Budevo · budevo.io
Polityka prywatności / Privacy policy
Ostatnia aktualizacja / Last updated: 2026-06-01
PL — Polityka prywatności
1. Administrator i kontakt
Administratorem aplikacji Budevo dostępnej pod adresem budevo.io jest Budevo (dalej: „Operator”). Nie wyznaczono inspektora ochrony danych. W sprawach związanych z danymi osobowymi można kontaktować się pod adresem info@budevo.io.
2. Jakie dane przetwarzamy
- Dane konta: adres e-mail, imię/nazwa wyświetlana, zdjęcie profilowe (avatar) — w tym dane otrzymywane z logowania Google jeżeli korzystasz z OAuth.
- Dane uwierzytelniania i sesji: identyfikatory sesji, tokeny, informacje techniczne potrzebne do zabezpieczenia logowania.
- Dane projektowe: członkostwo w projektach, role, tytuły funkcyjne, firma.
- Dane organizacji i zespołu: nazwa organizacji / workspace, role właścicieli, administratorów i członków zespołu, zaproszenia oraz historia zmian uprawnień.
- Treści wgrywane przez użytkowników: zdjęcia, filmy, dokumenty, modele 3D, linki, foldery materiałów, komentarze, wiadomości, wpisy w dzienniku etapu, historia aktywności.
- Dane linków udostępniania: tokeny linków, zakres udostępnienia, ustawienia PIN, daty wygaśnięcia, informacje o tym, czy link jest aktywny oraz techniczne ciasteczka sesji dla dostępu przez link.
- Dane rozliczeniowe i subskrypcyjne: plan, status subskrypcji, limity i wykorzystanie, identyfikatory klienta i subskrypcji Stripe, informacje o okresie rozliczeniowym, anulowaniu, odnowieniu, zmianie planu, archiwum i fakturach. Pełne dane kart płatniczych są przetwarzane przez Stripe.
- Dane kontaktowe i wiadomości: dane podane w formularzu kontaktowym, zapytania o wdrożenie, Studio albo ofertę oraz metadane wysyłki wiadomości transakcyjnych.
- Ustawienia powiadomień oraz techniczne dane subskrypcji push (jeżeli włączysz powiadomienia w przeglądarce).
- Dane techniczne i bezpieczeństwa: adres IP, informacje o przeglądarce, logi dostępu, zdarzenia bezpieczeństwa.
3. Cele i podstawy przetwarzania
- Świadczenie usługi (utworzenie konta, dostęp do projektu, wyświetlanie i udostępnianie materiałów, komunikacja w zespole) — wykonanie umowy o świadczenie usług drogą elektroniczną (art. 6 ust. 1 lit. b RODO).
- Rozliczenia i obsługa subskrypcji (checkout, zmiana planu, odnowienie, anulowanie, archiwum, limity, faktury) — wykonanie umowy oraz obowiązki prawne Operatora (art. 6 ust. 1 lit. b i c RODO).
- Kontakt, sprzedaż i wdrożenie (odpowiedź na formularz, umówienie wdrożenia pierwszego projektu, obsługa Budevo Studio) — uzasadniony interes Operatora lub działania przed zawarciem umowy (art. 6 ust. 1 lit. f albo b RODO).
- Bezpieczeństwo i audyt (logowanie, historia aktywności, wykrywanie nadużyć) — uzasadniony interes Operatora (art. 6 ust. 1 lit. f RODO).
- Wiadomości transakcyjne (zaproszenia do zespołu, informacje o planie, płatnościach, retencji i bezpieczeństwie) — wykonanie umowy, obowiązki prawne albo uzasadniony interes Operatora.
- Powiadomienia push w przeglądarce — Twoja zgoda udzielana przez okno systemu przeglądarki (art. 6 ust. 1 lit. a RODO). Możesz ją cofnąć w ustawieniach przeglądarki lub w ustawieniach aplikacji.
- Obowiązki prawne (np. rachunkowość, odpowiedzi na uzasadnione żądania organów) — art. 6 ust. 1 lit. c RODO.
4. Odbiorcy danych / podmioty przetwarzające
Korzystamy z zaufanych dostawców technologii. W obecnej wersji aplikacji mogą to być w szczególności:
- Supabase — baza danych, uwierzytelnianie, pliki i mechanizmy bezpieczeństwa.
