1. Streszczenie
horsenose używa dwóch rodzajów cookies i podobnych informacji przechowywanych w przeglądarce:
- Cookies ściśle niezbędne — ustawiane bez pytania, ponieważ Usługa po prostu bez nich nie zadziała (utrzymanie sesji logowania, zapamiętanie języka, ochrona przed botami i zapamiętanie Twojego wyboru zgody). Listę znajdziesz w §3.1.
- Opcjonalna analityka — PostHog, wczytywany wyłącznie po kliknięciu "Akceptuję" w bannerze cookies. Jeśli odrzucisz lub nic nie zrobisz, PostHog nigdy się nie ładuje, a jego cookies ani dane nie są tworzone. To jedyna kategoria zależna od Twojej zgody. Opis w §3.2.
Nie używamy cookies reklamowych, pikseli retargetingowych, pikseli konwersji ani żadnej cross-site'owej technologii profilowania behawioralnego. Nie należymy do sieci reklamowej i nie udostępniamy danych cookies do celów reklamowych. Zob. §3.4.
Przy pierwszej wizycie z UE (lub innego miejsca z odpowiednikiem przepisów e-privacy) banner cookies prosi o Akceptację lub Odrzucenie opcjonalnej kategorii analityki. Obie opcje mają równą widoczność, a nic nie jest zaznaczone domyślnie. Możesz w każdej chwili zmienić zdanie, klikając "Ustawienia cookies" w stopce.
2. Czym jest cookie?
Cookie to mały plik tekstowy, który strona zapisuje w Twojej przeglądarce, aby coś o wizycie zapamiętać — np. że jesteś zalogowany. Pokrewne technologie robią to nieco inaczej: local storage i session storage (dane klucz-wartość przechowywane przez przeglądarkę) oraz piksele. Niniejsza polityka obejmuje wszystkie z nich, a słowo "cookies" stosujemy w niej zbiorczo dla cookies i tych technologii.
Cookies ustawiane przez horsenose nazywamy first-party; cookies ustawiane przez dostawcę, z którego korzystamy (np. analitycznego), to third-party.
3. Używane cookies
3.1 Ściśle niezbędne (bez zgody)
Te cookies są ściśle niezbędne do świadczenia Usługi, o którą poprosiłeś — do logowania, utrzymania sesji, zapamiętania języka, ochrony formularzy przed botami, wpuszczenia Cię do publicznego harmonogramu stajni oraz do zapamiętania Twojego wyboru zgody. Ponieważ są niezbędne do żądanej usługi, są zwolnione z obowiązku zgody na podstawie art. 5 ust. 3 dyrektywy ePrivacy UE (i odpowiednika UK PECR dla osób z UK). Nie używamy ich do analityki, śledzenia ani reklam.
| Nazwa | Cel | Ustawia | Czas życia |
|---|---|---|---|
| `sb-<projectRef>-auth-token` (sesja Supabase — może być dzielona na chunky `.0`, `.1`…) | Utrzymuje Cię zalogowanego i odświeża sesję bez potrzeby ponownego logowania. Zapisywane jako jeden lub więcej bezpiecznych, `HttpOnly` cookies przez Supabase Auth (`@supabase/ssr`). | horsenose (przez Supabase) | Do ~30 dni (refresh token); część access-token żyje krótko (~1 godzina) |
| `nose_consent` | Zapamiętuje Twój wybór w bannerze cookies (Akceptuję / Odrzucam analitykę), żebyśmy nie pytali przy każdej wizycie. `HttpOnly`. | horsenose | 12 miesięcy |
| `NEXT_LOCALE` | Zapamiętuje wybrany język interfejsu (polski / angielski). | horsenose | 1 rok |
| `nose_visit_<stable-slug>` | Ustawiane wyłącznie, gdy harmonogram stajni jest chroniony hasłem i wpiszesz właściwe — zapamiętuje, że je przekroczyłeś, więc nie pytamy ponownie na publicznym harmonogramie tej stajni. Podpisane i `HttpOnly`; zawęża się do jednej stajni. | horsenose | 24 godziny |
| `cf_clearance` | Świadczy o pomyślnym przejściu testu antybotowego Cloudflare Turnstile (używanego na formularzach logowania, rejestracji, magic linków, zaproszeń i hasła do harmonogramu). | Cloudflare | ~30 minut |
| `cf_bm` | Cloudflare bot-management — odróżnia ludzi od ruchu automatycznego. | Cloudflare | ~30 minut |
W naszym bannerze cookies te elementy są prezentowane łącznie w jednej kategorii "Ściśle niezbędne" (zawsze aktywne), obejmującej zarówno cookies istotne (logowanie, język, publiczny harmonogram, zgoda), jak i bezpieczeństwa (Cloudflare Turnstile). Żadnej z tych podgrup nie można wyłączyć, bo bez nich Usługa nie zadziała.
