Polityka prywatności

1. Administrator danych

Administratorem danych osobowych w rozumieniu RODO (art. 4 pkt 7) oraz innych przepisów o ochronie danych jest:

• Kevin Latta (zwolnienie z VAT zgodnie z § 19 UStG)
• Im Daubenthal 18, 41539 Dormagen, Niemcy

2. Kontakt w sprawach ochrony danych

W razie pytań dotyczących przetwarzania danych osobowych lub chęci skorzystania z przysługujących praw (np. dostępu do danych, sprostowania, usunięcia) mogą się Państwo z nami skontaktować w dowolnym momencie. Jeżeli nie istnieje ustawowy obowiązek wyznaczenia inspektora ochrony danych, nie wyznaczyliśmy inspektora ochrony danych.

• E-mail: info@baupartner-polen.de
• Telefon: +49 176 42716630
• Adres korespondencyjny: jak wyżej

3. Informacje ogólne o przetwarzaniu danych

Traktujemy ochronę danych osobowych bardzo poważnie. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W ramach portalu Bautronix przetwarzamy dane osobowe w szczególności wtedy, gdy: - odwiedzają Państwo stronę/portal (np. techniczne dane dostępu/logi), - rejestrują Państwo konto i logują się, - uzupełniają Państwo profil firmy lub zespołu, - tworzą Państwo/zarządzają projektami albo zgłaszają zainteresowanie/składają aplikacje, - wymieniają Państwo wiadomości w portalu, - przesyłają Państwo lub pobierają dokumenty, - korzystają Państwo z funkcji płatnych (np. bezpośredni kontakt) i realizują płatność przez Stripe. Przetwarzamy dane zgodnie z zasadami RODO (w szczególności: celowość, minimalizacja danych, integralność i poufność). Jeśli wprowadzane są treści w formie dowolnego tekstu (np. wiadomości) lub przesyłane pliki, prosimy, aby nie przekazywać danych wrażliwych (np. danych o zdrowiu), jeśli nie jest to konieczne.

4. Podstawy prawne (art. 6 RODO)

Przetwarzamy dane osobowe wyłącznie wtedy, gdy istnieje ku temu podstawa prawna. W zależności od sytuacji opieramy przetwarzanie w szczególności na następujących podstawach:

• Art. 6 ust. 1 lit. b RODO (umowa/działania przed zawarciem umowy): np. rejestracja, logowanie, zarządzanie kontem, korzystanie z funkcji portalu (projekty, zainteresowania/aplikacje, komunikacja, dokumenty), realizacja funkcji płatnych.
• Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes): np. utrzymanie i bezpieczeństwo portalu, zapobieganie nadużyciom i oszustwom, analiza błędów, dochodzenie lub obrona roszczeń.
• Art. 6 ust. 1 lit. c RODO (obowiązek prawny): w zakresie, w jakim podlegamy ustawowym obowiązkom przechowywania lub dokumentacji.
• Art. 6 ust. 1 lit. a RODO (zgoda): jeśli w pojedynczych przypadkach pozyskujemy zgodę (np. na opcjonalne funkcje lub usługi).

5. Kategorie danych osobowych

W ramach portalu Bautronix przetwarzamy następujące kategorie danych osobowych:

• Dane konta/profilu: np. imię i nazwisko, adres e-mail, hasło (w postaci skrótu / hash), ewentualnie zdjęcie profilowe (avatar).
• Dane firmy i kontaktowe: np. nazwa firmy, osoba kontaktowa, adres e-mail, numer telefonu, ewentualnie numer identyfikacji podatkowej, adres/siedziba, preferowany język oraz inne dane profilowe.
• Dane zespołu: np. nazwa zespołu, branża, dostępność, regiony/języki, wielkość zespołu oraz inne dane, które wprowadzają Państwo w profilu zespołu.
• Dane projektu: np. tytuł projektu, opis/wymagania, miejsce realizacji/region, termin realizacji oraz ewentualnie dane kontaktowe związane z projektem.
• Dane aplikacji/zainteresowania: np. status, momenty aplikacji/zainteresowania oraz ewentualnie przesłane treści (wiadomości).
• Dane komunikacji: treści wiadomości/wymiany, które odbywają się za pośrednictwem portalu.
• Dane dokumentów/przesyłanych plików: przesłane pliki (np. PDF/JPG/PNG) wraz z nazwą pliku, metadanymi (np. rozmiar pliku, typ pliku), datą ważności oraz notatkami.
• Dane płatności i transakcji: np. status płatności, kwota/waluta, wewnętrzne identyfikatory transakcji oraz identyfikatory Stripe (np. PaymentIntent-ID).
• Dane techniczne i logowania: np. adres IP, User-Agent, data i godzina, informacje o sesji oraz niezbędne pliki cookie.

6. Cele przetwarzania

Przetwarzamy dane osobowe w szczególności w następujących celach:

• Świadczenie, utrzymanie i administrowanie portalem Bautronix (w tym naprawa błędów i bezpieczeństwo techniczne).
• Rejestracja, uwierzytelnianie, zarządzanie sesją i funkcjami konta (logowanie/wylogowanie, zarządzanie kontem, reset hasła).
• Świadczenie funkcji portalu: tworzenie/zarządzanie profilami firmowymi i zespołowymi, projektami oraz aplikacjami/zainteresowaniami.
• Komunikacja między użytkownikami w ramach portalu (np. wiadomości/chat).
• Przetwarzanie i udostępnianie przesłanych dokumentów (przesyłanie, weryfikacja/status, pobieranie po uprzedniej autoryzacji).
• Realizacja i obsługa płatności za funkcje płatne (np. bezpośredni kontakt) wraz z obsługą płatności przez Stripe i potwierdzeniem/przypisaniem transakcji.
• Wysyłanie powiadomień systemowych (np. e-mail), o ile jest to niezbędne do korzystania z portalu.
• Ochrona przed nadużyciami, oszustwami i nieuprawnionym dostępem oraz egzekwowanie/bronienie roszczeń prawnych.

