Polityka prywatności i ochrona danych osobowych

Ostatnia aktualizacja: styczeń 2026

1. Administrator danych

Construction Hub jest chmurową platformą do zarządzania projektami budowlanymi świadczoną jako usługa (SaaS). Na potrzeby rozporządzenia (UE) 2016/679 (RODO) administratorem danych jest podmiot prawny wskazany w sekcji 17 niniejszej polityki.

  • Administrator określa cele i sposoby przetwarzania danych osobowych zbieranych za pośrednictwem Platformy.
  • Gdy Klient (osoba prawna) korzysta z Platformy do zarządzania danymi swoich pracowników, podwykonawców lub partnerów, Klient pełni rolę niezależnego administratora tych danych, a Construction Hub działa jako podmiot przetwarzający w rozumieniu art. 28 RODO.
  • Relacja między Construction Hub a Klientem jako podmiotem przetwarzającym jest regulowana umową powierzenia przetwarzania danych (DPA), będącą integralną częścią umowy abonamentowej.

2. Definicje

Na potrzeby niniejszej Polityki prywatności:

  • „Dane osobowe" -- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której dane dotyczą).
  • „Przetwarzanie" -- każda operacja wykonywana na danych osobowych: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, dostosowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, usuwanie lub niszczenie.
  • „Osoba, której dane dotyczą" -- osoba fizyczna, której dane osobowe są przetwarzane (użytkownicy, pracownicy klientów, osoby kontaktowe partnerów).
  • „Podmiot przetwarzający" -- osoba przetwarzająca dane osobowe w imieniu administratora.
  • „Podpodmiot przetwarzający" -- podmiot trzeci, któremu podmiot przetwarzający powierzył część przetwarzania.
  • „Naruszenie ochrony danych osobowych" -- naruszenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

3. Zakres i zastosowanie

Niniejsza Polityka prywatności ma zastosowanie do:

  • Wszystkich osób, które odwiedzają stronę constructionhub.bg.
  • Użytkowników, którzy zakładają konto i korzystają z Platformy.
  • Osób kontaktowych osób prawnych -- klientów, dostawców i partnerów, których dane są wprowadzane do Platformy.
  • Osób, które kontaktują się z nami za pośrednictwem formularza kontaktowego, e-maila lub innych kanałów.
  • Pracowników i przedstawicieli firm klientów, których dane są przetwarzane w ramach umowy abonamentowej.

Niniejsza Polityka nie ma zastosowania do danych zanonimizowanych ani zagregowanych, które nie pozwalają na identyfikację osoby fizycznej.

4. Kategorie zbieranych danych osobowych

4.1. Dane identyfikacyjne i kontaktowe

Podczas rejestracji i korzystania z Platformy zbieramy:

  • Imię i nazwisko użytkownika.
  • Służbowy adres e-mail.
  • Numer telefonu (jeśli został podany).
  • Nazwę firmy, numer rejestracyjny i adres podmiotu Klienta.
  • Stanowisko/rolę w organizacji.

4.2. Dane techniczne

Automatycznie zbierane podczas dostępu do Platformy:

  • Adres IP i przybliżona lokalizacja geograficzna (poziom kraj/miasto).
  • Typ i wersja przeglądarki, system operacyjny.
  • Identyfikatory urządzeń.
  • Data, godzina i czas trwania sesji.
  • Odwiedzone strony i wykorzystane funkcje.

4.3. Dane biznesowe

W toku pracy z Platformą mogą być przetwarzane:

  • Dane z faktur, umów, ofert i innych dokumentów wprowadzonych przez Klienta.
  • Imiona, nazwiska i kontakty pracowników, podwykonawców i partnerów wprowadzone przez Klienta.
  • Informacje finansowe (rachunki bankowe, kwoty faktur) wprowadzone przez Klienta.
  • Dane o placach budów, kosztorysach i stanach magazynowych.

Ważne: w odniesieniu do danych biznesowych wprowadzonych przez Klienta to Klient jest administratorem danych. Construction Hub przetwarza te dane wyłącznie na polecenie Klienta i na podstawie umowy powierzenia przetwarzania danych.

