STATUS: WERSJA KOMPLETNA (KIERUNKOWA) — 10.07.2026. Luki uzupełnione decyzjami

i brzmieniami kierunkowymi; oczekuje weryfikacji prawnika (pytania: brief-wdrozeniowy.md,

sekcja 6). Przed publikacją usunąć tę notatkę i sekcję „Notatka wewnętrzna" na końcu.

Ten dokument nie jest poradą prawną. Dotyczy WYŁĄCZNIE danych, wobec których Croeso jest

administratorem (personel Salonów korzystający z panelu, odwiedzający croeso.pl).

Nie dotyczy danych klientów Salonu (osób umawiających wizyty) — te reguluje

umowa-powierzenia-przetwarzania-danych.md (Croeso jako procesor) oraz odrębny regulamin

rezerwacji, który powinien publikować sam Salon (patrz otwarte punkty na końcu). Mylenie

tych dwóch ról to częsty błąd w politykach prywatności SaaS — nie łącz ich w jeden dokument.

Fakty o zbieranych danych zweryfikowane w kodzie repozytorium na dzień 09.07.2026.

Polityka prywatności Croeso

§ 1. Administrator danych

Administratorem danych osobowych w zakresie opisanym niniejszą Polityką jest Jonatan Pałka, prowadzący jednoosobową działalność gospodarczą pod marką Croeso, ul. Różana 10, 58-350 Mieroszów, NIP 8862963491, e-mail: kontakt@croeso.pl.

§ 2. Kogo dotyczy ta Polityka

  1. Personelu Salonów posiadającego konto w panelu app.croeso.pl (właściciele,

managerowie, fryzjerzy) — dalej „Użytkownik Panelu". 2. Odwiedzających stronę croeso.pl. 3. Ta Polityka nie dotyczy klientów Salonu (osób umawiających wizyty telefonicznie, przez czat lub samodzielnie na /book/...) — ich dane Croeso przetwarza jako procesor, w imieniu i na rzecz danego Salonu, na zasadach odrębnej umowy powierzenia.

§ 3. Jakie dane zbieramy i w jakim celu

Użytkownicy Panelu

| Dane | Źródło | Cel | |---|---|---| | E-mail, hasło (jako dane logowania) | Konto zakładane przez Croeso lub super_admina Salonu | Uwierzytelnienie dostępu do panelu (Supabase Auth) | | Imię i nazwisko, e-mail, telefon, rola w Salonie | Wprowadzone przez Salon w panelu (zarządzanie personelem) | Prowadzenie konta, przypisanie do grafiku i wizyt | | Dane sesji (token uwierzytelniający w cookie) | Automatycznie przy logowaniu | Utrzymanie zalogowanej sesji | | Wybrany Salon (sln_id w cookie, dla osób z dostępem do więcej niż jednego Salonu) | Automatycznie po wyborze Salonu | Utrzymanie kontekstu pracy w wielu Salonach |

Niniejsza Polityka jest prezentowana Użytkownikowi Panelu przy pierwszym logowaniu do panelu; potwierdzenie zapoznania się jest odnotowywane w systemie.

Odwiedzający croeso.pl

croeso.pl (strona informacyjna) nie korzysta z żadnych skryptów analitycznych ani śledzących (brak Google Analytics, pikseli, narzędzi typu Hotjar) i nie zapisuje żadnych plików cookie. Czcionki użyte na stronie są hostowane lokalnie na serwerze Croeso (nie ładowane z fonts.googleapis.com/fonts.gstatic.com) — przeglądarka odwiedzającego nie łączy się przy wejściu na stronę z żadnym serwerem trzecim, więc żaden adres IP ani inne dane nie są przekazywane poza infrastrukturę Croeso. Jedyne dane, jakie mogą zostać przekazane, to treść wiadomości wysłanej dobrowolnie przez odwiedzającego pod adres e-mail podany w stopce strony (kontakt@croeso.pl) — to zwykła korespondencja e-mailowa, nie formularz zapisujący dane do bazy.

