Polityka prywatności Pixoteca
Wersja 1.0 · obowiązuje od 9 Maja 2026
1. Administrator danych
Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:
Szymon Wilk prowadzący działalność gospodarczą pod firmą „Pixel Studio Szymon Wilk",
ul. Tysiąclecia 25 lok. 18, 41-933 Bytom,
NIP: 6263054947, REGON: 525456624.
Kontakt w sprawach ochrony danych: support@pixoteca.com (z dopiskiem „RODO").
Administrator nie wyznaczył inspektora ochrony danych, wynika to z faktu, że nie zachodzą przesłanki obowiązku jego wyznaczenia określone w art. 37 ust. 1 RODO.
2. Podwójna rola Pixoteca
- Wobec Fotografa (osoby zakładającej Konto): Pixoteca jest Administratorem danych, przetwarza dane Fotografa we własnym imieniu (login, NIP, dane do faktury, logi).
- Wobec Klienta Galerii oraz uczestnika bookingu: Pixoteca jest Procesorem, przetwarza ich dane w imieniu Fotografa będącego Administratorem (e-mail klienta, IP, zgody marketingowe, zdjęcia). Szczegółowe zasady opisuje § 14 Regulaminu (umowa powierzenia, DPA).
Jeśli jesteś klientem fotografa korzystającego z Pixoteca, w pierwszej kolejności sprawdź politykę prywatności tego konkretnego Fotografa, to on jest administratorem Twoich danych. Pixoteca przetwarza je w jego imieniu.
3. Jakie dane zbieramy
3.1. Dane Fotografa (Pixoteca = Administrator)
| Kategoria danych | Cel przetwarzania | Podstawa prawna (RODO) |
|---|---|---|
| Adres e-mail, hasło (przechowywane w postaci skrótu bcrypt) | Założenie i obsługa Konta, uwierzytelnianie | Art. 6 ust. 1 lit. b, wykonanie umowy |
| Imię, nazwisko, nazwa firmy, prefiks subdomeny | Identyfikacja Konta, wystawianie subdomeny | Art. 6 ust. 1 lit. b |
| NIP, REGON, adres rejestrowy, dane do faktury | Wystawianie faktur VAT, obowiązki podatkowe | Art. 6 ust. 1 lit. c, obowiązek prawny (Ordynacja podatkowa) |
| Identyfikator konta Stripe Connected | Rozliczenia płatności od Klientów Galerii | Art. 6 ust. 1 lit. b |
| Adres IP, User-Agent (logi serwera, logi bezpieczeństwa) | Bezpieczeństwo serwisu, wykrywanie nadużyć | Art. 6 ust. 1 lit. f, uzasadniony interes |
| Logi błędów aplikacji (error_events) | Diagnostyka i naprawa awarii | Art. 6 ust. 1 lit. f |
| Adres e-mail (newsletter, opcjonalnie, jeśli zostanie udostępniony) | Informacje marketingowe | Art. 6 ust. 1 lit. a, zgoda |
3.2. Dane Klienta Galerii / uczestnika bookingu (Pixoteca = Procesor)
| Kategoria danych | Cel przetwarzania | Podstawa |
|---|---|---|
| Adres e-mail, IP, User-Agent (gallery_visitors) | Dostęp do galerii, identyfikacja sesji | Polecenie Fotografa (Administratora), art. 28 RODO |
| Zgoda marketingowa (marketing_consent) | Komunikacja marketingowa Fotografa | Zgoda klienta, art. 6 ust. 1 lit. a |
| Imię, nazwisko, telefon, adres, GPS (booking) | Realizacja rezerwacji sesji fotograficznej | Polecenie Fotografa |
| Znaczniki forensic stamping zdjęć | Bezpieczeństwo (zapobieganie nieautoryzowanemu wycieku) | Polecenie Fotografa |
W zakresie powyższym Pixoteca przetwarza dane wyłącznie na polecenie Fotografa, Administratora. Realizacja praw osoby (art. 15-22 RODO) odbywa się bezpośrednio u Fotografa lub poprzez Pixoteca, z przekazaniem żądania do Fotografa.
