GDPR Commitment | Zobowiązanie RODO

ContentsSpis treści

1. Our Commitment1. Nasze zobowiązanie 2. Core Principles2. Podstawowe zasady 3. Lawful Basis for Processing3. Podstawa prawna przetwarzania 4. Data Subject Rights4. Prawa osób, których dane dotyczą 5. Building Data and GDPR5. Dane o budynkach a RODO 6. Institutional Clients — Data Processing6. Klienci instytucjonalni — przetwarzanie danych 7. Data Breach Response7. Reagowanie na naruszenia danych 8. Data Protection Contact8. Kontakt w sprawach ochrony danych

Our CommitmentNasze zobowiązanie

Bloxome is committed to full compliance with EU Regulation 2016/679 (GDPR) and the Polish Act on Personal Data Protection (RODO, Dz.U. 2018 poz. 1000). GDPR compliance is a core operational requirement — our institutional clients (banks, insurers, investment funds) are themselves subject to stringent data protection obligations and expect their data vendors to meet equivalent standards.

Bloxome jest w pełni zobowiązana do przestrzegania Rozporządzenia UE 2016/679 (RODO/GDPR) oraz polskiej Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000). Zgodność z RODO to podstawowy wymóg operacyjny — nasi klienci instytucjonalni (banki, ubezpieczyciele, fundusze inwestycyjne) sami podlegają rygorystycznym obowiązkom ochrony danych i oczekują, że ich dostawcy danych spełniają równoważne standardy.

Bloxome's product is building-level data, not personal data. The overwhelming majority of data in our platform concerns physical structures — addresses, floor areas, construction years, energy classifications — not individuals. This by design minimises personal data exposure and simplifies GDPR compliance for our clients.

Produktem Bloxome są dane na poziomie budynku, a nie dane osobowe. Zdecydowana większość danych na naszej platformie dotyczy obiektów fizycznych — adresów, powierzchni użytkowych, lat budowy, klas energetycznych — a nie osób. Jest to celowe rozwiązanie minimalizujące ekspozycję na dane osobowe i upraszczające zgodność z RODO dla naszych klientów.

Core Principles (Article 5 GDPR / RODO)Podstawowe zasady (art. 5 RODO)

Bloxome applies the seven GDPR data protection principles across all data processing activities:

Bloxome stosuje siedem zasad ochrony danych RODO we wszystkich działaniach związanych z przetwarzaniem danych:

Lawfulness, Fairness, TransparencyZgodność z prawem, rzetelność, przejrzystość

We process personal data only with a valid lawful basis and are transparent about how we use it through this page and our Privacy Policy.

Przetwarzamy dane osobowe wyłącznie na podstawie prawnej i w sposób przejrzysty, jak opisano w niniejszej stronie i Polityce Prywatności.

Purpose LimitationOgraniczenie celu

Personal data collected for contact purposes is used only to respond to that contact. Building data is used only for property intelligence services.

Dane osobowe zbierane w celach kontaktowych są używane wyłącznie do odpowiedzi. Dane o budynkach — wyłącznie do usług analizy nieruchomości.

Data MinimisationMinimalizacja danych

We collect only what is necessary. We do not collect names of property owners, tenant information, or financial data about individuals.

Zbieramy wyłącznie to, co jest niezbędne. Nie zbieramy nazwisk właścicieli, danych lokatorów ani danych finansowych osób fizycznych.

AccuracyPrawidłowość

We maintain data quality procedures and disclose confidence levels for all data fields. We correct inaccuracies on request.

Stosujemy procedury kontroli jakości danych i ujawniamy poziomy ufności dla wszystkich pól. Poprawiamy nieścisłości na żądanie.

Storage LimitationOgraniczenie przechowywania

Personal data is retained only as long as necessary for the purpose collected. See retention schedule in the Privacy Policy.

Dane osobowe przechowujemy tylko przez czas niezbędny do celu, w jakim zostały zebrane. Harmonogram przechowywania — w Polityce Prywatności.

Integrity and ConfidentialityIntegralność i poufność

We implement technical and organisational security measures appropriate to the risk, including encryption, access controls, and audit trails.

Wdrażamy techniczne i organizacyjne środki bezpieczeństwa adekwatne do ryzyka, w tym szyfrowanie, kontrolę dostępu i ścieżki audytu.

Accountability — Bloxome maintains records of processing activities (Article 30 RODO), conducts Data Protection Impact Assessments where required, and trains staff on data protection obligations.

Rozliczalność — Bloxome prowadzi rejestry czynności przetwarzania (art. 30 RODO), przeprowadza oceny skutków dla ochrony danych tam, gdzie jest to wymagane, i szkoli personel w zakresie obowiązków ochrony danych.

