AutoXXL
ZalogujZarejestruj sie

Polityka prywatnosci

POLITYKA PRYWATNOSCI SERWISU AUTOXXL.PL

Data ostatniej aktualizacji: 4 czerwca 2026 Wersja: 2026-06-04


Spis tresci
  1. § 1. INFORMACJE WSTEPNE
  2. § 2. JAKIE DANE PRZETWARZAMY
  3. § 3. CELE I PODSTAWY PRAWNE PRZETWARZANIA
  4. § 4. KOMU MOGA BYC PRZEKAZYWANE DANE (PODMIOTY PRZETWARZAJACE)
  5. § 5. PRAWA UZYTKOWNIKA (PODMIOTU DANYCH)
  6. § 6. ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI I PROFILOWANIE
  7. § 7. BEZPIECZENSTWO DANYCH
  8. § 7a. NARUSZENIA OCHRONY DANYCH OSOBOWYCH
  9. § 8. PLIKI COOKIES I PODOBNE TECHNOLOGIE
  10. § 9. SZCZEGOLNE PRZYPADKI
  11. § 10. ZMIANY POLITYKI PRYWATNOSCI
  12. § 11. KONTAKT I POSTANOWIENIA KONCOWE
§ 1. INFORMACJE WSTEPNE
  1. Niniejsza Polityka Prywatnosci (dalej: „Polityka") okresla zasady przetwarzania danych osobowych Uzytkownikow serwisu internetowego autoxxl.pl (dalej: „Serwis") w zwiazku z korzystaniem z jego funkcji.

  2. Administratorem danych osobowych Uzytkownikow Serwisu jest Krzysztof Krasowski, prowadzacy dzialalnosc nierejestrowana zgodnie z art. 5 ust. 1 ustawy z dnia 6 marca 2018 r. - Prawo przedsiebiorcow, adres do korespondencji: ul. Przytulna 5, 83-331 Przyjazn, adres elektroniczny: kontakt@autoxxl.pl (dalej: „Administrator").

  3. Kontakt w sprawach ochrony danych osobowych mozliwy jest:

    a) za posrednictwem poczty elektronicznej: kontakt@autoxxl.pl;

    b) poprzez formularz pomocy dostepny w panelu uzytkownika;

    c) pocztowo na adres wskazany w ust. 2.

  4. Administrator przetwarza dane osobowe zgodnie z Rozporzadzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osob fizycznych w zwiazku z przetwarzaniem danych osobowych i w sprawie swobodnego przeplywu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO") oraz przepisami krajowymi.

  5. Administrator nie wyznaczyl Inspektora Ochrony Danych - kontakt w sprawach ochrony danych nastepuje bezposrednio z Administratorem zgodnie z ust. 3 (zgodnie z art. 37 RODO wyznaczenie IOD nie jest obowiazkowe dla podmiotow o takim profilu i skali dzialalnosci).


§ 2. JAKIE DANE PRZETWARZAMY

Administrator przetwarza nastepujace kategorie danych osobowych:

2.1 Dane podawane podczas rejestracji Konta

  • Imie (pole obowiazkowe);
  • Adres e-mail (pole obowiazkowe, wykorzystywany do logowania, kontaktu i weryfikacji konta);
  • Haslo - przechowywane wylacznie w formie zaszyfrowanego skrotu (bcrypt), niemozliwego do odczytania przez Administratora.

2.2 Dane uzupelniajace Konta

  • Numer telefonu (opcjonalny, w formie zaszyfrowanej - klucz szyfrujacy poza serwerem produkcyjnym);
  • Zdjecie profilowe (avatar - z konta Google lub przeslane przez Uzytkownika);
  • Preferencje jezyka (domyslnie polski).

2.3 Dane Dealera (jezeli Uzytkownik zalozyl Konto Dealer)

  • Pelne dane firmy: nazwa, NIP, REGON, adres rejestracyjny;
  • Dane kontaktowe firmy.

