Polityka prywatności
BEEZEE
Ostatnia aktualizacja: maj 2026 r.
Wersja: 1.0
Niniejszy dokument stanowi wspólną informację o ochronie danych osobowych wydaną przez obu wspólnych administratorów zgodnie z art. 26 ust. 2 RODO. Poprzednie wersje są dostępne na żądanie.
1. Kim jesteśmy i jaka jest nasza rola
BEEZEE to platforma do zarządzania personelem opracowana i obsługiwana wspólnie przez:
- Ivan Melchenko, Indywidualna działalność gospodarcza, NIP: 5243010892, REGON: 529035345, ul. Gioacchino Rossiniego 9 lok. 38, 03-289 Warszawa, Polska; oraz
- Andrei Rabeshka, Indywidualna działalność gospodarcza, NIP: 8522681635, REGON: 521826797, ul. Bartosza Głowackiego 27/23, 70-238 Szczecin, Polska
(„my”, „nas”, „nasz”). Dostarczamy narzędzia mobilne, które pomagają firmom zarządzać zmianami pracowników, zadaniami, przerwami oraz zapasami.
Dane kontaktowe:
- E-mail: biznest.platform@gmail.com (jedyny punkt kontaktowy w sprawach dotyczących ochrony danych)
- Adres pocztowy: Ivan Melchenko, ul. Gioacchino Rossiniego 9 lok. 38, 03-289 Warszawa, Polska / Andrei Rabeshka, ul. Bartosza Głowackiego 27/23, 70-238 Szczecin, Polska
1.1 Nasza rola zależy od tego, czyje dane przetwarzamy
- W przypadku danych pracowników (zmiany, przerwy, zadania, zdjęcia, powiadomienia, harmonogramy, wnioski o wydanie materiałów dodane do platformy przez menedżera) — administratorem danych jest Państwa pracodawca (menedżer, który utworzył Państwa konto). Działamy jako podmiot przetwarzający dane w imieniu pracodawcy zgodnie z art. 28 RODO. Warunki tego przetwarzania są określone w naszych Warunkach użytkowania (sekcja 5 — Umowa o przetwarzaniu danych). Aby skorzystać z przysługujących Państwu praw dotyczących tych danych, prosimy najpierw skontaktować się z pracodawcą; pomożemy mu w udzieleniu odpowiedzi. W przypadku gdy pracodawca przetwarza Państwa dane jako administrator danych, podstawy prawne mające zastosowanie do tego przetwarzania są określane przez pracodawcę i mogą obejmować realizację umowy o pracę (art. 6 ust. 1 lit. b)), obowiązek prawny (art. 6 ust. 1 lit. c)) lub przepisy prawa pracy (art. 9 ust. 2 lit. b) w związku z art. 88 RODO).
- W przypadku danych menedżera (posiadacza konta) oraz danych na poziomie platformy (rejestracja konta, dane związane z rozliczeniami, logi bezpieczeństwa, zagregowane statystyki platformy) — Ivan Melchenko i Andrei Rabeshka pełnią funkcję wspólnych administratorów zgodnie z art. 26 RODO.
1.2 Porozumienie o wspólnym administrowaniu danymi (art. 26 RODO — istota)
Ivan Melchenko i Andrei Rabeshka uzgodnili na piśmie podział swoich obowiązków wynikających z RODO. Istota tego porozumienia jest następująca:
- Każdy z administratorów może przyjmować i przetwarzać wnioski osób, których dane dotyczą; punktem kontaktowym dla wszystkich takich wniosków jest adres biznest.platform@gmail.com.
- Obowiązki informacyjne wynikające z art. 13 i 14 RODO są wypełniane wspólnie poprzez niniejszą Politykę prywatności.
- Obaj administratorzy ponoszą solidarną odpowiedzialność wobec osób, których dane dotyczą, niezależnie od wewnętrznego podziału obowiązków, zgodnie z art. 26 ust. 3 RODO.
