Polityka prywatności

Board
Operator: Apslo Sp. z o.o.
Ostatnia aktualizacja: 7 stycznia 2026

1. Zakres i definicje

Niniejsza Polityka prywatności dotyczy danych osobowych przetwarzanych za pośrednictwem platformy Board, w tym aplikacji webowej, dostępu mobilnego, widoków trybu kiosk oraz punktów końcowych API (łącznie Usługa).

Na potrzeby RODO (Rozporządzenie (UE) 2016/679), Apslo Sp. z o.o. występuje jako:

• Administrator danych osobowych związanych z zarządzaniem kontem, rozliczeniami, preferencjami marketingowymi i komunikacją wsparcia.
• Podmiot przetwarzający w odniesieniu do Treści Klienta (danych wprowadzonych do Usługi przez klienta lub w jego imieniu, w tym danych klientów końcowych i pracowników), gdy klient jest Administratorem.

2. Dane osobowe, które zbieramy

2.1 Dane konta i rozliczeń

• Imię i nazwisko właściciela konta
• Nazwa firmy
• Adres e-mail
• Hasło (przechowywane jako bezpieczny hash, nigdy w postaci jawnej)
• Status planu subskrypcji i zapisy rozliczeniowe
• Faktury i referencje transakcji
• Informacje o tokenizacji metody płatności dostarczone przez naszego operatora płatności (nie przechowujemy pełnych danych karty)

2.2 Dane użytkowników, ról i dostępu

• Imiona i nazwiska użytkowników, adresy e-mail, role i uprawnienia
• Profile pracowników utworzone przez klienta (do użytku na hali produkcyjnej), w tym identyfikatory uwierzytelniania PIN
• Przypisania do stanowisk roboczych i działów (jeśli skonfigurowane)
• Status uwierzytelniania dwuskładnikowego (jeśli włączone) oraz powiązane metadane bezpieczeństwa
• Klucze API i dzienniki dostępu powiązane z tymi kluczami

2.3 Treści Klienta (dane przesyłane lub tworzone)

Usługa jest przeznaczona do śledzenia produkcji. Klienci mogą przesyłać lub generować dane, które mogą zawierać dane osobowe, na przykład:

• Dane kontaktowe klientów lub projektów (imię, e-mail, telefon, adres)
• Szczegóły zleceń i projektów, numery referencyjne, harmonogramy, notatki
• Dzienniki produkcji z oznaczeniami czasu, notatkami, aktualizacjami ilości, śledzeniem czasu
• Zdjęcia i załączniki dodane do dzienników (zgodnie z ustawieniami planu)
• Rysunki techniczne i dokumenty powiązane ze zleceniami
• Importy/eksporty CSV zawierające dane zleceń, klientów lub operacyjne

2.4 Dane techniczne, użytkowe i bezpieczeństwa

• Adres IP i przybliżona lokalizacja na podstawie IP (poziom kraju lub regionu)
• Informacje o urządzeniu i przeglądarce
• Identyfikatory sesji i zdarzenia uwierzytelniania (znaczniki czasu logowania)
• Dzienniki audytu i zdarzeń (dla bezpieczeństwa i identyfikowalności)
• Dzienniki błędów i dane diagnostyczne
• Dzienniki dostępu trybu kiosk (użycie kluczy widoku, zdarzenia odświeżania)

3. Cele i podstawy prawne przetwarzania (RODO)

Przetwarzamy dane osobowe w następujących celach i na następujących podstawach prawnych:

