Polityka prywatności

Operatorem serwisu i administratorem danych własnych związanych z kontem, bezpieczeństwem, rozliczeniami i kontaktem jest Maciej Mazurek, prowadzący działalność gospodarczą pod firmą „Usługi IT Maciej Mazurek”, z siedzibą przy ul. Targowej 5/3, 21-450 Stoczek Łukowski, Polska, NIP 5223234720, REGON 522940561, dalej: „Operator”.

W zakresie danych operacyjnych wprowadzanych do aplikacji przez klientów biznesowych co do zasady klient będący firmą jest administratorem danych, a Operator działa jako podmiot przetwarzający na jego udokumentowane polecenie.

W sprawach związanych z prywatnością można skontaktować się z nami pod adresem: contact@spedboard.pl.

Przetwarzamy dane konta i organizacji, w szczególności adres e-mail użytkownika, role i członkostwa, nazwę firmy, przypisania do zespołów oraz dane zaproszeń.

Przetwarzamy również dane operacyjne wprowadzane do aplikacji: ładunki, notatki, historię aktywności, przypomnienia, alerty, karty dashboardu, kontakty, przewoźników, grupy przewoźników i powiązane metadane.

Dane operacyjne mogą zawierać dane osobowe wpisane przez użytkowników, takie jak imię i nazwisko osoby kontaktowej, numer telefonu, adres e-mail lub treść notatki.

Dane własne związane z kontem przetwarzamy w celu założenia i utrzymania konta, uwierzytelniania, bezpieczeństwa, obsługi rozliczeń, komunikacji związanej z usługą oraz obsługi zgłoszeń.

Podstawą przetwarzania jest w zależności od przypadku niezbędność do wykonania umowy lub działań przed jej zawarciem, obowiązek prawny, prawnie uzasadniony interes Operatora albo zgoda, jeżeli jest wymagana.

Dane operacyjne klientów biznesowych przetwarzamy jako podmiot przetwarzający w celu świadczenia usługi zgodnie z umową z klientem.

Zaproszenie do firmy jest tworzone przez właściciela danej organizacji i zawiera adres e-mail, rolę oraz przypisane zespoły. Zaproszony użytkownik samodzielnie akceptuje albo odrzuca zaproszenie na dedykowanej stronie.

Logowanie do Spedboard może odbywać się przy użyciu adresu e-mail i hasła albo przez konto Google, jeżeli użytkownik wybierze tę metodę. W przypadku logowania przez Google otrzymujemy od dostawcy tożsamości dane potrzebne do uwierzytelnienia, w szczególności adres e-mail i podstawowe informacje profilowe udostępnione przez użytkownika.

Wiadomości z zaproszeniem do firmy wysyłamy przez Brevo. Potwierdzenie rejestracji i reset hasła są obecnie obsługiwane przez Supabase Auth.

Samo zalogowanie lub rejestracja nie powodują już automatycznego dołączenia do firmy bez świadomej akceptacji zaproszenia.

Funkcja AI służy do parsowania treści wiadomości lub tekstu wyodrębnionego z PDF w celu przygotowania danych ładunku do zatwierdzenia przez użytkownika.

Surowa treść wejściowa przekazywana do analizy nie jest zapisywana w bazie danych aplikacji.

Plik PDF nie jest przechowywany w bazie danych i nie jest przekazywany bezpośrednio do dostawcy AI. Do analizy trafia wyłącznie wyodrębniony tekst.

Korzystamy z usług wspierających działanie aplikacji, uwierzytelnianie, pocztę transakcyjną, AI, hosting oraz płatności.

Jeżeli użytkownik wybierze logowanie przez Google, Google działa jako zewnętrzny dostawca tożsamości dla danych związanych z kontem i uwierzytelnieniem. Dotyczy to danych konta użytkownika, a nie danych operacyjnych firmy wprowadzanych do aplikacji.

