Polityka prywatności

1. Administrator danych

Administratorem danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) jest MK Media, podmiot z siedzibą w Zjednoczonym Królestwie, prowadzący platformę FotoSesja.ai. Pełne dane rejestrowe Administratora (numer rejestracyjny, adres siedziby) dostępne są na żądanie pod adresem kontaktowym. Administrator przetwarza dane osobowe zgodnie z RODO oraz ustawą o ochronie danych osobowych z dnia 10 maja 2018 r. Kontakt w sprawach ochrony danych: adres e-mail: kontakt@fotosesja.ai, formularz kontaktowy dostępny na stronie Platformy pod adresem /kontakt. Administrator nie wyznaczył Inspektora Ochrony Danych (Data Protection Officer, DPO), ponieważ nie spełnia warunków wymagających obligatoryjnego powołania DPO określonych w art. 37 RODO. Niemniej jednak wszelkie zapytania dotyczące ochrony danych osobowych należy kierować na powyższy adres e-mail i będą one rozpatrywane z najwyższą starannością. Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych przez Administratora, cele i podstawy prawne przetwarzania, prawa osób, których dane dotyczą, oraz informacje o podmiotach, którym dane mogą być udostępniane.

2. Jakie dane zbieramy

Administrator zbiera i przetwarza następujące kategorie danych osobowych: (a) Dane podawane przez Użytkownika (dane rejestracyjne): imię i nazwisko, adres e-mail (służący jednocześnie jako login), numer telefonu kontaktowego, nazwa studia fotograficznego (opcjonalnie), slug URL (unikalna nazwa wykorzystywana w adresach galerii), hasło dostępu (przechowywane w formie zahaszowanej algorytmem bcrypt), preferencje językowe (język interfejsu Platformy), ustawienia brandingowe (logo, kolory firmowe, stopka mailowa). W przypadku Klientów (osób końcowych przeglądających galerie): imię i nazwisko, adres e-mail, numer telefonu (jeśli podany), informacje o zamówieniach wydruków (adres dostawy, preferowana opcja dostawy). (b) Dane zbierane automatycznie (dane techniczne i analityczne): adres IP urządzenia, z którego następuje połączenie z Platformą, typ i wersja przeglądarki internetowej, system operacyjny, rozdzielczość ekranu, informacje o urządzeniu (desktop/mobile/tablet), dane dotyczące aktywności na Platformie (data i godzina logowania, przeglądane podstrony, czas sesji), logi serwera zawierające informacje o żądaniach HTTP (metoda, URL, kod odpowiedzi, rozmiar przesłanych danych), pliki cookies i podobne technologie (szczegóły w sekcji dotyczącej cookies). (c) Dane przesyłane w ramach usług Platformy (zdjęcia i treści): zdjęcia referencyjne przesyłane przez Fotografa (mogą zawierać wizerunki osób fizycznych, które stanowią dane osobowe w rozumieniu RODO), metadane zdjęć (EXIF: data wykonania, parametry aparatu, lokalizacja - jeśli nie zostały usunięte przez Fotografa), zdjęcia generowane przez sztuczną inteligencję na podstawie zdjęć referencyjnych, komentarze i notatki dodawane przez Fotografa lub Klienta w ramach galerii. (d) Dane finansowe i transakcyjne: historia zakupu pakietów Kredytów (data, kwota, wybrana metoda płatności), identyfikator transakcji Stripe (nie przechowujemy danych kart płatniczych - są one przetwarzane bezpośrednio przez Stripe), historia wydatkowania Kredytów (data, liczba Kredytów, identyfikator sesji), faktury VAT i dokumenty księgowe zgodnie z wymogami prawa podatkowego.