Pełna treść porozumienia jest dostępna na żądanie.
1.3 Inspektor ochrony danych
Przeanalizowaliśmy art. 37 RODO i doszliśmy do wniosku, że nie ma obowiązku wyznaczania inspektora ochrony danych. Wszelkie zapytania dotyczące ochrony danych należy kierować na podany powyżej adres e-mail.
1.4 Dzieci
Usługa jest przeznaczona do użytku w kontekście zatrudnienia zawodowego i nie jest skierowana do osób poniżej 16 roku życia. Nie gromadzimy ani nie przetwarzamy świadomie danych osobowych osób poniżej 16 roku życia. Jeśli uważają Państwo, że nieumyślnie to uczyniliśmy, prosimy o kontakt z nami, abyśmy mogli usunąć te dane.
2. Jakie dane gromadzimy
Gromadzimy następujące kategorie danych osobowych. W przypadku przetwarzania tych danych w imieniu Państwa pracodawcy, czynimy to wyłącznie zgodnie z udokumentowanymi instrukcjami pracodawcy:
| Kategoria | Dane | Dlaczego są nam potrzebne |
|---|---|---|
| Dane konta | Imię, nazwisko, adres e-mail | W celu utworzenia konta i zarządzania nim |
| Dane uwierzytelniające | Hasło (przechowywane wyłącznie w postaci skrótu kryptograficznego — nigdy nie przechowujemy Państwa rzeczywistego hasła), tokeny dostępu i odświeżania | W celu weryfikacji tożsamości użytkownika i utrzymania logowania |
| Dane dotyczące aktywności w pracy | Godziny rozpoczęcia i zakończenia zmiany, godziny rozpoczęcia i zakończenia przerwy, czas trwania przerwy, obliczenia czasu pracy, status zmiany | W celu rejestrowania godzin pracy i zapewnienia zgodności z przepisami prawa pracy |
| Dane dotyczące zadań | Przydzielone zadania, daty i godziny wykonania, status zadania, notatki dotyczące zadania, komentarze do zadania | Zarządzanie zadaniami i śledzenie ich realizacji |
| Zdjęcia | Zdjęcia potwierdzające wykonanie zadania, zdjęcia opisujące zadanie oraz zdjęcia dotyczące zapotrzebowania na materiały (z aparatu lub biblioteki zdjęć) | W celu dostarczenia wizualnej dokumentacji wykonanej pracy |
| Zaplanowane zmiany | Planowane daty pracy, godziny rozpoczęcia i zakończenia, notatki, status „wersja robocza”/„opublikowana” | W celu wcześniejszego zaplanowania harmonogramów pracy pracowników |
| Zgłoszenia dotyczące zapasów | Nazwa pozycji, opis, uwagi, kategoria, priorytet, załączone zdjęcia | Aby umożliwić pracownikom składanie wniosków o materiały eksploatacyjne |
| Powiadomienia | Komunikaty powiadomień (mogą zawierać nazwy zadań i nazwiska współpracowników) | W celu dostarczania powiadomień w czasie rzeczywistym dotyczących zadań i zmian w harmonogramie |
| Dane urządzenia | Token powiadomień push, platforma urządzenia (iOS lub Android) | W celu wysyłania powiadomień push na Państwa urządzenie |
| Preferencje | Ustawienie języka (angielski, polski lub ukraiński) | Aby wyświetlać aplikację w preferowanym języku |
| Dane audytowe | Sygnatury czasowe i identyfikatory użytkowników rejestrujące, kto utworzył lub ostatnio zmodyfikował każdy rekord | W celu zachowania odpowiedzialności i bezpieczeństwa |
| Logi serwera/logi techniczne | Adres IP, znaczniki czasu żądań, nagłówki HTTP | Monitorowanie bezpieczeństwa, zapobieganie nadużyciom, debugowanie |
Uwaga: Zagregowane statystyki przedstawiane menedżerom (np. podsumowania zmian, wskaźniki realizacji zadań) pochodzą z danych osobowych wymienionych powyżej. Sam proces wyliczania agregatów na podstawie poszczególnych rekordów stanowi czynność przetwarzania objętą niniejszą informacją.
