Custodi

Політика конфіденційності

Ця політика пояснює, як ми збираємо, використовуємо та захищаємо ваші персональні дані.

Контролер даних

David Huh - Software-as-a-Service & IT-Dienstleistungen

Lucian-Reich-Str. 16

76473 Iffezheim

impressum@davidhuh.de

Служба захисту даних (DPO)

Ви можете зв'язатися з нашим службою захисту даних за адресою impressum@davidhuh.de.

Цілі обробки

  • Автентифікація користувачів та управління обліковими записами
  • Управління організацією та нерухомістю
  • Зчитування показників лічильників та обробка комунальних даних
  • Ідентифікація нерухомості на основі місцезнаходження та виявлення близькості
  • Безпека, запобігання зловживанням і журналювання API-доступу (ст. 6(1)(f) GDPR)
  • Аналітика, покращення сервісу та вимірювання завершеного використання функцій на підставі вашої згоди

Ваші права

  • Право на доступ до ваших персональних даних
  • Право на обмеження обробки
  • Право на перенесення даних
  • Право на подання скарги

Субпідрядники

Ми використовуємо наступних субпідрядників для надання наших послуг

Vercel Inc.

Додано: 5 жовт. 2025 р.
Мета:Hosting & CDN
Місцезнаходження:USA
Розташування сервера:Germany (Frankfurt)
Заходи захисту:Standard Contractual Clauses (SCC)

Neon Tech Inc.

Додано: 5 жовт. 2025 р.
Мета:Database Hosting
Місцезнаходження:USA
Розташування сервера:Germany (Frankfurt)
Заходи захисту:Standard Contractual Clauses (SCC)

Resend Inc.

Додано: 5 жовт. 2025 р.
Мета:Email Service
Місцезнаходження:USA
Розташування сервера:Ireland
Заходи захисту:Standard Contractual Clauses (SCC)

Meta Platforms, Inc. / Google LLC

Додано: 16 січ. 2026 р.
Мета:AI-powered meter reading analysis (via Vercel AI Gateway)
Місцезнаходження:USA
Розташування сервера:USA
Заходи захисту:Standard Contractual Clauses (SCC)
Юридична основа:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in automated meter reading
Категорії даних:
  • Meter reading images (utility consumption data)
  • Property identification data
  • Timestamp and location metadata
  • Processing results and accuracy metrics

Mapbox Inc.

Додано: 12 лист. 2025 р.
Мета:Address geocoding, map visualization, and location services
Місцезнаходження:USA
Розташування сервера:Global CDN (EU nodes available)
Заходи захисту:Standard Contractual Clauses (SCC)
Юридична основа:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in providing accurate location-based services
Категорії даних:
  • Property addresses (search queries)
  • Geographic coordinates (latitude/longitude)
  • IP address (for rate limiting)
  • Browser user agent (technical requirement)

Bright Sky API / Deutscher Wetterdienst (DWD)

Додано: 5 січ. 2026 р.
Мета:Weather data and forecasting services
Місцезнаходження:Germany
Розташування сервера:Germany (DWD Offenbach)
Заходи захисту:Public sector data provider (DWD is a German federal authority); Server-side API calls only (no client IP addresses transmitted); Coordinates rounded to 2 decimals (~1.1km precision) for data minimization; Data licensed under CC BY 4.0
Юридична основа:Art. 6(1)(f) GDPR - Legitimate interest in providing weather alerts and forecasts for property management; Data minimization principles (Art. 5(1)(c) GDPR) applied through coordinate rounding and server-side processing
Категорії даних:
  • Property geographic coordinates (rounded to 2 decimals for privacy)
  • Weather forecast data (temperature, precipitation, snowfall)
  • Location-based weather alerts
  • Note: API calls are made server-side via Vercel; no user IP addresses are transmitted to DWD

Stripe, Inc.

