Polityka prywatności

POLITYKA PRYWATNOŚCI — CREATENSE LTD
Ostatnia aktualizacja: 04.08.2025 | Wersja: 1.0

1. Administrator danych

Administratorem danych osobowych jest:
Creatense Ltd (CRN: 16627638)
Adres: 3 Desmond Avenue, Hull HU6 7JY, United Kingdom
E-mail: hello@creatense.com
Strona: www.creatense.com
Rejestracja ICO (UK): ZC041628

2. Zakres dokumentu

Polityka opisuje zasady przetwarzania danych w związku z korzystaniem z: strony www, landing pages, formularzy (web-to-lead), rezerwacji (booking), Portalu Klienta/CRM (ClearCRM), obsługi ticketów/helpdesk, usług marketingowych (np. Meta Ads) oraz rozliczeń.

3. Role: Administrator i Podmiot przetwarzający

  • Administrator (Data Controller): gdy przetwarzamy dane kontaktowe klientów B2B, użytkowników Portalu, osób kontaktujących się z nami, subskrybentów newslettera.

  • Podmiot przetwarzający (Data Processor): gdy przetwarzamy dane powierzone przez Klienta w ramach realizacji usług (np. leady z kampanii, listy kontaktów) — działamy wtedy na polecenie Klienta i zgodnie z ustaleniami umowy/DPA.

4. Jakie dane możemy przetwarzać

W zależności od kanału kontaktu i usługi:

  • dane identyfikacyjne i kontaktowe (imię, nazwisko, e-mail, telefon, stanowisko, nazwa firmy),

  • dane firmowe i rozliczeniowe (adres, NIP/VAT UE, dane do faktury),

  • dane dot. rezerwacji i komunikacji (terminy spotkań, notatki, zgłoszenia),

  • dane techniczne (IP, logi, identyfikatory sesji, urządzenie/przeglądarka),

  • dane marketingowe (preferencje, zgody, historia komunikacji),

  • załączniki i materiały przekazane w Portalu (np. logotypy, pliki, briefy).

    Nie przechowujemy pełnych danych kart płatniczych — obsługa płatności odbywa się przez operatorów płatności.

5. Cele i podstawy prawne przetwarzania

Przetwarzamy dane w celach:

  1. Obsługi zapytań i przygotowania oferty — art. 6 ust. 1 lit. b lub f RODO/UK GDPR.

  2. Wykonania umowy B2B i świadczenia usług (kampanie, raporty, automatyzacje, konsultacje, portal) — art. 6 ust. 1 lit. b.

  3. Rozliczeń i obowiązków księgowych/podatkowych — art. 6 ust. 1 lit. c.

  4. Helpdesk/Ticketing i komunikacji operacyjnej — art. 6 ust. 1 lit. f.

  5. Marketingu własnego (newsletter/aktualizacje) — zgoda (art. 6 ust. 1 lit. a) lub uzasadniony interes B2B (art. 6 ust. 1 lit. f) — zależnie od relacji i prawa lokalnego.

  6. Bezpieczeństwa i zapobiegania nadużyciom — art. 6 ust. 1 lit. f.

6. Odbiorcy danych (kategorie)

Możemy udostępniać dane wyłącznie w niezbędnym zakresie:

  • CRM / Portal Klienta: ClearCRM,

  • poczta, pliki, dokumenty: Google Workspace (jeśli używane),

  • płatności i rozliczenia: operatorzy płatności (np. Stripe) oraz bankowość firmowa (np. Tide/Monzo/Wise — jeśli używane),

  • księgowość/fakturowanie: systemy księgowe (np. Xero — jeśli używane),

  • narzędzia marketingowe: platformy reklamowe (np. Meta/Google) — jeśli dotyczy usług,

  • narzędzia publikacji/planowania: np. Brand2Social — jeśli używane.
    Dostawcy działają jako niezależni administratorzy lub podmioty przetwarzające (zależnie od usługi).

7. Transfery międzynarodowe

Jako spółka z siedzibą w UK możemy przetwarzać dane w Wielkiej Brytanii oraz u dostawców świadczących usługi globalnie. W razie transferów poza UK/EOG stosujemy odpowiednie zabezpieczenia (np. standardowe klauzule umowne lub inne mechanizmy zgodne z prawem).