3. Cel przetwarzania danych

Administrator przetwarza dane osobowe w następujących celach, każdorazowo w oparciu o określoną podstawę prawną: (1) Świadczenie usług Platformy - przetwarzanie niezbędne do wykonania umowy o świadczenie usług drogą elektroniczną, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b RODO). Obejmuje to: rejestrację i zarządzanie kontem Użytkownika, przesyłanie i przechowywanie zdjęć referencyjnych na serwerach AWS S3, generowanie treści AI przy użyciu Google Gemini API, tworzenie i udostępnianie galerii dla Klientów, umożliwianie składania zamówień wydruków przez Klientów, zarządzanie systemem Kredytów. (2) Realizacja płatności - przetwarzanie niezbędne do wykonania umowy (art. 6 ust. 1 lit. b RODO) oraz wypełnienia obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c RODO), w tym: przetwarzanie płatności za Kredyty za pośrednictwem Stripe, wystawianie faktur VAT zgodnie z przepisami podatkowymi, przechowywanie dokumentacji księgowej i finansowej przez wymagany prawem okres (5 lat). (3) Komunikacja z Użytkownikiem - realizacja prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO), polegającego na: wysyłaniu powiadomień e-mail dotyczących zmian w usłudze, ostrzeżeń bezpieczeństwa, potwierdzeń zamówień, odpowiadaniu na zapytania kierowane przez formularz kontaktowy lub e-mail, świadczeniu pomocy technicznej i wsparcia. (4) Analiza i ulepszanie usług - realizacja prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO), polegającego na: analizie statystyk korzystania z Platformy w celu optymalizacji działania serwisu, identyfikowaniu błędów technicznych i ich naprawie, badaniu zachowań Użytkowników w celu doskonalenia interfejsu (UX/UI), planowaniu rozwoju nowych funkcjonalności w oparciu o potrzeby Użytkowników. (5) Wypełnienie obowiązków prawnych - przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c RODO), w tym: przechowywanie dokumentacji księgowej zgodnie z ustawą o rachunkowości, przechowywanie danych transakcyjnych zgodnie z przepisami podatkowymi, współpraca z organami ścigania w zakresie wymaganym prawem, realizacja obowiązków wynikających z RODO (np. udzielanie odpowiedzi na żądania dostępu do danych). (6) Marketing bezpośredni usług własnych - realizacja prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO) w odniesieniu do Użytkowników będących klientami Platformy lub zgoda (art. 6 ust. 1 lit. a RODO) w przypadku osób niebędących klientami, obejmująca: wysyłkę newslettera z informacjami o nowych funkcjonalnościach, promocjach, wskazówkach dotyczących korzystania z Platformy, informowanie o zmianach w cenniku lub warunkach świadczenia usług. Użytkownik ma prawo w dowolnym momencie wycofać zgodę na otrzymywanie komunikacji marketingowej poprzez kliknięcie linku rezygnacji w wiadomości e-mail lub zmianę ustawień w panelu Platformy.

