Polityka Prywatności

1. Informacje ogólne

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych w związku z korzystaniem z serwisu aibrainworks.app oraz aplikacji mobilnej ECP — Ewidencja Czasu Pracy.

Właścicielem serwisu jest:

Polbiur
ul. Sikorskiego 7/42
07-200 Wyszków
NIP: 966-176-80-85
E-mail: aibrainworks.app@gmail.com

2. Rola aibrainworks.app w przetwarzaniu danych

W zależności od kategorii danych, aibrainworks.app pełni różne role:

Jako administrator danych (art. 6 RODO):

• Danych firm-klientów (nazwa firmy, NIP, adres, e-mail, dane osoby rejestrującej konto) — w celu świadczenia usługi, wystawiania faktur oraz komunikacji.
• Danych technicznych (logi serwera, adresy IP) — w celu zapewnienia bezpieczeństwa i poprawnego działania serwisu.

Jako podmiot przetwarzający (procesor, art. 28 RODO):

• Danych osobowych pracowników Klienta (imię, nazwisko, telefon, GPS, logi czasu pracy) — przetwarzanych wyłącznie w imieniu i na polecenie Klienta (pracodawcy), na podstawie umowy powierzenia przetwarzania danych (DPA).

Administratorem danych osobowych pracowników jest firma (pracodawca), która zarejestrowała konto w serwisie aibrainworks.app. Wszelkie pytania dotyczące przetwarzania danych pracowników powinny być kierowane do pracodawcy (administratora danych).

3. Zakres zbieranych danych

W ramach świadczenia usługi ECP przetwarzamy następujące kategorie danych osobowych:

Dane firmy-klienta (administrator — Polbiur):

• Nazwa firmy, NIP, adres siedziby
• Adres e-mail do korespondencji i faktur
• Dane osoby rejestrującej konto (imię, nazwisko, telefon)

Dane pracowników (procesor — Polbiur, administrator — pracodawca):

• Imię i nazwisko
• Numer telefonu
• Dane lokalizacji GPS (współrzędne geograficzne w momencie rozpoczęcia i zakończenia pracy oraz w trakcie jej trwania)
• Logi czasu pracy (start, stop, przerwy)
• Informacje o urlopach i nieobecnościach
• Token urządzenia mobilnego (do powiadomień push)

Dane techniczne (zbierane automatycznie):

• Adres IP
• Typ przeglądarki i systemu operacyjnego (User-Agent)
• Datę i godzinę żądania
• Adres URL żądanej strony

Dane techniczne są zbierane automatycznie przez serwer (logi nginx) w celu zapewnienia bezpieczeństwa, diagnostyki błędów oraz ochrony przed nadużyciami.

4. Cel przetwarzania danych

Dane są przetwarzane wyłącznie w celu:

• Świadczenia usługi ewidencji czasu pracy na rzecz firmy-klienta
• Weryfikacji lokalizacji pracownika w momencie rejestracji czasu pracy (GPS)
• Generowania raportów i zestawień dla pracodawcy
• Wysyłania powiadomień push związanych z ewidencją czasu pracy
• Wystawiania faktur za usługę
• Komunikacji technicznej i obsługi zgłoszeń
• Zapewnienia bezpieczeństwa i poprawnego działania serwisu (logi serwera)
• Tworzenia kopii zapasowych w celu ochrony danych przed utratą

5. Podstawa prawna przetwarzania

Dane firm-klientów (Polbiur jako administrator):

• Art. 6 ust. 1 lit. b RODO — przetwarzanie jest niezbędne do wykonania umowy (świadczenie usługi SaaS)
• Art. 6 ust. 1 lit. c RODO — wypełnienie obowiązku prawnego (wystawianie faktur, księgowość)
• Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (bezpieczeństwo systemu, diagnostyka, logi serwera)

Dane pracowników (Polbiur jako procesor):

• Art. 28 RODO — przetwarzanie na podstawie umowy powierzenia przetwarzania danych między administratorem (pracodawcą) a procesorem (Polbiur)
• Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes administratora (pracodawcy) w zakresie ewidencji czasu pracy pracowników

Zbieranie danych GPS pracowników wymaga odrębnej zgody pracownika lub innej podstawy prawnej (np. uzasadniony interes pracodawcy), za co odpowiada pracodawca (administrator danych).

