Polityka Prywatności

Cluster S.A. | ul. Józefitów 8, 30-039 Kraków | KRS 0000930849

Wersja: 2.0 — maj 2026 | Obowiązuje od: 25 maja 2026 r. | Zastępuje wersję z 17 stycznia 2025 r.

§ 1. Słownik pojęć

  • Administrator – Cluster S.A. z siedzibą w Krakowie (30-039), ul. Józefitów 8, KRS 0000930849, NIP 6772470720, REGON 520387924.
  • RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r.
  • Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
  • Podmiot przetwarzający (procesor) – podmiot przetwarzający dane w imieniu Administratora na podstawie umowy powierzenia (DPA).
  • Aplikacja CRM – platforma zarządzania przestrzeniami dostępna pod adresem app.clusteroffices.com.
  • Strona www – strona informacyjna dostępna pod adresem clusteroffices.com (platforma Webflow).
  • Brain – wewnętrzny system operacyjny Cluster S.A. dostępny pod adresem brain.clusteroffices.com (serwer Hetzner, Niemcy).
  • EOG – Europejski Obszar Gospodarczy.
  • DPF – EU-US Data Privacy Framework (Decyzja Komisji 2023/1795 z 10.07.2023 r.).
  • SCC – Standardowe Klauzule Umowne (Decyzja Komisji 2021/914).
  • UODO – Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

§ 2. Administrator danych i kontakt

Administratorem Twoich danych osobowych jest Cluster S.A. z siedzibą w Krakowie (30-039), ul. Józefitów 8, wpisana do rejestru przedsiębiorców KRS pod numerem 0000930849.

Kontakt w sprawach ochrony danych osobowych:
E-mail: hi@clusteroffices.com
Adres: Cluster S.A., ul. Józefitów 8, 30-039 Kraków
Telefon: dostępny na stronie clusteroffices.com

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD). Obowiązek wyznaczenia IOD nie dotyczy Administratora w aktualnym zakresie działalności (art. 37 RODO).

§ 3. Zakres stosowania

Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych przez Cluster S.A. w ramach całej działalności operacyjnej firmy, w tym:

  • Świadczenia usług najmu i coworkingowych dla klientów (Aplikacja CRM)
  • Obsługi potencjalnych klientów i prowadzenia sprzedaży (Pipedrive, e-mail)
  • Prowadzenia strony informacyjnej i działań marketingowych (clusteroffices.com)
  • Zarządzania operacjami wewnętrznymi (Brain, Google Workspace)
  • Monitoringu fizycznego przestrzeni (CCTV)
  • Zatrudniania i obsługi pracowników oraz współpracowników

§ 4. Cele i podstawy prawne przetwarzania

a) Wykonanie umowy — art. 6 ust. 1 lit. b RODO

  • Rejestracja i zarządzanie kontem klienta w Aplikacji CRM
  • Obsługa rezerwacji przestrzeni (biura serwisowane, coworking, sale spotkań)
  • Realizacja subskrypcji coworkingowych i karnetów wstępów
  • Obsługa dostaw i rejestracja gości
  • Generowanie faktur, obsługa płatności i rozliczeń
  • Obsługa zapytań ofertowych (działania pre-kontraktowe)

b) Obowiązki prawne — art. 6 ust. 1 lit. c RODO

  • Wystawianie i przechowywanie faktur VAT (ustawa o rachunkowości, art. 74 — 5 lat)
  • Realizacja obowiązków podatkowych (US, ZUS)
  • Prowadzenie dokumentacji pracowniczej (Kodeks pracy)
  • Obsługa żądań organów publicznych

c) Uzasadniony interes Administratora — art. 6 ust. 1 lit. f RODO

  • Bezpieczeństwo systemów informatycznych i fizyczne (monitoring CCTV)
  • Wykrywanie nadużyć i zapobieganie fraudom
  • Analiza statystyczna i optymalizacja usług
  • Obsługa korespondencji i komunikacja biznesowa z klientami
  • Prowadzenie ewidencji sprzedaży i pipeline’u sprzedażowego (Pipedrive)
  • Marketing bezpośredni skierowany do istniejących klientów

d) Zgoda — art. 6 ust. 1 lit. a RODO

  • Wysyłanie powiadomień e-mail i SMS o charakterze marketingowym
  • Zapisanie preferencji cookies analitycznych i śledzących (strona www)