4. Udostępnianie danych podmiotom trzecim

Administrator korzysta z usług zewnętrznych podmiotów przetwarzających (sub-procesorów) w celu świadczenia usług Platformy. Dane osobowe mogą być udostępniane następującym kategoriom odbiorców: (1) Amazon Web Services, Inc. (AWS) - Cel: hosting zdjęć referencyjnych i wygenerowanych przez AI na serwerach S3, hosting bazy danych MySQL, infrastruktura serwerowa. Lokalizacja: region eu-west-2 (Londyn, Wielka Brytania - państwo trzecie o stwierdzeniu adekwatności na podstawie decyzji Komisji Europejskiej). Podstawa prawna: umowa powierzenia przetwarzania danych (Data Processing Addendum) dostępna na stronie AWS. AWS spełnia wymogi PCI DSS, ISO 27001, SOC 2 Type II. Więcej informacji: https://aws.amazon.com/compliance/gdpr-center/. (2) Google LLC (Google Cloud, Gemini API) - Cel: przetwarzanie zdjęć referencyjnych przez model sztucznej inteligencji Gemini w celu wygenerowania treści AI. Lokalizacja: dane mogą być przetwarzane w centrach danych Google Cloud poza Europejskim Obszarem Gospodarczym (EOG), w tym w Stanach Zjednoczonych. Podstawa prawna: standardowe klauzule umowne (Standard Contractual Clauses, SCC) zatwierdzone decyzją wykonawczą Komisji Europejskiej (EU) 2021/914 z dnia 4 czerwca 2021 r. Google spełnia wymogi ISO 27001, SOC 2 Type II. Ważna informacja: Zdjęcia przesyłane do Gemini API nie są wykorzystywane przez Google do trenowania modeli AI zgodnie z Google Cloud Data Processing Addendum. Więcej informacji: https://cloud.google.com/terms/data-processing-addendum. (3) Stripe, Inc. - Cel: przetwarzanie płatności za Kredyty, obsługa transakcji kartami płatniczymi i BLIK, zarządzanie subskrypcjami i fakturami. Lokalizacja: Stany Zjednoczone (państwo trzecie - transfer odbywa się na podstawie SCC oraz decyzji o adekwatności EU-US Data Privacy Framework). Podstawa prawna: Stripe jest certyfikowanym operatorem płatności zgodnym z PCI DSS Level 1 (najwyższy poziom bezpieczeństwa dla przetwarzania danych kart płatniczych). Stripe nie udostępnia Administratorowi danych kart płatniczych Użytkowników - Administrator otrzymuje jedynie identyfikator transakcji oraz informacje o statusie płatności. Więcej informacji: https://stripe.com/privacy. (4) Amazon Simple Email Service (AWS SES) - Cel: wysyłka powiadomień e-mail, maili transakcyjnych (potwierdzenia rejestracji, resetowanie hasła, powiadomienia o zamówieniach), newsletterów. Lokalizacja: region eu-west-2 (Londyn). Podstawa prawna: umowa powierzenia przetwarzania danych w ramach AWS. (5) Nginx, Plesk, infrastruktura serwerowa - Cel: hosting aplikacji, logi serwera, zabezpieczenia WAF (Web Application Firewall). Lokalizacja: serwery zlokalizowane na terytorium Unii Europejskiej. Oświadczenie o nieudostępnianiu danych: Administrator oświadcza, że nie sprzedaje, nie wynajmuje ani nie udostępnia danych osobowych Użytkowników podmiotom trzecim w celach marketingowych. Dane osobowe mogą być udostępniane wyłącznie podmiotom przetwarzającym działającym w imieniu Administratora na podstawie umów powierzenia przetwarzania danych oraz organom władzy publicznej w zakresie wymaganym przepisami prawa (np. organom podatkowym, organom ścigania na podstawie prawomocnego postanowienia sądu).