4.4. Dane płatnicze

Do obsługi płatności abonamentowych:

  • Construction Hub NIE przechowuje pełnych numerów kart bankowych.
  • Płatności obsługuje certyfikowany operator płatności (Stripe), zgodny ze standardem PCI DSS Level 1.
  • Przechowujemy wyłącznie: ostatnie 4 cyfry karty, typ karty, datę ważności oraz identyfikator transakcji.

5. Cele i podstawy prawne przetwarzania

Przetwarzamy dane osobowe wyłącznie wtedy, gdy istnieje ważna podstawa prawna zgodnie z art. 6 ust. 1 RODO:

5.1. Wykonanie umowy (art. 6 ust. 1 lit. b)

  • Tworzenie i zarządzanie kontami użytkowników.
  • Świadczenie usługi abonamentowej i wsparcia technicznego.
  • Obsługa płatności i wystawianie faktur.
  • Komunikacja dotycząca usługi (powiadomienia systemowe, zmiany regulaminu).

5.2. Prawnie uzasadniony interes (art. 6 ust. 1 lit. f)

Po dokonaniu testu równowagi zapewniającego, że nasz interes nie przeważa nad prawami osoby, której dane dotyczą:

  • Ulepszanie Platformy poprzez analizę użytkowania (dane zagregowane).
  • Zapewnienie bezpieczeństwa -- wykrywanie nieautoryzowanego dostępu, nadużyć i cyberataków.
  • Zapobieganie oszustwom i nadużyciom w usłudze.
  • Raportowanie wewnętrzne i audyt.

5.3. Obowiązek prawny (art. 6 ust. 1 lit. c)

  • Przechowywanie dokumentów księgowych zgodnie z ustawą o rachunkowości (10 lat).
  • Udostępnianie danych, gdy wymaga tego prawo lub postanowienie właściwego organu.
  • Wypełnianie obowiązków podatkowych.

5.4. Zgoda (art. 6 ust. 1 lit. a)

Tylko wtedy, gdy nie ma zastosowania inna podstawa prawna:

  • Wysyłanie komunikacji marketingowej i newsletterów (z prawem do rezygnacji w dowolnym momencie).
  • Korzystanie z opcjonalnych plików cookie do celów analitycznych i reklamowych.
  • Udział w badaniach satysfakcji i ankietach.

Zgoda może być wycofana w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem.

6. Pliki cookie i technologie śledzące

Wykorzystujemy następujące kategorie plików cookie:

6.1. Ściśle niezbędne (bez wymaganej zgody)

  • Pliki sesyjne do uwierzytelniania i utrzymania sesji użytkownika.
  • Pliki cookie ochrony CSRF (bezpieczeństwo formularzy).
  • Pliki cookie zapamiętujące preferencje językowe.

6.2. Analityczne (za zgodą)

  • Google Analytics -- do analizy ruchu i zachowań odwiedzających.
  • Wewnętrzna analityka -- w celu ulepszania doświadczenia użytkownika.

6.3. Zarządzanie plikami cookie

Plikami cookie możesz zarządzać przez ustawienia przeglądarki lub poprzez baner cookie wyświetlany przy pierwszej wizycie. Wyłączenie ściśle niezbędnych plików cookie może ograniczyć funkcjonalność Platformy.

7. Okres przechowywania danych

Przechowujemy dane osobowe wyłącznie tak długo, jak jest to konieczne do celu, w którym zostały zebrane:

  • Dane konta -- do zakończenia subskrypcji plus 30 dni na eksport danych.
  • Dane biznesowe Klienta -- do zakończenia umowy plus 30 dni na eksport, po czym są trwale usuwane.
  • Dokumenty księgowe -- 10 lat zgodnie z ustawą o rachunkowości.
  • Logi bezpieczeństwa -- do 12 miesięcy.
  • Zgoda marketingowa -- do wycofania przez osobę, której dane dotyczą.
  • Dane z formularza kontaktowego -- do 6 miesięcy od rozwiązania sprawy.
  • Kopie zapasowe -- do 90 dni, po czym są automatycznie nadpisywane.

Po upływie okresów przechowywania dane są usuwane lub nieodwracalnie anonimizowane. W przypadku sporu lub roszczenia prawnego dane mogą być przechowywane do prawomocnego zakończenia postępowania.

