Polityka Prywatności aplikacji FlowBud
wersja 1.0, obowiązująca od dnia 1 sierpnia 2026 r.
Niniejsza Polityka Prywatności (dalej: „Polityka”) określa zasady przetwarzania danych osobowych w związku z korzystaniem z aplikacji FlowBud dostępnej pod adresem https://flowbud.pl (dalej: „Aplikacja”) oraz z witryny internetowej Usługodawcy, a także zasady stosowania plików cookies i informacje o uprawnieniach osób, których dane dotyczą.
Polityka realizuje obowiązki informacyjne wynikające z art. 13 i art. 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) — dalej: „RODO”, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (dalej: „u.ś.u.d.e.”) oraz ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (dalej: „PKE”).
Polityka stanowi integralną część regulaminu Aplikacji FlowBud (dalej: „Regulamin”) i powinna być czytana łącznie z nim. Pojęcia pisane wielką literą, niezdefiniowane odrębnie w Polityce, mają znaczenie nadane im w Regulaminie.
§ 1. Administrator danych osobowych
- Administratorem danych osobowych, o których mowa w niniejszej Polityce, jest Damian Manelski, prowadzący działalność gospodarczą pod firmą SOFTWARE DEVELOPMENT DAMIAN MANELSKI, adres stałego miejsca wykonywania działalności gospodarczej: ul. Tadeusza Rejtana 53, lok. B, 83-330 Pępowo, wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, NIP: 8741695809, REGON: 366801191 (dalej: „Administrator”, „Usługodawca” lub „my”).
- We wszelkich sprawach dotyczących przetwarzania danych osobowych, w tym w celu realizacji przysługujących Państwu praw oraz zgłaszania naruszeń ochrony danych, można kontaktować się z Administratorem pocztą elektroniczną, pod adresem: [email protected]. Wiadomości systemowe wysyłane są z adresu: [email protected].
- Administrator nie wyznaczył Inspektora Ochrony Danych (IOD), w rozumieniu art. 37 RODO nie istnieje obowiązek jego wyznaczenia. Wszelkie żądania i pytania związane z ochroną danych należy kierować na adres wskazany w ust. 2.
§ 2. Zakres Polityki i podwójna rola Administratora
- Ze względu na model działania Aplikacji Administrator występuje w dwóch odrębnych rolach w rozumieniu RODO. Rozróżnienie to jest kluczowe dla zrozumienia, których danych dotyczy niniejsza Polityka.
- Administrator jako podmiot przetwarzający (procesor). W zakresie danych osobowych zawartych w Treściach Klienta, w szczególności danych kontrahentów Klienta oraz danych zawartych w Fakturach Ustrukturyzowanych pobranych z KSeF, administratorem danych jest Klient, a Usługodawca przetwarza te dane wyłącznie na udokumentowane polecenie Klienta, na podstawie Umowy Powierzenia (DPA) stanowiącej integralną część Umowy.
- Administrator jako administrator danych. Niniejsza Polityka opisuje przetwarzanie danych osobowych, dla których to Usługodawca samodzielnie ustala cele i sposoby przetwarzania, tj. w szczególności: danych Użytkowników (dane kont i logowania), danych kontaktowych i rozliczeniowych Klienta oraz osób go reprezentujących, danych osób korzystających z formularza „Zamów demo”, a także danych zbieranych w celach analitycznych, bezpieczeństwa i marketingu usług własnych.
§ 3. Definicje
Poza pojęciami zdefiniowanymi w Regulaminie, w niniejszej Polityce używa się następujących pojęć:
- „EOG” – Europejski Obszar Gospodarczy;
- „SCC” – standardowe klauzule umowne przyjęte decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich;
- „DPF” – EU-U.S. Data Privacy Framework, mechanizm przekazywania danych do podmiotów certyfikowanych w USA, ustanowiony decyzją wykonawczą Komisji (UE) 2023/1795 z dnia 10 lipca 2023 r.
