Polityka prywatności

Sekcja 01

Administrator danych osobowych

Administratorem Państwa danych osobowych jest:

Stellantis Polska Spółka z ograniczoną odpowiedzialnością ZWERYFIKOWAĆ — która spółka grupy Stellantis jest faktycznym administratorem (Stellantis Polska / FCA Poland / Stellantis N.V.)
Al. Krakowska 206
02-219 Warszawa
NIP: DO UZUPEŁNIENIA · KRS: DO UZUPEŁNIENIA
E-mail: DO UZUPEŁNIENIA — ogólny adres kontaktowy administratora
(dalej: „Administrator" lub „my").

Sekcja 02

Kontakt w sprawach ochrony danych

We wszystkich sprawach dotyczących przetwarzania Państwa danych osobowych oraz realizacji praw, o których mowa w niniejszej Polityce, mogą Państwo kontaktować się z Administratorem:

pisemnie — na adres siedziby Administratora wskazany w §01, z dopiskiem „Dane osobowe",
za pośrednictwem poczty elektronicznej — na adres DO UZUPEŁNIENIA — adres e-mail IOD.

Administrator wyznaczył Inspektora Ochrony Danych (IOD), z którym mogą Państwo skontaktować się we wszelkich sprawach związanych z przetwarzaniem danych osobowych oraz korzystaniem ze swoich praw.

Sekcja 03

Cele, podstawy prawne i zakres przetwarzania

3.1. Formularz „Dołącz do naszej sieci"

Korzystając z formularza dostępnego na stronie /dolacz (zgłoszenie partnerskie), przekazują Państwo następujące dane:

nazwę firmy oraz numer NIP,
imię i nazwisko osoby kontaktowej,
adres e-mail oraz numer telefonu,
treść wiadomości (opcjonalnie),
dodatkowo zapisywane są dane techniczne: adres IP urządzenia oraz identyfikator przeglądarki (User-Agent) — w celu zapewnienia bezpieczeństwa zgłoszenia (ochrona przed nadużyciami) i ewentualnej obrony przed roszczeniami. Dane techniczne przechowywane są razem ze zgłoszeniem przez ten sam okres co dane kontaktowe (zob. §04).

Cele i podstawy prawne przetwarzania (każdy cel ma jedną podstawę):

podjęcie działań przed zawarciem umowy na żądanie osoby — obsługa zgłoszenia, kontakt zwrotny, weryfikacja NIP, ustalenie warunków współpracy: art. 6 ust. 1 lit. b RODO;
komunikacja handlowa B2B z potencjalnymi partnerami (np. follow-up, gdy zgłoszenie nie zakończyło się umową): art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora, o którym mowa w motywie 47 zd. ostatnie RODO (marketing bezpośredni);
archiwizacja zgłoszenia oraz obrona przed ewentualnymi roszczeniami i ich dochodzenie do upływu terminów przedawnienia z Kodeksu cywilnego (co do zasady 3 lub 6 lat — art. 118 KC): art. 6 ust. 1 lit. f RODO;
realizacja obowiązków księgowo-podatkowych (gdy zgłoszenie doprowadziło do zawarcia umowy i wystawienia faktury): art. 6 ust. 1 lit. c RODO w zw. z art. 74 ustawy o rachunkowości oraz art. 86 §1 Ordynacji podatkowej;
zapewnienie bezpieczeństwa zgłoszenia (zapis IP/UA, mechanizmy CSRF, rate-limiting, honeypot): art. 6 ust. 1 lit. f RODO.

3.2. Wyszukiwarka dystrybutorów (locator)

Strona /kontakt udostępnia narzędzie umożliwiające wyszukanie najbliższych dystrybutorów po wpisaniu kodu pocztowego, miasta lub regionu. Wyszukiwanie składa się z dwóch technicznie odrębnych operacji:

(a) Geokodowanie zapytania — po stronie serwera. Wpisana przez Państwa lokalizacja (np. „03-587", „Warszawa") jest wysyłana z naszej przeglądarki do naszego serwera, który dopiero z własnego adresu IP odpytuje usługę Google Geocoding API o współrzędne geograficzne. Państwa adres IP nie jest w tym procesie przekazywany do Google. Wynik geokodowania jest cache'owany w naszej bazie danych, aby ograniczyć liczbę zapytań do Google.