8. Udostępnianie danych podmiotom trzecim

Nie sprzedajemy, nie wynajmujemy ani nie handlujemy danymi osobowymi. Udostępniamy dane wyłącznie w następujących przypadkach:

8.1. Podpodmioty przetwarzające

Korzystamy z zaufanych dostawców usług w celu świadczenia usługi, z którymi zawarliśmy umowy zgodnie z art. 28 RODO:

  • Hosting i infrastruktura -- do przechowywania danych na serwerach w UE.
  • Usługi płatnicze (Stripe) -- do obsługi płatności abonamentowych.
  • Usługi e-mail -- do wysyłania wiadomości systemowych i transakcyjnych.
  • Przetwarzanie AI (OpenAI) -- do inteligentnego rozpoznawania dokumentów (patrz sekcja 12).
  • Monitorowanie i śledzenie błędów -- w celu zapewnienia stabilności usługi.

8.2. Wymogi prawne

Możemy ujawnić dane osobowe, gdy wymaga tego:

  • Obowiązujące przepisy lub akt regulacyjny.
  • Postanowienie sądu lub akt właściwego organu.
  • Ochrona praw, mienia lub bezpieczeństwa Construction Hub, jego użytkowników lub osób trzecich.

9. Międzynarodowy transfer danych

Twoje dane są przechowywane na serwerach w Unii Europejskiej.

  • Gdy transfer poza EOG jest niezbędny (np. do podpodmiotów przetwarzających w USA), zapewniamy odpowiedni poziom ochrony za pomocą Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską (decyzja 2021/914).
  • Przetwarzanie AI (OpenAI) może wiązać się z transferem do USA. OpenAI jest certyfikowany w ramach EU-US Data Privacy Framework i stosuje dodatkowe techniczne środki ochrony.
  • Przed każdym transferem przeprowadzamy ocenę skutków transferu (TIA) zgodnie z wytycznymi EROD.
  • Lista podpodmiotów przetwarzających i ich lokalizacji jest dostępna na żądanie pod adresem info@constructionhub.bg.

10. Twoje prawa zgodnie z RODO

Na mocy rozporządzenia (UE) 2016/679 przysługują Ci następujące prawa:

Prawo dostępu (art. 15)

Masz prawo uzyskać potwierdzenie, czy Twoje dane osobowe są przetwarzane, dostęp do nich oraz informacje o celach, kategoriach danych, odbiorcach i okresie przechowywania.

Prawo do sprostowania (art. 16)

Masz prawo żądać sprostowania niedokładnych danych osobowych lub uzupełnienia danych niekompletnych bez zbędnej zwłoki.

Prawo do usunięcia (art. 17)

Masz prawo żądać usunięcia swoich danych osobowych, gdy: dane nie są już niezbędne do celu; wycofujesz zgodę; wnosisz sprzeciw wobec przetwarzania; lub dane były przetwarzane niezgodnie z prawem. Prawo to nie ma zastosowania, gdy przetwarzanie jest konieczne do wypełnienia obowiązku prawnego.

Prawo do ograniczenia (art. 18)

Masz prawo żądać ograniczenia przetwarzania, gdy kwestionujesz dokładność danych, przetwarzanie jest niezgodne z prawem lub zgłosiłeś sprzeciw wobec przetwarzania w oczekiwaniu na weryfikację.

Prawo do przenoszenia danych (art. 20)

Masz prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie (JSON, CSV) oraz przesłać je innemu administratorowi. Platforma udostępnia funkcję eksportu danych z panelu użytkownika.

Prawo do sprzeciwu (art. 21)

Masz prawo wnieść sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie. W przypadku sprzeciwu zaprzestaniemy przetwarzania, chyba że wykażemy istnienie ważnych, prawnie uzasadnionych podstaw nadrzędnych wobec Twoich interesów. W dowolnym momencie i bezwarunkowo możesz wnieść sprzeciw wobec przetwarzania w celach marketingu bezpośredniego.

