Polityka cookies

Wersja: 1.1 • Data obowiązywania: 2025-01-01 • Język nadrzędny: PL

1. Czym są cookies i podobne technologie

„Cookies” to niewielkie pliki zapisywane przez przeglądarkę i odczytywane przez witrynę. W tej polityce pojęcie „cookies” obejmuje także podobne technologie używane w nowoczesnych aplikacjach webowych, w szczególności: localStorage, sessionStorage, IndexedDB, Cache Storage (powiązany z Service Worker), a także web beacons / piksele i znaczniki.

Pliki cookies dzielimy na cookies własne (first-party) – ustawiane przez domenę carboard.pl – oraz cookies podmiotów trzecich (third-party) – ustawiane przez zewnętrznych dostawców (np. system logowania, CDN obrazów). Nie wszystkie kategorie są aktywne w każdej chwili – część uruchamiamy dopiero po wyrażeniu Twojej zgody.

2. Kategorie i cele stosowania cookies
  • 2.1. Niezbędne (always on) – wymagane do podstawowego działania serwisu: logowanie, utrzymanie sesji, zabezpieczenia anty-nadużyciowe, zapis podstawowych preferencji technicznych (np. wybór motywu, podstawowe ustawienia konta).
    Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy – zapewnienie usługi) oraz/lub art. 6 ust. 1 lit. f RODO (uzasadniony interes – bezpieczeństwo i ciągłość działania), w powiązaniu z przepisami ePrivacy.
  • 2.2. Funkcjonalne – poprawiają wygodę korzystania (UX), np. zapamiętują ostatnio użyte filtry, widok listy, preferencje wyświetlania. Część z nich może działać na podstawie uzasadnionego interesu (minimalny zakres), a szersze użycie – po zgodzie.
  • 2.3. Wydajnościowe / diagnostyczne – pomiar szybkości, stabilności, błędów (telemetria). Co do zasady uruchamiane po zgodzie; wyjątek stanowią metryki czysto techniczne, zanonimizowane, niezbędne do utrzymania serwisu.
  • 2.4. Analityczne – statystyki korzystania z serwisu (zagregowane, bez identyfikowania konkretnych osób) po Twojej zgodzie. Mogą obejmować m.in. Google Analytics 4 lub nasze lekkie statystyki (track.js).
  • 2.5. Marketingowe / reklamowe – służą personalizacji przekazu, remarketingowi i pomiarowi skuteczności kampanii wyłącznie po zgodzie. Na dzień publikacji te funkcje są nieaktywne; jeżeli je włączymy, pojawią się w panelu zgód (CMP).
  • 2.6. Powiadomienia web-push – wymagają zgody przeglądarkowej i mogą wykorzystywać localStorage/IndexedDB do zapamiętania stanu subskrypcji; uruchamiane tylko po zgodzie wyrażonej w przeglądarce oraz (docelowo) w ustawieniach konta.
3. Technologie pokrewne
  • LocalStorage / SessionStorage – zapis wybranych preferencji interfejsu (np. widok listy, motyw), stanów sesji po stronie przeglądarki lub informacji, które nie muszą być wysyłane w każdym żądaniu HTTP.
  • IndexedDB – lokalna baza w przeglądarce (np. docelowo do cache’owania listy ogłoszeń przy słabym łączu). Na dzień publikacji zaawansowany tryb offline nie jest aktywny.
  • Cache Storage / Service Worker – mechanizm PWA i cache’u aplikacji. Service Worker jest aktywny i może przechowywać techniczne kopie wybranych zasobów serwisu (np. stron HTML, plików CSS/JS, obrazów lub list ogłoszeń) w pamięci podręcznej przeglądarki w celu przyspieszenia działania serwisu i ograniczenia transferu danych. Zawartość tej pamięci jest okresowo odświeżana przy aktualizacjach serwisu, a użytkownik może ją w każdej chwili usunąć w ustawieniach przeglądarki.
  • Piksele/znaczniki – pojedyncze żądania do usług pomiarowych/reklamowych, służące np. zliczaniu odsłon lub konwersji; uruchamiane wyłącznie po zgodzie na daną kategorię.
4. Dostawcy i możliwość ustawiania cookies