8. Okres przechowywania (retencja)

  • dane operacyjne w CRM: przez czas współpracy oraz zwykle do 12 miesięcy po jej zakończeniu (archiwizacja/obsługa roszczeń),

  • dokumenty księgowe: przez okres wymagany przepisami,

  • newsletter/marketing: do wycofania zgody lub skutecznego sprzeciwu.

9. Prawa osób, których dane dotyczą

Masz prawo do: dostępu do danych, sprostowania, usunięcia (z wyjątkami), ograniczenia, przenoszenia, sprzeciwu oraz cofnięcia zgody (jeśli przetwarzanie odbywa się na podstawie zgody).
Wnioski: hello@creatense.com lub poprzez Portal (jeśli dostępne).

10. Skargi do organu nadzorczego

  • UK: Information Commissioner’s Office (ICO)

  • PL: Prezes UODO (jeśli dotyczy)

11. Profilowanie i marketing B2B

Możemy analizować podstawowe dane biznesowe i historię kontaktu (np. otwarcia wiadomości, kliknięcia linków, tematy zapytań) w celu dopasowania komunikacji i poprawy obsługi. Nie podejmujemy zautomatyzowanych decyzji wywołujących skutki prawne wobec osoby.

12. Bezpieczeństwo

Stosujemy środki organizacyjne i techniczne adekwatne do ryzyka (kontrola dostępów, ograniczenia uprawnień, bezpieczne kanały komunikacji, procedury operacyjne). Hasła do prywatnych profili nie powinny być przekazywane — preferujemy nadawanie dostępów w narzędziach (Meta/Google/CRM).

13. Zmiany polityki

Polityka może być aktualizowana. Aktualna wersja jest publikowana w Portalu Klienta i/lub na stronie.

14. Kontakt w sprawach danych
Wnioski dot. praw (dostęp/sprostowanie/usunięcie/przeniesienie) kieruj na hello@creatense.com
W Portalu Klienta mogą być dostępne automatyczne funkcje eksportu lub zgłoszenia wniosku.

Pakiet Dokumentów Prawnych i Załączników  CREATENSE LTD

1. Umowa Powierzenia Przetwarzania Danych (DPA)

Lokalizacja: ClearCRM / Załącznik do Umowy Głównej Status: Obowiązkowy (UK GDPR / RODO)

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)

§ 1. Postanowienia Ogólne

  1. Niniejsza Umowa reguluje zasady przetwarzania danych osobowych powierzonych przez Klienta („Administrator”) firmie CREATENSE LTD („Procesor”) w związku z realizacją usług marketingowych.
  2. Procesor oświadcza, że jest zarejestrowany w ICO (Information Commissioner’s Office) pod numerem ZC041628.

§ 2. Zakres i Cel Przetwarzania

  1. Administrator powierza Procesorowi przetwarzanie danych w celu realizacji kampanii reklamowych (Meta Ads, Google Ads), obsługi leadów oraz zarządzania komunikacją.
  2. Kategorie danych: Imię, nazwisko, e-mail, telefon, ID użytkownika, adres IP, dane behawioralne.
  3. Kategorie osób: Klienci Administratora, potencjalni klienci (leady), pracownicy Administratora.

§ 3. Obowiązki Procesora

  1. Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora (tj. Umowa Główna i SOW).
  2. Procesor zapewnia, że osoby upoważnione do przetwarzania zachowają poufność.
  3. Procesor stosuje środki bezpieczeństwa zgodne z art. 32 RODO/UK GDPR, w tym: szyfrowanie danych (HTTPS/TLS), weryfikację dwuetapową (2FA) oraz kontrolę dostępu.

§ 4. Podprocesorzy

  1. Administrator wyraża ogólną zgodę na korzystanie z dalszych podmiotów przetwarzających (Subprocesorów).
  2. Aktualna lista Subprocesorów znajduje się w dokumencie „Lista Podprocesorów”. Procesor poinformuje o zmianach z wyprzedzeniem 30 dni.
  3. Kluczowi podprocesorzy to: Google Cloud (hosting/workspace), Stripe (płatności), ClearCRM (system CRM), Leadsie (zarządzanie dostępami).