• Świadczenie i obsługa Usługi (tworzenie konta, uwierzytelnianie, autoryzacja, procesy produkcyjne) na podstawie wykonania umowy (art. 6 ust. 1 lit. b RODO).
• Rozliczenia, płatności, faktury i księgowość na podstawie wykonania umowy (art. 6 ust. 1 lit. b) oraz obowiązku prawnego (art. 6 ust. 1 lit. c).
• Obsługa klienta i obsługa zapytań na podstawie wykonania umowy (art. 6 ust. 1 lit. b) oraz prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f).
• Bezpieczeństwo, zapobieganie oszustwom, wykrywanie nadużyć i reagowanie na incydenty na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f) oraz, w stosownych przypadkach, obowiązków prawnych (art. 6 ust. 1 lit. c).
• Ulepszanie i niezawodność Usługi (analityka, rozwiązywanie problemów, monitorowanie wydajności) na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f).
• Komunikacja marketingowa (jeśli wyrazisz zgodę tam, gdzie jest to wymagane) na podstawie zgody (art. 6 ust. 1 lit. a) lub prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f), jeśli jest to dozwolone przez obowiązujące prawo. Możesz zrezygnować w dowolnym momencie.

4. Pliki cookie i podobne technologie

Używamy plików cookie i podobnych technologii (na przykład local storage), aby obsługiwać Usługę, utrzymywać sesję logowania, zabezpieczać sesje i analizować sposób korzystania z Usługi.

4.1 Kategorie plików cookie

• Niezbędne — pliki cookie wymagane do uwierzytelniania, bezpieczeństwa i podstawowych funkcji.
• Funkcjonalne — pliki cookie zapamiętujące Twoje preferencje (na przykład język lub ustawienia interfejsu).
• Analityczne — pliki cookie pomagające nam zrozumieć sposób korzystania i poprawić wydajność (stosowane tylko po uzyskaniu wymaganej zgody).

4.2 Zarządzanie plikami cookie

Możesz kontrolować pliki cookie za pomocą ustawień przeglądarki. Wyłączenie niezbędnych plików cookie może uniemożliwić prawidłowe działanie Usługi. Tam, gdzie wymaga tego prawo, poprosimy o Twoją zgodę przed umieszczeniem analitycznych lub nieistotnych plików cookie.

4.3 Szczegóły plików cookie

Nazwy i dostawcy plików cookie mogą się zmieniać w miarę rozwoju Usługi. Zalecamy prowadzenie listy plików cookie w banerze cookie lub na stronie ustawień.

5. Udostępnianie i ujawnianie danych

Nie sprzedajemy danych osobowych. Możemy udostępniać dane osobowe wyłącznie w następujący sposób:

• Dostawcy usług wspierający hosting, przechowywanie, płatności, dostarczanie wiadomości e-mail, monitoring, analitykę i obsługę klienta.
• Doradcy profesjonalni (prawnicy, księgowi, audytorzy) objęci obowiązkiem poufności, gdy jest to konieczne.
• Organy władzy, gdy jest to wymagane przez prawo, wezwanie sądowe lub ważny proces prawny.
• Transakcje korporacyjne (fuzje, przejęcia, reorganizacje), w ramach których dane mogą być przekazywane z zastosowaniem odpowiednich zabezpieczeń.

Wymagamy od podmiotów przetwarzających ochrony danych osobowych poprzez zobowiązania umowne oraz, w stosownych przypadkach, umowy powierzenia przetwarzania danych zgodne z RODO.

6. Przekazywanie danych za granicę

Dane przetwarzamy głównie na terenie Europejskiego Obszaru Gospodarczego (EOG). Jeśli przekazujemy dane osobowe poza EOG, robimy to wyłącznie zgodnie z prawem, stosując odpowiednie zabezpieczenia, takie jak Standardowe Klauzule Umowne (SKU) Komisji Europejskiej oraz dodatkowe środki w razie potrzeby.

7. Środki bezpieczeństwa

Wdrażamy techniczne i organizacyjne środki bezpieczeństwa odpowiednie do poziomu ryzyka, w tym szyfrowany transport (HTTPS), kontrolę dostępu, dzienniki audytu i monitoring bezpieczeństwa. Żadna metoda transmisji ani przechowywania nie jest w 100% bezpieczna i nie możemy zagwarantować absolutnego bezpieczeństwa.

Jesteś odpowiedzialny za zachowanie poufności danych logowania, kodów PIN i kluczy API oraz za odpowiednią konfigurację uprawnień użytkowników.