7. Odbiorcy / kategorie odbiorców

Udostępniamy dane osobowe wyłącznie wtedy, gdy jest to niezbędne do świadczenia portalu, realizacji funkcji lub spełnienia obowiązków prawnych. Odbiorcami (lub kategoriami odbiorców) mogą być w szczególności:

• Inni zarejestrowani użytkownicy portalu (np. zleceniodawcy i Baupartner), jeśli w ramach funkcji portalu udostępniają Państwo dane profilowe, zgłoszenia/zainteresowania, wiadomości lub dokumenty, które są widoczne dla drugiej strony (np. udostępnienie kontaktu/bezpośredni kontakt, udostępnienie dokumentów, czat).
• Dostawca hostingu i infrastruktury (Hetzner Online GmbH) – w celu utrzymania serwerów i sieci w Niemczech (Falkenstein, datacenter fsn1-dc14, strefa sieciowa eu-central).
• Google Ireland Limited (Google Ads – pomiar konwersji) – jeżeli wyrazili Państwo zgodę; w takim przypadku nie można wykluczyć przekazania danych do Google LLC (USA) (zob. punkt 26).
• Dostawca płatności (Stripe) – w celu realizacji płatności za funkcje płatne.
• Dostawcy usług e-mail/komunikacji – o ile jest to wymagane do wysyłania powiadomień systemowych.
• Dostawcy usług IT (np. utrzymanie i wsparcie) – jeśli są wykorzystywani.
• Organy publiczne (np. urzędy, sądy) – jeśli wynika to z obowiązku prawnego lub jest to niezbędne do dochodzenia, wykonywania lub obrony roszczeń.

8. Hosting i infrastruktura (lokalizacja serwera, powierzenie)

Portal Bautronix jest utrzymywany na serwerach w Niemczech. W ramach infrastruktury przetwarzane są dane niezbędne do działania portalu (np. zawartość bazy danych, przesłane pliki oraz techniczne dane dostępu i logi).

• Dostawca hostingu: Hetzner Online GmbH.
• Lokalizacja serwera: Niemcy, miasto Falkenstein, datacenter fsn1-dc14, strefa sieciowa eu-central.
• W razie potrzeby korzystamy z dostawców hostingu/infrastruktury jako podmiotów przetwarzających i zawieramy odpowiednie umowy powierzenia (art. 28 RODO). Dostęp jest ograniczony do zakresu niezbędnego do świadczenia usługi.

9. Dane dostępu / logi serwera

Podczas korzystania z portalu przetwarzane są automatycznie dane dostępu i dane protokołowe (tzw. logi serwera). Jest to technicznie niezbędne, aby udostępnić treści, zapewnić bezpieczeństwo systemów oraz analizować błędy i zakłócenia. Nie wykorzystujemy tych danych do celów reklamowych ani śledzenia.

• Zakres danych (typowo): adres IP, data i godzina dostępu, żądany zasób (URL/plik), ilość przesłanych danych, kod statusu HTTP, User-Agent (przeglądarka/system) oraz ewentualnie adres odsyłający (referrer), o ile zostanie przekazany.
• Cele: zapewnienie prawidłowego działania, bezpieczeństwo IT (np. wykrywanie/analiza ataków), analiza błędów oraz zapobieganie nadużyciom i oszustwom.
• Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes w bezpiecznym i stabilnym działaniu) oraz – w zakresie świadczenia funkcji wynikających z korzystania z portalu – art. 6 ust. 1 lit. b RODO.
• Jeżeli jest to konieczne do wyjaśnienia błędów lub incydentów bezpieczeństwa, logi mogą być w indywidualnych przypadkach analizowane łącznie z innymi informacjami z portalu (np. kontekst sesji lub konta).
• Okres przechowywania: logi są typowo przechowywane przez 14 dni, a następnie usuwane lub nadpisywane; w indywidualnych przypadkach mogą być przechowywane dłużej w celu wyjaśnienia incydentów bezpieczeństwa.
• Odbiorcy: dostawca hostingu/infrastruktury (zob. punkt 8) w ramach utrzymania technicznego.

10. Pliki cookies i podobne technologie (sesja, XSRF, rola)

Wykorzystujemy pliki cookies i podobne technologie, które są technicznie niezbędne do działania portalu i zapewnienia bezpieczeństwa aplikacji. Dodatkowo – wyłącznie za Państwa zgodą – możemy korzystać z Google Ads (pomiar konwersji), aby mierzyć skuteczność kampanii reklamowych.

