Version 1.0 · Effective 2026-07-01

COOKIE POLICY

Polish and English notices are intended to be substantively equivalent.

Polityka Cookies i podobnych technologii SERVED

Wersja: 1.0

Obowiązuje od: 2026-07-01

Ta Polityka opisuje zapis i odczyt informacji na urządzeniu podczas korzystania z served.global, Platformy SERVED i stron Obiektów hostowanych przez SERVED. Uzupełnia Politykę Prywatności.

1. Kto odpowiada

Za technologie używane do własnych celów Platformy odpowiada placeholder1, adres: placeholder3, KRS placeholder5, NIP placeholder6 („SERVED”). Kontakt prywatności: test3@example.com.

Jeżeli Obiekt doda na swojej stronie własny tag, piksel, osadzenie lub kampanię, powinien zostać wyraźnie wskazany jako podmiot odpowiedzialny i uzyskać wymaganą zgodę. Standardowa Platforma nie pozwala Obiektowi potajemnie obchodzić ustawień zgody SERVED.

2. Czym są cookies i podobne technologie

Cookie to mały plik zapisany przez przeglądarkę. Podobny skutek mogą mieć local storage, session storage, SDK, piksel, identyfikator urządzenia lub żądanie do usługi analitycznej. Polskie Prawo komunikacji elektronicznej obejmuje nie tylko cookies, lecz co do zasady każde przechowywanie informacji na urządzeniu lub uzyskiwanie do niej dostępu.

3. Zasada zgody

Bez zgody używamy technologii tylko wtedy, gdy są ściśle konieczne do transmisji komunikatu albo świadczenia usługi wyraźnie żądanej przez użytkownika, np. bezpiecznego logowania, zapamiętania ustawień prywatności, checkoutu, równoważenia i ochrony przed nadużyciem.

Technologie analityczne i marketingowe pozostają wyłączone, dopóki użytkownik nie udzieli wcześniejszej, dobrowolnej i świadomej zgody, jeżeli zgoda jest wymagana.

Brak zgody lub jej wycofanie nie blokuje podstawowej rezerwacji, zakupu, logowania ani kontaktu. Może jedynie ograniczyć pomiar użycia lub personalizację, jeśli zostanie kiedyś wprowadzona.

Baner nie zawiera zaznaczonych z góry pól. Opcja odrzucenia jest równie dostępna jak akceptacja. Stały odnośnik „Ustawienia cookies” pozwala zmienić wybór w dowolnym czasie.

4. Kategorie

Kategoria Cel Czy wymaga zgody Standardowa retencja
Ściśle niezbędne sesja, logowanie, zabezpieczenie formularza i checkoutu, wybór Obiektu/języka, zapobieganie nadużyciom, kolejka żądań, zapis wyboru zgody nie, jeśli technologia jest rzeczywiście konieczna do żądanej usługi sesja albo najkrótszy potrzebny czas; preferencja zgody do 12 miesięcy, następnie ponowne zapytanie
Funkcjonalne opcjonalne zapamiętanie preferencji niewymaganej do podstawowej usługi tak, jeśli nie jest ściśle konieczne zgodnie z informacją w panelu, maksymalnie 12 miesięcy bez ponownej oceny
Analityczne pomiar strony i funkcji, błędy użyteczności, rozwój produktu tak, gdy obejmuje zapis/odczyt urządzenia lub identyfikator; cookieless Plausible może działać bez zgody tylko po potwierdzeniu zgodnej konfiguracji zdarzenia PostHog zgodnie z ustawieniami projektu i Polityką Prywatności; identyfikator nie dłużej niż 12 miesięcy bez odnowienia zgody
Marketingowe reklama, retargeting, śledzenie między usługami tak na starcie nie są używane; przed wdrożeniem podamy dostawcę i okres

5. Technologie używane na starcie

5.1. Niezbędna sesja i bezpieczeństwo

Platforma może używać tokenu sesji lub uwierzytelnienia, pamięci wyboru języka/Obiektu, ochrony formularza, ustawienia zgody oraz sygnału rate limiting. Supabase zapewnia uwierzytelnianie, a Upstash może wspierać ograniczenie nadużyć. Techniczne nazwy mogą różnić się zależnie od domeny i wersji wdrożenia; aktualne nazwy, dostawca, cel i termin są zawsze wyświetlane w panelu „Ustawienia cookies” generowanym ze skanu produkcyjnego.