§ 5. Jakie dane zbieramy i w jakim kontekście

5.1 Klienci i najemcy (Aplikacja CRM)

  • Dane identyfikacyjne: imię, nazwisko, e-mail, telefon
  • Dane firmowe: nazwa firmy, NIP, REGON, KRS, adres siedziby
  • Dane dostępowe: login, hasło (zaszyfrowane przez Supabase Auth)
  • Dane transakcyjne: historia rezerwacji, faktury, płatności, subskrypcje, karnety
  • Dane techniczne: adres IP, identyfikator urządzenia, logi sesji
  • Dane usługowe: hasła do drukarek i sieci WiFi (dla najemców biurowych)
  • Zdjęcia profilowe (opcjonalnie, Supabase Storage)

5.2 Potencjalni klienci i leady

  • Imię, nazwisko, e-mail, telefon
  • Nazwa i dane firmy (jeśli podane)
  • Historia zapytań i kontaktów handlowych
  • Status i etap procesu sprzedażowego

5.3 Odwiedzający stronę www (clusteroffices.com)

  • Dane analityczne: adres IP (zanonimizowany), pliki cookies (Google Analytics 4)
  • Nagrania sesji i mapy cieplne (Hotjar) — po udzieleniu zgody
  • Dane reklamowe: Meta Pixel — śledzenie konwersji i remarketing; po udzieleniu zgody
  • Analityka SEO: Ahrefs Analytics (analytics.ahrefs.com) — cookie-free; podstawa: art. 6(1)(f)
  • Dane z formularzy: imię, e-mail, treść wiadomości

5.4 Odwiedzający przestrzenie Cluster (fizycznie)

  • Rejestracja gości: imię, nazwisko, firma, czas wizyty, gospodarz wizyty
  • Monitoring CCTV: wizerunek (zapis wizyjny) — szczegóły w § 11

5.5 Pracownicy i współpracownicy

Przetwarzanie danych pracowników odbywa się na odrębnych podstawach prawnych (Kodeks pracy, ZUS, US). Pracownicy otrzymują odrębną klauzulę informacyjną RODO przy podpisaniu umowy.

§ 6. Jak długo przechowujemy dane

Kategoria danychOkres retencjiPodstawa
Konto klienta (aktywne)Przez czas korzystania + 30 dni po usunięciuArt. 6(1)(b)
Historia rezerwacji i usług3 lata od zakończenia usługiArt. 6(1)(f)
Faktury i dokumenty księgowe5 lat od końca roku podatkowegoArt. 74 ustawy o rachunkowości
Dane leadów / prospektówDo 3 lat od ostatniego kontaktuArt. 6(1)(f)
Korespondencja e-mailDo 3 lat od zakończenia relacji handlowejArt. 6(1)(f)
Dane gości / rejestracja wizyt12 miesięcyArt. 6(1)(f)
Logi bezpieczeństwa (CRM)12 miesięcyArt. 6(1)(f)
Logi błędów (Sentry)30 dni (automatyczna rotacja)Art. 6(1)(f)
Nagrania CCTV30 dni (nadpisywanie cykliczne)Art. 6(1)(f)
Dane analityczne www (GA4)14 miesięcyArt. 6(1)(a)
Dane Hotjar365 dniArt. 6(1)(a)
Logi dostępu Brain90 dni / 12 mies. / 30 dni — Polityka retencji logów Brain v1.0Art. 6(1)(f)
Dane pracowniczeZgodnie z KP i przepisami ZUS/US (co do zasady 10 lat)Art. 6(1)(c)

§ 7. Systemy informatyczne

SystemCelHosting / KrajKategorie danych
app.clusteroffices.com (CRM)Zarządzanie klientami, rezerwacjami, płatnościamiSupabase — Frankfurt (DE)Klienci, najemcy, goście
clusteroffices.com (Strona www)Marketing, informacja, formularze kontaktoweWebflow + CloudflareOdwiedzający, leady
brain.clusteroffices.comWewnętrzny system operacyjnyHetzner VPS — Niemcy (DE)Pracownicy, dane sprzedażowe
PipedriveCRM sprzedażowyEstonia (EU)Leady, prospekty
Google WorkspaceE-mail firmowy, dokumenty, kalendarzeGoogle Ireland Ltd. (EU)Klienci, leady, pracownicy

§ 8. Komu przekazujemy dane (procesory)