• bautronix_session (cookie sesyjne): niezbędne do rejestracji/logowania, utrzymania sesji oraz uwierzytelniania względem backendu (Laravel/Sanctum). Cookie zawiera co do zasady losowy identyfikator sesji, natomiast dane sesyjne są przechowywane po stronie serwera (np. wraz ze znacznikami czasu i informacjami technicznymi). Wygasa po zakończeniu sesji lub po skonfigurowanym czasie bezczynności (np. 120 minut).
• Właściwości cookies (typowo): cookies sesyjne są ustawiane jako technicznie niezbędne (np. z flagą HttpOnly; w zależności od konfiguracji z atrybutem SameSite oraz przy HTTPS jako Secure).
• XSRF-TOKEN: techniczne cookie bezpieczeństwa służące ochronie przed atakami CSRF. Aby frontend mógł odczytać token i przesłać go w nagłówku, cookie to co do zasady nie jest ustawiane jako HttpOnly. Token jest wykorzystywany jako nagłówek w żądaniach API (np. X-XSRF-TOKEN).
• portal_role: cookie technicznie niezbędne do zapamiętania aktualnie wybranej roli w portalu oraz prawidłowego działania nawigacji/interfejsu.
• NEXT_LOCALE: cookie służące do zapamiętania wybranego języka (np. de/pl), aby portal był wyświetlany w odpowiedniej wersji językowej.
• btx_cookie_consent: cookie do zapamiętania wyboru (akceptacja/odrzucenie) dla usług opcjonalnych, abyśmy mogli uwzględnić Państwa decyzję przy kolejnych wizytach.
• Google Ads – pomiar konwersji (gtag.js): jest ładowany dopiero po wyrażeniu zgody. W ramach pomiaru mogą być przekazywane do Google m.in. identyfikatory online (np. ID plików cookie), adres IP, informacje o urządzeniu/przeglądarce oraz znaczniki czasu zdarzeń, aby mierzyć konwersje.
• Podstawy prawne: cookies technicznie niezbędne: art. 6 ust. 1 lit. b RODO (świadczenie funkcji portalu) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes w zapewnieniu bezpiecznego i prawidłowego działania, w szczególności ochrona CSRF). Google Ads (pomiar konwersji): art. 6 ust. 1 lit. a RODO (zgoda).
• Uwaga dot. dostępu do urządzenia końcowego (Niemcy, § 25 TDDDG): cookies technicznie niezbędne (sesja/CSRF) odbywają się na podstawie § 25 ust. 2 TDDDG. Google Ads (pomiar konwersji) działa wyłącznie po uzyskaniu zgody zgodnie z § 25 ust. 1 TDDDG.
• Ustawienia przeglądarki: mogą Państwo usunąć lub zablokować cookies. W przypadku wyłączenia cookies technicznie niezbędnych, korzystanie z portalu (w szczególności logowanie i strefy chronione) może być ograniczone lub niemożliwe.
• W przypadku płatności przez Stripe mogą być zapisywane cookies/identyfikatory Stripe; szczegóły zostaną opisane w punkcie 15.

11. Rejestracja, logowanie, konto użytkownika

Jeżeli zakładają Państwo konto w portalu Bautronix lub logują się do systemu, przetwarzamy dane osobowe w celu utworzenia konta, uwierzytelnienia użytkownika oraz zapewnienia bezpiecznego działania platformy. Stosujemy mechanizmy sesji i bezpieczeństwa (np. cookies sesyjne oraz ochronę CSRF). Hasła nie są przechowywane w postaci jawnej, lecz jako skrót (hash). Jeżeli korzystają Państwo z funkcji zarządzania kontem (np. zmiana profilu, zmiana hasła, przesłanie avatara, ustawienia języka/roli w portalu), przetwarzamy odpowiednie dane przekazane przez Państwa lub niezbędne technicznie.

• Zakres danych (typowo): imię i nazwisko, adres e-mail, skrót (hash) hasła oraz znaczniki czasu (rejestracja/aktualizacje).
• Uwierzytelnianie/sesje (typowo): identyfikator sesji, token CSRF (XSRF), cookies technicznie niezbędne oraz techniczne dane sesji (m.in. moment ostatniej aktywności).
• Dane bezpieczeństwa/dostępu (typowo): adres IP oraz User-Agent w ramach zarządzania sesją (serwerowa baza sesji).
• Profil konta (opcjonalnie): zdjęcie profilowe/avatar (upload) oraz metadane pliku (np. nazwa/typ/rozmiar).
• Reset hasła: korzystając z funkcji „Nie pamiętam hasła”, przetwarzamy adres e-mail i generujemy token resetu (zwykle czasowo ograniczony), aby umożliwić zmianę hasła.
• Cele: utworzenie konta, logowanie/wylogowanie, zarządzanie kontem, reset hasła, ochrona przed nadużyciami i zapewnienie bezpieczeństwa IT.
• Podstawy prawne: art. 6 ust. 1 lit. b RODO (umowa/działania przed zawarciem umowy) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes w bezpiecznym i stabilnym działaniu, zapobieganie nadużyciom). W zakresie obowiązków prawnych: art. 6 ust. 1 lit. c RODO.
• Odbiorcy: upoważnione osoby/administratorzy (tylko w niezbędnym zakresie), dostawca hostingu/infrastruktury (zob. punkt 8) oraz ewentualnie dostawcy usług e-mail dla wiadomości systemowych (zob. punkt 16).
• Okres przechowywania: dane konta co do zasady przez czas istnienia konta; dane sesyjne wyłącznie tak długo, jak to technicznie konieczne (dodatkowo wpisy sesji mogą być przechowywane przez ograniczony czas dla bezpieczeństwa). Tokeny resetu hasła są czasowo ograniczone i następnie zastępowane/usuwane.
• Eksport/usunięcie konta: w zależności od dostępności w portalu mogą Państwo wyeksportować swoje dane oraz usunąć konto. Przy usunięciu konta dane są usuwane lub blokowane, o ile nie stoją temu na przeszkodzie obowiązki prawne lub uzasadnione interesy (szczegóły: punkt 18).

12. Funkcje portalu (projekty, zgłoszenia, leady, bezpośredni kontakt)

Portal Bautronix służy do kojarzenia i współpracy pomiędzy zleceniodawcami (Contractors) a partnerami budowlanymi/podwykonawcami (Subcontractors). W zależności od roli użytkownika przetwarzane są różne dane, aby tworzyć projekty, zarządzać zgłoszeniami/zainteresowaniami, kontrolować udostępnienia kontaktu oraz zapewnić przebieg procesów w platformie. Uwaga: niektóre treści, które wprowadzają Państwo w ramach funkcji portalu (np. opis projektu, dane kontaktowe, treści zgłoszeń), mogą – zależnie od uprawnień i udostępnień – stać się widoczne dla innych zarejestrowanych użytkowników.

