Polityka prywatności

1. Administrator danych

Administratorem Państwa danych osobowych przetwarzanych na tej stronie jest:

Entrio sp. z o.o.
ul. Zagórna 28, 37-420 Kopki, Polska
E-mail: help@tollentrio.com
Telefon: +48 880 685 468

W sprawach związanych z ochroną danych prosimy o kontakt pod ww. adresem e-mail.

1.2. Nie wyznaczyliśmy Inspektora Ochrony Danych (IOD), ponieważ nie mamy takiego obowiązku zgodnie z art. 37 RODO. We wszystkich sprawach związanych z ochroną danych prosimy o kontakt pod adresem help@tollentrio.com.

2. Zbierane dane

Zbieramy wyłącznie dane osobowe niezbędne do konkretnych celów opisanych w niniejszej Polityce.

Przetwarzamy następujące kategorie danych osobowych:

2.1. Dane podawane w procesie zamówienia

• Imię i nazwisko
• Adres e-mail
• Numer telefonu
• Adres rozliczeniowy (ulica, miasto, kod pocztowy, kraj)
• Numer rejestracyjny pojazdu
• Kraj rejestracji pojazdu
• Typ/kategoria pojazdu

2.2. Dane zbierane automatycznie

• Adres IP
• Typ i wersja przeglądarki
• System operacyjny
• Data i godzina dostępu
• Odwiedzane strony i URL strony odsyłającej
• Informacje o urządzeniu

2.3. Dane płatnicze

Informacje płatnicze (numery kart, dane rachunków bankowych) są przetwarzane wyłącznie przez naszych zewnętrznych dostawców usług płatniczych i nigdy nie są przechowywane na naszych serwerach.

3. Cel i podstawa prawna

Przetwarzamy Państwa dane osobowe w następujących celach i na następujących podstawach prawnych (RODO):

3.2. Tam, gdzie przetwarzanie odbywa się na podstawie naszego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), interes ten obejmuje zapewnienie bezpieczeństwa naszego serwisu, zapobieganie oszustwom, ulepszanie naszych usług i sprawną obsługę klienta. Oceniliśmy, że interesy te nie są nadrzędne wobec podstawowych praw i wolności użytkowników.

4. Udostępnianie danych i odbiorcy

Państwa dane mogą być przekazywane następującym kategoriom odbiorców, wyłącznie do opisanych powyżej celów:

• Krajowe organy poboru opłat drogowych — dane rejestracyjne pojazdu przekazywane są właściwemu organowi poboru opłat kraju docelowego w celu rejestracji e-winiety;
• Dostawcy usług płatniczych — dane płatnicze przekazywane są naszemu bezpiecznemu operatorowi płatności w celu obsługi transakcji;
• Dostawcy usług e-mail/SMS — Państwa dane kontaktowe przekazywane są naszemu dostawcy w celu doręczenia potwierdzeń zamówień;
• Dostawcy hostingu — dane przechowywane są na serwerach naszego dostawcy hostingu;
• Doradcy podatkowi/księgowi — dane zamówień i faktur mogą być przekazywane w celu wypełnienia obowiązków prawnych.

Nie sprzedajemy, nie wynajmujemy ani nie handlujemy Państwa danymi osobowymi z osobami trzecimi w celach marketingowych.

5. Okres przechowywania danych

Przechowujemy Państwa dane osobowe wyłącznie tak długo, jak jest to konieczne dla celów, w których zostały zebrane:

• Dane zamówień: przechowywane przez okres wymagany przepisami podatkowymi i handlowymi (zwykle 5–10 lat w zależności od jurysdykcji);
• Korespondencja z obsługą klienta: do 3 lat od ostatniej interakcji;
• Dane analityczne serwisu: anonimizowane lub usuwane po 26 miesiącach;
• Pliki cookie: zob. punkt 8 poniżej.

6. Prawa użytkownika (RODO)

Zgodnie z RODO przysługują Państwu następujące prawa:

• Prawo dostępu (art. 15 RODO) — mogą Państwo zażądać kopii swoich danych osobowych;
• Prawo do sprostowania (art. 16 RODO) — mogą Państwo żądać poprawienia nieprawidłowych danych;
• Prawo do usunięcia (art. 17 RODO) — mogą Państwo żądać usunięcia danych, z zastrzeżeniem prawnych obowiązków ich przechowywania;
• Prawo do ograniczenia przetwarzania (art. 18 RODO);
• Prawo do przenoszenia danych (art. 20 RODO) — mogą Państwo żądać swoich danych w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie;
• Prawo sprzeciwu (art. 21 RODO) — mogą Państwo wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie;
• Prawo do wycofania zgody (art. 7 ust. 3 RODO) — mogą Państwo w każdej chwili wycofać zgodę, bez wpływu na zgodność z prawem przetwarzania dotychczasowego.

