rebudi

Polityka prywatności

Ostatnia aktualizacja: 1 kwietnia 2026 r.

1. Administrator danych

Administratorem Twoich danych osobowych jest:

Mateusz Polański
ul. Rydlówka 17/27, 30-363 Kraków
NIP: 9452245727
(dalej: Administrator)

Kontakt w sprawach ochrony danych: app@rebudi.pl, tel. 789 959 002

Nie powołaliśmy Inspektora Ochrony Danych, gdyż nie jest to wymagane przy naszej skali i charakterze działalności (brak przetwarzania danych wrażliwych na dużą skalę).

2. Zakres zbieranych danych

W zależności od sposobu korzystania z serwisu przetwarzamy następujące kategorie danych:

  • Dane rejestracyjne: adres e-mail, hasło (przechowywane wyłącznie w formie zaszyfrowanej).
  • Dane z logowania Google: jeśli korzystasz z logowania przez Google (OAuth), otrzymujemy od Google Twój adres e-mail, imię i nazwisko oraz URL zdjęcia profilowego - wyłącznie w celu utworzenia i obsługi konta.
  • Dane profilowe: imię i nazwisko (opcjonalne, podawane dobrowolnie).
  • Dane projektowe: dane dotyczące remontów wprowadzone przez Ciebie (pomiary, materiały, koszty). Są to Twoje dane - możesz je eksportować lub usunąć w dowolnym momencie.
  • Dane płatnicze: identyfikator transakcji, status płatności - przetwarzane przez operatora Tpay; nie przechowujemy numerów kart ani danych bankowych.
  • Dane techniczne: adres IP, typ przeglądarki.
  • Dane analityczne produktu: zdarzenia dotyczące korzystania z aplikacji (np. kliknięcia, odwiedzane sekcje) zbierane przez PostHog - wyłącznie po udzieleniu zgody.

Nie przetwarzamy szczególnych kategorii danych osobowych (danych wrażliwych) w rozumieniu art. 9 RODO, takich jak dane dotyczące zdrowia, biometryczne, rasowe lub polityczne.

3. Cele i podstawy prawne przetwarzania

  • Wykonanie umowy (art. 6 ust. 1 lit. b RODO) - założenie i obsługa konta, świadczenie usługi planowania remontu, obsługa płatności, wysyłka e-maili transakcyjnych (potwierdzenie rejestracji, reset hasła).
  • Obowiązek prawny (art. 6 ust. 1 lit. c RODO) - przechowywanie dokumentów transakcyjnych przez 5 lat zgodnie z ustawą o rachunkowości i przepisami podatkowymi.
  • Uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) - w następujących celach, gdzie interes Administratora nie narusza Twoich praw i wolności:
    • bezpieczeństwo kont i wykrywanie prób nieautoryzowanego dostępu,
    • zapobieganie nadużyciom i naruszeniom regulaminu,
    • obsługa reklamacji i korespondencji z supportem,
    • dochodzenie lub obrona przed roszczeniami prawnymi,
    • analiza logów serwera w celu wykrywania błędów i nadużyć.
  • Zgoda (art. 6 ust. 1 lit. a RODO) - wysyłka wiadomości marketingowych (wyłącznie jeśli wyraziłeś zgodę), analityka produktu przez PostHog (wyłącznie po udzieleniu zgody w bannerze cookie). Zgodę możesz wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania sprzed wycofania.

4. Okres przechowywania danych

  • Dane konta i projektów: do momentu usunięcia konta lub przez 3 lata od ostatniej aktywności (po tym czasie konto jest usuwane).
  • Dane transakcyjne i faktury: przez 5 lat od końca roku podatkowego, w którym dokonano transakcji (obowiązek prawny).
  • Korespondencja z supportem: przez 3 lata od zakończenia sprawy (termin przedawnienia roszczeń).
  • Zapisy zgód marketingowych: przez czas obowiązywania zgody oraz 3 lata po jej wycofaniu (na wypadek ewentualnych roszczeń).
  • Logi serwera (adresy IP): przez 90 dni (bezpieczeństwo i wykrywanie nadużyć).

5. Odbiorcy danych i transfery międzynarodowe

Twoje dane przekazujemy wyłącznie zaufanym podmiotom przetwarzającym:

  • Supabase, Inc. (USA) - infrastruktura bazy danych i uwierzytelnianie. Dane przechowywane na serwerach w Niemczech (AWS eu-central-1). Supabase Inc. jest podmiotem z USA - transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską. Z Supabase zawarliśmy umowę powierzenia przetwarzania danych (DPA) zgodnie z art. 28 RODO.
  • Tpay (Krajowy Integrator Platnosci S.A., Polska) - obsługa platnosci. Podmiot działający w UE, nadzorowany przez KNF.
  • Brevo SAS (Francja) - wysyłka wiadomości e-mail transakcyjnych i marketingowych. Podmiot działający w UE. Umowa DPA zawarta zgodnie z art. 28 RODO.
  • PostHog, Inc. (USA) - analityka produktu (zdarzenia w aplikacji), wyłącznie po udzieleniu zgody. Transfer do USA odbywa się na podstawie Standardowych Klauzul Umownych (SCC). Dane możesz ograniczyć lub zablokować, odrzucając pliki cookie analityczne w bannerze lub ustawieniach.
  • Google LLC (USA) - logowanie przez Google (OAuth). Google działa jako niezależny administrator danych w zakresie procesu uwierzytelniania OAuth. Transfer do USA odbywa się na podstawie decyzji adequateness EU-US Data Privacy Framework. Szczegóły znajdziesz w polityce prywatności Google.