Додано: 14 лют. 2026 р.
Мета:Payment processing and fraud prevention
Місцезнаходження:USA
Розташування сервера:USA / Global
Заходи захисту:Standard Contractual Clauses (SCC)
Юридична основа:Art. 6(1)(b) GDPR - Contract performance; Art. 6(1)(f) GDPR - Legitimate interest in fraud prevention
Категорії даних:
  • Payment information (credit card details, bank account info)
  • Billing address
  • Transaction metadata
  • Customer identification data

Файли cookie

Ми використовуємо файли cookie та подібні технології для забезпечення функціональності сайту, аналізу використання лише після вашої згоди та збереження ваших налаштувань. Детальну інформацію про файли cookie, погоджені аналітичні події, їхню мету, строк зберігання та правові підстави дивіться в нашій повній Політиці файлів cookie за адресою /legal/cookie-policy.

Інформація про використання файлів cookie

Наш веб-сайт використовує різні категорії файлів cookie:

Суворо необхідні файли cookie

Ці файли cookie є необхідними для роботи веб-сайту та не можуть бути вимкнені. До них належать файли cookie згоди та вподобань (custodi_consent, sidebar_state), файли автентифікації, мовні налаштування та файли запобігання шахрайству від Stripe. Правова підстава: Ст. 6(1)(f) GDPR.

Аналітичні файли cookie

Ми використовуємо Vercel Analytics і Vercel Speed Insights для збору даних про використання на основі вашої згоди. Додатково ми вимірюємо завершені дії в продукті, наприклад входи, скидання пароля, завершені дії з об'єктами, завданнями, повідомленнями про пошкодження, показниками лічильників, календарем відходів або профілем. Ми не надсилаємо прямі ідентифікатори, вільний текст або необроблені ID. Правова підстава: Ст. 6(1)(a) GDPR.

Маркетингові файли cookie

Наразі ми не використовуємо маркетингових файлів cookie або інструментів відстеження для рекламних цілей.

До повної Політики файлів cookie

Заходи безпеки

Ми впроваджуємо комплексні технічні та організаційні заходи (TOM) для захисту ваших даних відповідно до статті 32 GDPR. Для API-викликів ми використовуємо Vercel Runtime Logs як технічний журнал запитів, а для автентифікованого доступу додаємо мінімальний контекст автентифікації (userId, organizationId, ідентифікатор процедури) для аналізу безпеки.

Технічні та організаційні заходи (TOM)

Для захисту ваших персональних даних ми впровадили такі заходи:

Шифрування

Усі передачі даних здійснюються через HTTPS/TLS 1.3. Паролі зберігаються у вигляді хешу за допомогою bcrypt. Сеансові токени шифруються при зберіганні. Підключення до бази даних зашифровані SSL.

Контроль доступу

Контроль доступу на основі ролей (RBAC) на рівні організації зі строгим розділенням клієнтів. Підтримка двофакторної автентифікації (2FA/TOTP) для підвищення безпеки. Автоматичні журнали аудиту для подій, пов'язаних із безпекою (входи, зміни паролів, активація 2FA).

Зберігання та резервні копії

Щоденне автоматизоване резервне копіювання бази даних з хмарним провайдером Neon Tech у Франкфурті. 30-денне зберігання резервних копій із гео-надмірним зберіганням критичних даних. Додаткове локальне архівування в холодному сховищі у підрядника.

Обробка ШІ

Для автоматичного аналізу показників лічильників за допомогою ШІ зображення передаються через Vercel AI Gateway до Meta/Google. Обробка здійснюється з застосуванням Стандартних договірних положень (SCC). Результати кешуються для мінімізації викликів API.

Моніторинг

Безперервний моніторинг систем на предмет підозрілих дій. Впровадження обмеження швидкості (rate-limiting) для кінцевих точок API. Vercel Runtime Logs фіксує технічні метадані запитів; додатково для кожного автентифікованого tRPC-доступу ми журналюємо лише мінімально необхідний контекст автентифікації (userId, organizationId, ідентифікатор процедури, результат, код помилки), без payload запиту/відповіді. Правова підстава: ст. 6(1)(f) GDPR.

Організаційні заходи

Суворе розділення організацій: кожна організація має виключний доступ лише до власних даних. Автоматична фільтрація всіх запитів до бази даних за ідентифікатором організації. Неможливий міжорганізаційний доступ.

