Polityka prywatności
Niniejsza informacja wyjaśnia, jakie dane zbieramy, dlaczego je zbieramy i jakie wybory przysługują użytkownikowi.
Administratorem danych jest MB "Skanyx" z siedzibą w Republice Litewskiej (Giruliu g. 10, LT-12112 Vilnius). Kontakt: support@skanyx.com.
Kluczowe definicje
- Dane osobowe: informacje, które identyfikują użytkownika lub mogą go zidentyfikować.
- Administrator danych: Skanyx, czyli podmiot decydujący o tym, jak i dlaczego dane są przetwarzane.
- Podmiot przetwarzający: podmioty trzecie przetwarzające dane w naszym imieniu (np. dostawca poczty, narzędzia analityczne).
- Plik cookie: niewielki plik tekstowy zapisywany na urządzeniu w celu zapamiętania preferencji i śledzenia sposobu korzystania ze strony.
- Osoba, której dane dotyczą: użytkownik, czyli osoba fizyczna, której dane osobowe są przetwarzane.
- RODO: ogólne rozporządzenie o ochronie danych, czyli unijne prawo o ochronie danych i prywatności.
- CCPA/CPRA: California Consumer Privacy Act / California Privacy Rights Act.
Czego dotyczy niniejsza Polityka
Niniejsza Polityka prywatności dotyczy:
- strony internetowej Skanyx (skanyx.com),
- aplikacji mobilnej Skanyx,
- wszelkich powiązanych usług oraz działań marketingowych.
Niniejsza polityka nie obejmuje stron, produktów ani usług osób trzecich, nawet jeśli prowadzą do nich odnośniki z naszych serwisów.
Jakie dane zbieramy
| Kategoria | Przykłady | Podstawa prawna |
|---|---|---|
| Wiadomości transakcyjne | adres e-mail służący do weryfikacji konta oraz powiadomień o usłudze | Prawnie uzasadniony interes (Art. 6 f) |
| Wiadomości marketingowe | adres e-mail do newsletterów oraz informacji o nowościach | Zgoda (Art. 6 a) |
| Dane urządzenia | adres IP, typ przeglądarki, system operacyjny, odwiedzane strony, czas spędzony w serwisie | Prawnie uzasadniony interes (Art. 6 f) |
| Statystyki marketingowe | współczynniki otwarć i kliknięć w wiadomościach, rezygnacje z subskrypcji | Zgoda (Art. 6 a) |
| Interakcje | opinie, zgłoszenia do obsługi klienta, odpowiedzi w ankietach | Prawnie uzasadniony interes (Art. 6 f) |
| Dane diagnostyczne pojazdu | kody błędów (DTC), odczyty czujników, strumienie danych na żywo, identyfikacja pojazdu (VIN, marka, model, rok), historia diagnostyczna, parametry stanu technicznego, zalecenia naprawcze | Wykonanie umowy (Art. 6 b) oraz prawnie uzasadniony interes (Art. 6 f) |
| Treści Czatu AI | wiadomości użytkownika do asystenta AI oraz odpowiedzi asystenta, w tym wszelki kontekst pojazdu udostępniony w rozmowie | Wykonanie umowy (Art. 6 b) |
| Profil pamięci pojazdu AI | wygenerowany przez AI profil podsumowujący historię pojazdu, objawy i wcześniejsze diagnozy, wykorzystywany do personalizacji przyszłych odpowiedzi | Wykonanie umowy (Art. 6 b) oraz prawnie uzasadniony interes (Art. 6 f) |
| Embeddingi czatu i treści | liczbowe reprezentacje wektorowe tekstu czatu i bazy wiedzy, wykorzystywane do wyszukiwania istotnych informacji dla asystenta | Wykonanie umowy (Art. 6 b) |
| Dane sprzętu i urządzeń | numer seryjny adaptera OBD, informacje o urządzeniu Bluetooth, dzienniki połączeń, wersja oprogramowania układowego, parametry pracy urządzenia | Prawnie uzasadniony interes (Art. 6 f) |
| Telemetria sesji adaptera | dzienniki połączeń OBD2, czas trwania sesji oraz parametry protokołu i sygnału z sesji diagnostycznych | Wykonanie umowy (Art. 6 b) oraz prawnie uzasadniony interes (Art. 6 f) |
| Zachowania i aktywność w aplikacji | wyświetlenia ekranów, działania w aplikacji, zdarzenia cyklu życia aplikacji oraz historia zdarzeń aplikacji | Zgoda (Art. 6 a) |
| Automatyczne raporty awarii | ślady stosu awarii oraz dzienniki urządzenia rejestrowane automatycznie w momencie awarii aplikacji | Zgoda (Art. 6 a); prawnie uzasadniony interes (Art. 6 f) w przypadku krytycznych awarii podczas uruchamiania |
| Ręczne zgłoszenia błędów | informacje przekazywane przy zgłaszaniu problemu: imię i nazwisko, adres e-mail, numer telefonu, VIN oraz zrzuty ekranu | Prawnie uzasadniony interes (Art. 6 f) |
| Dane płatności i rozliczeń | dane metody płatności (przetwarzane przez zewnętrznych operatorów płatności), adres rozliczeniowy, status subskrypcji, historia zamówień, zapisy transakcji | Wykonanie umowy (Art. 6 b) oraz obowiązek prawny (Art. 6 c) |
| Dane konta | nazwa użytkownika, hasło (w postaci skrótu), dane profilu, profile pojazdów, preferencje, szczegóły subskrypcji | Wykonanie umowy (Art. 6 b) |
| Logi bezpieczeństwa i przeciwdziałania nadużyciom | zdarzenia uwierzytelniania, adres IP oraz sygnały dotyczące limitów żądań i nadużyć wykorzystywane do wykrywania i zapobiegania oszustwom | Prawnie uzasadniony interes (Art. 6 f) |
*Podstawy prawne wynikają z art. 6 ust. 1 lit. a) i f) RODO.