(b) Wyświetlenie interaktywnej mapy — po stronie przeglądarki. Jeżeli wyrazili Państwo zgodę w banerze cookies (zob. §10), Państwa przeglądarka ładuje skrypt maps.googleapis.com oraz kafle mapy bezpośrednio z serwerów Google. W tym scenariuszu Państwa adres IP, User-Agent oraz Referer trafiają do Google LLC w Stanach Zjednoczonych (zob. §6 — transfer poza EOG). Bez zgody mapa nie jest ładowana; sama wyszukiwarka działa nadal (wyniki w formie listy po prawej). W miejscu mapy wyświetlany jest placeholder z przyciskiem umożliwiającym wyrażenie zgody w dowolnym momencie.

świadczenie usługi wyszukiwania (geokodowanie zapytania, dobór dystrybutorów, ranking po odległości) — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora);
wyświetlenie interaktywnej mapy w przeglądarce i transfer danych do Google LLC (USA) — art. 398 ust. 1 ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (zgoda na cookies podmiotu trzeciego) w zw. z art. 6 ust. 1 lit. a RODO (zgoda na transfer adresu IP do państwa trzeciego, art. 49 ust. 1 lit. a RODO). Zgodę mogą Państwo w każdej chwili wycofać — równie łatwo jak ją wyrażono — klikając ikonę „Ustawienia cookies" w lewym dolnym rogu strony (art. 7 ust. 3 RODO);
zapobieganie nadużyciom (rate-limiting) — art. 6 ust. 1 lit. f RODO.

3.3. Logi serwera oraz dane techniczne

Podczas korzystania z serwisu nasze systemy automatycznie zbierają i zapisują dane techniczne:

adres IP urządzenia, z którego nawiązano połączenie,
informacje o przeglądarce (User-Agent), systemie operacyjnym i wersji,
data i godzina żądania, adres URL żądania, adres strony odsyłającej (referer),
kod odpowiedzi serwera, ilość przesłanych danych.

Dane zapisywane są w plikach dziennika serwera oraz — w zakresie niezbędnym do zabezpieczenia formularzy (CSRF, rate-limiting, honeypot) — w wewnętrznej bazie danych. Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes polegający na zapewnieniu bezpieczeństwa i poprawnego działania serwisu.

Sekcja 04

Okres przechowywania danych

Dane przechowujemy nie dłużej, niż jest to niezbędne do realizacji celów, dla których zostały zebrane:

Kategoria danych	Okres przechowywania
Zgłoszenia partnerskie z formularza „Dołącz do nas"	W przypadku zawarcia umowy — przez okres jej wykonywania oraz okres przedawnienia roszczeń (co do zasady 6 lat). Bez umowy — do 24 miesięcy od ostatniego kontaktu.
Logi serwera, request_log	Co do zasady do 12 miesięcy, następnie usuwane lub anonimizowane.
Dane księgowe i podatkowe	5 lat od końca roku, w którym powstał obowiązek podatkowy.

Sekcja 05

Odbiorcy danych osobowych

Państwa dane mogą być przekazywane następującym kategoriom odbiorców:

podmiotom z grupy kapitałowej Stellantis — w zakresie niezbędnym do realizacji celów biznesowych, w szczególności obsługi sieci dystrybucji części zamiennych;
autoryzowanym dystrybutorom Distrigo — wyłącznie w zakresie niezbędnym do obsługi Państwa zapytania lub realizacji współpracy handlowej;
dostawcom usług IT i hostingu — w zakresie utrzymania infrastruktury serwerowej, poczty elektronicznej (SMTP) oraz kopii zapasowych;
Google LLC / Google Ireland Ltd. — w dwóch odrębnych technicznie scenariuszach: (i) Google Geocoding API — zapytania z naszego serwera w celu zamiany kodu pocztowego/miasta na współrzędne (bez Państwa adresu IP); (ii) Google Maps JavaScript API i Google Fonts — ładowane z Państwa przeglądarki, z przekazaniem Państwa adresu IP i ewentualnych cookies podmiotu trzeciego (Maps wyłącznie po wyrażeniu zgody zgodnie z §10);
kancelariom prawnym, doradcom podatkowym i audytorom — w zakresie świadczonych dla Administratora usług doradczych;
organom państwowym — gdy obowiązek udostępnienia danych wynika z przepisów prawa.

Wszystkie podmioty przetwarzające dane na zlecenie Administratora są zobowiązane do zachowania poufności oraz wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych.