8.1 Platforma CRM

ProcesorUsługaKrajPodstawa transferu poza EOG
Supabase, Inc.Baza danych, uwierzytelnianie, plikiIrlandia (EU)EOG — Supabase Ireland Ltd.; DPA 2026-05-22; dane Frankfurt
Stripe, Inc.Płatności, subskrypcjeIrlandia (EU)EOG — Stripe Payments Europe Ltd.
Twilio Inc.SMS (powiadomienia, OTP)Irlandia (EU)EOG — Twilio Ireland Ltd.; SCC; DPA w MSA
SentryMonitoring błędówHolandia (EU)EOG — Sentry B.V.; EU data region
Resend, Inc.E-mail transakcyjnyUSADPF (certyfikat aktywny)
Cloudflare, Inc.CDN, hosting frontendu, DDoSUSA / Irlandia (EU)DPF + SCC; Cloudflare Ireland Ltd.
FakturaxLFakturowanie, VATPolska (EU)EOG — FXL Sp. z o.o.; DPA w Regulaminie
Microsoft CorporationAnalityka sesji (Microsoft Clarity)Irlandia (EU)EOG — Microsoft Ireland; DPA w MCA

8.2 Strona www

ProcesorUsługaKrajPodstawa transferu poza EOG
Webflow, Inc.Hosting strony wwwUSADPF (certyfikat aktywny)
Google LLC (GA4)Analityka ruchuUSADPF (certyfikat aktywny)
Hotjar Ltd.Nagrania sesji, mapy cieplneMalta (EU)EOG — brak transferu poza EOG
Meta Platforms Ireland Ltd.Śledzenie konwersji, remarketing (Meta Pixel)Irlandia (EU)EOG — DPA w Business Tools Terms
Ahrefs Pte. Ltd.Analityka SEO (cookie-free)SingapurSCC (Decyzja Komisji 2021/914)

8.3 Systemy operacyjne i sprzedażowe

ProcesorUsługaKrajPodstawa transferu poza EOG
Google LLC (Workspace)E-mail, dokumenty, Drive, kalendarzIrlandia (EU)EOG — Google Ireland; CDPA 2026-05-22
Pipedrive Inc.CRM sprzedażowyEstonia (EU)EOG — Pipedrive OÜ; DPA wbudowane
Hetzner Online GmbHHosting VPS (Brain)Niemcy (EU)EOG — Hetzner; DPA 2026-05-22

Administrator nie sprzedaje danych osobowych podmiotom trzecim w celach komercyjnych.

§ 9. Przekazywanie danych poza EOG

Część procesorów ma siedzibę w Stanach Zjednoczonych. Transfer danych do USA odbywa się na podstawie Decyzji Wykonawczej KE 2023/1795 z 10.07.2023 r. (EU-US Data Privacy Framework, art. 45 RODO) lub Standardowych Klauzul Umownych (Decyzja 2021/914, art. 46 RODO).

Wszyscy procesorzy z certyfikatem DPF zweryfikowani w rejestrze dataprivacyframework.gov. W przypadku utraty certyfikatu Administrator niezwłocznie zastosuje SCC.

§ 10. Pliki cookies i technologie śledzące

Aplikacja CRM (app.clusteroffices.com)

  • Cookies niezbędne: sesja użytkownika, preferencje językowe — podstawa: art. 6(1)(b), nie wymagają zgody
  • Microsoft Clarity: analiza zachowania — wyłączone dla pracowników wewnętrznych; identyfikacja pseudonimowa; podstawa: art. 6(1)(f)
  • Sentry: monitorowanie błędów technicznych; podstawa: art. 6(1)(f)

Strona www (clusteroffices.com)

  • Cookies niezbędne: działanie strony Webflow — nie wymagają zgody
  • Google Analytics 4: analiza ruchu — wymagana zgoda; IP masking włączony; retencja 14 mies.
  • Hotjar: nagrania sesji i mapy cieplne — wymagana zgoda; retencja 365 dni
  • Meta Pixel: śledzenie konwersji i remarketing — wymagana zgoda
  • Ahrefs Analytics: analityka SEO (cookie-free) — bez zgody; podstawa: art. 6(1)(f)

Zarządzanie zgodami: banner cookies na stronie www przy pierwszej wizycie. W aplikacji — Ustawienia › Prywatność.

§ 11. Monitoring wizyjny (CCTV)

ParametrSzczegóły
Podstawa prawnaArt. 6 ust. 1 lit. f RODO (bezpieczeństwo osób i mienia)
Zakres przestrzennyHole wejściowe, przestrzenie wspólne, wejścia do biur; poza zakresem: toalety, pomieszczenia socjalne, prywatne obszary najemców
LokalizacjeWszystkie przestrzenie Cluster S.A.: Kraków (3 lok.), Warszawa Sienna, Katowice Dworcowa
Retencja nagrań30 dni (automatyczne nadpisywanie)
Dostęp do nagrańWyłącznie upoważnieni pracownicy i Zarząd
Informacja dla odwiedzającychPiktogramy przy wejściach do każdej przestrzeni
UdostępnianieOrganom ścigania wyłącznie na podstawie przepisów prawa