2.4 Dane techniczne (zbierane automatycznie)

  • Adres IP Uzytkownika (przy rejestracji, logowaniu, dodawaniu Ogloszen). W bazie aplikacyjnej Serwisu przechowywane sa wylacznie skroty kryptograficzne adresow IP (SHA-256 z soleniem) uniemozliwiajace identyfikacje bez znajomosci klucza. Pelne adresy IP moga byc tymczasowo widoczne w logach systemowych dostawcow infrastruktury (CDN, serwer hostingowy) i sa usuwane zgodnie z polityka retention tych dostawcow;
  • User-agent (typ przegladarki, system operacyjny);
  • Logi serwera (data, godzina, kod odpowiedzi HTTP);
  • Data ostatniego logowania, data ostatniej aktywnosci, data ostatniej aktywnosci administracyjnej (dla Kont uprzywilejowanych).

2.5 Tresci publikowane przez Uzytkownika

  • Ogloszenia (tytul, opis, parametry techniczne, cena, lokalizacja);
  • Zdjecia pojazdow;
  • Numer VIN pojazdu (w formie zaszyfrowanej);
  • Wiadomosci w czacie miedzy Uzytkownikami;
  • Zalaczniki do wiadomosci (PDF, zdjecia).

2.6 Dane Google OAuth (jezeli Uzytkownik korzysta z logowania przez Google)

Przy logowaniu przez Google Administrator otrzymuje od Google nastepujace dane:

  • Adres e-mail uzytkownika;
  • Imie i nazwisko (jezeli Uzytkownik zezwolil na ich udostepnienie);
  • Zdjecie profilowe (jezeli udostepnione);
  • Unikalny identyfikator Google (sub) - sluzy do identyfikacji konta;
  • Tokeny OAuth (access_token, id_token) - przechowywane wylacznie w celu identyfikacji uzytkownika. Administrator nie przechowuje refresh_token ani nie wykonuje wywolan do API Google poza procesem logowania. W przypadku odlaczenia konta Google lub jego usuniecia tokeny sa nieodwracalnie usuwane.

Google LLC dziala jako odrebny administrator danych w zakresie procesu uwierzytelnienia. Polityka prywatnosci Google: policies.google.com/privacy. Uzytkownik moze odlaczyc konto Google w ustawieniach swojego Konta w Serwisie - dane otrzymane od Google zostana usuniete (poza danymi koniecznymi dla obowiazkow podatkowych i roszczeniowych).

2.7 Dane platnicze

Administrator NIE przetwarza danych kart platniczych. Wszystkie platnosci obslugiwane sa przez Stripe Payments Europe Ltd. (Dublin, Irlandia), ktory dziala jako odrebny administrator danych platniczych.

Administrator otrzymuje od Stripe wylacznie:

  • Identyfikator transakcji Stripe;
  • Identyfikator klienta Stripe (Stripe customer ID, jezeli zachowany dla przyszlych platnosci);
  • Status platnosci (succeeded, pending, failed);
  • Kwote i walute transakcji;
  • Metadane transakcji (powiazanie z konkretnym Uzytkownikiem i Promocja).

Polityka prywatnosci Stripe: stripe.com/en-pl/privacy.

2.8 Dane analityczne i statystyczne

  • Liczba odslon Ogloszen (w formie pseudonimizowanej, dedup po skrocie IP w okreslonym oknie czasowym);
  • Liczba klikniec w numer telefonu (w formie pseudonimizowanej);
  • Statystyki promocji (skutecznosc, czas trwania);
  • Statystyki zachowan (ulubione, alerty wyszukiwania).

2.9 Dane newslettera (jezeli Uzytkownik zapisal sie)

  • Adres e-mail;
  • Data zapisu;
  • Status subskrypcji (aktywna, anulowana);
  • Historia wysylek (czas, status: dostarczone, otwarte, bledne).

