Polityka Prywatności

1. Kim jesteśmy

Clozo jest prowadzone przez Andrei Diachenko, jednoosobową działalność gospodarczą (autónomo), pod nazwą handlową 'Clozo' ('Administrator' w rozumieniu Article 4(7) GDPR). Adres rejestrowy: Calle Covera 19, 5A, 33012 Oviedo, Asturias, Hiszpania. Hiszpański identyfikator podatkowy (NIF/NIE): Z1579875X. Numer identyfikacji VAT UE: ESZ1579875X. Jesteśmy platformą do ofertowania i fakturowania skierowaną do niezależnych freelancerów oraz małych przedsiębiorstw mających siedzibę w Unii Europejskiej. Niniejsza Polityka Prywatności wyjaśnia, w jaki sposób gromadzimy, wykorzystujemy, udostępniamy i chronimy Pana/Pani dane osobowe zgodnie z Regulation (EU) 2016/679 (GDPR), ePrivacy Directive 2002/58/EC, hiszpańską Ley Orgánica 3/2018 (LOPDGDD) oraz hiszpańską Ley 34/2002 (LSSI-CE). Nie jesteśmy zobowiązani do wyznaczenia inspektora ochrony danych na podstawie Article 37(1) GDPR; we wszelkich sprawach dotyczących prywatności prosimy o kontakt pod adresem privacy@useclozo.com. Poprzednie wersje niniejszej Polityki Prywatności są dostępne na żądanie.

2. Dane osobowe, które gromadzimy

Gromadzimy następujące kategorie danych osobowych, pogrupowane według celu:

• Dane konta: imię i nazwisko, adres e-mail, hash hasła, nazwa firmy, numer VAT, kraj zamieszkania.
• Dane klientów: imiona i nazwiska, adresy e-mail, adresy pocztowe oraz numery VAT klientów, których wprowadza Pan/Pani do Clozo w celu wystawienia faktury. Jest Pan/Pani administratorem tych danych; my przetwarzamy je jako podmiot przetwarzający na podstawie Article 28 GDPR.
• Dane biznesowe: oferty, faktury, pozycje, zapisy płatności, ścieżki audytu podpisu elektronicznego oraz przesłane pliki (np. logotypy).
• Dane o korzystaniu: odwiedzane strony, wykonane czynności (kliknięcia, przesłania formularzy), typ i wersja przeglądarki, system operacyjny, typ urządzenia, rozmiar ekranu, adres IP. Pełny adres IP przetwarzamy wyłącznie tymczasowo — w celu ograniczenia liczby zapytań, zapobiegania oszustwom oraz terminacji TLS przez Cloudflare. Do celów analitycznych kraj jest wywodzony z adresu IP na brzegu sieci Cloudflare (nagłówek CF-IPCountry), a sam adres IP nie jest przechowywany razem ze zdarzeniem analitycznym. Pełne adresy IP pojawiają się wyłącznie w dziennikach bezpieczeństwa aplikacji i są usuwane po 14 dniach.
• Dane płatności: rozliczenia subskrypcji obsługuje Stripe — nie przechowujemy numerów kart kredytowych, kodów CVV ani pełnych PAN. Zachowujemy wyłącznie identyfikator klienta Stripe oraz metadane faktury/subskrypcji.
• Dane atrybucji marketingowej: parametry kampanii UTM (utm_source, utm_medium, utm_campaign, utm_content, utm_term) są odczytywane z adresu URL strony, na którą Pan/Pani wszedł/weszła, jako dane first-party; identyfikatory kliknięć reklamowych (gclid dla Google Ads, fbclid dla Meta, msclkid dla Microsoft Ads, ttclid dla TikTok, li_fat_id dla LinkedIn), URL i host strony odsyłającej, URL strony docelowej, pseudonimowy identyfikator sesji (PostHog distinct_id) oraz identyfikator klienta Google Analytics 4 (gdy ustawiony przez plik cookie GA4) są zbierane i przechowywane wyłącznie po wyrażeniu przez Pana/Panią zgody na odpowiednią kategorię za pośrednictwem banera plików cookie. Dla użytkowników, którzy zakończą płatność, obliczamy dodatkowo skrót SHA-256 Pana/Pani adresu e-mail (oraz, jeśli został podany, numeru telefonu w formacie E.164) na potrzeby dopasowania tożsamości na platformach reklamowych; skrót jest jednokierunkowy i nie można go odwrócić w celu odzyskania pierwotnej wartości.