§ 5. Transfer Danych Dane mogą być transferowane do krajów trzecich (USA, UK). Transfery te są zabezpieczone poprzez decyzję o adekwatności (dla UK) oraz Ramy Ochrony Danych (Data Privacy Framework) lub Standardowe Klauzule Umowne (SCC) dla dostawców z USA.

§ 6. Naruszenia i Pomoc Procesor powiadomi Administratora o naruszeniu ochrony danych w ciągu 24 godzin od jego wykrycia i będzie współpracował w celu zgłoszenia incydentu do organu nadzorczego (ICO/UODO).

2. Umowa o Zachowaniu Poufności (NDA)

Chroni know-how agencji i dane biznesowe klienta.

Lokalizacja: Załącznik do Umowy / ClearCRM

UMOWA O ZACHOWANIU POUFNOŚCI (NDA)

1. Definicja Informacji Poufnych. Za Informacje Poufne uznaje się wszelkie informacje techniczne, finansowe, handlowe, strategie marketingowe oraz dane klientów ujawnione przez Stronę Ujawniającą Stronie Otrzymującej w związku ze współpracą. 2. Wyłączenia. Informacje Poufne nie obejmują danych, które są publicznie dostępne, były znane Otrzymującemu przed ujawnieniem lub zostały opracowane niezależnie. 3. Obowiązki. Strona Otrzymująca zobowiązuje się: a) Wykorzystywać Informacje Poufne wyłącznie do realizacji Usług; b) Nie ujawniać informacji osobom trzecim (poza niezbędnymi pracownikami/podwykonawcami, którzy podpisali analogiczne NDA); c) Zabezpieczyć informacje przed nieuprawnionym dostępem. 4. Czas trwania. Obowiązek poufności trwa przez okres współpracy oraz 3 lata po jej zakończeniu. 5. Zwrot danych. Po rozwiązaniu umowy, na żądanie Ujawniającego, Otrzymujący usunie lub zwróci wszelkie nośniki zawierające Informacje Poufne w terminie 14 dni.

3. Nota Prawna (Legal Notice)

Obowiązkowa informacja w stopce strony/emaila dla spółek UK LTD.

Lokalizacja: Stopka WWW / Stopka e-mail

LEGAL NOTICE / NOTA PRAWNA

CREATENSE LTD Spółka zarejestrowana w Anglii i Walii (Companies House). Numer spółki (CRN): 16627638 Siedziba: 3 Desmond Avenue, Hull, United Kingdom, HU6 7JY Rejestracja ICO: ZC041628 Status VAT: Spółka nie jest płatnikiem VAT w UK (Non-VAT registered). Kontakt: hello@creatense.com

Disclaimer: Wyniki działań marketingowych prezentowane w materiałach (case studies) są przykładowe. Agencja nie gwarantuje osiągnięcia identycznych wyników finansowych, gdyż zależą one od wielu czynników zewnętrznych.

4. Umowa Przeniesienia Praw Autorskich (IP Assignment)

Lokalizacja: Sekcja w Umowie Głównej lub Osobny Załącznik

KLAUZULA PRZENIESIENIA PRAW AUTORSKICH

  1. Przeniesienie Praw. Z chwilą uznania rachunku bankowego Wykonawcy pełną kwotą wynagrodzenia, Wykonawca przenosi na Klienta autorskie prawa majątkowe do utworów powstałych w ramach zlecenia (grafiki, teksty reklamowe, konfiguracje).
  2. Pola Eksploatacji. Przeniesienie obejmuje prawo do wykorzystania utworów w Internecie, social mediach, na stronach www oraz do celów marketingu cyfrowego, bez ograniczeń terytorialnych i czasowych.
  3. Prawa Osobiste/Portfolio. Wykonawca zachowuje prawo do wykorzystania stworzonych materiałów we własnym portfolio, materiałach promocyjnych i case studies, w celu prezentacji swoich umiejętności.
  4. Gwarancja. Wykonawca oświadcza, że dostarczone materiały są wynikiem jego oryginalnej twórczości i nie naruszają praw osób trzecich.

