1. Контролер

Контролер, відповідальний за обробку ваших персональних даних на цьому веб-сайті, є:

Entrio sp. z o.o.
вул. Загорна 28, 37-420 Копки, Польща
Email: help@tollto.com
Телефон: +48 880 685 468

Для запитань щодо захисту даних, будь ласка, зв’яжіться з нами за вказаною вище електронною адресою.

1.2. Ми не призначили Офіцера з захисту даних (DPO), оскільки ми не зобов’язані це робити відповідно до ст. 37 GDPR. Для всіх запитів щодо захисту даних, будь ласка, зв’яжіться з нами за help@tollto.com.

2. Дані, які ми збираємо

Ми збираємо лише персональні дані, які необхідні для конкретних цілей, описаних у цій Політиці конфіденційності.

2.1. Дані, які ви надаєте під час оформлення замовлення

  • Ім’я та прізвище
  • Адреса електронної пошти
  • Номер телефону
  • Поштова адреса (вулиця, місто, поштовий індекс, країна)
  • Номер реєстрації транспортного засобу (номерний знак)
  • Країна реєстрації транспортного засобу
  • Тип/категорія транспортного засобу

2.2. Автоматично зібрані дані

  • IP-адреса
  • Тип і версія браузера
  • Операційна система
  • Дата та час доступу
  • Відвідані сторінки та URL посилання
  • Інформація про пристрій

2.3. Платіжні дані

Платіжна інформація (номери карток, банківські реквізити) обробляється виключно нашими сторонніми постачальниками платіжних послуг і ніколи не зберігається на наших серверах.

3. Мета та правова основа

Ми обробляємо ваші персональні дані для наступних цілей та на наступних правових підставах (GDPR):

МетаПравова основа
Виконання замовлення (реєстрація електронної віньєтки)Ст. 6(1)(b) GDPR – виконання контракту
Надсилання підтвердження замовлення та електронної віньєтки електронною поштою/SMSСт. 6(1)(b) GDPR – виконання контракту
Обробка платежівСт. 6(1)(b) GDPR – виконання контракту
Виконання податкових та бухгалтерських зобов’язаньСт. 6(1)(c) GDPR – правове зобов’язання
Підтримка клієнтів та комунікаціяСт. 6(1)(f) GDPR – законний інтерес
Аналіз веб-сайту та покращенняСт. 6(1)(a) GDPR – згода
Запобігання шахрайствуСт. 6(1)(f) GDPR – законний інтерес

3.2. Коли обробка базується на нашому законному інтересі (ст. 6(1)(f) GDPR), такий інтерес включає забезпечення безпеки нашого веб-сайту, запобігання шахрайству, покращення наших послуг та підтримку ефективної роботи з клієнтами. Ми оцінили, що ці інтереси не переважають основні права та свободи користувачів.

4. Обмін даними та отримувачі

Ваші дані можуть бути передані наступним категоріям отримувачів, виключно для цілей, описаних вище:

  • Національні органи збору плати — дані реєстрації транспортних засобів передаються відповідному органу збору плати країни призначення для реєстрації електронної віньєтки;
  • Постачальники платіжних послуг — дані про платежі передаються нашому безпечному платіжному процесору для обробки транзакцій;
  • Постачальники послуг електронної пошти/SMS — ваші контактні дані передаються нашому постачальнику комунікацій для доставки підтверджень замовлення;
  • Постачальники хостингу — дані зберігаються на серверах, що належать нашому постачальнику хостингу;
  • Податкові консультанти/бухгалтери — дані замовлення та рахунків можуть бути передані для виконання законодавчих зобов’язань.

Ми не продаємо, не орендуємо і не обмінюємо ваші персональні дані з третіми особами для маркетингових цілей.

5. Зберігання даних

Ми зберігаємо ваші персональні дані лише так довго, як це необхідно для цілей, для яких вони були зібрані:

  • Дані замовлення: зберігаються протягом періоду, необхідного відповідно до податкового та комерційного законодавства (зазвичай 5–10 років в залежності від юрисдикції);
  • Кореспонденція служби підтримки клієнтів: зберігається до 3 років після останньої взаємодії;
  • Дані аналітики веб-сайту: анонімізуються або видаляються через 26 місяців;
  • Файли cookie: див. розділ 8 нижче.

