Polityka prywatności

1) Kto jest administratorem, a kto podmiotem przetwarzającym

Dla danych odwiedzających stronę, osób rejestrujących konto, managerów, mechaników, dystrybutorów, osób kontaktowych, płatników abonamentu, odbiorców newslettera operatora i osób kontaktujących się z nami administratorem danych jest BikeWorkshop Arkadiusz Brańka, NIP 6521679960.

Dla danych klientów końcowych serwisu rowerowego wpisywanych do aplikacji (np. kartoteka klienta, rower, zlecenie, historia serwisu, zgody kontaktowe, dokumenty, zdjęcia, dane do faktury) administratorem danych jest dany serwis rowerowy korzystający z BikeWorkshop jako tenant. Operator BikeWorkshop działa wtedy jako podmiot przetwarzający na polecenie tego serwisu — na podstawie umowy powierzenia przetwarzania danych (DPA) zaakceptowanej elektronicznie w panelu aplikacji.

Jeżeli chcesz skorzystać z praw dotyczących danych przetwarzanych przez konkretny serwis rowerowy, w pierwszej kolejności skontaktuj się z tym serwisem. Operator BikeWorkshop wspiera taki serwis technicznie w realizacji żądania.

Nie wyznaczono Inspektora Ochrony Danych (poniżej progu obowiązku, art. 37 RODO). W sprawach prywatności skontaktuj się z nami pod adresem kontakt@bikeworkshop.pl.

2) Jakie dane przetwarzamy

W zależności od tego, jak korzystasz z BikeWorkshop, możemy przetwarzać: imię i nazwisko, nazwę firmy, NIP, REGON, KRS, adres, e-mail, telefon, dane logowania, dane weryfikacyjne e-mail / SMS, strefę czasową, ustawienia konta, dane płatności i rozliczeń, dane z umów i checklist zgodności, dane newsletterowe oraz historię kontaktu z nami.

W module serwisowym tenant może przetwarzać w aplikacji dane klientów końcowych, w szczególności: imię i nazwisko, dane kontaktowe, dane do faktury, preferencje i zgody kontaktowe, dane roweru (np. marka, model, numer ramy, stan przyjęcia), dane zlecenia, kwoty, terminy, historię zdarzeń, załączniki i zdjęcia.

W funkcjach dodatkowych aplikacja może przetwarzać także dane urzędowe i firmowe pobierane z publicznych rejestrów lub usług publicznych (GUS REGON, CEIDG, KSeF, NBP, BDL), a także dane techniczne z płatności, logów i zabezpieczeń.

Przetwarzamy również dane techniczne: adres IP, identyfikatory sesji, user-agent, znaczniki czasu, statusy operacji, logi anty-abuse, metadane wysyłki SMS / e-mail, informacje o wejściu z linku partnera / dystrybutora oraz dane zapisane w cookies i storage opisane szerzej w polityce cookies.

3) Skąd mamy dane

Dane otrzymujemy bezpośrednio od Ciebie, od Twojej firmy lub Twojego pracodawcy, od serwisu rowerowego korzystającego z aplikacji, z używanej przeglądarki i urządzenia, z systemów płatności oraz z publicznych rejestrów i interfejsów urzędowych, jeżeli korzystasz z funkcji takich jak weryfikacja firmy czy KSeF.

W przypadku danych klientów końcowych serwisów rowerowych źródłem danych jest zazwyczaj dany serwis rowerowy, jego personel albo sam klient przekazujący dane przy zleceniu lub przy akceptacji wyceny.

4) Cele i podstawy prawne

Dane użytkowników BikeWorkshop przetwarzamy w celu zawarcia i wykonania umowy o korzystanie z aplikacji, utrzymania konta, logowania, weryfikacji e-mail / SMS, obsługi supportu, realizacji płatności (zarówno cyklicznego abonamentu, jak i jednorazowych pakietów doładowania SMS), rozliczeń, bezpieczeństwa systemu, wykrywania nadużyć, prowadzenia dokumentacji zgodności, obsługi reklamacji i dochodzenia roszczeń. Podstawą prawną jest art. 6 ust. 1 lit. b RODO (wykonanie umowy), lit. c RODO (obowiązek prawny — m.in. księgowość, KSeF), lit. f RODO (prawnie uzasadniony interes — bezpieczeństwo systemu, zapobieganie nadużyciom, dochodzenie roszczeń), a w przypadku marketingu operatora także lit. a RODO (zgoda).

Dane klientów końcowych serwisów rowerowych są przetwarzane w aplikacji na polecenie danego serwisu rowerowego, który sam dobiera podstawę prawną wobec swoich klientów. W praktyce najczęściej będzie to wykonanie umowy serwisowej, obowiązek prawny, prawnie uzasadniony interes lub zgoda, jeżeli dotyczy komunikacji marketingowej.