Aby skorzystać z któregokolwiek z tych praw, prosimy o kontakt pod adresem help@tollentrio.com. Odpowiemy w ciągu 30 dni. Mają Państwo również prawo wniesienia skargi do właściwego organu nadzorczego (urzędu ochrony danych) w kraju zamieszkania (w Polsce: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).

6.2. Nie stosujemy zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO, które wywołuje wobec Państwa skutki prawne lub w podobny sposób istotnie na Państwa wpływa.

7. Bezpieczeństwo danych

Wdrażamy odpowiednie środki techniczne i organizacyjne w celu ochrony Państwa danych osobowych, w tym:

• Szyfrowanie SSL/TLS wszystkich danych przesyłanych między Państwa przeglądarką a naszymi serwerami;
• Szyfrowane przechowywanie w bazie danych;
• Kontrolę dostępu i uwierzytelnianie systemów wewnętrznych;
• Regularne audyty bezpieczeństwa i aktualizacje.

8. Pliki cookie

Nasz serwis wykorzystuje pliki cookie — małe pliki tekstowe zapisywane na Państwa urządzeniu — w celu zapewnienia prawidłowego działania serwisu i poprawy doświadczenia użytkownika.

8.1. Niezbędne pliki cookie

Te pliki cookie są bezwzględnie konieczne do działania serwisu (np. zarządzanie sesją, koszyk). Nie wymagają zgody.

8.2. Analityczne pliki cookie

Możemy używać narzędzi analitycznych (np. Google Analytics), aby zrozumieć, jak odwiedzający korzystają z naszego serwisu. Te pliki cookie ustawiane są wyłącznie za Państwa zgodą.

8.3. Marketingowe pliki cookie

Możemy używać marketingowych plików cookie firm trzecich (np. Google Ads, Facebook) w celu wyświetlania trafnych reklam. Te pliki cookie ustawiane są wyłącznie za wyraźną zgodą. Wyłączenie plików cookie może wpłynąć na funkcjonalność serwisu.

8.4. Zarządzanie zgodami (CookieYes)

Używamy CookieYes (Adzapier LLC) do zarządzania Państwa preferencjami plików cookie zgodnie z RODO i dyrektywą ePrivacy. Przy pierwszej wizycie wyświetlany jest banner zgody, za pomocą którego mogą Państwo zaakceptować, odrzucić lub dostosować niezbędne pliki cookie. Zgodę można w każdej chwili zmienić lub wycofać za pomocą ikony cookie w rogu strony. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego na podstawie zgody przed jej wycofaniem.

9. Pliki dziennika serwera

Podczas wywoływania naszego serwisu Państwa przeglądarka automatycznie przesyła informacje techniczne, które zapisujemy w tzw. plikach dziennika serwera. Należą do nich:

• Typ i wersja przeglądarki;
• Używany system operacyjny;
• Adres URL strony odsyłającej;
• Data i godzina zapytania serwera;
• Adres IP Państwa urządzenia (zanonimizowany w miarę technicznie możliwego).

Łączenie tych danych z innymi danymi osobowymi nie ma miejsca i nie jest planowane. Przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO w celu ochrony naszego prawnie uzasadnionego interesu w stabilności, bezpieczeństwie i funkcjonalności serwisu. Pliki dziennika usuwane są automatycznie po 30 dniach, chyba że są potrzebne do zbadania incydentu bezpieczeństwa.

10. Hosting i infrastruktura

10.1. Supabase (baza danych i uwierzytelnianie)

Nasze backendowe systemy aplikacji działają w Supabase (Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992). Supabase przechowuje dane zamówień, dane klientów i informacje uwierzytelniające na serwerach w UE (eu-central). Przetwarzanie odbywa się na podstawie umowy powierzenia (DPA) zgodnie z art. 28 RODO.

10.2. Cloudflare (CDN, ochrona DDoS)

Używamy Cloudflare (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA) jako sieci dostarczania treści i do ochrony przed atakami DDoS. Cloudflare przetwarza dane techniczne, takie jak adresy IP w plikach dziennika serwera. Cloudflare może przetwarzać dane na serwerach poza UE, w tym w Stanach Zjednoczonych. Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes). Międzynarodowe transfery są zabezpieczone Standardowymi Klauzulami Umownymi UE.

11. Analityka internetowa i narzędzia reklamowe

11.1. Google Analytics 4

Nasz serwis korzysta z Google Analytics 4, usługi analityki internetowej Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irlandia („Google"). Google Analytics używa plików cookie umożliwiających analizę korzystania z serwisu. Informacje generowane przez pliki cookie są zwykle przesyłane na serwer Google i tam przechowywane.

