1. Streszczenie
horsenose używa dwóch rodzajów cookies i podobnych informacji przechowywanych w przeglądarce:
- Cookies ściśle niezbędne — ustawiane bez pytania, ponieważ Usługa po prostu bez nich nie zadziała (utrzymanie sesji logowania, zapamiętanie języka, ochrona przed botami i zapamiętanie Twojego wyboru zgody). Listę znajdziesz w „Ściśle niezbędne (bez zgody)” niżej.
- Opcjonalna analityka — PostHog, wczytywany wyłącznie po kliknięciu "Akceptuję" w bannerze cookies. Jeśli odrzucisz lub nic nie zrobisz, PostHog nigdy się nie ładuje, a jego cookies ani dane nie są tworzone. To jedyna kategoria zależna od Twojej zgody. Opis w „Analityka (PostHog — tylko za zgodą)” niżej.
Nie używamy cookies reklamowych, pikseli retargetingowych, pikseli konwersji ani żadnej cross-site'owej technologii profilowania behawioralnego. Nie należymy do sieci reklamowej i nie udostępniamy danych cookies do celów reklamowych. Zob. „Trackery, których nie używamy” niżej.
Przy pierwszej wizycie z UE (lub innego miejsca z odpowiednikiem przepisów e-privacy) banner cookies pozwala zaakceptować lub odrzucić opcjonalne cookies analityczne jednym kliknięciem, a nic nie jest zaznaczone domyślnie. Możesz w każdej chwili zmienić zdanie, klikając "Ustawienia cookies" w stopce.
2. Czym jest cookie?
Cookie to mały plik tekstowy, który strona zapisuje w Twojej przeglądarce, aby coś o wizycie zapamiętać — np. że jesteś zalogowany. Pokrewne technologie robią to nieco inaczej: local storage i session storage (dane klucz-wartość przechowywane przez przeglądarkę) oraz piksele. Niniejsza polityka obejmuje wszystkie z nich, a słowo "cookies" stosujemy w niej zbiorczo dla cookies i tych technologii.
Cookies ustawiane przez horsenose nazywamy first-party; cookies ustawiane przez dostawcę, z którego korzystamy (np. analitycznego), to third-party.
3. Używane cookies
3.1 Ściśle niezbędne (bez zgody)
Te cookies są ściśle niezbędne do świadczenia Usługi, o którą poprosiłeś — do logowania, utrzymania sesji, zapamiętania języka, ochrony formularzy przed botami, wpuszczenia Cię do publicznego harmonogramu stajni oraz do zapamiętania Twojego wyboru zgody. Ponieważ są niezbędne do żądanej usługi, są zwolnione z obowiązku zgody na podstawie art. 5 ust. 3 dyrektywy ePrivacy UE (art. 399 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej, dawniej art. 173 Prawa telekomunikacyjnego) (i odpowiednika UK PECR dla osób z UK). Nie używamy ich do analityki, śledzenia ani reklam.
| Nazwa | Cel | Ustawia | Czas życia |
|---|---|---|---|
| `sb-<projectRef>-auth-token` (sesja Supabase — może być dzielona na chunky `.0`, `.1`…) | Utrzymuje Cię zalogowanego i odświeża sesję bez potrzeby ponownego logowania. Zapisywane jako jeden lub więcej bezpiecznych, `HttpOnly` cookies przez Supabase Auth (`@supabase/ssr`). | horsenose (przez Supabase) | Do ~30 dni (refresh token); część access-token żyje krótko (~1 godzina) |
| `nose_consent` | Zapamiętuje Twój wybór w bannerze cookies (Akceptuję / Odrzucam analitykę), żebyśmy nie pytali przy każdej wizycie. `HttpOnly`. | horsenose | 12 miesięcy |
| `NEXT_LOCALE` | Zapamiętuje wybrany język interfejsu (polski / angielski). | horsenose | 1 rok |
| `nose_visit_<stable-slug>` | Ustawiane wyłącznie, gdy harmonogram stajni jest chroniony hasłem i wpiszesz właściwe — zapamiętuje, że je przekroczyłeś, więc nie pytamy ponownie na publicznym harmonogramie tej stajni. Podpisane i `HttpOnly`; zawęża się do jednej stajni. | horsenose | 24 godziny |
| `cf_clearance` | Świadczy o pomyślnym przejściu testu antybotowego Cloudflare Turnstile (używanego na formularzach logowania, rejestracji, magic linków, zaproszeń i hasła do harmonogramu). | Cloudflare | ~30 minut |
| `cf_bm` | Cloudflare bot-management — odróżnia ludzi od ruchu automatycznego. | Cloudflare | ~30 minut |
W naszym bannerze cookies te elementy są prezentowane łącznie w jednej kategorii "Ściśle niezbędne" (zawsze aktywne), obejmującej zarówno cookies istotne (logowanie, język, publiczny harmonogram, zgoda), jak i bezpieczeństwa (Cloudflare Turnstile). Żadnej z tych podgrup nie można wyłączyć, bo bez nich Usługa nie zadziała.
