Polityka Prywatności
Cluster S.A. | ul. Józefitów 8, 30-039 Kraków | KRS 0000930849
Wersja: 2.0 — maj 2026 | Obowiązuje od: 25 maja 2026 r. | Zastępuje wersję z 17 stycznia 2025 r.
§ 1. Słownik pojęć
- Administrator – Cluster S.A. z siedzibą w Krakowie (30-039), ul. Józefitów 8, KRS 0000930849, NIP 6772470720, REGON 520387924.
- RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r.
- Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
- Podmiot przetwarzający (procesor) – podmiot przetwarzający dane w imieniu Administratora na podstawie umowy powierzenia (DPA).
- Aplikacja CRM – platforma zarządzania przestrzeniami dostępna pod adresem app.clusteroffices.com.
- Strona www – strona informacyjna dostępna pod adresem clusteroffices.com (platforma Webflow).
- Brain – wewnętrzny system operacyjny Cluster S.A. dostępny pod adresem brain.clusteroffices.com (serwer Hetzner, Niemcy).
- EOG – Europejski Obszar Gospodarczy.
- DPF – EU-US Data Privacy Framework (Decyzja Komisji 2023/1795 z 10.07.2023 r.).
- SCC – Standardowe Klauzule Umowne (Decyzja Komisji 2021/914).
- UODO – Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.
§ 2. Administrator danych i kontakt
Administratorem Twoich danych osobowych jest Cluster S.A. z siedzibą w Krakowie (30-039), ul. Józefitów 8, wpisana do rejestru przedsiębiorców KRS pod numerem 0000930849.
Kontakt w sprawach ochrony danych osobowych:
E-mail: hi@clusteroffices.com
Adres: Cluster S.A., ul. Józefitów 8, 30-039 Kraków
Telefon: dostępny na stronie clusteroffices.com
E-mail: hi@clusteroffices.com
Adres: Cluster S.A., ul. Józefitów 8, 30-039 Kraków
Telefon: dostępny na stronie clusteroffices.com
Administrator nie wyznaczył Inspektora Ochrony Danych (IOD). Obowiązek wyznaczenia IOD nie dotyczy Administratora w aktualnym zakresie działalności (art. 37 RODO).
§ 3. Zakres stosowania
Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych przez Cluster S.A. w ramach całej działalności operacyjnej firmy, w tym:
- świadczenia usług najmu i coworkingowych dla klientów (Aplikacja CRM)
- obsługi potencjalnych klientów i prowadzenia sprzedaży (Pipedrive, e-mail)
- prowadzenia strony informacyjnej i działań marketingowych (clusteroffices.com)
- zarządzania operacjami wewnętrznymi (Brain, Google Workspace)
- monitoringu fizycznego przestrzeni (CCTV)
- zatrudniania i obsługi pracowników oraz współpracowników
§ 4. Cele i podstawy prawne przetwarzania
a) Wykonanie umowy — art. 6 ust. 1 lit. b RODO
- Rejestracja i zarządzanie kontem klienta w Aplikacji CRM
- Obsługa rezerwacji przestrzeni (biura serwisowane, coworking, sale spotkań)
- Realizacja subskrypcji coworkingowych i karnetów wstępów
- Obsługa dostaw i rejestracja gości
- Generowanie faktur, obsługa płatności i rozliczeń
- Obsługa zapytań ofertowych (działania pre-kontraktowe)
b) Obowiązki prawne — art. 6 ust. 1 lit. c RODO
- Wystawianie i przechowywanie faktur VAT (ustawa o rachunkowości, art. 74 — 5 lat)
- Realizacja obowiązków podatkowych (US, ZUS)
- Prowadzenie dokumentacji pracowniczej (Kodeks pracy)
- Obsługa żądań organów publicznych (sądy, prokuratura, organy skarbowe)