• Projekty (zleceniodawcy): np. tytuł projektu, opis/wymagania, lokalizacja/region, harmonogram, widełki budżetu, kategorie branż oraz dane kontaktowe powiązane z projektem (imię i nazwisko/e-mail/telefon) – jeśli zostały podane.
• Zgłoszenia/zainteresowania (podwykonawcy): np. status, daty, powiązanie z projektem/zespołem/firmą oraz opcjonalne wiadomości (treści tekstowe).
• Leady/odblokowania: informacja o tym, czy i kiedy lead/kontakt został odblokowany dla danego projektu (wraz ze znacznikami czasu).
• Bezpośredni kontakt: dane niezbędne do obsługi zapytań o bezpośredni kontakt (np. status, data wygaśnięcia, data odpowiedzi) oraz ewentualne powiązanie z zakupem pakietu kontaktów.
• Widoczność/odbiorcy: inni użytkownicy uzyskują dostęp do treści wyłącznie w ramach danej funkcji i uprawnień (np. po udostępnieniu kontaktu/bezpośrednim kontakcie).
• Cele: świadczenie funkcji kojarzenia i współpracy, procesy udostępnień, rozliczalność etapów procesu, zapobieganie nadużyciom/oszustwom.
• Podstawy prawne: art. 6 ust. 1 lit. b RODO (realizacja funkcji portalu) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes: bezpieczne działanie, zapobieganie nadużyciom, dochodzenie/obrona roszczeń). W zakresie płatności obowiązują dodatkowo postanowienia z punktu 15.
• Okres przechowywania: dane projektowe i procesowe przechowujemy co do zasady przez czas korzystania oraz w zakresie niezbędnym do realizacji umowy i celów dowodowych; dodatkowe zasady opisano w punkcie 18.

13. Komunikacja / czat i wiadomości

Portal udostępnia funkcję czatu/wiadomości, która umożliwia komunikację pomiędzy zarejestrowanymi użytkownikami w ramach odblokowanych kontaktów (np. po odblokowaniu leada). Przetwarzamy treść wiadomości oraz metadane techniczne, aby zapewnić komunikację i wyświetlać jej historię w portalu. Wiadomości są polami tekstowymi. Prosimy przekazywać tylko informacje niezbędne do współpracy i – w miarę możliwości – unikać przekazywania szczególnych kategorii danych (art. 9 RODO), o ile nie jest to konieczne.

• Zakres danych: treść wiadomości (tekst), identyfikacja nadawcy (np. ID użytkownika), znaczniki czasu, powiązanie z projektem/odblokowaniem.
• Cele: zapewnienie komunikacji, prezentacja historii rozmów w portalu, wsparcie współpracy pomiędzy stronami.
• Podstawy prawne: art. 6 ust. 1 lit. b RODO (świadczenie funkcji komunikacji w portalu) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes: bezpieczeństwo i rozliczalność, np. obsługa wsparcia lub dochodzenie/obrona roszczeń).
• Odbiorcy: strony komunikacji (druga strona) oraz ewentualnie upoważnione osoby/administratorzy wyłącznie w niezbędnym zakresie (np. w przypadku wsparcia lub nadużyć).
• Okres przechowywania: wiadomości przechowujemy co do zasady tak długo, jak jest to konieczne dla korzystania z funkcji i celów dowodowych/dokumentacyjnych. Szczegóły i ewentualne okresy retencji opisano w punkcie 18.

14. Dokumenty / uploady

Portal umożliwia przesyłanie i zarządzanie dokumentami (np. certyfikaty, zaświadczenia) oraz – w zależności od uprawnień – pobieranie dokumentów udostępnionych. Przesłane pliki są przechowywane po stronie serwera w niepublicznym obszarze magazynowania. Dodatkowo zapisujemy metadane dokumentu (np. nazwa pliku, rozmiar, typ dokumentu, status weryfikacji), aby zapewnić funkcję dokumentów w portalu. Dokumenty mogą – w zależności od roli, udostępnień i statusu – być widoczne lub możliwe do pobrania przez innych zarejestrowanych użytkowników (np. dopiero po udostępnieniu kontaktu i tylko po zatwierdzeniu dokumentu).

• Zakres danych: zawartość pliku (upload), nazwa pliku, typ/MIME, rozmiar, daty przesłania, typ dokumentu, ewentualnie data ważności oraz opcjonalne notatki; dodatkowo metadane techniczne (np. ścieżka zapisu/identyfikator dysku).
• Dane statusu/weryfikacji: dokument może otrzymać status (np. przesłany, zweryfikowany, zatwierdzony/odrzucony); w ramach weryfikacji mogą być zapisywane wewnętrzne adnotacje.
• Cele: udostępnienie funkcji dokumentów, procesy weryfikacji/zgodności w portalu, udostępnianie dokumentów uprawnionym stronom.
• Podstawy prawne: art. 6 ust. 1 lit. b RODO (świadczenie funkcji portalu) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes: bezpieczna, rozliczalna obsługa oraz zapobieganie nadużyciom).
• Odbiorcy: uprawnione strony w portalu (np. po udostępnieniu kontaktu i w zależności od statusu dokumentu), dostawca hostingu/infrastruktury (zob. punkt 8) oraz upoważnione osoby/administratorzy w niezbędnym zakresie (np. weryfikacja/wsparcie).
• Okres przechowywania: dokumenty i metadane przechowujemy co do zasady tak długo, jak jest to konieczne do korzystania z portalu oraz dla celów dowodowych/procesowych. Szczegóły i ewentualne okresy retencji opisano w punkcie 18.

15. Płatności (Stripe)

W przypadku funkcji płatnych (np. bezpośredni kontakt) przetwarzanie płatności odbywa się za pośrednictwem dostawcy płatności Stripe. Stripe przetwarza dane płatnicze jako dostawca usług płatniczych we własnym zakresie. My zazwyczaj nie otrzymujemy pełnych danych karty/konta, lecz przetwarzamy głównie informacje niezbędne do przypisania i potwierdzenia płatności (np. identyfikatory transakcji, kwota, waluta, status), aby aktywować zakupioną funkcję w portalu. Zgodnie z Państwa informacją korzystamy z Stripe Payments Europe, Ltd. (Irlandia). Należy jednak uwzględnić, że w zależności od metody płatności i podwykonawców mogą wystąpić operacje przetwarzania także poza EOG.

