RODO: co Clozo przechowuje o Tobie, dlaczego i jak długo

Clozo jest administratorem danych Twojego konta (Ciebie, freelancera). W przypadku danych o Twoich klientach — nazwach, adresach e-mail, danych rozliczeniowych na fakturach, które wystawiasz — Ty jesteś administratorem, a Clozo jest podmiotem przetwarzającym. To rozróżnienie ma znaczenie, ponieważ żądania podmiotów danych dotyczące danych klientów (eksport, usunięcie) trafiają najpierw do Ciebie i Ty decydujesz, jak odpowiedzieć; Clozo daje Ci narzędzia do ich realizacji, ale nie jest właścicielem tej relacji. Patrz artykuł 11.7 dla praktycznego przepływu pracy.

Od 2026-05-19 (wyzwalacz uruchomienia produkcji) Clozo implementuje również fundament retencji prawnej zgodnie z [A-021..A-027]: wieloetapową sagę Celery dla kaskadowego usunięcia RODO (najpierw kroki tylko-DB, następnie zewnętrzne efekty uboczne Stripe / R2), dezaktywację Stripe Connect (nie usunięcie) w chwili usunięcia, aby żądania AEAT w latach 6–10 mogły nadal być obsługiwane przez stripe_account_id, pseudonimizację zachowującą vat_number i company_name (Dyrektywa VAT UE Art. 226(10) + Art. 244 wymagają ich na zachowanych fakturach), wyszukiwanie HMAC-SHA-256 User.email_hmac, żeby były użytkownik mógł być dopasowany do swojego wiersza lata po anonimizacji, i publiczny endpoint /recover-invoice z silną ochroną przed enumeracją dla klientów zewnętrznych, umożliwiający odzyskanie ich własnych prawnie zachowanych faktur w 2031+.

13 aktywnych czynności przetwarzania, pogrupowanych według podstawy prawnej zgodnie z Art. 6 ust. 1:

Art. 6 ust. 1 lit. b) Umowa — dane, które musimy przetwarzać, aby świadczyć usługę: 1. Tworzenie konta użytkownika — e-mail, imię i nazwisko, kraj, ustawienia regionalne, hash hasła. Zachowywane do usunięcia konta + 30-dniowy okres karencji. 2. Generowanie faktur — Twoja tożsamość biznesowa + dane rozliczeniowe klienta + pozycje. Zachowywane 10 lat zgodnie z Dyrektywą VAT UE 2006/112/WE Art. 244. 3. Rozliczenia subskrypcji — ID klienta Stripe, plan, e-mail rozliczeniowy, adres rozliczeniowy. Zachowywane 10 lat zgodnie z LGT 58/2003 w Hiszpanii + Dyrektywą VAT UE (jesteśmy podmiotem kontrolowanym przez Hiszpanię). 4. Przetwarzanie płatności (Stripe Connect) — imię i nazwisko płatnika, adres rozliczeniowy, token metody płatności, kwota transakcji. Clozo przechowuje tylko ID PaymentIntent i status; Stripe przechowuje dane karty zgodnie ze swoim zakresem PCI-DSS (~7 lat zgodnie z ich polityką). 5. E-mail transakcyjny (Resend) — e-mail odbiorcy + imię i nazwisko + treść wiadomości. Logi dostarczenia 1 rok; treści e-maili nie są zachowywane poza kolejką wysyłki.

Art. 6 ust. 1 lit. c) Obowiązek prawny — dane, które prawo wymaga od nas przechowywać: 6. Walidacja VAT (VIES) — numer VAT/NIP + kod kraju, walidowany przez usługę SOAP VIES Komisji Europejskiej. Cache 24 godziny. 7. Samoobsługowe endpointy RODO — dane identyfikacyjne + kontaktowe + rozliczeniowe + operacyjne potrzebne do realizacji żądań Art. 15 / 17 / 20. Tokeny czyszczone po pierwszym użyciu lub po 14 dniach. 8. Rejestr plików R2 — każdy PDF lub XML e-faktury przechowywany przez system. Wymagane przez GoBD §147 AO (Niemcy, 10 lat), eIDAS Art. 34 (10-letni audyt podpisu) i Dyrektywę VAT UE Art. 244. Wiersz rejestru przeżywa obiekt binarny. 9. Dziennik audytu administratora — każde administracyjne działanie zmieniające stan danych użytkownika. Wymagane przez Art. 5 ust. 2 rozliczalność. Zachowywane przez cały czas istnienia konta podmiotu danych.

Art. 6 ust. 1 lit. a) Zgoda — wyłącznie opt-in, może być odwołana w dowolnym momencie: 10. Atrybucja marketingowa (Google Ads + GA4) — ID kliknięcia, SHA-256-zaszyfrowany e-mail/telefon dla Enhanced Conversions, client_id GA4, wartość transakcji. Zachowywane 13 miesięcy w GA4 (ustawienie projektu). Przetwarzanie wysokiego ryzyka — utrzymujemy DPIA w _scratch/DPIA_marketing_attribution.md (oczekuje na przegląd prawny). 11. Analityka produktu (PostHog) — pseudonimiczny distinct_id, odsłony stron, zdarzenia funkcji, kraj (rozdzielczość miasta wyłączona). Zachowywane 13 miesięcy. Ingest na serwerach UE (eu.i.posthog.com).

Art. 6 ust. 1 lit. f) Prawnie uzasadniony interes — wyważony z Twoimi prawami: 12. Logi bezpieczeństwa — źródłowy IP, identyfikator przeglądarki, ścieżka żądania, kod odpowiedzi, wynik uwierzytelnienia. Zachowywane 14 dni (retencja logów Railway). 13. Czat wsparcia klienta (Crisp) — e-mail, imię i nazwisko, treść czatu. Zachowywane 2 lata od ostatniej wiadomości; usuwane na żądanie klienta. Crisp jest hostowany we Francji (jurysdykcja UE).