W zależności od używanych funkcji, cookies lub podobne technologie mogą być wykorzystywane przez:

  • Clerk (logowanie, konta) – może ustawiać cookies dla utrzymania sesji, bezpieczeństwa i obsługi logowania. Lokalizacja: USA/EOG; transfer na podstawie SCC.
  • Cloudflare (proxy/CDN, w tym Cloudflare Images) – może ustawiać techniczne cookies anty-bot i do równoważenia obciążenia (np. __cf_bm, inne techniczne identyfikatory). Służą ochronie serwisu i infrastrukturze.
  • Render (hosting API) – obsługuje backend; co do zasady nie ustawia cookies w przeglądarce końcowej, natomiast przetwarza logi techniczne.
  • Neon (PostgreSQL) – warstwa serwerowa bazy danych w regionie UE; nie ustawia cookies w Twojej przeglądarce.
  • Resend (e-maile transakcyjne) – nie ustawia cookies na stronie; przetwarza adresy e-mail i metadane wysyłki w ramach systemu wysyłkowego.
  • jsDelivr (CDN skryptów) – może logować żądania techniczne; co do zasady nie wykorzystuje cookies do profilowania użytkownika na CarBoard.
  • Nominatim/OpenStreetMap (geokodowanie/mapy) – niezależni administratorzy, którzy mogą przetwarzać logi techniczne przy Twoich zapytaniach mapowych.

Aktualny zestaw dostawców oraz odnośniki do ich polityk prywatności udostępnimy na żądanie. Lista może się zmieniać wraz z rozwojem serwisu i będzie odzwierciedlona w Polityce prywatności oraz w tym dokumencie.

5. Podstawa prawna stosowania cookies i zgód

Dla cookies niezbędnych podstawą prawną jest: art. 6 ust. 1 lit. b RODO (wykonanie umowy – umożliwienie korzystania z serwisu) oraz/lub art. 6 ust. 1 lit. f RODO (uzasadniony interes – bezpieczeństwo, stabilność, przeciwdziałanie nadużyciom), w powiązaniu z przepisami dyrektywy ePrivacy oraz implementującymi ją przepisami krajowymi.

Dla cookies analitycznych, marketingowych i dodatkowych funkcjonalnych, niewymaganych do działania podstawowych funkcji serwisu, podstawą prawną jest Twoja zgoda (art. 6 ust. 1 lit. a RODO oraz ePrivacy). Zgody są dobrowolne i możesz je w każdej chwili wycofać – nie wpływa to na zgodność z prawem przetwarzania sprzed wycofania zgody.

Po wdrożeniu banera zgód (CMP, np. w standardzie Consent Mode / IAB TCF 2.2) będziemy zapisywać i przechowywać rejestr zgód (m.in. znacznik czasu, wersję polityki, preferencje kategorii) zgodnie z wymogami RODO/DSA.

6. Jak zarządzać cookies i zgodami
  • Panel zgód (CMP) – gdy jest dostępny, możesz w każdej chwili zmienić swoje ustawienia, klikając link Ustawienia cookies w stopce lub w banerze zgód. Tam włączysz/wyłączysz poszczególne kategorie (Analityka, Marketing, Funkcjonalne).
  • Przeglądarka – możesz zablokować lub usunąć cookies w ustawieniach przeglądarki (Chrome, Firefox, Safari, Edge itd.). Pamiętaj jednak, że zablokowanie cookies niezbędnych może uniemożliwić logowanie lub spowodować częste wylogowywanie.
  • Wycofanie zgody – możesz w każdej chwili wycofać zgodę na określone kategorie (analityka, marketing itd.) poprzez panel zgód lub ustawienia przeglądarki. Po wycofaniu zgody nie będziemy używać danej kategorii cookies, ale wcześniejsze przetwarzanie pozostaje zgodne z prawem.

