Polityka prywatności

Autovig zgodnie z RODO: administrator, podstawa prawna dla celu, okres przechowywania, odbiorcy, przekazywania UE–USA, prawa osób i droga skargi do APD/GBA.

Niniejsza Polityka opisuje przetwarzanie danych osobowych podczas korzystania z serwisu autovig.eu („Serwis”). Została sporządzona w wykonaniu artykułów 12, 13 i 14 rozporządzenia (UE) 2016/679 („RODO”) oraz belgijskiej ustawy z dnia 30 lipca 2018 r. o ochronie osób fizycznych w zakresie przetwarzania danych osobowych.

Serwis jest redakcyjną usługą informacyjną dotyczącą europejskich winiet autostradowych i opłat drogowych. Nie prowadzi kont użytkowników, nie obsługuje płatności ani nie zawiera treści generowanych przez użytkowników. Przetwarzane dane osobowe ograniczają się zatem do tego, co jest technicznie niezbędne do udostępniania publicznej witryny, mierzenia jej zasięgu redakcyjnego i odpowiadania na Państwa wiadomości.

1. Tożsamość administratora

Administratorem w rozumieniu art. 4 pkt 7 RODO jest:

Wszelkie odniesienia w niniejszej Polityce do „Autovig”, „my”, „nas” lub „nasz” oznaczają Autovig występującą pod marką Autovig. Administrator ma siedzibę w Unii Europejskiej; wyznaczenie przedstawiciela w rozumieniu art. 27 RODO nie jest wymagane.

2. Inspektor ochrony danych

Autovig nie wyznaczyła inspektora ochrony danych. Operacje przetwarzania opisane w niniejszej Polityce nie osiągają progów określonych w art. 37 ust. 1 RODO: administrator nie jest organem publicznym, jego główna działalność nie polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą, na dużą skalę, ani nie obejmuje przetwarzania szczególnych kategorii danych w rozumieniu art. 9 i 10 na dużą skalę.

Wszystkie zapytania dotyczące ochrony danych, w tym dotyczące realizacji praw, są obsługiwane przez wydawcę odpowiedzialnego pod adresem contact@autovig.eu.

3. Kategorie danych i źródła

Przetwarzamy następujące kategorie danych osobowych. Każda kategoria jest szczegółowo opisana w sekcji 5 według celu, podstawy prawnej, odbiorców, okresu przechowywania i przekazań.

KategoriaPrzykładyŹródło
Dane połączeniaAdres IP, znacznik czasu, metoda HTTP, żądany URL, kod odpowiedzi, agent użytkownika, odsyłaczGenerowane automatycznie przez nagłówki HTTP przesyłane przez Państwa przeglądarkę
Stan zgodyDecyzja dla każdej kategorii plików cookie (niezbędne / pomiar audytorium)Przekazany przez Państwa za pośrednictwem banera; przechowywany w pamięci lokalnej Państwa przeglądarki
Dane pomiaru audytoriumPseudonimowe zdarzenia odsłon: odwiedzana strona, język, przybliżona klasa urządzenia, host odsyłającyGenerowane przez Państwa przeglądarkę wyłącznie po wyrażeniu zgody na pomiar audytorium
Dane korespondencjiAdres e-mail, treść wiadomości oraz dane, które Państwo w niej zawierająPrzekazywane przez Państwa, gdy do nas piszą
Dane zgłoszeń podatnościAdres e-mail, techniczny opis podatności, ewentualnie treść zaszyfrowana PGPPrzekazywane przez Państwa przy zgłoszeniu problemu bezpieczeństwa zgodnie z naszą polityką odpowiedzialnego ujawniania

Nie przetwarzamy szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO (pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, życia seksualnego lub orientacji seksualnej) ani danych dotyczących wyroków skazujących w rozumieniu art. 10. Nie podejmujemy decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec Państwa skutki prawne lub w podobny sposób istotnie na Państwa wpływały (art. 22 RODO).

4. Czego nie gromadzimy

Dla jasności nie gromadzimy ani nie przetwarzamy danych logowania do kont, danych płatniczych, dokumentów tożsamości, adresów pocztowych, numerów telefonów, numerów rejestracyjnych pojazdów, danych geolokalizacyjnych wykraczających poza to, co z natury ujawnia adres IP, identyfikatorów reklamowych, identyfikatorów śledzenia międzywitrynowego ani profili reklamy behawioralnej.

