Construction Team je oblačna platforma za upravljanje gradbenih projektov, ki se zagotavlja kot storitev (SaaS). Za namene Uredbe (EU) 2016/679 (GDPR) je upravljavec podatkov pravna oseba, opredeljena v 17. točki te politike.
Upravljavec določa namene in sredstva obdelave osebnih podatkov, ki se zbirajo prek platforme.
Kadar Stranka (pravna oseba) uporablja platformo za upravljanje podatkov o svojih zaposlenih, podizvajalcih ali partnerjih, Stranka deluje kot samostojni upravljavec teh podatkov, Construction Team pa kot obdelovalec podatkov v smislu 28. člena GDPR.
Razmerje med Construction Team in Stranko kot obdelovalcem ureja Pogodba o obdelavi podatkov (DPA), ki je sestavni del naročniške pogodbe.
2. Opredelitve pojmov
Za namene te Politike zasebnosti:
"Osebni podatki" -- vsaka informacija, ki se nanaša na določeno ali določljivo fizično osebo (posameznika, na katerega se nanašajo podatki).
"Obdelava" -- vsak postopek z osebnimi podatki: zbiranje, evidentiranje, organiziranje, strukturiranje, shranjevanje, prilagajanje, priklic, vpogled, uporaba, razkritje, izbris ali uničenje.
"Posameznik, na katerega se nanašajo podatki" -- fizična oseba, katere osebni podatki se obdelujejo (uporabniki, zaposleni pri strankah, kontaktne osebe partnerjev).
"Obdelovalec podatkov" -- oseba, ki obdeluje osebne podatke v imenu upravljavca.
"Pod-obdelovalec" -- tretja oseba, kateri je obdelovalec poveril del obdelave.
"Kršitev varstva osebnih podatkov" -- kršitev, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje osebnih podatkov ali nepooblaščen dostop do njih.
3. Obseg in uporaba
Ta Politika zasebnosti se uporablja za:
Vse posameznike, ki obiščejo spletno mesto constructionteam.app.
Uporabnike, ki ustvarijo račun in uporabljajo platformo.
Kontaktne osebe pravnih oseb -- strank, dobaviteljev in partnerjev, katerih podatki so vneseni v platformo.
Posameznike, ki nas kontaktirajo prek kontaktnega obrazca, e-pošte ali drugih kanalov.
Zaposlene in zastopnike strankinih družb, katerih podatki se obdelujejo na podlagi naročniške pogodbe.
Ta Politika se ne uporablja za anonimizirane ali agregirane podatke, ki ne omogočajo identifikacije fizične osebe.
4. Kategorije osebnih podatkov, ki jih zbiramo
4.1. Identifikacijski in kontaktni podatki
Pri registraciji in uporabi platforme zbiramo:
Ime in priimek uporabnika.
Poslovni elektronski naslov.
Telefonska številka (če je posredovana).
Naziv družbe, matična številka in naslov strankine pravne osebe.
Položaj/vloga v organizaciji.
4.2. Tehnični podatki
Samodejno zbrani ob dostopu do platforme:
Naslov IP in približna geografska lokacija (raven države/mesta).
Vrsta in različica brskalnika, operacijski sistem.
Identifikatorji naprave.
Datum, čas in trajanje sej.
Obiskane strani in funkcionalnosti.
4.3. Poslovni podatki
Pri delu s platformo se lahko obdelujejo:
Podatki iz računov, pogodb, ponudb in drugih dokumentov, ki jih vnese Stranka.
Imena in kontakti zaposlenih, podizvajalcev in partnerjev, ki jih vnese Stranka.
Finančne informacije (bančni računi, zneski računov), ki jih vnese Stranka.
Podatki o gradbiščih, popisih količin in zalogi.
Pomembno: Za poslovne podatke, ki jih vnese Stranka, je upravljavec podatkov Stranka. Construction Team obdeluje te podatke izključno po navodilih Stranke in v skladu s Pogodbo o obdelavi podatkov.