c) Uzasadniony interes Administratora — art. 6 ust. 1 lit. f RODO
- Bezpieczeństwo systemów informatycznych i fizyczne (monitoring CCTV)
- Wykrywanie nadużyć i zapobieganie fraudom
- Analiza statystyczna i optymalizacja usług
- Obsługa korespondencji i komunikacja biznesowa z klientami i prospektami
- Prowadzenie ewidencji sprzedaży i pipeline'u sprzedażowego (Pipedrive)
- Marketing bezpośredni skierowany do istniejących klientów (art. 47 motyw RODO)
d) Zgoda — art. 6 ust. 1 lit. a RODO
- Wysyłanie powiadomień e-mail i SMS o charakterze marketingowym do nowych odbiorców
- Zapisanie preferencji cookies analitycznych i śledzących (strona www)
§ 5. Jakie dane zbieramy i w jakim kontekście
5.1 Klienci i najemcy (Aplikacja CRM)
- Dane identyfikacyjne: imię, nazwisko, e-mail, telefon
- Dane firmowe: nazwa firmy, NIP, REGON, KRS, adres siedziby
- Dane dostępowe: login, hasło (zaszyfrowane przez Supabase Auth)
- Dane transakcyjne: historia rezerwacji, faktury, płatności, subskrypcje, karnety
- Dane techniczne: adres IP, identyfikator urządzenia, logi sesji, zdarzenia bezpieczeństwa
- Dane usługowe: hasła do drukarek i sieci WiFi (dla najemców biurowych)
- Zdjęcia profilowe (opcjonalnie, Supabase Storage)
5.2 Potencjalni klienci i leady (Pipedrive, e-mail)
- Imię, nazwisko, e-mail, telefon
- Nazwa i dane firmy (jeśli podane)
- Historia zapytań i kontaktów handlowych
- Status i etap procesu sprzedażowego
5.3 Odwiedzający stronę www (clusteroffices.com)
- Dane analityczne: adres IP (zanonimizowany), pliki cookies (Google Analytics 4)
- Nagrania sesji i mapy cieplne (Hotjar) — po udzieleniu zgody
- Dane reklamowe: Meta Pixel — śledzenie konwersji i remarketing; po udzieleniu zgody
- Analityka SEO: Ahrefs Analytics (analytics.ahrefs.com) — cookie-free; podstawa: art. 6(1)(f)
- Dane z formularzy: imię, e-mail, treść wiadomości
5.4 Odwiedzający przestrzenie Cluster (fizycznie)
- Rejestracja gości: imię, nazwisko, firma, czas wizyty, gospodarz wizyty
- Monitoring CCTV: wizerunek (zapis wizyjny) — szczegóły w § 11
5.5 Pracownicy i współpracownicy
Przetwarzanie danych pracowników odbywa się na odrębnych podstawach prawnych (Kodeks pracy, ZUS, US). Pracownicy otrzymują odrębną klauzulę informacyjną RODO przy podpisaniu umowy. Narzędzia z dostępem do danych pracowników: Google Workspace, Brain, Pipedrive, Aplikacja CRM (rola staff).
§ 6. Jak długo przechowujemy dane
| Kategoria danych | Okres retencji | Podstawa |
|---|---|---|
| Konto klienta (aktywne) | Przez czas korzystania z usługi + 30 dni po usunięciu konta | Art. 6(1)(b) |
| Historia rezerwacji i usług | 3 lata od zakończenia usługi | Art. 6(1)(f) — roszczenia (KC art. 118) |
| Faktury i dokumenty księgowe | 5 lat od końca roku podatkowego | Art. 74 ustawy o rachunkowości |
| Dane leadów / prospektów (Pipedrive) | Do 3 lat od ostatniego kontaktu lub do realizacji umowy | Art. 6(1)(f) |
| Korespondencja e-mail (Google Workspace) | Do 3 lat od zakończenia relacji handlowej | Art. 6(1)(f) |
| Dane gości / rejestracja wizyt | 12 miesięcy | Art. 6(1)(f) — bezpieczeństwo |
| Logi bezpieczeństwa (CRM) | 12 miesięcy | Art. 6(1)(f) |