8. Przechowywanie danych

Przechowujemy dane osobowe tylko tak długo, jak jest to niezbędne do świadczenia Usługi, wypełniania zobowiązań umownych i przestrzegania obowiązującego prawa. Okresy przechowywania zależą od rodzaju danych:

• Dane konta i rozliczeń — przechowywane zgodnie z wymogami rachunkowości i przepisów podatkowych.
• Treści Klienta — przechowywane, gdy konto jest aktywne i zgodnie z konfiguracją klienta, następnie usuwane po rozwiązaniu umowy zgodnie z Sekcją 12 (DPA).
• Dzienniki bezpieczeństwa i audytu — przechowywane przez ograniczony okres w celu badania incydentów i zapewnienia integralności.

Jeśli zażądasz usunięcia danych, przetworzymy żądanie bez zbędnej zwłoki, zazwyczaj w ciągu 30 dni, chyba że musimy zachować pewne dane ze względu na obowiązki prawne.

9. Tryb kiosk i linki publiczne

Usługa może udostępniać widoki trybu kiosk dostępne za pomocą klucza URL. Tryb kiosk nie wymaga logowania i jest przeznaczony do wyświetlania na halach produkcyjnych. Wyświetla jedynie skonfigurowany widok kanban powiązany z kluczem URL.

Jesteś odpowiedzialny za kontrolowanie dystrybucji adresów URL kiosku i zapewnienie, że wyświetlacze kiosku nie ujawniają danych osobowych w nieodpowiedni sposób. Zalecamy unikanie osobistych danych klientów w widokach kiosku, gdy nie jest to konieczne.

10. Dostęp przez API

Usługa obsługuje dostęp przez API za pomocą kluczy API i innych metod uwierzytelniania. Dostęp przez API może generować dzienniki do celów bezpieczeństwa, limitowania ruchu i rozwiązywania problemów. Klienci są odpowiedzialni za ochronę poświadczeń API oraz za wszelki dostęp dokonany przy użyciu ich kluczy.

11. Twoje prawa (EOG/Wielka Brytania)

Tam, gdzie ma to zastosowanie, przysługują Ci prawa wynikające z przepisów o ochronie danych, w tym prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych i sprzeciwu. Masz również prawo do wycofania zgody, gdy przetwarzanie opiera się na zgodzie.

Aby skorzystać ze swoich praw, skontaktuj się z nami: [email protected]. Przed udzieleniem odpowiedzi możemy potrzebować zweryfikować Twoją tożsamość.

Masz również prawo do wniesienia skargi do właściwego organu nadzorczego.

12. Umowa powierzenia przetwarzania danych (DPA) dla klientów korporacyjnych

Niniejsza Sekcja ma zastosowanie, gdy klient jest Administratorem, a Apslo Sp. z o.o. działa jako Podmiot przetwarzający Treści Klienta zgodnie z RODO. Dla klientów korporacyjnych podpisana DPA może zostać udostępniona na żądanie. Niniejsza Sekcja podsumowuje podstawowe warunki przetwarzania.

12.1 Przedmiot, charakter i cel przetwarzania

• Przedmiot: Przetwarzanie Treści Klienta w ramach Usługi.
• Charakter: Hosting, przechowywanie, pobieranie, wyświetlanie, transmisja i usuwanie Treści Klienta; wsparcie i rozwiązywanie problemów po upoważnieniu.
• Cel: Świadczenie i ulepszanie Usługi zgodnie z umową z klientem.
• Czas trwania: Przez okres subskrypcji klienta oraz okres usuwania/zwrotu określony w Sekcji 12.6.

12.2 Rodzaje danych osobowych i kategorie osób, których dane dotyczą

• Rodzaje danych: Dane kontaktowe (imiona, adresy e-mail, telefony, adresy), identyfikatory związane z zatrudnieniem (imiona pracowników, identyfikatory PIN), dzienniki operacyjne (znaczniki czasu, notatki, ilości), załączniki (zdjęcia, rysunki, pliki) oraz wszelkie inne dane osobowe zawarte w Treściach Klienta.
• Osoby, których dane dotyczą: Pracownicy klienta, podwykonawcy, klienci końcowi, dostawcy i inne osoby, których dane klient przesyła lub tworzy w Usłudze.