4.4. Plačilni podatki
Za obdelavo naročniških plačil:
Construction Team NE shranjuje celotnih številk bančnih kartic.
Shranjujemo le: zadnje 4 številke kartice, vrsto kartice, datum poteka veljavnosti in identifikator transakcije.
5. Nameni in pravne podlage za obdelavo
Osebne podatke obdelujemo le, kadar obstaja veljavna pravna podlaga v skladu s členom 6(1) GDPR:
5.1. Izvajanje pogodbe (člen 6(1)(b))
Ustvarjanje in upravljanje uporabniških računov.
Zagotavljanje naročniške storitve in tehnične podpore.
Obdelava plačil in izdaja računov.
Komunikacija v zvezi s storitvijo (sistemska obvestila, spremembe pogojev).
5.2. Zakoniti interes (člen 6(1)(f))
Po opravljenem preizkusu tehtanja interesov, ki zagotavlja, da naš interes ne prevlada nad pravicami posameznika, na katerega se nanašajo podatki:
Izboljšanje platforme z analizo uporabe (agregirani podatki).
Zagotavljanje varnosti -- odkrivanje nepooblaščenega dostopa, zlorab in kibernetskih napadov.
Preprečevanje goljufij in zlorab storitve.
Notranje poročanje in revizija.
5.3. Zakonska obveznost (člen 6(1)(c))
Hramba računovodskih listin v skladu z Zakonom o računovodstvu (10 let).
Posredovanje podatkov, kadar tako zahteva zakon ali odredba pristojnega organa.
Izpolnjevanje davčnih obveznosti.
5.4. Privolitev (člen 6(1)(a))
Le kadar ne velja nobena druga pravna podlaga:
Pošiljanje marketinških sporočil in glasil (s pravico do odjave kadar koli).
Uporaba neobveznih piškotkov za analitiko in oglaševanje.
Sodelovanje v anketah o zadovoljstvu in raziskavah.
Privolitev je mogoče preklicati kadar koli, ne da bi to vplivalo na zakonitost obdelave, ki je bila izvedena pred preklicem.
6. Piškotki in tehnologije sledenja
Uporabljamo naslednje kategorije piškotkov:
6.1. Nujno potrebni (privolitev ni potrebna)
Sejni piškotki za avtentikacijo in ohranjanje uporabnikove seje.
Piškotki za zaščito CSRF (varnost obrazcev).
Piškotki za pomnjenje jezikovnih nastavitev.
6.2. Analitični (s privolitvijo)
Google Analytics -- za analizo prometa in vedenja obiskovalcev.
Notranja analitika -- za izboljšanje uporabniške izkušnje.
6.3. Upravljanje piškotkov
Piškotke lahko upravljate prek nastavitev brskalnika ali prek pasice za piškotke ob prvem obisku. Onemogočanje nujno potrebnih piškotkov lahko ovira delovanje platforme.
7. Obdobje hrambe podatkov
Osebne podatke hranimo le toliko časa, kolikor je potrebno za namen, za katerega so bili zbrani:
Podatki o računu -- do prenehanja naročnine in dodatnih 30 dni za izvoz podatkov.
Strankini poslovni podatki -- do prenehanja pogodbe in dodatnih 30 dni za izvoz, nato so trajno izbrisani.
Računovodske listine -- 10 let v skladu z Zakonom o računovodstvu.
Varnostni dnevniki -- do 12 mesecev.
Marketinška privolitev -- do preklica s strani posameznika, na katerega se nanašajo podatki.
Podatki iz kontaktnega obrazca -- do 6 mesecev po rešitvi poizvedbe.
Varnostne kopije -- do 90 dni, nato se samodejno prepišejo.
Po izteku rokov hrambe se podatki izbrišejo ali nepovratno anonimizirajo. V primeru spora ali pravnega zahtevka se podatki lahko hranijo do pravnomočnega zaključka postopka.
