Wnioski osób, których dane dotyczą: jak korzystać z praw RODO jako użytkownik Clozo

Sześć praw (każdy tytuł to numer artykułu RODO):

- Art. 15 — Prawo dostępu: potwierdzenie, czy dane osobowe są przetwarzane, a jeśli tak — otrzymanie kopii oraz informacji o celach, kategoriach, odbiorcach, retencji i źródle. - Art. 16 — Prawo do sprostowania: sprostowanie nieprawidłowych danych bez zbędnej zwłoki. - Art. 17 — Prawo do usunięcia danych („prawo do bycia zapomnianym"): usunięcie danych, gdy podstawa prawna przestała obowiązywać, z zastrzeżeniem wyjątków (obowiązek prawny, wolność wypowiedzi, interes publiczny). - Art. 18 — Prawo do ograniczenia przetwarzania: wstrzymanie przetwarzania, gdy kwestionowana jest dokładność, przetwarzanie jest niezgodne z prawem, ale osoba nie chce usunięcia itp. - Art. 20 — Prawo do przenoszenia danych: otrzymanie danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłanie ich do innego administratora. - Art. 21 — Prawo do sprzeciwu: sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie (Art. 6(1)(f)) lub marketingu bezpośredniego.

Termin odpowiedzi (Art. 12(3)): jeden miesiąc od otrzymania. Może być przedłużony o kolejne dwa miesiące „w razie potrzeby, biorąc pod uwagę złożoność i liczbę wniosków" — osoba musi zostać powiadomiona o przedłużeniu w ciągu pierwszego miesiąca wraz z podaniem przyczyn.

Forma odpowiedzi (Art. 12(1)): zwięzła, przejrzysta, zrozumiała, łatwo dostępna, w prostym języku. Nieodpłatna, chyba że wnioski są „ewidentnie nieuzasadnione lub nadmierne" (Art. 12(5)).

Kapelusz 1 — Ty jako osoba, której dane dotyczą (Clozo przechowuje Twoje dane).

To samoobsługowy przepływ w produkcie. Otwórz /settings/privacy w Clozo. Endpointy po stronie użytkownika (zgodnie z BACKEND.md §3 Samoobsługa RODO) to:

- Eksportuj swoje dane — GET /api/v1/me/export (Art. 15 + 20). Pakiet JSON obejmujący konto, oferty, klientów, płatności, podpisy, audyt. Link do pobrania wysyłany e-mailem; ważny 7 dni. - Usuń swoje konto — POST /api/v1/me/erasure-request → POST /api/v1/me/erasure-confirm (lub POST /api/v1/me/erasure-cancel w celu wycofania w oknie łaski) (Art. 17). Dwuetapowy przepływ potwierdzenia z 7-dniową łaską. Po łasce dzienne zadanie Celery beat apply_pending_erasures uruchamia się o 02:00 UTC: pseudonimizuje dane osobowe w wierszu Użytkownika (zgodnie z [A-023] — zachowuje vat_number + company_name, ponieważ Art. 226(10) + Art. 244 Dyrektywy VAT UE wymagają ich na zachowanych fakturach), dezaktywuje (nie usuwa) konto Stripe Connect, aby żądania AEAT w latach 6–10 mogły być nadal realizowane przez stripe_account_id (zgodnie z [A-022]), i zapisuje klucz wyszukiwania email_hmac, aby dawny użytkownik mógł zostać dopasowany do swojego wiersza lata po anonimizacji. Dane istotne podatkowo (faktury, pokwitowania, podpisane umowy) są przechowywane zgodnie z artykułem 11.4. - Zarządzaj zgodą — GET /api/v1/me/consent i POST /api/v1/me/consent (Art. 7 + Art. 21). Wyłącz consent.advertising i consent.marketing w Prywatności. Efekt: nadawcy po stronie serwera Google Ads + GA4 sprawdzają te flagi i przestają przesyłać dane. - Ogranicz przetwarzanie (Art. 18) → wyślij e-mail na privacy@useclozo.com ze szczegółami. Samoobsługa jest w roadmapie.

W przypadku sprostowania (Art. 16) edytuj pole bezpośrednio w /settings/profile lub /settings/company. Większość sprostowań to zmiany ustawień, a nie formalne wnioski.

Kapelusz 2 — Ty jako administrator (Clozo przetwarza dane Twoich klientów w Twoim imieniu).

Gdy Twój klient wysyła Tobie wniosek DSR, jesteś odpowiedzialny za jego realizację jako administrator jego danych. Rola Clozo to podmiot przetwarzający na podstawie Standardowych Klauzul Umownych (Moduł 2: Administrator-do-Podmiotu Przetwarzającego) wbudowanych w Warunki Clozo — przechowujemy dane na Twoje polecenie, ale odpowiedź na DSR jest Twoim obowiązkiem jako administratora.

Nie ma dziś w produkcie panelu „Działania dot. prywatności" w /clients/{id}. DSR po stronie klienta są obsługiwane poza systemem:

1. Odbierz e-mail. Zapisz datę, wnioskującą osobę i dochodzone prawo. Twój termin odpowiedzi to jeden miesiąc od otrzymania (Art. 12(3)). 2. Zweryfikuj tożsamość. Porównaj e-mail/dane wnioskującego z danymi w rekordzie klienta. Nie ujawniaj danych osobowych nikomu, czyją tożsamości nie możesz racjonalnie potwierdzić. 3. Skomponuj odpowiedź, korzystając z danych udostępnianych już przez Clozo. Rekord klienta (/clients/{id}) pokazuje wszystko, co przechowujesz o nim w Clozo — imię i nazwisko, e-mail, kraj, dane rozliczeniowe, powiązane oferty i faktury. Do Art. 15 / Art. 20 możesz skopiować te informacje do pisemnej odpowiedzi lub dołączyć odpowiednie PDF-y faktur. 4. W przypadku wniosków o usunięcie (Art. 17) zachowaj dane istotne podatkowo. Wystawione faktury i podpisane umowy są niezmienne na podstawie Art. 244 Dyrektywy VAT UE + GoBD §147 AO + krajowych odpowiedników. Art. 17(3)(b) RODO wyraźnie zezwala na przechowywanie z obowiązku prawnego. Możesz edytować niewysłane wersje robocze i usunąć klienta z nowych mailingów, ale treść faktury (pozycje, kwoty, daty) pozostaje. Uwaga: zgodnie z [A-023], automatyczna pseudonimizacja wiersza Klienta nastąpi w ramach rozwijania kaskady po uruchomieniu (sekwencjonowanie 3-PR zgodnie z [A-021]); do tego czasu ręczna edycja niewysłanych wersji roboczych jest dostępną kontrolą. 5. Wyślij odpowiedź e-mailem w ciągu jednego miesiąca. Potwierdź, co zrobiłeś, podaj artykuł RODO i odwołaj się do podstawy prawnej, jeśli częściowo odmówiłeś (np. zachowanie danych podatkowych na podstawie Art. 17(3)(b)). 6. Potrzebujesz pomocy przy wyodrębnieniu konkretnych rekordów? Wyślij e-mail na privacy@useclozo.com ze szczegółami wniosku. Dostarczymy eksport danych potrzebny do realizacji Twojego obowiązku jako administratora. Nie odpowiadamy bezpośrednio Twojemu klientowi — pozostajesz administratorem.