4. Komu udostępniamy dane (subprocesorzy)
Pixoteca korzysta z następujących subprocesorów przy świadczeniu usługi:
| Subprocesor | Rola | Lokalizacja przetwarzania |
|---|---|---|
| Cloudflare, Inc. (R2 Object Storage) | Przechowywanie zdjęć i plików galerii | Region UE (eu-central) |
| Stripe Payments Europe Limited (i jej spółki zależne) | Operator płatności i Stripe Connect | Irlandia (EOG); Stripe, Inc. - USA |
| Resend, Inc. | Wysyłka e-maili transakcyjnych (SMTP) | USA |
| Hetzner Online GmbH | Hosting aplikacji oraz bazy danych MySQL | Niemcy (EOG) |
Aktualna lista subprocesorów (z zakresami danych powierzanych każdemu z nich) znajduje się pod adresem /regulamin/subprocesorzy.
5. Transfery danych do państw trzecich
- Stripe (USA), transfer odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską oraz w ramach EU-US Data Privacy Framework (Stripe, Inc. jest zarejestrowanym uczestnikiem programu).
- Resend (USA), transfer odbywa się na podstawie SCC zawartych w umowie Data Processing Agreement Resend.
- Cloudflare R2, region UE (eu-central), brak transferu poza EOG.
- Hetzner, Niemcy, brak transferu poza EOG.
6. Okresy retencji
- Konto Fotografa (aktywne): przez okres trwania umowy.
- Po kasacji Konta: 15 dni grace period na pobranie danych, następnie trwała kasacja.
- Faktury VAT: 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 86 § 1 Ordynacji podatkowej).
- Logi serwera (IP, User-Agent, request log): 90 dni.
- Logi bezpieczeństwa (security_events, password_attempts): 12 miesięcy.
- Dane Klientów Galerii: zgodnie z poleceniem Fotografa-Administratora; domyślnie do końca trwania danej Galerii oraz 30-dniowy grace period.
- Forensic variants zdjęć: usuwane razem z oryginałem zdjęcia.
7. Twoje prawa (art. 15-22 RODO)
Przysługują Ci następujące prawa wobec Pixoteca jako Administratora Twoich danych:
- Dostępu (art. 15), możesz uzyskać kopię swoich danych. Eksport realizowany na żądanie wysłane na support@pixoteca.com.
- Sprostowania (art. 16), większość danych możesz edytować bezpośrednio w panelu (/photographers/account); pozostałe na żądanie.
- Usunięcia danych (art. 17), przez kasację Konta. Wyjątek: dane zawarte w fakturach VAT pozostają 5 lat zgodnie z prawem podatkowym.
- Ograniczenia przetwarzania (art. 18), na żądanie e-mailem.
- Przenoszenia danych (art. 20), eksport w formacie JSON na żądanie.
- Sprzeciwu wobec przetwarzania opartego o uzasadniony interes (art. 21), e-mailem.
- Cofnięcia zgody (art. 7), w każdym czasie, w szczególności wycofanie zgody marketingowej jednym kliknięciem w stopce e-maila.
- Skargi do organu nadzorczego, Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa.
8. Profilowanie i decyzje zautomatyzowane
Pixoteca nie stosuje profilowania w rozumieniu art. 22 RODO (zautomatyzowane przetwarzanie wywołujące skutki prawne lub w podobny sposób istotnie wpływające na osobę). Decyzje dotyczące Twojego Konta podejmuje Administrator manualnie lub na podstawie deterministycznych zasad biznesowych.
9. Bezpieczeństwo
- Dane są szyfrowane at-rest na poziomie nośników (Cloudflare R2 oraz Hetzner stosują zarządzane szyfrowanie dysków).
- Transmisja danych odbywa się przez szyfrowane połączenie TLS 1.2 lub nowsze.
- Hasła są przechowywane w postaci jednokierunkowego skrótu kryptograficznego (bcrypt, parametry domyślne Devise).
- Pixoteca prowadzi regularne audyty bezpieczeństwa.