§ 4. Podstawy prawne przetwarzania

  • Dane logowania Użytkownika Panelu (e-mail, hasło, dane sesji): art. 6 ust. 1 lit. b RODO (niezbędność

do wykonania umowy o świadczenie usług Croeso zawartej z Salonem, którego Użytkownik Panelu jest personelem) oraz lit. f (prawnie uzasadniony interes Administratora — zapewnienie bezpieczeństwa dostępu do panelu).

  • Dane profilowe personelu wprowadzane przez Salon (imię i nazwisko, telefon, rola

w Salonie): Croeso przetwarza je w imieniu Salonu (jako podmiot przetwarzający, na zasadach umowy powierzenia zawartej z Salonem) — administratorem tych danych jest Salon. Niniejsza Polityka pełni wobec nich funkcję informacyjną. - Cookie sesyjne i sln_id: art. 6 ust. 1 lit. f RODO — niezbędne do działania Usługi, nie wymagają zgody (są to cookies funkcjonalne/techniczne, nie marketingowe/analityczne).

§ 5. Odbiorcy danych (podprocesorzy)

Dane Użytkowników Panelu przetwarzane są przy wsparciu:

| Podmiot | Rola | Lokalizacja | |---|---|---| | Supabase Inc. | baza danych, uwierzytelnianie (Supabase Auth) | UE/EOG — region eu-west-2 (Londyn, Wielka Brytania), decyzja adekwatności KE | | Hostinger International Ltd. | hosting aplikacji webowej | siedziba: Cypr (UE); lokalizacja serwera wg konfiguracji konta |

Dane te nie są przekazywane do Twilio ani ElevenLabs — ci dostawcy przetwarzają wyłącznie dane klientów Salonu (rozmowy telefoniczne/czat), nie dane personelu panelu.

§ 6. Okres przechowywania

Dane Użytkownika Panelu przechowywane są przez czas trwania jego dostępu do panelu (tj. w praktyce przez czas trwania umowy Croeso z danym Salonem), a po jej zakończeniu — przez 3 lata (upływ terminu przedawnienia roszczeń związanych z prowadzeniem działalności gospodarczej, art. 118 Kodeksu cywilnego).

§ 7. Prawa osób, których dane dotyczą

Użytkownikowi Panelu przysługuje prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f. Realizacja tych praw: e-mail na kontakt@croeso.pl. Przysługuje również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

§ 8. Dobrowolność podania danych

Podanie danych logowania i profilowych jest dobrowolne, ale niezbędne do korzystania z panelu Croeso — bez nich nie jest możliwe założenie i obsługa konta Użytkownika Panelu.

§ 9. Zmiany Polityki

Croeso może zaktualizować niniejszą Politykę, informując o tym Użytkowników Panelu drogą e-mailową lub komunikatem w panelu, z wyprzedzeniem co najmniej 14 dni (spójnie z § 11 Regulaminu świadczenia usług).


NOTATKA WEWNĘTRZNA — usunąć przed publikacją:

  1. Wersja kierunkowa z 10.07.2026. Podział kontroler/procesor w § 4 (dane profilowe

personelu jako dane Salonu) wpisany kierunkowo — do potwierdzenia przez prawnika (brief-wdrozeniowy.md, sekcja 6). 2. Zapis w § 3 o prezentacji Polityki przy pierwszym logowaniu opisuje mechanizm w budowie (brief-wdrozeniowy.md, sekcja 4.3) — do czasu wdrożenia obowiązek informacyjny spełniać ręcznie (e-mail z Polityką przy zakładaniu konta). 3. Hostinger w § 5: zweryfikować w panelu Hostingera region serwera i pobrać DPA (razem z DPA Twilio/ElevenLabs — patrz brief, sekcja 6). 4. Jeśli croeso.pl zyska analytics/cookies/formularz zapisujący do bazy — § 3 (Odwiedzający) zaktualizować PRZED wdrożeniem zmiany. Historia: 08.07.2026 czcionki z Google Fonts (transfer IP do USA), naprawione 09.07.2026 self-hostingiem. 5. Ten dokument nie zastępuje regulaminu rezerwacji dla klienta końcowego Salonu (publikuje go Salon — patrz szablon w tej teczce).