Anonimizacja IP: mamy aktywną anonimizację IP. Państwa adres IP jest skracany przez Google w państwach członkowskich UE/EOG przed jego przekazaniem. Tylko w wyjątkowych przypadkach pełny adres IP jest przesyłany na serwer Google w USA i tam skracany.

Okres przechowywania: dane powiązane z plikami cookie, identyfikatorami użytkownika lub identyfikatorami reklamowymi są anonimizowane lub usuwane po 14 miesiącach.

Podstawa prawna: zgoda udzielona przez Państwa za pomocą bannera cookie (art. 6 ust. 1 lit. a RODO). Mogą Państwo wycofać zgodę w każdej chwili za pomocą ikony cookie.

11.2. Google Tag Manager

Nasz serwis korzysta z Google Tag Manager do zarządzania znacznikami marketingowymi i analitycznymi. Sam Google Tag Manager nie ustawia plików cookie ani nie zbiera danych osobowych — jedynie uruchamia inne znaczniki, które mogą zbierać dane. Odmowa zgody na poziomie cookie lub domeny obejmuje wszystkie znaczniki zarządzane przez GTM.

11.3. Google Ads i śledzenie konwersji

Korzystamy z Google Ads (Google Ireland Ltd) wraz ze śledzeniem konwersji w celu mierzenia skuteczności naszych kampanii reklamowych. Po kliknięciu reklamy Google na Państwa urządzeniu ustawiany jest plik cookie (ważność: 30 dni). Cookie nie służy do osobistej identyfikacji. Uzyskujemy łączną liczbę użytkowników, którzy kliknęli naszą reklamę i zostali przekierowani na stronę ze znacznikiem konwersji, ale nie otrzymujemy informacji umożliwiających osobistą identyfikację użytkowników. Podstawa prawna: zgoda (art. 6 ust. 1 lit. a RODO).

11.4. Meta Pixel (Facebook)

Możemy używać Meta Pixel (Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irlandia) do mierzenia skuteczności reklam na Facebooku i Instagramie oraz wyświetlania spersonalizowanych reklam użytkownikom, którzy odwiedzili nasz serwis (retargeting). Pixel może przesyłać dane na serwery Meta w USA. Podstawa prawna: zgoda (art. 6 ust. 1 lit. a RODO).

11.5. Microsoft Advertising (Bing Ads)

Możemy używać Microsoft Advertising (Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA) do reklamy i śledzenia konwersji. Przetwarzane kategorie danych mogą obejmować: język przeglądarki, klikane reklamy, adres IP, Microsoft Click ID, tytuł strony, URL odsyłający i informacje o urządzeniu. Podstawa prawna: zgoda (art. 6 ust. 1 lit. a RODO).

11.6. W stosownych przypadkach możemy działać jako współadministrator danych z niektórymi dostawcami (np. Meta Platforms Ireland Ltd.) zgodnie z art. 26 RODO w odniesieniu do danych zbieranych za pomocą technologii śledzenia. Dalsze szczegóły dostępne są w odpowiednich politykach prywatności dostawców.

12. Dostawcy usług płatniczych

12.1. Stripe

Do płatności kartą i portfelami elektronicznymi używamy Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irlandia). Płacąc kartą, Państwa dane płatnicze (numer karty, CVC, data ważności, dane rozliczeniowe) są zbierane i przetwarzane wyłącznie przez Stripe — nigdy nie widzimy ani nie przechowujemy pełnego numeru karty. Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy).

12.2. Autopay i lokalne bramki płatności

Do regionalnych metod płatności (np. BLIK, Przelewy24, Apple Pay, Google Pay) korzystamy z certyfikowanego dostawcy płatności Autopay S.A. (ul. Powstańców Warszawy 6, 81-718 Sopot) oraz innych certyfikowanych operatorów. We wszystkich przypadkach dane płatnicze są przetwarzane wyłącznie przez dostawcę płatności, nigdy przez nas. Otrzymujemy jedynie potwierdzenie transakcji (sukces/błąd, kwota, ID transakcji).

