Polityka prywatności

1. Administrator i podmiot przetwarzający

Krahasso jest aplikacją typu software-as-a-service dla klientów biznesowych. W odniesieniu do danych konta i rejestracji, danych kontaktowych i logowania osób korzystających z aplikacji oraz technicznych danych dziennika administratorem w rozumieniu art. 4 pkt 7 RODO jest:

Email: [email protected]

W odniesieniu do danych projektów, protokołów suszenia, sprzętu i klientów końcowych, które nasi klienci biznesowi wprowadzają do aplikacji, to ci klienci biznesowi określają cele i sposoby przetwarzania. Są oni zatem administratorami, a Krahasso działa wyłącznie jako podmiot przetwarzający (art. 28 RODO) na ich udokumentowane polecenie na podstawie umowy powierzenia przetwarzania danych. Jeśli jesteś klientem końcowym jednego z naszych klientów biznesowych, prosimy o kierowanie żądań dotyczących tych danych do odpowiedzialnego za nie klienta biznesowego.

Inspektor ochrony danych nie jest wymagany na podstawie § 38 niemieckiej federalnej ustawy o ochronie danych (BDSG), ponieważ Krahasso jest prowadzone jako jednoosobowa działalność gospodarcza, która nie osiąga ustawowego progu. We wszystkich sprawach dotyczących ochrony danych można kontaktować się z nami pod adresem [email protected].

2. Jakie dane gromadzimy

Gromadzimy następujące kategorie danych osobowych w celu świadczenia naszych usług:

• Informacje o koncie — imię i nazwisko, adres e-mail oraz bezpiecznie zahaszowane hasło
• Dane projektowe — adresy projektów, status, daty zakończenia i notatki
• Użytkowanie sprzętu — rejestry przydziałów, daty zwrotów i szczegóły sprzętu
• Dane protokołu suszenia — odczyty pomiarów, poziomy wilgotności, rejestry wizyt oraz zdjęcia wykonane podczas inspekcji terenowych
• Dane głosowe — nagrania audio dokonywane za pośrednictwem asystenta głosowego w aplikacji. Nagrania są transkrybowane; plik audio jest automatycznie usuwany z systemu aktywnego najpóźniej w ciągu 30 dni od utworzenia, podczas gdy uzyskana transkrypcja pozostaje częścią historii rozmowy. Kopie utrzymywane w ramach naszego standardowego procesu kopii zapasowych są usuwane zgodnie z zasadami przechowywania i cyklu życia ujawnionymi w sekcji 5.
• Dane organizacji — nazwa firmy, logo, adres, dane kontaktowe oraz dane podatkowe i bankowe wykorzystywane do rozliczeń
• Dane techniczne — dane dziennika (takie jak adres IP i informacje o urządzeniu/aplikacji) niezbędne do bezpieczeństwa i rozwiązywania problemów, a także ściśle niezbędne pliki cookie sesji służące do utrzymania zalogowania. Nie używamy plików cookie analitycznych, śledzących ani reklamowych podmiotów trzecich.

3. Podstawa prawna przetwarzania (art. 6 RODO)

Przetwarzamy Twoje dane osobowe na następujących podstawach prawnych:

• Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — przetwarzanie jest niezbędne do świadczenia usług, które subskrybujesz
• Prawnie uzasadnione interesy (art. 6 ust. 1 lit. f RODO) — w celu zapewnienia bezpieczeństwa, zapobiegania nadużyciom oraz ulepszania Usługi, w oparciu o dane, dla których Krahasso jest administratorem (dane konta, dane logowania i kontaktowe, techniczne dane dziennika). Niniejsza podstawa nie obejmuje danych projektowych, danych protokołów osuszania, danych sprzętowych ani danych klientów końcowych przetwarzanych w imieniu klientów biznesowych; dane te są przetwarzane wyłącznie na udokumentowane polecenie administratora zgodnie z art. 28 RODO (zob. Sekcja 1).
• Zgoda (art. 6 ust. 1 lit. a RODO) — w przypadku wyrażenia wyraźnej zgody (np. na opcjonalną komunikację)
• Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — gdy przetwarzanie jest wymagane przez prawo

W zakresie, w jakim Krahasso działa jako podmiot przetwarzający (zob. sekcja 1), podstawę prawną przetwarzania odpowiednich danych określa dany klient biznesowy jako administrator, a nie Krahasso.

