Polityka prywatności

Administratorem danych osobowych jest:

Nazwa prawna

Mateusz Zatorski

Nazwa handlowa

Wybuduj

Adres siedziby

[Registered address — fill before public launch]

NIP

[NIP — fill before public launch]

REGON

[REGON — fill before public launch]

Kontakt ws. prywatności

kontakt@wybuduj.com

Administrator nie powołał Inspektora Ochrony Danych, ponieważ nie zachodzą przesłanki z art. 37 ust. 1 RODO. Wszelkie sprawy dotyczące ochrony danych obsługuje bezpośrednio administrator pod wskazanym powyżej adresem email.

• Dane konta — adres email; imię i nazwisko oraz adres URL awatara (wyłącznie jeśli Użytkownik loguje się przez Google); identyfikator Użytkownika w Supabase.
• Dane rozliczeniowe — identyfikator klienta w Polar, status Subskrypcji, kraj rozliczeniowy, cztery ostatnie cyfry oraz marka karty płatniczej (jeżeli udostępnione przez Polar). Pełne numery kart i kody CVV są przetwarzane wyłącznie przez Polar i jego procesorów płatniczych — nie trafiają do infrastruktury administratora. Faktury za Subskrypcję wystawia Polar jako sprzedawca rejestrowy i udostępnia je Użytkownikowi we własnym Portalu Klienta.
• Dane Aplikacji — treści wprowadzane przez Użytkownika do Aplikacji: nazwy i adresy inwestycji, planowane i faktyczne daty, budżety, statusy, faktury oraz notatki związane z budową.
• Dane techniczne — adres IP, ciąg user-agent, identyfikatory urządzenia i przeglądarki, znaczniki czasu, logi błędów oraz identyfikatory sesji, zbierane automatycznie przez serwer aplikacji, Supabase Auth oraz dostawcę hostingu.
• Dane komunikacyjne — treść wiadomości kierowanych przez Użytkownika do wsparcia oraz metadane tych wiadomości.

Dane uzyskujemy bezpośrednio od Użytkownika (rejestracja, treści wprowadzane w Aplikacji, wiadomości do wsparcia); od Polar po zakończeniu procesu płatności (potwierdzenie aktywnej Subskrypcji oraz ograniczone dane rozliczeniowe niezbędne do prowadzenia Konta i wystawienia ewentualnych refundacji); oraz od Google (jeżeli Użytkownik korzysta z logowania Google: adres email, imię i nazwisko, zdjęcie profilowe, na podstawie zgody udzielonej przez Użytkownika Google).

• Wykonanie umowy — świadczenie Aplikacji, utworzenie i uwierzytelnianie Konta, obsługa Subskrypcji, wsparcie klienta. Podstawa prawna: art. 6 ust. 1 lit. b RODO.
• Wypełnianie obowiązków prawnych — wystawianie i przechowywanie faktur oraz dokumentacji księgowej, obowiązki podatkowe, odpowiadanie na uzasadnione żądania uprawnionych organów publicznych, obowiązki wynikające z prawa konsumenckiego. Podstawa prawna: art. 6 ust. 1 lit. c RODO w związku z ustawą o VAT, ustawą o rachunkowości, Ordynacją podatkową, ustawą o prawach konsumenta i Kodeksem cywilnym.
• Prawnie uzasadnione interesy administratora — zapewnienie bezpieczeństwa i integralności Aplikacji (w tym przeciwdziałanie nadużyciom i wykrywanie oszustw), ustalanie, dochodzenie i obrona roszczeń, administracja wewnętrzna oraz podstawowa nieprofilowana analityka produktu. Podstawa prawna: art. 6 ust. 1 lit. f RODO. Użytkownikowi przysługuje prawo sprzeciwu na podstawie art. 21 RODO.
• Zgoda — jeżeli przetwarzanie odbywa się na podstawie zgody, zgoda taka może zostać wycofana w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem. Podstawa prawna: art. 6 ust. 1 lit. a RODO. Aplikacja nie prowadzi obecnie kampanii marketingowych ani nie wykorzystuje plików cookie innych niż niezbędne.

Podanie danych osobowych jest dobrowolne, ale niezbędne do utworzenia Konta i korzystania z Aplikacji. Bez danych konta i danych rozliczeniowych administrator nie może zawrzeć ani wykonywać umowy.