• Integracja w portalu: Stripe jest wykorzystywany w portalu wyłącznie w ramach realizacji płatności (checkout) – nie jest ładowany globalnie podczas zwykłego przeglądania stron bez funkcji płatnych.
• Dane przetwarzane u nas (typowo): status płatności, kwota/waluta, wewnętrzne identyfikatory transakcji oraz identyfikatory Stripe (np. PaymentIntent-ID, ewentualnie Customer-ID), powiązanie z projektem/firmą oraz znaczniki czasu (np. autoryzacja/realizacja/anulowanie/zwrot).
• Dane przetwarzane przez Stripe (typowo): dane płatnicze (np. dane karty/konta), dane techniczne dot. realizacji płatności i zapobiegania oszustwom oraz – zależnie od konfiguracji – dane kontaktowe (np. e-mail do potwierdzenia).
• Cele: realizacja płatności, potwierdzenie i przypisanie transakcji, udostępnienie funkcji płatnych, zapobieganie nadużyciom/oszustwom.
• Podstawy prawne: art. 6 ust. 1 lit. b RODO (umowa/świadczenie funkcji płatnych) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes, w szczególności bezpieczeństwo i zapobieganie oszustwom). Jeśli mają zastosowanie obowiązki księgowe/podatkowe: art. 6 ust. 1 lit. c RODO.
• Odbiorcy: Stripe Payments Europe, Ltd. (Irlandia) oraz – zależnie od metody płatności – instytucje uczestniczące w płatności (np. banki/organizacje kartowe).
• Transfer do państw trzecich: nie można wykluczyć, że Stripe lub podwykonawcy przetwarzają dane także w państwach trzecich (np. ze względów technicznych lub w ramach zapobiegania oszustwom). W takich przypadkach stosowane są odpowiednie zabezpieczenia (np. standardowe klauzule umowne UE) lub decyzje stwierdzające odpowiedni poziom ochrony. Szczegóły wynikają z dokumentacji Stripe.

16. E-mail i powiadomienia

Korzystanie z portalu może wymagać powiadomień systemowych (np. reset hasła, informacje dotyczące bezpieczeństwa lub funkcjonalne komunikaty). W tym celu przetwarzamy w szczególności adres e-mail oraz – zależnie od sytuacji – treść danej wiadomości systemowej. Zgodnie z Państwa informacją na ten moment nie jest produkcyjnie skonfigurowany zewnętrzny dostawca wysyłki e-mail. Jeśli w przyszłości zostanie użyty dostawca (np. SMTP lub wyspecjalizowana usługa), zaktualizujemy niniejszą politykę prywatności. Niezależnie od tego w aplikacji mogą być zapisywane powiadomienia (np. jako wewnętrzne „notifications”).

• Zakres danych: adres e-mail, ewentualnie imię i nazwisko, treści systemowe (np. link/token resetu hasła), znaczniki czasu oraz – o ile występują – techniczne dane dot. statusu wysyłki.
• Reset hasła: w przypadku „Nie pamiętam hasła” generowany jest token, aby bezpiecznie przeprowadzić reset.
• Powiadomienia w aplikacji: mogą być zapisywane wpisy powiadomień (np. typ, treść, status przeczytania, znaczniki czasu).
• Cele: zapewnienie funkcji portalu, bezpieczeństwo konta, informowanie użytkownika o zdarzeniach systemowych.
• Podstawy prawne: art. 6 ust. 1 lit. b RODO (umowa/korzystanie z portalu) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes: bezpieczne działanie i komunikacja systemowa).
• Odbiorcy: dostawca hostingu/infrastruktury (zob. punkt 8). Jeżeli w przyszłości e-maile będą wysyłane przez zewnętrznego dostawcę: taki dostawca jako podmiot przetwarzający.
• Okres przechowywania: dane tokenów/powiadomień przechowujemy wyłącznie tak długo, jak jest to konieczne dla danego celu; szczegóły w punkcie 18.

17. Minimalizacja danych, logowanie i debugowanie

Przetwarzamy dane osobowe zgodnie z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO) i projektujemy portal Bautronix w taki sposób, aby przetwarzać wyłącznie dane niezbędne do świadczenia usług, zapewnienia bezpieczeństwa oraz rozwoju platformy. Techniczne logowanie (protokółowanie) odbywa się w szczególności w celu zapewnienia bezpieczeństwa IT, stabilnego działania oraz analizy błędów. Dokładamy starań, aby logi były prowadzone możliwie oszczędnie pod względem danych oraz – o ile to możliwe – bez bezpośrednich identyfikatorów osób. Uwaga: w pojedynczych przypadkach (np. analiza konkretnej usterki lub incydentu bezpieczeństwa) może być konieczne krótkotrwałe rozszerzenie diagnostyki lub szczegółowa analiza logów. Takie działania są wykonywane wyłącznie w określonym celu, przez upoważnione osoby i w ograniczonym czasie.

• Minimalizacja w formularzach: wymagamy tylko danych koniecznych do realizacji danej funkcji (np. rejestracja, profil, projekty). Dane opcjonalne mogą Państwo podać dobrowolnie.
• Pola tekstowe i pliki: w przypadku pól tekstowych (np. wiadomości) i uploadów to Państwo decydują o przekazywanej treści. Prosimy nie przekazywać szczególnych kategorii danych (art. 9 RODO), jeśli nie jest to konieczne.
• Logi serwerowe i aplikacyjne: mogą być przetwarzane informacje o zdarzeniach technicznych (np. błędy, zdarzenia bezpieczeństwa). Nie wykorzystujemy tych danych do celów marketingowych ani do tworzenia profili reklamowych.
• Oszczędne logowanie: aplikacja jest projektowana tak, aby ograniczać treści osobowe w logach. W zależności od konfiguracji logowanie danych identyfikujących (np. adres e-mail) może być dodatkowo ograniczone lub wyłączone.
• Debugowanie i diagnostyka bezpieczeństwa: dla mechanizmów bezpieczeństwa (np. ochrona CSRF) mogą występować dodatkowe dane diagnostyczne w trybach debug. Nie są one wykorzystywane do celów reklamowych i nie są przechowywane bez potrzeby.
• Uwaga dot. usług opcjonalnych: jeżeli wyrazili Państwo zgodę, korzystamy z Google Ads (pomiar konwersji) (zob. punkt 10).