§ 4. Cele, podstawy prawne i okresy przetwarzania danych
Administrator przetwarza dane osobowe, w zakresie, w jakim działa jako administrator (§ 2 ust. 3), w celach, na podstawach prawnych i przez okresy wskazane w poniższej tabeli. Administrator przetwarza dane w zakresie ściśle niezbędnym do realizacji poszczególnych celów.
| Cel przetwarzania |
Kategorie danych |
Podstawa prawna |
Okres przetwarzania |
| Utworzenie i utrzymanie kont Użytkowników, uwierzytelnianie oraz umożliwienie korzystania z Aplikacji w ramach Konta Klienta |
imię i nazwisko lub nazwa użytkownika, adres e-mail, dane uwierzytelniające (skrót hasła – przy logowaniu lokalnym), rola (Koordynator/Pracownik), identyfikator najemcy, identyfikator tożsamości u dostawcy logowania |
art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes polegający na świadczeniu Aplikacji na rzecz Klienta oraz umożliwieniu Użytkownikom działającym na rzecz Klienta korzystania z Konta |
przez czas istnienia Konta / obowiązywania Umowy, a następnie do upływu okresu przedawnienia roszczeń |
| Zawarcie i wykonanie Umowy z Klientem, obsługa Konta organizacji, bieżący kontakt i rozliczenia |
imię i nazwisko / firma, dane kontaktowe (e-mail, telefon), NIP, adres, dane osoby reprezentującej Klienta i Właściciela Konta, dane rozliczeniowe |
art. 6 ust. 1 lit. b RODO – gdy stroną czynności jest osoba fizyczna; art. 6 ust. 1 lit. f RODO – wobec osób reprezentujących Klienta będącego osobą prawną (interes w zawarciu i wykonaniu Umowy oraz utrzymaniu relacji biznesowej) |
przez czas obowiązywania Umowy, a następnie do upływu okresu przedawnienia roszczeń |
| Wystawianie i przechowywanie dokumentów księgowych (faktur), realizacja obowiązków podatkowych i rachunkowych |
dane identyfikacyjne (firma / imię i nazwisko, NIP, adres), dane transakcyjne |
art. 6 ust. 1 lit. c RODO w zw. z art. 112 ustawy o VAT, art. 86 § 1 Ordynacji podatkowej oraz art. 74 ust. 2 ustawy o rachunkowości |
5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku |
| Obsługa zapytań z formularza „Zamów demo” i poczty elektronicznej, przedstawienie oferty oraz marketing bezpośredni usług własnych |
imię, adres e-mail, numer telefonu, firma, treść wiadomości, adres IP i user-agent, znacznik czasu i wersji zgody |
art. 6 ust. 1 lit. f RODO – interes polegający na udzieleniu odpowiedzi, przedstawieniu oferty, marketingu bezpośrednim usług własnych, wykazaniu zgód i przeciwdziałaniu nadużyciom; art. 6 ust. 1 lit. a RODO – w zakresie, w jakim dany kanał marketingu wymaga zgody |
24 miesiące od ostatniego kontaktu, a w razie niezawarcia Umowy – usunięcie po upływie tego okresu |
| Rozpatrywanie reklamacji dotyczących Aplikacji i Usług Towarzyszących |
dane identyfikujące Klienta / Konto, adres e-mail, treść reklamacji |
art. 6 ust. 1 lit. f RODO – interes polegający na rozpatrzeniu reklamacji i wykazaniu sposobu jej załatwienia |
przez czas rozpatrywania reklamacji, a następnie do upływu okresu przedawnienia roszczeń |
| Analityka i poprawa jakości Aplikacji oraz witryny (Microsoft Clarity – nagrania sesji, mapy cieplne) |
identyfikatory plików cookies, dane o aktywności i sposobie korzystania (nagrania sesji z maskowaniem pól, mapy cieplne), w Aplikacji – identyfikator najemcy i rola zalogowanego Użytkownika, dane o urządzeniu i przeglądarce |
art. 6 ust. 1 lit. a RODO (zgoda wyrażona w banerze cookies) |
do czasu wycofania zgody, nie dłużej niż przez okres ważności odpowiednich plików cookies |
| Zapewnienie bezpieczeństwa, ciągłości i prawidłowego działania Aplikacji (logi techniczne, monitoring, kopie zapasowe, niezbędne pliki cookies) |
adres IP, identyfikatory najemcy i adresy e-mail Użytkowników zawarte w logach, dane techniczne (przeglądarka, system, sesja), dane w zaszyfrowanych kopiach zapasowych |
art. 6 ust. 1 lit. f RODO – interes polegający na zapewnieniu bezpieczeństwa, integralności i ciągłości działania Aplikacji; przepisy PKE – w zakresie niezbędnych plików cookies |
logi techniczne – do 12 miesięcy; kopie zapasowe – do 30 dni; sesyjne pliki cookies – do zamknięcia przeglądarki |
| Ustalenie, dochodzenie lub obrona przed roszczeniami |
dane zgromadzone w związku z powyższymi celami, w zakresie niezbędnym do ochrony interesu prawnego Administratora |
art. 6 ust. 1 lit. f RODO – interes polegający na ustaleniu, dochodzeniu lub obronie przed roszczeniami |
do upływu okresu przedawnienia roszczeń |
§ 5. Obowiązek lub dobrowolność podania danych
- Podanie danych Klienta i osób go reprezentujących w zakresie niezbędnym do zawarcia i wykonania Umowy jest dobrowolne, lecz konieczne do jej zawarcia i realizacji, ich niepodanie uniemożliwia korzystanie z Aplikacji.