5. Polityka Prywatności (Skrócona pod RODO/ICO)

Lokalizacja: Strona WWW / Link w ClearCRM Zgodność: UK GDPR / RODO / CCPA

POLITYKA PRYWATNOŚCI CREATENSE LTD

Administrator: Creatense LTD (CRN: 16627638, ICO: ZC041628). Jakie dane zbieramy:

  • Dane Konta/Rozliczeniowe: Imię, nazwisko, firma, adres, NIP (do faktur w Xero).
  • Dane Techniczne: IP, typ urządzenia, logi systemowe (dla bezpieczeństwa i zapobiegania fraudom przez Stripe).
  • Dane Marketingowe: Zgody na newsletter, interakcje z kampaniami.

Podstawy prawne: Wykonanie umowy (Art. 6(1)(b)), Obowiązek prawny (Art. 6(1)(c) - księgowość), Uzasadniony interes (Art. 6(1)(f) - bezpieczeństwo, B2B marketing).

Odbiorcy danych: Twoje dane są bezpiecznie przetwarzane przez zaufanych dostawców: Google Cloud (USA/EU), Stripe (USA/EU), ClearCRM (USA), Xero (NZ/UK/US), Tide (UK). Wszyscy dostawcy spoza UK/EEA stosują Standardowe Klauzule Umowne (SCC) lub ramy Data Privacy Framework.

Twoje Prawa: Masz prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz wniesienia skargi do ICO (UK) lub UODO (PL).

6. Polityka Cookies (Cookie Policy)

Lokalizacja: Baner Cookie / Podstrona

POLITYKA PLIKÓW COOKIES

Używamy plików cookies, aby zapewnić bezpieczeństwo, analizować ruch i dostarczać spersonalizowane treści.

Rodzaje używanych cookies:

  1. Niezbędne (Essential): Wymagane do działania strony i płatności.
    • __stripe_mid, __stripe_sid: Zapobieganie oszustwom przy płatnościach (dostawca: Stripe).
    • rl_session: Utrzymanie sesji użytkownika w systemie CRM.
  2. Analityczne (Performance): Pomagają nam zrozumieć ruch na stronie.
    • _ga, _gid: Google Analytics (statystyki odwiedzin).
  3. Marketingowe (Targeting): Używane do reklam.
    • _fbp: Meta Pixel (identyfikacja odwiedzających z Facebooka).
    • UserMatchHistory: LinkedIn Insight Tag (synchronizacja ID dla reklam B2B).

Możesz zarządzać zgodami poprzez ustawienia przeglądarki lub nasz panel preferencji.

7. Lista Podprocesorów (Subprocessor List)

Dokument wymagany przez RODO (Art. 28) do DPA.

Lokalizacja: Załącznik do DPA / Strona WWW

Podmiot Usługa Lokalizacja Danych Podstawa Transferu
Google Cloud / Workspace Hosting, E-mail, Dysk USA / EU Data Privacy Framework / SCC
ClearCRM (HighLevel) System CRM, Leady USA Standard Contractual Clauses (SCC)
Stripe Płatności, Zapobieganie Oszustwom Global / USA Data Privacy Framework / SCC
Xero Księgowość UK / NZ / USA Adequacy Decision (NZ/UK)
Tide (ClearBank) Bankowość UK Adequacy Decision (UK)
Leadsie Zarządzanie Dostępami (Access Mgmt) EU / UK RODO Compliant (Szyfrowane tokeny)
Brand2Social Publikacja Social Media Indie / Global Standard Contractual Clauses (SCC)
Meta Platforms Ireland Reklama (Joint Controller) Irlandia / USA Data Privacy Framework / SCC

8. Polityka Ujawniania (Disclosure Policy)

Zasady zgłaszania błędów bezpieczeństwa (Responsible Disclosure).