Dane osobowe są ujawniane następującym kategoriom odbiorców wyłącznie w zakresie niezbędnym do realizacji wymienionych powyżej celów:

• Supabase, Inc. (Stany Zjednoczone) — hosting bazy danych, uwierzytelnianie i przechowywanie. Działa jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych.
• Polar Software Inc. (Stany Zjednoczone) — sprzedawca rejestrowy (merchant of record) odpowiedzialny za sprzedaż Subskrypcji Użytkownikowi. Polar zawiera z Użytkownikiem własną umowę dotyczącą płatności, pobiera odpowiednie podatki pośrednie, wystawia fakturę i obsługuje refundacje, posługując się siecią dostawców płatności do realizacji transakcji oraz przeciwdziałania oszustwom. W odniesieniu do tej relacji Polar działa jako niezależny administrator danych rozliczeniowych; administrator Aplikacji otrzymuje od Polar wyłącznie identyfikator klienta, status Subskrypcji oraz ograniczone dane rozliczeniowe niezbędne do prowadzenia Konta.
• Vercel, Inc. (Stany Zjednoczone) — hosting i dystrybucja treści Aplikacji. Działa jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych.
• Google LLC (Stany Zjednoczone) — wyłącznie wtedy, gdy Użytkownik korzysta z logowania Google (OAuth). Google przetwarza dane uwierzytelniające zgodnie z własną polityką prywatności. Administrator otrzymuje od Google adres email Użytkownika, imię i nazwisko oraz adres URL awatara.
• Organy podatkowe i inne organy publiczne — gdy administrator jest prawnie zobowiązany do udostępnienia danych (np. kontrole skarbowe, postanowienia sądu).
• Profesjonalni doradcy — księgowi i radcowie prawni, zobowiązani do zachowania poufności, w zakresie uzasadnionym celami administratora.

Administrator nie sprzedaje danych osobowych i nie udostępnia ich na potrzeby reklamy behawioralnej w wielu kontekstach. Administrator nie korzysta z sieci reklamowych ani trackerów.

Niektórzy odbiorcy wymienieni w sekcji 5 znajdują się w Stanach Zjednoczonych. Przekazywanie danych poza Europejski Obszar Gospodarczy odbywa się w oparciu o zabezpieczenia wymagane przez Rozdział V RODO:

• Vercel, Inc. oraz Google LLC posiadają certyfikację w ramach EU-U.S. Data Privacy Framework przyjętej decyzją wykonawczą Komisji (UE) 2023/1795. Przekazywanie danych do tych podmiotów odbywa się na podstawie art. 45 RODO (decyzja stwierdzająca odpowiedni stopień ochrony).
• Supabase, Inc. oraz Polar Software Inc. nie posiadają certyfikacji w ramach Data Privacy Framework. Przekazywanie danych do tych podmiotów odbywa się na podstawie Standardowych Klauzul Umownych przyjętych decyzją wykonawczą Komisji (UE) 2021/914 (art. 46 ust. 2 lit. c RODO), uzupełnionych o środki techniczne, umowne i organizacyjne. Niezależnie od powyższego, w zakresie, w jakim przekazywanie danych Użytkownika do Polar jest niezbędne do wykonania umowy o świadczenie Subskrypcji zawieranej przez Użytkownika bezpośrednio z Polar, dodatkową podstawą jest art. 49 ust. 1 lit. b RODO.

Administrator przechowuje dane Aplikacji na terenie Unii Europejskiej. Kopia Standardowych Klauzul Umownych oraz dodatkowe informacje na temat stosowanych zabezpieczeń są dostępne na żądanie pod adresem kontakt@wybuduj.com.

• Dane konta i dane Aplikacji — przechowywane przez okres trwania Subskrypcji oraz do 30 dni po jej zakończeniu, aby umożliwić Użytkownikowi eksport danych na żądanie. Po tym okresie dane są usuwane z systemów produkcyjnych, a kopie zapasowe są kasowane w ramach cyklu rotacyjnego w ciągu kolejnych 30 dni.
• Dokumentacja rozliczeniowa i księgowa — przechowywana przez 5 lat od końca roku kalendarzowego, w którym powstał obowiązek podatkowy (art. 86 Ordynacji podatkowej), lub dłużej, jeżeli przepisy wymagają dłuższego okresu.
• Dane niezbędne do dochodzenia roszczeń — przechowywane przez okres przedawnienia właściwy zgodnie z Kodeksem cywilnym (co do zasady do 6 lat dla roszczeń umownych; do 3 lat dla świadczeń okresowych, takich jak opłaty subskrypcyjne).
• Logi serwerowe i logi bezpieczeństwa — przechowywane przez okres do 90 dni, chyba że ich zachowanie jest niezbędne do wyjaśnienia incydentu bezpieczeństwa.

Z zastrzeżeniem warunków określonych w RODO Użytkownikowi przysługuje prawo do:

• dostępu do swoich danych osobowych (art. 15 RODO);
• żądania sprostowania danych nieprawidłowych lub niekompletnych (art. 16 RODO);
• żądania usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO);
• żądania ograniczenia przetwarzania (art. 18 RODO);
• otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłania ich innemu administratorowi (art. 20 RODO);
• wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionych interesach administratora (art. 21 RODO);
• wycofania zgody w dowolnym momencie, jeżeli przetwarzanie opiera się na zgodzie (art. 7 ust. 3 RODO), bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem.

