Polityka prywatności

Administratorem danych osobowych przetwarzanych w Serwisie jest Operator WolneMoce: PFConsulting Piotr Fiszer, ul. Promienista 114, 60-142 Poznań, Polska, NIP: 7792017326.

W sprawach dotyczących ochrony danych osobowych można kontaktować się pod adresem e-mail: piotr.fiszer@pfconsulting.pl lub telefonem: +48 604 904 150.

• właściciele firm,
• pracownicy i reprezentanci firm,
• osoby kontaktowe wskazane w zapytaniach RFQ,
• administratorzy i operatorzy kont firmowych,
• osoby zgłaszające naruszenia lub kontaktujące się z Operatorem.

W zależności od sposobu korzystania z Serwisu przetwarzane mogą być:

• imię i nazwisko, e-mail, telefon i stanowisko,
• nazwa firmy, NIP, REGON i adres firmy,
• dane profilu firmy, branże, usługi, opis i strona WWW,
• treści ofert, treści RFQ i dane kontaktowe w RFQ,
• załączniki RFQ oraz metadane plików,
• dane techniczne, logi, adres IP, informacje o urządzeniu i przeglądarce,
• identyfikatory konta Supabase i dane sesji,
• dane płatnicze obsługiwane przez Stripe, jeżeli płatności zostaną wdrożone.

W przypadku korzystania z funkcji pobierania danych firmy na podstawie numeru NIP, Serwis może przetwarzać dane rejestrowe przedsiębiorcy lub firmy dostępne w publicznych rejestrach, w szczególności takie jak nazwa firmy, NIP, REGON, KRS, adres siedziby, forma prawna, status działalności oraz kody PKD. Dane te są wykorzystywane w celu ułatwienia uzupełnienia profilu firmy, weryfikacji danych rejestrowych, moderacji treści oraz zapewnienia bezpieczeństwa i wiarygodności Serwisu.

• świadczenie usług elektronicznych i obsługa konta,
• obsługa profilu firmy, ofert, branż i rodzajów usług,
• obsługa zapytań RFQ, załączników i czasowych signed URLs oraz monitorowanie zapytań przez administratora w celu zapewnienia bezpieczeństwa, przeciwdziałania nadużyciom i prawidłowej obsługi portalu,
• obsługa płatności, faktur, księgowości i obowiązków podatkowych,
• bezpieczeństwo IT, zapobieganie nadużyciom i ochrona Serwisu,
• dochodzenie, ustalenie i obrona roszczeń,
• kontakt, obsługa zgłoszeń i reklamacji,
• opcjonalna analityka, jeżeli zostanie wdrożona i będzie wymagała zgody.

Podstawami prawnymi mogą być w szczególności wykonanie umowy, obowiązek prawny, prawnie uzasadniony interes administratora albo zgoda, jeżeli jest wymagana.

Dane mogą być przekazywane podmiotom wspierającym działanie Serwisu, w tym:

• Supabase - infrastruktura bazy danych, Auth i Storage,
• Vercel - hosting i infrastruktura aplikacji,
• Stripe - płatności i rozliczenia, jeżeli zostaną wdrożone,
• dostawcy poczty e-mail i narzędzi IT,
• biuro księgowe, kancelaria prawna i doradcy,
• organy publiczne, jeżeli wymagają tego przepisy prawa.

Jeżeli płatności zostaną wdrożone, Stripe może obsługiwać dane potrzebne do płatności, fakturowania, bezpieczeństwa, anti-fraud i 3D Secure. Operator nie przechowuje pełnych numerów kart ani kodów CVC. Stripe może działać jako niezależny administrator lub procesor zależnie od zakresu usługi i może przekazywać dane poza EOG przy zastosowaniu właściwych mechanizmów prawnych, takich jak standardowe klauzule umowne.

Dane mogą być przetwarzane poza Europejskim Obszarem Gospodarczym przez dostawców infrastruktury lub płatności. W takim przypadku stosowane są odpowiednie mechanizmy prawne, w szczególności decyzje stwierdzające odpowiedni stopień ochrony, standardowe klauzule umowne albo inne instrumenty przewidziane w RODO.

• dane konta - przez czas korzystania z Serwisu oraz okres przedawnienia roszczeń,
• faktury i dokumenty księgowe - zgodnie z przepisami podatkowymi,
• logi bezpieczeństwa - przez okres niezbędny do zapewnienia bezpieczeństwa,
• RFQ i załączniki - przez okres potrzebny do świadczenia usługi, moderacji, bezpieczeństwa i roszczeń.

Osobie, której dane dotyczą, przysługuje prawo:

• dostępu do danych,
• sprostowania danych,
• usunięcia danych,
• ograniczenia przetwarzania,
• przenoszenia danych,
• wniesienia sprzeciwu,
• wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Podanie danych jest dobrowolne, ale niezbędne do utworzenia konta, obsługi profilu firmy, dodawania ofert, wysyłania RFQ, obsługi płatności lub kontaktu. Niepodanie wymaganych danych może uniemożliwić korzystanie z wybranych funkcji Serwisu.

Operator nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, które wywoływałoby wobec osoby skutki prawne lub w podobny sposób istotnie na nią wpływało w rozumieniu RODO.

Operator stosuje środki organizacyjne i techniczne adekwatne do ryzyka, w tym uwierzytelnianie, kontrolę dostępu, RLS, prywatne buckety Storage oraz ograniczone czasowo signed URLs dla plików. Użytkownik powinien chronić dostęp do konta i nie udostępniać linków do plików osobom nieuprawnionym.

Użytkownik nie powinien przesyłać danych nadmiarowych ani dokumentów, których nie ma prawa udostępnić. Użytkownik odpowiada za legalność i uprawnienie do przekazania dokumentacji technicznej, rysunków, specyfikacji, zdjęć oraz innych plików w ramach RFQ.

Użytkownik lub firma może dodać opis i zdjęcia realizacji, które po moderacji mogą być publicznie widoczne na profilu firmy.

• Zdjęcia realizacji są przechowywane w Supabase Storage.
• Firma lub użytkownik nie powinien dodawać danych osobowych ani danych osób trzecich bez wymaganej podstawy prawnej.
• Zakres publikowanych treści powinien być ograniczony do informacji, które firma ma prawo ujawnić publicznie.

Dane podane w formularzu kontaktowym mogą być wykorzystywane do obsługi zapytania użytkownika. Jeżeli zapytanie dotyczy usługi partnerskiej, dane mogą zostać przekazane właściwemu partnerowi, na przykład Credos albo LogiMarket, w celu przygotowania odpowiedzi lub ustalenia zakresu współpracy.

Zakres przekazania danych powinien być ograniczony do informacji niezbędnych do obsługi konkretnego zapytania.

Polityka prywatności może być aktualizowana w związku z rozwojem Serwisu, zmianą dostawców, wdrożeniem płatności, zmianami prawa lub doprecyzowaniem procesów przetwarzania danych.