3. Dlaczego gromadzimy Państwa dane (podstawa prawna)
Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) przetwarzamy Państwa dane osobowe w oparciu o następujące podstawy prawne:
Wykonanie umowy (art. 6 ust. 1 lit. b)) Większość gromadzonych przez nas danych jest niezbędna do świadczenia usługi zarządzania personelem, z której Państwo lub Państwa pracodawca skorzystali. Obejmuje to: dane konta, dane uwierzytelniające, dane dotyczące aktywności zawodowej, dane dotyczące zadań, zaplanowane zmiany, wnioski o wydanie materiałów oraz preferencje językowe.
Obowiązek prawny (art. 6 ust. 1 lit. c)) Rejestry zmian i przerw są również przetwarzane w celu spełnienia wymogów prawa pracy dotyczących prowadzenia ewidencji czasu pracy.
Uzasadniony interes (art. 6 ust. 1 lit. f)) W przypadku poniższych czynności przetwarzania opieramy się na uzasadnionym interesie, dążąc do realizacji wskazanych konkretnych interesów:
- Ścieżka audytu — nasz interes w zapewnieniu bezpieczeństwa, integralności i rozliczalności Usługi oraz w możliwości wykrywania i badania nadużyć;
- Powiadomienia push — nasz oraz interes Państwa pracodawcy w terminowej komunikacji operacyjnej, aby Usługa mogła funkcjonować zgodnie z przeznaczeniem;
- Zdjęcia zadań i komentarze do zadań — interes Państwa pracodawcy w możliwości weryfikacji wykonania pracy oraz wymiany informacji zwrotnych dotyczących działalności operacyjnej;
- Zbiorcze statystyki — interes Państwa pracodawcy w zakresie zarządzania operacyjnego jego działalnością;
- Monitorowanie bezpieczeństwa i zapobieganie nadużyciom — nasz interes w ochronie Usługi, naszej infrastruktury i naszych użytkowników przed oszustwami, nadużyciami i nieuprawnionym dostępem;
- Dzienniki serwerowe/techniczne — nasz interes w utrzymaniu bezpieczeństwa, dostępności i integralności infrastruktury oraz w wykrywaniu, diagnozowaniu i zapobieganiu nadużyciom i awariom technicznym.
Przeprowadziliśmy test wyważenia interesów dla każdego z tych interesów i doszliśmy do wniosku, że nie są one nadrzędne wobec Państwa interesów, praw i wolności. W każdej chwili mogą Państwo sprzeciwić się przetwarzaniu opartemu na prawnie uzasadnionym interesie — patrz sekcja 7.
Zgoda (art. 6 ust. 1 lit. a)) Obecnie nie opieramy się na zgodzie jako podstawie prawnej. Jeśli kiedykolwiek poprosimy Państwa o zgodę na konkretną czynność przetwarzania, będą Państwo mogli ją wycofać w dowolnym momencie ze skutkiem na przyszłość, bez wpływu na zgodność z prawem przetwarzania przeprowadzonego przed wycofaniem (art. 7 ust. 3 RODO).
Mechanizm akceptacji umowy: Gdy nowy użytkownik loguje się do Serwisu po raz pierwszy, wyświetla się obowiązkowy ekran akceptacji, na którym musi potwierdzić akceptację Warunków użytkowania i niniejszej Polityki prywatności poprzez zaznaczenie pola wyboru przed uzyskaniem dostępu do jakichkolwiek funkcji. Stanowi to akceptację umowną — podstawą prawną przetwarzania opisanego w niniejszej sekcji jest wykonanie umowy (art. 6 ust. 1 lit. b) lub prawnie uzasadniony interes (art. 6 ust. 1 lit. f)), a nie zgoda w rozumieniu art. 6 ust. 1 lit. a) RODO.