Zbieramy numery identyfikacyjne pojazdów (VIN), aby dopasować dokładną konfigurację pojazdu i zapewnić trafną diagnostykę. Numer VIN można powiązać z właścicielem pojazdu, więc może stanowić dane osobowe. Używamy numerów VIN wyłącznie do świadczenia usług diagnostycznych. Nie udostępniamy ich podmiotom trzecim w celach marketingowych.
Nie zbieramy świadomie danych od osób poniżej 16. roku życia. W razie wykrycia takich danych usuniemy je niezwłocznie.
Pliki cookie oraz podobne technologie zbierają część danych automatycznie na potrzeby analityki i prawidłowego działania serwisu. Pełną listę znajduje się w centrum preferencji plików cookie.
Etykieta prywatności App Store (iOS). Aplikacja mobilna Skanyx deklaruje 7 typów danych na etykiecie prywatności App Store, przyporządkowanych do powyższych kategorii: adres e-mail i identyfikator użytkownika -> Dane konta; historia zakupów -> Dane płatności i rozliczeń; dane awarii i dane wydajności -> Dane urządzenia (zbierane przez Google Firebase Analytics i Crashlytics, dopiero po wyrażeniu zgody na telemetrię w aplikacji oraz, w przypadku danych wydajności sklasyfikowanych jako śledzenie, po zatwierdzeniu w iOS App Tracking Transparency); inne dane diagnostyczne -> Dane sprzętu i urządzeń; inne treści użytkownika -> Dane diagnostyczne pojazdu oraz Dane konta (wiadomości Czatu AI, notatki z inspekcji PPI, profile pojazdów, załączniki do zgłoszeń błędów).
Raporty awarii i zgłoszenia błędów
Zbieramy automatyczne raporty awarii, w tym dzienniki urządzenia, w momencie awarii aplikacji, oraz zgłoszenia błędów przesyłane samodzielnie przez użytkownika (które mogą zawierać imię i nazwisko, adres e-mail, numer telefonu, VIN oraz zrzuty ekranu). Automatyczne rejestrowanie awarii uruchamia się dopiero po wyrażeniu zgody w wewnątrzaplikacyjnym oknie zgody na telemetrię, z wyjątkiem krytycznych awarii podczas uruchamiania, które rejestrujemy na potrzeby stabilności, aby aplikacja mogła nadal działać. Dane te są przesyłane do Sentry oraz Google Firebase Crashlytics i przechowywane w naszej własnej bazie danych.
W jaki sposób wykorzystujemy dane
- Diagnostyka pojazdu: świadczenie usług diagnostycznych, odczyt i analiza kodów błędów, monitorowanie stanu pojazdu, generowanie zaleceń naprawczych oraz prowadzenie historii diagnostycznej na potrzeby analizy trendów.
- Komunikacja: wysyłka aktualizacji o produkcie, powiadomień serwisowych oraz wiadomości marketingowych (za zgodą użytkownika). Każda wiadomość marketingowa zawiera link rezygnacji dostępny jednym kliknięciem.
- Świadczenie usług: obsługa płatności, zarządzanie subskrypcjami, wsparcie klienta oraz prowadzenie konta.
- Rozwój serwisu: analiza sposobu korzystania z serwisu, aby ulepszać stronę i aplikację oraz wdrażać nowe funkcje.
