Costor / dokumenty prawne

Wersja dokumentu: 23 czerwca 2026

Polityka prywatności Costor

§1. Informacje ogólne

  1. Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych przez SoftCode Piotr Nowacki w związku z usługą Costor.
  2. Administratorem danych osobowych w zakresie opisanym w niniejszej Polityce jest SoftCode Piotr Nowacki, adres: Górnicza 67c, 42-600 Tarnowskie Góry, NIP: 6482058477, email: biuro@softcode-ai.pl.
  3. Kontakt w sprawach ochrony danych osobowych: biuro@softcode-ai.pl.
  4. Costor jest usługą B2B. Klient korzystający z Costor może być odrębnym administratorem danych swoich klientów końcowych, pracowników, kontrahentów, inwestorów i innych osób, których dane wprowadza do systemu.
  5. W takim zakresie SoftCode działa jako podmiot przetwarzający dane na podstawie Umowy powierzenia przetwarzania danych osobowych.

§2. Kiedy SoftCode jest administratorem danych

SoftCode jest administratorem danych w szczególności w odniesieniu do:

  1. osób zakładających konto w Costor,
  2. Użytkowników Organizacji,
  3. osób kontaktujących się z SoftCode,
  4. potencjalnych klientów,
  5. klientów korzystających z triala,
  6. abonentów Costor,
  7. danych rozliczeniowych i płatniczych w zakresie nieobsługiwanym bezpośrednio przez operatora płatności,
  8. komunikacji technicznej i obsługowej,
  9. logów bezpieczeństwa i logów administracyjnych przetwarzanych dla własnych celów SoftCode.

§3. Kiedy Klient jest administratorem danych

  1. Klient jest administratorem danych, które wprowadza do Costor w związku z własną działalnością.
  2. Dotyczy to w szczególności danych:
  1. klientów końcowych,
  2. inwestorów,
  3. kontrahentów,
  4. pracowników,
  5. współpracowników,
  6. osób widocznych na zdjęciach,
  7. osób, których dane znajdują się w dokumentach, fakturach, notatkach, audio, transkrypcjach i korespondencji.
  8. Klient odpowiada za posiadanie podstawy prawnej do wprowadzenia i przetwarzania tych danych w Costor.
  9. SoftCode przetwarza te dane jako procesor na podstawie Umowy powierzenia.

§4. Kategorie danych przetwarzanych przez SoftCode

SoftCode może przetwarzać następujące kategorie danych:

  1. dane konta: imię, nazwisko, email, telefon, hasło w postaci technicznie zabezpieczonej,
  2. dane Organizacji: nazwa firmy, NIP, REGON, adres, dane kontaktowe,
  3. dane Użytkowników Organizacji,
  4. dane rozliczeniowe Klienta,
  5. identyfikatory płatności, statusy płatności i subskrypcji,
  6. dane kontaktowe potencjalnych klientów,
  7. korespondencję emailową i techniczną,
  8. zgłoszenia supportowe,
  9. logi systemowe, bezpieczeństwa i diagnostyczne,
  10. dane techniczne urządzenia, przeglądarki, adres IP, znaczniki czasu, informacje o sesji,
  11. dane wymagane do obsługi umowy, reklamacji, rozliczeń lub roszczeń.

§5. Kategorie danych przetwarzanych w imieniu Klienta

W ramach świadczenia Costor SoftCode może przetwarzać w imieniu Klienta między innymi:

  1. dane klientów końcowych, inwestorów i kontrahentów,
  2. dane pracowników i Użytkowników Klienta,
  3. dane projektowe i remontowe,
  4. adresy realizacji,
  5. informacje o pomieszczeniach, wymiarach, pracach i materiałach,
  6. zdjęcia z budowy, lokalu lub pomieszczeń,
  7. notatki głosowe i transkrypcje,
  8. wyceny, ceny, rabaty, VAT, opisy prac,
  9. harmonogramy, terminy, etapy i ekipy,
  10. dokumenty kosztowe i sprzedażowe,
  11. faktury, dane do faktur, numery KSeF, statusy dokumentów, dane UPO lub sesji,
  12. korespondencję techniczną i zgłoszenia,
  13. logi techniczne związane z działaniem Organizacji.