Lokalizacja: Strona WWW (np. /security)

POLITYKA BEZPIECZEŃSTWA I UJAWNIANIA PODATNOŚCI

  1. Bezpieczeństwo jest priorytetem. Creatense LTD zobowiązuje się do ochrony danych klientów. Jeśli znalazłeś lukę w zabezpieczeniach naszych systemów lub usług, prosimy o zgłoszenie.
  2. Zgłaszanie. Prosimy o przesłanie szczegółów na adres: security@creatense.com. Prosimy o nieujawnianie publicznie luki do czasu jej naprawienia.
  3. Zasady.
    • Nie wykorzystuj luki do pobierania lub modyfikowania danych użytkowników.
    • Nie przeprowadzaj ataków DoS/DDoS.
    • Nie używaj narzędzi automatycznych generujących duży ruch.
  4. Nasze zobowiązanie. Przeanalizujemy każde zgłoszenie i podejmiemy kroki naprawcze. Nie podejmiemy kroków prawnych przeciwko badaczom bezpieczeństwa działającym w dobrej wierze i zgodnie z tą polityką.
  5. Płatności. Wszystkie płatności są procesowane przez certyfikowanych dostawców PCI-DSS Level 1 (Stripe), a dane kartowe nie są przechowywane na naszych serwerach.

PRIVACY POLICY — CREATENSE LTD
Last updated: 04 Aug 25 | Version: 1.0

1. Data controller

Creatense Ltd (CRN: 16627638)
Address: 3 Desmond Avenue, Hull HU6 7JY, United Kingdom
Email: hello@creatense.com
Website: www.creatense.com
ICO registration (UK): ZC041628

2. Scope

This policy explains how we process personal data when you use our website, landing pages, web-to-lead forms, booking, the Customer Portal/CRM (ClearCRM), helpdesk/ticketing, marketing services (e.g., Meta Ads), and billing workflows.

3. Roles: controller and processor

  • We act as a Data Controller for business contact data, portal users, enquiries, and newsletter subscribers.

  • We act as a Data Processor when a client instructs us to process personal data for service delivery (e.g., campaign leads, contact lists) under an agreement/DPA.

4. Categories of data

Depending on the service and channel, we may process: contact details, business and billing details, booking and communication records, technical data (IP/logs/session identifiers), marketing preferences/consents, and files uploaded to the portal (briefs/assets).
We do not store full payment card details — payments are handled by payment providers.

5. Purposes and legal bases

We process data for: handling enquiries and proposals, performing B2B contracts/services, accounting/tax compliance, operational support and ticketing, our own marketing (where lawful), and security/fraud prevention — under appropriate legal bases (contract, legal obligation, legitimate interests, or consent where applicable).

6. Recipients (categories)

We share data only as necessary with: CRM/portal providers (ClearCRM), email & file tools (e.g., Google Workspace if used), payment providers (e.g., Stripe), bookkeeping/invoicing tools (e.g., Xero if used), advertising platforms (e.g., Meta/Google if relevant), and publishing/scheduling tools (e.g., Brand2Social if used).

7. International transfers

We may process data in the UK and via global service providers. Where data is transferred outside the UK/EEA, we apply appropriate safeguards (e.g., contractual clauses or other lawful transfer mechanisms).

8. Retention

Operational CRM data is typically kept for the duration of the relationship and up to 12 months afterwards (archiving/claims). Accounting records are kept as required by law. Marketing data is kept until you unsubscribe/withdraw consent or successfully object.

9. Your rights

You may request access, rectification, erasure (subject to exceptions), restriction, portability, object, and withdraw consent (where applicable).
Contact: hello@creatense.com or via the portal (if enabled).

10. Complaints

You may lodge a complaint with the ICO (UK) or your local data protection authority (where applicable).

11. Profiling and B2B marketing

We may analyse basic business contact data and interaction history (e.g., email opens/clicks, enquiry topics) to improve service and tailor communications. We do not carry out automated decision-making producing legal effects.

12. Security

We apply technical and organisational safeguards appropriate to risk. We do not require clients to share personal account passwords — access should be granted via platform permissions wherever possible.

13. Updates

We may update this policy. The current version is published in the Customer Portal and/or on our website.

14. Data rights contact
Send data rights requests to hello@creatense.com. The Customer Portal may provide self-service export or request forms.