| Logi błędów (Sentry) | 30 dni (automatyczna rotacja) | Art. 6(1)(f) |
| Nagrania CCTV | 14 dni (nadpisywanie cykliczne) | Art. 6(1)(f) |
| Dane analityczne www (GA4) | 14 miesięcy (konfiguracja GA4) | Art. 6(1)(a) |
| Dane Hotjar | 365 dni (konfiguracja Hotjar) | Art. 6(1)(a) |
| Logi dostępu Brain | 90 dni / 12 mies. / 30 dni — Polityka retencji logów Brain v1.0 (2026-05-26) | Art. 6(1)(f) |
| Dane pracownicze | Zgodnie z KP i przepisami ZUS/US (co do zasady 10 lat od zakończenia zatrudnienia) | Art. 6(1)(c), KP |
§ 7. Systemy informatyczne — przegląd
| System | Cel | Hosting / Kraj | Kategorie danych |
|---|---|---|---|
| app.clusteroffices.com (CRM) | Zarządzanie klientami, rezerwacjami, płatnościami | Supabase — Frankfurt (DE) | Klienci, najemcy, goście |
| clusteroffices.com (Strona www) | Marketing, informacja, formularze kontaktowe | Webflow (USA) + Cloudflare | Odwiedzający, leady |
| brain.clusteroffices.com (Brain) | Wewnętrzny system operacyjny (sprzedaż, finanse, operacje) | Hetzner VPS — Niemcy (DE) | Pracownicy, dane sprzedażowe |
| Pipedrive | CRM sprzedażowy — śledzenie deali i prospektów | Estonia (EU) | Pipedrive OÜ (Estonia); DPA wbudowane |
| Google Workspace | E-mail firmowy, dokumenty, kalendarze | Google Ireland Ltd. — Irlandia (EU) | Klienci, leady, pracownicy |
| Google Drive | Umowy, dokumenty, zdjęcia | Google Ireland Ltd. — Irlandia (EU) | Klienci (umowy), pracownicy |
§ 8. Komu przekazujemy dane (procesory)
Administrator korzysta z usług podmiotów przetwarzających (procesorów) na podstawie umów powierzenia (DPA). Poniżej pełna lista:
8.1 Platforma CRM (app.clusteroffices.com)
| Procesor | Usługa | Kraj | Podstawa transferu poza EOG |
|---|---|---|---|
| Supabase, Inc. | Baza danych, uwierzytelnianie, pliki (Storage) | Irlandia (EU) | EOG — Supabase Ireland Ltd. (Dublin); DPA podpisane 2026-05-22; dane w regionie EU (Frankfurt) |
| Stripe, Inc. | Płatności online, subskrypcje | Irlandia (EU) | EOG — Stripe Payments Europe Ltd. (Irlandia) |
| Twilio Inc. | Wysyłka SMS (powiadomienia, OTP) | Irlandia (EU) | EOG — Twilio Ireland Ltd. (Dublin); SCC; DPA wbudowane w MSA |
| Sentry | Monitoring błędów aplikacji | Holandia (EU) | EOG — Sentry B.V. (Holandia); EU data region aktywny |
| Resend, Inc. | Wysyłka e-mail transakcyjnego | USA | DPF (certyfikat aktywny); DPA pre-signed wbudowane w umowę rejestracji |
| Cloudflare, Inc. | CDN, hosting frontendu, ochrona DDoS | USA / Irlandia (EU) | DPF + SCC; Cloudflare Ireland Ltd. jako podmiot EU |
| FakturaxL | Fakturowanie, dokumenty VAT | Polska (EU) | EOG — FXL Sp. z o.o. (Polska); umowa powierzenia w Regulamin §10.4-10.5 |
| Microsoft Corporation | Analityka sesji użytkowników (Microsoft Clarity) | Irlandia (EU) | EOG — Microsoft Ireland Operations Ltd.; DPA objęte Microsoft Customer Agreement + Online Services DPA |
8.2 Strona www (clusteroffices.com)
| Procesor | Usługa | Kraj | Podstawa transferu poza EOG |
|---|---|---|---|
| Webflow, Inc. | Hosting strony www (CMS, formularze) | USA | DPF (certyfikat aktywny) |
