodnie z art. 22 ust. 3 RODO, przysługuje prawo do zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz uzyskania interwencji ludzkiej za pośrednictwem punktu kontaktowego wskazanego w §1 ust. 3.
§9 Prawa osób, których dane dotyczą
Każdemu Użytkownikowi, w granicach i na zasadach określonych w rozdziale III RODO, przysługują następujące uprawnienia:
- Prawo dostępu do danych (Art. 15 RODO): Prawo do uzyskania potwierdzenia przetwarzania oraz otrzymania kopii danych.
- Prawo do sprostowania danych (Art. 16 RODO): Prawo do niezwłocznego poprawienia nieprawidłowych lub nieaktualnych danych.
- Prawo do usunięcia danych „prawo do bycia zapomnianym" (Art. 17 RODO): Żądanie usunięcia danych, jeżeli wygasła podstawa prawna ich przetwarzania lub wniesiono skuteczny sprzeciw.
- Prawo do ograniczenia przetwarzania (Art. 18 RODO): Żądanie zablokowania operacji na danych na czas weryfikacji ich prawidłowości lub w trakcie sporu prawnego.
- Prawo do przenoszenia danych (Art. 20 RODO): Prawo do otrzymania danych w ustrukturyzowanym, powszechnym formacie nadającym się do odczytu maszynowego.
- Prawo do sprzeciwu (Art. 21 RODO): Możliwość wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania danych opartego na prawnie uzasadnionym interesie CARIZO. Sprzeciw wobec marketingu bezpośredniego wiąże Administratora natychmiastowo i bezwarunkowo.
- Prawo do cofnięcia zgody (Art. 7 ust. 3 RODO): Możliwość wycofania zgód marketingowych lub zgód na cookies w każdym momencie, bez wpływu na legalność przetwarzania przed wycofaniem.
- Organ Nadzorczy i Prawo do Skargi (Art. 77 RODO): W przypadku uznania, że operacje przetwarzania danych osobowych przez CARIZO naruszają przepisy prawa, Użytkownik ma prawo wniesienia skargi do właściwego organu nadzorczego ochrony danych. W przypadku Rzeczypospolitej Polskiej właściwym organem jest:
§10 Przetwarzanie danych osób małoletnich
Serwis CARIZO skierowany jest do osób, które ukończyły 18. rok życia (a w przypadku niektórych funkcjonalności o charakterze wyłącznie informacyjnym – co najmniej 16. rok życia). Administrator nie zbiera intencjonalnie ani nie przetwarza danych osobowych osób małoletnich poniżej tego wieku. W przypadku powzięcia informacji o przypadkowej rejestracji osoby małoletniej, Administrator podejmie natychmiastowe działania w celu usunięcia takiego Konta oraz powiązanych z nim zapisów informacyjnych.
§11 Bezpieczeństwo i postanowienia końcowe
- CARIZO wdraża zaawansowane środki techniczne i organizacyjne (w tym szyfrowanie transmisji certyfikatami SSL/TLS, kryptograficzne haszowanie haseł, systemy kontroli dostępu do baz danych), gwarantujące poziom bezpieczeństwa adekwatny do ryzyka naruszenia praw lub wolności osób fizycznych.
- Niniejsze zasady prywatności podlegają stałemu przeglądowi. O wszelkich zmianach strukturalnych w celach lub podstawach przetwarzania danych zarejestrowani Użytkownicy zostaną powiadomieni drogą mailową z 14-dniowym wyprzedzeniem.
- Treść niniejszych regulacji wchodzi w życie z dniem 04.07.2026.