8. Posredovanje podatkov tretjim osebam
Osebnih podatkov ne prodajamo, oddajamo ali z njimi ne trgujemo. Podatke posredujemo le v naslednjih primerih:
8.1. Pod-obdelovalci
Za zagotavljanje storitve uporabljamo zaupanja vredne ponudnike storitev, s katerimi imamo sklenjene pogodbe v skladu s členom 28 GDPR:
Gostovanje in infrastruktura -- za shranjevanje podatkov na strežnikih v EU.
Plačilne storitve (Stripe) -- za obdelavo naročniških plačil.
E-poštne storitve -- za pošiljanje sistemskih in transakcijskih e-poštnih sporočil.
Obdelava z UI (OpenAI) -- za inteligentno prepoznavanje dokumentov (glej 12. točko).
Spremljanje in sledenje napakam -- za zagotavljanje stabilnosti storitve.
8.2. Zakonske zahteve
Osebne podatke lahko razkrijemo, kadar to zahteva:
Veljavna zakonodaja ali regulativni akt.
Sodna odredba ali akt pristojnega organa.
Varstvo pravic, premoženja ali varnosti Construction Team, njegovih uporabnikov ali javnosti.
9. Mednarodni prenos podatkov
Vaši podatki se hranijo na strežnikih v Evropski uniji.
Kadar je potreben prenos zunaj EGP (npr. k pod-obdelovalcem v ZDA), zagotavljamo ustrezno raven varstva s standardnimi pogodbenimi klavzulami (SCC), ki jih je odobrila Evropska komisija (Sklep 2021/914).
Obdelava z UI (OpenAI) lahko vključuje prenos v ZDA. OpenAI je certificiran v okviru EU-US Data Privacy Framework in uporablja dodatne tehnične zaščitne ukrepe.
Pred vsakim prenosom izvedemo oceno učinka prenosa (TIA) v skladu s smernicami EDPB.
Seznam pod-obdelovalcev in njihovih lokacij je na voljo na zahtevo na naslovu info@constructionteam.app.
10. Vaše pravice po GDPR
Na podlagi Uredbe (EU) 2016/679 imate naslednje pravice:
Pravica do dostopa (člen 15)
Imate pravico pridobiti potrditev, ali se vaši osebni podatki obdelujejo, dostop do njih ter informacije o namenih, kategorijah podatkov, prejemnikih in obdobju hrambe.
Pravica do popravka (člen 16)
Imate pravico zahtevati popravek netočnih osebnih podatkov ali dopolnitev nepopolnih podatkov brez nepotrebnega odlašanja.
Pravica do izbrisa (člen 17)
Imate pravico zahtevati izbris svojih osebnih podatkov, kadar: podatki niso več potrebni za svoj namen; prekličete privolitev; ugovarjate obdelavi; ali so bili podatki nezakonito obdelani. Ta pravica ne velja, kadar je obdelava potrebna za izpolnjevanje zakonske obveznosti.
Pravica do omejitve (člen 18)
Imate pravico zahtevati omejitev obdelave, kadar oporekate točnosti podatkov, je obdelava nezakonita ali ste ugovarjali obdelavi do njene preverbe.
Pravica do prenosljivosti podatkov (člen 20)
Imate pravico prejeti svoje podatke v strukturirani, splošno uporabljani in strojno berljivi obliki (JSON, CSV) ter jih posredovati drugemu upravljavcu. Platforma omogoča funkcijo izvoza podatkov iz uporabniškega panela.
Pravica do ugovora (člen 21)
Imate pravico ugovarjati obdelavi podatkov na podlagi zakonitega interesa. Po ugovoru bomo obdelavo prenehali, razen če izkažemo nujne legitimne razloge, ki prevladajo nad vašimi interesi. Obdelavi za namene neposrednega trženja lahko ugovarjate kadar koli brezpogojno.
Pravica, da za vas ne velja avtomatizirano odločanje (člen 22)
Imate pravico, da za vas ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z vami. Construction Team ne sprejema avtomatiziranih odločitev s pravnimi učinki brez človekovega posredovanja.