4. Cel przetwarzania danych

Twoje dane są wykorzystywane wyłącznie do następujących celów:

• Zarządzanie projektami budowlanymi i suszenia
• Śledzenie przydziałów i zwrotów sprzętu
• Rejestrowanie i raportowanie pomiarów protokołu suszenia
• Generowanie raportów projektowych
• Zapewnienie funkcji asystenta głosowego opartego na AI (transkrypcja i polecenia w języku naturalnym)
• Uwierzytelnianie Twojej tożsamości i zabezpieczanie Twojego konta

5. Przechowywanie danych

Przechowujemy dane osobowe tylko tak długo, jak jest to konieczne do realizacji celów opisanych powyżej.

W zakresie, w jakim Krahasso jest administratorem (dane konta, dane logowania i kontaktowe, dzienniki techniczne), dane te są trwale usuwane w ciągu 30 dni od anulowania konta, chyba że ustawowe obowiązki przechowywania stanowią inaczej.

W zakresie, w jakim Krahasso działa jako podmiot przetwarzający, dane projektów, protokołów suszenia, sprzętu i klientów końcowych są przetwarzane zgodnie z poleceniami klienta biznesowego jako administratora. Okres przechowywania jest określany przez klienta biznesowego; jeżeli klient biznesowy podlega ustawowym obowiązkom przechowywania (na przykład § 257 niemieckiego kodeksu handlowego HGB dla dokumentów handlowych lub § 147 niemieckiej Ordynacji podatkowej AO dla dokumentów istotnych podatkowo), zastosowanie tych obowiązków do żądania usunięcia należy do klienta biznesowego. Krahasso usuwa lub zwraca dane na jego polecenie. W ciągu 30 dni od zakończenia umowy powierzenia przetwarzania udostępniamy na żądanie klienta biznesowego pełny eksport danych w treści i formacie określonych w punkcie 7.5 Opisu Usługi (zob. § 13 umowy powierzenia); po upływie tego okresu dane są usuwane z aktywnego systemu zgodnie z umową powierzenia. Kopie zapasowe utrzymywane w ramach naszego standardowego procesu kopii zapasowych są ostatecznie usuwane przez zautomatyzowane reguły cyklu życia najpóźniej po 38 dniach.

Nieosobowe, zagregowane statystyki (na przykład łączna liczba projektów) mogą być przechowywane do celów raportowania wewnętrznego. Statystyki te nie zawierają informacji umożliwiających identyfikację osób.

6. Udostępnianie danych i przekazywanie

Twoje dane są dostępne tylko dla upoważnionych użytkowników na koncie Twojej organizacji.

Nie sprzedajemy ani nie wynajmujemy danych osobowych.

W celu obsługi Usługi korzystamy z zaufanych podmiotów przetwarzających dane zgodnie z art. 28 RODO:

• Hetzner Online GmbH (Niemcy/UE) — infrastruktura hostingowa i usługi przechowywania
• Amazon Web Services (AWS, region eu-central-1) — transakcyjna dostawa e-maili
• OpenAI Ireland Ltd (Irlandia/UE) — transkrypcja głosowa i przetwarzanie języka naturalnego oparte na AI. Nagrania audio są przesyłane do OpenAI w celu przetworzenia i nie są wykorzystywane przez OpenAI do szkolenia ich modeli. OpenAI Ireland może korzystać z OpenAI, L.L.C. (USA) jako podpodmiotu przetwarzającego; to dalsze przekazanie jest zabezpieczone standardowymi klauzulami umownymi UE. Obowiązuje polityka wykorzystania danych OpenAI (patrz openai.com/policies/usage-policies).
• Google Ireland Limited (Irlandia/UE) — nasza aplikacja mobilna wykorzystuje SDK Google Maps do wyświetlania lokalizacji projektów na mapie oraz Firebase Cloud Messaging do dostarczania powiadomień push. Podczas korzystania z tych funkcji Google może gromadzić dane techniczne, takie jak adres IP, informacje o urządzeniu i dane interakcji z mapą. Nie gromadzimy ani nie przesyłamy lokalizacji Twojego urządzenia; wyświetlane są wyłącznie adresy projektów zapisane w naszym systemie. Google Ireland może korzystać z Google LLC (USA) jako podpodmiotu przetwarzającego; Google LLC posiada certyfikat zgodności z ramami ochrony danych UE-USA (Data Privacy Framework). Więcej informacji można znaleźć w polityce prywatności Google (policies.google.com/privacy).
• MapTiler AG (Szwajcaria) — dostarcza kafelki mapy bazowej (basemap tiles) wyświetlane w aplikacji webowej. Podczas wyświetlania widoku mapy Twój adres IP oraz współrzędne widoku mapy są przekazywane do MapTiler. Przetwarzanie odbywa się w Szwajcarii; Komisja Europejska wydała w odniesieniu do Szwajcarii decyzję stwierdzającą odpowiedni stopień ochrony zgodnie z art. 45 RODO.
• Apple Distribution International Ltd (Irlandia/UE) — dostarcza powiadomienia push na urządzenia iOS za pośrednictwem usługi Apple Push Notification Service (APNs). Do Apple przekazywane są dane niezbędne do dostarczenia powiadomienia (np. tytuł i treść powiadomienia oraz identyfikator urządzenia). Ewentualne dalsze przetwarzanie przez Apple Inc. (USA) jest zabezpieczone w ramach ochrony danych UE-USA (Data Privacy Framework).