18. Okres przechowywania i usuwanie danych (retencja)

Przechowujemy dane osobowe co do zasady tylko tak długo, jak jest to niezbędne do realizacji celów przetwarzania (art. 5 ust. 1 lit. e RODO) lub jak wymagają tego obowiązki prawne. Po ustaniu celu oraz o ile nie istnieją obowiązki przechowywania ani nadrzędne uzasadnione podstawy, dane są usuwane albo – jeżeli to możliwe i zasadne – anonimizowane. Konkretny okres przechowywania zależy w szczególności od: - rodzaju danych (np. dane konta, treści komunikacji, dane transakcyjne), - sposobu i częstotliwości korzystania z portalu, - obowiązków prawnych (np. księgowych/podatkowych), - uzasadnionych interesów związanych z dochodzeniem lub obroną roszczeń. W systemie przewidziano mechanizmy automatycznego „pruning” (okresowego czyszczenia) wybranych danych operacyjnych.

• Dane konta (profil/dane podstawowe): przechowujemy je zasadniczo przez czas istnienia konta. W przypadku usunięcia konta dane konta są usuwane, o ile nie istnieją obowiązki prawne lub nadrzędne uzasadnione interesy (np. obrona roszczeń).
• Dane sesji: dane sesyjne są przetwarzane po stronie serwera w bazie sesji (m.in. identyfikator sesji, ostatnia aktywność, a także dane techniczne jak IP i User-Agent). Przewidziano automatyczne usuwanie; standardowo wpisy sesji są usuwane po 30 dniach (od ostatniej aktywności). Czyszczenie jest realizowane jako proces cykliczny (regularnie, np. w godzinach nocnych).
• Powiadomienia w aplikacji: wpisy powiadomień (np. typ, treść, status przeczytania, znaczniki czasu) mogą być przechowywane w bazie. Standardowo przewidziano automatyczne czyszczenie po 180 dniach (również w ramach procesu cyklicznego).
• Tokeny resetu hasła: tokeny są czasowo ograniczone (zwykle ważne 60 minut). Po upływie terminu nie mogą być użyte; dalsze przechowywanie ma charakter wyłącznie techniczny (np. do czasu nadpisania/usunięcia w ramach procesów czyszczących).
• Treści komunikacji (czat/wiadomości): wiadomości przechowujemy tak długo, jak jest to potrzebne do świadczenia funkcji oraz dla celów dowodowych/dokumentacyjnych. Dodatkowo – zależnie od konfiguracji – mogą być aktywowane automatyczne terminy usuwania.
• Dokumenty/pliki: uploady są przechowywane w niepublicznym obszarze magazynowania. Zasadniczo pozostają dostępne do czasu ich usunięcia przez Państwa, utraty uprawnień, albo usunięcia w ramach usunięcia konta/retencji. Avatary mogą zostać usunięte w dowolnym momencie; przy usunięciu konta usuwane są również powiązane pliki avatar.
• Dane transakcyjne i rozliczeniowe: w zakresie płatności mogą obowiązywać wymogi prawa handlowego/podatkowego. W takim przypadku odpowiednie dane przechowuje się przez okresy wynikające z przepisów (zwykle do 6 lub 10 lat).
• Logi serwerowe i bezpieczeństwa: są typowo przechowywane przez 14 dni i następnie usuwane lub nadpisywane. W pojedynczych przypadkach mogą być przechowywane dłużej w celu wyjaśnienia incydentów bezpieczeństwa lub dochodzenia/obrony roszczeń.

19. Bezpieczeństwo przetwarzania (art. 32 RODO)

Stosujemy odpowiednie środki techniczne i organizacyjne (TOM) zgodnie z art. 32 RODO, aby chronić dane osobowe przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem. Uwzględniamy stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, jak również ryzyko naruszenia praw i wolności osób. Środki bezpieczeństwa są regularnie weryfikowane i w razie potrzeby dostosowywane.

• Szyfrowanie transmisji: komunikacja z portalem odbywa się z użyciem szyfrowania (TLS/HTTPS).
• Kontrola dostępu i uprawnienia: dostęp do danych i funkcji jest oparty na rolach i uprawnieniach (np. rozdzielenie ról zleceniodawcy i podwykonawcy; dokumenty tylko po udzieleniu dostępu/uprawnieniach).
• Uwierzytelnianie i bezpieczeństwo sesji: stosujemy sesje serwerowe oraz technicznie niezbędne pliki cookie bezpieczeństwa. Hasła są przechowywane wyłącznie w postaci skrótu (hash).
• Ochrona przed CSRF: dla żądań wymagających stanu sesji wykorzystywane są mechanizmy ochronne (np. token XSRF).
• Ochrona dokumentów/uploadów: pliki są przechowywane w obszarze niepublicznym i udostępniane wyłącznie przez autoryzowane mechanizmy po weryfikacji uprawnień.
• Logowanie zdarzeń bezpieczeństwa: w celu wykrywania i analizy nadużyć mogą być przetwarzane logi bezpieczeństwa; ich wykorzystanie jest ograniczone do określonych celów.
• Zasada najmniejszych uprawnień: dostęp wewnętrzny do danych jest ograniczony do tego, co jest niezbędne dla utrzymania, wsparcia i bezpieczeństwa portalu.