Jeżeli korzystasz z funkcji AI, treść promptów i odpowiedzi może być przetwarzana w celu wygenerowania odpowiedzi, utrzymania limitów użycia i zapewnienia bezpieczeństwa. Nie wpisuj do promptów danych, których nie trzeba ujawniać. W module pomocy aplikacja częściowo maskuje niektóre dane, ale w zwykłym czacie odpowiedzialność za zakres wpisanej treści pozostaje po stronie użytkownika i tenanta.

Wysyłka informacji handlowej i marketingu bezpośredniego przez SMS lub e-mail wymaga spełnienia odrębnych wymagań prawa komunikacji elektronicznej. Sama podstawa z RODO nie zastępuje wymaganej zgody kanałowej tam, gdzie przepisy jej wymagają.

5) Odbiorcy danych i dostawcy usług

W zależności od używanej funkcji dane mogą trafiać do podmiotów wspierających działanie BikeWorkshop, w szczególności do dostawcy hostingu i poczty, dostawcy bramki SMS, operatora płatności online, dostawcy usług AI, a także do podmiotów publicznych lub rejestrów używanych przez aplikację (GUS REGON, CEIDG, KSeF, NBP, BDL) oraz usług geokodowania.

Na podstawie bieżącej konfiguracji i potwierdzonego sposobu działania aplikacji dotyczy to w szczególności: LH.pl (hosting i poczta), HostedSMS (wysyłka i raportowanie SMS), PayPro S.A. / Przelewy24 (płatności online), Google Gemini / Google Vertex AI (funkcje AI), OpenStreetMap Nominatim (geokodowanie) oraz publicznych systemów państwowych używanych przez funkcje księgowe i rejestrowe.

Operator płatności online — PayPro S.A. z siedzibą w Poznaniu, ul. Pastelowa 8, 60-198 Poznań, KRS 0000347935, NIP 7792369887, REGON 301345068 (marka Przelewy24) — jest odrębnym administratorem danych osobowych przetwarzanych w związku z realizacją płatności (m.in. dane karty, numery kont, identyfikatory transakcji). Zasady przetwarzania danych przez operatora określa jego polityka prywatności dostępna na stronie Przelewy24. Dane osobowe niezbędne do rozliczenia (imię, nazwisko, NIP, adres do faktury, e-mail) są jednocześnie przetwarzane przez nas jako administratora w celu wystawienia i archiwizacji faktury VAT (KSeF).

Jeżeli wymagają tego przepisy prawa, dane możemy przekazać również organom publicznym, sądom, kancelariom, księgowości, audytorom lub podmiotom świadczącym wsparcie techniczne i bezpieczeństwa.

6) Transfery poza EOG

Co do zasady staramy się korzystać z dostawców przetwarzających dane w Polsce lub w Europejskim Obszarze Gospodarczym. Część funkcji opcjonalnych, zwłaszcza AI, może jednak powodować transfer danych poza EOG lub dostęp do danych z infrastruktury poza EOG.

Jeżeli taki transfer występuje, opieramy go na odpowiednim mechanizmie legalizującym, np. standardowych klauzulach umownych (SCC) Komisji Europejskiej, decyzji stwierdzającej odpowiedni stopień ochrony lub innym mechanizmie dopuszczonym przez RODO. Stosujemy też dodatkowe zabezpieczenia adekwatne do ryzyka (m.in. szyfrowanie i kontrolę dostępu). Aktualną listę dostawców i mechanizmów udostępniamy na żądanie pod adresem kontakt@bikeworkshop.pl.

7) Jak długo przechowujemy dane

Nie przechowujemy danych dłużej, niż to potrzebne do celu i obowiązków prawnych. W aplikacji obowiązują m.in. następujące okresy retencji:

• niepotwierdzone konta managerów — usuwane po 7 dniach od rejestracji,
• wiadomości czatu i pomocy AI — czyszczone po 60 dniach,
• wrażliwe payloady logów powiadomień i zdarzeń — czyszczone po 90 dniach,
• nieaktywni klienci końcowi — anonimizacja po 5 latach bez zlecenia,
• konta wygasłe z planu Trial (status „expired") — usuwane wraz ze wszystkimi danymi po 7 dniach od wygaśnięcia okresu próbnego (brak prawnej podstawy do dalszej retencji), z ostrzeżeniem mailowym wcześniej,
• konta wygasłe z planu Standard lub Pro (status „expired") — przez pierwsze 7 dni od wygaśnięcia dane są w pełni zachowane (okres grace, reaktywacja przywraca pełen dostęp). Po 7 dniach zdjęcia operacyjne (dokumentacja zdjęciowa napraw, zdjęcia z bookingu, załączniki wycen) są kasowane dla oszczędności miejsca, a pozostałe dane operacyjne (klienci, zlecenia, faktury, ustawienia) przechowywane są do 18 miesięcy od wygaśnięcia — w tym okresie Użytkownik może opłacić abonament i odzyskać pełen dostęp do tych danych. Po 18 miesiącach bez reaktywacji konto wraz z danymi jest usuwane trwale, z ostrzeżeniami mailowymi na 7 dni i 24 godziny przed usunięciem,
• dane rozliczeniowe, faktury, dane KSeF — przez okres wymagany przepisami podatkowymi i rachunkowymi (co do zasady 5 lat od końca roku podatkowego),
• logi zgód, sprzeciwów, incydentów, żądań osób oraz dokumenty zgodności — przez okres niezbędny dla rozliczalności i obrony przed roszczeniami.