3. Podstawa prawna przetwarzania (GDPR Article 6)

Opieramy się na następujących podstawach prawnych, w zależności od celu:

• Wykonanie umowy — Article 6(1)(b): w celu świadczenia usługi Clozo, na którą się Pan/Pani zarejestrował/zarejestrowała, w tym utworzenia konta, uwierzytelnienia, generowania ofert/faktur, przetwarzania płatności subskrypcyjnej oraz wysyłki wiadomości transakcyjnych (powitanie, potwierdzenie płatności, powiadomienia o podpisie elektronicznym).
• Zgoda — Article 6(1)(a) GDPR + Article 5(3) ePrivacy Directive: dla każdego odczytu lub zapisu identyfikatorów w Pana/Pani urządzeniu końcowym wykraczającego poza to, co jest ściśle niezbędne do świadczenia usługi. Obejmuje to całość analityki produktu (PostHog) oraz całość atrybucji reklamowej (plik cookie clozo_first_gclid, GA4 client_id, przesyłanie konwersji do Google Ads). Zgody udziela Pan/Pani za pośrednictwem naszego banera plików cookie przy pierwszej wizycie i może ją Pan/Pani wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania dokonanego wcześniej.
• Prawnie uzasadniony interes — Article 6(1)(f): dla bezpieczeństwa (zapobieganie oszustwom, ograniczanie liczby zapytań, wykrywanie anomalii logowania), poprawy usługi (zagregowane statystyki użytkowania, które nie wymagają dostępu do urządzenia końcowego w rozumieniu Article 5(3) ePrivacy Directive) oraz pomiaru marketingu bezpośredniego (Recital 47 GDPR) kampanii reklamowych prowadzonych przez nas samodzielnie. Przeprowadziliśmy udokumentowany Test Równowagi Prawnie Uzasadnionych Interesów (Legitimate Interests Balancing Test, LIBT, dostępny na żądanie pod adresem privacy@useclozo.com), który wykazał, że (i) pomiar skuteczności naszego własnego marketingu stanowi rzeczywisty i niezbędny interes, (ii) ograniczamy dane do identyfikatorów atrybucji oraz zdarzeń konwersji, bez profilowania zachowań, bez śledzenia międzywitrynowego oraz bez budowania odbiorców poza naszą własną bazą użytkowników, (iii) może Pan/Pani w dowolnym momencie wnieść sprzeciw bez utraty dostępu do usługi (zob. Sekcja 8). Każdy pomiar marketingu bezpośredniego, który wymaga odczytu lub zapisu identyfikatorów na Pana/Pani urządzeniu — na przykład plik cookie clozo_first_gclid lub jakikolwiek plik cookie GA4 — nie opiera się na prawnie uzasadnionym interesie, lecz na uprzedniej zgodzie udzielonej przez Pana/Panią na podstawie Article 5(3) of the ePrivacy Directive oraz Article 6(1)(a) GDPR.
• Obowiązek prawny — Article 6(1)(c): dla przechowywania dokumentacji podatkowej i księgowej. Article 247(1) EU VAT Directive 2006/112/EC wymaga przechowywania faktur przez okres określony przez każde państwo członkowskie, zazwyczaj od 6 do 10 lat. Hiszpania (art. 30 Código de Comercio + art. 165 LIVA) wymaga 6 lat dla księgowości i 4 lat dla VAT, lecz stosujemy najdłuższy obowiązujący okres przechowywania w UE.

4. Jak wykorzystujemy Pana/Pani dane

Przetwarzamy Pana/Pani dane w następujących celach:

• Świadczenie, utrzymywanie i ulepszanie platformy Clozo.
• Generowanie, podpisywanie i dostarczanie ofert oraz faktur w Pana/Pani imieniu, w tym w formatach faktury elektronicznej (Peppol BIS, Factur-X, FatturaPA itd.), jeśli Pan/Pani z nich skorzysta.
• Przetwarzanie płatności subskrypcyjnych za pośrednictwem Stripe, zarządzanie podwyższeniem i obniżeniem planu, dokonywanie zwrotów.
• Wysyłka wiadomości transakcyjnych — powitanie, resetowanie hasła, potwierdzenie płatności, powiadomienie o podpisie elektronicznym, automatyczne przypomnienia, jeśli zostały włączone.
• Wypełnianie obowiązków prawnych i regulacyjnych (walidacja VAT przez VIES, sprawozdawczość podatkowa, przechowywanie).
• Pomiar skuteczności prowadzonych przez nas kampanii reklamowych (Google Ads, Google Analytics 4) poprzez udostępnianie zdarzeń konwersji — rejestracja, pierwsza płatność, zmiana planu, zwrot — wraz z identyfikatorami atrybucji (gclid, e-mail z hashem). Nie udostępniamy Pana/Pani danych klientów, danych biznesowych ani treści Pana/Pani ofert lub faktur platformom reklamowym. Z Pana/Pani danych konta przesyłany jest wyłącznie jednokierunkowy skrót SHA-256 Pana/Pani adresu e-mail (oraz, jeśli został podany, numeru telefonu w formacie E.164) w celu dopasowania tożsamości, wraz z metadanymi zdarzenia konwersji wymienionymi poniżej. Udostępnianie konwersji następuje wyłącznie po wyrażeniu przez Pana/Panią zgody na pliki cookie reklamowe za pośrednictwem banera plików cookie.
• Wykrywanie i zapobieganie oszustwom, nadużywaniu konta oraz incydentom bezpieczeństwa (ograniczanie liczby zapytań, wykrywanie anomalii logowania za pomocą django-axes).

5. Przechowywanie danych

Przechowujemy Pana/Pani dane osobowe wyłącznie tak długo, jak jest to niezbędne do celów, dla których zostały zebrane, z następującymi okresami właściwymi dla danej kategorii:

• Dane konta: przez okres istnienia Pana/Pani konta. Po usunięciu konta anonimizujemy je w ciągu 30 dni, z wyjątkiem przypadków, gdy przechowywanie jest wymagane przez prawo (Sekcja 5 punkt 3).
• Dane klientów i dane biznesowe: przez okres istnienia Pana/Pani konta. Może Pan/Pani w dowolnym momencie usunąć poszczególnych klientów oraz oferty z poziomu platformy.
• Faktury i zapisy płatności: zgodnie z Article 247(1) of EU VAT Directive 2006/112/EC oraz obowiązkami krajowymi: Hiszpania (art. 165 LIVA) 4 lata, Francja (art. L102B LPF) 6 lat, Holandia (art. 52 AWR) 7 lat, Niemcy (§147 AO) 10 lat, Polska (art. 86 §1 OP) 5 lat. Stosujemy najdłuższy obowiązujący okres przechowywania: 10 lat od końca roku kalendarzowego, w którym wystawiono fakturę.
• Dane atrybucji marketingowej i konwersji: anonimowe punkty kontaktu bez przypisanego użytkownika są przechowywane przez okres do 90 dni (zgodnie ze standardowym oknem atrybucji kliknięcia Google Ads); zapisy konwersji powiązane z Pana/Pani kontem są przechowywane przez okres istnienia konta, a następnie anonimizowane.
• Kopie zapasowe: zaszyfrowane kopie zapasowe bazy danych są przechowywane przez 30 dni do celów odzyskiwania po awarii, a następnie automatycznie usuwane.
• Dzienniki bezpieczeństwa aplikacji: pełne adresy IP oraz metadane żądań wykorzystywane do wykrywania oszustw i nadużyć są przechowywane przez 14 dni, a następnie usuwane.

6. Odbiorcy i podmioty przetwarzające

Pana/Pani dane osobowe udostępniamy wyłącznie następującym podmiotom przetwarzającym, z których każdy jest zobowiązany umownie umową powierzenia przetwarzania danych (Article 28 GDPR) oraz, w stosownych przypadkach, Standardowymi klauzulami umownymi w odniesieniu do przekazywania danych poza Europejski Obszar Gospodarczy. Nie przekazujemy danych osobowych osobom trzecim w ich własnych celach marketingowych.