Міжнародна передача даних

Як глобальна компанія, ми співпрацюємо з постачальниками послуг, розташованими поза Європейською економічною зоною (ЄЕЗ). Для всіх передач даних до третіх країн ми забезпечуємо відповідні гарантії відповідно до статей 44-49 GDPR.

Інформація про передачу даних

Ми передаємо персональні дані субпідрядникам у США. До цих передач застосовуються такі заходи безпеки:

Стандартні договірні положення (SCC)

Для всіх передач даних до США ми використовуємо Стандартні договірні положення ЄС (SCC) відповідно до Рішення про виконання (ЄС) 2021/914 Комісії. Ці положення були укладені між нами та всіма американськими постачальниками послуг і містять додаткові технічні та організаційні заходи.

Залучені постачальники послуг

Наступні субпідрядники можуть обробляти дані у США: Vercel Inc. (Хостинг та CDN), Neon Tech Inc. (Хостинг баз даних), Resend Inc. (Поштовий сервіс), Meta Platforms/Google LLC (Аналіз ШІ), Mapbox Inc. (Картографічні послуги), Stripe Inc. (Обробка платежів). Залежно від сервісу обробка відбувається в ЄС (зокрема Франкфурт/Ірландія) та у США.

Обробка ШІ в США

Для автоматичного аналізу показників лічильників зображення передаються на сервери Meta/Google у США для обробки. Це здійснюється на підставі статей 6(1)(b) та (f) GDPR (Виконання договору та законний інтерес) із застосуванням Стандартних договірних положень.

Додаткові технічні заходи

Виклики API на стороні сервера для захисту IP-адрес користувачів. Округлення координат для метеоданих (2 знаки після коми = ~1,1 км точності) для мінімізації даних. Відсутність передачі персональних даних до сервісів ШІ, крім анонімізованих ідентифікаторів об'єктів.

Ваші права щодо міжнародних передач

Ви маєте право запросити копію Стандартних договірних положень у нас. Якщо у вас є питання щодо міжнародних передач даних, будь ласка, зв'яжіться з нами за нашою електронною адресою.

Зберігання даних

Як довго ми зберігаємо ваші дані

  • Облікові записи користувачів: Until the account is deleted
  • Показники лічильників: Reading records remain until account deletion or mandatory statutory retention ends; linked photo blobs may be removed 12 months after submission
  • Медіафайли та зображення: Object gallery images are removed when an object is archived. Damage report photos remain until the report is permanently deleted. Meter reading photos may be removed 12 months after submission while the reading record remains.
  • Журнали активності та API-доступу: Vercel Runtime Logs: up to 24 hours (plan-dependent); minimal application auth-context logs: only as long as required for security and abuse analysis
  • Резервні копії: 30 days
  • Записи про згоду: 3 years

Додаткова інформація про зберігання: зображення галереї нерухомості видаляються, коли нерухомість архівується. Фотографії звітів про пошкодження зберігаються до остаточного видалення звіту. Фотографії показників лічильників можуть бути видалені через 12 місяців після подання, тоді як сам запис показника залишається збереженим. Телеметрія API-запитів обробляється через Vercel Runtime Logs. У плані Pro термін зберігання там зазвичай становить до 24 годин (залежно від плану). Додатково мінімальні журнали контексту автентифікації на рівні застосунку зберігаються лише стільки, скільки потрібно для аналізу безпеки та зловживань.

Погодні дані та атрибуція

Наша платформа використовує погодні дані для надання прогнозів та попереджень про погоду для ваших об'єктів.

Джерело даних

Погодні дані надано Bright Sky / Deutscher Wetterdienst (DWD). Ліцензовано згідно з CC BY 4.0.

Реалізація конфіденційності

  • Виклики API здійснюються виключно на стороні сервера через Vercel - жодні IP-адреси користувачів не передаються до DWD
  • Координати об'єктів округлюються до 2 знаків після коми (~1,1 км точності) для мінімізації даних
  • Жодні персональні дані не пов'язані з погодними даними; використовуються лише анонімні координати місцезнаходження

Останнє оновлення: 7 квітня 2026 р.