- Vercel — hosting, wdrożenia, dystrybucja aplikacji i logi techniczne.
- Stripe — płatności, faktury, subskrypcje, panel klienta i webhooks rozliczeniowe.
- Resend albo skonfigurowany SMTP — wiadomości transakcyjne i systemowe.
- Dostawcy usług push notification (mechanizmy push przeglądarek/systemów operacyjnych).
- Google OAuth — wyłącznie jeśli logujesz się przez konto Google.
5. Przekazywanie poza EOG
Część dostawców może przetwarzać dane poza Europejskim Obszarem Gospodarczym — w szczególności Stripe (operator płatności) z infrastrukturą m.in. w USA, a także hosting i baza danych (Vercel, Supabase), które mogą działać w regionach poza EOG. W takich przypadkach przekazanie odbywa się na podstawie zabezpieczeń wymaganych przez RODO, w szczególności standardowych klauzul umownych (SCC) Komisji Europejskiej.
6. Retencja
- Dane konta, organizacji i materiały projektowe przechowywane są przez okres istnienia konta, organizacji, projektu albo aktywnej subskrypcji.
- Po zakończeniu płatnego planu dane organizacji mogą być przechowywane przez okres retencji komunikowany w aplikacji (obecnie 30 dni), aby umożliwić odnowienie planu albo wykupienie archiwum online. Po tym okresie dane mogą zostać usunięte, jeżeli plan lub archiwum nie zostaną odnowione.
- Dane rozliczeniowe, faktury i dokumenty wymagane przepisami księgowymi mogą być przechowywane przez okres wymagany prawem.
- Logi techniczne i bezpieczeństwa przechowywane są przez rozsądny okres potrzebny do audytu i bezpieczeństwa.
- Po usunięciu konta lub projektu dane mogą być przez krótki czas zachowane w kopiach zapasowych zgodnie z polityką retencji dostawców infrastruktury.
7. Twoje prawa
Masz prawo do: dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu, przenoszenia danych, a także wniesienia skargi do organu nadzorczego (w Polsce: Prezes UODO). Wnioski prosimy kierować na info@budevo.io.
8. Pliki cookie i pamięć przeglądarki
Używamy mechanizmów lokalnej pamięci przeglądarki (cookies / localStorage / cache) wyłącznie w zakresie niezbędnym do działania aplikacji: uwierzytelnianie, sesje Supabase, sesje linków udostępniania i PIN, preferencje (np. wybór języka, motyw), działanie powiadomień push oraz service worker/cache aplikacji. Nie używamy ich do profilowania reklamowego.
9. Linki udostępniania
Osoby uprawnione w ramach projektu mogą tworzyć linki udostępniające wybrane treści (etapy, materiały, foldery, modele 3D). Linki mogą być publiczne lub chronione PIN-em. Każdy, kto otrzyma link (i ewentualnie PIN), uzyskuje dostęp do udostępnionych treści — odpowiedzialność za to, komu udostępniasz link, spoczywa na Tobie.
10. Bezpieczeństwo
Stosujemy kontrolę dostępu opartą o role projektowe, zasady RLS po stronie bazy danych, transmisję po HTTPS oraz ograniczenia ról aplikacyjnych. Żadne rozwiązanie nie zapewnia 100% bezpieczeństwa, ale traktujemy ochronę Twoich danych poważnie.
11. Sztuczna inteligencja
Aplikacja nie wykorzystuje świadomie materiałów projektowych użytkowników do trenowania modeli AI.
12. Zmiany polityki
Polityka może być aktualizowana. O istotnych zmianach poinformujemy w aplikacji lub drogą e-mailową.
EN — Privacy policy
1. Controller and contact
The application Budevo, available at budevo.io, is operated by Budevo (the “Operator”). No data protection officer has been appointed. For any privacy-related matters please contact info@budevo.io.
2. What we process
- Account data: email address, display name and profile picture (avatar), including data received from Google OAuth when you sign in with Google.
- Authentication and session data: session identifiers, tokens and technical data used to secure your login.
- Project data: project memberships, roles, functional titles, company affiliation.
