FlowBud.

Polityka prywatności · wersja 1.2

Polityka prywatności FlowBud

Wersja: 1.2 · Obowiązuje od: {{DATA_WEJSCIA}}

1. Administrator Danych Osobowych

Administratorem danych osobowych (dalej: „Administrator") jest:

{{NAZWA_FIRMY}}
{{ADRES}}
NIP: {{NIP_OPERATORA}}, REGON: {{REGON}}
E-mail: [email protected]

{{OPCJONALNIE: Inspektor Ochrony Danych: imię, nazwisko, e-mail — jeśli powołany}}

2. Czyje dane przetwarzamy

1. Użytkowników Usługi — osób fizycznych (pracownicy/współpracownicy Usługobiorcy) upoważnionych przez Usługobiorcę do korzystania z FlowBud.
2. Kontrahentów Usługobiorcy — w zakresie danych widniejących na fakturach zaciąganych z KSeF (nazwa, NIP, adres).
3. Osób odwiedzających stronę flowbud.pl — dane zbierane automatycznie (cookies, analityka).

3. Zakres przetwarzanych danych

Użytkownicy FlowBud

• imię i nazwisko (z konta Microsoft 365),
• służbowy adres e-mail,
• identyfikator tenantu Microsoft Entra ID,
• identyfikator obiektu użytkownika (oid) z Entra,
• refresh token i access token do Microsoft Graph (wyłącznie w zakresie niezbędnym do tworzenia przypomnień w kalendarzu; przechowywany zaszyfrowany).

Kontrahenci (z faktur KSeF)

• nazwa firmy,
• NIP,
• adres (jeśli obecny na fakturze),
• numer KSeF faktury, daty, kwoty netto/brutto/VAT.

FlowBud nie przechowuje plików XML faktur — wyłącznie sygnatury. Pełne XML faktur pobierane są na żądanie bezpośrednio z KSeF.

Cookies i analityka

• cookies sesyjne (utrzymanie zalogowania),
• cookies preferencji (ustawienia UI),
• cookies analityczne — używamy Microsoft Clarity (dostawca: Microsoft Ireland Operations Ltd., serwery w UE) do analizy zachowań użytkowników: heatmapy, nagrania sesji z automatycznym maskowaniem pól formularzy i tekstu wpisywanego. Szczegóły: Microsoft Privacy Statement. Podstawa prawna:
  • Na publicznej stronie marketingowej flowbud.pl (przed logowaniem) — zgoda użytkownika (art. 6 ust. 1 lit. a RODO) wyrażona przez baner cookies; sesje są anonimowe.
  • W aplikacji po zalogowaniu — nagrania sesji są powiązane ze stabilnym identyfikatorem konta (Entra Object ID) oraz informacją o roli (Koordynator/Pracownik) i identyfikatorze tenanta, w celu diagnostyki problemów zgłoszonych przez Klienta i ulepszania ergonomii aplikacji. Podstawa: prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) — diagnostyka i rozwój produktu. Pola formularzy i tekst są maskowane. Możesz wnieść sprzeciw wobec tego przetwarzania pisząc na [email protected].

Nie używamy cookies marketingowych ani reklamowych. Pola formularzy i tekst są maskowane — nie zapisujemy wpisywanych danych osobowych.

4. Cele i podstawy prawne przetwarzania

Cel	Podstawa prawna (RODO)	Retencja
Świadczenie Usługi na podstawie Umowy z Usługobiorcą	Art. 6 ust. 1 lit. b) (wykonanie umowy)	Okres trwania Umowy + 30 dni na eksport
Wykonywanie obowiązków księgowych (faktury)	Art. 6 ust. 1 lit. c) (obowiązek prawny)	5 lat (ordynacja podatkowa)
Dochodzenie lub obrona roszczeń	Art. 6 ust. 1 lit. f) (prawnie uzasadniony interes)	Okres przedawnienia roszczeń
Analityka funkcjonowania aplikacji (logi, metryki)	Art. 6 ust. 1 lit. f) (prawnie uzasadniony interes)	90 dni

