Cluster S.A. | ul. Józefitów 8, 30-039 Kraków | KRS 0000930849
Wersja: 2.0 — maj 2026 | Obowiązuje od: 25 maja 2026 r. | Zastępuje wersję z 17 stycznia 2025 r.
Administratorem Twoich danych osobowych jest Cluster S.A. z siedzibą w Krakowie (30-039), ul. Józefitów 8, wpisana do rejestru przedsiębiorców KRS pod numerem 0000930849.
Administrator nie wyznaczył Inspektora Ochrony Danych (IOD). Obowiązek wyznaczenia IOD nie dotyczy Administratora w aktualnym zakresie działalności (art. 37 RODO).
Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych przez Cluster S.A. w ramach całej działalności operacyjnej firmy, w tym:
Przetwarzanie danych pracowników odbywa się na odrębnych podstawach prawnych (Kodeks pracy, ZUS, US). Pracownicy otrzymują odrębną klauzulę informacyjną RODO przy podpisaniu umowy.
| Kategoria danych | Okres retencji | Podstawa |
|---|---|---|
| Konto klienta (aktywne) | Przez czas korzystania + 30 dni po usunięciu | Art. 6(1)(b) |
| Historia rezerwacji i usług | 3 lata od zakończenia usługi | Art. 6(1)(f) |
| Faktury i dokumenty księgowe | 5 lat od końca roku podatkowego | Art. 74 ustawy o rachunkowości |
| Dane leadów / prospektów | Do 3 lat od ostatniego kontaktu | Art. 6(1)(f) |
| Korespondencja e-mail | Do 3 lat od zakończenia relacji handlowej | Art. 6(1)(f) |
| Dane gości / rejestracja wizyt | 12 miesięcy | Art. 6(1)(f) |
| Logi bezpieczeństwa (CRM) | 12 miesięcy | Art. 6(1)(f) |
| Logi błędów (Sentry) | 30 dni (automatyczna rotacja) | Art. 6(1)(f) |
| Nagrania CCTV | 30 dni (nadpisywanie cykliczne) | Art. 6(1)(f) |
| Dane analityczne www (GA4) | 14 miesięcy | Art. 6(1)(a) |
| Dane Hotjar | 365 dni | Art. 6(1)(a) |
| Logi dostępu Brain | 90 dni / 12 mies. / 30 dni — Polityka retencji logów Brain v1.0 | Art. 6(1)(f) |
| Dane pracownicze | Zgodnie z KP i przepisami ZUS/US (co do zasady 10 lat) | Art. 6(1)(c) |
| System | Cel | Hosting / Kraj | Kategorie danych |
|---|---|---|---|
| app.clusteroffices.com (CRM) | Zarządzanie klientami, rezerwacjami, płatnościami | Supabase — Frankfurt (DE) | Klienci, najemcy, goście |
| clusteroffices.com (Strona www) | Marketing, informacja, formularze kontaktowe | Webflow + Cloudflare | Odwiedzający, leady |
| brain.clusteroffices.com | Wewnętrzny system operacyjny | Hetzner VPS — Niemcy (DE) | Pracownicy, dane sprzedażowe |
| Pipedrive | CRM sprzedażowy | Estonia (EU) | Leady, prospekty |
| Google Workspace | E-mail firmowy, dokumenty, kalendarze | Google Ireland Ltd. (EU) | Klienci, leady, pracownicy |
| Procesor | Usługa | Kraj | Podstawa transferu poza EOG |
|---|---|---|---|
| Supabase, Inc. | Baza danych, uwierzytelnianie, pliki | Irlandia (EU) | EOG — Supabase Ireland Ltd.; DPA 2026-05-22; dane Frankfurt |
| Stripe, Inc. | Płatności, subskrypcje | Irlandia (EU) | EOG — Stripe Payments Europe Ltd. |
| Twilio Inc. | SMS (powiadomienia, OTP) | Irlandia (EU) | EOG — Twilio Ireland Ltd.; SCC; DPA w MSA |
| Sentry | Monitoring błędów | Holandia (EU) | EOG — Sentry B.V.; EU data region |
| Resend, Inc. | E-mail transakcyjny | USA | DPF (certyfikat aktywny) |
| Cloudflare, Inc. | CDN, hosting frontendu, DDoS | USA / Irlandia (EU) | DPF + SCC; Cloudflare Ireland Ltd. |
| FakturaxL | Fakturowanie, VAT | Polska (EU) | EOG — FXL Sp. z o.o.; DPA w Regulaminie |
| Microsoft Corporation | Analityka sesji (Microsoft Clarity) | Irlandia (EU) | EOG — Microsoft Ireland; DPA w MCA |
| Procesor | Usługa | Kraj | Podstawa transferu poza EOG |
|---|---|---|---|
| Webflow, Inc. | Hosting strony www | USA | DPF (certyfikat aktywny) |
| Google LLC (GA4) | Analityka ruchu | USA | DPF (certyfikat aktywny) |
| Hotjar Ltd. | Nagrania sesji, mapy cieplne | Malta (EU) | EOG — brak transferu poza EOG |
| Meta Platforms Ireland Ltd. | Śledzenie konwersji, remarketing (Meta Pixel) | Irlandia (EU) | EOG — DPA w Business Tools Terms |
| Ahrefs Pte. Ltd. | Analityka SEO (cookie-free) | Singapur | SCC (Decyzja Komisji 2021/914) |
| Procesor | Usługa | Kraj | Podstawa transferu poza EOG |
|---|---|---|---|
| Google LLC (Workspace) | E-mail, dokumenty, Drive, kalendarz | Irlandia (EU) | EOG — Google Ireland; CDPA 2026-05-22 |
| Pipedrive Inc. | CRM sprzedażowy | Estonia (EU) | EOG — Pipedrive OÜ; DPA wbudowane |
| Hetzner Online GmbH | Hosting VPS (Brain) | Niemcy (EU) | EOG — Hetzner; DPA 2026-05-22 |
Administrator nie sprzedaje danych osobowych podmiotom trzecim w celach komercyjnych.
