Privatumo politika
Atnaujinta: 2026 m. kovo 28 d. | Versija 1.1
1. Duomenų valdytojas
CargoRoad, UAB Įmonės kodas: 307622488 Buveinė: Perkūnkiemio g. 19, LT-12120 Vilnius, Lietuva El. paštas: [email protected] Duomenų apsaugos pareigūnas (DPO): [email protected] CargoRoad, UAB (toliau — „mes", „CargoRoad") yra jūsų asmens duomenų valdytojas pagal Bendrąjį duomenų apsaugos reglamentą (BDAR, ES 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą. Jei turite klausimų dėl asmens duomenų tvarkymo, kreipkitės el. paštu [email protected].
2. Renkami asmens duomenys
Mes renkame šių kategorijų asmens duomenis: Registracijos duomenys: • Vardas, pavardė • Telefono numeris (privalomas prisijungimui) • El. pašto adresas • Slaptažodžio maišos reikšmė (hash) • Naudotojo rolė (klientas, vežėjas, nuomotojas, meistras) • Pasirinkta sąsajos kalba Verslo duomenys (jei taikoma): • Įmonės pavadinimas ir kodas • PVM mokėtojo kodas • Juridinis adresas • Banko sąskaitos numeris (IBAN) • Stripe Connect paskyros ID Užsakymų duomenys: • Paėmimo ir pristatymo adresai bei koordinatės (PostGIS) • Paslaugos tipas, kategorija, aprašymas • Kaina, PVM suma, komisinis mokestis • Mokėjimo būdas ir statusas • Stripe PaymentIntent identifikatorius GPS ir sekimo duomenys: • Vežėjo realaus laiko koordinatės reiso metu (geografinė padėtis, greitis, kryptis) • GPS taškų istorija (90 dienų nuo reiso pabaigos) Mokėjimų duomenys: • Mokėjimo operacijų istorija (per Stripe — mes nesaugome kortelių numerių) • Sąskaitų faktūrų duomenys (CR numeris, suma, PVM) Nuotraukos: • Pristatymo patvirtinimo nuotraukos • Ginčų nuotraukos • Technikos ir profilių nuotraukos Pokalbių duomenys: • Tekstiniai pranešimai tarp kliento ir vežėjo Techniniai duomenys: • IP adresas • Naršyklės tipas ir versija • Operacinė sistema • Puslapių lankymo žurnalai (logs) • Slapukų duomenys (žr. Slapukų politiką)
3. Tvarkymo tikslai ir teisiniai pagrindai
Jūsų asmens duomenis tvarkome šiais tikslais ir teisiniais pagrindais: (a) Sutarties vykdymas (BDAR 6 str. 1 d. b p.): • Paskyros sukūrimas ir autentifikavimas • Užsakymų tvarkymas ir vykdymas • Mokėjimų apdorojimas ir komisinių skaičiavimas • Sąskaitų faktūrų generavimas • GPS sekimas vežimo metu • Ginčų sprendimas (b) Teisėtas interesas (BDAR 6 str. 1 d. f p.): • Platformos saugumo užtikrinimas ir sukčiavimo prevencija • Paslaugų kokybės gerinimas ir AI algoritmų tobulinimas • Vežėjų reitingavimas ir pasitikėjimo sistemos veikimas • Statistinė analizė (agreguoti, anonimizuoti duomenys) • Teisinių pretenzijų gynimas (c) Sutikimas (BDAR 6 str. 1 d. a p.): • Rinkodaros el. laiškų siuntimas (atsisakymas bet kuriuo metu per nuorodą el. laiške) • Neprivalomų slapukų (analytics, marketing) naudojimas • Platforma gali siųsti SMS pranešimus operatyviniais tikslais (d) Teisinė prievolė (BDAR 6 str. 1 d. c p.): • PVM sąskaitų faktūrų saugojimas 10 metų (Lietuvos buhalterinės apskaitos įstatymas) • i.SAF ataskaitos VMI (Valstybinė mokesčių inspekcija) • Atsako į teisėsaugos institucijų paklausimus
4. Trečiųjų šalių gavėjai
