HabitualMechanics — okrągły emblemat, 64 x 64 px HabitualMechanics

Ostatnia aktualizacja: (marzec 2026)

Polityka przetwarzania danych

Dokument ten uzupełnia Politykę prywatności i opisuje, w jaki sposób organizujemy przetwarzanie danych osobowych w codziennej eksploatacji serwisu: jakie czynności wykonujemy, jak długo utrzymujemy rekordy, komu powierzamy operacje pomocnicze oraz jakie stosujemy zabezpieczenia. Prawa osób, których dane dotyczą, oraz ogólny katalog informacji o przetwarzaniu znajdują się w Polityce prywatności; mechanizmy cookie — w Polityce plików cookie.

Zakres i rola niniejszej polityki

Traktujemy ten tekst jako publiczny opis praktyk operacyjnych administratora danych w serwisie HabitualMechanics. Nie zastępuje on indywidualnych umów powierzenia przetwarzania zawieranych z podmiotami B2B ani poufnych załączników bezpieczeństwa, lecz wskazuje kierunek działań i poziom oczekiwań wobec podwykonawców.

Jeśli korzystasz z serwisu jako konsument z Europejskiego Obszaru Gospodarczego lub Zjednoczonego Królestwa, obok przepisów kraju siedziby administratora mogą mieć zastosowanie przepisy o ochronie danych obowiązujące w Twoim państwie — w razie kolizji pierwszeństwo mają normy bezwzględnie chroniące konsumenta.

Rejestr czynności przetwarzania (poziom uproszczony)

Poniższy zestaw nie jest pełnym rejestrem wewnętrznym, lecz informacyjnym podsumowaniem głównych ciągów operacji:

  1. Eksploatacja witryny statycznej/dynamicznej — obsługa żądań HTTP, serwowanie treści edukacyjnych, diagnostyka błędów.
  2. Obsługa zgłoszeń i korespondencji — przyjmowanie wiadomości z formularza lub skrzynki e-mail, prowadzenie wątków odpowiedzi.
  3. Konto użytkownika — utrzymanie identyfikatora, reset dostępu, ewentualna synchronizacja z usługami uwierzytelniania, jeśli zostaną wdrożone.
  4. Pomiary oglądalności i jakości UX — wyłącznie w zakresie wynikającym z wyboru w banerze cookie i konfiguracji narzędzi.
  5. Archiwum dowodowe i obrona roszczeń — ograniczone przechowywanie metadanych i kopii korespondencji tam, gdzie przepis lub uzasadniony interes prawny te wymaga.

Kategorie danych według źródła przetwarzania

Dla celów zarządzania ryzykiem i szkolenia personelu dzielimy dane nie według „typu osoby”, lecz według kanału pozyskania — ułatwia to przypisanie środków kontroli.

Źródło: ruch sieciowy

  • Adres IP, nagłówki żądań, identyfikatory sesji, znaczniki czasu, odesłania (referrer) ograniczone do minimum technicznego.

Źródło: formularz lub wiadomość e-mail

  • Dane identyfikacyjne i kontaktowe wpisane przez nadawcę, treść zapytania, załączniki jeśli zostały przekazane.

Źródło: konto w serwisie

  • Identyfikator konta, hash hasła lub token dostawcy tożsamości, historia logowań o ile jest rejestrowana w systemie.

Dobór podstaw prawnych i zasada minimalizacji

Każdą czynność uruchamiamy tylko wtedy, gdy można ją przypisać do co najmniej jednej podstawy: wykonania umowy o dostęp do serwisu, uzasadnionego interesu (np. bezpieczeństwo, statystyki zanonimizowane), zgody (marketing, część analityki) lub obowiązku prawnego. Przed uruchomieniem nowego narzędzia oceniamy, czy mniej inwazyjna alternatywa spełni ten sam cel edukacyjny lub operacyjny.

Zgody rejestrujemy w sposób umożliwiający wykazanie ich zakresu i momentu — w przypadku plików cookie odzwierciedla to konfiguracja skryptu zgody i zapis lokalny w przeglądarce. Cofnięcie zgody jest możliwe zgodnie z opisem w dokumentach cookie i prywatności.

Okresy przechowywania i zasady usuwania

Stosujemy zasadę ograniczenia czasu przechowywania: dane są utrzymywane nie dłużej, niż wynika to z celu lub przepisu, z możliwością skrócenia okresu po upływie terminu przedawnienia roszczeń tam, gdzie archiwum nie jest już potrzebne.

  • Dzienniki serwera i zabezpieczeń: zwykle rotowane po kilku tygodniach do kilku miesięcy, z wyjątkiem fragmentów zabezpieczonych dla śledzenia incydentu.
  • Korespondencja z użytkownikiem: przez czas obsługi sprawy oraz następnie przez okres wymagany do obrony praw lub wewnętrznej polityki archiwizacji (rząd rzędu lat tam, gdzie przepis nakazuje dłuższy okres).
  • Konto nieaktywne: po długotrwałej bezczynności może zostać oznaczone do usunięcia lub anonimizacji po uprzedniej próbie kontaktu, o ile nie wystąpią przeciwne wymogi prawne.

