Privacybeleid

Belangrijke mededeling

In dit privacybeleid wordt uitgelegd hoe LocalWheels Albanië (“LocalWheels”, “wij”, “ons”) persoonlijke gegevens verwerkt wanneer u onze website en diensten gebruikt. Het is ontworpen om te worden gedetailleerd en afgestemd op de transparantieverplichtingen onder de Albanese wetgeving inzake persoonsgegevens (Wet nr. 9887/2008 “Betreffende de bescherming van persoonsgegevens” en daaropvolgende wijzigingen en statuten) en, indien van toepassing, de Algemene Verordening Gegevensbescherming (AVG) van de EU voor gebruikers die binnen het toepassingsgebied ervan vallen. Het is geen juridisch advies; Raadpleeg een advocaat voor uw specifieke situatie.

Verwerkingsverantwoordelijke en contactpersoon

De gegevensbeheerder voor persoonlijke gegevens die via deze marktplaats worden verwerkt, is de operationele entiteit achter LocalWheels Albanië, zoals geïdentificeerd op de juridische/imprint- of contactpagina van de website. Voor verzoeken om gegevensbescherming (toegang, correctie, eventuele verwijdering, bezwaren, klachten) kunt u contact met ons opnemen via het e-mailadres of postadres dat op de contactpagina staat vermeld. We kunnen redelijke vragen stellen om uw identiteit te verifiëren voordat we aan verzoeken voldoen.

Categorieën persoonsgegevens die wij verwerken

Account and profile: email address, password hash, display name, account role (traveller / owner / driver / admin), preferred language, account closure timestamps, and similar account metadata.

Identity and eligibility: where offered, identity verification status, uploaded identity document references or URLs, and related review notes accessible only to authorised staff.

Owner / host business data: phone numbers shown or stored for hosting workflows, bank or payout details if collected for host settlements, internal wallet ledger references, and promotion purchase history.

Driver / transfer partner data: driver profile display name, phone number, verification status, service areas, vehicle make/model/plate/seats/luggage capacity, per-driver commission override if set, internal wallet balance and ledger entries (payouts, cancellation shares, penalties, withdrawals), and withdrawal request metadata.

Booking and trip data (car rental): traveller and host identifiers linked to a booking, vehicle ID, pickup and return instants, pickup and drop-off location IDs, booking status, optional traveller message text, child seat count requested, outside-country selection flag, voucher identifiers and discount amounts applied, frozen ’listing terms snapshot’ JSON capturing pricing/policy fields at booking time, fee and deposit amounts in EUR/cents, Stripe identifiers (session ID, payment intent ID, payment status, paid-at timestamp), refund status fields, pickup/return dispute descriptions, URLs or JSON arrays of proof images uploaded to cases, administrative ruling fields, and timestamps for lifecycle events (vehicle returned, host acknowledgement, etc.).

Transfer request and trip data: traveller and assigned driver identifiers, route from/to location IDs, scheduled pickup instant, passenger count, luggage notes, traveller phone and optional flight number (shared with the assigned driver after payment), transfer status, driver offers (price, message, timestamps), accepted offer totals, commission and driver payout amounts in cents, Stripe checkout identifiers and payment status, cancellation split amounts, driver penalty amounts, dispute descriptions and admin resolution fields, transfer message bodies, transfer review rating/text, and lifecycle timestamps.

Messaging: booking and transfer message bodies, sender user ID, timestamps, and optional attached image URLs for dispute evidence.

Payments metadata: we do not store full payment card numbers or CVC codes. Stripe provides tokens, payment intent IDs, charge status, and amounts. We store our own breakdown of checkout line items in cents for accounting and customer support.

Technical and security: server logs may contain IP addresses, user-agent strings, timestamps, request paths, error diagnostics, and anti-abuse signals.

Cookies and local storage: see the dedicated section below.

Marketing: we only send promotional communications where we have a lawful basis (typically consent or soft opt-in where permitted). You can withdraw marketing consent at any time.

Speciale categorieën gegevens

Identiteitsdocumenten kunnen gegevens bevatten die volgens de Albanese of EU-wetgeving als gevoelig worden beschouwd (bijvoorbeeld gegevens die de nationaliteit of biometrische gelijkenis op een identiteitsbewijs met foto onthullen). We verwerken dergelijke gegevens alleen waar dat nodig is voor verificatie, fraudepreventie of wettelijke naleving, en met passende toegangsbeperkingen. Als u deze gegevens niet wilt verstrekken, kunt u mogelijk geen gebruik maken van verificatie-gated functies.

Doeleinden en rechtsgrondslagen (toewijzing in Albanië/GDPR-stijl)

Performing the contract with you (Article 6(1)(b) GDPR-style; analogous contractual necessity under Albanian law): creating accounts, publishing listings, processing booking and transfer requests, driver offers, calculating prices, operating messaging, displaying booking and transfer history, and processing card payments for platform fees, car-rental checkout, and transfer fares through Stripe.

Legitimate interests (Article 6(1)(f) GDPR-style; balanced against your rights): fraud detection, network security, debugging, product analytics that does not require consent where not using non-essential cookies, enforcing our Terms, and defending legal claims.

Legal obligation (Article 6(1)(c)): tax, accounting, and responding to lawful requests from public authorities.

Consent (Article 6(1)(a)): non-essential cookies / optional analytics when we enable them and you opt in via the banner; any optional marketing you explicitly agree to.

Where Albanian law applies without the GDPR, we still apply similar principles: purpose limitation, data minimisation, security, and retention aligned with the purposes above.