- W razie naruszenia ochrony danych osobowych Administrator powiadamia organ nadzorczy (PUODO) w terminie 72 godzin od stwierdzenia naruszenia (art. 33 ust. 1 RODO), a Fotografów-Administratorów oraz inne osoby zainteresowane bez zbędnej zwłoki (art. 34 RODO oraz § 14.6 Regulaminu).
10. Pliki cookies i narzędzia analityczno-marketingowe
Na stronach serwisu (z wyłączeniem stref galerii klienckich) używamy plików cookies w trzech kategoriach. Cookies niezbędne działają zawsze — są wymagane do logowania, bezpieczeństwa i zapamiętania Twojej decyzji o zgodzie. Cookies analityczne i marketingowe działają wyłącznie po wyrażeniu przez Ciebie zgody (art. 399–400 ustawy z dnia 12 lipca 2024 r. — Prawo komunikacji elektronicznej oraz art. 6 ust. 1 lit. a RODO). Zgodę możesz w każdej chwili zmienić lub wycofać — link „Ustawienia cookies" znajduje się w stopce serwisu; wycofanie zgody powoduje usunięcie powiązanych cookies.
| Cookie | Kategoria | Cel | Maks. czas życia |
|---|---|---|---|
_pixoteca_session | niezbędne | Sesja Fotografa (Devise, podpisana) | do 7 dni |
gallery_visitor_* | niezbędne | Sesja Klienta Galerii (podpisana) | do 30 dni |
gallery_pass_* | niezbędne | Pamiętanie hasła do galerii (podpisana) | do 30 dni |
gallery_private_* | niezbędne | Dostęp do prywatnych zdjęć w galerii | do 30 dni |
fav_session_* | niezbędne | Pamiętanie ulubionych zdjęć w galerii | do 30 dni |
pixoteca_cookie_consent | niezbędne | zapamiętanie Twojej decyzji o zgodzie | 12 miesięcy |
_pxt_cid, _pxt_sid | analityczne | identyfikatory pomiarowe Google Analytics (first-party) | 90 dni / 30 minut |
_ga, _ga_* | analityczne | Google Analytics 4 — statystyka odwiedzin | 13 miesięcy |
_gcl_au | marketingowe | Google Ads — pomiar skuteczności reklam | 3 miesiące |
_fbp, _fbc | marketingowe | Meta (Facebook/Instagram) — pomiar i dopasowanie reklam | 3 miesiące |
Odbiorcami danych zbieranych za zgodą są: Google LLC (Google Analytics 4, Google Ads) oraz Meta Platforms Ireland Ltd (Piksel Meta i Conversions API). Po wyrażeniu zgody marketingowej możemy przekazywać tym podmiotom również Twój adres IP oraz — w formie skróconej kryptograficznie (SHA-256) — adres e-mail powiązany z kontem, w celu pomiaru konwersji. Transfer danych do Google LLC w USA odbywa się na podstawie decyzji Komisji Europejskiej o adekwatności — EU-US Data Privacy Framework, którego Google LLC jest certyfikowanym uczestnikiem. Google Analytics 4 nie zapisuje adresów IP użytkowników z UE.
Pliki cookies niezbędne można wyłączyć w ustawieniach przeglądarki, w takim przypadku niektóre funkcje serwisu (logowanie, dostęp do galerii) przestaną działać. Cookies analityczne i marketingowe można w każdej chwili wyłączyć przez „Ustawienia cookies" w stopce serwisu.
11. Zmiany Polityki prywatności
W przypadku istotnych zmian niniejszej Polityki Pixoteca powiadomi zarejestrowanych Fotografów e-mailem z minimum 14-dniowym wyprzedzeniem. Polityka prywatności jest dokumentem informacyjnym, nie wymaga akceptacji ani ponownej akceptacji przy zmianach.
12. Kontakt w sprawach prywatności
Sprawy dotyczące przetwarzania danych osobowych prosimy kierować na adres:
support@pixoteca.com (z dopiskiem „RODO")
lub pocztą tradycyjną na adres siedziby Administratora:
Pixel Studio Szymon Wilk, ul. Tysiąclecia 25 lok. 18, 41-933 Bytom.