| Google LLC (GA4) | Analityka ruchu na stronie | USA | DPF (certyfikat aktywny) |
| Hotjar Ltd. | Nagrania sesji, mapy cieplne | Malta (EU) | EOG — brak transferu poza EOG |
| Meta Platforms Ireland Ltd. | Śledzenie konwersji i remarketing (Meta Pixel) | Irlandia (EU) | EOG — Meta Platforms Ireland Ltd.; DPA wbudowane w Business Tools Terms of Service |
| Ahrefs Pte. Ltd. | Analityka SEO (Ahrefs Analytics — analytics.ahrefs.com) | Singapur | SCC (Standardowe Klauzule Umowne, Decyzja Komisji 2021/914) |
8.3 Systemy operacyjne i sprzedażowe
| Procesor | Usługa | Kraj | Podstawa transferu poza EOG |
|---|---|---|---|
| Google LLC (Workspace) | E-mail firmowy, dokumenty, Drive, kalendarz | Irlandia (EU) | EOG — Google Ireland Ltd.; CDPA zaakceptowane 2026-05-22; EU data region aktywny |
| Pipedrive Inc. | CRM sprzedażowy (pipeline, korespondencja, automatyzacje) | Estonia (EU) | EOG — Pipedrive OÜ (Estonia); DPA wbudowane w umowę subskrypcji |
| Hetzner Online GmbH | Hosting serwera VPS (system Brain) | Niemcy (EU) | EOG — Hetzner Online GmbH (Niemcy); DPA podpisane 2026-05-22 w panelu Hetzner |
* Pipedrive: Na dzień sporządzenia dokumentu Administrator korzysta z mechanizmu SCC. Administrator zweryfikuje status certyfikacji DPF Pipedrive i zaktualizuje niniejszy punkt stosownie do wyniku weryfikacji.
Administrator nie sprzedaje danych osobowych podmiotom trzecim w celach komercyjnych.
§ 9. Przekazywanie danych poza EOG
Część procesorów Administratora ma siedzibę w Stanach Zjednoczonych. Transfer danych do USA odbywa się na podstawie Decyzji Wykonawczej Komisji Europejskiej 2023/1795 z 10.07.2023 r. (EU-US Data Privacy Framework, art. 45 RODO) lub Standardowych Klauzul Umownych (Decyzja 2021/914, art. 46 RODO).
Wszyscy procesorzy z siedzibą w USA posiadający certyfikat DPF zostali zweryfikowani w rejestrze Departamentu Handlu USA (dataprivacyframework.gov). W przypadku utraty certyfikatu Administrator niezwłocznie zastosuje SCC jako mechanizm zastępczy.
§ 10. Pliki cookies i technologie śledzące
Aplikacja CRM (app.clusteroffices.com)
- Cookies niezbędne: sesja użytkownika (Supabase Auth), preferencje językowe — podstawa: art. 6(1)(b), nie wymagają zgody
- Microsoft Clarity: analiza zachowania zalogowanych użytkowników — wyłączone dla pracowników wewnętrznych (staff); identyfikacja pseudonimowa (user ID + session ID, bez adresu e-mail); podstawa: art. 6(1)(f)
- Sentry: monitorowanie błędów technicznych — dane techniczne (stack trace, URL, user ID); podstawa: art. 6(1)(f)
Strona www (clusteroffices.com)
- Cookies niezbędne: działanie strony Webflow — nie wymagają zgody
- Google Analytics 4: analiza ruchu, źródła wizyt — wymagana zgoda; IP masking włączony; retencja 14 miesięcy
- Hotjar: nagrania sesji i mapy cieplne — wymagana zgoda; retencja 365 dni
- Meta Pixel: śledzenie konwersji i remarketing — wymagana zgoda
- Ahrefs Analytics: analityka SEO (analytics.ahrefs.com) — bez zgody (narzędzie cookie-free); podstawa: art. 6(1)(f) — uzasadniony interes (analiza SEO)
Zarządzanie zgodami: Na stronie www — banner cookies przy pierwszej wizycie. W aplikacji — Ustawienia › Prywatność.
