Polityka Prywatności aplikacji „BNI Network Tool”

1. Informacje ogólne

Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych użytkowników aplikacji internetowej i mobilnej BNI Network Tool.

Korzystanie z Aplikacji oznacza akceptację niniejszej Polityki. Dokument stanowi realizację obowiązku informacyjnego określonego w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

2. Administrator danych

Administratorem danych osobowych użytkowników Aplikacji (dalej: Administrator) jest podmiot prowadzący projekt „BNI Network Tool”. Dane identyfikujące Administratora i dane kontaktowe inspektora ochrony danych (IOD) zostaną wskazane w umowie powierzenia przetwarzania i w regulaminie końcowym aplikacji. Kontakt w sprawach związanych z ochroną danych osobowych: [email protected].

3. Zakres przetwarzanych danych

Administrator przetwarza następujące kategorie danych:

Dane nie są profilowane w sposób wywołujący skutki prawne wobec użytkownika.

4. Cele i podstawy prawne przetwarzania danych

Dane osobowe przetwarzane są w celu świadczenia usług Aplikacji (organizacja spotkań i sesji networkingowych, zarządzanie członkostwem), prowadzenia konta użytkownika oraz zapewnienia bezpieczeństwa systemu – na podstawie niezbędności do wykonania umowy (art. 6 ust. 1 lit. b RODO) oraz prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO).

Przetwarzanie danych szczególnych kategorii (status MEDICAL) odbywa się wyłącznie za zgodą użytkownika (art. 9 ust. 2 lit. a RODO).

5. Sposób pozyskiwania danych

Dane pochodzą bezpośrednio od użytkownika (rejestracja, edycja profilu) lub od innych członków grupy, którzy zapraszają gościa emailem (w takim przypadku osoba zapraszająca zobowiązana jest uzyskać zgodę zapraszanego lub poinformować go o przetwarzaniu danych).

6. Udostępnianie danych i odbiorcy

Dane mogą być udostępniane następującym kategoriom odbiorców:

• osobom upoważnionym przez Administratora (np. moderatorom BNI),
• procesorom danych (podmioty przetwarzające dane w imieniu Administratora),
• organom publicznym – wyłącznie na podstawie przepisów prawa,
• uczestnikom tej samej grupy networkingowej (zakres danych widocznych: imię, nazwisko, firma, email).

7. Podmioty przetwarzające (subprocesorzy)

• OpenAI, L.L.C. (USA) – generowanie opisów i dopasowań sesji networkingowych; dane przekazywane: imię, email, opis działalności, nazwa firmy. Transfer danych odbywa się na podstawie Standardowych Klauzul Umownych (SCC) i Transfer Impact Assessment (TIA), z zapewnieniem odpowiedniego poziomu ochrony.
• Dostawca hostingu / chmury (PostgreSQL, pliki uploads) – dane przechowywane w chmurze na serwerach administratora infrastruktury wskazanego w umowie DPA.
• Inni partnerzy techniczni – wyłącznie po zawarciu umowy powierzenia przetwarzania danych (art. 28 RODO).

8. Okres przechowywania danych

• Dane konta przechowywane są przez okres aktywności użytkownika. Po żądaniu usunięcia dane są trwale usuwane lub anonimizowane w ciągu 30 dni.
• Dane dotyczące spotkań i członkostwa – przechowywane przez okres niezbędny do dokumentacji działalności grupy BNI (nie dłużej niż 5 lat).
• Dane przesyłane do OpenAI – przetwarzane sesyjnie, bez trwałego zapisu po stronie Administratora.
• Pliki w katalogu /uploads – usuwane po rozwiązaniu relacji z użytkownikiem lub na żądanie.

9. Prawa użytkowników (art. 15–22 RODO)

Każdemu użytkownikowi przysługują prawa:

• dostępu do danych osobowych,
• sprostowania i aktualizacji danych,
• usunięcia danych („prawo do bycia zapomnianym”),
• ograniczenia przetwarzania danych,
• przeniesienia danych (eksport),
• wniesienia sprzeciwu wobec przetwarzania,
• cofnięcia zgody w dowolnym momencie,
• wniesienia skargi do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych (UODO).

Żądania można składać na adres: [email protected].

10. Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne odpowiednie do ryzyka, w tym:

• przechowywanie haseł w formie skrótu (bcrypt),
• transmisję danych wyłącznie przez HTTPS,
• tokeny sesyjne HttpOnly, Secure, SameSite=Lax,
• kontrolę dostępu na poziomie ról (ADMIN / MEMBER / GUEST),
• rejestrowanie incydentów bezpieczeństwa,
• szyfrowanie danych przy backupach (po wdrożeniu polityki backup).

Brak autentykacji WebSocket i publiczne katalogi przesyłania plików zostaną objęte planem naprawczym.

11. Pliki cookies

Aplikacja wykorzystuje wyłącznie techniczne pliki cookies dla utrzymania sesji użytkownika (bni_token). Aplikacja nie stosuje cookies analitycznych, reklamowych ani innych narzędzi śledzących. Przy przyszłej rozbudowie o tracking lub analitykę zostanie wdrożony banner i mechanizm zarządzania zgodami (consent management).

12. Przekazywanie danych poza EOG

Dane przekazywane do OpenAI, L.L.C. (USA) są transferowane zgodnie z RODO, w oparciu o Standardowe Klauzule Umowne i dodatkowe środki organizacyjne (TIA, minimalizacja danych). Użytkownicy są o tym informowani w trakcie korzystania z funkcji AI.

13. Dane osób nieletnich

Aplikacja przeznaczona jest wyłącznie dla osób pełnoletnich (≥18 lat). Nie zbiera świadomie danych osób nieletnich.

14. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do zmiany Polityki. O istotnych zmianach użytkownicy zostaną poinformowani z 14-dniowym wyprzedzeniem (email lub komunikat w aplikacji).

15. Kontakt

Pytania dotyczące przetwarzania danych: [email protected].