Czy podanie danych jest wymagane
Podanie danych wymienionych w sekcji 2 stanowi wymóg umowny niezbędny do korzystania z Usługi. Jeśli ich nie poda, Państwa pracodawca nie będzie mógł utworzyć dla Państwa konta na platformie, a Państwo nie będą mogli korzystać z Usługi. Podanie danych dotyczących zmian i przerw stanowi dodatkowo wymóg ustawowy w zakresie, w jakim Państwa pracodawca jest zobowiązany do prowadzenia ewidencji czasu pracy zgodnie z polskim prawem pracy.
Brak zautomatyzowanego podejmowania decyzji lub profilowania
Nie prowadzimy zautomatyzowanego podejmowania decyzji, w tym profilowania, które wywołuje skutki prawne dotyczące Państwa lub w podobny sposób znacząco na Państwa wpływa w rozumieniu art. 22 RODO. Nie zajmujemy się profilowaniem użytkowników. Statystyki przedstawiane Państwa przełożonemu mają charakter wyłącznie opisowy i są zbiorczymi danymi.
Źródło danych
Jeśli jest Pan/Pani pracownikiem, dane dotyczące Pana/Pani konta (imię i nazwisko, adres e-mail, stanowisko) są nam zazwyczaj przekazywane przez Pana/Pani pracodawcę (kierownika). Wszystkie pozostałe dane są generowane w wyniku korzystania przez Pana/Panią z Usługi. Spełnia to nasz obowiązek informacyjny wynikający z art. 14 RODO.
4. Odbiorcy i podmioty przetwarzające Państwa dane
Współpracujemy z następującymi kategoriami odbiorców. W przypadku gdy odbiorca działa w naszym imieniu zgodnie z udokumentowanymi instrukcjami, jest on naszym podmiotem przetwarzającym w rozumieniu art. 4 ust. 8 RODO; w przeciwnym razie jest on niezależnym odbiorcą.
| Odbiorca | Rola | Co otrzymują | Dlaczego |
|---|---|---|---|
| Pański pracodawca (kierownik) | Niezależny administrator | Dane dotyczące Państwa aktywności zawodowej — zmiany, przerwy, zadania, zdjęcia zadań, wnioski o wydanie materiałów | Kierownicy wykorzystują te dane do prowadzenia działalności i zarządzania pracą pracowników |
| Microsoft Azure | Podmiot przetwarzający (podwykonawca) | Wszystkie dane platformy (rekordy bazy danych, przesłane pliki) | Zapewnia zarządzaną bazę danych w chmurze, pamięć obiektową, moc obliczeniową oraz usługi zarządzania danymi poufnymi, na których opiera się Usługa |
| Apple (APNs) | Podmiot przetwarzający (podwykonawca) | Token urządzenia, tytuł powiadomienia i treść | W celu dostarczania powiadomień push na urządzenia z systemem iOS |
| Google (FCM) | Podmiot przetwarzający (podwykonawca) | Token urządzenia, tytuł powiadomienia i treść | W celu dostarczania powiadomień push na urządzenia z systemem Android |
Dostęp do danych osobowych w ramach BEEZEE jest ograniczony do personelu, który potrzebuje ich do świadczenia lub utrzymania Usługi, i jest kontrolowany za pomocą mechanizmów kontroli dostępu opartych na rolach.
Nie sprzedajemy Państwa danych osobowych żadnym podmiotom zewnętrznym. Nie korzystamy z żadnych zewnętrznych usług analitycznych, reklamowych ani usług zgłaszania awarii.
5. Międzynarodowe przekazywanie danych
Nasza infrastruktura chmury jest wdrożona w regionie UE. Państwa dane podstawowe (rekordy bazy danych i przesłane pliki) są przechowywane i przetwarzane na terenie Unii Europejskiej/Europejskiego Obszaru Gospodarczego.