• Stripe Payments Europe Ltd (Irlandia) i Stripe Inc (USA): przetwarzanie płatności subskrypcyjnych. Udostępniane dane: Pana/Pani imię i nazwisko, e-mail, kraj rozliczeniowy, status subskrypcji, zdarzenia płatności. Do danych kart kredytowych ma zastosowanie własna polityka prywatności Stripe. Mechanizm przekazywania: decyzja stwierdzająca odpowiedni stopień ochrony EU-US Data Privacy Framework (Stripe posiada certyfikat DPF — możliwy do zweryfikowania na dataprivacyframework.gov) + Standardowe klauzule umowne. Polityka prywatności: stripe.com/privacy.
• Railway Corp (USA): hosting infrastruktury chmurowej. Nasza baza danych jest udostępniana w regionie europe-west4 (Holandia); płaszczyzna sterowania Railway znajduje się w Stanach Zjednoczonych. Mechanizm przekazywania: Standardowe klauzule umowne wraz z dodatkowymi środkami technicznymi (TLS 1.2+ w transmisji, AES-256-GCM w spoczynku, ograniczone role IAM). Produkcyjna baza danych fizycznie znajduje się w Holandii.
• Cloudflare Inc (USA): dostarczanie treści, ochrona przed DDoS, terminacja TLS, routing ruchu, analityka webowa przyjazna prywatności (Cloudflare Web Analytics — bez plików cookie, bez identyfikatorów śledzących). Cloudflare przetwarza Pana/Pani pełny adres IP tymczasowo w trakcie transmisji. Korzystamy z nagłówka CF-IPCountry, aby wywieść przybliżony kraj na potrzeby analityki i ograniczania liczby zapytań, po czym pełny adres IP nie jest przechowywany razem ze zdarzeniem analitycznym. Mechanizm przekazywania: Standardowe klauzule umowne + węzły brzegowe zlokalizowane w UE dla ruchu europejskiego. Cloudflare posiada certyfikat DPF.
• PostHog Inc (Wielka Brytania, instancja UE hostowana we Frankfurcie, Niemcy): analityka produktu — pseudonimowe zdarzenia sesji, nawigacja po stronach, kliknięcia przycisków, przechwycone parametry UTM. Dane są przetwarzane wyłącznie w instancji UE (eu.i.posthog.com). Ładowane wyłącznie po wyrażeniu przez Pana/Panią zgody na pliki cookie analityki produktu za pośrednictwem banera plików cookie. Mechanizm przekazywania: decyzja stwierdzająca odpowiedni stopień ochrony Wielkiej Brytanii (Commission Implementing Decision (EU) 2021/1772 of 28 June 2021) + Standardowe klauzule umowne do brytyjskiej siedziby PostHog.
• Google Ireland Limited i Google LLC (USA) — Google Ads: pomiar konwersji oraz optymalizacja Smart Bidding, wyłącznie po wyrażeniu przez Pana/Panią zgody na pliki cookie reklamowe. Dane przesyłane po stronie serwera: Pana/Pani identyfikator kliknięcia Google (gclid) przechwycony przy wejściu z reklamy Google, typ konwersji (rejestracja, pierwsza płatność, podwyższenie planu, zwrot), wartość konwersji w EUR, kod waluty, zanonimizowany identyfikator zamówienia. Gdy włączona jest funkcja customer-data-terms, dodatkowo przesyłamy skrót SHA-256 Pana/Pani adresu e-mail w celu dopasowania tożsamości (skrótu nie można odwrócić). Mechanizm przekazywania: decyzja stwierdzająca odpowiedni stopień ochrony EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795 of 10 July 2023; Google LLC posiada certyfikat DPF — możliwy do zweryfikowania na dataprivacyframework.gov) + Standardowe klauzule umowne.
• Google Ireland Limited i Google LLC (USA) — Google Analytics 4: wielokanałowy pomiar konwersji. Wysyłane po stronie serwera za pośrednictwem GA4 Measurement Protocol wyłącznie po wyrażeniu przez Pana/Panią zgody na pliki cookie reklamowe. Przesyłane dane: pseudonimowy identyfikator sesji (GA4 client_id z pliku cookie _ga, gdy jest obecny, w przeciwnym razie PostHog distinct_id), typ zdarzenia konwersji, wartość, waluta oraz Pana/Pani liczbowy identyfikator użytkownika Clozo (nie Pana/Pani e-mail). Mechanizm przekazywania: decyzja stwierdzająca odpowiedni stopień ochrony EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795) + Standardowe klauzule umowne. Status DPF Google LLC można zweryfikować na dataprivacyframework.gov. Nie ładujemy webowego trackera GA4 na naszych stronach.
• Resend Inc (USA): dostarczanie wiadomości transakcyjnych (powitanie, resetowanie hasła, podpis elektroniczny, potwierdzenie płatności, automatyczne przypomnienia o fakturach). Udostępniane dane: Pana/Pani adres e-mail, imię i nazwisko, treść transakcyjna. Mechanizm przekazywania: decyzja stwierdzająca odpowiedni stopień ochrony EU-US Data Privacy Framework (Resend Inc posiada certyfikat DPF — możliwy do zweryfikowania na dataprivacyframework.gov) + Standardowe klauzule umowne.
• Gotenberg (samodzielnie hostowany w europe-west4): renderowanie PDF dla ofert i faktur. Działa na naszej własnej infrastrukturze w obrębie EOG — bez przekazywania danych podmiotom zewnętrznym.
• Cloudflare R2 (przechowywanie obiektów, region EOG): zaszyfrowane przechowywanie wygenerowanych plików PDF oraz przesłanych logotypów. Lokalizacja danych: EOG. Mechanizm przekazywania: nie dotyczy (brak przekazywania poza EOG).