§ 11. Monitoring wizyjny (CCTV)
| Parametr | Szczegóły |
|---|---|
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO (uzasadniony interes — bezpieczeństwo osób i mienia) |
| Zakres przestrzenny | Hole wejściowe, przestrzenie wspólne, wejścia do biur; poza zakresem: toalety, pomieszczenia socjalne, prywatne obszary najemców |
| Lokalizacje | Wszystkie przestrzenie Cluster S.A.: Kraków (3 lokalizacje), Warszawa Sienna, Katowice Dworcowa |
| Retencja nagrań | 14 dni (automatyczne nadpisywanie) |
| Dostęp do nagrań | Wyłącznie upoważnieni pracownicy Cluster S.A. i Zarząd |
| Informacja dla odwiedzających | Piktogramy przy wejściach do każdej przestrzeni |
| Udostępnianie | Organom ścigania wyłącznie na podstawie przepisów prawa (art. 6(1)(c)) |
§ 12. Twoje prawa
| Prawo | Podstawa | Jak skorzystać |
|---|---|---|
| Dostęp do danych | Art. 15 RODO | Aplikacja: Ustawienia › Moje Dane; lub e-mail do Administratora |
| Sprostowanie danych | Art. 16 RODO | Aplikacja: Ustawienia › Profil; lub e-mail |
| Usunięcie danych | Art. 17 RODO | Aplikacja: Ustawienia › Konto › Usuń konto. Uwaga: dokumentacja księgowa i dane wymagane prawem nie podlegają wcześniejszemu usunięciu. |
| Ograniczenie przetwarzania | Art. 18 RODO | Wniosek e-mail do Administratora |
| Przenoszenie danych | Art. 20 RODO | Wniosek e-mail (dane w formacie CSV/JSON) |
| Sprzeciw | Art. 21 RODO | Wniosek e-mail (dot. przetwarzania na podstawie art. 6(1)(f)) |
| Cofnięcie zgody | Art. 7 ust. 3 RODO | Aplikacja: Ustawienia › Powiadomienia; Strona www: panel cookies. |
| Skarga do UODO | Art. 77 RODO | Prezes UODO, ul. Stawki 2, 00-193 Warszawa; kancelaria@uodo.gov.pl; tel. 606 950 000 |
Składanie wniosków RODO:
E-mail: hi@clusteroffices.com (temat: „Wniosek RODO — imię i nazwisko")
Adres: Cluster S.A., ul. Józefitów 8, 30-039 Kraków
Termin odpowiedzi: 1 miesiąc; w sprawach złożonych do 3 miesięcy (art. 12 ust. 3 RODO).
E-mail: hi@clusteroffices.com (temat: „Wniosek RODO — imię i nazwisko")
Adres: Cluster S.A., ul. Józefitów 8, 30-039 Kraków
Termin odpowiedzi: 1 miesiąc; w sprawach złożonych do 3 miesięcy (art. 12 ust. 3 RODO).
§ 13. Bezpieczeństwo danych
- Szyfrowanie danych w tranzycie (TLS 1.2/1.3) i w spoczynku (AES-256 — Supabase)
- Uwierzytelnianie wieloskładnikowe dostępne dla kont użytkowników aplikacji
- Row Level Security (RLS) — każdy użytkownik widzi wyłącznie własne dane
- Pseudonimizacja danych analitycznych (Microsoft Clarity, GA4)
- Automatyczna rotacja logów bezpieczeństwa (30 dni)
- Codzienne kopie zapasowe bazy danych na Cloudflare R2 (retencja 365 dni)
- Monitoring błędów i alertów bezpieczeństwa w czasie rzeczywistym (Sentry)
- Dostęp do danych produkcyjnych ograniczony wyłącznie do upoważnionych pracowników
- System Brain: Google OAuth z ograniczeniem do domeny @clusteroffices.com + system ról (ADMIN/FINANCE/SALES/MARKETING)
W przypadku naruszenia ochrony danych osobowych Administrator zgłosi incydent do UODO w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO) oraz powiadomi poszkodowane osoby, jeśli naruszenie może powodować wysokie ryzyko dla ich praw i wolności (art. 34 RODO).
Procedura obsługi naruszeń danych (breach notification procedure) jest gotowa — dokument: Procedura naruszenia danych osobowych v1.0 (2026-05-25).
§ 14. Zmiany polityki prywatności
Administrator zastrzega sobie prawo do zmiany niniejszej Polityki. O istotnych zmianach poinformuje użytkowników Aplikacji (powiadomieniem w aplikacji lub e-mailem) oraz odwiedzających stronę www (banerem informacyjnym).