11. Uveljavljanje vaših pravic
Za uveljavljanje katere koli od svojih pravic nas lahko kontaktirate prek naslednjih kanalov:
E-pošta: info@constructionteam.app (z zadevo "Zahteva GDPR").
Prek kontaktnega obrazca na constructionteam.app/contact.
Z dopisom na naslov, naveden v 17. točki.
Za vašo zaščito lahko pred obravnavo vaše zahteve zahtevamo preverjanje vaše istovetnosti.
Na vsako zahtevo odgovorimo v 30 dneh. V primeru zapletenosti ali več zahtev se rok lahko podaljša za do 60 dni, o čemer boste obveščeni.
Uveljavljanje vaših pravic je brezplačno. Pri očitno neutemeljenih ali pretiranih zahtevah (zlasti zaradi ponavljanja) lahko zaračunamo razumno pristojbino ali zavrnemo ukrepanje.
12. Obdelava z UI in avtomatizirano odločanje
Platforma uporablja umetno inteligenco (UI) za naslednje namene:
Samodejno prepoznavanje in izpis podatkov iz skeniranih dokumentov (računi, popisi količin, zapisniki).
Inteligentno povezovanje nomenklaturnih postavk prek semantičnih vektorjev (embeddings).
Predlogi za kategorizacijo in razvrščanje dokumentov.
Zaščitni ukrepi pri obdelavi z UI
Rezultati UI so vedno predlogi -- končna odločitev je pri uporabniku, ki pregleda in potrdi/zavrne rezultate.
Avtomatizirane odločitve s pravnimi ali pomembnimi učinki se ne sprejemajo brez človekovega posredovanja.
Dokumenti, poslani v obdelavo z UI, se obdelajo v realnem času in jih ponudnik UI ne shranjuje za usposabljanje modelov.
Obdelava z UI lahko vključuje prenos podatkov k pod-obdelovalcu (OpenAI), kot je opisano v 9. točki.
Imate pravico kadar koli zahtevati človekovo posredovanje ali zavrniti obdelavo z UI.
13. Vgrajeno in privzeto varstvo podatkov
V skladu s členom 25 GDPR uporabljamo načela vgrajenega in privzetega varstva podatkov:
Najmanjši obseg podatkov -- zbiramo le podatke, potrebne za konkreten namen.
Izolacija podatkov (multi-tenancy) -- podatki vsake Stranke so strogo izolirani na ravni baze podatkov. Nobena Stranka ne more dostopati do podatkov druge Stranke.
Nadzor dostopa na podlagi vlog (RBAC) -- vsak uporabnik dostopa le do podatkov, za katere ima dovoljenje, kot to določi skrbnik računa.
Privzeto šifriranje -- vsi podatki so šifrirani med prenosom (TLS 1.3) in v mirovanju.
Revizijska sled -- vsako uporabnikovo dejanje je zabeleženo za sledljivost in odgovornost.
Psevdonimizacija -- kjer je to mogoče, namesto neposrednih osebnih podatkov uporabljamo notranje identifikatorje.
14. Tehnični in organizacijski varnostni ukrepi
Uporabljamo naslednje ukrepe v skladu s členom 32 GDPR:
14.1. Tehnični ukrepi
Šifriranje podatkov med prenosom prek TLS 1.3 in HSTS.
Šifriranje podatkov v mirovanju (AES-256) za baze podatkov in varnostne kopije.
Večfaktorska avtentikacija (MFA) za administrativni dostop.
Požarni zid za spletne aplikacije (WAF) in zaščita pred DDoS.
Samodejno odkrivanje nepravilnosti in sumljivih dejavnosti.
Redno skeniranje ranljivosti in penetracijsko testiranje.
Redne samodejne varnostne kopije z geografsko replikacijo.
14.2. Organizacijski ukrepi
Načelo najmanjšega obsega pravic za dostop zaposlenih.
