Dokument prawny

Polityka cookies

Obowiązuje od: 21.05.2026 · wersja 1.1 · stanowi załącznik do Polityki prywatności LegitView.eu

W skrócie: używamy niezbędnych technicznie plików cookies (sesja, ochrona CSRF, zarządzanie zgodą) — te nie wymagają Twojej zgody. Po Twojej świadomej zgodzie (klik „Rozumiem" w bannerze cookies) uruchamiamy także Google Analytics 4 w trybie zanonimizowanym — wyłącznie do anonimowego pomiaru ruchu i statystyk. Nie używamy Meta Pixel, reklam Google Ads, retargetingu, ani innych narzędzi marketingowego śledzenia. Domyślnie (przed akceptacją bannera) GA4 działa w trybie Consent Mode v2 — denied, czyli nie zapisuje żadnych identyfikatorów ani cookies.

§ 1Czym są pliki cookies

  1. Pliki cookies (tzw. ciasteczka) to niewielkie pliki tekstowe zapisywane przez stronę internetową w pamięci przeglądarki użytkownika. Strona może je odczytać przy kolejnej wizycie, dzięki czemu może np. pamiętać że jesteś zalogowany albo które ustawienia wybrałeś.
  2. Niniejsza Polityka cookies opisuje cookies oraz technologie zbliżone używane na stronach app.legitview.eu i legitview.eu: cookies HTTP, localStorage, sessionStorage, identyfikatory sesji.
  3. Pliki cookies nie powodują zmian konfiguracyjnych w urządzeniu użytkownika ani nie uruchamiają oprogramowania zainstalowanego na tym urządzeniu.

§ 2Podstawa prawna

  1. Podstawą prawną wykorzystania plików cookies jest:
    1. art. 398 ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221), obowiązujący od 10.11.2024 — który zastąpił art. 173 dawnej ustawy Prawo telekomunikacyjne. Przepis stanowi, że przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego wymaga jego uprzedniej, świadomej zgody, chyba że jest to ściśle niezbędne do dostarczenia usługi łączności elektronicznej żądanej przez użytkownika (np. utrzymanie sesji zalogowanego użytkownika),
    2. art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora (bezpieczeństwo aplikacji, ochrona przed atakami CSRF, prawidłowe utrzymanie sesji zalogowanego użytkownika),
    3. art. 6 ust. 1 lit. a RODO — zgoda użytkownika (dotyczy wyłącznie cookies opcjonalnych — gdy takowe się pojawią; obecnie ich nie używamy).
  2. Cookies ściśle niezbędne technicznie nie wymagają zgody użytkownika (art. 398 ust. 2 PKE — wyjątek dla cookies, których jedynym celem jest umożliwienie transmisji łączności lub dostarczenie usługi żądanej przez użytkownika). Korzystanie z funkcji wymagających logowania (jak weryfikacja NIP, monitoring kontrahentów) nie jest możliwe bez nich.
  3. Zgoda na cookies opcjonalne (gdy zostaną dodane w przyszłości) musi być zgodna z RODO: dobrowolna, jednoznaczna, konkretna, świadoma (art. 4 pkt 11 RODO) — uzyskiwana przez aktywną akcję użytkownika (klik). Domyślnie zaznaczone checkboxy ani „dalsze korzystanie ze strony oznacza zgodę" nie stanowią ważnej zgody (wytyczne EROD 03/2022 ws. ciemnych wzorców).