Korzystamy również z Sentry do technicznego monitorowania błędów, wyjątków i stabilności usługi. Narzędzie to służy wyłącznie do diagnostyki technicznej i nie jest używane do marketingu ani replay sesji użytkownika.

Jeżeli w danym środowisku aktywna jest analityka usługi, korzystamy z self-hosted Umami utrzymywanego we własnej infrastrukturze. Służy ono do pomiaru ruchu na stronie marketingowej oraz wybranych zdarzeń produktowych potrzebnych do analizy działania i rozwoju usługi.

Co do zasady korzystamy z infrastruktury i dostawców działających w Europie. Jeżeli jednak wykonanie usługi wymaga przekazania danych poza Europejski Obszar Gospodarczy, stosujemy mechanizmy wymagane przez RODO, w tym standardowe klauzule umowne, jeżeli mają zastosowanie.

Może to dotyczyć w szczególności infrastruktury płatniczej Stripe, a w ograniczonym zakresie także wybranych danych organizacyjnych lub operacyjnych dostawcy Sentry zgodnie z jego modelem usług i właściwymi mechanizmami transferowymi.

Dane konta i organizacji przechowujemy przez okres potrzebny do utrzymania aktywnego konta, realizacji umowy, rozliczeń, obrony roszczeń oraz spełnienia obowiązków prawnych.

Wybrane cache techniczne mają ograniczony czas życia: cache zapytań rejestrowych i cache parsowania AI mają domyślnie 7 dni, a link zaproszenia wygasa po 7 dniach.

Wygaśnięcie linku zaproszenia oznacza brak możliwości użycia tego linku, ale nie oznacza automatycznego natychmiastowego usunięcia rekordu zaproszenia.

W zakresie, w jakim działamy jako administrator danych, przysługują Ci prawa wynikające z RODO, w szczególności prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu oraz cofnięcia zgody, jeżeli przetwarzanie odbywa się na jej podstawie.

Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Wniosek dotyczący prywatności, eksportu danych, usunięcia danych lub usunięcia konta możesz zainicjować z poziomu ustawień konta w aplikacji albo przez kontakt z nami. Realizacja może wymagać weryfikacji uprawnienia do złożenia takiego żądania.

Publiczna strona marketingowa i aplikacja działają jako oddzielne powierzchnie produktu. Marketing nie renderuje stanu konta użytkownika, a obsługa sesji odbywa się po stronie aplikacji.

Jeżeli analityka jest aktywna, na stronie marketingowej służy do pomiaru odwiedzin, źródeł ruchu i skuteczności głównych CTA, a w aplikacji do pomiaru wybranych zdarzeń produktowych, takich jak rejestracja, aktywacja, korzystanie z kluczowych funkcji i działania związane z rozliczeniami.

Techniczne monitorowanie błędów w Sentry ma odrębny cel: wykrywanie awarii, wyjątków i problemów ze stabilnością działania usługi. Nie służy ono do marketingowej analityki zachowania użytkowników ani odtwarzania pełnych sesji.

W części aplikacyjnej analityka może wykorzystywać pseudonimowy identyfikator przypisany do zalogowanego użytkownika lub firmy, aby łączyć wybrane zdarzenia pomiędzy sesjami i lepiej rozumieć adopcję oraz retencję funkcji.

W używanej przez nas konfiguracji Umami nie korzysta z plików cookie, respektuje ustawienie Do Not Track oraz zbiera adresy stron bez parametrów zapytania i bez fragmentów hash.

Możemy aktualizować tę politykę, jeżeli zmieni się sposób działania usługi, lista dostawców lub wymagania prawne.

Na stronie publikujemy zawsze aktualną wersję dokumentu wraz z datą ostatniej aktualizacji.

Jeżeli aktualizujemy dokumenty kontraktowe związane z przetwarzaniem danych, w tym DPA dla klientów biznesowych, odzwierciedlamy to odpowiednio w aktualnych dokumentach prawnych.