5. Cele, podstawy prawne, odbiorcy, okres przechowywania i przekazania

Poniższa tabela przedstawia dla każdego celu przetwarzania: wykorzystywane dane, podstawę prawną w art. 6 RODO, odbiorców, okres przechowywania oraz ewentualne przekazania poza EOG.

CelWykorzystywane danePodstawa prawna (art. 6 RODO)OdbiorcyOkres przechowywaniaPrzekazania poza EOG
Udostępnianie Serwisu (renderowanie stron, routing językowy)Dane połączenia, stan zgodyPrawnie uzasadniony interes — art. 6 ust. 1 lit. f): prowadzenie publicznej witrynyDostawca hostingu (OVH SAS, Francja)Dane połączenia: do 12 miesięcy w logach operacyjnych; stan zgody pozostaje na Państwa urządzeniu do momentu, w którym go usunąBrak — hosting w UE
Bezpieczeństwo operacyjne (zwalczanie nadużyć, wykrywanie włamań, reagowanie na incydenty)Dane połączeniaPrawnie uzasadniony interes — art. 6 ust. 1 lit. f): zabezpieczenie Serwisu, wyważone wobec Państwa rozsądnego oczekiwania, że ruch do witryny publicznej jest logowany z powodów bezpieczeństwa; obowiązek prawny — art. 6 ust. 1 lit. c) w przypadku wezwania przez belgijskie organy ścigania na podstawie art. 39 i 88 belgijskiego Kodeksu postępowania karnegoDostawca hostingu; na zgodne z prawem wezwanie — belgijskie organy sądowe lub nadzorczeLogi bezpieczeństwa: do 12 miesięcyBrak
Redakcyjny pomiar audytorium (odsłony, języki, źródła odesłań)Dane pomiaru audytoriumZgoda — art. 6 ust. 1 lit. a): zdarzenia są ładowane wyłącznie po wyrażeniu przez Państwa zgody w banerze; wycofanie zgody jest równie proste jak jej udzielenie i odbywa się przez Preferencje plików cookieGoogle Ireland Limited (Irlandia) jako podmiot przetwarzający w rozumieniu art. 28 RODO; możliwe dalsze przekazanie do Google LLC (Stany Zjednoczone) w ramach tej samej grupyDomyślny okres: 14 miesięcy na poziomie zdarzeń w usłudze pomiarowej; wcześniejsze usunięcie na żądanie (sekcja 7)Tak — Google LLC, Stany Zjednoczone, na podstawie standardowych klauzul umownych (decyzja wykonawcza (UE) 2021/914) oraz Ram ochrony danych UE–USA (decyzja wykonawcza (UE) 2023/1795); Google LLC posiada samocertyfikację w ramach DPF
Odpowiedzi na Państwa wiadomościDane korespondencjiPrawnie uzasadniony interes — art. 6 ust. 1 lit. f) dla zapytań ogólnych; wykonanie umowy — art. 6 ust. 1 lit. b), gdy wiadomość stanowi żądanie przed zawarciem umowy, po uruchomieniu ścieżki zakupowejDostawca hostingu skrzynki pocztowej; brak zewnętrznego dostawcy wysyłki marketingowejDo 24 miesięcy od ostatniej wiadomości w wątku, chyba że dłuższe przechowywanie jest niezbędne do obrony roszczeń (do 10 lat na podstawie art. 2262bis belgijskiego Kodeksu cywilnego)Brak — skrzynka pocztowa hostowana w UE
Przyjmowanie zgłoszeń podatnościDane zgłoszeń podatnościPrawnie uzasadniony interes — art. 6 ust. 1 lit. f): skoordynowane ujawnianie podatności zgodnie z ISO/IEC 29147:2018 oraz belgijską ustawą z dnia 28 listopada 2022 r. o sygnalistach i skoordynowanym ujawnianiu podatnościWewnętrzny zespół bezpieczeństwa; skoordynowane ujawnienie z dotkniętym podmiotem trzecim w stosownych przypadkachDo 5 lat dla zamkniętych zgłoszeń, zgodnie z czasem rekomendowanym w polityce skoordynowanego ujawniania belgijskiego Centrum Cyberbezpieczeństwa (CCB)Brak
Przechowywanie dowodu zgody (art. 7 ust. 1 RODO)Stan zgodyObowiązek prawny — art. 6 ust. 1 lit. c) w związku z art. 7 ust. 1 RODOWyłącznie lokalna pamięć przeglądarki; nic nie jest do nas przekazywaneDo momentu, w którym wyczyszczą Państwo pamięć lub zmienią wybórBrak

Dodanie nowego celu lub nowego podmiotu przetwarzającego powoduje aktualizację niniejszej Polityki przed rozpoczęciem nowego przetwarzania, korektę daty updatedAt w nagłówku oraz wyświetlenie informacji na górze strony przez co najmniej 30 dni.