§ 3Kategorie używanych cookies

  1. Niezbędne (sesja, bezpieczeństwo, funkcjonalność podstawowa) — bez nich aplikacja nie działa. Nie wymagają zgody.
  2. Funkcjonalne — zapamiętują wybory użytkownika (np. wybór języka, ostatnio sprawdzane NIP-y w lokalnej historii przeglądarki). Obecnie używamy ich wyłącznie w postaci localStorage po stronie przeglądarki — dane nie są wysyłane na nasz serwer.
  3. Analityczne — pomiar ruchu, statystyki, optymalizacja UX. Używamy Google Analytics 4 wyłącznie po Twojej zgodzie (Consent Mode v2). Pomiar jest anonimizowany (skrócony adres IP, brak danych demograficznych Google Signals, brak personalizacji reklam). Cel: liczenie wizyt, źródeł ruchu, popularności podstron — bez profilowania.
  4. Marketingowe / śledzące — profilowanie reklam, retargeting, remarketing. Nie używamy. Google Signals, Google Ads, Meta Pixel — wszystkie wyłączone na poziomie konta GA4.
Tryb Consent Mode v2: dopóki nie klikniesz „Rozumiem" w bannerze cookies, GA4 działa w trybie denied — wysyła do Google jedynie zanonimizowany sygnał („cookieless ping") bez identyfikatorów. Po Twojej zgodzie identyfikator _ga jest zapisywany w cookies i kolejne wizyty są łączone w sesję anonimowego użytkownika.

§ 4Wykaz plików cookies używanych aktualnie

NazwaCelCzas życiaKategoria
session
(cookie HTTP)		 Podtrzymanie zalogowania użytkownika po stronie aplikacji (Flask session, HttpOnly, Secure, SameSite=Lax). Bez tego cookie nie da się korzystać z konta. do 8 godzin / do zamknięcia przeglądarki Niezbędne
lv_cookie_consent
(cookie HTTP)		 Zapamiętuje wybór użytkownika dotyczący zarządzania cookies (jeśli pojawi się baner zgody). Pozwala uniknąć ponownego pytania przy każdej wizycie. 12 miesięcy Niezbędne
_lv_recent_nips
(localStorage)		 Lokalna lista ostatnio sprawdzanych NIP-ów po stronie przeglądarki — przyspiesza wybór z historii. Nie jest wysyłana na serwer, dane pozostają wyłącznie na urządzeniu użytkownika. Do ręcznego wyczyszczenia przez użytkownika Funkcjonalne (lokalnie)
_ga
(cookie HTTP, Google)		 Główny identyfikator Google Analytics 4 — przypisany do anonimowej sesji użytkownika strony legitview.eu. Ustawiany wyłącznie po klik „Rozumiem" w bannerze cookies. Nie zawiera danych osobowych, nie pozwala na identyfikację konkretnej osoby. 14 miesięcy (zgodnie z ustawieniem Data Retention w panelu GA4) Analityczne (opt-in)
_ga_RV7PM9FHV9
(cookie HTTP, Google)		 Identyfikator stanu sesji dla konkretnej usługi GA4 (Measurement ID G-RV7PM9FHV9). Liczy zdarzenia w trakcie aktywnej sesji. Ustawiany wyłącznie po Twojej zgodzie. 14 miesięcy Analityczne (opt-in)
Dodatkowo Flask może ustawić ciasteczko ochrony przed atakami CSRF (np. csrf_token) jako element mechanizmu sesji. Jest to cookie ściśle niezbędne (kategoria: Niezbędne) i podlega tej samej polityce co session.

§ 5Cookies zewnętrznych dostawców (third-party)