5. Okres przechowywania danych

Administrator przetwarza dane osobowe przez okres nie dłuższy, niż jest to niezbędne do realizacji celów przetwarzania, z uwzględnieniem obowiązków prawnych wymagających dłuższego okresu przechowywania. Szczegółowe okresy przechowywania poszczególnych kategorii danych: (1) Dane konta Użytkownika (imię, nazwisko, e-mail, telefon, preferencje) - przechowywane przez okres korzystania z usług Platformy oraz przez 30 dni kalendarzowych od daty usunięcia konta. Po upływie tego okresu dane są trwale i nieodwracalnie usuwane z bazy danych. Użytkownik może w terminie 30 dni od usunięcia konta zażądać jego przywrócenia poprzez kontakt z Administratorem. (2) Dane finansowe i transakcyjne (faktury VAT, historia zakupu Kredytów, identyfikatory transakcji Stripe) - przechowywane przez okres 5 lat od końca roku podatkowego, w którym przeprowadzono transakcję, zgodnie z art. 112 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług oraz art. 74 ust. 2 ustawy z dnia 29 września 1994 r. o rachunkowości. Po upływie tego okresu dane są archiwizowane lub usuwane. (3) Zdjęcia referencyjne i zdjęcia wygenerowane przez AI - przechowywane na serwerach AWS S3 przez okres korzystania z usług Platformy oraz przez 30 dni kalendarzowych od daty usunięcia konta Fotografa. Po upływie tego okresu wszystkie pliki zdjęć są trwale usuwane z serwerów AWS. Fotograf ma prawo w dowolnym momencie usunąć wybrane zdjęcia lub całe galerie z poziomu panelu Platformy. Zdjęcia usunięte przez Fotografa są trwale kasowane z AWS S3 w ciągu 24 godzin. (4) Logi serwera (adresy IP, żądania HTTP, logi błędów) - przechowywane przez okres 90 dni kalendarzowych od daty ich utworzenia. Po upływie tego okresu logi są automatycznie usuwane. Logi serwera mogą być przechowywane przez dłuższy okres w przypadku, gdy są niezbędne do ustalenia, dochodzenia lub obrony przed roszczeniami prawnymi. (5) Dane dotyczące korespondencji mailowej, zgłoszeń reklamacyjnych, zapytań kierowanych do Administratora - przechowywane przez okres niezbędny do załatwienia sprawy oraz przez okres 3 lat od daty zakończenia sprawy w celu zabezpieczenia przed ewentualnymi roszczeniami. (6) Dane dotyczące zgód marketingowych - przechowywane do momentu wycofania zgody przez Użytkownika. Po wycofaniu zgody dane są przetwarzane wyłącznie w celu udokumentowania faktu udzielenia i cofnięcia zgody (wymóg rozliczalności z art. 7 ust. 1 RODO). (7) Dane Klientów końcowych (osoby przeglądające galerie) - przechowywane przez okres wyznaczony przez Fotografa (administratora tych danych) oraz przez 30 dni od usunięcia konta Fotografa. Administrator Platformy przetwarza te dane w charakterze podmiotu przetwarzającego zgodnie z poleceniami Fotografa.