Mes dalijamės jūsų duomenimis su šiais patikimais partneriais, tik tiek, kiek būtina paslaugoms teikti: Stripe, Inc. (JAV/Airija) • Tikslas: mokėjimų apdorojimas, Stripe Connect vežėjų išmokoms • Duomenys: vardas, el. paštas, IBAN, mokėjimų istorija • Apsauga: ES ir JAV duomenų apsaugos sistema (EU-US Data Privacy Framework), Stripe PCI DSS 1 lygis • Privatumo politika: stripe.com/privacy Brevo (Sendinblue, Prancūzija / ES) • Tikslas: el. pašto siuntimas (OTP kodai, sąskaitos faktūros, sisteminiai pranešimai) • Duomenys: el. pašto adresas, vardas • Apsauga: duomenų tvarkymo sutartis (DPA), ES serveriai Mapbox, Inc. (JAV) • Tikslas: žemėlapiai, adresų paieška, GPS vizualizacija • Duomenys: adresai, koordinatės (anonimizuotos) • Apsauga: EU-US Data Privacy Framework • Privatumo politika: mapbox.com/legal/privacy Google Maps Platform (Google LLC, JAV) • Tikslas: adresų ir verslų paieška pagal pavadinimą • Duomenys: paieškos užklausos, IP adresas • Apsauga: EU-US Data Privacy Framework • Privatumo politika: policies.google.com/privacy Hetzner Online GmbH (Vokietija / ES) • Tikslas: serverio priegloba (AX42-U dedicuotas serveris Falkensteine, Vokietijoje) • Duomenys: visi platformos duomenys saugomi šiame serveryje • Apsauga: ES/EEE teritorija, ISO 27001 sertifikatas MinIO (savos talpyklos sprendimas) • Tikslas: nuotraukų ir dokumentų saugojimas • Duomenys: pristatymo nuotraukos, PDF sąskaitos faktūros, technikų nuotraukos • Serveris: Hetzner (Vokietija), mūsų valdomoje infrastruktūroje Mes neparduodame jūsų duomenų trečiosioms šalims.
5. Duomenų saugojimo terminai
Saugome jūsų duomenis tik tiek, kiek būtina tikslams pasiekti: • Aktyvios paskyros duomenys — kol paskyra ištrinta + 5 metai (mokesčių tikslais) • Užsakymų ir sandorių istorija — 10 metų (buhalterinės apskaitos reikalavimai) • GPS taškų istorija — 90 dienų nuo reiso pabaigos • Pristatymo nuotraukos — 1 metai nuo pristatymo datos • Ginčų nuotraukos — 3 metai nuo ginčo užbaigimo • Pokalbių žinutės — 2 metai nuo paskutinio pranešimo • Techniniai žurnalai (logs) — 90 dienų • Rinkodaros duomenys (sutikimo pagrindu) — iki sutikimo atšaukimo • Netikrų paskyrų duomenys — 24 valandos nuo sukūrimo (automatinis ištrynimas) Po saugojimo termino pabaigos duomenys automatiškai anonimizuojami arba ištrinami.
6. Jūsų teisės kaip duomenų subjekto
Pagal BDAR (15–22 straipsniai) jūs turite šias teises: Teisė susipažinti (BDAR 15 str.) Turite teisę gauti patvirtinimą, ar tvarkomi jūsų asmens duomenys, ir jų kopiją. Kreipkitės: [email protected] Teisė ištaisyti (BDAR 16 str.) Galite paprašyti ištaisyti netikslius arba papildyti neišsamius duomenis. Daugelį duomenų galite patys atnaujinti paskyros nustatymuose. Teisė ištrinti – „teisė būti pamirštam" (BDAR 17 str.) Galite paprašyti ištrinti savo asmens duomenis, kai jie nebereikalingi tikslams, kuriais buvo renkami, arba kai atšaukiate sutikimą. Pastaba: mokesčių tikslais reikalingi duomenys saugomi įstatymo nustatytą terminą. Teisė apriboti tvarkymą (BDAR 18 str.) Galite paprašyti apriboti duomenų tvarkymą, kol nagrinėjamas jūsų prieštaravimas arba tikrinamas duomenų tikslumas. Teisė į duomenų perkeliamumą (BDAR 20 str.) Galite gauti savo duomenis JSON arba CSV formatu ir perkelti juos kitam duomenų valdytojui. Teisė nesutikti (BDAR 21 str.) Galite bet kuriuo metu nesutikti su duomenų tvarkymu teisėto intereso pagrindu (ypač tiesioginės rinkodaros tikslais). Teisė atšaukti sutikimą Kai tvarkymas grindžiamas sutikimu, galite jį bet kuriuo metu atšaukti (tai neturės įtakos iki atšaukimo atlikto tvarkymo teisėtumui). Teisė pateikti skundą Jei manote, kad jūsų duomenys tvarkomi neteisėtai, galite pateikti skundą Valstybinei duomenų apsaugos inspekcijai (VDAI): Adresas: L. Sapiegos g. 17, LT-10312 Vilnius El. paštas: [email protected] Interneto svetainė: vdai.lrv.lt Visoms teisių įgyvendinimo užklausoms naudokite el. paštą [email protected]. Atsakysime per 30 kalendorinių dienų.