6. Ваші права (GDPR)

Відповідно до GDPR у вас є такі права:

  • Право на доступ (ст. 15 GDPR) — запитати копію ваших персональних даних;
  • Право на виправлення (ст. 16 GDPR) — запитати виправлення неточних даних;
  • Право на видалення (ст. 17 GDPR) — запитати видалення ваших даних, з урахуванням вимог законодавства щодо зберігання;
  • Право на обмеження обробки (ст. 18 GDPR);
  • Право на переносимість даних (ст. 20 GDPR) — запитати ваші дані у структурованому, загальновживаному, машинозчитуваному форматі;
  • Право на заперечення (ст. 21 GDPR) — заперечити проти обробки на підставі законного інтересу;
  • Право на відкликання згоди (ст. 7(3) GDPR) — відкликати згоду в будь-який час без впливу на законність попередньої обробки.

Щоб реалізувати будь-яке з цих прав, будь ласка, зв’яжіться з нами за адресою help@tollto.com. Ми відповімо протягом 30 днів. Ви також маєте право подати скаргу до компетентного наглядового органу у вашій країні проживання.

6.2. Ми не використовуємо автоматизоване прийняття рішень або профілювання у значенні ст. 22 GDPR, що має юридичні наслідки для вас або подібним чином значно впливає на вас.

7. Безпека даних

Ми впроваджуємо відповідні технічні та організаційні заходи для захисту ваших персональних даних, включаючи:

  • Шифрування SSL/TLS для всіх даних, що передаються між вашим браузером і нашими серверами;
  • Зберігання даних у зашифрованій базі даних;
  • Контроль доступу та аутентифікація для внутрішніх систем;
  • Регулярні аудити безпеки та оновлення.

8. Файли cookie

Наш веб-сайт використовує файли cookie — маленькі текстові файли, що зберігаються на вашому пристрої — для забезпечення належної роботи та покращення вашого користувацького досвіду.

8.1. Необхідні файли cookie

Ці файли cookie є необхідними для функціонування веб-сайту (наприклад, управління сесіями, кошик). Вони не потребують згоди.

8.2. Аналітичні файли cookie

Ми можемо використовувати аналітичні інструменти (наприклад, Google Analytics), щоб зрозуміти, як відвідувачі користуються нашим веб-сайтом. Ці файли cookie встановлюються лише з вашою згодою.

8.3. Маркетингові файли cookie

Ми можемо використовувати маркетингові файли cookie третіх сторін (наприклад, Google Ads, Facebook), щоб показувати релевантну рекламу. Ці файли cookie встановлюються лише з вашою явною згодою. Вимкнення файлів cookie може вплинути на функціональність нашого веб-сайту.

8.4. Управління згодою (CookieYes)

Ми використовуємо CookieYes від Adzapier LLC для управління вашими налаштуваннями файлів cookie відповідно до GDPR та Директиви про конфіденційність електронних комунікацій. При першому відвідуванні з’являється банер згоди, що дозволяє вам прийняти, відхилити або налаштувати ненадійні файли cookie. Ви можете змінити або відкликати свою згоду в будь-який час через іконку cookie в кутку сторінки. Додаткова інформація: cookieyes.com. Ви можете відкликати або змінити свою згоду на файли cookie в будь-який час через інструмент налаштувань файлів cookie, доступний на нашому веб-сайті. Відкликання згоди не впливає на законність обробки, заснованої на згоді до її відкликання.

9. Файли журналу сервера

Коли ви отримуєте доступ до нашого веб-сайту, ваш браузер автоматично передає технічну інформацію, яку ми зберігаємо у файлах журналу сервера. Це включає:

  • Тип і версія браузера;
  • Використовувана операційна система;
  • URL-адреса реферера (сторінка, з якої ви прийшли);
  • Дата та час запиту до сервера;
  • IP-адреса вашого пристрою (анонімізована, де це технічно можливо).

Ці дані зазвичай не поєднуються з іншими особистими даними, і немає наміру це робити. Обробка базується на ст. 6(1)(f) GDPR для захисту наших законних інтересів у стабільності, безпеці та функціональності нашого веб-сайту. Файли журналу автоматично видаляються через 30 днів, якщо це не потрібно для розслідування інциденту безпеки.

10. Хостинг та інфраструктура

10.1. Supabase (база даних та аутентифікація)

Наш бекенд програми працює на Supabase (Supabase, Inc., 970 Toa Payoh North #07-04, Сінгапур 318992). Supabase зберігає дані замовлень, дані клієнтів та інформацію про автентифікацію на серверах, розташованих в ЄС (eu-central). Обробка регулюється угодою про обробку даних (DPA) відповідно до ст. 28 GDPR. Більше інформації: supabase.com/privacy.

10.2. Cloudflare (CDN, захист від DDoS)

Ми використовуємо Cloudflare (Cloudflare, Inc., 101 Townsend St, Сан-Франциско, CA 94107, США) як мережу доставки контенту та для захисту від DDoS. Cloudflare обробляє технічні дані, такі як IP-адреси в журналах серверів. Cloudflare може обробляти дані на серверах, розташованих за межами ЄС, включаючи Сполучені Штати. Правова основа: ст. 6(1)(f) GDPR (законний інтерес). Міжнародні передачі захищені стандартними контрактними положеннями ЄС. Політика конфіденційності: cloudflare.com/privacypolicy.