6. Okres przechowywania danych

• Dane ewidencji czasu pracy (logi start/stop, przerwy, urlopy) przechowywane są przez okres 10 lat od momentu ich zarejestrowania, zgodnie z wymogami prawa pracy (art. 94 pkt 9a Kodeksu pracy).
• Dane lokalizacji GPS przechowywane są przez okres 3 lat od momentu ich zarejestrowania. Po upływie tego okresu dane GPS są automatycznie usuwane. Krótszy okres przechowywania danych GPS wynika z zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO) — dane lokalizacyjne nie są wymagane do celów archiwalnych.
• Dane rozliczeniowe (faktury) przechowywane są przez okres 5 lat od końca roku podatkowego, zgodnie z przepisami podatkowymi.
• Logi serwera (dane techniczne) przechowywane są przez okres 90 dni, po czym są automatycznie usuwane.
• Po usunięciu konta firmy przez administratora dane są usuwane w ciągu 30 dni, chyba że ich dalsze przechowywanie jest wymagane przez przepisy prawa.

7. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:

• Szyfrowana komunikacja (HTTPS/TLS)
• Autoryzacja dostępu za pomocą tokenów JWT
• Baza danych zabezpieczona hasłem, dostępna wyłącznie lokalnie na serwerze
• Regularne kopie zapasowe (codziennie, przechowywane lokalnie oraz w chmurze Google Cloud Storage)
• Rozdzielenie danych między firmami (architektura multi-tenant)
• Monitorowanie dostępności systemu

Pomimo stosowania powyższych zabezpieczeń, Usługodawca nie może zagwarantować całkowitego bezpieczeństwa danych przesyłanych drogą elektroniczną. Klient akceptuje ryzyko związane z transmisją danych przez internet.

8. Udostępnianie danych podmiotom trzecim

Dane osobowe nie są sprzedawane ani udostępniane podmiotom trzecim w celach marketingowych. Dane mogą być przekazywane wyłącznie następującym podmiotom (podprocesorom), wyłącznie w zakresie niezbędnym do świadczenia Usługi:

• Google Firebase (Google LLC) — w celu wysyłania powiadomień push (token FCM). Dane przetwarzane w infrastrukturze Google w UE/EOG.
• Google Cloud Storage (Google LLC) — w celu przechowywania zaszyfrowanych kopii zapasowych bazy danych. Bucket zlokalizowany w regionie europe-central2 (Warszawa, Polska).
• OVH SAS — hosting serwera (Francja, UE)
• Organom państwowym — wyłącznie na podstawie przepisów prawa

Usługodawca nie przekazuje danych osobowych do państw trzecich (poza EOG), chyba że wynika to z korzystania z usług podprocesorów posiadających odpowiednie zabezpieczenia (standardowe klauzule umowne UE lub decyzja o adekwatności).

9. Prawa osób, których dane dotyczą

Pracownicy, których dane są przetwarzane w systemie, mają prawo do:

• Dostępu do swoich danych
• Sprostowania danych
• Usunięcia danych (prawo do bycia zapomnianym)
• Ograniczenia przetwarzania
• Przenoszenia danych
• Sprzeciwu wobec przetwarzania
• Wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO)

Powyższe prawa w zakresie danych pracowników realizowane są za pośrednictwem pracodawcy (administratora danych). W sprawach dotyczących danych firm-klientów (gdzie Polbiur jest administratorem) prosimy o bezpośredni kontakt: aibrainworks.app@gmail.com.

10. Pliki cookies

Serwis aibrainworks.app korzysta z plików cookies wyłącznie w celach technicznych (utrzymanie sesji logowania). Nie stosujemy cookies analitycznych ani marketingowych.

11. Zmiany polityki prywatności

Zastrzegamy sobie prawo do aktualizacji niniejszej Polityki Prywatności. O istotnych zmianach informujemy za pośrednictwem serwisu lub drogą e-mail. Aktualna wersja jest zawsze dostępna pod adresem aibrainworks.app/privacy.html.

12. Kontakt

W sprawach dotyczących ochrony danych osobowych prosimy o kontakt:

E-mail: aibrainworks.app@gmail.com

Polbiur, ul. Sikorskiego 7/42, 07-200 Wyszków