Uwaga dotycząca prawnie uzasadnionego interesu

W odniesieniu do każdego z wyżej wymienionych celów opartych na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f)) przeprowadziliśmy trzystopniowy test wymagany przez wytyczne EROD 01/2024 i motyw 47 RODO:

realizowany interes jest uzasadniony (prowadzenie, zabezpieczanie i obsługa zapytań dotyczących zgodnej z prawem usługi redakcyjnej);
przetwarzanie jest niezbędne dla tego interesu (żaden mniej inwazyjny środek nie pozwala osiągnąć tego samego rezultatu — przykładowo logi połączeń są niezastąpione przy reagowaniu na incydenty);
przetwarzanie nie narusza praw i wolności podstawowych osoby, której dane dotyczą, biorąc pod uwagę ograniczony zakres danych, krótki czas przechowywania, brak profilowania oraz publiczny kontekst, w którym dane są przekazywane.

W każdej chwili mogą Państwo wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie na podstawie art. 21 RODO; procedurę opisano w sekcji 7.

6. Pliki cookie i podobne technologie

Pełny rejestr plików cookie i podobnych technologii umieszczanych lub odczytywanych w Serwisie — w tym ich nazwy, cele, czas trwania oraz zaangażowane podmioty trzecie — znajduje się w Polityce plików cookie. Mogą Państwo udzielić, odmówić lub wycofać zgodę na podmioty śledzące, które nie są ściśle niezbędne, w dowolnym momencie poprzez Preferencje plików cookie.

Zgoda jest pozyskiwana zgodnie z art. 5 ust. 3 dyrektywy 2002/58/WE ze zmianami („dyrektywa ePrivacy”) oraz jej belgijską transpozycją w art. 129 ustawy z dnia 13 czerwca 2005 r. o komunikacji elektronicznej. Ściśle niezbędne podmioty śledzące są umieszczane bez zgody na podstawie tego samego przepisu.

7. Państwa prawa

Na podstawie art. 15-22 i 77 RODO przysługują Państwu następujące prawa:

dostęp do danych Państwa dotyczących (art. 15);
sprostowanie danych nieprawidłowych lub niekompletnych (art. 16);
usunięcie („prawo do bycia zapomnianym”) w przypadkach wskazanych w art. 17;
ograniczenie przetwarzania w przypadkach wskazanych w art. 18;
przenoszenie: otrzymywanie danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazanie ich innemu administratorowi, w przypadkach wskazanych w art. 20;
sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21);
wycofanie zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem (art. 7 ust. 3);
niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, wywołującej skutki prawne lub w podobny sposób istotnie na Państwa wpływającej (art. 22); nie podejmujemy takich decyzji.

Jak realizować prawa

Prosimy o pisanie na adres contact@autovig.eu. Należy wskazać prawo, z którego chcą Państwo skorzystać, oraz dane, których ono dotyczy. Możemy zażądać informacji niezbędnych wyłącznie do potwierdzenia Państwa tożsamości przed rozpatrzeniem wniosku, zgodnie z art. 12 ust. 6 RODO. Odpowiadamy w terminie miesiąca od otrzymania wniosku. Termin ten może zostać przedłużony o kolejne dwa miesiące z uwagi na złożoność lub liczbę wniosków; zostaną Państwo o takim przedłużeniu poinformowani w ciągu pierwszego miesiąca.

Realizacja praw dostępu, sprostowania, usunięcia, ograniczenia i przenoszenia jest bezpłatna, chyba że wnioski są w sposób oczywisty nieuzasadnione lub nadmierne (art. 12 ust. 5 RODO).