Nie używamy niezbędnej kategorii do reklamy ani mierzenia zachowania poza tym, co konieczne do bezpieczeństwa i wykonania żądania.

5.2. Plausible na stronie marketingowej

Plausible jest konfigurowane jako minimalna, cookieless analityka bez trwałego identyfikatora i bez niestandardowych właściwości zawierających dane osobowe. Jeżeli skan lub zmiana konfiguracji wykaże dostęp do urządzenia wymagający zgody, Plausible zostanie zablokowane do chwili zgody analitycznej.

5.3. PostHog EU w zalogowanym produkcie

PostHog w regionie UE służy do analityki użycia funkcji. Tam, gdzie wymagana jest zgoda, SDK, identyfikator i zdarzenia nie są ładowane przed zgodą analityczną. Stosujemy listę dozwolonych właściwości i nie wysyłamy treści pól, danych płatniczych, alergii/zdrowia ani zbędnych danych Gościa.

Session replay jest wyłączone na starcie. Jego przyszłe włączenie wymaga odrębnej oceny prywatności, maskowania wszystkich wrażliwych pól, wcześniejszej zgody, aktualizacji tej Polityki i testu produkcyjnego.

5.4. Brak marketingowych trackerów

Na starcie nie używamy reklamowych pikseli, retargetingu ani trackera między stronami. Nie aktywujemy dostawcy SMS/WhatsApp ani związanych z nim technologii bez aktualizacji dokumentacji i zgody, gdy jest wymagana.

6. Panel ustawień jako bieżący rejestr

Ponieważ nazwy cookies i pamięci mogą zmieniać się z wersją przeglądarki, domeną lub biblioteką, panel „Ustawienia cookies” jest bieżącym rejestrem produkcyjnym. Dla każdej wykrytej pozycji pokazuje:

SERVED skanuje produkcję przed uruchomieniem, po zmianie dostawcy lub tagu oraz okresowo. Niesklasyfikowana technologia jest domyślnie blokowana do czasu oceny, chyba że wykazano jej ścisłą konieczność.

7. Zmiana lub wycofanie zgody

Otwórz „Ustawienia cookies” w stopce, zmień kategorię i zapisz. Zmiana działa na przyszłość.

Po wycofaniu zatrzymujemy przyszłe niekonieczne odczyty i usuwamy dostępne first-party identyfikatory, gdy jest to technicznie możliwe. Dane zebrane przed wycofaniem mogą być nadal przetwarzane zgodnie z wcześniejszą podstawą i harmonogramem retencji.

Usunięcie cookies w przeglądarce może skasować także zapis wyboru, więc baner pojawi się ponownie.

Ustawienia przeglądarki mogą blokować wszystkie cookies, ale może to uniemożliwić logowanie lub checkout. Globalny sygnał prywatności jest respektowany w zakresie, w jakim odpowiada prawnie skutecznemu sprzeciwowi lub wycofaniu dla używanej technologii.

8. Dostawcy i transfery

W zależności od funkcji dane techniczne mogą otrzymać Supabase, Netlify, Upstash, Plausible i PostHog. Ich role, regiony i mechanizmy transferu opisują Polityka Prywatności i Lista Podmiotów Przetwarzających. Globalna dystrybucja, wsparcie lub podwykonawcy mogą powodować transfer poza EOG na podstawie decyzji o odpowiednim stopniu ochrony albo standardowych klauzul umownych z dodatkowymi zabezpieczeniami.

9. Zmiany i kontakt

Aktualizujemy Politykę po zmianie technologii lub prawa. Jeżeli zmiana wymaga nowej zgody, poprosimy o nią przed aktywacją. Pytania i prawa prywatności: test3@example.com.

COOKIE POLICY

Polish and English notices are intended to be substantively equivalent.

SERVED Cookie and Similar Technologies Policy

Version: 1.0

Effective from: 2026-07-01

This Policy describes storage and access to information on a device when using served.global, the SERVED Platform and Venue pages hosted by SERVED. It supplements the Privacy Policy.