- Bezpieczeństwo: wykrywanie nadużyć, oszustw, incydentów bezpieczeństwa i problemów technicznych oraz przeciwdziałanie im.
- Zgodność z prawem: realizacja obowiązków wynikających z przepisów, regulacji, postępowań prawnych oraz uprawnionych żądań organów państwowych.
Nigdy nie sprzedajemy danych osobowych ani danych diagnostycznych pojazdu podmiotom trzecim. Możemy wykorzystywać statystyki zagregowane, takie jak liczby i trendy, które nie pozwalają wyodrębnić żadnej osoby ani pojazdu, w celu ulepszania naszych algorytmów; tak zagregowane dane są anonimowe. Tam, gdzie zamiast tego pracujemy na zahaszowanych identyfikatorach, takich jak numery VIN, identyfikatory sieci Wi-Fi (SSID), nazwy urządzeń Bluetooth lub cyfrowe odciski palców urządzeń, dane te są jedynie pseudonimizowane, a nie anonimowe: pozostają danymi osobowymi i nadal podlegają ochronie na mocy niniejszej polityki, ponieważ wciąż można je powiązać z użytkownikiem.
Ważna informacja dla mieszkańców Kalifornii (CCPA/CPRA): nie sprzedajemy informacji osobistych w rozumieniu CCPA/CPRA ani nie udostępniamy ich na potrzeby reklamy behawioralnej między kontekstami. Nie wykorzystujemy wrażliwych informacji osobistych w celach innych niż wskazane w Cal. Civ. Code § 1798.121. Dane diagnostyczne pojazdu są w świetle CCPA/CPRA traktowane jako informacje osobiste i odpowiednio chronione.
Używamy danych diagnostycznych pojazdu wyłącznie do świadczenia usług diagnostycznych, generowania zaleceń naprawczych, śledzenia stanu pojazdu w czasie oraz ulepszania naszych algorytmów. Dane są szyfrowane w spoczynku. Nasz zespół wsparcia uzyskuje do nich dostęp wyłącznie wtedy, gdy użytkownik zwróci się o pomoc.
Dostawcy AI i przechowywanie danych
Nasz Asystent Czatu AI oraz funkcje AI są przetwarzane przez Anthropic (Claude). Gdy użytkownik korzysta z tych funkcji, jego wiadomości oraz odpowiedni kontekst pojazdu są przesyłane do Anthropic w celu wygenerowania odpowiedzi. Na mocy naszej umowy z Anthropic dane użytkownika są przetwarzane na standardowych warunkach API: Anthropic może je przechowywać przez okres do 30 dni na potrzeby bezpieczeństwa i przeciwdziałania nadużyciom, a następnie je usuwa, i nigdy nie wykorzystuje ich do trenowania swoich modeli. Embeddingi treści czatu są generowane przez Voyage AI na potrzeby wyszukiwania i przechowywane w naszej własnej bazie danych przez okres aktywności konta.
Pliki cookie i podobne technologie
| Rodzaj | Cel | Ustawienie domyślne |
|---|---|---|
| Niezbędne | umożliwiają podstawowe działanie strony oraz bezpieczeństwo | zawsze włączone |
| Analityczne | mierzą ruch w serwisie i pozwalają zrozumieć zachowanie użytkowników | wyłączone do czasu wyrażenia zgody |
| Marketingowe | mierzą i optymalizują skuteczność reklam (np. Facebook Pixel, Google Ads) | wyłączone do czasu wyrażenia zgody |
Preferencje można w dowolnej chwili zmienić za pomocą odnośnika "Preferencje plików cookie" w stopce. Większość przeglądarek pozwala także zarządzać plikami cookie w swoich ustawieniach.
Udostępnianie danych i podmioty przetwarzające
Dane osobowe udostępniamy wyłącznie wtedy, gdy jest to konieczne dla:
- dostawców usług: podmiotów trzecich, które pomagają nam prowadzić serwis i świadczyć usługi (np. hosting, analityka, marketing e-mailowy),
- zgodności z prawem: gdy wymagają tego przepisy lub gdy jest to potrzebne do ochrony naszych praw,
- przeniesienia działalności: w razie sprzedaży lub przeniesienia naszej działalności (z zachowaniem tych samych zasad ochrony prywatności).