§ 3. CELE I PODSTAWY PRAWNE PRZETWARZANIA
Cel przetwarzania Podstawa prawna Okres przechowywania
Swiadczenie uslug Serwisu (Konto, publikacja Ogloszen, komunikacja) Art. 6 ust. 1 lit. b RODO - umowa Przez czas posiadania Konta + 12 miesiecy po jego usunieciu
Realizacja platnosci za Promocje Art. 6 ust. 1 lit. b RODO - umowa 5 lat (obowiazki podatkowe)
Wystawianie rachunkow Art. 6 ust. 1 lit. c RODO - obowiazek prawny 5 lat
Marketing wlasny i newsletter Art. 6 ust. 1 lit. a RODO - zgoda Do cofniecia zgody
Statystyki i analityka Serwisu Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes (rozwoj Serwisu) Maksymalnie 24 miesiace
Moderacja tresci, zapobieganie oszustwom Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes (bezpieczenstwo) Przez czas posiadania Konta + 12 miesiecy
Obrona przed roszczeniami i dochodzenie roszczen Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes Do uplywu terminow przedawnienia (do 6 lat)
Wykonanie obowiazkow prawnych (zadania organow scigania, sadow) Art. 6 ust. 1 lit. c RODO - obowiazek prawny Zgodnie z przepisami
Audyt i log bezpieczenstwa (audit_logs) Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes 12 miesiecy

§ 4. KOMU MOGA BYC PRZEKAZYWANE DANE (PODMIOTY PRZETWARZAJACE)

Administrator korzysta z uslug nastepujacych podmiotow przetwarzajacych dane na jego zlecenie:

4.1 Hosting i infrastruktura

  • OVH SAS (Francja, EOG) - hosting serwera VPS, na ktorym uruchomiony jest Serwis. Wszystkie dane przechowywane sa na terenie Unii Europejskiej. ovh.com/world/privacy-policy

  • Cloudflare, Inc. (USA) - dostawca CDN i pamieci masowej dla zdjec (R2 Storage). Cloudflare uczestniczy w programie Data Privacy Framework (DPF) zatwierdzonym przez Komisje Europejska, gwarantujacym poziom ochrony danych odpowiadajacy standardom EOG. cloudflare.com/privacypolicy

4.2 Platnosci

  • Stripe Payments Europe Ltd. (Dublin, Irlandia, EOG) - operator platnosci. Stripe dziala rowniez jako odrebny administrator w zakresie danych platniczych. stripe.com/en-pl/privacy

4.3 Email i komunikacja

  • Resend, Inc. (USA) - dostawca uslugi wysylki wiadomosci e-mail (potwierdzenia rejestracji, reset hasla, newsletter, powiadomienia). Resend uczestniczy w programie DPF. resend.com/legal/privacy-policy

4.4 Logowanie zewnetrzne

  • Google LLC (USA, oddzial w UE) - dostawca uslugi logowania OAuth. Google dziala jako odrebny administrator w zakresie tej uslugi. policies.google.com/privacy

4.5 Inne kategorie

Administrator moze przekazac dane:

  • Organom panstwowym (sady, prokuratura, policja, ZUS, Urzad Skarbowy) - wylacznie na podstawie waznego nakazu, postanowienia lub zadania;
  • Doradcom prawnym, podatkowym, ksiegowym - w razie potrzeby uzyskania porady (zwykle anonimizowanych lub minimalizowanych);
  • Nabywcy dzialalnosci - w przypadku przyszlej cesji dzialalnosci Administratora na osobe trzecia (informacja z 14-dniowym wyprzedzeniem).

4.6 Transfer poza EOG

Wszystkie dane przetwarzane sa na serwerach w Unii Europejskiej (OVH France).

Niektore podmioty przetwarzajace (Cloudflare, Resend, Google) maja siedzibe w USA, lecz uczestnicza w programie Data Privacy Framework (DPF), ktory zostal uznany przez decyzje wykonawcza Komisji Europejskiej (UE) 2023/1795 z dnia 10 lipca 2023 r. za zapewniajacy odpowiedni stopien ochrony danych osobowych. Transfery te sa zatem zgodne z art. 45 RODO.