Niektórzy pracownicy podwykonawców zajmujący się wsparciem, monitorowaniem lub konserwacją mogą znajdować się poza EOG. Każdy taki dostęp jest ograniczony, rejestrowany i chroniony przez zabezpieczenia umowne wymienione poniżej (w szczególności standardowe klauzule umowne włączone do odpowiednich umów o przetwarzaniu danych). Kopia obowiązujących zabezpieczeń jest dostępna na żądanie pod adresem biznest.platform@gmail.com.
Powiadomienia push wymagają przesłania ograniczonej ilości danych do Stanów Zjednoczonych:
| Odbiorca | Safeguard |
|---|---|
| Apple (APNs) | Umowa Apple dotycząca przetwarzania danych; certyfikacja w ramach ram ochrony danych UE–USA |
| Google (FCM) | Aneks dotyczący przetwarzania danych w Google Cloud; certyfikacja w ramach ram ochrony danych UE–USA; standardowe klauzule umowne |
| Microsoft Azure | Aneks dotyczący ochrony danych w produktach i usługach Microsoft (DPA); standardowe klauzule umowne zatwierdzone przez UE. Rutynowe przetwarzanie danych odbywa się w regionie UE; dostęp spoza EOG jest ograniczony do wsparcia technicznego i konserwacji oraz objęty jest tymi samymi zabezpieczeniami. |
6. Jak długo przechowujemy Państwa dane
| Dane | okres przechowywania | Sposób usuwania |
|---|---|---|
| Dane konta | Do momentu zgłoszenia prośby o usunięcie przez Państwa lub Państwa przełożonego | Kierownik usunie konto użytkownika lub skontaktujesz się z nami bezpośrednio |
| Tokeny dostępu | 24 godziny | Wygasają automatycznie |
| Tokeny odświeżające | 7 dni | Wygasają automatycznie; tracą ważność natychmiast po wylogowaniu |
| Zmiany i przerwy | Na czas trwania umowy z pracodawcą (kierownikiem) | Usuwane po zakończeniu umowy lub na żądanie pracodawcy. Za przestrzeganie obowiązków w zakresie prowadzenia dokumentacji wynikających z polskiego prawa pracy odpowiada pracodawca (Kierownik) jako administrator danych. W szczególności art. 94 pkt 9b Kodeksu pracy nakłada na pracodawców obowiązek przechowywania dokumentacji zatrudnienia i czasu pracy przez okres do 10 lat od zakończenia stosunku pracy (w przypadku pracowników zatrudnionych od 1 stycznia 2019 r.; w przypadku innych stosunków pracy mogą mieć zastosowanie wcześniejsze przepisy przejściowe). |
| Zadania i zdjęcia zadań | Do momentu usunięcia zadania przez menedżera lub upływu 12 miesięcy od przesłania zdjęcia (w zależności od tego, co nastąpi wcześniej) | Kierownik usuwa zadanie; lub zdjęcia są automatycznie usuwane 12 miesięcy po przesłaniu |
| Komentarze do zadań | Do momentu usunięcia zadania nadrzędnego | Usuwane wraz z zadaniem |
| Powiadomienia | 12 miesięcy od dostarczenia lub do momentu zgłoszenia prośby o usunięcie (w zależności od tego, co nastąpi wcześniej) | Automatycznie usuwane po 12 miesiącach; na żądanie można je usunąć wcześniej |
| Zaplanowane zmiany | 3 lata od planowanej daty zmiany | Kierownik może usunąć poszczególne zaplanowane zmiany; w przeciwnym razie dane są usuwane po 3 latach |
| Zgłoszenia dotyczące zapasów | 3 lata od utworzenia | Kierownik może usuwać poszczególne wnioski; w przeciwnym razie zostaną one usunięte po upływie 3 lat |
| Tokeny push urządzeń | Do momentu wylogowania się lub odrzucenia tokenu przez Apple/Google | Usuwane automatycznie po wylogowaniu; nieaktualne tokeny są usuwane, gdy usługa powiadomień je odrzuci |
| Ścieżka audytu | Tak samo jak w przypadku rekordu nadrzędnego | Usuwany po usunięciu rekordu nadrzędnego |
| Logi serwerowe/techniczne | 90 dni od momentu zebrania | Automatycznie usuwane po 90 dniach |
| Dane z urządzenia lokalnego | Do momentu wylogowania się lub odinstalowania aplikacji | Wszystkie dane lokalne są automatycznie usuwane po wylogowaniu |
| Preferencje językowe | Przez cały okres istnienia konta | Usuwane po usunięciu konta |
Przechowujemy Państwa dane tylko tak długo, jak jest to konieczne do celów opisanych w niniejszej polityce lub zgodnie z obowiązującym prawem. Powyższe okresy przechowywania są okresami maksymalnymi — dane mogą zostać usunięte wcześniej, jeżeli wniosek o usunięcie może zostać zgodnie z prawem uwzględniony.