5. Odbiorcy danych

Dane przekazujemy (w zakresie niezbędnym do świadczenia Usługi):

• Microsoft Corporation / Microsoft Ireland Operations Ltd. — hosting Azure (North Europe), Microsoft Graph, Entra ID
• Microsoft Clarity (Microsoft Ireland Operations Ltd.) — analityka UX (heatmapy, nagrania sesji z maskowaniem pól formularzy). Stosowana zarówno na publicznej stronie marketingowej (zgoda przez baner cookies), jak i w aplikacji po zalogowaniu (powiązanie z Entra Object ID — szczegóły w sekcji „Cookies i analityka" oraz „Cookies i technologie śledzące").
• Microsoft Ireland Operations Ltd. — Azure OpenAI Service — przetwarzanie tekstu z faktur (nazwy pozycji, komentarze, adresy dostawy) w celu automatycznego wykrywania inwestycji budowlanych. Region: Sweden Central (EOG). Microsoft nie używa danych Klienta do trenowania modeli (zgodnie z Microsoft Product Terms i Azure OpenAI Service Terms). Microsoft prowadzi standardowy monitoring nadużyć (abuse monitoring) — zapytania i odpowiedzi są przechowywane do 30 dni; w przypadku wykrycia naruszenia zasad użycia (Code of Conduct) treść może zostać przeglądana przez upoważnionego pracownika Microsoft wyłącznie w celach weryfikacji nadużycia. Administrator ogranicza dostęp do zasobu Azure OpenAI listą dozwolonych adresów IP (network ACL) oraz limitem budżetowym z alertem.
• Krajowy System e-Faktur (KSeF) — Ministerstwo Finansów — zapytania o faktury Usługobiorcy
• Podmiotom prawa — na żądanie organów uprawnionych (prokuratura, sąd, ZUS, US)
• Podwykonawcom Administratora — wyłącznie po zawarciu umowy powierzenia przetwarzania (np. dostawca narzędzi deweloperskich, e-mail transactional)

6. Przekazywanie danych do państw trzecich

Dane mogą być przetwarzane w infrastrukturze Microsoft Azure w regionie North Europe (Irlandia). W przypadku korzystania z komponentów Microsoft zlokalizowanych poza EOG (np. niektóre funkcje Microsoft 365), przekazanie odbywa się w oparciu o standardowe klauzule umowne (SCC) Komisji Europejskiej.

7. Prawa osób, których dane dotyczą

Każda osoba ma prawo do:

• dostępu do swoich danych (art. 15 RODO),
• sprostowania danych (art. 16),
• usunięcia danych — „prawo do bycia zapomnianym" (art. 17),
• ograniczenia przetwarzania (art. 18),
• przenoszenia danych (art. 20),
• sprzeciwu wobec przetwarzania (art. 21),
• wycofania zgody w dowolnym momencie (bez wpływu na przetwarzanie dokonane wcześniej),
• wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).

Zgłoszenia realizujące powyższe prawa kierować na: [email protected]. Odpowiedź w terminie 30 dni.

8. Zautomatyzowane podejmowanie decyzji i przetwarzanie przez AI

FlowBud nie stosuje zautomatyzowanego podejmowania decyzji mających istotny wpływ na użytkownika (profilowanie w rozumieniu art. 22 RODO). Reguły przypisania faktur do projektów są narzędziem pomocniczym — decyzje podejmuje Koordynator.

FlowBud wykorzystuje modele AI (Azure OpenAI Service, region Sweden Central / EOG) do następujących celów pomocniczych:

• Sugerowanie inwestycji budowlanych — model językowy (gpt-4o-mini) analizuje treść tekstową faktur (nazwy pozycji, komentarze, adres dostawy) i proponuje, do jakiej inwestycji faktura może należeć. Każda sugestia wymaga akceptacji Koordynatora — system nie przypisuje automatycznie.
• Grupowanie podobnych faktur (opcjonalnie, na żądanie SuperAdmin) — model embeddingowy (text-embedding-3-small) tworzy reprezentację wektorową treści faktury w celu wykrycia powtarzających się wzorców.