§ 5. PRAWA UZYTKOWNIKA (PODMIOTU DANYCH)

Zgodnie z RODO Uzytkownikowi przysluguja nastepujace prawa:

5.1 Prawo dostepu do danych (art. 15 RODO)

Uzytkownik moze zazadac informacji, jakie jego dane sa przetwarzane oraz otrzymac ich kopie. Czesc tych informacji jest dostepna w panelu uzytkownika (Moje konto, Moje ogloszenia).

5.2 Prawo do sprostowania (art. 16 RODO)

Uzytkownik moze samodzielnie poprawic swoje dane w panelu uzytkownika lub zazadac sprostowania.

5.3 Prawo do usuniecia („prawo do bycia zapomnianym", art. 17 RODO)

Uzytkownik moze usunac Konto z panelu uzytkownika lub zazadac jego usuniecia. Usuniecie obejmuje:

  • usuniecie/anonimizacje danych identyfikacyjnych;
  • zakonczenie aktywnych Ogloszen;
  • usuniecie ulubionych, alertow, kontaktow.

Czesc danych moze byc przechowywana po usunieciu Konta w nastepujacym zakresie:

  • dane platnicze i ksiegowe - 5 lat (obowiazki podatkowe);
  • wiadomosci z czata - 12 miesiecy (mozliwosc roszczen, postepowania);
  • audit_logs powiazane z dzialaniami administracyjnymi - 12 miesiecy.

5.4 Prawo do ograniczenia przetwarzania (art. 18 RODO)

Uzytkownik moze zazadac ograniczenia przetwarzania danych w sytuacjach okreslonych RODO.

5.5 Prawo do przenoszenia danych (art. 20 RODO)

Uzytkownik moze zazadac przekazania jego danych w ustrukturyzowanym, powszechnie uzywanym formacie (JSON, CSV) - dotyczy danych przetwarzanych na podstawie umowy lub zgody.

5.6 Prawo sprzeciwu (art. 21 RODO)

Uzytkownik moze sprzeciwic sie przetwarzaniu opartemu na uzasadnionym interesie Administratora (lit. f). Sprzeciw zostanie rozpatrzony zgodnie z RODO.

5.7 Prawo do cofniecia zgody

W przypadku przetwarzania na podstawie zgody (newsletter, marketing) - Uzytkownik moze cofnac zgode w kazdej chwili. Cofniecie nie wplywa na zgodnosc z prawem dotychczasowego przetwarzania.

5.8 Prawo wniesienia skargi do organu nadzorczego

Uzytkownik ma prawo wniesc skarge do organu nadzorczego, tj. Prezesa Urzedu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

5.9 Realizacja praw

Wnioski o realizacje powyzszych praw mozna kierowac:

Administrator odpowiada na wnioski w terminie 30 dni od ich otrzymania (zgodnie z art. 12 ust. 3 RODO).


§ 6. ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI I PROFILOWANIE
  1. Administrator stosuje nastepujace zautomatyzowane mechanizmy:

    a) Wstepna moderacja Ogloszen - czesc Ogloszen moze byc automatycznie analizowana pod katem zakazanych tresci (filtr wulgaryzmow, weryfikacja zdjec). Decyzje koncowe podejmuje moderator;

    b) Wstepna ocena zdjec - automatyczna ocena zdjec pod katem nieodpowiednich tresci (modul NSFW);

    c) Algorytm sortowania Ogloszen - pozycjonowanie Ogloszen na liscie wynikow uwzglednia parametry takie jak: status Promocji, data publikacji, popularnosc, lokalizacja.

  2. Administrator NIE prowadzi profilowania w rozumieniu art. 22 RODO prowadzacego do decyzji wywolujacych skutki prawne lub w podobny istotny sposob wplywajacych na osobe.

  3. Uzytkownik ma prawo do uzyskania interwencji ludzkiej w przypadku decyzji automatycznych (zgodnie z art. 22 ust. 3 RODO) - poprzez kontakt z Administratorem.


