Polityka prywatności serwisu pics.ninja

§ 1. Postanowienia ogólne

1. Niniejsza Polityka Prywatności (dalej: „Polityka") określa zasady przetwarzania i ochrony danych osobowych osób korzystających z platformy pics.ninja, działającej pod adresem internetowym www.pics.ninja (dalej: „Platforma" lub „Serwis").

2. Dane osobowe przetwarzane są zgodnie z obowiązującymi przepisami, w szczególności Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych, dalej: „RODO").

3. Pojęcia niezdefiniowane w niniejszej Polityce posiadają znaczenie nadane im w Regulaminie Serwisu Internetowego pics.ninja (dalej: „Regulamin").

4. W celu zapewnienia bezpieczeństwa danych osobowych Usługodawca stosuje odpowiednie środki techniczne i organizacyjne adekwatne do charakteru świadczonych Usług, w szczególności: szyfrowanie danych podczas przesyłania i przechowywania, kontrolę dostępu do danych, regularne kopie zapasowe, monitoring bezpieczeństwa oraz procedury reagowania na incydenty.

§ 2. Administrator danych osobowych

1. Administratorem (w rozumieniu RODO) danych osobowych Usługobiorców jest Konrad Machynia, prowadzący działalność gospodarczą pod firmą „Konrad Machynia Lunamit" (adres stałego miejsca wykonywania działalności gospodarczej: Os. Zgody 12 lok. 51, 31-950 Kraków), wpisany do CEIDG, posiadający NIP: 6783150462, numer REGON: 123085159 (dalej: „Usługodawca" lub „Administrator").

2. W sprawach związanych z przetwarzaniem danych osobowych oraz realizacją praw wynikających z RODO należy kontaktować się z Administratorem za pomocą danych kontaktowych wskazanych w Serwisie w zakładce „Kontakt".

§ 3. Role stron w przetwarzaniu danych (RODO)

1. W zakresie danych osobowych wprowadzanych przez Fotografa do Serwisu, takich jak dane Klientów (np. adresy e-mail, imiona) oraz Zdjęcia (które mogą zawierać wizerunek), Fotograf co do zasady pełni rolę Administratora tych danych.

2. Usługodawca przetwarza dane, o których mowa w ust. 1, wyłącznie w celu i zakresie niezbędnym do świadczenia Usług na rzecz Fotografa (np. przechowywania, udostępniania Galerii Klientom, realizacji funkcji selekcji, komentarzy oraz pobierania), działając jako Podmiot Przetwarzający.

3. Fotograf odpowiada za posiadanie odpowiedniej podstawy prawnej do przetwarzania i przekazywania danych osobowych do Serwisu (w tym w zakresie wizerunku oraz ewentualnych zgód) oraz za przestrzeganie przepisów dotyczących ochrony danych osobowych.

4. Jeżeli przepisy wymagają zawarcia umowy powierzenia przetwarzania danych, jej warunki mogą wynikać z Umowy i Regulaminu (w tym z akceptacji Regulaminu przez Fotografa).

§ 4. Zakres i cele przetwarzania danych osobowych

Administrator przetwarza dane osobowe w związku z funkcjonowaniem Serwisu w następujących celach:

1. Zawarcie i wykonanie Umowy o świadczenie Usług (Subskrypcji) – w tym założenie i prowadzenie Konta Fotografa; w tym celu przetwarzany jest w szczególności adres e-mail (login), hasło oraz dane rozliczeniowe. Podstawa prawna: art. 6 ust. 1 lit. b RODO.

2. Realizacja płatności i rozliczeń – w szczególności obsługa płatności Subskrypcji oraz dokumentacja księgowa i podatkowa. Podstawa prawna: art. 6 ust. 1 lit. c RODO oraz art. 6 ust. 1 lit. b RODO.

3. Świadczenie Usług na rzecz Klientów Fotografów (korzystanie z Galerii bez rejestracji) – w tym udostępnianie Galerii za pomocą Linku Dostępu i (opcjonalnie) Hasła Dostępu. Podstawa prawna: art. 6 ust. 1 lit. b RODO.

4. Obsługa funkcji Galerii (selekcja/wybór, komentarze, pobieranie Zdjęć, w tym paczki ZIP) – w zakresie niezbędnym do zapewnienia działania funkcji udostępnionych przez Fotografa. Podstawa prawna: art. 6 ust. 1 lit. b RODO.