Może Pan/Pani zażądać kopii dowolnej umowy powierzenia przetwarzania danych, kompletu Standardowych klauzul umownych lub naszego podsumowania Oceny Skutków Przekazania (Transfer Impact Assessment), kontaktując się z nami pod adresem privacy@useclozo.com. Powiadamiamy klientów na piśmie z co najmniej 30-dniowym wyprzedzeniem przed dodaniem lub zastąpieniem dalszego podmiotu przetwarzającego; powyższa lista jest aktualizowana zgodnie z tym zobowiązaniem.

7. Międzynarodowe przekazywanie danych

Pana/Pani dane osobowe są przechowywane głównie w obrębie Europejskiego Obszaru Gospodarczego, w szczególności w Holandii (Railway europe-west4) oraz Niemczech (PostHog Frankfurt). Niektórzy odbiorcy wymienieni w Sekcji 6 znajdują się poza EOG, głównie w Stanach Zjednoczonych. Dla każdego takiego przekazania zapewniamy odpowiednie zabezpieczenia na podstawie Articles 44–49 GDPR: decyzję stwierdzającą odpowiedni stopień ochrony EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795 of 10 July 2023), gdy odbiorca posiada certyfikat DPF, uzupełnioną o Standardowe klauzule umowne (Commission Implementing Decision (EU) 2021/914 of 4 June 2021) oraz dodatkowe środki techniczne (TLS 1.2+ w transmisji, AES-256-GCM w spoczynku dla pól wrażliwych, pseudonimizacja identyfikatorów tam, gdzie jest to wykonalne, kontrole dostępu, dziennik audytu) zgodnie z EDPB Recommendations 01/2020 w następstwie wyroku CJEU C-311/18 (Schrems II). Ważność EU-US Data Privacy Framework jest obecnie przedmiotem postępowania prawnego przed Sądem Unii Europejskiej (Case T-553/23 La Quadrature du Net & Others v Commission oraz późniejsze odesłania). W przypadku unieważnienia decyzji będziemy opierać się wyłącznie na Standardowych klauzulach umownych z dodatkowymi środkami i być może będziemy musieli zakończyć niektóre transfery; zaktualizujemy niniejszą Politykę Prywatności i powiadomimy użytkowników, gdy będzie to konieczne. Może Pan/Pani uzyskać kopię SCC oraz naszego podsumowania Oceny Skutków Przekazania, kontaktując się pod adresem privacy@useclozo.com.

8. Pana/Pani prawa (GDPR Articles 15–22)

Jako osoba, której dane dotyczą, mająca miejsce pobytu w Europejskim Obszarze Gospodarczym, Wielkiej Brytanii lub Szwajcarii, przysługują Panu/Pani następujące prawa w odniesieniu do Pana/Pani danych osobowych:

• Prawo dostępu (Art. 15): uzyskanie potwierdzenia, czy przetwarzamy Pana/Pani dane, oraz uzyskanie ich kopii.
• Prawo do sprostowania (Art. 16): spowodowanie sprostowania nieprawidłowych lub niekompletnych danych.
• Prawo do usunięcia danych (Art. 17): spowodowanie usunięcia Pana/Pani danych ('prawo do bycia zapomnianym'), z zastrzeżeniem obowiązków przechowywania określonych w Sekcji 5.
• Prawo do ograniczenia przetwarzania (Art. 18): ograniczenie przetwarzania w określonych okolicznościach (np. podczas weryfikacji prawidłowości kwestionowanych danych).
• Prawo do przenoszenia danych (Art. 20): otrzymanie Pana/Pani danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przekazanie ich innemu administratorowi.
• Prawo do sprzeciwu (Art. 21): wniesienie w dowolnym momencie sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (Article 6(1)(f)) — w tym pomiaru marketingu bezpośredniego. W przypadku sprzeciwu zaprzestaniemy takiego przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw, nadrzędnych wobec Pana/Pani interesów.
• Prawo do wycofania zgody (Art. 7(3)): wycofanie zgody na pliki cookie i śledzenie w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania dokonanego wcześniej. Proszę kliknąć 'Zarządzaj plikami cookie' na tej stronie lub w stopce strony, aby ponownie otworzyć baner plików cookie.
• Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (Art. 22): nie korzystamy z wyłącznie zautomatyzowanego podejmowania decyzji wywołującego wobec Pana/Pani skutki prawne w rozumieniu Article 22 GDPR. Dwa zautomatyzowane systemy mogą tymczasowo wpłynąć na dostęp: (i) Stripe Radar, który ocenia transakcje pod kątem oszustwa — odmowy można zaskarżyć, wysyłając wiadomość e-mail na privacy@useclozo.com w celu weryfikacji przez człowieka; (ii) django-axes, który tymczasowo blokuje konto po wielokrotnych nieudanych próbach logowania — blokady wygasają automatycznie i mogą zostać zniesione na żądanie. W obu przypadkach może Pan/Pani zażądać interwencji człowieka.

Aby skorzystać z dowolnego prawa, proszę napisać na privacy@useclozo.com. Odpowiadamy bez zbędnej zwłoki, a w każdym razie w ciągu jednego miesiąca od otrzymania Pana/Pani żądania. W przypadku skomplikowanego żądania lub dużej liczby żądań możemy przedłużyć termin odpowiedzi o kolejne dwa miesiące. W takim przypadku poinformujemy Pana/Panią o przedłużeniu i o przyczynach opóźnienia w ciągu jednego miesiąca od otrzymania żądania (Article 12(3) GDPR). Nie pobieramy żadnej opłaty, chyba że Pana/Pani żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne (Article 12(5) GDPR), w którym to przypadku wyjaśnimy podstawę opłaty.

9. Pliki cookie i podobne technologie

Korzystamy z plików cookie i podobnych technologii w app.useclozo.com oraz api.useclozo.com. Na podstawie Article 5(3) of the ePrivacy Directive (transponowanego w Hiszpanii przez Article 22.2 of Ley 34/2002 LSSI-CE) bez Pana/Pani zgody mogą być instalowane wyłącznie pliki cookie ściśle niezbędne. Wszystkie pozostałe kategorie są instalowane wyłącznie po wyrażeniu przez Pana/Panią szczegółowej zgody za pośrednictwem banera plików cookie wyświetlanego przy pierwszej wizycie. Przyciski 'Odrzuć wszystkie', 'Dostosuj' oraz 'Zaakceptuj wszystkie' są prezentowane z równą wizualną widocznością, zgodnie z EDPB Guidelines 03/2022 oraz AEPD Guía sobre el uso de las cookies (lipiec 2023).