Uwaga: jeżeli usuniesz lub zablokujesz cookies sesyjne lub techniczne, zapisy ulubionych, stan logowania i część ustawień mogą przestać działać. Tokeny sesyjne powiązane są z tymi mechanizmami; ich usunięcie skutkuje wylogowaniem i utratą stanu aplikacji na danym urządzeniu.

7. Czas trwania i retencja
  • Cookies sesyjne – usuwane po zamknięciu przeglądarki.
  • Cookies trwałe – przechowywane przez okres wskazany w parametrach Expires / Max-Age (zazwyczaj od kilku godzin do 12 miesięcy) lub do czasu ich ręcznego usunięcia.
  • LocalStorage / IndexedDB – dane pozostają do czasu ręcznego wyczyszczenia przez użytkownika lub nadpisania przez aplikację (np. przy zmianach wersji serwisu).
  • Cache Storage (SW): wykorzystywany przez service worker do przechowywania technicznych kopii wybranych zasobów serwisu. Dane są co do zasady przechowywane do czasu aktualizacji wersji aplikacji lub ręcznego wyczyszczenia pamięci podręcznej/przeglądarki przez użytkownika.
8. Przykładowe pliki i zakres (orientacyjnie)

Lista poniżej ma charakter informacyjny i może się różnić w zależności od urządzenia, wersji przeglądarki i aktywnych funkcji. Pełną, aktualną listę cookies oraz ich celów udostępnimy w panelu zgód (CMP), gdy będzie wdrożony.

  • carboard.pl (first-party) – cookies/storage dla sesji logowania, preferencji interfejsu, ulubionych, banera zgód i lekkiej analityki (po zgodzie).
  • clerk.com (third-party) – cookies sesyjne i bezpieczeństwa związane z uwierzytelnianiem i zarządzaniem kontem.
  • imagedelivery.net / Cloudflare – techniczne cookies anty-nadużyciowe i równoważenia obciążenia (np. __cf_bm), mogące pojawiać się przy wczytywaniu zasobów (obrazów).
  • jsdelivr.net – zwykle bez cookies, natomiast dostawca może przetwarzać ograniczone logi techniczne przy dostarczaniu bibliotek JS/CSS.

Jeśli w przyszłości uruchomimy analitykę lub reklamy (np. Google Analytics 4, mierniki kampanii, remarketing), odpowiednie kategorie i dostawcy pojawią się w panelu zgód, a niniejszy dokument zostanie zaktualizowany.

9. Bezpieczeństwo i odpowiedzialność

Stosujemy szyfrowanie transmisji (TLS), kontrolę dostępu, separację środowisk, monitoring nadużyć oraz kopie zapasowe. Pliki cookies nie są wykorzystywane do przechowywania haseł w formie jawnej. W przypadku wykrycia naruszeń bezpieczeństwa, podejmiemy odpowiednie działania (w tym powiadomienia organu i, jeśli wymagają tego przepisy, osób, których dane dotyczą).

Jeżeli użytkownik samodzielnie usunie, zablokuje lub ograniczy cookies niezbędne, może to uniemożliwić korzystanie z kluczowych funkcji (w tym logowania, zapisywania filtrów, ulubionych). W takim przypadku nie ponosimy odpowiedzialności za ograniczoną funkcjonalność wynikającą z indywidualnych ustawień przeglądarki lub narzędzi blokujących – w zakresie dopuszczalnym przez prawo.

10. Zmiany tej polityki

W przypadku istotnych zmian (np. uruchomienie nowych kategorii cookies, analityki, reklam, PWA/Service Worker) zaktualizujemy niniejszą politykę oraz, jeżeli będzie to wymagane, poprosimy o ponowne wyrażenie zgód w banerze/cookie CMP. Archiwalne wersje udostępnimy na żądanie.

11. Kontakt

Pytania dotyczące cookies i zarządzania zgodami: carboardteam@gmail.pl.

Dodatkowe informacje o przetwarzaniu danych osobowych (w tym o Twoich prawach, odbiorcach, transferach poza EOG) znajdziesz w Polityce prywatności.