Sekcja 06

Przekazywanie danych poza EOG

Transfer USA

W związku z korzystaniem z usług Google Państwa dane mogą być przekazywane do Google LLC w Stanach Zjednoczonych w dwóch technicznie odrębnych scenariuszach:

(i) Google Geocoding API — zapytanie wychodzi z naszego serwera. Google otrzymuje jedynie treść zapytania (np. „03-587, Polska") oraz adres IP naszego serwera. Państwa adres IP nie jest przekazywany.

(ii) Google Maps JavaScript API + Google Fonts — żądanie wychodzi bezpośrednio z Państwa przeglądarki. Google otrzymuje Państwa adres IP, User-Agent, Referer i może zapisać własne pliki cookies (w przypadku Maps). Ładowanie Google Maps następuje wyłącznie po Państwa zgodzie wyrażonej w banerze cookies.

Google LLC posiada certyfikację w ramach EU-US Data Privacy Framework (decyzja wykonawcza Komisji Europejskiej z 10 lipca 2023 r. stwierdzająca odpowiedni stopień ochrony danych osobowych przez Stany Zjednoczone), co zapewnia podstawę prawną do transferu.

Transfery w ramach grupy Stellantis poza EOG. Państwa dane mogą być również przekazywane do podmiotów grupy Stellantis mających siedzibę poza Europejskim Obszarem Gospodarczym (m.in. w Stanach Zjednoczonych, Brazylii, Argentynie, Indiach). Transfery odbywają się na podstawie: ZWERYFIKOWAĆ ze Stellantis Group — czy w grupie obowiązują wiążące reguły korporacyjne (Binding Corporate Rules) zatwierdzone przez organ nadzorczy, czy transfery odbywają się wyłącznie na podstawie standardowych klauzul umownych (SCC, decyzja KE 2021/914).

Niezależnie od powyższego Administrator stosuje dodatkowe zabezpieczenia techniczne i organizacyjne (m.in. szyfrowanie transmisji, ograniczenie zakresu przekazywanych danych do niezbędnego minimum). Mogą Państwo uzyskać kopię stosowanych zabezpieczeń, kontaktując się z Administratorem zgodnie z §02.

Sekcja 07

Prawa osoby, której dane dotyczą

W związku z przetwarzaniem Państwa danych przysługują Państwu następujące prawa:

prawo dostępu do danych (art. 15 RODO) — w tym do uzyskania kopii danych;
prawo do sprostowania nieprawidłowych lub niekompletnych danych (art. 16 RODO);
prawo do usunięcia danych („prawo do bycia zapomnianym", art. 17 RODO);
prawo do ograniczenia przetwarzania (art. 18 RODO);
prawo do przenoszenia danych (art. 20 RODO);
prawo do sprzeciwu wobec przetwarzania (art. 21 ust. 1 RODO) — w stosunku do przetwarzania na podstawie art. 6 ust. 1 lit. f RODO, z przyczyn związanych z Państwa szczególną sytuacją;
prawo do sprzeciwu wobec marketingu bezpośredniego (art. 21 ust. 2 RODO) — bezwarunkowo i bez konieczności uzasadnienia; po wniesieniu sprzeciwu zaprzestajemy przetwarzania Państwa danych w celach marketingowych;
prawo do cofnięcia zgody w dowolnym momencie — w zakresie, w jakim przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a RODO; cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem;
prawo do wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Aby skorzystać z powyższych praw, prosimy o kontakt z Administratorem w sposób wskazany w §02. Odpowiedzi udzielamy bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania. W przypadku skomplikowanych żądań lub dużej liczby żądań termin ten może zostać przedłużony o kolejne dwa miesiące (art. 12 ust. 3 RODO) — o przedłużeniu poinformujemy Państwa w ciągu miesiąca od otrzymania żądania, wskazując przyczyny opóźnienia.

Opłaty. Realizacja praw jest dla Państwa bezpłatna. Opłata uzasadniona kosztami administracyjnymi może zostać pobrana wyłącznie w przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych, w szczególności ze względu na ich częste powtarzanie (art. 12 ust. 5 RODO).

Sekcja 08

Dobrowolność podania danych

Podanie danych osobowych jest dobrowolne, jednak jest niezbędne do skorzystania z poszczególnych funkcji serwisu:

formularz „Dołącz do naszej sieci" — brak podania danych oznaczonych jako wymagane uniemożliwi obsługę zgłoszenia;
wyszukiwarka dystrybutorów — brak kodu pocztowego/miasta uniemożliwi wyszukanie najbliższych punktów; wyniki wyświetlane są w formie listy. Wyświetlenie interaktywnej mapy wymaga dodatkowo wyrażenia zgody w banerze cookies (zob. §10).