11. Веб-аналітика та рекламні інструменти

11.1. Google Analytics 4

Наш веб-сайт використовує Google Analytics 4, сервіс веб-аналітики, наданий Google Ireland Ltd, Gordon House, Barrow Street, Дублін 4, Ірландія (“Google”). Google Analytics використовує файли cookie, які дозволяють аналізувати, як використовується наш веб-сайт. Інформація, згенерована файлами cookie, зазвичай передається на сервер Google і зберігається там.

Анонімізація IP: ми ввели анонімізацію IP. Ваша IP-адреса скорочується Google в країнах-членах ЄС/ЄЕЗ перед передачею. Тільки в виняткових випадках повна IP-адреса передається на сервер Google в США і скорочується там.

Зберігання: дані, пов’язані з файлами cookie, ідентифікаторами користувачів або рекламними ідентифікаторами, анонімізуються або видаляються через 14 місяців.

Правова основа: ваша згода, надана через банер cookie (ст. 6(1)(a) GDPR). Ви можете відкликати свою згоду в будь-який час через іконку cookie. Більше інформації: policies.google.com/privacy.

11.2. Google Tag Manager

Наш веб-сайт використовує Google Tag Manager для управління маркетинговими та аналітичними тегами. Google Tag Manager сам по собі не встановлює cookie або не збирає особисті дані — він лише активує інші теги, які можуть збирати дані. Якщо ви відмовилися від згоди на рівні cookie або домену, це стосується всіх тегів, які управляються через Google Tag Manager.

11.3. Google Ads та відстеження конверсій

Ми використовуємо Google Ads (Google Ireland Ltd), включаючи відстеження конверсій, щоб виміряти ефективність наших рекламних кампаній. Коли ви натискаєте на рекламу, що подається Google, на вашому пристрої встановлюється cookie (діє 30 днів). Це cookie не використовується для особистої ідентифікації вас. Ми дізнаємося загальну кількість користувачів, які натиснули на нашу рекламу та були перенаправлені на сторінку з тегом відстеження конверсій, але не отримуємо інформацію, яка особисто ідентифікує користувачів. Правова основа: згода (ст. 6(1)(a) GDPR). Інформація: policies.google.com/technologies/ads.

11.4. Meta Pixel (Facebook)

Ми можемо використовувати Meta Pixel (Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Ireland) для вимірювання ефективності реклами на Facebook та Instagram і для показу реклами на основі інтересів користувачам, які відвідали наш веб-сайт (ретаргетинг). Піксель може передавати дані на сервери Meta в США. Правова основа: згода (ст. 6(1)(a) GDPR). Більше інформації: facebook.com/privacy/policy.

11.5. Microsoft Advertising (Bing Ads)

Ми можемо використовувати Microsoft Advertising (Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, США) для реклами та відстеження конверсій. Категорії оброблених даних можуть включати: мову браузера, натиснуті оголошення, IP-адресу, Microsoft Click ID, заголовок сторінки, URL-адресу реферера та інформацію про пристрій. Правова основа: згода (ст. 6(1)(a) GDPR).

11.6. У разі необхідності, ми можемо діяти як спільний контролер з певними постачальниками (наприклад, Meta Platforms Ireland Ltd.) відповідно до ст. 26 GDPR для даних, зібраних за допомогою технологій відстеження. Додаткові деталі доступні в політиках конфіденційності відповідних постачальників.

12. Постачальники платіжних послуг

12.1. Stripe

Для платежів карткою та гаманцем ми використовуємо Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ірландія). Коли ви платите карткою, ваші платіжні дані (номер картки, CVC, термін дії, платіжні дані) збираються та обробляються виключно Stripe — ми ніколи не бачимо і не зберігаємо ваш повний номер картки. Правова основа: ст. 6(1)(b) GDPR (виконання контракту). Політика конфіденційності: stripe.com/privacy.

12.2. Місцеві платіжні шлюзи

Для регіональних платіжних методів (наприклад, BLIK, Apple Pay, Google Pay) ми можемо направити транзакцію через додаткових сертифікованих платіжних постачальників. У кожному випадку платіжні дані обробляються виключно платіжним постачальником, ніколи нами. Ми отримуємо лише підтвердження транзакції (успіх/невдача, сума, ідентифікатор транзакції).