§6. Cele i podstawy prawne przetwarzania danych

SoftCode przetwarza dane osobowe jako administrator w następujących celach:

  1. zawarcie i wykonanie umowy o świadczenie usługi Costor — art. 6 ust. 1 lit. b RODO,
  2. utworzenie i obsługa konta — art. 6 ust. 1 lit. b RODO,
  3. obsługa triala i abonamentu — art. 6 ust. 1 lit. b RODO,
  4. obsługa płatności i rozliczeń — art. 6 ust. 1 lit. b i c RODO,
  5. wystawianie dokumentów księgowych — art. 6 ust. 1 lit. c RODO,
  6. kontakt i obsługa zgłoszeń — art. 6 ust. 1 lit. b lub f RODO,
  7. zapewnienie bezpieczeństwa systemu — art. 6 ust. 1 lit. f RODO,
  8. diagnostyka techniczna, zapobieganie awariom i nadużyciom — art. 6 ust. 1 lit. f RODO,
  9. dochodzenie i obrona roszczeń — art. 6 ust. 1 lit. f RODO,
  10. marketing własnych usług wobec klientów B2B — art. 6 ust. 1 lit. f RODO albo art. 6 ust. 1 lit. a RODO, jeżeli wymagana jest zgoda,
  11. realizacja obowiązków prawnych — art. 6 ust. 1 lit. c RODO.

§7. Odbiorcy danych

Dane mogą być przekazywane następującym kategoriom odbiorców:

  1. dostawcy hostingu/VPS — home.pl S.A.,
  2. dostawcy poczty email — home.pl S.A.,
  3. operatorowi płatności Stripe albo innemu wdrożonemu operatorowi,
  4. dostawcom usług AI, w szczególności OpenAI API albo innemu skonfigurowanemu dostawcy,
  5. dostawcom narzędzi technicznych wykorzystywanych do utrzymania Costor,
  6. podmiotom świadczącym obsługę księgową, prawną lub administracyjną dla SoftCode,
  7. organom publicznym, jeżeli wynika to z przepisów prawa,
  8. KSeF / Ministerstwu Finansów — w zakresie funkcji KSeF uruchomionych przez Klienta i na podstawie tokena Klienta.

§8. Operator płatności

  1. Płatności online mogą być obsługiwane przez Stripe Checkout.
  2. Stripe może działać jako odrębny administrator danych w zakresie obsługi płatności.
  3. Costor nie przechowuje pełnych danych karty płatniczej.
  4. Costor może przechowywać statusy płatności, identyfikatory klienta, subskrypcji i transakcji potrzebne do kontroli dostępu do usługi.
  5. Aktualny status wdrożenia Stripe i weryfikacji konta: integracja techniczna została przygotowana, a uruchomienie płatności produkcyjnych zależy od aktywnego statusu konta i weryfikacji operatora płatności.

§9. AI i dane przekazywane do modeli

  1. Jeżeli Klient korzysta z funkcji AI, dane niezbędne do wykonania danej funkcji mogą być przekazywane do zewnętrznego dostawcy AI.
  2. Mogą to być w szczególności: zdjęcia, opisy, notatki, transkrypcje, dane z cennika, dane wyceny, informacje o pomieszczeniach i projekcie.
  3. Dostawcą AI może być OpenAI API albo inny dostawca skonfigurowany w Costor.
  4. Zgodnie z informacjami publikowanymi przez OpenAI dla API, dane przesyłane przez API nie są domyślnie wykorzystywane do trenowania modeli, a wejścia i wyjścia API mogą być przechowywane do 30 dni w celach bezpieczeństwa i przeciwdziałania nadużyciom, chyba że właściwe warunki dostawcy lub konfiguracja usługi stanowią inaczej.
  5. Klient nie powinien wprowadzać do funkcji AI danych nadmiarowych, szczególnych kategorii danych ani danych wrażliwych, chyba że jest to niezbędne i ma do tego podstawę prawną.
  6. Wyniki AI nie stanowią decyzji automatycznej w rozumieniu RODO. AI przygotowuje propozycje, które powinny zostać zweryfikowane przez człowieka.

§10. KSeF

  1. Jeżeli Klient korzysta z integracji KSeF, Costor może przetwarzać token KSeF, statusy wysyłki, numery KSeF, dane UPO, dane sesji i informacje techniczne związane z dokumentami.
  2. Klient odpowiada za wygenerowanie tokena KSeF, jego zakres, poprawność i bezpieczeństwo.
  3. Costor działa na podstawie danych i tokena podanych przez Klienta.
  4. SoftCode nie jest biurem rachunkowym ani doradcą podatkowym.