Nie ustawiamy żadnych cookies Lemon Squeezy, Stripe ani innych checkoutów płatności — horsenose dziś nie obsługuje płatności online (gotówka/karnet/voucher/BLIK w aplikacji to tylko etykiety, którymi stajnia odnotowuje jak uczestnik zapłacił). Cookies związane z rozliczeniami abonamentowymi pojawią się dopiero ze Stripe w późniejszym kamieniu, a wtedy zaktualizujemy tę politykę.
3.2 Analityka (PostHog — tylko za zgodą)
Używamy PostHog (dostarczany przez PostHog Inc., hostowany w jego EU Cloud pod `eu.posthog.com`, z ingestem przez `eu.i.posthog.com`), aby rozumieć sposób korzystania z produktu i go ulepszać. PostHog wczytuje się wyłącznie po kliknięciu "Akceptuję" w bannerze cookies. Jeśli klikniesz "Odrzucam" lub przeglądarka wyśle sygnał Do Not Track / Global Privacy Control (§5), PostHog nigdy się nie ładuje i żaden z poniższych kluczy nie powstaje.
Gdy wyrazisz zgodę, PostHog zapisuje pseudonimiczny identyfikator (losowy id rozróżniający kolejne wizyty, który sam w sobie nie ujawnia, kim jesteś) w cookies i/lub local storage przeglądarki:
| Nazwa | Typ | Cel | Ustawia | Czas życia |
|---|---|---|---|---|
| `ph_<project_api_key>_posthog` | Cookie oraz local storage przeglądarki | Przechowuje pseudonimiczny identyfikator urządzenia/odwiedzającego i stan analityki, aby zliczać kolejne wizyty i odsłony w obrębie tej samej przeglądarki. | PostHog (`eu.i.posthog.com`) | 12 miesięcy (cookie); wpis w local storage utrzymuje się do wyczyszczenia danych przeglądarki lub wycofania zgody |
Co zbiera PostHog (tylko za zgodą): które strony oglądasz i które przyciski/ekrany używasz (tzw. "autocapture" — interakcje na poziomie elementów: kliknięcia, zmiany pól, wysyłki formularzy), podstawowe metryki wydajności webowej (CLS, FCP, LCP, INP) oraz standardowe dane techniczne (przeglądarka, system operacyjny, typ urządzenia i przybliżony kraj/region). Twój adres IP jest odrzucany przez PostHog przy przyjęciu danych (mamy włączoną opcję projektu "Discard client IP data"), więc surowe IP nie jest zachowywane przy Twoim profilu analitycznym. PostHog przechowuje zdarzenia analityczne przez 6 miesięcy, a nagrania sesji przez 30 dni, po czym są usuwane.
Nagrywanie sesji — przeczytaj uważnie. Za Twoją zgodą PostHog nagrywa Twoją sesję — to, jak poruszasz się po aplikacji i wchodzisz z nią w interakcję — aby pomóc nam znaleźć problemy UX. Cały tekst na ekranie i wszystkie pola formularzy są maskowane po stronie przeglądarki, zanim nagranie ją opuści (`maskAllText: true` i `maskAllInputs: true`). Imiona, telefony, notatki i wszystko, co wpiszesz, są zastępowane blokami zastępczymi, więc zapisane nagranie pokazuje układ i interakcje, nie dane osobowe na ekranie. Nagrywanie sesji jest włączane wyłącznie, gdy akceptujesz analitykę; jeśli odrzucisz (lub przeglądarka wysyła sygnał Do Not Track / Global Privacy Control), nigdy się nie ładuje i żadna sesja nie jest nagrywana.
Podstawa prawna. Ponieważ PostHog odczytuje i zapisuje na Twoim urządzeniu, mieści się w art. 5 ust. 3 dyrektywy ePrivacy UE (i UK PECR) i może być używany wyłącznie po Twojej uprzedniej, konkretnej, świadomej i dobrowolnej zgodzie (art. 6 ust. 1 lit. a RODO). Zgodę pozyskujemy w bannerze cookies (§1). Nigdy nie jest domniemana, nigdy nie jest zaznaczona z góry i można ją wycofać w każdej chwili (§4).
Dokąd trafiają dane (transfer międzynarodowy). PostHog działa w EU Cloud, więc dane analityki i nagrywania sesji pozostają w Europejskim Obszarze Gospodarczym — nie ma transferu do Stanów Zjednoczonych w przypadku PostHog.
Vercel Web Analytics (bez cookies — bez zgody). Niezależnie używamy Vercel Web Analytics, narzędzia analityki nie naruszającego prywatności, które mierzy ruch agregatowo bez ustawiania jakichkolwiek cookies i bez budowania Twojego profilu. Ponieważ nie ustawia cookies i nie identyfikuje Cię ani nie śledzi, nie wchodzi w skład powyższej opcjonalnej kategorii analityki i nie zależy od bannera. Wspominamy o nim dla kompletności, ale nie umieszcza nic w przeglądarce, co należałoby tu wymienić.