12.3 Obowiązki Klienta (Administrator)

• Zapewnienie ważnej podstawy prawnej przetwarzania oraz udostępniania Treści Klienta w Usłudze.
• Przekazywanie odpowiednich informacji osobom, których dane dotyczą, oraz obsługa żądań tych osób, chyba że strony uzgodnią inaczej.
• Konfiguracja Usługi w celu unikania przesyłania zbędnych danych osobowych.
• Utrzymywanie odpowiednich kontroli dostępu, ról i bezpieczeństwa poświadczeń w organizacji klienta.

12.4 Obowiązki Podmiotu przetwarzającego (Apslo Sp. z o.o.)

• Przetwarzanie Treści Klienta wyłącznie na podstawie udokumentowanych instrukcji klienta, w tym w celu świadczenia i wspierania Usługi.
• Zapewnienie, że osoby upoważnione do przetwarzania Treści Klienta są zobowiązane do zachowania poufności.
• Wdrożenie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa.
• Powiadomienie klienta bez zbędnej zwłoki po powzięciu wiadomości o naruszeniu ochrony danych osobowych dotyczącym Treści Klienta oraz przekazanie informacji niezbędnych do udzielenia pomocy klientowi.
• Pomoc klientowi, z uwzględnieniem charakteru przetwarzania, w zakresie bezpieczeństwa, ocen skutków (DPIA) i konsultacji, gdy jest to uzasadnione.

12.5 Podwykonawcy przetwarzania

Możemy korzystać z podwykonawców przetwarzania w celu świadczenia Usługi (na przykład hosting, przechowywanie, monitoring, dostarczanie wiadomości e-mail, analityka i przetwarzanie płatności). Zapewniamy, że podwykonawcy przetwarzania podlegają umownym zobowiązaniom w zakresie ochrony danych.

Klienci korporacyjni mogą poprosić o listę aktualnych podwykonawców przetwarzania, kontaktując się z [email protected]. W razie potrzeby powiadomimy z wyprzedzeniem o istotnych zmianach i umożliwimy zgłoszenie sprzeciwu na uzasadnionych podstawach.

12.6 Zwrot i usunięcie danych

Po rozwiązaniu lub wygaśnięciu subskrypcji, na życzenie klienta i w miarę możliwości technicznych:

• Udostępnimy eksport Treści Klienta; i/lub
• Usuniemy Treści Klienta w rozsądnym terminie, zazwyczaj w ciągu 30 dni, chyba że przechowywanie jest wymagane przez prawo.

Dane mogą pozostawać w kopiach zapasowych przez ograniczony okres zgodnie ze standardowymi cyklami tworzenia kopii zapasowych i będą chronione do momentu nadpisania lub usunięcia.

12.7 Audyt i zgodność

Na uzasadnione pisemne żądanie klienta korporacyjnego udostępnimy informacje niezbędne do wykazania zgodności z niniejszą sekcją DPA. Audyty (jeśli występują) muszą mieć ograniczony zakres, odbywać się w normalnych godzinach pracy i podlegać wymogom poufności i bezpieczeństwa.

13. Dzieci

Usługa jest przeznaczona do użytku biznesowego i nie jest skierowana do dzieci. Nie zbieramy świadomie danych osobowych od dzieci.

14. Zmiany w niniejszej Polityce

Możemy od czasu do czasu aktualizować niniejszą Politykę prywatności. W przypadku istotnych zmian powiadomimy za pośrednictwem Usługi lub e-mailem. Dalsze korzystanie z Usługi po dacie wejścia w życie oznacza akceptację zaktualizowanej polityki.

15. Kontakt

Pytania dotyczące niniejszej Polityki prywatności lub naszych praktyk przetwarzania prosimy kierować na adres: [email protected].