Lawful Basis for ProcessingPodstawa prawna przetwarzania

Processing ActivityCzynność przetwarzania	Lawful BasisPodstawa prawna	GDPR / RODO ArticleArtykuł RODO
Responding to contact enquiries	Odpowiadanie na zapytania kontaktowe	Legitimate interests — responding to commercial enquiries	Uzasadniony interes — odpowiadanie na zapytania handlowe	6(1)(f)
Server and access logs	Logi serwera i dostępu	Legitimate interests — website security and performance	Uzasadniony interes — bezpieczeństwo i wydajność witryny	6(1)(f)
Commercial client contracts	Umowy z klientami komercyjnymi	Performance of contract	Wykonanie umowy	6(1)(b)
Building address data (public registers)	Dane adresowe budynków (rejestry publiczne)	Legitimate interests — commercial property intelligence using public data	Uzasadniony interes — komercyjna analiza nieruchomości z danych publicznych	6(1)(f)
Legal compliance obligations	Obowiązki zgodności prawnej	Legal obligation	Obowiązek prawny	6(1)(c)

Where we rely on legitimate interests, we conduct and document a Legitimate Interests Assessment (LIA) to ensure our interests are not overridden by individuals' rights and freedoms.

Gdy opieramy się na uzasadnionym interesie, przeprowadzamy i dokumentujemy Test Równowagi Interesów (LIA — Legitimate Interests Assessment), aby upewnić się, że nasze interesy nie są nadrzędne wobec praw i wolności osób fizycznych.

Data Subject RightsPrawa osób, których dane dotyczą

Bloxome respects and facilitates the exercise of all data subject rights under GDPR Chapter III. To exercise any right, contact contact@bloxome.com. We acknowledge requests within 5 business days and respond fully within 30 days.

Bloxome szanuje i ułatwia wykonywanie wszystkich praw osób, których dane dotyczą, na podstawie rozdziału III RODO. Aby skorzystać z dowolnego prawa, skontaktuj się z nami: contact@bloxome.com. Potwierdzamy otrzymanie wniosków w ciągu 5 dni roboczych, a pełna odpowiedź następuje w ciągu 30 dni.

Right of access (Art. 15 RODO) — copy of your personal data and information about how it is processed
Prawo dostępu (art. 15 RODO) — kopia danych osobowych i informacje o sposobie ich przetwarzania
Right to rectification (Art. 16 RODO) — correction of inaccurate or incomplete personal data
Prawo do sprostowania (art. 16 RODO) — poprawienie niedokładnych lub niekompletnych danych osobowych
Right to erasure (Art. 17 RODO) — deletion where data is no longer necessary or processing is unlawful
Prawo do usunięcia (art. 17 RODO) — usunięcie danych, gdy nie są już niezbędne lub przetwarzanie jest niezgodne z prawem
Right to restrict processing (Art. 18 RODO) — limitation of processing in specific circumstances
Prawo do ograniczenia przetwarzania (art. 18 RODO) — ograniczenie przetwarzania w określonych okolicznościach
Right to data portability (Art. 20 RODO) — receipt of personal data in structured, machine-readable format
Prawo do przenoszenia danych (art. 20 RODO) — otrzymanie danych w ustrukturyzowanym, czytelnym maszynowo formacie
Right to object (Art. 21 RODO) — objection to processing based on legitimate interests
Prawo do sprzeciwu (art. 21 RODO) — sprzeciw wobec przetwarzania opartego na uzasadnionym interesie

If you are dissatisfied with our response, you have the right to lodge a complaint with: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Jeśli jesteś niezadowolony/a z naszej odpowiedzi, masz prawo wnieść skargę do: Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Building Data and GDPR / RODODane o budynkach a RODO / GDPR

Bloxome's position is that its core building dataset does not constitute personal data under GDPR Article 4(1). Building attributes such as location coordinates, construction year, floor area, number of floors, and energy performance class describe physical structures, not individuals. This is consistent with EDPB guidance and with the INSPIRE Directive across EU member states.

Stanowisko Bloxome jest takie, że jej podstawowy zbiór danych o budynkach nie stanowi danych osobowych w rozumieniu art. 4 ust. 1 RODO. Atrybuty budynków — współrzędne lokalizacji, rok budowy, powierzchnia użytkowa, liczba kondygnacji, klasa energetyczna — opisują obiekty fizyczne, a nie osoby. Jest to zgodne z wytycznymi EROD i Dyrektywą INSPIRE w państwach członkowskich UE.

All building data is sourced from public registers under open licences: PRG (CC BY 4.0), EGIB (INSPIRE Directive), OpenStreetMap (ODbL), EUBUCCO (research dataset). Bloxome does not obtain building data from private sources that could introduce personal data. Bloxome does not store or display names of residential property owners.