3.3 Cookies marketingowe / reklamowe
Brak. Nie używamy cookies reklamowych, pikseli retargetingowych ani konwersji, tagów audience-export ani podobnych technologii. Nigdy nie udostępniamy danych cookies do celów reklamowych.
3.4 Trackery, których nie używamy
Aby było jasne, horsenose nie osadza żadnego z poniższych:
- Facebook / Meta Pixel
- LinkedIn Insight Tag
- Piksele konwersji X (Twittera)
- TikTok Pixel
- Google Ads / DoubleClick ani innego tagu sieci reklamowej
- Jakiejkolwiek międzywitrynowej technologii retargetingu lub reklamy behawioralnej
- Browser fingerprintingu
Jedyne nagrywanie sesji, jakie stosujemy, to maskowane nagrywanie sesji PostHog opisane w §3.2 — uwarunkowane zgodą, maskuje cały tekst i pola formularzy, działa w EU Cloud PostHog i nigdy się nie ładuje, jeśli odrzucisz analitykę. Nie używamy Hotjar, FullStory ani żadnego innego osobnego rejestratora sesji czy heatmap.
Jeśli w przyszłości dodamy jakikolwiek tracker, zaktualizujemy tę politykę i poprosimy o zgodę zanim zostanie wczytany.
4. Jak kontrolować cookies
4.1 Przez nasz banner cookies
Przy pierwszej wizycie z miejsca z przepisami e-privacy (UE i odpowiedniki) banner pyta o Akceptację lub Odrzucenie opcjonalnej kategorii analityki (PostHog, w tym maskowane nagrywanie sesji). Obie opcje są równie wyraźne i nic nie jest zaznaczone domyślnie.
Aby zmienić wybór w dowolnym momencie — np. wycofać zgodę wcześniej udzieloną lub jej udzielić — kliknij "Ustawienia cookies" w stopce. Wycofanie zgody zatrzymuje wczytywanie PostHog przy kolejnym wczytaniu strony i nie wpływa na to, co zostało już zgodnie z prawem przetworzone wcześniej.
4.2 Przez przeglądarkę
Cookies możesz też kontrolować bezpośrednio w przeglądarce:
- Chrome: Ustawienia → Prywatność i bezpieczeństwo → Pliki cookie innych firm / Pliki cookie i inne dane witryn
- Firefox: Ustawienia → Prywatność i bezpieczeństwo → Ciasteczka i dane witryn
- Safari: Ustawienia → Prywatność → Zarządzaj danymi witryn
- Edge: Ustawienia → Pliki cookie i uprawnienia witryn
Zablokowanie cookies ściśle niezbędnych zepsuje Usługę. Jeśli zablokujesz cookie sesji Supabase, nie utrzymasz logowania; jeśli zablokujesz `nose_consent`, banner pojawi się przy każdej wizycie, bo nie pamiętamy Twojego wyboru.
Możesz wyczyścić wszystkie cookies w dowolnej chwili w menu "wyczyść dane przeglądania" — wyzeruje to Twój wybór zgody, więc banner pojawi się ponownie przy następnej wizycie.
5. Do Not Track i Global Privacy Control
Uwzględniamy sygnały Do Not Track (DNT) i Global Privacy Control (GPC), jeśli jest to technicznie możliwe. Jeśli Twoja przeglądarka wysyła jeden z tych sygnałów w pierwszym żądaniu, traktujemy to jako odrzucenie opcjonalnej kategorii analityki — PostHog (wraz z nagrywaniem sesji) nie jest wczytywany, a banner się nie pokazuje. Cookies ściśle niezbędne i bezcookiesowy Vercel Web Analytics pozostają — nie śledzą Cię i są potrzebne do świadczenia Usługi, o którą poprosiłeś.
6. Aktualizacje
Aktualizujemy tę politykę, gdy dodajemy lub zmieniamy cookie / podobną technologię albo zmieniamy sposób ich użycia. Data "Ostatnia aktualizacja" u góry zawsze odzwierciedla najnowszą wersję.
Jeśli w przyszłości dodamy jakąkolwiek nową nieesencjonalną technologię (np. innego dostawcę analityki czy jakikolwiek tracker reklamowy), poprosimy o zgodę zanim ją ustawimy, w jasno oznaczonym bannerze z równie widocznymi opcjami "Akceptuję" i "Odrzucam".
7. Kontakt
Pytania o cookies lub Twój wybór: support@horsenose.eu.
Szersze pytania o przetwarzanie danych osobowych — zob. Politykę prywatności. Jeśli jesteś mieszkańcem UE i nie jesteś zadowolony z naszej odpowiedzi, możesz wnieść skargę do polskiego organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl — lub do lokalnego krajowego organu ochrony danych.