5. Obsługa zgłoszeń i kontaktu – w szczególności odpowiedzi na zapytania i zgłoszenia dotyczące Serwisu. Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora polegający na obsłudze Serwisu) lub art. 6 ust. 1 lit. b RODO (gdy dotyczy Umowy).

6. Ustalenie, dochodzenie lub obrona przed roszczeniami – w zakresie niezbędnym do ochrony praw Administratora. Podstawa prawna: art. 6 ust. 1 lit. f RODO.

7. Zapewnienie bezpieczeństwa i prawidłowego działania Serwisu – w tym administrowanie Serwisem i analiza zdarzeń technicznych; mogą być przetwarzane logi serwera (np. adres IP, data i czas, typ przeglądarki i systemu operacyjnego). Podstawa prawna: art. 6 ust. 1 lit. f RODO.

8. Przetwarzanie wizerunku zawartego w Zdjęciach – w celu świadczenia Usług (przechowywanie, udostępnianie). Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora polegający na świadczeniu Usług) lub art. 28 RODO (przetwarzanie na zlecenie Fotografa jako administratora danych klientów).

Podanie danych osobowych jest dobrowolne, jednak może być niezbędne do zawarcia i wykonania Umowy oraz korzystania z określonych funkcjonalności Serwisu.

§ 5. Okres przechowywania danych (retencja)

1. Dane osobowe są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane, z uwzględnieniem wymogów prawa.

2. W przypadku danych przetwarzanych w celu wykonania Umowy (Subskrypcji) – dane są przetwarzane przez okres obowiązywania i realizacji Umowy.

3. Po zakończeniu Umowy (np. anulowanie Subskrypcji lub brak opłaty) Usługodawca może zapewnić dostęp do Konta Fotografa w celu pobrania danych przez dodatkowy Okres Retencji wynoszący 3 miesiące.

4. Po upływie Okresu Retencji Usługodawca jest uprawniony do trwałego usunięcia Zdjęć i danych zgromadzonych na Koncie Fotografa oraz w Galeriach, bez możliwości ich przywrócenia.

5. Dane przetwarzane w celach wynikających z obowiązków prawnych (np. podatkowych) są przechowywane przez okres wymagany przepisami prawa.

6. Dane przetwarzane w celach wynikających z prawnie uzasadnionego interesu (np. obrona przed roszczeniami) są przechowywane do czasu upływu okresu przedawnienia roszczeń lub skutecznego wniesienia sprzeciwu – o ile dalsze przetwarzanie nie jest uzasadnione.

7. Logi techniczne (w tym adres IP) przechowywane są co do zasady do 30 dni, chyba że dłuższe przechowywanie jest niezbędne do wykrycia nadużyć, zapewnienia bezpieczeństwa lub obrony przed roszczeniami.

§ 6. Odbiorcy danych osobowych

Dane osobowe mogą zostać udostępnione następującym kategoriom odbiorców, wyłącznie w zakresie niezbędnym do działania Serwisu:

• operator płatności: Stripe (realizacja płatności Subskrypcji);
• dostawcy infrastruktury i bezpieczeństwa: Cloudflare (np. CDN/WAF) oraz Cloudflare R2 (przechowywanie Zdjęć i plików), z ustawieniami przechowywania danych w Europie;
• dostawca wysyłki poczty e-mail: Resend (wiadomości transakcyjne, np. rejestracja, reset hasła, powiadomienia systemowe);
• Google (wyłącznie w zakresie opcjonalnej integracji Google Calendar – szczegóły w § 6a);
• podmioty świadczące usługi księgowe, prawne lub doradcze – w zakresie niezbędnym do realizacji obowiązków prawnych lub obrony przed roszczeniami;
• podmioty uprawnione – jeśli obowiązek udostępnienia danych wynika z przepisów prawa.

§ 6a. Integracja z Google Calendar (dane użytkownika Google)

1. Serwis oferuje opcjonalną integrację z Google Calendar (usługi Google LLC). Korzystanie z tej funkcji wymaga wyrażenia przez Fotografa zgody w procesie autoryzacji OAuth (ekran zgody Google). W związku z tą integracją Serwis zbiera i przetwarza wyłącznie: adres e-mail powiązany z kontem Google użytkownika oraz dane wydarzeń wybranego kalendarza (daty, godziny, opisy) – w zakresie niezbędnym do odczytu i zapisu wydarzeń w celu synchronizacji rezerwacji z kalendarzem Google oraz aktualizowania lub usuwania wydarzeń przy zmianach rezerwacji w Serwisie.