Nie sprzedajemy danych osobowych podmiotom trzecim.

6. Obowiązkowość podania danych

  • Adres e-mail: wymagany do rejestracji - bez niego nie można założyć konta.
  • Hasło: wymagane przy rejestracji e-mail/haslo; nie dotyczy logowania przez Google.
  • Imię i nazwisko: dobrowolne - brak nie ogranicza funkcjonalności serwisu.
  • Dane projektowe (pomiary, materiały): dobrowolne - to Twoje dane robocze, podajesz tyle ile potrzebujesz.
  • Dane płatnicze: wymagane do zakupu licencji płatnej; nie dotyczą planu Darmowego.

7. Twoje prawa

Na podstawie RODO przysługują Ci następujące prawa:

  • Prawo dostępu do danych (art. 15 RODO) - możesz zażądać kopii swoich danych.
  • Prawo do sprostowania danych (art. 16 RODO) - możesz poprawić nieprawidłowe dane.
  • Prawo do usunięcia danych (art. 17 RODO) - możesz zażądać usunięcia danych, z wyjątkiem tych które musimy przechowywać z obowiązku prawnego (np. dane transakcyjne).
  • Prawo do ograniczenia przetwarzania (art. 18 RODO) - możesz zażądać wstrzymania przetwarzania w określonych przypadkach.
  • Prawo do przenoszenia danych (art. 20 RODO) - możesz otrzymać swoje dane w ustrukturyzowanym formacie (dotyczy przetwarzania na podstawie zgody lub umowy).
  • Prawo do sprzeciwu (art. 21 RODO) - możesz w każdej chwili wnieść sprzeciw wobec przetwarzania opartego na uzasadnionym interesie Administratora.
  • Prawo do cofnięcia zgody - jeśli przetwarzamy dane na podstawie Twojej zgody, możesz ją wycofać w dowolnym momencie bez wpływu na zgodność z prawem wcześniejszego przetwarzania.

Aby skorzystać z praw, napisz na app@rebudi.pl. Odpowiemy w ciągu 1 miesiąca od otrzymania żądania (termin może zostać przedłużony do 3 miesięcy w przypadku złożonych spraw - poinformujemy Cię o tym).

Masz również prawo wniesienia skargi do organu nadzorczego:
Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
uodo.gov.pl

8. Zautomatyzowane podejmowanie decyzji

Nie stosujemy zautomatyzowanego podejmowania decyzji ani profilowania, które wywoływałoby skutki prawne lub w podobny sposób istotnie wpływało na Ciebie w rozumieniu art. 22 RODO. Obliczenia kosztów i ilości materiałów w serwisie mają charakter pomocniczy i są wyłącznie wynikiem wzorów matematycznych opartych na danych przez Ciebie wprowadzonych.

9. Pliki cookie

Serwis używa następujących plików cookie:

  • Niezbędne (brak wymogu zgody): pliki sesji Supabase Auth (sb-*) - służą wyłącznie do utrzymania zalogowanej sesji, ważność do 1 roku.
  • Analityczne (wymagana zgoda): PostHog - zbiera zdarzenia korzystania z aplikacji po udzieleniu zgody. Zgodę możesz wycofać w ustawieniach prywatności.

Szczegóły dotyczące plików cookie znajdziesz w Polityce cookies.

10. Bezpieczeństwo danych

Stosujemy następujące środki bezpieczeństwa:

  • Szyfrowanie transmisji: całe połączenie z serwisem odbywa się przez HTTPS (TLS).
  • Hasła: przechowywane wyłącznie jako zaszyfrowany skrót (bcrypt) - nigdy jako czysty tekst.
  • Izolacja danych: każdy użytkownik ma dostęp wyłącznie do swoich danych (Row-Level Security w Supabase).
  • Kopie zapasowe: dane są regularnie archiwizowane przez dostawcę infrastruktury (Supabase/AWS eu-central-1).
  • Kontrola dostępu: dostęp do systemów produkcyjnych ograniczony do minimum.

W przypadku naruszenia ochrony danych mogącego powodować wysokie ryzyko dla Twoich praw lub wolności poinformujemy Cię bez zbędnej zwłoki, zgodnie z art. 34 RODO.

11. Zmiany polityki prywatności

Zastrzegamy prawo do aktualizacji niniejszej polityki. O istotnych zmianach poinformujemy drogą e-mailową lub poprzez wyraźne powiadomienie w serwisie. Data ostatniej aktualizacji znajduje się na górze strony.