Custodi

Polityka prywatności

Niniejsza polityka prywatności wyjaśnia, w jaki sposób zbieramy, wykorzystujemy i chronimy Twoje dane osobowe.

Administrator danych

David Huh - Software-as-a-Service & IT-Dienstleistungen

Lucian-Reich-Str. 16

76473 Iffezheim

impressum@davidhuh.de

Inspektor ochrony danych

Można skontaktować się z naszym inspektorem ochrony danych pod adresem impressum@davidhuh.de.

Cele przetwarzania

  • Uwierzytelnianie użytkowników i zarządzanie kontami
  • Zarządzanie organizacją i nieruchomościami
  • Odczyt liczników i przetwarzanie danych mediów
  • Identyfikacja nieruchomości na podstawie lokalizacji i wykrywanie bliskości
  • Bezpieczeństwo, zapobieganie nadużyciom i rejestrowane dostępy API (art. 6 ust. 1 lit. f RODO)
  • Analityka, ulepszanie usług i pomiar ukończonych interakcji z funkcjami na podstawie Twojej zgody

Twoje prawa

  • Prawo dostępu do Twoich danych osobowych
  • Prawo do ograniczenia przetwarzania
  • Prawo do przenoszenia danych
  • Prawo do wniesienia skargi

Podwykonawcy

Korzystamy z następujących podwykonawców w celu świadczenia naszych usług

Vercel Inc.

Dodano: 5 paź 2025
Cel:Hosting & CDN
Lokalizacja:USA
Lokalizacja serwera:Germany (Frankfurt)
Zabezpieczenia:Standard Contractual Clauses (SCC)

Neon Tech Inc.

Dodano: 5 paź 2025
Cel:Database Hosting
Lokalizacja:USA
Lokalizacja serwera:Germany (Frankfurt)
Zabezpieczenia:Standard Contractual Clauses (SCC)

Resend Inc.

Dodano: 5 paź 2025
Cel:Email Service
Lokalizacja:USA
Lokalizacja serwera:Ireland
Zabezpieczenia:Standard Contractual Clauses (SCC)

Meta Platforms, Inc. / Google LLC

Dodano: 16 sty 2026
Cel:AI-powered meter reading analysis (via Vercel AI Gateway)
Lokalizacja:USA
Lokalizacja serwera:USA
Zabezpieczenia:Standard Contractual Clauses (SCC)
Podstawa prawna:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in automated meter reading
Kategorie danych:
  • Meter reading images (utility consumption data)
  • Property identification data
  • Timestamp and location metadata
  • Processing results and accuracy metrics

Mapbox Inc.

Dodano: 12 lis 2025
Cel:Address geocoding, map visualization, and location services
Lokalizacja:USA
Lokalizacja serwera:Global CDN (EU nodes available)
Zabezpieczenia:Standard Contractual Clauses (SCC)
Podstawa prawna:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in providing accurate location-based services
Kategorie danych:
  • Property addresses (search queries)
  • Geographic coordinates (latitude/longitude)
  • IP address (for rate limiting)
  • Browser user agent (technical requirement)

Bright Sky API / Deutscher Wetterdienst (DWD)

Dodano: 5 sty 2026
Cel:Weather data and forecasting services
Lokalizacja:Germany
Lokalizacja serwera:Germany (DWD Offenbach)
Zabezpieczenia:Public sector data provider (DWD is a German federal authority); Server-side API calls only (no client IP addresses transmitted); Coordinates rounded to 2 decimals (~1.1km precision) for data minimization; Data licensed under CC BY 4.0
Podstawa prawna:Art. 6(1)(f) GDPR - Legitimate interest in providing weather alerts and forecasts for property management; Data minimization principles (Art. 5(1)(c) GDPR) applied through coordinate rounding and server-side processing
Kategorie danych:
  • Property geographic coordinates (rounded to 2 decimals for privacy)
  • Weather forecast data (temperature, precipitation, snowfall)
  • Location-based weather alerts
  • Note: API calls are made server-side via Vercel; no user IP addresses are transmitted to DWD

Stripe, Inc.

Dodano: 14 lut 2026
Cel:Payment processing and fraud prevention
Lokalizacja:USA
Lokalizacja serwera:USA / Global
Zabezpieczenia:Standard Contractual Clauses (SCC)
Podstawa prawna:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in fraud prevention
Kategorie danych:
  • Payment information (credit card details, bank account info)
  • Billing address
  • Transaction metadata
  • Customer identification data

Pliki cookie

Używamy plików cookie i podobnych technologii, aby zapewnić działanie strony, przechowywać Twoje preferencje oraz analizować korzystanie wyłącznie po uzyskaniu Twojej zgody. Szczegółowe informacje o używanych przez nas plikach cookie, opartych na zgodzie zdarzeniach analitycznych, ich celu, okresie przechowywania i podstawach prawnych znajdziesz w naszej szczegółowej Polityce plików cookie pod adresem /legal/cookie-policy.