Część procesorów ma siedzibę w Stanach Zjednoczonych. Transfer danych do USA odbywa się na podstawie Decyzji Wykonawczej KE 2023/1795 z 10.07.2023 r. (EU-US Data Privacy Framework, art. 45 RODO) lub Standardowych Klauzul Umownych (Decyzja 2021/914, art. 46 RODO).
Wszyscy procesorzy z certyfikatem DPF zweryfikowani w rejestrze dataprivacyframework.gov. W przypadku utraty certyfikatu Administrator niezwłocznie zastosuje SCC.
Zarządzanie zgodami: banner cookies na stronie www przy pierwszej wizycie. W aplikacji — Ustawienia › Prywatność.
| Parametr | Szczegóły |
|---|---|
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO (bezpieczeństwo osób i mienia) |
| Zakres przestrzenny | Hole wejściowe, przestrzenie wspólne, wejścia do biur; poza zakresem: toalety, pomieszczenia socjalne, prywatne obszary najemców |
| Lokalizacje | Wszystkie przestrzenie Cluster S.A.: Kraków (3 lok.), Warszawa Sienna, Katowice Dworcowa |
| Retencja nagrań | 30 dni (automatyczne nadpisywanie) |
| Dostęp do nagrań | Wyłącznie upoważnieni pracownicy i Zarząd |
| Informacja dla odwiedzających | Piktogramy przy wejściach do każdej przestrzeni |
| Udostępnianie | Organom ścigania wyłącznie na podstawie przepisów prawa |
| Prawo | Podstawa | Jak skorzystać |
|---|---|---|
| Dostęp do danych | Art. 15 RODO | Aplikacja: Ustawienia › Moje Dane; lub e-mail do Administratora |
| Sprostowanie danych | Art. 16 RODO | Aplikacja: Ustawienia › Profil; lub e-mail |
| Usunięcie danych | Art. 17 RODO | Aplikacja: Ustawienia › Konto › Usuń konto. Dokumentacja księgowa nie podlega wcześniejszemu usunięciu. |
| Ograniczenie przetwarzania | Art. 18 RODO | Wniosek e-mail do Administratora |
| Przenoszenie danych | Art. 20 RODO | Wniosek e-mail (CSV/JSON) |
| Sprzeciw | Art. 21 RODO | Wniosek e-mail (dot. art. 6(1)(f)) |
| Cofnięcie zgody | Art. 7 ust. 3 RODO | Strona www: panel cookies. Aplikacja: Ustawienia › Powiadomienia. |
| Skarga do UODO | Art. 77 RODO | Prezes UODO, ul. Stawki 2, 00-193 Warszawa; kancelaria@uodo.gov.pl |
W przypadku naruszenia ochrony danych Administrator zgłosi incydent do UODO w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO) i powiadomi poszkodowane osoby w razie wysokiego ryzyka (art. 34 RODO).
Administrator zastrzega sobie prawo do zmiany niniejszej Polityki. O istotnych zmianach poinformuje użytkowników Aplikacji (powiadomieniem lub e-mailem) oraz odwiedzających stronę www (banerem informacyjnym).
Data ostatniej aktualizacji: maj 2026 (wersja 2.0). Poprzednia wersja dostępna na wniosek: hi@clusteroffices.com.
| Procesor | Link do DPA | Status |
|---|---|---|
| Supabase, Inc. | supabase.com/legal/dpa | ✓ Podpisano 2026-05-22 |
| Stripe, Inc. | stripe.com/legal/dpa | ✓ Automatyczne — Stripe Services Agreement §8 |
| Twilio Inc. | twilio.com/en-us/legal/data-protection-addendum | ✓ Automatyczne — Twilio MSA; Twilio Ireland Ltd. |
| Sentry | sentry.io/legal/dpa | ✓ Zaakceptowano w panelu Sentry Legal; EU data region |
| Resend, Inc. | resend.com/legal/dpa | ✓ Automatyczne — DPA pre-signed |
| Pipedrive Inc. | pipedrive.com/en/privacy | ✓ Automatyczne — Pipedrive OÜ (Estonia, EU) |
| Google LLC (Workspace + GA4) | workspace.google.com/terms/dpa_terms.html | ✓ CDPA zaakceptowane 2026-05-22; DPF aktywny |
| Cloudflare, Inc. | cloudflare.com/cloudflare-customer-dpa | ✓ Automatyczne — Cloudflare Ireland Ltd.; DPF + SCC |
| FakturaxL | kontakt bezpośredni | ✓ Automatyczne — Regulamin §10.4-10.5; FXL (Polska) |
| Microsoft (Clarity) | microsoft.com/licensing | ✓ Automatyczne — MCA + Online Services DPA; EU Data Boundary |
| Hetzner Online GmbH | hetzner.com/legal/privacy-policy/ | ✓ Podpisano DPA art. 28 RODO 2026-05-22 |
| Meta Platforms Ireland Ltd. | meta.com/legal/privacy/ | ✓ Automatyczne — Meta Business Tools Terms; Irlandia (EU) |