W przypadku gdy dane są zawarte w kopiach zapasowych platformy, zostaną one usunięte z kopii zapasowych w ramach zwykłego cyklu przechowywania kopii zapasowych, który nie przekracza 90 dni. Po zamknięciu konta dane są przechowywane przez 90 dni od daty wygaśnięcia umowy, aby umożliwić reaktywację lub eksport danych. Po upływie 90 dni bez reaktywacji dane są trwale usuwane z systemów podstawowych, zgodnie z sekcją 4.3 naszych Warunków użytkowania. Dane przechowywane w istniejących kopiach zapasowych w momencie usunięcia zostaną usunięte wraz z wygaśnięciem tych kopii zapasowych, w tym samym maksymalnym terminie 90 dni.
7. Państwa prawa
Zgodnie z RODO przysługują Państwu następujące prawa dotyczące Państwa danych osobowych:
Prawo dostępu (art. 15) Może Pan/Pani przeglądać swój profil, zmiany, zadania i powiadomienia za pośrednictwem aplikacji. Może Pan/Pani również zwrócić się do nas z prośbą o udostępnienie pełnej kopii wszystkich danych osobowych, które posiadamy na Pana/Pani temat.
Prawo do sprostowania (art. 16) Jeśli Państwa dane osobowe są nieprawidłowe lub nieaktualne, mogą Państwo poprosić o ich sprostowanie, kontaktując się ze swoim przełożonym lub bezpośrednio z nami.
Prawo do usunięcia danych — „prawo do bycia zapomnianym” (art. 17) Może Pan/Pani poprosić o usunięcie swojego konta i powiązanych danych osobowych, kontaktując się z nami. Niektóre dane mogą podlegać prawnym obowiązkom przechowywania danych mającym zastosowanie do Pana/Pani pracodawcy zgodnie z polskim prawem pracy (Kodeks pracy, art. 94 pkt 9b w związku z art. 94⁵). W takich przypadkach będziemy przetwarzać wnioski o usunięcie zgodnie z instrukcjami pracodawcy pełniącego rolę administratora danych. Poinformujemy Pana/Panią, jeśli którekolwiek z Pana/Pani danych nie mogą zostać usunięte z tego powodu.
Prawo do ograniczenia przetwarzania (art. 18) Mogą Państwo zwrócić się do nas z prośbą o ograniczenie sposobu wykorzystywania Państwa danych. Dezaktywacja konta skutecznie ogranicza przetwarzanie poprzez uniemożliwienie dalszego dostępu.
Prawo do przenoszenia danych (art. 20) Mają Państwo prawo do otrzymania swoich danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Prosimy o kontakt w celu złożenia wniosku o eksport danych.
Prawo do wniesienia sprzeciwu (art. 21) Mają Państwo prawo wnieść sprzeciw, z przyczyn związanych z Państwa szczególną sytuacją, wobec przetwarzania opartego na prawnie uzasadnionym interesie (takim jak dzienniki audytowe, powiadomienia, zdjęcia i zagregowane statystyki). W przypadku wniesienia sprzeciwu zaprzestaniemy przetwarzania, chyba że będziemy w stanie wykazać istotne prawnie uzasadnione podstawy, które są nadrzędne wobec Państwa interesów, praw i wolności, lub chyba że przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych.