Żądania należy kierować na adres kontakt@wybuduj.com. Administrator udziela odpowiedzi bez zbędnej zwłoki, jednak nie później niż w terminie jednego miesiąca od otrzymania żądania, z zastrzeżeniem możliwości przedłużenia i warunków przewidzianych w art. 12 RODO.

Użytkownikowi przysługuje prawo wniesienia skargi do organu nadzorczego. W Polsce właściwym organem jest Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, Warszawa, uodo.gov.pl. Użytkownicy z miejscem zwykłego pobytu w innym państwie członkowskim UE/EOG mogą wnieść skargę do organu nadzorczego właściwego dla państwa swojego pobytu.

Administrator nie podejmuje wobec Użytkownika zautomatyzowanych decyzji, w tym opartych na profilowaniu, które wywołują skutki prawne lub w podobny sposób istotnie wpływają na Użytkownika w rozumieniu art. 22 RODO. Administrator nie wdraża w ramach Aplikacji systemów sztucznej inteligencji objętych zakresem rozporządzenia (UE) 2024/1689 (AI Act). W razie zmiany tego stanu Użytkownik zostanie poinformowany z wyprzedzeniem, a wszelkie wymagane informacje lub zgody zostaną zebrane.

Aplikacja wykorzystuje wyłącznie ściśle niezbędne pliki cookie oraz równoważne mechanizmy przechowywania, wymagane do świadczenia usługi wyraźnie żądanej przez Użytkownika: plik cookie sesji obsługiwany przez Supabase Auth, token zabezpieczenia CSRF oraz plik cookie preferencji języka. Nie wymagają one zgody w rozumieniu art. 173 ustawy Prawo komunikacji elektronicznej (transponującej dyrektywę ePrivacy).

Aplikacja nie wykorzystuje plików cookie analitycznych ani reklamowych, ani trackerów podmiotów trzecich. Polar i Google mogą zapisywać własne pliki cookie na własnych stronach (Polar Checkout, Portal Klienta Polar oraz strona logowania Google) na warunkach określonych przez te podmioty; administrator nie sprawuje kontroli nad tymi plikami cookie i odsyła Użytkownika do polityk prywatności Polar i Google.

Administrator stosuje odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 RODO, w tym: szyfrowanie w transporcie (TLS) oraz w spoczynku, kontrolę dostępu opartą na rolach, ochronę na poziomie wierszy w bazie danych (RLS), zasadę minimalnych uprawnień, zarządzanie sekretami, odseparowanie środowisk produkcyjnego i deweloperskiego, uwierzytelnianie wieloskładnikowe dla dostępu administracyjnego, regularne kopie zapasowe oraz korzystanie z podwykonawców posiadających uznane certyfikaty bezpieczeństwa (np. SOC 2 Type 2 i ISO/IEC 27001).

Aplikacja nie jest skierowana do dzieci. Administrator nie zbiera świadomie danych osobowych osób poniżej 16. roku życia, czyli wieku zgody cyfrowej ustalonego przez Polskę na podstawie art. 8 ust. 1 RODO. Jeżeli administrator dowie się, że dane osoby poniżej 16. roku życia zostały zebrane bez zgody rodzica lub opiekuna, dane te zostaną usunięte bez zbędnej zwłoki.

Niniejsza sekcja stosuje się dodatkowo, obok pozostałej części Polityki, do mieszkańców Kalifornii zgodnie z California Consumer Privacy Act zmienioną przez California Privacy Rights Act (łącznie „CCPA”).

Kategorie zbieranych informacji osobowych. W ciągu ostatnich 12 miesięcy zbieraliśmy następujące kategorie informacji osobowych zdefiniowane w Cal. Civ. Code s 1798.140: identyfikatory (email, adres IP, identyfikatory internetowe); informacje handlowe (historia Subskrypcji); aktywność w internecie lub innej sieci elektronicznej (logi); oraz treści wprowadzane przez Użytkownika w Aplikacji.

Kategorie źródeł. Bezpośrednio od Użytkownika; od Polar (potwierdzenie Subskrypcji i ograniczone dane rozliczeniowe); z Google (jeżeli wykorzystywane jest logowanie Google); automatycznie z urządzenia i przeglądarki Użytkownika.

Cele biznesowe i handlowe. Świadczenie Aplikacji; wykonanie umowy Subskrypcji; bezpieczeństwo; zgodność z przepisami prawa. Nie wykorzystujemy danych wrażliwych w celach innych niż dozwolone w Cal. Civ. Code s 1798.121(d) bez umożliwienia skorzystania z prawa do ograniczenia.