  1. Google Fonts (Google LLC, USA). Aplikacja ładuje fonty „Inter" i „DM Sans" bezpośrednio z serwerów Google: fonts.googleapis.com oraz fonts.gstatic.com. Powoduje to, że przeglądarka łączy się z infrastrukturą Google przy każdym otwarciu strony, co zgodnie z opinią Trybunału w Sprawie C-311/18 (Schrems II) oraz orzeczeniem sądu niemieckiego z 2022 r. w sprawie Google Fonts jest traktowane jako przekazanie adresu IP do państwa trzeciego (USA).
    1. Podstawą transferu są Standardowe Klauzule Umowne (SCC) oraz certyfikacja Google w ramach EU–U.S. Data Privacy Framework (DPF).
    2. Google nie ustawia cookies przy ładowaniu fontów — ale samo żądanie HTTP do ich serwerów przesyła adres IP i User-Agent.
    3. Jeżeli chcesz uniknąć tego transferu, możesz zablokować domeny Google Fonts w przeglądarce (np. uBlock Origin → filtr „no remote fonts") — aplikacja użyje wówczas systemowych fontów zastępczych.
    4. W planach: migracja do self-hostowanych fontów w kolejnej wersji Aplikacji.
  2. Google Analytics 4 (administrator: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia; współadministrator dla USA: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Wykorzystywany do anonimowego pomiaru ruchu na stronie legitview.eu.
    1. Tag gtag.js ładowany z www.googletagmanager.com. Measurement ID: G-RV7PM9FHV9.
    2. Działa w trybie Google Consent Mode v2: domyślnie analytics_storage: denied, ad_storage: denied. Identyfikator _ga ustawiany dopiero po świadomej zgodzie użytkownika.
    3. Przed zgodą wysyłany jest tylko cookieless ping (anonimowy sygnał bez identyfikatorów) na potrzeby pomiaru łącznej liczby wizyt — bez możliwości powiązania z konkretną osobą.
    4. Włączona opcja anonymize_ip — adres IP jest skracany przed zapisem w GA4.
    5. Google Signals (zbieranie danych demograficznych z kont Google), integracja z Google Ads oraz personalizacja reklamwyłączone na poziomie konta GA4.
    6. Przekazanie danych do USA: podstawa transferu — EU–U.S. Data Privacy Framework (DPF) + Standardowe Klauzule Umowne (SCC) z Google Ireland. Google posiada certyfikację DPF od 10.07.2023 (decyzja Komisji Europejskiej C(2023) 4745 final).
    7. Cofnięcie zgody: usuń cookies _ga, _ga_RV7PM9FHV9 oraz lv_cookie_consent w ustawieniach przeglądarki — przy następnej wizycie banner się pokaże ponownie.
  3. Inne usługi zewnętrzne ustawiające cookies — brak. Aplikacja nie integruje się z social media (Facebook, X/Twitter, LinkedIn), Google Ads, Meta Pixel, ani z innymi platformami reklamowymi i marketingowymi.

§ 6Zarządzanie cookies w przeglądarce

  1. Użytkownik może w każdej chwili usunąć już zapisane pliki cookies oraz zmienić ustawienia przeglądarki tak, aby blokowała ich zapisywanie. Należy mieć na uwadze, że blokada cookies niezbędnych uniemożliwi korzystanie z konta w aplikacji.
  2. Instrukcje zarządzania cookies w popularnych przeglądarkach:
Google Chrome Mozilla Firefox Microsoft Edge Safari (macOS) Opera Brave

§ 7Logi serwera (HTTP access log)

  1. Niezależnie od cookies, serwer aplikacji zapisuje techniczne logi dostępu (HTTP access log) obejmujące: adres IP, żądany URL, kod odpowiedzi HTTP, czas żądania, User-Agent przeglądarki, opcjonalnie nagłówek Referer.
  2. Logi te są niezbędne do utrzymania bezpieczeństwa systemu (wykrywanie ataków, debugowanie błędów, monitorowanie wydajności) na podstawie art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora).
  3. Logi serwera są przechowywane maksymalnie 30 dni, po czym są nadpisywane przez rotację logów. Nie są łączone z danymi konta użytkownika ani wykorzystywane do profilowania.

§ 8Zmiany Polityki cookies

  1. Niniejsza Polityka cookies może być zmieniana, w szczególności w wypadku zmiany przepisów prawa, technologii lub dodania nowych cookies (np. analitycznych / marketingowych).
  2. O istotnych zmianach informujemy zarejestrowanych Usługobiorców e-mailem na adres przypisany do konta z co najmniej 14-dniowym wyprzedzeniem. Drobne zmiany redakcyjne (poprawki literówek, doprecyzowania) wchodzą w życie z dniem opublikowania.
  3. Polityka cookies stanowi załącznik do Polityki prywatności; w sprawach nieuregulowanych zastosowanie mają jej postanowienia oraz Regulamin.
Pytania o cookies lub prywatność? Napisz do nas: rodo@legitview.eu. Wnioski dotyczące Twoich danych osobowych można składać przez formularz /rodo-request.