Prawo do wniesienia sprzeciwu wobec marketingu bezpośredniego (art. 21 ust. 2) Mają Państwo bezwarunkowe prawo downiesieniaw dowolnym momencie sprzeciwuwobecprzetwarzania Państwa danych osobowych do celów marketingu bezpośredniego, w tym wobec profilowania prowadzonego na potrzeby marketingu bezpośredniego. Prawo to ma charakter bezwzględny – nie można go równoważyć naszymi interesami – i zaprzestaniemy takiego przetwarzania niezwłocznie po otrzymaniu Państwa sprzeciwu. Obecnie nie prowadzimy marketingu bezpośredniego, ale prawo to będzie miało zastosowanie natychmiast, jeśli będziemy go prowadzić w przyszłości.
Prawo do wycofania zgody (art. 7 ust. 3) W przypadku gdy przetwarzanie opiera się na Państwa zgodzie, mogą Państwo wycofać tę zgodę w dowolnym momencie ze skutkiem na przyszłość. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, które miało miejsce przed wycofaniem.
Prawo do wniesienia skargi Jeśli uważają Państwo, że Państwa prawa w zakresie ochrony danych zostały naruszone, mają Państwo prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polska, lub do organu nadzorczego w Państwa kraju zamieszkania.
Jak skorzystać ze swoich praw: Prosimy o kontakt pod adresem biznest.platform@gmail.com. Odpowiemy w ciągu miesiąca od otrzymania Państwa wniosku. W przypadku złożonych lub licznych wniosków termin ten może zostać przedłużony o kolejne dwa miesiące; w takim przypadku poinformujemy Państwa o tym w ciągu miesiąca od otrzymania wniosku i wyjaśnimy powód przedłużenia (art. 12 ust. 3 RODO). W celu ochrony Państwa prywatności może zaistnieć konieczność zweryfikowania Państwa tożsamości przed realizacją wniosku.
8. Środki bezpieczeństwa
Wdrażamy odpowiednie środki techniczne i organizacyjne mające na celu zapewnienie poziomu bezpieczeństwa odpowiedniego do ryzyka, zgodnie z art. 32 RODO. Obejmują one w szczególności:
Szyfrowanie
- Szyfrowanie danych przesyłanych między aplikacją a naszymi serwerami przy użyciu aktualnych standardów bezpieczeństwa transmisji danych;
- Szyfrowanie danych przechowywanych w naszej zarządzanej bazie danych i magazynie obiektów;
- Wykorzystanie bezpiecznej pamięci na poziomie platformy w Państwa urządzeniu mobilnym do przechowywania wrażliwych danych lokalnych.
Uwierzytelnianie i kontrola dostępu
- Hasła nigdy nie są przechowywane w postaci zwykłego tekstu — wyłącznie jako skróty kryptograficzne przy użyciu algorytmu haszowania haseł z solą, zgodnego ze standardami branżowymi;
- Krótkotrwałe, podpisane tokeny dostępu w połączeniu z rotacyjnymi tokenami odświeżania, które tracą ważność po użyciu i wylogowaniu;
- Kontrola dostępu oparta na rolach: pracownicy mają dostęp wyłącznie do swoich danych; menedżerowie mają dostęp wyłącznie do danych dotyczących własnej działalności;
- Wszystkie zapytania o dane są automatycznie ograniczane do danej firmy, dzięki czemu jedna firma nie ma dostępu do danych innej.