Wszystkie dane o budynkach pochodzą z publicznych rejestrów na podstawie otwartych licencji: PRG (CC BY 4.0), EGIB (Dyrektywa INSPIRE), OpenStreetMap (ODbL), EUBUCCO (zbiór danych badawczych). Bloxome nie pozyskuje danych o budynkach ze źródeł prywatnych, które mogłyby wprowadzać dane osobowe. Bloxome nie przechowuje ani nie wyświetla imion i nazwisk właścicieli nieruchomości mieszkalnych.

Institutional Clients — Data ProcessingKlienci instytucjonalni — przetwarzanie danych

When institutional clients share portfolio address data with Bloxome for enrichment, Bloxome acts as a data processor for that client under Article 28 GDPR / RODO. All commercial API agreements include a Data Processing Agreement (DPA) covering:

Gdy klienci instytucjonalni udostępniają Bloxome dane adresowe portfela do wzbogacenia, Bloxome działa jako podmiot przetwarzający dla tego klienta na podstawie art. 28 RODO. Wszystkie komercyjne umowy API zawierają Umowę Powierzenia Przetwarzania Danych (DPA/UPD) obejmującą:

Processing instructions from the client as data controller
Polecenia przetwarzania od klienta jako administratora danych
Confidentiality obligations for Bloxome personnel
Zobowiązania do zachowania poufności przez personel Bloxome
Technical and organisational security measures
Techniczne i organizacyjne środki bezpieczeństwa
Sub-processor management and notification obligations
Zarządzanie podwykonawcami i obowiązki powiadamiania
Assistance with data subject rights requests
Pomoc przy realizacji wniosków osób, których dane dotyczą
Data deletion or return at end of contract
Usunięcie lub zwrot danych po zakończeniu umowy
Audit rights for the client
Prawo klienta do audytu
EU data residency (Supabase EU-West region, Frankfurt)
Rezydencja danych w UE (region Supabase EU-West, Frankfurt)

Bloxome complies with KNF Rekomendacja D (IT outsourcing guidelines for Polish banks), including maintaining a business continuity plan, providing right-to-audit provisions, and ensuring EU data residency for all client data.

Bloxome jest zgodna z KNF Rekomendacją D (wytyczne dotyczące outsourcingu IT dla polskich banków), w tym utrzymuje plan ciągłości działania, zapewnia prawo do audytu i gwarantuje rezydencję danych w UE dla wszystkich danych klientów.

Data Breach ResponseReagowanie na naruszenia ochrony danych

Bloxome maintains a documented data breach response procedure. In the event of a personal data breach:

Bloxome posiada udokumentowaną procedurę reagowania na naruszenia danych. W przypadku naruszenia ochrony danych osobowych:

We will assess the risk to individuals within 24 hours of discovery
W ciągu 24 godzin od odkrycia oceniamy ryzyko dla osób fizycznych
Where required, we will notify UODO within 72 hours (Article 33 GDPR / RODO)
W razie konieczności powiadamiamy UODO w ciągu 72 godzin (art. 33 RODO)
Where a breach is likely to result in high risk to individuals, we will notify affected individuals without undue delay (Article 34 GDPR / RODO)
Gdy naruszenie może skutkować wysokim ryzykiem dla osób fizycznych, powiadamiamy zainteresowane osoby bez zbędnej zwłoki (art. 34 RODO)
For institutional clients, we will notify the client's data protection contact within 24 hours of discovery
W przypadku klientów instytucjonalnych powiadamiamy ich inspektora ochrony danych w ciągu 24 godzin od odkrycia

To report a suspected security incident, contact contact@bloxome.com immediately.

Aby zgłosić podejrzany incydent bezpieczeństwa, niezwłocznie skontaktuj się z nami: contact@bloxome.com.

Data Protection ContactKontakt w sprawach ochrony danych

Bloxome has designated a data protection contact for all GDPR / RODO matters. This function covers oversight of data protection compliance, acting as point of contact for supervisory authorities, and responding to data subject rights requests.

Bloxome wyznaczyła kontakt ds. ochrony danych dla wszystkich spraw RODO. Funkcja ta obejmuje nadzór nad zgodnością z ochroną danych, pełnienie roli punktu kontaktowego dla organów nadzorczych oraz odpowiadanie na wnioski osób, których dane dotyczą.

Data Protection EnquiriesZapytania dot. ochrony danych

contact@bloxome.com
Response within 5 business daysOdpowiedź w ciągu 5 dni roboczych

General ContactKontakt ogólny

contact@bloxome.com
Response within 48 hoursOdpowiedź w ciągu 48 godzin

Supervisory authority: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa. uodo.gov.pl

Organ nadzorczy: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa. uodo.gov.pl

GDPRCommitment ZobowiązanieRODO