Informacje o plikach cookie

Nasza strona internetowa używa różnych kategorii plików cookie:

Ściśle niezbędne pliki cookie

Te pliki cookie są niezbędne do działania strony i nie można ich wyłączyć. Obejmują one pliki cookie zgody i preferencji (custodi_consent, sidebar_state), pliki cookie uwierzytelniania, ustawienia języka oraz pliki cookie zapobiegania oszustwom od Stripe. Podstawa prawna: Art. 6 ust. 1 lit. f RODO.

Pliki cookie analityczne

Używamy Vercel Analytics i Vercel Speed Insights do zbierania danych o użyciu na podstawie zgody. Dodatkowo, po Twojej wyraźnej zgodzie mierzymy ukończone interakcje z produktem, takie jak logowania, resetowanie hasła oraz ukończone działania związane z nieruchomościami, zadaniami, zgłoszeniami szkód, odczytami liczników, kalendarzem odpadów lub profilem. Nie wysyłamy bezpośrednich identyfikatorów, tekstu swobodnego ani surowych ID. Podstawa prawna: Art. 6 ust. 1 lit. a RODO.

Marketingowe pliki cookie

Obecnie nie używamy żadnych marketingowych plików cookie ani narzędzi śledzących do celów reklamowych.

Do szczegółowej Polityki plików cookie

Środki bezpieczeństwa

Wdrażamy kompleksowe środki techniczne i organizacyjne (TOM) w celu ochrony Twoich danych zgodnie z art. 32 RODO. W przypadku wywołań API wykorzystujemy Vercel Runtime Logs jako techniczne logi żądań oraz uzupełniamy je przy dostępie uwierzytelnionym o minimalny kontekst autoryzacji (userId, organizationId, identyfikator procedury) na potrzeby analizy bezpieczeństwa.

Środki techniczne i organizacyjne (TOM)

W celu ochrony Twoich danych osobowych wdrożyliśmy następujące środki:

Szyfrowanie

Wszystkie transmisje danych odbywają się przez HTTPS/TLS 1.3. Hasła są przechowywane w postaci zaszyfrowanej za pomocą bcrypt. Tokeny sesji są szyfrowane w pamięci. Połączenia z bazą danych są szyfrowane SSL.

Kontrola dostępu

Kontrola dostępu oparta na rolach (RBAC) na poziomie organizacji ze ścisłą separacją dzierżawców. Wsparcie dla uwierzytelniania dwuskładnikowego (2FA/TOTP) dla zwiększonego bezpieczeństwa. Automatyczne dzienniki audytu dla zdarzeń związanych z bezpieczeństwem (logowania, zmiany haseł, aktywacja 2FA).

Przechowywanie i kopie zapasowe

Codzienne automatyczne kopie zapasowe bazy danych z dostawcą chmury Neon Tech we Frankfurcie. 30-dniowe przechowywanie kopii zapasowych z geo-redundantnym przechowywaniem danych krytycznych. Dodatkowe lokalne archiwizowanie w chłodnym magazynie u podwykonawcy.

Przetwarzanie AI

W przypadku analizy odczytów liczników wspomaganej przez AI, obrazy są przesyłane przez Vercel AI Gateway do Meta/Google. Przetwarzanie odbywa się z zastosowaniem Standardowych Klauzul Umownych (SKU). Wyniki są buforowane w celu minimalizacji wywołań API.

Monitorowanie

Ciągłe monitorowanie systemów pod kątem podejrzanych działań. Implementacja ograniczania szybkości (rate-limiting) dla punktów końcowych API. Vercel Runtime Logs rejestruje techniczne metadane żądań; dodatkowo dla każdego uwierzytelnionego dostępu tRPC zapisujemy wyłącznie minimalny wymagany kontekst autoryzacji (userId, organizationId, identyfikator procedury, wynik, kod błędu), bez payloadów żądań i odpowiedzi. Podstawa prawna: art. 6 ust. 1 lit. f RODO.

Środki organizacyjne

Ścisła separacja organizacji: każda organizacja ma wyłączny dostęp do własnych danych. Automatyczne filtrowanie wszystkich zapytań do bazy danych według ID organizacji. Brak możliwości dostępu międzyorganizacyjnego.