Podstawa prawna przetwarzania przez AI: art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes Administratora — automatyzacja klasyfikacji dokumentów księgowych w celu obniżenia czasu obsługi). Klient akceptuje to przetwarzanie zawierając Umowę.

Dane przekazywane do Azure OpenAI:

• treść tekstowa pól faktury (nazwa sprzedawcy, nazwy pozycji, komentarze, adres dostawy, adres ze stopki),
• nie przekazujemy: numerów NIP, kwot, danych identyfikacyjnych Użytkowników FlowBud.

Microsoft (Azure OpenAI):

• nie używa danych Klienta do trenowania ani ulepszania modeli OpenAI ani Microsoft (zgodnie z Microsoft Product Terms oraz Azure OpenAI — Data, privacy, and security),
• przechowuje zapytania w pamięci podręcznej maksymalnie 30 dni (do wykrywania nadużyć),
• w przypadku zgłoszenia zapytania jako podejrzanego (przez automatyczny content filter) treść może zostać przeglądana przez upoważnionego pracownika Microsoft wyłącznie w celu weryfikacji naruszenia Code of Conduct Azure OpenAI. Funkcja opt-out z weryfikacji ludzkiej (modified abuse monitoring) jest dostępna tylko dla klientów z dedykowanym Microsoft account team — Administrator nie spełnia obecnie kryteriów kwalifikacji.

Klient ma prawo wyłączyć moduł sugestii AI w ustawieniach konta. Wyłączenie nie ma wpływu na inne funkcje Usługi.

9. Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne odpowiednie do ryzyka:

• szyfrowanie danych w spoczynku (Azure Storage + Azure Key Vault),
• szyfrowanie transmisji (TLS 1.2+),
• kontrola dostępu oparta na rolach (RBAC) w Microsoft Entra ID,
• tokeny KSeF przechowywane wyłącznie w Azure Key Vault,
• logi audytowe dostępu do systemu,
• regularne backupy danych (30 dni retencji),
• zasada najmniejszych uprawnień.

10. Cookies i technologie śledzące

1. Strona flowbud.pl oraz aplikacja FlowBud używają plików cookies:
   • sesyjnych (niezbędne do działania) — bez możliwości wyłączenia,
   • preferencji (zapis ustawień UI) — można wyłączyć w ustawieniach przeglądarki,
   • analitycznych — Microsoft Clarity: heatmapy, nagrania sesji z maskowaniem pól formularzy i tekstu. Na stronie publicznej działa anonimowo (podstawa: art. 6 ust. 1 lit. a RODO — zgoda); w aplikacji po zalogowaniu nagrania są powiązane z Entra Object ID użytkownika i etykietowane rolą/tenantem w celu diagnostyki i rozwoju produktu (podstawa: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes; sprzeciw: [email protected]). Polityka prywatności Microsoft: privacy.microsoft.com.
2. Nie stosujemy cookies marketingowych, reklamowych ani śledzenia cross-site.
3. Ustawienia cookies można zmienić w przeglądarce. Wyłączenie cookies sesyjnych spowoduje brak możliwości korzystania z Usługi. Wyłączenie cookies analitycznych nie wpływa na funkcjonalność.

11. Kontakt

W sprawach dotyczących przetwarzania danych osobowych:

• E-mail: [email protected]
• Pocztą: {{NAZWA_FIRMY}}, {{ADRES}}

12. Zmiany Polityki

Zastrzegamy prawo do zmiany niniejszej Polityki prywatności. O zmianach istotnych (rozszerzenie zakresu przetwarzanych danych, nowi odbiorcy, zmiana podstawy prawnej) poinformujemy Użytkowników z 14-dniowym wyprzedzeniem.

---