Wersja robocza — do weryfikacji prawnej. Opisane poniżej fakty dotyczące przetwarzania danych odpowiadają działającemu produktowi; przed udostępnieniem ogólnym należy uzupełnić dane podmiotu i kontaktu oraz potwierdzić treść z radcą prawnym.

Polityka prywatności

Crewmarshal to oprogramowanie SaaS do zarządzania zespołami budowlanymi, sprzedawane organizacjom (klientom). Niniejszy dokument wyjaśnia, jakie dane osobowe przetwarzamy, w jakim celu i jakie prawa przysługują osobom, których dane dotyczą.

1. Administrator i podmiot przetwarzający

Crewmarshal jest sprzedawany organizacjom (dalej „Organizacja”). W odniesieniu do danych osobowych członków zespołów (np. pracowników budowlanych) Organizacja jest administratorem danych, a [nazwa podmiotu / legal entity] działa jako podmiot przetwarzający w jej imieniu, na podstawie umowy powierzenia (DPA). W odniesieniu do danych konta administracyjnego oraz rozliczeń administratorem jest [nazwa podmiotu / legal entity].

2. Jakie dane przetwarzamy

• Dane konta: imię i nazwisko, adres e-mail, rola w organizacji — w celu uwierzytelniania i kontroli dostępu.
• Dane czasu pracy: znaczniki rozpoczęcia/zakończenia pracy, czas przerw, przepracowane godziny, status zatwierdzenia — w celu ewidencji czasu pracy i rozliczeń.
• Lokalizacja (GPS): współrzędne przy rozpoczęciu/zakończeniu pracy —wyłącznie gdy Organizacja włączy tę funkcję (domyślnie wyłączona; patrz §4).
• Zdjęcia: fotografie z budowy przesyłane przez użytkownika i dołączane do zadań/projektów.
• Dane projektowe: projekty, zadania, harmonogramy, dzienniki budowy, umiejętności i nieobecności.
• Wiadomości czatu w ramach projektów oraz tokeny powiadomień push urządzeń.
• Dane techniczne: adres IP (ograniczanie liczby żądań) oraz logi błędów (z usuniętymi danymi osobowymi).

3. Cele i podstawy prawne

Dane przetwarzamy w celu świadczenia usługi na podstawie umowy z Organizacją (art. 6 ust. 1 lit. b RODO) oraz w prawnie uzasadnionym interesie Organizacji jako pracodawcy w zakresie ewidencji pracy i bezpieczeństwa na budowie (art. 6 ust. 1 lit. f RODO). Nie wykorzystujemy danych do reklamy ani profilowania marketingowego i nie sprzedajemy danych.

4. Lokalizacja jest opcjonalna

Zbieranie lokalizacji jest domyślnie wyłączone i może je włączyć wyłącznie Organizacja. Gdy jest wyłączone, aplikacja nie prosi o uprawnienie do lokalizacji, a wszelkie współrzędne są usuwane po stronie serwera. Rejestrowanie czasu pracy nigdynie zależy od GPS — działa również bez dostępu do lokalizacji. Włączona lokalizacja służy wyłącznie do weryfikacji obecności w obszarze budowy (geofence) i ma charakter ostrzegawczy — nigdy nie blokuje rejestracji czasu pracy.

5. Komu udostępniamy dane (podmioty przetwarzające)

Korzystamy ze starannie dobranych dostawców, którzy przetwarzają dane wyłącznie w naszym imieniu, w miarę możliwości w UE:

• Supabase — hostowana baza danych (UE)
• Upstash — pamięć podręczna Redis (UE)
• Amazon Web Services — szyfrowanie kluczy (KMS) i magazyn plików (S3), eu-central-1
• Render — hosting aplikacji (UE / Frankfurt)
• Vercel — hosting aplikacji webowej (region UE)
• Stripe — obsługa płatności i subskrypcji
• Firebase Cloud Messaging / Apple Push Notification service — dostarczanie powiadomień
• Resend — wysyłka wiadomości e-mail (np. zaproszenia, reset hasła)
• Sentry — monitorowanie błędów (dane osobowe usuwane)
• DeepL — tłumaczenie treści (UE) — tylko jeśli Organizacja włączy tłumaczenie automatyczne; w przeciwnym razie żadne treści nie są wysyłane.

6. Gdzie przechowujemy dane

Dane produkcyjne są hostowane w Unii Europejskiej. Klucze API poszczególnych Organizacji przechowywane są w sejfie opartym o KMS i nigdy nie trafiają do aplikacji klienckich ani logów.

7. Okres przechowywania

Dane przechowujemy przez czas obowiązywania umowy z Organizacją. Usunięcie Organizacji powoduje kaskadowe i nieodwracalne usunięcie wszystkich powiązanych danych (realizacja prawa do usunięcia z art. 17 RODO jako pojedyncza operacja).

8. Bezpieczeństwo

Stosujemy szyfrowanie w tranzycie (TLS z własną weryfikacją certyfikatu), izolację danych między Organizacjami (Postgres Row-Level Security), kontrolę dostępu opartą o role (RBAC) oraz sejf kluczy oparty o KMS. Dostęp do danych jest zawsze ograniczony do właściwej Organizacji.

9. Twoje prawa

Przysługuje Ci prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia oraz sprzeciwu. Aplikacja udostępnia eksport danych (przenoszalność, art. 20 RODO) oraz usuwanie danych. Jeśli jesteś członkiem zespołu, prawa realizujesz zwykle za pośrednictwem swojej Organizacji jako administratora; możesz też skontaktować się z nami pod adresem poniżej.

10. Pliki cookie

Używamy wyłącznie niezbędnych plików cookie: sesji (uwierzytelnianie) oraz preferencji (język, motyw). Nie stosujemy plików cookie reklamowych ani śledzących.

11. Zmiany

Istotne zmiany niniejszej polityki ogłosimy w aplikacji oraz zaktualizujemy datę obowiązywania widoczną poniżej.

12. Kontakt

W sprawach dotyczących prywatności: [privacy@crewmarshal.com] ([nazwa podmiotu / legal entity]).