Ontvangers en verwerkers

We delen persoonlijke gegevens strikt met subverwerkers als dat nodig is:

Stripe Payments Europe Ltd (of andere Stripe-entiteiten afhankelijk van de configuratie) voor kaartbetalingen, terugbetalingen en fraudesignalen – onderworpen aan het privacybeleid van Stripe en, indien relevant, de Stripe Data Processing Agreement.

Hosting-, database- en e-mailbezorgingsproviders die namens ons gegevens opslaan of verzenden onder contractuele vertrouwelijkheids- en veiligheidsverplichtingen.

Cloudinary (of vergelijkbaar) voor het hosten van geüploade voertuigfoto's, chat-/geschilbestendige afbeeldingen en verificatieafbeeldingen.

Professionele adviseurs (advocaten, accountants) onder beroepsgeheim indien nodig.

Overheidsinstanties wanneer een wettig, goed onderbouwd verzoek openbaarmaking vereist.

Wij verkopen uw persoonlijke gegevens niet in de zin van handelslijsten voor geld. Eventuele toekomstige analyse- of advertentiepartners worden hier vermeld voordat de verwerking begint.

Internationale overschrijvingen

Sommige providers (met name Stripe en Amerikaanse infrastructuur) kunnen gegevens verwerken buiten Albanië of de EER. Waar de AVG van toepassing is, vertrouwen wij op passende waarborgen zoals standaardcontractbepalingen (SCC’s) en/of adequaatheidsbesluiten, aangevuld met technische en organisatorische maatregelen. De Albanese wet vereist eveneens garanties voor overdrachten; we implementeren contractuele bescherming met verwerkers.

Bewaartermijnen (indicatief)

Active account data: for the life of the account plus a short technical grace period.

Closed accounts: we may anonymise or delete personal identifiers where possible; certain records (hashed audit trails, booking or transfer IDs without direct identifiers) may be kept longer where law requires.

Bookings, transfers, and invoices: typically kept for at least the statutory accounting and tax retention period applicable to our company (often multiple years — exact duration follows Albanian accounting/tax law and our auditor’s guidance).

Stripe transaction metadata: aligned with financial reconciliation needs and chargeback windows.

Server logs: rotated on a short cycle unless needed for security investigations.

Verification documents: retained only as long as needed for the verification purpose and legal defence, then deleted or anonymised unless a longer period is mandatory.

Exact schedules may be refined internally; you may request a summary for your data in a subject access request.

Jouw rechten

Afhankelijk van de toepasselijke wetgeving heeft u mogelijk het recht op: toegang tot uw persoonlijke gegevens; verzoeken om correctie van onjuiste gegevens; verzoeken om verwijdering indien van toepassing; beperking van de verwerking verzoeken; bezwaar maken tegen bepaalde verwerkingen op basis van legitieme belangen; toestemming intrekken wanneer de verwerking op toestemming was gebaseerd; en ontvang een machinaal leesbare kopie van de door u verstrekte gegevens (dataportabiliteit) indien technisch haalbaar.

U kunt een klacht indienen bij een toezichthoudende autoriteit. Voor verwerking die onder de AVG valt, kan dit de toezichthoudende autoriteit in uw gewone verblijfplaats, werkplek of de plaats van de vermeende inbreuk zijn. Voor verwerking die uitsluitend in Albanië plaatsvindt, kunnen klachten worden gericht aan de Albanese commissaris voor informatie en gegevensbescherming (Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale), zoals bepaald door Wet 9887 en de huidige contactgegevens die door die autoriteit zijn gepubliceerd.

Geautomatiseerde besluitvorming: we nemen niet uitsluitend geautomatiseerde beslissingen met juridische of soortgelijke significante gevolgen voor u zonder menselijke beoordeling; prijzen zijn bepalend op basis van regels die u kunt inspecteren in de Voorwaarden en vermeldingen.

Cookies, lokale opslag en soortgelijke technologieën

Essential / strictly necessary: authentication session cookies where the product uses cookie-based sessions; security cookies; and first-party storage such as `lw_locale` (language preference, typically up to one year) and `lw_cookie_consent_v1` (your cookie-banner choice: essential-only or analytics accepted, with a timestamp) needed to operate the site and honour consent. These do not require consent under EU ePrivacy guidance but we disclose them here.

Optional analytics (consent-based): disabled by default. If you click ’Accept all’ in the cookie banner, we record that choice in `lw_cookie_consent_v1` and may load Google Analytics 4 (gtag.js) to measure traffic and product usage. You can withdraw by choosing ’Essential only’ on a fresh visit after clearing site data, or by clearing local storage for this site.

Other measurement scripts: we may load third-party analytics scripts (for example Ahrefs) for aggregate site measurement. Where required by law, we treat these according to our consent configuration and update this section when our setup changes.

Do Not Track: there is no uniform standard; we currently do not respond to DNT browser signals beyond applying default privacy settings described here.

Kinderen

The service is directed at adults who can enter into rental or transport arrangements. We do not knowingly register children under the age required by Albanian law to consent to data processing without parental authority. If you believe a minor has provided data, contact us to delete it.

Beveiliging

We implementeren technische en organisatorische maatregelen die geschikt zijn voor het risico: TLS voor transportversleuteling, toegangscontroles voor personeel, wachtwoordhashing voor inloggegevens en scheiding van productiegeheimen. Geen enkel online systeem is volkomen veilig; meld vermoedelijke kwetsbaarheden via ons contactkanaal.

Wijzigingen in dit beleid

We zullen dit privacybeleid bijwerken wanneer onze verwerking verandert. De datum ‘Laatst bijgewerkt’ wordt herzien. Belangrijke wijzigingen zullen waar mogelijk worden benadrukt (websitebericht of e-mail).