7. Tarptautiniai duomenų perdavimai
Dauguma duomenų saugoma ES/EEE teritorijoje (Hetzner, Vokietija). Toliau nurodyti atvejai, kai duomenys perduodami už ES/EEE ribų: Stripe, Inc. (JAV): • Perdavimo pagrindas: ES ir JAV duomenų apsaugos sistema (EU-US Data Privacy Framework) • Stripe sertifikuotas pagal šią sistemą Mapbox, Inc. (JAV): • Perdavimo pagrindas: EU-US Data Privacy Framework • Perduodami tik anonimizuoti koordinačių duomenys Atrodo jūs esate susijęs su Lietuva. Duomenų perdavimai į trečiąsias šalis vykdomi tik ten, kur užtikrinama pakankamo lygio apsauga pagal BDAR 45–46 straipsnius.
8. Duomenų saugumas
Taikome šias technines ir organizacines saugumo priemones: Techninis saugumas: • SSL/TLS šifravimas visiems duomenų perdavimams • Duomenų bazių šifravimas (PostgreSQL 16 su šifravimu serveryje) • Slaptažodžiai saugomi tik kaip kriptografinės maišos (bcrypt) • JWT prieigos žetonai su ribotu galiojimo laiku (15 min.) • Atnaujinimo žetonų rotacija • Stripe PCI DSS 1 lygio atitiktis — jokių kortelių duomenų pas mus Organizacinis saugumas: • Prieigos kontrolė pagal rolę (RBAC) — tarnautojams suteikiamos minimalios būtinos teisės • Reguliariai atnaujinamos sistemos ir komponentai • Saugumo auditai ir bandymai • Incidentų reagavimo procedūra • Duomenų saugumo pažeidimų pranešimas VDAI per 72 valandas (BDAR 33 str.) Fizinis saugumas: • Serveriai Hetzner duomenų centre Vokietijoje (ISO 27001, ISO 9001) • Ribota fizinė prieiga • Atsarginės kopijos kasdien (Hetzner Storage Box)
9. Automatizuotas sprendimų priėmimas
Platforma naudoja dirbtinį intelektą šiems tikslams: (a) AI vežėjų suderinimas (matchmaking): Sistema automatiškai siūlo tinkamiausius vežėjus pagal atstumą, reitingą, prieinamumą ir technikos atitiktį. Šis procesas nėra galutinis sprendimas — klientas visada gali pasirinkti kitą vežėją arba pateikti atvirą užklausą. (b) Kainų prognozavimas: AI siūlo rekomenduojamą kainą pagal istorinių sandorių duomenis, atstumą ir rinkos sąlygas. Tai tik rekomendacija — klientas ir vežėjas derasi laisvai. (c) Pasitikėjimo balas (Trust Score): Automatiškai skaičiuojamas pagal viešus įmonių registro duomenis ir platformos istorija. Vartotojas gali ginčyti skaičiavimą kreipiantis el. paštu. Joks sprendimas, turintis didelę įtaką vartotojui (pvz., paskyros blokavimas), nepriimamas visiškai automatiškai — tai atlieka žmogus.
10. Slapukai
Naudojame slapukus platformos veikimui ir jūsų patirties gerinimui. Išsami informacija apie naudojamus slapukus pateikta Slapukų politikoje (/cookies). Būtinieji slapukai yra naudojami be atskiro sutikimo (teisinis pagrindas — teisėtas interesas). Visi kiti slapukai (analitiniai, rinkodaros) reikalauja jūsų sutikimo. Sutikimą su slapukais galite bet kuriuo metu keisti per naršyklės nustatymus arba platformos slapukų valdymo skydelį.
CargoRoad, UAB | Įmonės kodas: 307622488 | [email protected]