2. Dane użytkownika Google są używane wyłącznie do świadczenia funkcji synchronizacji w ramach Serwisu. Nie są sprzedawane ani przekazywane podmiotom trzecim w celach reklamowych, profilowania ani innych niż świadczenie tej funkcji; przekazanie danych do usług Google (API) następuje wyłącznie w celu realizacji synchronizacji. Serwis przestrzega wymogów Google API Services User Data Policy oraz Limited Use. Dane te są chronione tymi samymi środkami technicznymi i organizacyjnymi, o których mowa w § 1 ust. 4 (w tym szyfrowanie, kontrola dostępu).

3. Połączenie z Google Calendar można w każdej chwili rozłączyć w ustawieniach kalendarza w Serwisie; wówczas dostęp do danych kalendarza Google zostaje cofnięty. Przechowywanie i usuwanie danych związanych z integracją regulują § 5 (retencja) oraz § 8 (prawo do usunięcia danych); użytkownik może zwrócić się do Administratora o usunięcie swoich danych. Informacje o przetwarzaniu danych osobowych w związku z Serwisem pozostają regulowane niniejszą Polityką; korzystanie z usług Google podlega także polityce prywatności Google.

§ 7. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

1. Usługodawca dąży do przechowywania Zdjęć i plików w lokalizacji EOG, w szczególności poprzez ustawienia przechowywania danych w Europie dla Cloudflare R2.

2. Ze względu na korzystanie z usług podmiotów o zasięgu globalnym (Cloudflare, Stripe, Resend), niektóre dane techniczne (np. adres IP, logi, metadane komunikacji, dane płatnicze) mogą być przetwarzane lub przekazywane poza EOG, w szczególności do Stanów Zjednoczonych Ameryki (USA).

3. Przekazywanie danych poza EOG odbywa się z zapewnieniem odpowiedniego stopnia ochrony, w szczególności poprzez stosowanie mechanizmów prawnych zgodnych z RODO, w tym Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską lub innych właściwych zabezpieczeń prawnych.

4. Na żądanie osoby, której dane dotyczą, Administrator udostępnia informacje o konkretnych zabezpieczeniach stosowanych przy przekazywaniu danych poza EOG oraz możliwość uzyskania kopii Standardowych Klauzul Umownych.

§ 8. Prawa osób, których dane dotyczą

W związku z przetwarzaniem danych osobowych przysługują następujące uprawnienia:

• prawo dostępu do danych i otrzymania ich kopii;
• prawo do żądania sprostowania danych;
• prawo do żądania usunięcia danych (w przypadkach przewidzianych prawem);
• prawo do ograniczenia przetwarzania;
• prawo do przenoszenia danych (w przypadkach przewidzianych prawem);
• prawo do wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora;
• prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO).

W celu realizacji praw należy skontaktować się z Administratorem za pomocą danych kontaktowych udostępnionych w Serwisie w zakładce „Kontakt". Administrator realizuje prawa w terminie 1 miesiąca od otrzymania żądania, z możliwością przedłużenia do 2 miesięcy w przypadku złożonych żądań, o czym Administrator informuje osobę, której dane dotyczą, w terminie 1 miesiąca od otrzymania żądania.

§ 9. Pliki cookies i logi serwera

1. Do korzystania z Serwisu niezbędne jest włączenie obsługi plików cookies.

2. Serwis wykorzystuje pliki cookies w szczególności w celach niezbędnych do prawidłowego działania (np. utrzymanie sesji Fotografa, logowanie) oraz zapewnienia bezpieczeństwa.

3. Serwis nie wykorzystuje obecnie plików cookies analitycznych ani marketingowych służących profilowaniu lub kierowaniu reklam.

4. Podczas korzystania z Serwisu dane mogą być zbierane automatycznie w logach serwera (np. adres IP, data i czas, informacje o przeglądarce i systemie operacyjnym) w celu administrowania Serwisem i zapewnienia jego bezpieczeństwa.

5. Usługobiorca może w każdej chwili zmienić ustawienia cookies za pomocą ustawień swojej przeglądarki. Wyłączenie lub ograniczenie obsługi cookies może jednak spowodować nieprawidłowości lub ograniczenia w działaniu Serwisu.

§ 10. Postanowienia końcowe

1. Polityka Prywatności jest weryfikowana i w razie potrzeby aktualizowana w celu odzwierciedlenia zmian w sposobie działania Serwisu oraz zmian przepisów prawa.

2. Aktualna wersja Polityki Prywatności jest dostępna w Serwisie.