20. Państwa prawa (art. 15–21 RODO)

Zgodnie z RODO przysługują Państwu prawa osoby, której dane dotyczą. Mogą Państwo skorzystać z tych praw w dowolnym momencie, kontaktując się z nami za pośrednictwem danych wskazanych w punkcie 2. Wnioski realizujemy niezwłocznie i najpóźniej w terminach przewidzianych prawem. Ze względów bezpieczeństwa możemy poprosić o weryfikację tożsamości (np. w przypadku żądania dostępu lub usunięcia danych), aby zapobiec nieuprawnionemu ujawnieniu danych.

• Prawo dostępu (art. 15 RODO): mają Państwo prawo uzyskać potwierdzenie, czy przetwarzamy Państwa dane oraz uzyskać dostęp do tych danych i wymaganych informacji (np. cele, kategorie, odbiorcy, okres przechowywania).
• Prawo sprostowania (art. 16 RODO): mają Państwo prawo żądać sprostowania nieprawidłowych danych lub uzupełnienia danych niekompletnych.
• Prawo usunięcia (art. 17 RODO): mają Państwo prawo żądać usunięcia danych, o ile spełnione są przesłanki ustawowe (np. brak dalszego celu, brak obowiązków przechowywania).
• Prawo ograniczenia przetwarzania (art. 18 RODO): w określonych przypadkach mogą Państwo żądać ograniczenia przetwarzania (np. na czas weryfikacji sprzeciwu lub prawidłowości danych).
• Prawo do przenoszenia danych (art. 20 RODO): mają Państwo prawo otrzymać dane, które nam Państwo dostarczyli, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub – o ile to możliwe – przesłać je innemu administratorowi.
• Prawo sprzeciwu (art. 21 RODO): mogą Państwo wnieść sprzeciw wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO z przyczyn związanych z Państwa szczególną sytuacją. Szczegóły w punkcie 22.
• Prawo wniesienia skargi (art. 77 RODO): przysługuje Państwu prawo wniesienia skargi do organu nadzorczego. Dalsze informacje w punkcie 23.
• Funkcje w portalu (o ile dostępne): w koncie mogą być dostępne funkcje samoobsługowe (np. eksport danych, edycja profilu, usunięcie konta).

21. Cofnięcie zgody

Jeżeli przetwarzamy Państwa dane osobowe na podstawie zgody (art. 6 ust. 1 lit. a RODO), mogą Państwo w każdej chwili wycofać zgodę ze skutkiem na przyszłość. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed jej wycofaniem. Prosimy pamiętać, że część przetwarzania może odbywać się nie na podstawie zgody, lecz np. w celu wykonania umowy (art. 6 ust. 1 lit. b RODO) lub na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO).

• Jak wycofać zgodę: mogą Państwo wycofać zgodę w dowolnej formie, kontaktując się z nami poprzez dane wskazane w punkcie 2.
• Skutek: wycofanie działa na przyszłość; wcześniejsze przetwarzanie pozostaje zgodne z prawem.
• Konsekwencje: w przypadku wycofania zgody niektóre opcjonalne funkcje/usługi mogą nie być dostępne, jeśli ich działanie wymaga zgody.
• Google Ads (pomiar konwersji): jeżeli wyrazili Państwo zgodę na Google Ads, mogą ją Państwo w każdej chwili wycofać poprzez „Ustawienia cookies” w stopce (zob. punkt 10).

22. Prawo sprzeciwu (art. 21 RODO)

Jeżeli przetwarzamy dane osobowe na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), mają Państwo prawo wnieść w dowolnym momencie sprzeciw – z przyczyn związanych z Państwa szczególną sytuacją – wobec takiego przetwarzania. Po wniesieniu sprzeciwu nie będziemy dalej przetwarzać danych objętych sprzeciwem, chyba że wykażemy istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania nadrzędnych wobec Państwa interesów, praw i wolności albo gdy przetwarzanie służy ustaleniu, dochodzeniu lub obronie roszczeń.

• Sprzeciw wobec przetwarzania opartego na uzasadnionym interesie: dotyczy to w szczególności przetwarzania na potrzeby bezpieczeństwa IT, zapobiegania nadużyciom/oszustwom, analizy błędów oraz ochrony roszczeń (por. m.in. punkty 9, 17, 18, 19).
• Sprzeciw wobec marketingu bezpośredniego: jeżeli dane byłyby przetwarzane do celów marketingu bezpośredniego, mogą Państwo wnieść sprzeciw w każdej chwili bez podawania przyczyny. Aktualnie nie prowadzimy marketingu bezpośredniego/trackingu w portalu.
• Jak wnieść sprzeciw: prosimy o kontakt poprzez dane z punktu 2. W miarę możliwości prosimy o wskazanie Państwa szczególnej sytuacji (nie jest to jednak bezwzględnie wymagane).
• Weryfikacja sprzeciwu: dokonamy oceny i poinformujemy Państwa o wyniku.

23. Prawo do skargi do organu nadzorczego

Przysługuje Państwu prawo wniesienia skargi do właściwego organu nadzorczego ds. ochrony danych (art. 77 RODO), jeżeli uważają Państwo, że przetwarzanie Państwa danych osobowych narusza przepisy RODO. Prawo to przysługuje niezależnie od innych środków ochrony prawnej. Skargę mogą Państwo wnieść w szczególności do organu właściwego dla miejsca zwykłego pobytu, miejsca pracy lub miejsca domniemanego naruszenia. W przypadku korzystania z usług w Niemczech właściwe są organy ochrony danych w krajach związkowych (Landesdatenschutzbehörden).

