Polityka prywatności serwisu MajsterSowa.pl

Administratorem danych osobowych Użytkowników Serwisu MajsterSowa (majstersowa.pl) jest TF Łukasz Gasiulewicz, prowadzący działalność gospodarczą, NIP: 6112711502, REGON: 38085018400000.

Administrator nie wyznaczył Inspektora Ochrony Danych. W sprawach ochrony danych osobowych prosimy o kontakt: kontakt@majstersowa.pl

Dane podawane przy rejestracji:

• Imię i nazwisko
• Adres e-mail
• Hasło (przechowywane w formie zaszyfrowanej)
• W przypadku logowania przez Google: imię, nazwisko i adres e-mail powiązane z kontem Google

Dane podawane podczas korzystania z Serwisu:

• Dane projektu budowlanego: lokalizacja (województwo, gmina), rodzaj budynku, powierzchnia, budżet, daty
• Dane wykonawców: imiona, numery telefonów, adresy e-mail, specjalizacje, oceny
• Dane finansowe: kwoty wydatków, kategorie, opisy, tagi
• Załadowane dokumenty: pliki PDF, DOC, DOCX (MPZP, umowy, warunki przyłączenia, oferty wykonawców)
• Rozmowy z AI: treści wiadomości wymienianych z asystentem AI

Dane zbierane automatycznie:

• Adres IP
• Typ i wersja przeglądarki
• System operacyjny
• Data i czas dostępu
• Dane analityczne Google Analytics 4 (zanonimizowane — patrz: Polityka Cookies)
• Pliki cookies (patrz: Polityka Cookies)

• Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — przetwarzanie danych niezbędnych do świadczenia usług Serwisu: rejestracja, logowanie, zarządzanie projektem, generowanie planów AI, analiza dokumentów i ofert.
• Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) — zapewnienie bezpieczeństwa Serwisu, analityka i ulepszanie usług, obsługa reklamacji, dochodzenie roszczeń.
• Zgoda (art. 6 ust. 1 lit. a RODO) — pliki cookies analityczne (Google Analytics 4), wysyłanie powiadomień e-mail (jeśli Użytkownik wyrazi zgodę).
• Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — prowadzenie dokumentacji księgowej i podatkowej związanej z płatnościami.

Dane Użytkowników mogą być przekazywane następującym podmiotom:

• Supabase, Inc. (USA) — hosting bazy danych, uwierzytelnianie, przechowywanie plików. Transfer danych do USA na podstawie standardowych klauzul umownych (SCC).
• Vercel, Inc. (USA) — hosting aplikacji webowej. Transfer na podstawie SCC.
• Cloudflare, Inc. (USA) — proxy do usług AI, CDN. Transfer na podstawie SCC.
• Anthropic PBC (USA) — dostawca modelu AI (Claude). Dane przekazywane w ramach zapytań AI są przetwarzane w celu wygenerowania odpowiedzi. Anthropic nie wykorzystuje danych z API do trenowania swoich modeli. Transfer na podstawie SCC.
• Stripe, Inc. (USA) — obsługa płatności. Stripe przetwarza dane płatnicze jako niezależny administrator. Transfer na podstawie SCC.
• Google LLC (USA) — uwierzytelnianie OAuth oraz analityka (Google Analytics 4). Transfer na podstawie SCC.
• Zoho Corporation (Indie/USA) — obsługa poczty e-mail (kontakt@majstersowa.pl). Transfer na podstawie SCC.

W ramach korzystania z funkcji AI, następujące dane mogą być przekazywane do Anthropic PBC:

• Dane projektu budowlanego (lokalizacja, typ budynku, powierzchnia, budżet, technologia)
• Nazwy i opisy etapów budowy
• Treści dokumentów załadowanych przez Użytkownika (MPZP, umowy, warunki przyłączenia)
• Treści ofert wykonawców (w tym dane kontaktowe wykonawców, jeśli zawarte w ofercie)
• Treści wiadomości w czacie AI
• Dane o wydatkach i budżecie

Użytkownik może załadować do Serwisu dokumenty zawierające dane osobowe osób trzecich (np. umowy z wykonawcami, oferty, warunki przyłączenia). W takim przypadku:

• Administratorem danych osobowych osób trzecich zawartych w dokumentach jest Użytkownik, nie Usługodawca. Użytkownik ponosi pełną odpowiedzialność za legalność przetwarzania tych danych.
• Usługodawca pełni rolę podmiotu przetwarzającego (procesora) w rozumieniu art. 28 RODO wyłącznie w zakresie technicznego przechowywania i przetwarzania tych danych w ramach funkcjonalności Serwisu.
• Użytkownik oświadcza, że posiada odpowiednią podstawę prawną do przetwarzania danych osób trzecich i ponosi wyłączną odpowiedzialność za ewentualne roszczenia osób trzecich z tytułu naruszenia ich praw do ochrony danych osobowych.
• Dane osób trzecich zawarte w dokumentach mogą być przekazane do Anthropic PBC (USA) w ramach analizy AI. Usługodawca nie identyfikuje ani nie wyodrębnia danych osób trzecich z treści dokumentów.

• Dane konta i projektu: przez cały okres korzystania z Serwisu oraz do 30 dni po usunięciu konta.
• Dokumenty Użytkownika (pliki w Supabase Storage): usuwane w terminie do 30 dni po usunięciu konta. Usługodawca dokłada starań w celu trwałego usunięcia plików, jednak nie gwarantuje, że pliki nie pozostaną w kopiach zapasowych infrastruktury zewnętrznej.
• Dane płatnicze: zgodnie z wymogami prawa podatkowego (5 lat od końca roku, w którym dokonano płatności).
• Kopie zapasowe: do 90 dni od usunięcia danych źródłowych.
• Logi serwera: do 12 miesięcy od daty wpisu.

Użytkownikowi przysługują następujące prawa:

• Prawo dostępu (art. 15 RODO) — prawo do uzyskania informacji o przetwarzanych danych.
• Prawo do sprostowania (art. 16 RODO) — prawo do poprawienia nieprawidłowych danych.
• Prawo do usunięcia (art. 17 RODO) — prawo do żądania usunięcia danych ("prawo do bycia zapomnianym"). Realizowane przez funkcję "Usuń konto" w Ustawieniach.
• Prawo do ograniczenia przetwarzania (art. 18 RODO) — prawo do żądania ograniczenia przetwarzania danych.
• Prawo do przenoszenia danych (art. 20 RODO) — prawo do otrzymania danych w formacie nadającym się do odczytu maszynowego (JSON/CSV).
• Prawo do sprzeciwu (art. 21 RODO) — prawo do wniesienia sprzeciwu wobec przetwarzania danych.
• Prawo do cofnięcia zgody — w każdym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
• Prawo do skargi — prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

W celu realizacji powyższych praw należy wysłać e-mail na adres: kontakt@majstersowa.pl. Usługodawca zrealizuje żądanie w terminie 30 dni.

Usługodawca stosuje następujące środki ochrony danych:

• Szyfrowanie transmisji danych (HTTPS/TLS)
• Szyfrowanie haseł (bcrypt)
• Row Level Security (RLS) w bazie danych — każdy użytkownik ma dostęp wyłącznie do swoich danych
• Uwierzytelnianie JWT (JSON Web Tokens)
• Regularne kopie zapasowe bazy danych
• Ograniczenie dostępu do infrastruktury (klucze API, sekrety)
• Monitorowanie dostępu i logów bezpieczeństwa
• Izolacja danych per użytkownik w warstwie plików (Supabase Storage) — każdy użytkownik ma dostęp wyłącznie do swoich plików

W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator:

• Powiadomi Prezesa Urzędu Ochrony Danych Osobowych w terminie 72 godzin od stwierdzenia naruszenia, zgodnie z art. 33 RODO.
• Powiadomi Użytkowników, których dane dotyczy naruszenie, bez zbędnej zwłoki, zgodnie z art. 34 RODO, jeżeli naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności.
• Podejmie niezwłoczne działania w celu minimalizacji skutków naruszenia i zapobiegnięcia podobnym incydentom w przyszłości.

Usługodawca zastrzega sobie prawo do zmiany Polityki Prywatności. O istotnych zmianach Użytkownik zostanie poinformowany drogą e-mailową z co najmniej 14-dniowym wyprzedzeniem.