- Podanie danych Użytkownika jest niezbędne do utworzenia i obsługi Konta Użytkownika w ramach Konta Klienta, ich niepodanie uniemożliwia korzystanie z Aplikacji przez danego Użytkownika.
- Podanie danych w formularzu „Zamów demo” jest dobrowolne, ich niepodanie uniemożliwia kontakt i przedstawienie oferty.
- W zakresie, w jakim podanie danych wynika z przepisów prawa (obowiązki podatkowe i rachunkowe), ich podanie jest wymogiem ustawowym.
§ 6. Źródło danych
Administrator pozyskuje dane osobowe bezpośrednio od osób, których dane dotyczą, a także z następujących źródeł:
- od Klienta (organizacji) – w odniesieniu do danych Użytkowników zapraszanych do Konta przez Koordynatorów; w tym przypadku zakres danych obejmuje co do zasady imię i nazwisko lub nazwę użytkownika, adres e-mail oraz rolę;
- od dostawcy logowania federacyjnego (Microsoft lub Google) – w przypadku logowania kontem Microsoft 365 lub Google; Administrator otrzymuje wyłącznie token potwierdzający tożsamość (adres e-mail i nazwę użytkownika), nigdy zaś hasło do konta zewnętrznego (§ 8);
- z publicznie dostępnych rejestrów (np. CEIDG, KRS) – w zakresie danych identyfikacyjnych Klienta.
§ 7. Odbiorcy danych i podmioty przetwarzające
Dane osobowe mogą być udostępniane następującym kategoriom odbiorców, wyłącznie w zakresie niezbędnym do realizacji celów przetwarzania. Wskazani poniżej dostawcy działają jako podmioty przetwarzające, na podstawie umów powierzenia oraz przetwarzają dane co do zasady w regionach na terenie Unii Europejskiej, o ile poniżej nie wskazano inaczej:
- Microsoft (Microsoft Ireland / Microsoft Corporation) – dostawca infrastruktury chmurowej Microsoft Azure: hosting backendu, przechowywanie danych aplikacji, przechowywanie zaszyfrowanych plików oraz zarządzanie sekretami; regiony UE (Irlandia; kopie zapasowe – Holandia);
- Zitadel – dostawca usługi zarządzania tożsamością i logowania (region UE); Administrator zastrzega możliwość przeniesienia tej usługi w przyszłości na instancję własną (self-hosted) na terenie UE;
- Microsoft (Microsoft Ireland) – w zakresie narzędzia analitycznego Microsoft Clarity (region UE);
- Resend – dostawca poczty transakcyjnej (zaproszenia, potwierdzenia, alerty); region UE (Irlandia);
- Cloudflare, Inc. – dostawca usług DNS oraz reverse proxy dla Aplikacji; podmiot z siedzibą w USA (§ 9);
- GitHub, Inc. – dostawca systemu obsługi zgłoszeń serwisowych; do systemu trafia wyłącznie treść zgłoszenia (tytuł, opis, adres e-mail i identyfikator najemcy), bez załączników, które pozostają na infrastrukturze w UE; podmiot z siedzibą w USA (§ 9);
- zawodowi doradcy (prawni, księgowi) – w zakresie niezbędnym i przy zachowaniu obowiązku poufności;
- organy publiczne – gdy obowiązek udostępnienia wynika z przepisów prawa lub prawomocnej decyzji.
Zakres podmiotów przetwarzających Treści Klienta (w tym dostawcy infrastruktury AI oraz KSeF jako źródło danych) określa Umowa Powierzenia. Aktualną listę dalszych podmiotów przetwarzających Administrator udostępnia na żądanie.