§ 7. BEZPIECZENSTWO DANYCH

Administrator stosuje nastepujace srodki techniczne i organizacyjne ochrony danych:

  1. Szyfrowanie polaczenia - cala komunikacja z Serwisem odbywa sie za posrednictwem HTTPS/TLS (certyfikat Let's Encrypt zarzadzany przez Caddy);

  2. Szyfrowanie pol wrazliwych - numery telefonow, sekrety 2FA i numery VIN sa szyfrowane przy uzyciu AES-256-GCM; klucz szyfrujacy jest przechowywany poza serwerem produkcyjnym;

  3. Hashowanie hasel - hasla nie sa nigdzie przechowywane w postaci jawnej; przechowywane sa wylacznie skroty wygenerowane algorytmem bcrypt;

  4. Hashowanie adresow IP - pelne adresy IP nie sa przechowywane; przechowywane sa wylacznie ich skroty SHA-256 z soleniem;

  5. Weryfikacja dwuetapowa (2FA) - opcja dostepna dla wszystkich Uzytkownikow;

  6. Zabezpieczenia antybotowe - rate limiting, honeypot, blokady kont po nieudanych logowaniach;

  7. Logi i audyt - kazda istotna operacja administracyjna jest rejestrowana w audit_logs;

  8. Kopie zapasowe - codzienne, zaszyfrowane kopie bazy danych (PGP) przechowywane w Cloudflare R2;

  9. Aktualizacje bezpieczenstwa - systemy operacyjne i biblioteki sa aktualizowane;

  10. Ograniczony dostep - dostep do danych posiada wylacznie Administrator oraz osoby upowaznione w zakresie niezbednym do wykonywania obowiazkow sluzbowych (moderatorzy maja dostep do funkcji moderacyjnych poprzez interfejs administracyjny, bez bezposredniego dostepu do bazy danych).


§ 7a. NARUSZENIA OCHRONY DANYCH OSOBOWYCH
  1. W przypadku stwierdzenia naruszenia ochrony danych osobowych (data breach), Administrator podejmie dzialania wymagane przez RODO, w szczegolnosci:

    a) niezwlocznie, nie pozniej niz w terminie 72 godzin od stwierdzenia naruszenia - zglosi naruszenie do Prezesa Urzedu Ochrony Danych Osobowych (zgodnie z art. 33 RODO), o ile naruszenie moze powodowac ryzyko naruszenia praw lub wolnosci osob fizycznych;

    b) gdy naruszenie moze powodowac wysokie ryzyko dla praw lub wolnosci - poinformuje takze osoby, ktorych dane dotycza, bez zbednej zwloki (zgodnie z art. 34 RODO);

    c) udokumentuje naruszenie wraz z opisem podjetych dzialan naprawczych (zgodnie z art. 33 ust. 5 RODO).

  2. Administrator stosuje srodki techniczne i organizacyjne zmniejszajace ryzyko naruszen, w szczegolnosci opisane w § 7 powyzej. Mimo dolozenia nalezytej starannosci Administrator nie moze calkowicie wykluczyc mozliwosci wystapienia incydentu - w takim przypadku priorytetem bedzie minimalizacja skutkow oraz transparentna komunikacja z osobami, ktorych dane dotycza.


§ 8. PLIKI COOKIES I PODOBNE TECHNOLOGIE
  1. Serwis wykorzystuje pliki cookies w celu zapewnienia jego prawidlowego dzialania.

  2. Rodzaje uzywanych cookies:

    a) Niezbedne (techniczne) - umozliwiajace dzialanie Serwisu, w szczegolnosci:

    • cookie sesji uwierzytelnienia (NextAuth);
    • cookie tokenu CSRF (zabezpieczenie przed atakami);
    • cookie preferencji motywu (jasny/ciemny);
    • cookie wyboru jezyka.

    Te cookies sa niezbedne do dzialania Serwisu i ich stosowanie nie wymaga zgody Uzytkownika (zgodnie z art. 173 ust. 3 ustawy Prawo telekomunikacyjne).