Legal Documents & Annexes Package (English Version)

1. Data Processing Agreement (DPA)

Location: ClearCRM / Annex to Master Services Agreement Status: Mandatory (UK GDPR / GDPR)

DATA PROCESSING AGREEMENT (DPA)

§ 1. General Provisions

  1. This Agreement regulates the processing of personal data entrusted by the Client ("Controller") to CREATENSE LTD ("Processor") in connection with the provision of marketing services.
  2. The Processor declares that it is registered with the Information Commissioner’s Office (ICO) under registration number ZC041628.

§ 2. Scope and Purpose of Processing

  1. The Controller entrusts the Processor with the processing of personal data for the purpose of executing advertising campaigns (Meta Ads, Google Ads), lead management, and communication.
  2. Categories of Data: Name, surname, email address, phone number, user ID, IP address, behavioral data.
  3. Categories of Data Subjects: Controller’s clients, potential clients (leads), Controller’s employees.

§ 3. Processor’s Obligations

  1. The Processor shall process data solely on documented instructions from the Controller (i.e., Master Agreement and SOW).
  2. The Processor ensures that persons authorized to process the personal data have committed themselves to confidentiality.
  3. The Processor implements security measures in accordance with Art. 32 of the UK GDPR, including: data encryption (HTTPS/TLS), two-factor authentication (2FA), and access control.

§ 4. Sub-processors

  1. The Controller grants general authorization for the engagement of further processors (Sub-processors).
  2. The current list of Sub-processors is available in the "Sub-processor List" document. The Processor shall inform the Controller of any intended changes with at least 30 days' notice.
  3. Key Sub-processors include: Google Cloud (hosting/workspace), Stripe (payments), ClearCRM (CRM system), Leadsie (access management).

§ 5. Data Transfers Data may be transferred to third countries (USA, EU). These transfers are secured via the UK Adequacy Regulations (for EEA) and the UK Extension to the EU-U.S. Data Privacy Framework or Standard Contractual Clauses (SCCs/IDTA) for providers based in the USA.

§ 6. Breaches and Assistance The Processor shall notify the Controller of any personal data breach without undue delay (within 24 hours of becoming aware of it) and shall assist the Controller in reporting the breach to the supervisory authority (ICO).

2. Non-Disclosure Agreement (NDA)

Protects agency know-how and client business data.

Location: Annex to Agreement / ClearCRM

NON-DISCLOSURE AGREEMENT (NDA)

1. Definition of Confidential Information. Confidential Information shall mean any technical, financial, commercial information, marketing strategies, and client data disclosed by the Disclosing Party to the Receiving Party in connection with the collaboration. 2. Exclusions. Confidential Information does not include information that is publicly available, was known to the Receiver prior to disclosure, or was independently developed. 3. Obligations. The Receiving Party agrees to: a) Use Confidential Information solely for the purpose of performing the Services; b) Not disclose information to third parties (except for necessary employees/subcontractors who have signed a similar NDA); c) Protect the information against unauthorized access. 4. Duration. The confidentiality obligation shall remain in effect for the duration of the collaboration and for 3 years after its termination. 5. Return of Data. Upon termination of the agreement, at the Discloser’s request, the Receiver shall delete or return all media containing Confidential Information within 14 days.

3. Legal Notice

Mandatory footer information for UK LTD companies.

Location: Website Footer / Email Footer

LEGAL NOTICE

CREATENSE LTD Registered in England and Wales (Companies House). Company Number (CRN): 16627638 Registered Office: 3 Desmond Avenue, Hull, United Kingdom, HU6 7JY ICO Registration: ZC041628 VAT Status: Non-VAT registered. Contact: hello@creatense.com

Disclaimer: Marketing results presented in case studies are for illustrative purposes only. The Agency does not guarantee specific financial results, as they depend on numerous external factors.

4. Intellectual Property Assignment (IP Clause)

Regulates ownership of graphics, copy, and campaigns.