Nasze podmioty przetwarzające dane oraz to, co każdy z nich otrzymuje i w jakim celu:
- Anthropic (Asystent Czatu AI i funkcje AI) - otrzymuje wiadomości z czatu oraz odpowiedni kontekst pojazdu, aby móc generować odpowiedzi AI i wnioski diagnostyczne,
- Voyage AI (embeddingi) - przekształca tekst czatu i bazy wiedzy w liczbowe embeddingi, dzięki czemu asystent może wyszukiwać istotne informacje; embeddingi są przechowywane w naszej bazie danych,
- Google Firebase (Analytics, Crashlytics i Cloud Messaging) - otrzymuje zdarzenia analityczne aplikacji, automatyczne raporty awarii z dziennikami urządzenia oraz tokeny powiadomień push; uruchamiane po wyrażeniu zgody w wewnątrzaplikacyjnym oknie zgody na telemetrię, z wyjątkiem krytycznych awarii podczas uruchamiania, rejestrowanych na potrzeby stabilności,
- Sentry (monitorowanie błędów i wydajności) - otrzymuje raporty błędów aplikacji, ślady wydajności oraz diagnostyczne dzienniki, abyśmy mogli wykrywać i naprawiać usterki; w witrynie rejestruje także zamaskowane powtórki sesji (tekst i multimedia są maskowane, więc treść wiadomości i konta nie jest przechwytywana), zależnie od Twojej zgody na telemetrię
- PostHog (analityka produktu) - otrzymuje zdarzenia związane z korzystaniem z serwisu (przeglądane strony, kliknięcia i konwersje) oraz, po zalogowaniu, identyfikator konta, adres e-mail i język, abyśmy mogli rozumieć sposób korzystania z serwisu i go ulepszać; analityka witryny działa wyłącznie za Państwa zgodą na telemetrię, natomiast zdarzenia potwierdzające zakup i zapis na listę oczekujących są rejestrowane w ramach świadczenia usługi; hostowane w UE
- RevenueCat (zarządzanie subskrypcjami) - otrzymuje zdarzenia zakupu i subskrypcji w celu zarządzania uprawnieniami użytkownika na różnych platformach,
- Stripe (przetwarzanie płatności) - otrzymuje dane płatności, rozliczeń i transakcji w celu obsługi zakupów; nigdy nie przechowujemy pełnych danych karty płatniczej,
- Brevo (poczta i lista oczekujących) - otrzymuje adres e-mail i dane kontaktowe, aby wysyłać wiadomości transakcyjne i marketingowe oraz zarządzać listą oczekujących na start,
- NHTSA (wyszukiwanie akcji przywoławczych pojazdów) - otrzymuje markę, model i rok pojazdu (lub VIN), aby zwrócić informacje o otwartych akcjach przywoławczych dotyczących bezpieczeństwa; jest to usługa rządu USA,
- Apple (Sign in with Apple) - przetwarza dostarczony przez Apple identyfikator oraz, jeśli użytkownik na to zezwoli, adres e-mail w celu uwierzytelnienia,
- Supabase (baza danych, uwierzytelnianie i przechowywanie) - przechowuje dane konta, pojazdu, diagnostyczne i czatu oraz wszelkie przesłane przez użytkownika pliki,
- Vercel i Cloudflare (hosting i sieć dostarczania treści) - przetwarzają techniczne dane żądań, w tym adres IP, aby udostępniać, przyspieszać i chronić stronę internetową oraz aplikację.
Niektóre podmioty przetwarzające mają siedzibę poza EOG. Dbamy o to, aby każde przekazanie danych było objęte odpowiednimi zabezpieczeniami, zobacz sekcję 9 poniżej.
Okresy przechowywania
Dane osobowe przechowujemy wyłącznie tak długo, jak to konieczne do celów opisanych w niniejszej polityce. Gdy poniższy okres jest stały, usunięcie następuje automatycznie po jego upływie; gdy przechowywanie zależy od aktywności konta, usuwamy dane, gdy użytkownik usunie konto lub się o to zwróci.
| Dane | Okres przechowywania |
|---|---|
| Dane konta | przez okres aktywności konta; usuwane w ciągu 30 dni od zgłoszenia żądania usunięcia |
| Dane diagnostyczne pojazdu | przez okres aktywności konta |
| Treści Czatu AI | przez okres aktywności konta; można je usunąć w dowolnej chwili |
| Pamięć pojazdu AI i embeddingi | przez okres aktywności konta |
| Raporty PPI i predykcyjne | przez okres aktywności konta |
| Dzienniki aplikacji i błędów | 90 dni |
| Zgłoszenia błędów | do czasu rozwiązania, następnie 90 dni |
| Dane analityczne | 14 miesięcy (maksimum GA4 dla standardowej usługi) |
| Logi bezpieczeństwa | 12 miesięcy |
| Dane marketingowe | do momentu rezygnacji z subskrypcji lub zgłoszenia żądania usunięcia |
| Dokumentacja rozliczeniowa i podatkowa | 7 lat (obowiązek prawny i podatkowy) |
Poza powyższymi automatycznymi okresami użytkownik może w dowolnej chwili zażądać usunięcia swoich danych, kontaktując się z nami, a dane konta usuwamy w ciągu 30 dni od zgłoszenia żądania usunięcia konta.