6. Prawa użytkownika

Na podstawie przepisów RODO osobie, której dane dotyczą, przysługują następujące prawa: (1) Prawo dostępu do danych (art. 15 RODO) - prawo do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe danej osoby, a jeżeli ma to miejsce - prawo dostępu do tych danych oraz informacji o celach przetwarzania, kategoriach danych, odbiorcach danych, planowanym okresie przechowywania, prawach przysługujących osobie, której dane dotyczą. Użytkownik może w każdej chwili zażądać kopii swoich danych, przesyłając wniosek na adres: kontakt@fotosesja.ai. Administrator udzieli odpowiedzi w terminie 30 dni od otrzymania wniosku. (2) Prawo do sprostowania danych (art. 16 RODO) - prawo do żądania od Administratora niezwłocznego sprostowania danych osobowych, które są nieprawidłowe, oraz do uzupełnienia niekompletnych danych osobowych. Użytkownik może w dowolnym momencie zaktualizować swoje dane w panelu ustawień konta lub przesłać wniosek o sprostowanie danych na adres: kontakt@fotosesja.ai. (3) Prawo do usunięcia danych - "prawo do bycia zapomnianym" (art. 17 RODO) - prawo do żądania niezwłocznego usunięcia danych osobowych w przypadkach określonych w art. 17 RODO, w tym gdy: dane nie są już niezbędne do celów, w których zostały zebrane, osoba cofnęła zgodę i nie istnieje inna podstawa prawna przetwarzania, dane były przetwarzane niezgodnie z prawem, dane muszą być usunięte w celu wywiązania się z obowiązku prawnego. Uwaga: prawo do usunięcia nie ma zastosowania, jeżeli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego (np. przechowywania danych księgowych przez 5 lat). Użytkownik może usunąć swoje konto w dowolnym momencie z poziomu panelu ustawień. (4) Prawo do ograniczenia przetwarzania (art. 18 RODO) - prawo do żądania ograniczenia przetwarzania danych w przypadkach określonych w art. 18 RODO, w tym gdy: osoba kwestionuje prawidłowość danych, przetwarzanie jest niezgodne z prawem, a osoba sprzeciwia się usunięciu danych, Administrator nie potrzebuje już danych, ale są one potrzebne osobie do ustalenia, dochodzenia lub obrony roszczeń. Wniosek o ograniczenie przetwarzania można przesłać na adres: kontakt@fotosesja.ai. (5) Prawo do przenoszenia danych (art. 20 RODO) - prawo do otrzymania swoich danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. JSON, CSV) oraz prawo do przesłania tych danych innemu administratorowi bez przeszkód ze strony Administratora. Prawo to dotyczy danych przetwarzanych na podstawie zgody lub umowy oraz przetwarzanych w sposób zautomatyzowany. Użytkownik może zażądać eksportu swoich danych, kontaktując się pod adresem: kontakt@fotosesja.ai. (6) Prawo do sprzeciwu wobec przetwarzania (art. 21 RODO) - prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych w przypadku, gdy przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO). W takim przypadku Administrator nie może już przetwarzać tych danych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą. Sprzeciw można wnieść w szczególności wobec przetwarzania danych w celach marketingowych. (7) Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) - w przypadku gdy przetwarzanie danych odbywa się na podstawie zgody (art. 6 ust. 1 lit. a RODO), osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem. Użytkownik może wycofać zgodę na przetwarzanie danych w celach marketingowych poprzez kliknięcie linku rezygnacji w wiadomości e-mail lub poprzez zmianę ustawień w panelu konta. Sposób realizacji praw: W celu skorzystania z powyższych praw należy przesłać wniosek na adres: kontakt@fotosesja.ai, podając imię, nazwisko, adres e-mail powiązany z kontem oraz wskazując, z jakiego prawa osoba chce skorzystać. Administrator rozpatrzy wniosek w terminie 30 dni od daty jego otrzymania i udzieli odpowiedzi drogą mailową. W uzasadnionych przypadkach (skomplikowany wniosek, duża liczba wniosków) termin może zostać przedłużony o kolejne 60 dni, o czym Administrator poinformuje osobę składającą wniosek.