Location: Section in Master Agreement or Separate Annex

INTELLECTUAL PROPERTY ASSIGNMENT CLAUSE

  1. Transfer of Rights. Upon crediting the Service Provider's bank account with the full amount of remuneration, the Service Provider transfers to the Client the economic copyright to the works created under the order (graphics, ad copy, configurations).
  2. Fields of Exploitation. The transfer includes the right to use the works on the Internet, in social media, on websites, and for digital marketing purposes, without territorial or time limitations.
  3. Moral Rights/Portfolio. The Service Provider retains the right to use the created materials in their own portfolio, promotional materials, and case studies to showcase their skills.
  4. Warranty. The Service Provider warrants that the delivered materials are their original creation and do not infringe upon the rights of third parties.

5. Privacy Policy (Summary for UK GDPR/ICO)

Location: Website / Link in ClearCRM

CREATENSE LTD PRIVACY POLICY

Controller: Creatense LTD (CRN: 16627638, ICO: ZC041628). Data We Collect:

  • Account/Billing Data: Name, company name, address, Tax ID (for invoicing in Xero).
  • Technical Data: IP address, device type, system logs (for security and fraud prevention by Stripe).
  • Marketing Data: Newsletter consents, campaign interactions.

Legal Basis: Performance of Contract (Art. 6(1)(b)), Legal Obligation (Art. 6(1)(c) - accounting), Legitimate Interest (Art. 6(1)(f) - security, B2B marketing).

Data Recipients: Your data is securely processed by trusted providers: Google Cloud (USA/EU), Stripe (Global/USA), ClearCRM (USA), Xero (NZ/UK/US), Tide (UK). All providers outside the UK/EEA employ Standard Contractual Clauses (SCC/IDTA) or the Data Privacy Framework.

Your Rights: You have the right to access, rectify, erase, restrict processing of your data, and to lodge a complaint with the ICO (UK) or relevant EU authority.

6. Cookie Policy

Location: Cookie Banner / Subpage

COOKIE POLICY

We use cookies to ensure security, analyze traffic, and deliver personalized content.

Types of cookies used:

  1. Essential: Required for website functionality and payments.
    • __stripe_mid, __stripe_sid: Fraud prevention during payments (Provider: Stripe).
    • rl_session: User session maintenance in the CRM system.
  2. Performance/Analytics: Help us understand website traffic.
    • _ga, _gid: Google Analytics (visitor statistics).
  3. Targeting/Marketing: Used for advertising.
    • _fbp: Meta Pixel (identifying visitors from Facebook).
    • UserMatchHistory: LinkedIn Insight Tag (ID synchronization for B2B ads).

You can manage your consents via your browser settings or our preference panel.

7. Subprocessor List

Required by GDPR (Art. 28) for the DPA.

Location: Annex to DPA / Website

Entity Service Data Location Transfer Mechanism
Google Cloud / Workspace Hosting, Email, Drive USA / EU Data Privacy Framework / SCC
ClearCRM CRM System, Leads USA Standard Contractual Clauses (SCC)
Stripe Payments, Fraud Prevention Global / USA Data Privacy Framework / SCC
Xero Accounting UK / NZ / USA Adequacy Decision (NZ/UK)
Tide (ClearBank) Banking UK Adequacy Decision (UK)
Leadsie Access Management EU / UK GDPR Compliant (Encrypted tokens)
Brand2Social Social Media Publishing India / Global Standard Contractual Clauses (SCC)
Meta Platforms Ireland Advertising (Joint Controller) Ireland / USA Data Privacy Framework / SCC

8. Disclosure Policy

Rules for reporting security vulnerabilities (Responsible Disclosure).

Location: Website (e.g., /security)

SECURITY AND VULNERABILITY DISCLOSURE POLICY

  1. Security is a Priority. Creatense LTD is committed to protecting client data. If you have found a vulnerability in our systems or services, please report it.
  2. Reporting. Please send details to: security@creatense.com. We ask that you do not publicly disclose the vulnerability until it has been remediated.
  3. Rules.
    • Do not use the vulnerability to download or modify user data.
    • Do not conduct DoS/DDoS attacks.
    • Do not use automated tools that generate significant traffic.
  4. Our Commitment. We will analyze every report and take corrective action. We will not pursue legal action against security researchers acting in good faith and in accordance with this policy.
  5. Payments. All payments are processed by PCI-DSS Level 1 certified providers (Stripe), and card data is not stored on our servers.