8. Prawo do wniesienia skargi

Jeżeli uważają Państwo, że przetwarzanie danych narusza RODO, mają Państwo prawo wniesienia skargi do organu nadzorczego. Organem właściwym dla administratora jest:

Autorité de protection des données / Gegevensbeschermingsautoriteit (APD / GBA)
Rue de la Presse 35 / Drukpersstraat 35, 1000 Bruxelles / 1000 Brussel, Belgia
Telefon: +32 (0)2 274 48 00

Na podstawie art. 77 ust. 1 RODO mogą Państwo również wnieść skargę do organu nadzorczego państwa członkowskiego UE lub EOG właściwego ze względu na miejsce zwykłego pobytu, miejsce pracy lub miejsce domniemanego naruszenia. Wykaz krajowych organów publikuje Europejska Rada Ochrony Danych: https://www.edpb.europa.eu/about-edpb/about-edpb/membersen. W Polsce właściwy jest Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl.

9. Przekazywania międzynarodowe — szczegóły zabezpieczeń

Jedynym przekazywaniem do państwa trzeciego wskazanym w sekcji 5 jest przekazywanie w ramach Google Analytics 4. Gdy zdarzenia pomiaru audytorium są dalej przekazywane z Google Ireland Limited (Irlandia) do Google LLC (Stany Zjednoczone), przekazywanie opiera się na dwóch kumulatywnych zabezpieczeniach:

Standardowe klauzule umowne — moduł 2 (administrator do podmiotu przetwarzającego) decyzji wykonawczej (UE) 2021/914 Komisji z dnia 4 czerwca 2021 r., zawartej między administratorem a Google Ireland Limited i rozszerzonej na Google LLC jako podmiot dalej przetwarzający w rozumieniu art. 28 ust. 2 RODO.
Ramy ochrony danych UE–USA — decyzja wykonawcza (UE) 2023/1795 Komisji z dnia 10 lipca 2023 r., w ramach której Google LLC posiada samocertyfikację. Bieżący status można zweryfikować pod adresem https://www.dataprivacyframework.gov.

Kopia zabezpieczeń może zostać udostępniona pod adresem contact@autovig.eu. Inne przekazywania poza EOG nie są realizowane.

10. Bezpieczeństwo przetwarzania

Stosujemy środki techniczne i organizacyjne zgodne z art. 32 RODO, uwzględniając stan wiedzy technicznej, koszt wdrożenia, charakter i zakres przetwarzania oraz ryzyko dla osób, których dane dotyczą. Obejmują one: TLS w tranzycie dla całego ruchu publicznego, dostęp do systemów operacyjnych zgodnie z zasadą najmniejszych uprawnień, oddzielenie środowisk build, staging i produkcji, przegląd logów pod kątem anomalii oraz udokumentowaną procedurę zgłoszenia naruszenia APD/GBA w terminie 72 godzin i osobom, których dane dotyczą, bez zbędnej zwłoki, gdy naruszenie może wiązać się z ryzykiem dla ich praw i wolności (art. 33 i 34 RODO).

Z zadowoleniem przyjmujemy zgłoszenia podejrzewanych podatności w ramach naszej polityki odpowiedzialnego ujawniania. Konkretne środki techniczne nie są tu opisane, gdyż ich ujawnienie mogłoby osłabić zapewnianą przez nie ochronę.

11. Małoletni

Serwis nie jest skierowany do małoletnich i nie przetwarzamy świadomie danych osobowych małoletnich poniżej progu cyfrowej zgody. W Belgii art. 7 ust. 1 ustawy z dnia 30 lipca 2018 r. ustala ten próg na 13 lat dla usług społeczeństwa informacyjnego oferowanych bezpośrednio małoletniemu na podstawie zgody. Jeśli stwierdzą Państwo, że małoletni poniżej tego progu przekazał nam dane, prosimy o kontakt pod adresem contact@autovig.eu; dane zostaną usunięte bez zbędnej zwłoki.

12. Zmiany niniejszej Polityki

Niniejsza Polityka może być aktualizowana wraz z rozwojem Serwisu. Data updatedAt w nagłówku odzwierciedla ostatnią rewizję. Zmiany istotne — nowy podmiot przetwarzający, nowy cel lub nowy mechanizm przekazywania — są sygnalizowane u góry strony przez co najmniej 30 dni przed wejściem w życie. Wcześniejsze wersje są dostępne na żądanie pod adresem contact@autovig.eu.

13. Data wejścia w życie

Niniejsza Polityka wchodzi w życie z datą updatedAt wskazaną w nagłówku. Zastępuje wszelkie wcześniejsze wersje.

Źródła

Następujące akty są cytowane lub wdrażane powyżej. Każdy link jest skonsolidowanym permalinkiem.