• Brak warunku wstępnego: mogą Państwo złożyć skargę w każdym czasie; nie jest wymagane wcześniejsze skontaktowanie się z nami.
• Preferowany kontakt: zachęcamy jednak do wcześniejszego kontaktu z nami (punkt 2), aby umożliwić szybkie wyjaśnienie sprawy.
• Organ nadzorczy (Niemcy, siedziba administratora w NRW): Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW): https://www.ldi.nrw.de
• Informacja o wyniku: organ nadzorczy poinformuje Państwa o postępach i wyniku rozpatrzenia skargi.

24. Obowiązek podania danych

Korzystanie z portalu może wymagać podania określonych danych osobowych, abyśmy mogli świadczyć usługę oraz zapewnić dostęp do poszczególnych funkcji. Bez podania danych wymaganych technicznie lub umownie korzystanie z portalu albo niektórych funkcji może być niemożliwe lub ograniczone. Zakres danych wymaganych zależy w szczególności od tego, czy zakładają Państwo konto, uzupełniają profil, dodają/obsługują projekty, przesyłają dokumenty lub korzystają z funkcji płatnych.

• Dane wymagane do rejestracji i logowania: zazwyczaj są to imię i nazwisko, adres e-mail oraz hasło. Bez tych danych nie można utworzyć konta ani się zalogować.
• Dane dla funkcji podstawowych: w celu korzystania z określonych funkcji (np. projekty, zainteresowania/aplikacje, komunikacja, profil firmy/zespołu) mogą być wymagane dodatkowe informacje.
• Dokumenty/pliki: przesyłanie plików jest dobrowolne, ale może być konieczne do przedstawienia określonych informacji/załączników w portalu. Prosimy o przekazywanie wyłącznie danych niezbędnych.
• Płatności: w przypadku funkcji płatnych konieczne jest podanie danych niezbędnych do realizacji płatności; płatność jest obsługiwana przez Stripe (punkt 15).
• Skutki niepodania: brak danych wymaganych może uniemożliwić realizację umowy lub korzystanie z określonych funkcji.

25. Zautomatyzowane decyzje / profilowanie

Nie podejmujemy decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec Państwa skutki prawne lub w podobny sposób istotnie na Państwa wpływały (art. 22 RODO). Jeżeli w portalu wykorzystywane są elementy automatycznego przetwarzania (np. filtry techniczne, sortowanie, priorytetyzacja), służą one co do zasady zapewnieniu działania funkcji, bezpieczeństwa IT, zapobieganiu nadużyciom lub poprawie jakości. Takie mechanizmy nie muszą zastępować oceny lub decyzji człowieka. W razie pytań dotyczących działania takich procesów prosimy o kontakt (punkt 2).

• Brak decyzji z istotnym skutkiem podejmowanych wyłącznie automatycznie: nie stosujemy automatycznych decyzji w rozumieniu art. 22 RODO w sposób prowadzący do istotnych skutków.
• Możliwe automatyczne elementy w portalu: np. logika statusów, sortowania lub punktacje (scoring) dla celów prezentacji/prioritetyzacji, a także mechanizmy bezpieczeństwa i wykrywania nadużyć.
• Transparentność: w uzasadnionych przypadkach mogą Państwo zwrócić się o dodatkowe wyjaśnienia, o ile jest to prawnie dopuszczalne.

26. Transfer danych do państw trzecich

W przypadku korzystania z usług podmiotów zewnętrznych może dojść – w zależności od ich siedziby i rozwiązań technicznych – do przekazania danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego (EOG) („państw trzecich”) lub do uzyskania dostępu do danych z tych państw. W szczególności przy obsłudze płatności przez Stripe (punkt 15) oraz – jeżeli wyrazili Państwo zgodę – przy korzystaniu z Google Ads (pomiar konwersji) (punkt 10) możliwe jest przetwarzanie danych również poza EOG. To, czy i w jakim zakresie dochodzi do transferu do państwa trzeciego, zależy od konfiguracji oraz od konkretnego usługodawcy i jego podwykonawców. Jeżeli transfer do państwa trzeciego ma miejsce, zapewniamy spełnienie wymogów art. 44 i nast. RODO. Może to nastąpić np. na podstawie decyzji stwierdzającej odpowiedni stopień ochrony Komisji Europejskiej lub poprzez zastosowanie odpowiednich zabezpieczeń (w szczególności standardowych klauzul umownych). W razie potrzeby stosowane są dodatkowe środki techniczne i organizacyjne.

• Możliwi odbiorcy/usługodawcy: dostawcy płatności (np. Stripe), Google (Google Ads, jeżeli wyrazili Państwo zgodę) oraz – zależnie od konfiguracji – dostawcy infrastruktury, poczty e-mail, wsparcia/hostingu.
• Podstawa i zabezpieczenia: decyzja o odpowiednim stopniu ochrony lub odpowiednie zabezpieczenia (np. standardowe klauzule umowne UE) zgodnie z art. 44 i nast. RODO; ewentualnie dodatkowe środki.
• Informacje dodatkowe: na żądanie przekażemy – o ile to prawnie dopuszczalne – dodatkowe informacje o zastosowanych zabezpieczeniach (punkt 2).

27. Zmiany niniejszej polityki prywatności

Zastrzegamy sobie prawo do aktualizacji niniejszej polityki prywatności, jeżeli będzie to konieczne ze względu na zmiany przepisów, rozwój techniczny, zmiany naszych usług lub sposobu przetwarzania danych. Aktualna wersja jest zawsze dostępna w portalu. W przypadku istotnych zmian (w szczególności w razie pojawienia się nowych celów lub odbiorców) poinformujemy Państwa w odpowiedni sposób, np. poprzez komunikat w portalu lub e-mail, o ile będzie to wymagane. Zalecamy regularne zapoznawanie się z treścią polityki prywatności.

• Obowiązująca wersja: wiążąca jest wersja opublikowana w portalu.
• Istotne zmiany: w razie znaczących zmian informujemy w odpowiedniej formie.
• Data aktualizacji: data „Stan na dzień” wskazuje ostatnią aktualizację dokumentu.