1. Who is responsible

Technologies used for the Platform's own purposes are controlled by placeholder1, address placeholder3, KRS placeholder5, NIP placeholder6 (“SERVED”). Privacy contact: test3@example.com.

If a Venue adds its own tag, pixel, embed or campaign, it must be clearly identified as responsible and obtain required consent. The standard Platform does not allow a Venue to secretly bypass SERVED consent choices.

2. Cookies and similar technologies

A cookie is a small browser file. Local storage, session storage, SDKs, pixels, device identifiers or analytics-service requests may have a similar effect. Polish Electronic Communications Law covers not only cookies but generally any storage of or access to information on terminal equipment.

3. Consent rule

Without consent, we use technology only where strictly necessary to transmit a communication or provide a service expressly requested by the user, such as secure login, privacy settings, checkout, load balancing and abuse protection.

Analytics and marketing technology stays off until prior, freely given and informed consent where consent is required.

Refusing or withdrawing does not block core reservation, purchase, login or contact. It may limit measurement or future optional personalisation.

The banner uses no pre-ticked boxes. Reject is as accessible as accept. A persistent “Cookie Settings” link allows change at any time.

4. Categories

Category Purpose Consent Standard retention
Strictly necessary session, login, form and checkout security, Venue/language choice, abuse prevention, request queue, consent choice no, where truly necessary for the requested service session or shortest needed period; consent preference up to 12 months, then ask again
Functional optional memory of a preference not required for the core service yes if not strictly necessary as shown in the panel, no more than 12 months without review
Analytics site and feature measurement, usability errors, product development yes where device storage/access or an identifier is involved; cookieless Plausible may operate without consent only after confirming a compliant configuration PostHog events follow project settings and the Privacy Policy; identifier no more than 12 months without renewed consent
Marketing advertising, retargeting, cross-service tracking yes not used at launch; provider and period will be stated before deployment

5. Launch technologies

5.1. Necessary session and security

The Platform may use a session/authentication token, language/Venue memory, form protection, consent choice and rate-limiting signal. Supabase provides authentication and Upstash may support abuse controls. Technical names can vary by domain and deployment version; current names, provider, purpose and duration are always shown in the “Cookie Settings” panel generated from a production scan.

We do not use the necessary category for advertising or behavioural measurement beyond security and request fulfilment.

5.2. Plausible on the marketing site

Plausible is configured as minimal cookieless analytics without a persistent identifier or custom properties containing personal data. If a scan or configuration change reveals consent-regulated device access, Plausible will be blocked until analytics consent.

5.3. PostHog EU in the logged-in product

PostHog in the EU region measures product-feature use. Where consent is required, its SDK, identifier and events do not load before analytics consent. We allowlist properties and do not send field contents, payment data, allergy/health data or unnecessary Guest data.

Session replay is disabled at launch. Future enablement requires a privacy assessment, masking of sensitive fields, prior consent, policy updates and a production test.

5.4. No marketing trackers

At launch we use no advertising pixels, retargeting or cross-site tracker. We will not activate an SMS/WhatsApp provider or related technology without documentation and consent updates where required.

6. Settings panel as live register

Because names may change with browser, domain or library version, “Cookie Settings” is the live production register. For each detected item it shows:

SERVED scans production before launch, after a provider or tag change and periodically. An unclassified technology is blocked by default pending assessment unless strict necessity is demonstrated.

7. Changing or withdrawing consent

Open “Cookie Settings” in the footer, change a category and save. The change operates prospectively.

After withdrawal we stop future non-essential access and remove available first-party identifiers where technically possible. Earlier data may continue under its prior lawful basis and retention schedule.

Clearing browser storage may also erase the choice, so the banner may appear again.

Browser settings can block all cookies but may prevent login or checkout. A global privacy signal is respected where it represents a legally effective objection or withdrawal for the technology used.

8. Providers and transfers

Depending on function, technical data may go to Supabase, Netlify, Upstash, Plausible and PostHog. Roles, regions and transfer mechanisms appear in the Privacy Policy and Subprocessor List. Global delivery, support or subprocessors may involve transfer outside the EEA under an adequacy decision or Standard Contractual Clauses with supplementary safeguards.

9. Changes and contact

We update this Policy for technology or law changes. Where new consent is needed, we ask before activation. Privacy questions and rights: test3@example.com.