§11. Przekazywanie danych poza EOG

  1. Dane mogą być przetwarzane przez dostawców mających siedzibę lub infrastrukturę poza Europejskim Obszarem Gospodarczym, jeżeli korzystanie z danego dostawcy jest niezbędne do świadczenia usługi.
  2. W takim przypadku SoftCode stosuje wymagane mechanizmy prawne, np. standardowe klauzule umowne albo inne mechanizmy przewidziane przez RODO, jeżeli są wymagane.
  3. Aktualna lista dostawców i lokalizacji przetwarzania znajduje się w Wykazie podprocesorów. Na dzień publikacji dokumentów obejmuje w szczególności home.pl S.A., OpenAI API, Stripe oraz KSeF / Ministerstwo Finansów w zakresie funkcji uruchomionych przez Klienta.

§12. Okres przechowywania danych

  1. Dane konta i umowy są przechowywane przez czas korzystania z Costor.
  2. Dane rozliczeniowe są przechowywane przez okres wymagany przepisami podatkowymi i rachunkowymi.
  3. Dane potrzebne do dochodzenia lub obrony roszczeń mogą być przechowywane do upływu okresu przedawnienia roszczeń.
  4. Dane po zakończeniu abonamentu są przechowywane przez okres 90 dni, chyba że przepisy prawa, rozliczenia, reklamacje lub obrona roszczeń wymagają dłuższego przechowywania wybranych danych.
  5. Dane po zakończeniu triala są przechowywane przez okres 30 dni, chyba że Klient aktywuje abonament albo uzgodni z Usługodawcą inny termin.
  6. Logi techniczne są przechowywane standardowo przez okres do 90 dni.
  7. Backupy są przechowywane standardowo przez okres do 30 dni.
  8. Usunięcie danych z aktywnego systemu nie musi oznaczać natychmiastowego usunięcia ich z kopii zapasowych, o ile backupy są nadpisywane zgodnie z cyklem retencji.

§13. Prawa osób, których dane dotyczą

Osobie, której dane dotyczą, przysługuje prawo do:

  1. dostępu do danych,
  2. sprostowania danych,
  3. usunięcia danych,
  4. ograniczenia przetwarzania,
  5. przenoszenia danych,
  6. sprzeciwu wobec przetwarzania,
  7. cofnięcia zgody, jeżeli przetwarzanie odbywa się na podstawie zgody,
  8. wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

W zakresie danych, dla których administratorem jest Klient, osoba powinna kierować żądanie bezpośrednio do Klienta. SoftCode może wspierać Klienta w realizacji takiego żądania zgodnie z Umową powierzenia.

§14. Pliki cookies

  1. Costor może wykorzystywać pliki cookies i podobne technologie w celu zapewnienia działania systemu, logowania, bezpieczeństwa, zapamiętywania ustawień i analityki.
  2. Szczegółowa Polityka cookies może zostać opublikowana jako osobny dokument; do tego czasu informacje o cookies znajdują się w niniejszej Polityce prywatności.
  3. Na dzień publikacji dokumentów Costor wykorzystuje głównie cookies i podobne technologie niezbędne do działania systemu, logowania i bezpieczeństwa. Narzędzia analityczne lub marketingowe mogą zostać dodane w przyszłości po aktualizacji informacji dla użytkowników.

§15. Bezpieczeństwo

  1. SoftCode stosuje środki techniczne i organizacyjne mające chronić dane przed nieuprawnionym dostępem, utratą, zmianą, ujawnieniem lub zniszczeniem.
  2. Środki te obejmują w szczególności: kontrolę dostępu, logiczną izolację tenantów, zabezpieczenie sekretów, ograniczony dostęp administracyjny, logowanie zdarzeń, konteneryzację usług i działania diagnostyczne.
  3. Szczegółowe środki opisuje Załącznik techniczno-organizacyjny RODO.
  4. Parametry bezpieczeństwa są opisane w Załączniku techniczno-organizacyjnym RODO i mogą być aktualizowane wraz z rozwojem systemu, o ile nie obniża to istotnie poziomu ochrony danych.

---