• Ściśle niezbędne (zgoda nie jest wymagana): refresh_token (uwierzytelnianie, HttpOnly, Secure, SameSite=None, ograniczony do /api/v1/auth/), token CSRF; clozo_lang (preferencja języka interfejsu, 1 rok); clozo_locale_set (znacznik dokonania wyraźnego wyboru języka, 1 rok). Tych plików nie można wyłączyć.
• Analityka produktu — instalowane wyłącznie po wyrażeniu zgody (PostHog): pliki cookie ph_* oraz wpisy localStorage instalowane przez PostHog w celu pseudonimowego śledzenia sesji oraz przechwytywania zdarzeń produktowych. Ładowane wyłącznie po kliknięciu przez Pana/Panią 'Zaakceptuj wszystkie' lub włączeniu kategorii analityki w banerze plików cookie. Wykorzystujemy je, aby zrozumieć, które funkcje przynoszą wartość. Dane są przetwarzane wyłącznie w instancji UE PostHog (eu.i.posthog.com). Czas życia pliku cookie: do 1 roku.
• Atrybucja reklamowa — instalowane wyłącznie po wyrażeniu zgody: clozo_first_gclid (90 dni, HttpOnly, Secure, SameSite=Lax) — przechowuje identyfikator kliknięcia Google z Pana/Pani pierwszej płatnej wizyty, abyśmy mogli przypisać późniejsze konwersje do pierwotnej kampanii reklamowej. Plik cookie jest odczytywany wyłącznie po stronie serwera i przekazywany wyłącznie wówczas, gdy zakończy Pan/Pani zdarzenie konwersji (rejestracja, płatność), i wyłącznie do Google Ads za pośrednictwem Enhanced Conversions API. Czas życia 90 dni odpowiada domyślnemu oknu atrybucji kliknięcia Google. Brak retargetingu; brak budowania odbiorców; brak śledzenia międzywitrynowego. Cel: pomiar atrybucji marketingowej na podstawie Recital 47 GDPR. Odbiorca w przypadku aktywacji: Google Ireland Ltd / Google LLC. Podstawa prawna: zgoda (Article 6(1)(a) GDPR + Article 5(3) ePrivacy Directive).

Może Pan/Pani zarządzać preferencjami plików cookie w dowolnym momencie, klikając 'Zarządzaj plikami cookie' poniżej lub w stopce dowolnej strony Clozo. Wycofanie zgody na pliki cookie analityczne lub reklamowe nie uniemożliwia Panu/Pani korzystania z Clozo — zatrzymane zostaje jedynie odpowiednie przetwarzanie.

10. Bezpieczeństwo danych

Wdrażamy środki techniczne i organizacyjne odpowiednie do ryzyka, zgodnie z Article 32 GDPR: TLS 1.2+ dla danych w transmisji, AES-256-GCM dla danych wrażliwych w spoczynku (IBAN, tokeny odświeżenia OAuth), hash haseł bcrypt z indywidualnymi solami dla użytkowników, krótko żyjące tokeny dostępu JWT z plikami cookie odświeżenia HttpOnly, content-security-policy, ograniczanie liczby zapytań na rzeczywisty IP klienta, automatyczne wylogowanie po bezczynności, zaszyfrowane kopie zapasowe poza siedzibą oraz kontrole dostępu ograniczające, kto może przeglądać dane produkcyjne. Rejestrujemy wszystkie dostępy do danych osobowych i regularnie przeglądamy dzienniki. W przypadku naruszenia ochrony danych osobowych zawiadomimy właściwy organ nadzorczy w ciągu 72 godzin, gdy jest to wymagane przez Article 33 GDPR, oraz powiadomimy zainteresowanych użytkowników bez zbędnej zwłoki, gdy jest to wymagane przez Article 34 GDPR.

11. Kontakt i prawo do wniesienia skargi

W sprawach prywatności, korzystania z Pana/Pani praw lub jakichkolwiek wątpliwości dotyczących sposobu, w jaki postępujemy z Pana/Pani danymi, prosimy o kontakt pod adresem privacy@useclozo.com. Przysługuje Panu/Pani również prawo wniesienia skargi do organu ochrony danych państwa członkowskiego UE Pana/Pani miejsca pobytu, miejsca pracy lub miejsca, w którym doszło do domniemanego naruszenia. Naszym wiodącym organem nadzorczym w ramach mechanizmu kompleksowej współpracy (Article 56 GDPR) jest hiszpański organ ochrony danych: Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid, Hiszpania — www.aepd.es. Lista wszystkich organów krajowych jest dostępna pod adresem edpb.europa.eu/about-edpb/about-edpb/members_en.

12. Dane dzieci

Clozo to narzędzie biznesowe przeznaczone dla użytkowników w wieku co najmniej 18 lat, zgodnie z Article 8 GDPR (domyślny wiek wyrażenia zgody na usługi społeczeństwa informacyjnego wynosi w większości państw członkowskich UE 16 lat; w Hiszpanii wynosi 14 lat na podstawie Article 7 of LOPDGDD 3/2018). Świadomie nie zbieramy danych osobowych od dzieci poniżej obowiązującego progu wiekowego. Jeśli dowiedzą się Państwo, że dziecko przekazało nam dane osobowe, prosimy o kontakt pod adresem privacy@useclozo.com, a usuniemy je bez zbędnej zwłoki.