Sekcja 09

Profilowanie i decyzje automatyczne

Administrator nie podejmuje wobec Państwa decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, które wywoływałyby wobec Państwa skutki prawne lub w podobny sposób istotnie na Państwa wpływały (art. 22 RODO).

Sekcja 10

Pliki cookies i podobne technologie

Serwis distrigo-czesci.pl wykorzystuje pliki cookies (ciasteczka) — niewielkie pliki tekstowe zapisywane przez przeglądarkę na urządzeniu końcowym użytkownika. Stosujemy następujące kategorie cookies:

10.1. Cookies niezbędne (techniczne)

DISTRIGO_SESS — sesyjny plik cookie wykorzystywany do utrzymania bezpieczeństwa formularzy (mechanizm CSRF) na stronie /dolacz. Plik jest usuwany po zamknięciu przeglądarki. Atrybuty: HttpOnly, Secure (na produkcji), SameSite=Lax.
sesyjne cookie panelu administracyjnego (ścieżka /admin/) — wykorzystywane wyłącznie przez upoważnionych administratorów serwisu, niezwiązane z korzystaniem z części publicznej.

Podstawa prawna: art. 398 ust. 4 ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (PKE; Dz.U. 2024 poz. 1221) — cookies niezbędne do świadczenia usługi wyraźnie żądanej przez użytkownika nie wymagają zgody — oraz art. 6 ust. 1 lit. f RODO.

10.2. Technologie podmiotów trzecich (Google)

Google Maps — po wyrażeniu zgody w banerze cookies Państwa przeglądarka ładuje skrypt i kafle mapy z serwerów Google. Google przetwarza dane techniczne (adres IP, User-Agent) i może zapisać własne pliki cookies. Szczegóły określa polityka prywatności Google. Podstawa prawna: art. 398 ust. 1 PKE + art. 6 ust. 1 lit. a RODO (zgoda).
Google Fonts — pobieranie krojów pism z serwerów Google (fonts.googleapis.com, fonts.gstatic.com) wiąże się z przekazaniem adresu IP do Google. Google Fonts nie ustawia cookies w Państwa przeglądarce. Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — spójna typografia serwisu).

Wycofanie zgody: ikona „Ustawienia cookies" w lewym dolnym rogu strony — kliknięcie ponownie otwiera banner cookies. Wycofanie zgody na Google Maps powoduje, że skrypt mapy nie będzie wczytywany; zamiast mapy zobaczą Państwo placeholder z przyciskiem ponownej zgody.

10.3. Zarządzanie cookies

Większość przeglądarek internetowych domyślnie akceptuje pliki cookies. Mogą Państwo w każdej chwili zmienić ustawienia przeglądarki tak, aby blokować zapisywanie cookies lub informować o ich każdorazowym wysyłaniu. Wyłączenie cookies niezbędnych może spowodować, że niektóre funkcje serwisu (np. wysyłka formularza) nie będą działać prawidłowo.

Instrukcje zarządzania cookies w popularnych przeglądarkach:

Sekcja 11

Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Stosowane środki obejmują m.in.:

szyfrowanie transmisji danych (HTTPS/TLS),
ograniczenie dostępu do danych wyłącznie do osób upoważnionych,
silne hasła z funkcją skrótu BCRYPT (cost 12) dla kont administracyjnych,
mechanizmy ochrony przed atakami (CSRF, rate-limiting, honeypot, walidacja danych wejściowych),
hardened ciasteczka sesyjne (HttpOnly, Secure, SameSite=Lax),
regularne kopie zapasowe i monitorowanie systemów,
polityki dostępu i poufności dla pracowników oraz współpracowników.

Sekcja 12

Zmiany Polityki prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce prywatności. O wszelkich istotnych zmianach poinformujemy poprzez umieszczenie zaktualizowanej wersji na niniejszej stronie wraz z datą ostatniej aktualizacji. Zachęcamy do regularnego sprawdzania zawartości tej strony.

Sekcja 13

Kontakt

W razie jakichkolwiek pytań dotyczących niniejszej Polityki prywatności lub przetwarzania Państwa danych osobowych, prosimy o kontakt z Administratorem zgodnie z §02.