Prawa użytkownika
W zależności od miejsca zamieszkania użytkownikowi mogą przysługiwać następujące prawa:
GDPR Rights (EU/EEA)
- Dostęp: prawo do uzyskania kopii swoich danych osobowych,
- Sprostowanie: prawo do poprawienia danych nieprawidłowych lub niekompletnych,
- Usunięcie: prawo do żądania usunięcia swoich danych osobowych,
- Ograniczenie: prawo do ograniczenia sposobu przetwarzania danych,
- Przenoszenie danych: prawo do otrzymania swoich danych w formacie nadającym się do odczytu maszynowego,
- Sprzeciw: prawo do sprzeciwu wobec określonych rodzajów przetwarzania,
- Wycofanie zgody: prawo do wycofania zgody w dowolnym momencie.
California Rights (CCPA/CPRA)
- Prawo do informacji: jakie informacje osobiste zbieramy i w jaki sposób je wykorzystujemy,
- Prawo do usunięcia: żądanie usunięcia informacji osobistych,
- Prawo do rezygnacji ze sprzedaży: rezygnacja ze sprzedaży informacji osobistych (nie dotyczy - nie sprzedajemy danych).
Aby skorzystać z któregokolwiek z tych praw, wystarczy napisać na adres support@skanyx.com z tematem 'Data Rights Request'. Zweryfikujemy tożsamość użytkownika i odpowiemy w ciągu 30 dni. W razie niezadowolenia z odpowiedzi przysługuje prawo wniesienia skargi do Państwowej Inspekcji Ochrony Danych Republiki Litewskiej (Valstybinė duomenų apsaugos inspekcija, ada.lt) lub do organu nadzorczego w państwie zamieszkania.
Bezpieczeństwo danych
Stosujemy następujące środki techniczne i organizacyjne:
Technical Measures
- szyfrowanie danych w transmisji i w spoczynku,
- kontrola dostępu i uwierzytelnianie,
- stały monitoring bezpieczeństwa i rejestrowanie zdarzeń,
- testy penetracyjne i oceny podatności.
Organizational Measures
- regularne szkolenia personelu z zakresu prywatności i bezpieczeństwa,
- polityki i procedury ochrony danych,
- umowy o powierzeniu przetwarzania danych z podmiotami trzecimi,
- plany reagowania na incydenty.
Powyższe środki chronią dane użytkownika, jednak żadna metoda transmisji ani przechowywania nie jest w 100% bezpieczna. Warto stosować również własne środki ostrożności.
Transfery międzynarodowe
Skanyx działa na terenie Unii Europejskiej. Część naszych podmiotów przetwarzających ma siedzibę w Stanach Zjednoczonych lub przekazuje tam dane.
Do podmiotów przetwarzających, które mogą przetwarzać dane użytkownika w Stanach Zjednoczonych, należą Anthropic, Voyage AI, Google (Firebase), RevenueCat, Apple oraz Stripe.
W przypadku tych przekazań opieramy się na odpowiednich zabezpieczeniach:
- standardowe klauzule umowne (SCCs) zatwierdzone przez Komisję Europejską,
- ramy ochrony danych UE-USA (EU-US Data Privacy Framework), w przypadku gdy podmiot przetwarzający posiada certyfikację,
- dodatkowe środki techniczne i organizacyjne, takie jak szyfrowanie w transmisji i w spoczynku.
Zmiany niniejszej polityki
Niniejsza Polityka prywatności może być aktualizowana. O istotnych zmianach poinformujemy:
- wysyłając wiadomość na adres e-mail podany przy rejestracji,
- publikując widoczne powiadomienie w naszym serwisie,
- aktualizując datę "Ostatnia aktualizacja" u góry strony.
Dalsze korzystanie z naszych usług po wprowadzeniu zmian oznacza akceptację zaktualizowanej polityki.
Kontakt
W razie pytań dotyczących niniejszej Polityki prywatności lub chęci skorzystania z przysługujących praw zapraszamy do kontaktu:
- E-mail: support@skanyx.com (zapytania dotyczące prywatności i wniosków o realizację praw),
- Zapytania ogólne: team@skanyx.com,
- Formularz kontaktowy: dostępny na naszej stronie.
Odpowiadamy na zapytania w ciągu 30 dni.