Nie ustawiamy żadnych cookies checkoutu płatności w samym horsenose. Płatności abonamentowe — opłata, którą stajnia wnosi za horsenose — są uruchomione, ale odbywają się na hostowanym checkoutcie dostawcy płatności (Stripe dla stajni z Polski; Dodo Payments dla stajni spoza Polski), więc ewentualne cookies checkoutu ustawia ten dostawca w swojej własnej domenie, na podstawie własnej informacji o cookies i prywatności, a nie horsenose. Płatności uczestników nie są w ogóle realizowane przez horsenose — gotówka / karnet / voucher / BLIK w aplikacji to tylko etykiety odnotowujące, jak uczestnik zapłacił.
3.2 Analityka (PostHog — tylko za zgodą)
Używamy PostHog (dostarczany przez PostHog Inc., hostowany w jego EU Cloud pod `eu.posthog.com`, z ingestem przez `eu.i.posthog.com`), aby rozumieć sposób korzystania z produktu i go ulepszać. PostHog wczytuje się wyłącznie po kliknięciu "Akceptuję" w bannerze cookies. Jeśli klikniesz "Odrzucam" lub przeglądarka wyśle sygnał Do Not Track / Global Privacy Control (zob. „Do Not Track i Global Privacy Control” niżej), PostHog nigdy się nie ładuje i żaden z poniższych kluczy nie powstaje.
Gdy wyrazisz zgodę, PostHog zapisuje pseudonimiczny identyfikator (losowy id rozróżniający kolejne wizyty, który sam w sobie nie ujawnia, kim jesteś) w cookies i/lub local storage przeglądarki:
| Nazwa | Typ | Cel | Ustawia | Czas życia |
|---|---|---|---|---|
| `ph_<project_api_key>_posthog` | Cookie oraz local storage przeglądarki | Przechowuje pseudonimiczny identyfikator urządzenia/odwiedzającego i stan analityki, aby zliczać kolejne wizyty i odsłony w obrębie tej samej przeglądarki. | PostHog (`eu.i.posthog.com`) | 12 miesięcy (cookie); wpis w local storage utrzymuje się do wyczyszczenia danych przeglądarki lub wycofania zgody |
Co zbiera PostHog (tylko za zgodą): które strony oglądasz i które przyciski/ekrany używasz (tzw. "autocapture" — interakcje na poziomie elementów: kliknięcia, zmiany pól, wysyłki formularzy), podstawowe metryki wydajności webowej (CLS, FCP, LCP, INP) oraz standardowe dane techniczne (przeglądarka, system operacyjny, typ urządzenia i przybliżony kraj/region). Twój adres IP jest odrzucany przez PostHog przy przyjęciu danych (mamy włączoną opcję projektu "Discard client IP data"), więc surowe IP nie jest zachowywane przy Twoim profilu analitycznym. PostHog przechowuje zdarzenia analityczne przez 6 miesięcy, po czym są usuwane.
Co śledzimy. Używamy PostHog wyłącznie do analityki wyświetleń stron i interakcji (autocapture) oraz metryk wydajności; nie nagrywamy ani nie odtwarzamy Twojego ekranu. Dane analityczne są zbierane wyłącznie, jeśli wyrazisz zgodę; jeśli odrzucisz (lub Twoja przeglądarka sygnalizuje Do Not Track / Global Privacy Control), PostHog nigdy się nie wczytuje i nic nie jest zbierane.
Podstawa prawna. Ponieważ PostHog odczytuje i zapisuje na Twoim urządzeniu, mieści się w art. 5 ust. 3 dyrektywy ePrivacy UE (art. 399 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej, dawniej art. 173 Prawa telekomunikacyjnego) (i UK PECR) i może być używany wyłącznie po Twojej uprzedniej, konkretnej, świadomej i dobrowolnej zgodzie (art. 6 ust. 1 lit. a RODO). Zgodę pozyskujemy w bannerze cookies opisanym w „Streszczeniu” wyżej. Nigdy nie jest domniemana, nigdy nie jest zaznaczona z góry i można ją wycofać w każdej chwili (zob. „Jak kontrolować cookies” niżej).
Dokąd trafiają dane (transfer międzynarodowy). PostHog działa w EU Cloud, więc dane analityki pozostają w Europejskim Obszarze Gospodarczym — nie ma transferu do Stanów Zjednoczonych w przypadku PostHog.
Vercel Web Analytics (bez cookies — bez zgody). Niezależnie używamy Vercel Web Analytics, narzędzia analityki nie naruszającego prywatności, które mierzy ruch agregatowo bez ustawiania jakichkolwiek cookies i bez budowania Twojego profilu. Ponieważ nie ustawia cookies i nie identyfikuje Cię ani nie śledzi, nie wchodzi w skład powyższej opcjonalnej kategorii analityki i nie zależy od bannera. Wspominamy o nim dla kompletności, ale nie umieszcza nic w przeglądarce, co należałoby tu wymienić.