Bezpieczeństwo operacyjne
- Sekrety (poświadczenia, klucze podpisujące, klucze API) są przechowywane w dedykowanej, zarządzanej usłudze zarządzania sekretami, nigdy w kodzie źródłowym;
- Każdy rekord zawiera ścieżkę audytu wskazującą, kto go utworzył i kto ostatnio zmodyfikował;
- Nieaktualne tokeny urządzeń są automatycznie usuwane;
- Wylogowanie powoduje usunięcie danych lokalnych, wyrejestrowanie tokenu push oraz unieważnienie tokenu odświeżającego po stronie serwera;
- Okresowo weryfikujemy i testujemy nasze mechanizmy bezpieczeństwa;
- Przeprowadzamy okresowe oceny podatności naszej infrastruktury.
Powiadomienie o naruszeniu ochrony danych osobowych
W przypadku gdy naruszenie ochrony danych osobowych może spowodować wysokie ryzyko dla Państwa praw i wolności, powiadomimy Państwa bez zbędnej zwłoki zgodnie z art. 34 RODO. W przypadku gdy działamy jako podmiot przetwarzający dane w imieniu Państwa pracodawcy, powiadomimy pracodawcę (administratora danych) bez zbędnej zwłoki po stwierdzeniu naruszenia, aby mógł on wypełnić swoje obowiązki w zakresie powiadamiania. W przypadkach wymaganych przez art. 33 RODO powiadomimy odpowiedni organ nadzorczy (UODO) w ciągu 72 godzin od stwierdzenia naruszenia.
9. Lokalna pamięć na Państwa urządzeniu
Aplikacja mobilna BEEZEE przechowuje ograniczoną ilość danych lokalnie na Państwa urządzeniu, korzystając z bezpiecznej pamięci urządzenia (nie z plików cookie przeglądarki). Zestawy SDK do powiadomień push (Apple APNs, Google FCM) przypisują token push na poziomie urządzenia, wykorzystywany wyłącznie do dostarczania powiadomień; nie używamy żadnych identyfikatorów reklamowych, zestawów SDK do analizy danych ani technologii śledzenia stron trzecich. Lokalna pamięć obejmuje w szczególności: tokeny uwierzytelniające (umożliwiające utrzymanie logowania), podstawowe informacje o profilu i sesji, ustawienia języka, krótkotrwałą pamięć podręczną ostatnio przeglądanych treści oraz kolejkę działań offline. Kolejka działań offline jest czyszczona po wylogowaniu wraz ze wszystkimi innymi danymi lokalnymi.
Wszystkie dane lokalne są usuwane po wylogowaniu. W każdej chwili mogą Państwo wyłączyć powiadomienia push w ustawieniach systemu operacyjnego swojego urządzenia.
10. Zmiany w niniejszej Polityce
Od czasu do czasu możemy aktualizować niniejszą Politykę prywatności, aby odzwierciedlić zmiany w naszych praktykach lub z przyczyn prawnych, regulacyjnych lub operacyjnych.
W przypadku wprowadzenia istotnych zmian powiadomimy Państwa o tym za pośrednictwem aplikacji. Zachęcamy do okresowego zapoznawania się z niniejszą polityką.
Data podana na górze niniejszej polityki wskazuje, kiedy została ona ostatnio zaktualizowana.
11. Wersje językowe
Niniejsza Polityka prywatności jest dostępna w języku angielskim, polskim i ukraińskim. W przypadku klientów znajdujących się w Polsce wersja polska jest wersją nadrzędną i ma pierwszeństwo w przypadku jakichkolwiek rozbieżności między wersjami językowymi. W przypadku wszystkich klientów spoza Polski wersja angielska jest wersją nadrzędną i ma pierwszeństwo w przypadku jakichkolwiek rozbieżności między wersjami językowymi. W przypadku Klientów będących konsumentami lub quasi-konsumentami w rozumieniu prawa polskiego, w razie jakichkolwiek rozbieżności między wersjami językowymi zastosowanie ma interpretacja najbardziej korzystna dla konsumenta, a żadne postanowienie niniejszej klauzuli nie pozbawia takich Klientów ochrony wynikającej z bezwzględnie obowiązujących przepisów polskiego prawa o ochronie konsumentów.