13. Виконання замовлення та національні митні органи

Щоб зареєструвати вашу електронну віньєтку, ми передаємо строго необхідні дані — номерний знак автомобіля, країну реєстрації, категорію транспортного засобу та термін дії — відповідному національному органу з обслуговування платних доріг країни призначення. Одержувачі за країнами:

  • Угорщина: Nemzeti Mobilfizetési Zrt., Kapás utca 6–12, 1027 Budapest, Hungary;
  • Чехія: Státní fond dopravní infrastruktury (SFDI), Sokolovská 1955/278, 190 00 Praha 9;
  • Словаччина: Národná diaľničná spoločnosť, a. s. (NDS), Dúbravská cesta 14, 841 04 Bratislava;
  • Словенія: DARS d. d., Ulica XIV. divizije 4, 3000 Celje;
  • Болгарія: National Toll Committee (Toll BG), Софія;
  • Румунія: Compania Națională de Administrare a Infrastructurii Rutiere (CNAIR), Bd. Dinicu Golescu 38, Бухарест;
  • Швейцарія: Federal Office for Customs and Border Security (BAZG), Берн;
  • Молдова: Vama Moldovei (Customs Service of the Republic of Moldova), Кишинів.

Правова основа: ст. 6(1)(b) GDPR (виконання контракту). Без цього перенесення електронну віньєтку не можна зареєструвати.

14. Доставка електронною поштою та SMS

14.1. Транзакційні електронні листи

Підтвердження замовлення та PDF-файли електронної віньєтки надсилаються через сервіс транзакційних електронних листів (Resend / Supabase SMTP). Ваша електронна адреса та дані замовлення обробляються лише з метою доставки. Правова основа: ст. 6(1)(b) GDPR.

14.2. SMS сповіщення

Якщо ви погоджуєтеся на доставку SMS (додаткова плата), ваш номер телефону та зміст повідомлення передаються нашому постачальнику SMS. Постачальник може обробляти та маршрутизувати повідомлення через партнерських операторів по всьому світу. Правова основа: ст. 6(1)(a) GDPR (ваша явна згода під час оформлення замовлення). Номер телефону зберігається лише на час, необхідний для виконання замовлення та законодавчих термінів зберігання.

15. CRM та внутрішні інструменти

Ми використовуємо Zoho CRM (Zoho Corporation B.V., Beneluxlaan 4B, 3527 HT Utrecht, Нідерланди) для управління замовленнями клієнтів, підтримки кореспонденції та бухгалтерських робочих процесів. Зберігаються дані: ім’я, електронна пошта, телефон, платіжні дані, підсумок замовлення. Резиденція даних в ЄС. Правова основа: ст. 6(1)(b) та (f) GDPR. Політика конфіденційності: zoho.com/privacy. Внутрішні операційні сповіщення надсилаються через безпечні внутрішні комунікаційні інструменти. Ці сповіщення не містять повних особистих даних і обмежуються ідентифікатором замовлення, країною та статусом транзакції.

16. Дані про обмінний курс (NBP)

Для конвертації цін у вашу місцеву валюту ми використовуємо обмінні курси з публічного API Національного банку Польщі (NBP). Жодні особисті дані не надсилаються до NBP — лише анонімний запит на поточну таблицю курсів. Кеш: 4 години.

17. Міжнародні передачі даних

Ваші дані можуть бути передані до країн за межами Європейської економічної зони (ЄЕЗ), де розташовані наші постачальники послуг (наприклад, США: Stripe, Google, Meta, Microsoft, Cloudflare). У кожному випадку ми покладаємося на один із наступних засобів захисту:

  • Стандартні договірні положення (SCC) Європейської Комісії;
  • Рішення про адекватність Європейської Комісії (наприклад, Рамкова угода про захист даних між ЄС та США);
  • Обов’язкові корпоративні правила (BCR) отримувача.

Незважаючи на ці запобіжні заходи, ми не можемо повністю виключити можливість того, що органи влади країни-отримувача можуть отримати доступ до переданих даних без ефективних юридичних засобів захисту для вас. Погоджуючись на неістотні файли cookie, ви також погоджуєтеся на такі передачі у значенні ст. 49(1)(a) GDPR.

18. Повідомлення про порушення даних

У разі порушення даних, яке, ймовірно, призведе до ризику для ваших прав і свобод, ми повідомимо компетентний наглядовий орган протягом 72 годин з моменту, коли дізнаємося про це, і, за необхідності, проінформуємо постраждалих осіб без затримки.

19. Зміни до цієї Політики

Ми можемо час від часу оновлювати цю Політику конфіденційності. Оновлена версія буде опублікована на цій сторінці з датою останнього перегляду. Рекомендуємо регулярно переглядати цю сторінку.

20. Контакт

Якщо у вас є питання щодо захисту даних, будь ласка, зв’яжіться з нами за адресою help@tollto.com.