§ 12. Twoje prawa

PrawoPodstawaJak skorzystać
Dostęp do danychArt. 15 RODOAplikacja: Ustawienia › Moje Dane; lub e-mail do Administratora
Sprostowanie danychArt. 16 RODOAplikacja: Ustawienia › Profil; lub e-mail
Usunięcie danychArt. 17 RODOAplikacja: Ustawienia › Konto › Usuń konto. Dokumentacja księgowa nie podlega wcześniejszemu usunięciu.
Ograniczenie przetwarzaniaArt. 18 RODOWniosek e-mail do Administratora
Przenoszenie danychArt. 20 RODOWniosek e-mail (CSV/JSON)
SprzeciwArt. 21 RODOWniosek e-mail (dot. art. 6(1)(f))
Cofnięcie zgodyArt. 7 ust. 3 RODOStrona www: panel cookies. Aplikacja: Ustawienia › Powiadomienia.
Skarga do UODOArt. 77 RODOPrezes UODO, ul. Stawki 2, 00-193 Warszawa; kancelaria@uodo.gov.pl
Składanie wniosków RODO:
E-mail: hi@clusteroffices.com (temat: „Wniosek RODO — imię i nazwisko")
Adres: Cluster S.A., ul. Józefitów 8, 30-039 Kraków
Termin odpowiedzi: 1 miesiąc; w sprawach złożonych do 3 miesięcy (art. 12 ust. 3 RODO).

§ 13. Bezpieczeństwo danych

  • Szyfrowanie danych w tranzycie (TLS 1.2/1.3) i w spoczynku (AES-256 — Supabase)
  • Uwierzytelnianie wieloskładnikowe dostępne dla kont użytkowników
  • Row Level Security (RLS) — każdy użytkownik widzi wyłącznie własne dane
  • Pseudonimizacja danych analitycznych (Microsoft Clarity, GA4)
  • Codzienne kopie zapasowe bazy danych na Cloudflare R2 (retencja 365 dni)
  • Monitoring błędów i alertów bezpieczeństwa w czasie rzeczywistym (Sentry)
  • Dostęp do danych produkcyjnych ograniczony do upoważnionych pracowników
  • System Brain: Google OAuth z ograniczeniem do @clusteroffices.com + system ról

W przypadku naruszenia ochrony danych Administrator zgłosi incydent do UODO w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO) i powiadomi poszkodowane osoby w razie wysokiego ryzyka (art. 34 RODO).

§ 14. Zmiany polityki prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki. O istotnych zmianach poinformuje użytkowników Aplikacji (powiadomieniem lub e-mailem) oraz odwiedzających stronę www (banerem informacyjnym).

Data ostatniej aktualizacji: maj 2026 (wersja 2.0). Poprzednia wersja dostępna na wniosek: hi@clusteroffices.com.

Załącznik 1 — Lista umów powierzenia (DPA)

ProcesorLink do DPAStatus
Supabase, Inc.supabase.com/legal/dpa✓ Podpisano 2026-05-22
Stripe, Inc.stripe.com/legal/dpa✓ Automatyczne — Stripe Services Agreement §8
Twilio Inc.twilio.com/en-us/legal/data-protection-addendum✓ Automatyczne — Twilio MSA; Twilio Ireland Ltd.
Sentrysentry.io/legal/dpa✓ Zaakceptowano w panelu Sentry Legal; EU data region
Resend, Inc.resend.com/legal/dpa✓ Automatyczne — DPA pre-signed
Pipedrive Inc.pipedrive.com/en/privacy✓ Automatyczne — Pipedrive OÜ (Estonia, EU)
Google LLC (Workspace + GA4)workspace.google.com/terms/dpa_terms.html✓ CDPA zaakceptowane 2026-05-22; DPF aktywny
Cloudflare, Inc.cloudflare.com/cloudflare-customer-dpa✓ Automatyczne — Cloudflare Ireland Ltd.; DPF + SCC
FakturaxLkontakt bezpośredni✓ Automatyczne — Regulamin §10.4-10.5; FXL (Polska)
Microsoft (Clarity)microsoft.com/licensing✓ Automatyczne — MCA + Online Services DPA; EU Data Boundary
Hetzner Online GmbHhetzner.com/legal/privacy-policy/✓ Podpisano DPA art. 28 RODO 2026-05-22
Meta Platforms Ireland Ltd.meta.com/legal/privacy/✓ Automatyczne — Meta Business Tools Terms; Irlandia (EU)