Międzynarodowe transfery danych

Jako firma globalna współpracujemy z dostawcami usług znajdującymi się poza Europejskim Obszarem Gospodarczym (EOG). Dla wszystkich transferów danych do państw trzecich zapewniamy odpowiednie gwarancje zgodnie z art. 44-49 RODO.

Informacje o transferach danych

Przekazujemy dane osobowe podwykonawcom w USA. Do tych transferów stosują się następujące środki bezpieczeństwa:

Standardowe klauzule umowne (SKU)

Do wszystkich transferów danych do USA używamy standardowych klauzul umownych UE (SKU) zgodnie z Decyzją wykonawczą Komisji (UE) 2021/914. Klauzule te zostały zawarte między nami a wszystkimi amerykańskimi dostawcami usług i zawierają dodatkowe środki techniczne i organizacyjne.

Zaangażowani dostawcy usług

Następujący podwykonawcy mogą przetwarzać dane w USA: Vercel Inc. (Hosting i CDN), Neon Tech Inc. (Hosting baz danych), Resend Inc. (Usługa pocztowa), Meta Platforms/Google LLC (Analiza AI), Mapbox Inc. (Usługi kartograficzne), Stripe Inc. (Przetwarzanie płatności). W zależności od usługi przetwarzanie odbywa się w UE (w tym Frankfurt/Irlandia) oraz w USA.

Przetwarzanie AI w USA

W przypadku automatycznej analizy odczytów liczników, obrazy są przesyłane do serwerów Meta/Google w USA w celu przetworzenia. Odbywa się to na podstawie art. 6 ust. 1 lit. b i f RODO (wykonanie umowy i prawomocny interes) przy zastosowaniu standardowych klauzul umownych.

Dodatkowe środki techniczne

Wywołania API po stronie serwera w celu ochrony adresów IP użytkowników. Zaokrąglanie współrzędnych dla danych pogodowych (2 miejsca dziesiętne = ~1,1 km dokładności) w celu minimalizacji danych. Brak przekazywania danych osobowych do usług AI z wyjątkiem zanonimizowanych ID nieruchomości.

Twoje prawa w zakresie międzynarodowych transferów

Masz prawo zażądać od nas kopii standardowych klauzul umownych. W przypadku pytań dotyczących międzynarodowych transferów danych prosimy o kontakt pod naszym adresem e-mail.

Przechowywanie danych

Jak długo przechowujemy Twoje dane

  • Konta użytkowników: Until the account is deleted
  • Odczyty liczników: Reading records remain until account deletion or mandatory statutory retention ends; linked photo blobs may be removed 12 months after submission
  • Pliki multimedialne i obrazy: Object gallery images are removed when an object is archived. Damage report photos remain until the report is permanently deleted. Meter reading photos may be removed 12 months after submission while the reading record remains.
  • Logi aktywności i dostępu API: Vercel Runtime Logs: up to 24 hours (plan-dependent); minimal application auth-context logs: only as long as required for security and abuse analysis
  • Kopie zapasowe: 30 days
  • Rejestry zgód: 3 years

Dodatkowe informacje o przechowywaniu: obrazy galerii nieruchomości są usuwane po zarchiwizowaniu nieruchomości. Zdjęcia zgłoszeń szkód pozostają do czasu trwałego usunięcia zgłoszenia. Zdjęcia odczytów liczników mogą zostać usunięte 12 miesięcy po przesłaniu, podczas gdy sam rekord odczytu pozostaje zachowany. Telemetria żądań API jest przetwarzana przez Vercel Runtime Logs. W planie Pro okres przechowywania wynosi tam zwykle do 24 godzin (zależnie od planu). Dodatkowo minimalne logi kontekstu uwierzytelnienia na poziomie aplikacji są przechowywane tylko tak długo, jak jest to niezbędne do analiz bezpieczeństwa i nadużyć.

Dane pogodowe i atrybucja

Nasza platforma wykorzystuje dane pogodowe do dostarczania prognoz i alertów pogodowych dla Twoich nieruchomości.

Źródło danych

Dane pogodowe dostarczone przez Bright Sky / Deutscher Wetterdienst (DWD). Licencjonowane na podstawie CC BY 4.0.

Implementacja prywatności

  • Wywołania API są wykonywane wyłącznie po stronie serwera przez Vercel - żadne adresy IP użytkowników nie są przekazywane do DWD
  • Współrzędne nieruchomości są zaokrąglane do 2 miejsc po przecinku (~1,1 km precyzji) w celu minimalizacji danych
  • Żadne dane osobowe nie są powiązane z danymi pogodowymi; używane są tylko anonimowe współrzędne lokalizacji

Ostatnia aktualizacja: 7 kwietnia 2026