13. Obsługa zamówień i krajowe organy poboru opłat

W celu rejestracji Państwa e-winiety przekazujemy bezwzględnie niezbędne dane — numer rejestracyjny pojazdu, kraj rejestracji, kategoria pojazdu i okres ważności — właściwemu krajowemu organowi poboru opłat kraju docelowego. Odbiorcy według kraju:

• Węgry: Nemzeti Mobilfizetési Zrt., Kapás utca 6–12, 1027 Budapest, Węgry;
• Czechy: Státní fond dopravní infrastruktury (SFDI), Sokolovská 1955/278, 190 00 Praha 9;
• Słowacja: Národná diaľničná spoločnosť, a. s. (NDS), Dúbravská cesta 14, 841 04 Bratysława;
• Słowenia: DARS d. d., Ulica XIV. divizije 4, 3000 Celje;
• Bułgaria: Krajowy Komitet Poboru Opłat (Toll BG), Sofia;
• Rumunia: Compania Națională de Administrare a Infrastructurii Rutiere (CNAIR), Bd. Dinicu Golescu 38, București;
• Szwajcaria: Bundesamt für Zoll und Grenzsicherheit (BAZG), Berno;
• Mołdawia: Vama Moldovei (Urząd Celny Republiki Mołdawii), Kiszyniów.

Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy). Bez tego przekazania e-winieta nie może zostać zarejestrowana.

14. Wysyłka e-mail i SMS

14.1. E-maile transakcyjne

Potwierdzenia zamówień i pliki PDF e-winiet wysyłane są przez usługę e-maili transakcyjnych (Resend / Supabase SMTP). Państwa adres e-mail i dane zamówienia są przetwarzane wyłącznie w celu dostarczenia. Podstawa prawna: art. 6 ust. 1 lit. b RODO.

14.2. Powiadomienia SMS

Jeżeli wybiorą Państwo dostawę SMS (dodatkowa opłata), Państwa numer telefonu i treść wiadomości są przekazywane naszemu dostawcy SMS. Dostawca może przetwarzać i przekazywać wiadomość przez operatorów partnerskich na całym świecie. Podstawa prawna: art. 6 ust. 1 lit. a RODO (Państwa wyraźna zgoda przy zamówieniu). Numer telefonu jest przechowywany tylko tak długo, jak to konieczne do obsługi zamówienia i wypełnienia prawnych obowiązków archiwizacji.

15. CRM i narzędzia wewnętrzne

Używamy Zoho CRM (Zoho Corporation B.V., Beneluxlaan 4B, 3527 HT Utrecht, Holandia) do zarządzania zamówieniami klientów, korespondencją wsparcia i procesami księgowymi. Przechowywane dane: imię i nazwisko, e-mail, telefon, dane rozliczeniowe, podsumowanie zamówienia. Rezydencja danych UE. Podstawa prawna: art. 6 ust. 1 lit. b i f RODO. Wewnętrzne powiadomienia operacyjne są wysyłane przez bezpieczne wewnętrzne narzędzia komunikacji. Powiadomienia te nie zawierają pełnych danych osobowych i ograniczają się do ID zamówienia, kraju i statusu transakcji.

16. Dane kursów walutowych (NBP)

W celu przeliczenia cen na Państwa walutę lokalną pobieramy oficjalne kursy walut za pośrednictwem publicznego API Narodowego Banku Polskiego (NBP). Do NBP nie są przekazywane żadne dane osobowe — wyłącznie anonimowe zapytanie o aktualną tabelę kursów. Cache: 4 godziny.

17. Międzynarodowe transfery danych

Państwa dane mogą być przekazywane do krajów spoza Europejskiego Obszaru Gospodarczego (EOG), w których znajdują się nasi dostawcy (np. USA: Stripe, Google, Meta, Microsoft, Cloudflare). We wszystkich przypadkach opieramy się na jednym z następujących zabezpieczeń:

• Standardowe Klauzule Umowne (SCC) Komisji Europejskiej;
• Decyzje stwierdzające odpowiedni stopień ochrony Komisji Europejskiej (np. EU–U.S. Data Privacy Framework);
• Wiążące reguły korporacyjne (BCR) odbiorcy.

Mimo tych zabezpieczeń nie możemy całkowicie wykluczyć, że organy kraju odbiorcy uzyskają dostęp do przekazanych danych bez skutecznych środków ochrony prawnej. Wyrażając zgodę na niezbędne pliki cookie, zgadzają się Państwo również na takie transfery w rozumieniu art. 49 ust. 1 lit. a RODO.

18. Powiadomienie o naruszeniu danych

W przypadku naruszenia danych mogącego skutkować ryzykiem naruszenia Państwa praw i wolności powiadomimy właściwy organ nadzorczy w terminie 72 godzin od stwierdzenia naruszenia i, jeśli będzie to wymagane, powiadomimy bez zbędnej zwłoki osoby, których dane dotyczą.

19. Zmiany niniejszej Polityki

Możemy aktualizować niniejszą Politykę prywatności od czasu do czasu. Zaktualizowana wersja będzie publikowana na tej stronie z datą ostatniej rewizji. Zalecamy regularne sprawdzanie tej strony.

20. Kontakt

W sprawach dotyczących ochrony danych prosimy o kontakt pod adresem help@tollentrio.com.