Większość danych osobowych jest przetwarzana na terenie Unii Europejskiej. W przypadku przetwarzania głosu przez AI dane audio mogą być ostatecznie przetwarzane przez OpenAI, L.L.C. w Stanach Zjednoczonych za pośrednictwem OpenAI Ireland Ltd; to dalsze przekazanie jest zabezpieczone standardowymi klauzulami umownymi UE. W przypadku funkcji mapy i powiadomień push na Androidzie dane techniczne mogą być ostatecznie przetwarzane przez Google LLC w Stanach Zjednoczonych za pośrednictwem Google Ireland Limited; Google LLC posiada certyfikat zgodności z ramami ochrony danych UE-USA (Data Privacy Framework). W przypadku powiadomień push na iOS dane dostawcze są przetwarzane przez Apple Distribution International Ltd w Irlandii i mogą następnie być dalej przetwarzane przez Apple Inc. w Stanach Zjednoczonych; Apple Inc. posiada certyfikat zgodności z ramami ochrony danych UE-USA (Data Privacy Framework). W przypadku kafelków mapy bazowej w aplikacji webowej Twój adres IP i współrzędne widoku mapy są przekazywane do MapTiler AG w Szwajcarii; Komisja Europejska wydała w odniesieniu do Szwajcarii decyzję stwierdzającą odpowiedni stopień ochrony zgodnie z art. 45 RODO. Żadne inne dane osobowe nie są przekazywane poza UE/EOG ani do krajów bez decyzji stwierdzającej odpowiedni stopień ochrony.

7. Twoje prawa (art. 15-21 RODO)

Zgodnie z RODO przysługują Ci następujące prawa dotyczące Twoich danych osobowych:

• Prawo dostępu (art. 15) — uzyskanie kopii swoich danych osobowych
• Prawo do sprostowania (art. 16) — poprawienie nieprawidłowych lub niekompletnych danych
• Prawo do usunięcia (art. 17) — żądanie usunięcia danych
• Prawo do ograniczenia przetwarzania (art. 18) — ograniczenie przetwarzania w określonych warunkach
• Prawo do przenoszenia danych (art. 20) — otrzymanie danych w przenośnym formacie
• Prawo do sprzeciwu (art. 21) — sprzeciw wobec przetwarzania opartego na prawnie uzasadnionych interesach
• Prawo do wycofania zgody — w przypadku przetwarzania opartego na zgodzie można ją wycofać w dowolnym momencie

Masz również prawo do złożenia skargi do organu nadzorczego ds. ochrony danych, jeśli uważasz, że Twoje dane są przetwarzane niezgodnie z prawem. W zakresie, w jakim Krahasso działa jako podmiot przetwarzający, żądania dotyczące wykonania Twoich praw w odniesieniu do odpowiednich danych należy kierować do właściwego klienta biznesowego jako administratora.

Organem nadzorczym właściwym dla administratora jest: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, Niemcy.

8. Bezpieczeństwo danych

Wdrażamy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieautoryzowanym dostępem, zmianą, ujawnieniem lub zniszczeniem. Środki te obejmują:

• Szyfrowana transmisja danych (HTTPS/TLS)
• Bezpieczne haszowanie haseł oraz automatyczne sprawdzanie pod kątem znanych wycieków danych
• Opcjonalne uwierzytelnianie dwuskładnikowe za pomocą jednorazowego kodu e-mail, aktywowane na poziomie użytkownika
• Ochrona na poziomie sieci (zapory sieciowe i ograniczony dostęp do bazy danych)
• Kontrola dostępu w ramach kont klientów

W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia Twoich praw i wolności, bez zbędnej zwłoki powiadomimy właściwy organ nadzorczy oraz, w razie potrzeby, osoby, których dane dotyczą, zgodnie z art. 33 i 34 RODO. W zakresie, w jakim Krahasso działa jako podmiot przetwarzający, bez zbędnej zwłoki poinformujemy odpowiedzialnego klienta biznesowego, aby mógł on wypełnić swoje obowiązki w zakresie powiadamiania.

9. Zmiany w niniejszej polityce

Możemy od czasu do czasu aktualizować niniejszą politykę prywatności. Najnowsza wersja będzie zawsze dostępna w aplikacji. Data ostatniej aktualizacji jest widoczna na górze tej strony.