Brak sprzedaży lub udostępniania na potrzeby reklamy behawioralnej w wielu kontekstach. Nie sprzedajemy informacji osobowych ani nie udostępniamy ich na potrzeby reklamy behawioralnej w wielu kontekstach w rozumieniu CCPA. Nie robiliśmy tego również w ciągu ostatnich 12 miesięcy.

Kategorie podmiotów trzecich, którym ujawniane są informacje osobowe w celach biznesowych. Dostawcy usług wymienieni w sekcji 5 (Supabase, Polar, Vercel, Google) oraz doradcy podatkowi, księgowi i prawni — każdy na podstawie pisemnej umowy ograniczającej wykorzystanie danych do określonych celów biznesowych.

Twoje prawa jako mieszkańca Kalifornii. Masz prawo do: (i) wiedzy, jakie kategorie informacji osobowych są zbierane i w jaki sposób są wykorzystywane; (ii) żądania dostępu do swoich informacji osobowych i otrzymania ich kopii; (iii) żądania usunięcia informacji osobowych; (iv) sprostowania nieprawidłowych informacji osobowych; (v) rezygnacji ze sprzedaży lub udostępniania na potrzeby reklamy behawioralnej w wielu kontekstach (nie prowadzimy żadnej z tych aktywności); (vi) ograniczenia wykorzystania wrażliwych informacji osobowych; (vii) braku odwetu za skorzystanie z któregokolwiek z tych praw. Aby skorzystać z tych praw, skontaktuj się z nami pod adresem kontakt@wybuduj.com. Zweryfikujemy żądanie na podstawie informacji już znajdujących się w naszych rejestrach i odpowiemy w ciągu 45 dni, z możliwością przedłużenia zgodnie z CCPA. Możesz skorzystać z upoważnionego pełnomocnika.

Global Privacy Control. Nasza Aplikacja nie jest skonfigurowana do sprzedaży ani udostępniania informacji osobowych, więc obecnie sygnał Global Privacy Control w przeglądarce nie ma czego wyłączać. Jeżeli kiedykolwiek wprowadzimy udostępnianie związane z reklamą, traktować będziemy ważne sygnały opt-out jako żądanie rezygnacji dla danej przeglądarki i urządzenia.

Shine the Light (Cal. Civ. Code s 1798.83). Nie udostępniamy informacji osobowych podmiotom trzecim na potrzeby ich własnego marketingu bezpośredniego.

Mieszkańcy stanów, które przyjęły kompleksowe ustawy o prywatności (m.in. Wirginia, Kolorado, Connecticut, Utah, Teksas, Floryda, Oregon, Montana, Iowa, Indiana, Tennessee, Delaware, New Jersey, New Hampshire, Minnesota, Maryland, Rhode Island, Kentucky i Nebraska) co do zasady mają prawa porównywalne z opisanymi w sekcji 14: do potwierdzenia przetwarzania, dostępu, sprostowania, usunięcia, otrzymania przenośnej kopii, rezygnacji z reklamy ukierunkowanej, sprzedaży lub niektórych form profilowania oraz do odwołania się od odmownej decyzji. Aby skorzystać z tych praw, prosimy o kontakt na adres kontakt@wybuduj.com. Odpowiadamy w terminach przewidzianych przez właściwe prawo stanowe i zapewniamy mechanizm odwoławczy tam, gdzie jest to wymagane.

Administrator obecnie nie wysyła newsletterów marketingowych ani wiadomości promocyjnych. Użytkownik otrzymuje wyłącznie wiadomości transakcyjne niezbędne do obsługi Aplikacji i Subskrypcji: linki logowania, potwierdzenia płatności i faktury, powiadomienia o bezpieczeństwie i serwisie oraz odpowiedzi na zgłoszenia do wsparcia. Jeżeli wprowadzimy komunikację marketingową, będzie ona oparta na zgodzie (opt-in), a Użytkownik będzie mógł zrezygnować z niej w dowolnym momencie.

Administrator prowadzi proces obsługi incydentów. W razie naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO administrator zgłasza naruszenie organowi nadzorczemu bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od jego stwierdzenia, zgodnie z art. 33 RODO. Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw i wolności, dotknięci Użytkownicy zostaną powiadomieni zgodnie z art. 34 RODO.

Administrator może okresowo aktualizować niniejszą Politykę. Data widniejąca na górze strony odzwierciedla najnowszą wersję. Istotne zmiany będą komunikowane aktywnym Użytkownikom mailem co najmniej 14 dni przed ich wejściem w życie. Dalsze korzystanie z Aplikacji po dacie wejścia w życie stanowi przyjęcie do wiadomości zaktualizowanej Polityki; w przypadku zmian wymagających zgody zgoda zostanie zebrana odrębnie.

W każdej sprawie dotyczącej prywatności — pytania, żądania, reklamacji lub zastrzeżenia — można kontaktować się z administratorem pod adresem kontakt@wybuduj.com lub na adres siedziby wskazany w sekcji 1.