Prawo do niepodlegania zautomatyzowanym decyzjom (art. 22)

Masz prawo, by nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, która wywołuje wobec Ciebie skutki prawne. Construction Hub nie podejmuje zautomatyzowanych decyzji o skutkach prawnych bez udziału człowieka.

11. Realizacja praw

Aby skorzystać z któregokolwiek z praw, możesz skontaktować się z nami w następujący sposób:

  • E-mail: info@constructionhub.bg (z tematem „Żądanie RODO").
  • Przez formularz kontaktowy na constructionhub.bg/contact.
  • Listownie na adres wskazany w sekcji 17.

W trosce o Twoje bezpieczeństwo możemy poprosić o weryfikację tożsamości przed rozpatrzeniem żądania.

Odpowiadamy na każde żądanie w terminie 30 dni. W przypadku skomplikowanego charakteru lub wielu żądań termin może zostać przedłużony o maksymalnie 60 dni, o czym zostaniesz powiadomiony.

Realizacja praw jest bezpłatna. W przypadku ewidentnie nieuzasadnionych lub nadmiernych żądań (w szczególności z powodu ich powtarzalności) możemy nałożyć rozsądną opłatę lub odmówić działania.

12. Przetwarzanie AI i zautomatyzowane podejmowanie decyzji

Platforma wykorzystuje sztuczną inteligencję (AI) do następujących celów:

  • Automatyczne rozpoznawanie i ekstrakcja danych ze skanowanych dokumentów (faktury, kosztorysy, protokoły).
  • Inteligentne dopasowywanie pozycji nomenklatury za pomocą wektorów semantycznych (embeddings).
  • Sugestie kategoryzacji i klasyfikacji dokumentów.

Zabezpieczenia dla przetwarzania AI

  • Wyniki AI są zawsze sugestiami -- ostateczna decyzja należy do użytkownika, który przegląda i akceptuje/odrzuca wyniki.
  • Nie są podejmowane zautomatyzowane decyzje o skutkach prawnych lub znacznych skutkach bez udziału człowieka.
  • Dokumenty wysyłane do przetwarzania AI są przetwarzane w czasie rzeczywistym i nie są przechowywane przez dostawcę AI do trenowania modeli.
  • Przetwarzanie AI może wiązać się z transferem danych do podpodmiotu przetwarzającego (OpenAI), jak opisano w sekcji 9.
  • Masz prawo w dowolnym momencie zażądać interwencji człowieka lub odmówić przetwarzania AI.

13. Ochrona danych w fazie projektowania i domyślna

Zgodnie z art. 25 RODO stosujemy zasady Privacy by Design oraz Privacy by Default:

  • Minimalizacja danych -- zbieramy wyłącznie dane niezbędne do określonego celu.
  • Izolacja danych (multi-tenancy) -- dane każdego Klienta są ściśle izolowane na poziomie bazy danych. Żaden Klient nie może uzyskać dostępu do danych innego Klienta.
  • Kontrola dostępu oparta na rolach (RBAC) -- każdy użytkownik uzyskuje dostęp wyłącznie do tych danych, do których ma uprawnienia nadane przez Administratora konta.
  • Domyślne szyfrowanie -- wszystkie dane są szyfrowane w transmisji (TLS 1.3) i w spoczynku.
  • Ślad audytu -- każda czynność użytkownika jest rejestrowana w celu zapewnienia rozliczalności.
  • Pseudonimizacja -- gdy to możliwe, używamy wewnętrznych identyfikatorów zamiast bezpośrednich danych osobowych.

14. Techniczne i organizacyjne środki bezpieczeństwa

Stosujemy następujące środki zgodnie z art. 32 RODO:

14.1. Środki techniczne

  • Szyfrowanie danych w transmisji za pomocą TLS 1.3 i HSTS.
  • Szyfrowanie danych w spoczynku (AES-256) dla baz danych i kopii zapasowych.
  • Uwierzytelnianie wieloskładnikowe (MFA) dla dostępu administracyjnego.
  • Web Application Firewall (WAF) i ochrona przed DDoS.
  • Automatyczne wykrywanie anomalii i podejrzanej aktywności.
  • Regularne skanowanie podatności i testy penetracyjne.
  • Regularne automatyczne kopie zapasowe z replikacją geograficzną.