3.3 Cookies marketingowe / reklamowe
Brak. Nie używamy cookies reklamowych, pikseli retargetingowych ani konwersji, tagów audience-export ani podobnych technologii. Nigdy nie udostępniamy danych cookies do celów reklamowych.
3.4 Trackery, których nie używamy
Aby było jasne, horsenose nie osadza żadnego z poniższych:
- Facebook / Meta Pixel
- LinkedIn Insight Tag
- Piksele konwersji X (Twittera)
- TikTok Pixel
- Google Ads / DoubleClick ani innego tagu sieci reklamowej
- Jakiejkolwiek międzywitrynowej technologii retargetingu lub reklamy behawioralnej
- Browser fingerprintingu
Nie używamy nagrywania sesji ani żadnej formy odtwarzania ekranu. Analityka opisana w „Analityka (PostHog — tylko za zgodą)” wyżej ogranicza się do zdarzeń wyświetleń stron i interakcji oraz metryk wydajności. Nie używamy Hotjar, FullStory ani żadnego innego rejestratora sesji czy narzędzia do map cieplnych.
Jeśli w przyszłości dodamy jakikolwiek tracker, zaktualizujemy tę politykę i poprosimy o zgodę zanim zostanie wczytany.
4. Jak kontrolować cookies
4.1 Przez nasz banner cookies
Przy pierwszej wizycie z miejsca z przepisami e-privacy (UE i odpowiedniki) banner pozwala zaakceptować lub odrzucić opcjonalną kategorię analityki (PostHog) jednym kliknięciem, a nic nie jest zaznaczone domyślnie.
Aby zmienić wybór w dowolnym momencie — np. wycofać zgodę wcześniej udzieloną lub jej udzielić — kliknij "Ustawienia cookies" w stopce. Wycofanie zgody zatrzymuje wczytywanie PostHog przy kolejnym wczytaniu strony i nie wpływa na to, co zostało już zgodnie z prawem przetworzone wcześniej.
4.2 Przez przeglądarkę
Cookies możesz też kontrolować bezpośrednio w przeglądarce:
- Chrome: Ustawienia → Prywatność i bezpieczeństwo → Pliki cookie innych firm / Pliki cookie i inne dane witryn
- Firefox: Ustawienia → Prywatność i bezpieczeństwo → Ciasteczka i dane witryn
- Safari: Ustawienia → Prywatność → Zarządzaj danymi witryn
- Edge: Ustawienia → Pliki cookie i uprawnienia witryn
Zablokowanie cookies ściśle niezbędnych zepsuje Usługę. Jeśli zablokujesz cookie sesji Supabase, nie utrzymasz logowania; jeśli zablokujesz `nose_consent`, banner pojawi się przy każdej wizycie, bo nie pamiętamy Twojego wyboru.
Możesz wyczyścić wszystkie cookies w dowolnej chwili w menu "wyczyść dane przeglądania" — wyzeruje to Twój wybór zgody, więc banner pojawi się ponownie przy następnej wizycie.
5. Do Not Track i Global Privacy Control
Uwzględniamy sygnały Do Not Track (DNT) i Global Privacy Control (GPC), jeśli jest to technicznie możliwe. Jeśli Twoja przeglądarka wysyła jeden z tych sygnałów w pierwszym żądaniu, traktujemy to jako odrzucenie opcjonalnej kategorii analityki — PostHog nie jest wczytywany, a banner się nie pokazuje. Cookies ściśle niezbędne i bezcookiesowy Vercel Web Analytics pozostają — nie śledzą Cię i są potrzebne do świadczenia Usługi, o którą poprosiłeś.
6. Aktualizacje
Aktualizujemy tę politykę, gdy dodajemy lub zmieniamy cookie / podobną technologię albo zmieniamy sposób ich użycia. Data "Ostatnia aktualizacja" u góry zawsze odzwierciedla najnowszą wersję.
Jeśli w przyszłości dodamy jakąkolwiek nową nieesencjonalną technologię (np. innego dostawcę analityki czy jakikolwiek tracker reklamowy), poprosimy o zgodę zanim ją ustawimy, w jasno oznaczonym bannerze cookies z opcjami "Akceptuję" i "Odrzucam" dostępnymi jednym kliknięciem.
7. Kontakt
Pytania o cookies lub Twój wybór: support@horsenose.eu.
Szersze pytania o przetwarzanie danych osobowych — zob. Politykę prywatności. Jeśli jesteś mieszkańcem UE i nie jesteś zadowolony z naszej odpowiedzi, możesz wnieść skargę do polskiego organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl — lub do lokalnego krajowego organu ochrony danych.
horsenose jest prowadzony przez DF Daniel Fojcik (pełne dane rejestrowe — zob. Politykę prywatności → „Kto jest odpowiedzialny”).