Data ostatniej aktualizacji: maj 2026 (wersja 2.0). Poprzednia wersja dostępna na wniosek: hi@clusteroffices.com.
Załącznik 1 — Lista umów powierzenia (DPA)
| Procesor | Link do DPA | Priorytet | Status |
|---|---|---|---|
| Supabase, Inc. | supabase.com/legal/dpa | — | ✓ Podpisano 2026-05-22; Supabase Ireland Ltd. (Dublin, EU) |
| Stripe, Inc. | stripe.com/legal/dpa | — | ✓ Automatyczne — Stripe Services Agreement §8; Stripe Payments Europe Ltd. |
| Twilio Inc. | twilio.com/en-us/legal/data-protection-addendum | — | ✓ Automatyczne — DPA wbudowane w Twilio MSA; Twilio Ireland Ltd. |
| Sentry | sentry.io/legal/dpa | — | ✓ Zaakceptowano w panelu Sentry Legal & Compliance; EU data region aktywny |
| Resend, Inc. | resend.com/legal/dpa | — | ✓ Automatyczne — DPA pre-signed; SOC 2 Type II (Vanta, 2025-2026) |
| Pipedrive Inc. | pipedrive.com/en/privacy | — | ✓ Automatyczne — Pipedrive OÜ (Estonia, EU); brak transferu poza EOG |
| Google LLC (Workspace + GA4) | workspace.google.com/terms/dpa_terms.html | — | ✓ Workspace: CDPA zaakceptowane 2026-05-22; GA4: DPF aktywny |
| Cloudflare, Inc. | cloudflare.com/cloudflare-customer-dpa | — | ✓ Automatyczne — Self-Serve Subscription Agreement; Cloudflare Ireland Ltd.; DPF + SCC |
| FakturaxL | kontakt bezpośredni | — | ✓ Automatyczne — Regulamin §10.4-10.5; FXL Sp. z o.o. (Polska) |
| Microsoft (Clarity) | microsoft.com/licensing | — | ✓ Automatyczne — Microsoft Customer Agreement + Online Services DPA; EU Data Boundary |
| Hetzner Online GmbH | hetzner.com/legal/privacy-policy/ | — | ✓ Podpisano DPA art. 28 RODO 2026-05-22 w panelu Hetzner; Niemcy (EU) |
| Meta Platforms Ireland Ltd. | meta.com/legal/privacy/... | — | ✓ Automatyczne — Meta Business Tools Terms of Service; Irlandia (EU) |
| Webflow, Inc. | webflow.com/legal/dpa | NISKI | Do podpisania |
| Hotjar Ltd. | hotjar.com/legal/for-users/dpa-template/ | NISKI | Do podpisania |
| Ahrefs Pte. Ltd. | ahrefs.com/legal/dpa | NISKI | Do podpisania — weryfikacja zakresu zbieranych danych |
Załącznik 2 — Dokumenty RODO do przygotowania
| Dokument | Podstawa prawna | Status | Priorytet |
|---|---|---|---|
| Rejestr Czynności Przetwarzania (RCP) | RODO art. 30 | BRAK — obowiązkowy | WYSOKI |
| Procedura naruszenia danych (72h UODO) | RODO art. 33 | ✓ GOTOWE 2026-05-25 | WYSOKI |
| DPIA dla CCTV | RODO art. 35 | BRAK — prawdopodobnie wymagana | WYSOKI |
| Klauzule informacyjne dla pracowników | RODO art. 13 / KP art. 222–223 | ✓ GOTOWE 2026-05-25 | WYSOKI |
| DPIA dla masowej wysyłki SMS | RODO art. 35 | BRAK — do oceny | ŚREDNI |
| Polityka retencji dla logów Brain | RODO art. 5 ust. 1 lit. e | ✓ GOTOWE 2026-05-26 | ŚREDNI |
| Upoważnienia pracowników do przetwarzania danych | RODO art. 29 | ✓ GOTOWE 2026-05-25 | ŚREDNI |
| Weryfikacja statusu DPF dla Pipedrive | RODO art. 45 / 46 | Do weryfikacji | ŚREDNI |