Usuwanie realizujemy przez skasowanie rekordów w bazach, nadpisanie kopii zapasowych w kolejnych cyklach rotacji lub anonimizację agregatów statystycznych, w zależności od systemu.

Powierzenie przetwarzania i łańcuch dostawców

Operacje takie jak hosting, poczta, kopie zapasowe, CDN czy — za zgodą — analityka mogą być wykonywane przez podmioty przetwarzające. Z każdym takim podmiotem dążymy do zawarcia postanowień nakładających poufność, cel ograniczony do polecenia administratora oraz obowiązek wsparcia przy realizacji praw osób, których dane dotyczą.

Lista konkretnych dostawców i ich funkcji może się zmieniać; aktualizujemy ją w dokumentacji wewnętrznej i — w miarę potrzeb — w komunikatach dla użytkowników. Podwykonawcy nie nabywają własności danych i nie mogą wykorzystywać ich do własnych celów marketingowych bez odrębnej podstawy.

Transfery międzynarodowe

Infrastruktura serwisu i część dostawców mogą mieć siedzibę lub serwery w Stanach Zjednoczonych i innych państwach spoza EOG. W takich przypadkach stosujemy mechanizmy przewidziane prawem mającym zastosowanie do relacji z daną osobą (np. klauzule umowne, decyzje adekwatności tam, gdy obowiązują, lub alternatywne podstawy przewidziane lokalnie).

Użytkownikowi przysługuje uzyskanie informacji o istotnych zabezpieczeniach transferu w ramach żądania opisanego w Polityce prywatności, o ile przepis nie ogranicza ujawnienia ze względu na bezpieczeństwo systemów.

Środki techniczne i organizacyjne

Stosujemy środki proporcjonalne do skali serwisu i charakteru danych: szyfrowanie transmisji (HTTPS), ograniczenie dostępu do środowisk produkcyjnych, separacja kont administracyjnych, kopie zapasowe z kontrolą dostępu oraz monitorowanie incydentów. Kod i treści statyczne są wdrażane z minimalnym zestawem uprawnień potrzebnym do publikacji.

Organizacja

  • Ograniczenie liczby osób z dostępem do skrzynek i baz z danymi kontaktowymi.
  • Procedura reagowania na podejrzenie naruszenia ochrony danych osobowych (powiadomienia tam, gdzie przepis nakazuje).
  • Okresowe przeglądy listy podwykonawców i zakresu powierzonych operacji.

Kanał wniosków, aktualizacje dokumentu i kontakt

Wnioski dotyczące dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia lub sprzeciwu — w zakresie przewidzianym przez prawo — należy kierować na adres wskazany poniżej; szczegółowy opis procedur i terminów znajduje się w Polityce prywatności. Niniejszą politykę przetwarzania aktualizujemy przy zmianie łańcucha dostawców, narzędzi pomiarowych lub wymogów prawnych; data u góry strony wskazuje ostatnią istotną korektę.

Formularz: Kontakt. Regulamin korzystania z serwisu: Regulamin.

Deklaracja edukacyjna i granice odpowiedzialności

Treści publikowane przez HabitualMechanics mają charakter edukacyjny i informacyjny. Prezentujemy modele myślenia, przykłady analiz oraz narzędzia organizacji danych, które pomagają przygotować się do rozmów z licencjonowanymi doradcami ubezpieczeniowymi. Materiały nie zastępują indywidualnej konsultacji prawnej ani nie stanowią rekomendacji zakupu konkretnego produktu.

Decyzje dotyczące zakresu ochrony, warunków polisy oraz sposobu zgłaszania szkód podejmujesz samodzielnie lub z wybranym specjalistą. HabitualMechanics nie ocenia Twojej sytuacji finansowej i nie prognozuje przyszłych zdarzeń szkodowych — pokazuje jedynie metody pracy z informacją, które możesz dostosować do własnych potrzeb.

W przypadku danych osobowych stosujemy zasady opisane w dokumentach prawnych serwisu. Korzystanie z materiałów oznacza akceptację faktu, że każda interpretacja ryzyka jest wstępna i wymaga weryfikacji w rzeczywistych warunkach eksploatacji pojazdu oraz obowiązujących regulacjach lokalnych.

Jeśli korzystasz z telematyki lub innych systemów zbierania danych, zadbaj o zgodność z politykami producenta pojazdu oraz obowiązującymi przepisami o ochronie prywatności. HabitualMechanics zachęca do transparentnego informowania współużytkowników pojazdu o zakresie monitoringu i celach edukacyjnych analiz.