8) Twoje prawa

Przysługuje Ci prawo: dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO oraz cofnięcia zgody w zakresie, w jakim przetwarzanie opiera się na zgodzie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania sprzed jej cofnięcia.

Masz także prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl). Jeżeli żądanie dotyczy danych klientów konkretnego serwisu rowerowego, skieruj je do tego serwisu jako administratora; operator BikeWorkshop wspiera realizację takich żądań od strony technicznej.

Z większości praw możesz skorzystać kontaktując się pod adresem kontakt@bikeworkshop.pl. Odpowiadamy bez zbędnej zwłoki, najpóźniej w terminie miesiąca od otrzymania żądania (możliwe wydłużenie o kolejne dwa miesiące przy żądaniu skomplikowanym — z poinformowaniem o przedłużeniu).

9) Cookies, local storage i PWA

BikeWorkshop używa cookies sesyjnych i technicznych potrzebnych do logowania, ochrony CSRF, utrzymania sesji i bezpieczeństwa. Aplikacja używa też local storage / session storage dla części ustawień interfejsu i działania PWA oraz może ustawiać cookie atrybucyjne partnera lub dystrybutora, gdy wejdziesz do aplikacji z takiego linku.

Operator płatności online (PayPro S.A. / Przelewy24) może przy redirectach do bramki zapisywać własne pliki cookies niezbędne do bezpiecznego przeprowadzenia transakcji.

Szczegóły opisujemy w odrębnej polityce cookies. Ograniczenie cookies technicznych lub storage może uniemożliwić korzystanie z aplikacji.

10) Zautomatyzowane decyzje i profilowanie

Nie podejmujemy wobec Ciebie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na Twoją sytuację (art. 22 RODO).

Stosujemy automatyczne reguły techniczne (np. limity AI / SMS, blokady anty-abuse, wygaszanie kont po wygaśnięciu abonamentu, automatyczna aktywacja subskrypcji po opłaceniu) — są to decyzje techniczne wynikające z zaakceptowanego regulaminu, nie profilowanie w rozumieniu RODO.

11) Bezpieczeństwo i rozliczalność

Stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka, w tym: konta imienne i kontrolę dostępu, zasadę najmniejszych uprawnień, separację danych tenantów (multi-tenant isolation), szyfrowanie wybranych danych wrażliwych konfiguracyjnych (np. token KSeF), limity anty-abuse, logowanie zdarzeń, sanitizację części logów, append-only dla wybranych rejestrów zgód, kopie zapasowe oraz procedury incydentowe i zgodności.

O każdym naruszeniu ochrony danych mogącym powodować ryzyko dla osób, których dane dotyczą, informujemy administratora (tenanta) bez zbędnej zwłoki, nie później niż w 24 h od potwierdzenia incydentu — zgodnie z art. 33 RODO i umową powierzenia.

Żaden system nie daje gwarancji pełnego braku ryzyka, dlatego prosimy użytkowników o ochronę haseł, urządzeń i zakresu danych wpisywanych do modułów komunikacji oraz AI.

12) Czy podanie danych jest obowiązkowe

Podanie części danych jest niezbędne do założenia i utrzymania konta, obsługi płatności, realizacji zlecenia serwisowego, wystawienia dokumentów, wysyłki kodów weryfikacyjnych lub korzystania z wybranych funkcji aplikacji. Niepodanie takich danych może uniemożliwić korzystanie z danej funkcji lub całego konta.

Podanie danych do newslettera lub niektórych funkcji dodatkowych jest dobrowolne, ale bez nich nie będziemy mogli ich obsłużyć.

13) Kontakt i zmiany polityki

W sprawach prywatności skontaktuj się z nami pod adresem kontakt@bikeworkshop.pl, tel. 889009420.

Możemy aktualizować tę politykę, jeśli zmieni się prawo, konfiguracja dostawców, zakres usług lub sposób przetwarzania danych. Aktualna wersja jest publikowana w aplikacji z numerem wersji i datą wejścia w życie. O istotnych zmianach poinformujemy zalogowanych użytkowników w panelu lub mailowo.