- Organisation and team data: organisation / workspace name, owner, admin and team member roles, invitations and permission-change history.
- User-uploaded content: photos, videos, documents, 3D models, links, material folders, comments, messages, stage log entries, and the activity history.
- Share-link data: link tokens, access scope, PIN configuration, expiry dates, active/revoked status and technical session cookies for link access.
- Billing and subscription data: plan, subscription status, limits and usage, Stripe customer and subscription identifiers, billing period, cancellation, renewal, plan changes, archive status and invoices. Full card details are processed by Stripe.
- Contact and message data: contact form submissions, onboarding, Studio or offer inquiries and transactional email delivery metadata.
- Notification preferences and the technical data needed for web push subscriptions (if you opt in to browser notifications).
- Technical and security data: IP address, browser information, access logs, security events.
3. Purposes and legal bases
- Service delivery (account creation, project access, display and sharing of materials, team communication) — performance of the service agreement (GDPR Art. 6(1)(b)).
- Billing and subscription handling (checkout, plan change, renewal, cancellation, archive, limits, invoices) — performance of the agreement and legal obligations (GDPR Art. 6(1)(b) and (c)).
- Contact, sales and onboarding (responding to forms, onboarding the first project, Budevo Studio handling) — legitimate interest or steps before entering into an agreement (GDPR Art. 6(1)(f) or (b)).
- Security and audit (logins, activity history, abuse detection) — legitimate interest of the Operator (GDPR Art. 6(1)(f)).
- Transactional messages (team invitations, plan, payment, retention and security notices) — performance of the agreement, legal obligations or legitimate interest.
- Browser push notifications — your consent given through the browser permission dialog (GDPR Art. 6(1)(a)). You can withdraw it in your browser or in the app settings.
- Legal obligations (e.g. accounting, responses to lawful requests from authorities) — GDPR Art. 6(1)(c).
4. Processors / subprocessors
We rely on trusted technology providers. In the current version these may include:
- Supabase — database, authentication, file storage and security mechanisms.
- Vercel — hosting, deployments, application delivery and technical logs.
- Stripe — payments, invoices, subscriptions, customer portal and billing webhooks.
- Resend or configured SMTP — transactional and system email.
- Push notification providers (browser/OS push services).
- Google OAuth — only when you choose to sign in with Google.
5. International transfers
Some providers may process data outside the European Economic Area — in particular Stripe (the payment provider) with infrastructure in the US among others, as well as the hosting and database (Vercel, Supabase), which may operate in regions outside the EEA. In such cases the transfer relies on safeguards required by the GDPR, in particular the European Commission’s standard contractual clauses (SCC).
6. Retention
- Account, organisation and project data are retained while the account, organisation, project or active subscription exists.
- After a paid plan ends, organisation data may be retained for the retention period communicated in the application (currently 30 days) so the plan can be renewed or online archive access can be purchased. After that period, data may be deleted if the plan or archive is not renewed.
- Billing data, invoices and records required by accounting law may be retained for the legally required period.
- Technical and security logs are retained for a reasonable period needed for audit and security.
- After account or project deletion data may remain in backups for a short period in line with our providers’ retention policy.
7. Your rights
You have the right to access, rectify, delete, restrict processing of, and object to processing of your data, as well as the right to data portability and to lodge a complaint with a supervisory authority (in Poland: the President of the Personal Data Protection Office). Requests can be sent to info@budevo.io.
8. Cookies and local storage
We use cookies / local storage / cache only to the extent necessary for the application to work: authentication, Supabase sessions, share-link and PIN sessions, preferences (such as language or theme), push notifications and the application service worker/cache. We do not use them for advertising profiling.
9. Share links
Authorized project users can create share links that expose selected content (stages, materials, folders, 3D models). Share links can be public or PIN-protected. Anyone who receives the link (and PIN, if any) can access the shared content — you are responsible for choosing whom you share it with.
10. Security
We apply role-based access control, database row-level security, HTTPS in transit and restricted server-side roles. No system is 100% secure, but we take protecting your data seriously.
11. Artificial intelligence
The application does not intentionally use user-uploaded project materials for AI model training.
12. Changes
This policy may be updated. We will inform you of material changes within the app or by email.
See also our Terms of service / Regulamin.