§ 8. Logowanie federacyjne (Microsoft, Google)
- Logowanie do Aplikacji odbywa się, według wyboru Użytkownika, za pomocą loginu i hasła albo poprzez konto Microsoft 365 lub Google (logowanie federacyjne).
- W przypadku logowania federacyjnego uwierzytelnienie następuje po stronie dostawcy konta (Microsoft lub Google), zgodnie z jego regulaminem i polityką prywatności. Administrator otrzymuje wyłącznie token potwierdzający tożsamość (adres e-mail i nazwę użytkownika) i nigdy nie widzi ani nie przechowuje hasła do konta zewnętrznego Użytkownika.
- W zakresie, w jakim Microsoft i Google samodzielnie ustalają cele i sposoby przetwarzania danych związanych z uwierzytelnianiem, działają one jako odrębni administratorzy danych. Zasady przetwarzania przez te podmioty określają ich własne polityki prywatności.
§ 9. Przekazywanie danych poza EOG
- Administrator dąży do przetwarzania danych na terenie EOG. W zakresie wskazanym poniżej dane mogą być jednak przekazywane do państwa trzeciego (USA):
- Cloudflare, Inc. (DNS i reverse proxy) – ruch może być obsługiwany w globalnej sieci dostawcy; z uwagi na wykorzystywany plan usługi nie jest zagwarantowane wyłączne przetwarzanie na terenie UE;
- GitHub, Inc. (zgłoszenia serwisowe) – treść zgłoszeń (bez załączników, które pozostają na infrastrukturze w UE) może być przechowywana poza EOG;
- Microsoft oraz Google – w zakresie logowania federacyjnego, przy czym Microsoft przetwarza dane w ramach mechanizmu EU Data Boundary.
- Podstawą przekazania danych do USA są standardowe klauzule umowne (SCC) określone w decyzji wykonawczej Komisji (UE) 2021/914. W zakresie, w jakim dany odbiorca posiada certyfikację w ramach EU-U.S. Data Privacy Framework, zastosowanie znajduje również decyzja wykonawcza Komisji (UE) 2023/1795 stwierdzająca odpowiedni stopień ochrony (DPF).
- Kopię zastosowanych zabezpieczeń danych przekazywanych do państwa trzeciego można uzyskać, kontaktując się z Administratorem.
§ 10. Funkcje sztucznej inteligencji (Sugestie AI)
- Aplikacja może generować Sugestie AI z wykorzystaniem modeli językowych dostarczanych przez zewnętrznego dostawcę infrastruktury AI (Azure OpenAI, region UE). Szczegółowe zasady działania funkcji AI określa § 9 Regulaminu, a przetwarzanie Treści Klienta na potrzeby tych funkcji – Umowa Powierzenia.
- Do dostawcy infrastruktury AI nie są przekazywane dane osobowe Użytkowników Aplikacji. W celu generowania sugestii przekazywane są wyłącznie wybrane dane z faktur (nazwy pozycji, komentarze, przycięty adres dostawy), a na potrzeby indeksu wyszukiwania – szerszy tekst faktury (nazwa kontrahenta, pozycje, komentarze, stopka). Nie są przekazywane numery NIP ani kwoty.
- Sugestie AI mają charakter wyłącznie pomocniczy i informacyjny. Nie wywołują samodzielnie żadnych skutków w danych – przypisanie następuje dopiero po zatwierdzeniu przez Koordynatora (nadzór człowieka). Klient może w każdej chwili wyłączyć funkcje AI w ustawieniach; ich wyłączenie wstrzymuje przekazywanie danych do dostawcy AI i nie wpływa na pozostałe funkcjonalności.
§ 11. Profilowanie i zautomatyzowane podejmowanie decyzji
Administrator nie podejmuje wobec osób, których dane dotyczą, decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na te osoby wpływały. Wyniki działania funkcji AI podlegają nadzorowi człowieka.
§ 12. Prawa osób, których dane dotyczą
W związku z przetwarzaniem danych osobowych przysługują Państwu następujące prawa:
- prawo dostępu – do danych oraz uzyskania ich kopii;
- prawo do sprostowania – danych nieprawidłowych oraz uzupełnienia danych niekompletnych;
- prawo do usunięcia danych („prawo do bycia zapomnianym”) – w przypadkach określonych w art. 17 RODO;
- prawo do ograniczenia przetwarzania – w przypadkach określonych w art. 18 RODO;
- prawo do przenoszenia danych – przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany;
- prawo do sprzeciwu – wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO), w tym wobec marketingu bezpośredniego;
- prawo do cofnięcia zgody – w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem;
- prawo do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (ul. Stanisława Moniuszki 1A, 00-014 Warszawa), jeżeli uznają Państwo, że przetwarzanie narusza przepisy RODO.