14.2. Środki organizacyjne

  • Zasada najmniejszych uprawnień przy dostępie pracowników.
  • Szkolenia pracowników w zakresie ochrony danych.
  • Polityka zarządzania incydentami dotyczącymi danych osobowych.
  • Regularne przeglądy i aktualizacje środków bezpieczeństwa.
  • Umowy o poufności z wszystkimi pracownikami i podwykonawcami.

15. Powiadomienie o naruszeniu

W przypadku naruszenia ochrony danych osobowych:

  • Powiadamiamy Komisję ds. Ochrony Danych Osobowych (KZLD) w ciągu 72 godzin od stwierdzenia naruszenia, gdy może ono skutkować ryzykiem dla praw i wolności osób fizycznych (art. 33 RODO).
  • Powiadamiamy osoby, których dane dotyczą, bez zbędnej zwłoki, gdy naruszenie może skutkować wysokim ryzykiem (art. 34 RODO).
  • Dokumentujemy każde naruszenie, w tym fakty, konsekwencje i podjęte środki korygujące.
  • Gdy Construction Hub działa jako podmiot przetwarzający, powiadamiamy Klienta (administratora) bez zbędnej zwłoki, aby mógł on wypełnić swoje obowiązki informacyjne.

16. Inspektor Ochrony Danych (IOD)

W sprawach dotyczących ochrony danych osobowych możesz skontaktować się z naszym Inspektorem Ochrony Danych:

  • E-mail: info@constructionhub.bg
  • Temat: „IOD / Ochrona danych"
  • IOD rozpatruje wszystkie zapytania i wnioski dotyczące przetwarzania danych osobowych oraz koordynuje realizację praw osób, których dane dotyczą.

17. Prawo do skargi i kontakt z organem nadzorczym

Jeśli uważasz, że przetwarzanie Twoich danych osobowych narusza RODO, masz prawo wnieść skargę do organu nadzorczego:

Komisja ds. Ochrony Danych Osobowych (KZLD)

  • Adres: ul. Prof. Cwetan Łazarow 2, Sofia 1592
  • Telefon: 02/91-53-518
  • E-mail: kzld@cpdp.bg
  • Strona internetowa: www.cpdp.bg

Zachęcamy, aby najpierw skontaktować się z nami pod adresem info@constructionhub.bg w celu bezpośredniego rozwiązania sprawy.

18. Dane dzieci

Construction Hub to platforma B2B przeznaczona dla osób prawnych i ich pracowników. Świadomie nie zbieramy danych osobowych od osób poniżej 16 roku życia. Jeśli stwierdzimy, że zebraliśmy dane dziecka, niezwłocznie je usuniemy. Jeśli uważasz, że dziecko przekazało dane osobowe za pośrednictwem Platformy, prosimy o kontakt pod adresem info@constructionhub.bg.

19. Zmiany Polityki prywatności

Zastrzegamy sobie prawo do aktualizacji niniejszej Polityki w przypadku:

  • Zmian obowiązujących przepisów lub wytycznych organu nadzorczego.
  • Zmian w usługach, funkcjach lub podpodmiotach przetwarzających.
  • Zmian technologicznych wymagających dostosowania środków ochrony.
  • Zaleceń wynikających z audytów lub ocen skutków.

O istotnych zmianach poinformujemy Cię pocztą e-mail lub powiadomieniem w Platformie co najmniej 30 dni wcześniej. Dalsze korzystanie z Platformy po wejściu zmian w życie stanowi akceptację zaktualizowanej Polityki.

20. Prawo właściwe i dane kontaktowe

Niniejsza Polityka prywatności podlega rozporządzeniu (UE) 2016/679 (RODO), bułgarskiej ustawie o ochronie danych osobowych oraz obowiązującym przepisom europejskim i krajowym.

Kontakt w sprawach ochrony danych:

  • E-mail: info@constructionhub.bg
  • Strona internetowa: constructionhub.bg
  • Temat: „Ochrona danych osobowych"

Używamy plików cookies, aby zapewnić prawidłowe funkcjonowanie platformy oraz poprawić jakość korzystania z niej. Dowiedz się więcej o plikach cookies