Usposabljanje osebja o varstvu podatkov.
Politika obravnavanja incidentov v zvezi z osebnimi podatki.
Redno pregledovanje in posodabljanje varnostnih ukrepov.
Pogodbe o zaupnosti z vsemi zaposlenimi in podizvajalci.
15. Obvestilo o kršitvi
V primeru kršitve varstva osebnih podatkov:
Komisijo za varstvo osebnih podatkov (KZLD) obvestimo v 72 urah od seznanitve, kadar je verjetno, da bo kršitev povzročila tveganje za pravice in svoboščine posameznikov (člen 33 GDPR).
Prizadete posameznike, na katere se nanašajo podatki, obvestimo brez nepotrebnega odlašanja, kadar je verjetno, da bo kršitev povzročila veliko tveganje (člen 34 GDPR).
Vsako kršitev dokumentiramo, vključno z dejstvi, posledicami in sprejetimi popravnimi ukrepi.
Kadar Construction Team deluje kot obdelovalec, brez nepotrebnega odlašanja obvestimo Stranko (upravljavca), da lahko izpolni svoje obveznosti obveščanja.
16. Pooblaščena oseba za varstvo podatkov (DPO)
Za vsa vprašanja v zvezi z varstvom osebnih podatkov se lahko obrnete na našo pooblaščeno osebo za varstvo podatkov:
E-pošta: info@constructionteam.app
Zadeva: "DPO / Varstvo podatkov"
DPO obravnava vse poizvedbe in zahteve v zvezi z obdelavo osebnih podatkov ter usklajuje uveljavljanje pravic posameznikov, na katere se nanašajo podatki.
17. Pravica do pritožbe in stik z nadzornim organom
Če menite, da obdelava vaših osebnih podatkov krši GDPR, imate pravico vložiti pritožbo pri nadzornem organu:
Komisija za varstvo osebnih podatkov (KZLD)
Naslov: Bulevar Prof. Cvetan Lazarov 2, Sofija 1592
Telefon: 02/91-53-518
E-pošta: kzld@cpdp.bg
Spletna stran: www.cpdp.bg
Priporočamo, da nas najprej kontaktirate na info@constructionteam.app za neposredno rešitev zadeve.
18. Podatki otrok
Construction Team je B2B platforma, namenjena pravnim osebam in njihovim zaposlenim. Zavestno ne zbiramo osebnih podatkov posameznikov, mlajših od 16 let. Če ugotovimo, da smo zbrali podatke otroka, jih bomo nemudoma izbrisali. Če menite, da je otrok prek platforme posredoval osebne podatke, nas kontaktirajte na info@constructionteam.app.
19. Spremembe Politike zasebnosti
Pridržujemo si pravico do posodobitve te Politike v primeru:
Sprememb veljavne zakonodaje ali smernic nadzornega organa.
Sprememb storitev, funkcionalnosti ali pod-obdelovalcev.
Tehnoloških sprememb, ki zahtevajo prilagoditev zaščitnih ukrepov.
Priporočil revizij ali ocen učinka.
Pri bistvenih spremembah vas bomo o tem obvestili po e-pošti in/ali z obvestilom v platformi najmanj 30 dni vnaprej. Nadaljnja uporaba platforme po začetku veljavnosti sprememb pomeni sprejetje posodobljene Politike.
20. Veljavno pravo in kontaktni podatki
Ta Politika zasebnosti je urejena z Uredbo (EU) 2016/679 (GDPR), bolgarskim Zakonom o varstvu osebnih podatkov ter veljavno evropsko in nacionalno zakonodajo.
Stik za poizvedbe o varstvu podatkov:
E-pošta: info@constructionteam.app
Spletna stran: constructionteam.app
Zadeva: "Varstvo osebnih podatkov"
Uporabljamo piškotke za zagotavljanje pravilnega delovanja platforme in izboljšanje vaše izkušnje. Več o piškotkih