W celu realizacji praw prosimy o kontakt na adres: [email protected]. Administrator udziela odpowiedzi bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania; termin ten może zostać przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter lub liczbę żądań.
§ 13. Pliki cookies i podobne technologie
- Aplikacja i witryna internetowa wykorzystują pliki cookies – niewielkie pliki tekstowe zapisywane w urządzeniu końcowym. Korzystanie z Aplikacji wymaga włączonej obsługi plików cookies.
- Administrator wykorzystuje następujące kategorie plików cookies:
- niezbędne – umożliwiające prawidłowe i bezpieczne działanie Aplikacji, w tym utrzymanie sesji po zalogowaniu i uwierzytelnianie. Podstawą jest art. 6 ust. 1 lit. f RODO; ich stosowanie nie wymaga zgody i nie można ich wyłączyć;
- analityczne – narzędzie Microsoft Clarity (nagrania sesji i mapy cieplne) uruchamiane wyłącznie po wyrażeniu zgody w banerze cookies, z maskowaniem pól formularzy. Podstawą jest art. 6 ust. 1 lit. a RODO. Dostawcą jest Microsoft Ireland (UE).
- Zgodę na pliki cookies wymagające zgody można w każdej chwili wyrazić lub wycofać, korzystając z ustawień banera cookies. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Ustawienia cookies można zmienić także w przeglądarce; ograniczenie niezbędnych plików cookies może uniemożliwić prawidłowe działanie Aplikacji.
- Administrator nie stosuje w Aplikacji reklamowych plików cookies ani plików osób trzecich służących do targetowania reklam.
§ 14. Bezpieczeństwo danych
Administrator stosuje środki techniczne i organizacyjne odpowiednie do ryzyka, w tym w szczególności:
- szyfrowaną transmisję danych (HTTPS);
- szyfrowanie danych wrażliwych, w tym Tokenów KSeF (dedykowany magazyn sekretów – Azure Key Vault, UE) oraz kopii zapasowych (AES-GCM), przy odrębnym przechowywaniu kluczy;
- logiczną izolację danych poszczególnych Klientów w architekturze wielonajemcowej;
- kontrolę dostępu w oparciu o zasadę minimalnego niezbędnego zakresu;
- kopie zapasowe oraz mechanizmy zapewniające ciągłość działania i możliwość odtworzenia danych.
Szczegółowy wykaz środków technicznych i organizacyjnych dotyczących Treści Klienta zawiera Umowa Powierzenia.
§ 15. Linki zewnętrzne i wyłączenie odpowiedzialności
- Aplikacja oraz witryna internetowa mogą zawierać odesłania (hiperłącza) do stron internetowych lub usług podmiotów trzecich. Po przejściu na taką stronę osoba korzystająca podlega polityce prywatności i regulaminowi danego podmiotu.
- Administrator nie ponosi odpowiedzialności za treść, działanie, dostępność, bezpieczeństwo ani zasady przetwarzania danych obowiązujące na stronach podmiotów trzecich, na które nie ma wpływu. Zaleca się zapoznanie z politykami prywatności tych podmiotów.
§ 16. Zmiany Polityki
- Administrator może aktualizować Politykę, w szczególności w przypadku zmiany przepisów prawa, zakresu lub sposobu działania Aplikacji, dostawców zewnętrznych lub względów bezpieczeństwa.
- O istotnych zmianach Polityki Administrator informuje Klientów pocztą elektroniczną lub komunikatem w Aplikacji. Aktualna wersja Polityki jest każdorazowo dostępna pod adresem publikacji.
§ 17. Postanowienia końcowe
- Polityka stanowi integralną część Regulaminu i powinna być czytana łącznie z nim; w zakresie nieuregulowanym w Polityce stosuje się Regulamin oraz powszechnie obowiązujące przepisy prawa.
- Prawem właściwym jest prawo polskie.
- Jeżeli którekolwiek postanowienie Polityki okaże się nieważne lub bezskuteczne, nie wpływa to na ważność pozostałych postanowień.
- Polityka wchodzi w życie z dniem 1 sierpnia 2026 r.