  3. Serwis NIE stosuje obecnie cookies marketingowych, sledzacych ani analitycznych podmiotow trzecich (Google Analytics, Meta Pixel, Microsoft Clarity, Hotjar). W przypadku wprowadzenia takich rozwiazan w przyszlosci, Uzytkownicy zostana poinformowani i zostanie wdrozony mechanizm uzyskiwania zgody (consent banner).

  4. Zarzadzanie cookies przez Uzytkownika. Uzytkownik moze:

    a) usunac istniejace cookies w ustawieniach przegladarki;

    b) zablokowac przyjmowanie cookies w ustawieniach przegladarki;

    c) skonfigurowac przegladarke do informowania o kazdym nowym cookie.

    Zablokowanie cookies technicznych uniemozliwi korzystanie z Serwisu (logowanie, dodawanie Ogloszen).

  5. Szczegolowe informacje o zarzadzaniu cookies w popularnych przegladarkach:


§ 9. SZCZEGOLNE PRZYPADKI

9.1 Wiadomosci miedzy Uzytkownikami

Tresc wiadomosci w czacie nie ma charakteru poufnego w stosunku do Administratora - szczegolowe zasady okresla § 5a Regulaminu Serwisu. Wiadomosci przechowywane sa przez czas dzialania Konta + 12 miesiecy po jego usunieciu.

9.2 Newsletter

  • Zapis na newsletter wymaga odrebnej, wyraznej zgody Uzytkownika (oddzielne pole w trakcie rejestracji lub w panelu);
  • Kazda wiadomosc zawiera link do natychmiastowego wypisania sie;
  • Administrator nie korzysta z danych subskrybentow w celach innych niz wysylka newslettera.

9.3 Dzieci

Serwis jest przeznaczony wylacznie dla osob pelnoletnich (ukonczone 18 lat). Administrator nie przetwarza swiadomie danych osob ponizej 18 lat. W przypadku wykrycia takiej sytuacji dane zostana niezwlocznie usuniete.

9.4 Cisza danych

W przypadku braku aktywnosci Konta przez okres 24 miesiecy, Administrator moze wyslac Uzytkownikowi powiadomienie o planowanym usunieciu Konta z mozliwoscia jego przedluzenia. Brak reakcji w ciagu 30 dni moze skutkowac usunieciem Konta i powiazanych danych.


§ 10. ZMIANY POLITYKI PRYWATNOSCI
  1. Administrator zastrzega sobie prawo do zmian w niniejszej Polityce. O kazdej istotnej zmianie Uzytkownicy zostana poinformowani:

    a) za posrednictwem wiadomosci e-mail;

    b) poprzez komunikat w Serwisie;

    c) co najmniej 14 dni przed wejsciem zmian w zycie.

  2. Aktualna wersja Polityki dostepna jest pod adresem autoxxl.pl/strona/polityka-prywatnosci.

  3. Historia zmian Polityki przechowywana jest przez Administratora do celow dowodowych.


§ 11. KONTAKT I POSTANOWIENIA KONCOWE
  1. Wszelkie pytania, uwagi lub zgloszenia dotyczace przetwarzania danych osobowych prosimy kierowac:

    a) na adres e-mail: kontakt@autoxxl.pl;

    b) poprzez formularz pomocy w panelu uzytkownika;

    c) pocztowo: Krzysztof Krasowski, ul. Przytulna 5, 83-331 Przyjazn.

  2. Niniejsza Polityka wchodzi w zycie z dniem 4 czerwca 2026 r.

  3. Polityka stanowi uzupelnienie Regulaminu serwisu AutoXXL.pl, dostepnego pod adresem autoxxl.pl/strona/regulamin.


Administrator danych osobowych: Krzysztof Krasowski ul. Przytulna 5, 83-331 Przyjazn Dzialalnosc nierejestrowana E-mail: kontakt@autoxxl.pl Serwis: autoxxl.pl