7. Pliki cookies

Platforma wykorzystuje pliki cookies oraz podobne technologie śledzące (localStorage, sessionStorage, web beacons) w celu zapewnienia prawidłowego funkcjonowania serwisu oraz w celu analitycznym. Zgodnie z art. 173 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, korzystanie z niektórych rodzajów plików cookies wymaga uzyskania zgody Użytkownika. Kategorie plików cookies: (1) Cookies niezbędne (strictly necessary) - są to pliki cookies absolutnie konieczne do prawidłowego działania Platformy. Bez tych plików cookies Platforma nie może funkcjonować poprawnie. Cookies te nie wymagają zgody Użytkownika na podstawie art. 173 ust. 3 Prawa telekomunikacyjnego. Przykłady: cookie sesyjne Laravel (laravel_session) - przechowuje informacje o sesji zalogowanego Użytkownika, token CSRF (XSRF-TOKEN) - zabezpiecza przed atakami Cross-Site Request Forgery, cookie preferencji językowych (locale) - zapamiętuje wybrany język interfejsu. Okres przechowywania: do momentu zamknięcia przeglądarki (cookies sesyjne) lub do 1 roku (cookies trwałe). (2) Cookies funkcjonalne (functional) - służą do zapamiętywania wyborów dokonanych przez Użytkownika (np. preferencje wyświetlania, rozmiar czcionki, kolory interfejsu) oraz do zapewnienia zaawansowanych funkcjonalności Platformy. Cookies te wymagają zgody Użytkownika. Przykłady: cookie zapamiętujące preferowany sposób wyświetlania galerii (siatka/lista), cookie zapamiętujące ostatnio przeglądane galerie, cookie zapamiętujące stan rozwinięcia/zwinięcia paneli bocznych. Okres przechowywania: do 12 miesięcy. (3) Cookies analityczne (analytical/performance) - służą do analizy ruchu na stronie, badania zachowań Użytkowników, identyfikowania najpopularniejszych funkcji oraz wykrywania błędów technicznych. Cookies te wymagają zgody Użytkownika. Platforma nie wykorzystuje obecnie zewnętrznych narzędzi analitycznych (takich jak Google Analytics). Jeśli w przyszłości zostaną wdrożone, Użytkownik zostanie o tym poinformowany i poproszony o zgodę. Okres przechowywania: do 24 miesięcy. (4) Cookies marketingowe (advertising) - Platforma obecnie nie wykorzystuje plików cookies w celach marketingowych ani do śledzenia Użytkownika na stronach trzecich. Zarządzanie plikami cookies: Użytkownik może w dowolnym momencie zmienić ustawienia dotyczące plików cookies w swojej przeglądarce internetowej. Większość przeglądarek domyślnie akceptuje pliki cookies, jednak Użytkownik może zmienić ustawienia tak, aby przeglądarka blokowała wszystkie pliki cookies lub informowała o ich wysyłaniu. Instrukcje dotyczące zarządzania plikami cookies w popularnych przeglądarkach: Chrome: https://support.google.com/chrome/answer/95647, Firefox: https://support.mozilla.org/pl/kb/ciasteczka, Safari: https://support.apple.com/pl-pl/guide/safari/sfri11471/mac, Edge: https://support.microsoft.com/pl-pl/microsoft-edge/usuwanie-plik%C3%B3w-cookie-w-przegl%C4%85darce-microsoft-edge-63947406-40ac-c3b8-57b9-2a946a29ae09. Ważna uwaga: Zablokowanie plików cookies niezbędnych uniemożliwi korzystanie z Platformy (brak możliwości zalogowania się). Zablokowanie plików cookies funkcjonalnych może ograniczyć funkcjonalność Platformy (np. ustawienia nie będą zapamiętywane między sesjami).

8. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych zgodnie z art. 32 RODO, w tym w szczególności w celu ochrony przed przypadkowym lub niezgodnym z prawem zniszczeniem, utracą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Środki techniczne: (1) Szyfrowanie danych w tranzycie - wszystkie połączenia z Platformą są szyfrowane przy użyciu protokołu TLS 1.2 lub wyższego (Transport Layer Security). Certyfikat SSL jest wydawany przez Let's Encrypt i jest automatycznie odnawialny. Wszystkie żądania HTTP są automatycznie przekierowywane na HTTPS. (2) Szyfrowanie danych w spoczynku - wszystkie zdjęcia przechowywane na serwerach AWS S3 są szyfrowane w spoczynku (encryption at rest) przy użyciu szyfrowania AES-256. Dane w bazie danych MySQL są przechowywane na wolumenach szyfrowanych przez AWS EBS. (3) Haszowanie haseł - hasła Użytkowników są haszowane przy użyciu algorytmu bcrypt z kosztem 10 iteracji, co zapewnia odporność na ataki brute-force. Hasła nigdy nie są przechowywane w formie jawnej. (4) Regularne kopie bezpieczeństwa - automatyczne kopie zapasowe bazy danych są tworzone codziennie i przechowywane w osobnej lokalizacji przez okres 30 dni. Kopie zapasowe są szyfrowane i dostępne wyłącznie dla uprawnionych administratorów. (5) Kontrola dostępu - dostęp do infrastruktury serwerowej i bazy danych jest ograniczony do minimalnej liczby osób i wymaga uwierzytelniania wieloskładnikowego (MFA). Dostęp do danych osobowych Użytkowników jest logowany i monitorowany. Panel Super Admina jest chroniony dedykowanym systemem uwierzytelniania i jest dostępny wyłącznie dla administratorów Platformy. (6) Ochrona przed atakami - Platforma jest chroniona przez Web Application Firewall (WAF) konfigurowany przez Plesk i Nginx, który blokuje popularne ataki (SQL Injection, XSS, CSRF, RCE). Zaimplementowany jest system rate limiting, który ogranicza liczbę żądań z jednego adresu IP w celu ochrony przed atakami brute-force i DDoS. Wszystkie formularze są chronione przed atakami CSRF poprzez tokeny Laravel. Wejścia użytkownika są walidowane i sanityzowane w celu ochrony przed atakami XSS i SQL Injection. (7) Aktualizacje bezpieczeństwa - Framework Laravel, biblioteki PHP, Node.js oraz systemy operacyjne są regularnie aktualizowane w celu załatania znanych luk bezpieczeństwa. Administrator monitoruje raporty o lukach bezpieczeństwa (CVE) i wdraża poprawki w trybie pilnym. Środki organizacyjne: (1) Polityka bezpieczeństwa informacji - Administrator wdrożył wewnętrzną politykę bezpieczeństwa informacji określającą zasady przetwarzania danych osobowych, zarządzania dostępem, kopii zapasowych i reakcji na incydenty. (2) Szkolenia pracowników - osoby mające dostęp do danych osobowych są przeszkolone w zakresie przepisów RODO oraz zasad bezpiecznego przetwarzania danych. (3) Umowy powierzenia przetwarzania danych - wszystkie podmioty przetwarzające dane w imieniu Administratora (AWS, Google, Stripe) są związane umowami powierzenia przetwarzania danych (Data Processing Agreements) spełniającymi wymogi art. 28 RODO. (4) Procedura zgłaszania naruszeń - Administrator wdrożył procedurę zgłaszania naruszeń ochrony danych osobowych zgodnie z art. 33 i 34 RODO. W przypadku naruszenia Administrator dokona oceny ryzyka i w razie potrzeby zgłosi naruszenie organowi nadzorczemu w terminie 72 godzin oraz poinformuje osoby, których dane dotyczą.

9. Transfer danych poza EOG

Administrator przetwarza dane osobowe głównie na terytorium Unii Europejskiej. Niemniej jednak w związku z korzystaniem z usług podmiotów przetwarzających zlokalizowanych poza Europejskim Obszarem Gospodarczym (EOG), dane osobowe mogą być przekazywane do państw trzecich. Transfer danych poza EOG odbywa się wyłącznie na podstawie odpowiednich zabezpieczeń prawnych zapewniających zgodność z art. 44-49 RODO. Szczegóły transferów danych poza EOG: (1) Amazon Web Services (AWS) - hosting zdjęć i bazy danych - Lokalizacja: region eu-west-2 (Londyn, Wielka Brytania). Wielka Brytania jest państwem trzecim (spoza EOG po Brexicie), jednak Komisja Europejska wydała decyzję o stwierdzeniu adekwatności z dnia 28 czerwca 2021 r. (decyzja wykonawcza Komisji (UE) 2021/1772), na mocy której uznano, że Wielka Brytania zapewnia odpowiedni poziom ochrony danych osobowych. Transfer danych do Wielkiej Brytanii jest zatem zgodny z art. 45 RODO i nie wymaga dodatkowych zabezpieczeń. (2) Google LLC (Google Cloud, Gemini API) - przetwarzanie zdjęć przez AI - Lokalizacja: zdjęcia przesyłane do Gemini API mogą być przetwarzane w centrach danych Google zlokalizowanych w Stanach Zjednoczonych oraz innych państwach poza EOG. Zabezpieczenie: transfer odbywa się na podstawie standardowych klauzul umownych (Standard Contractual Clauses, SCC) zatwierdzonych decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r. Google Cloud jest objęty programem EU-US Data Privacy Framework (DPF), który zapewnia dodatkowe gwarancje ochrony danych osobowych obywateli UE przetwarzanych w Stanach Zjednoczonych. Więcej informacji: https://cloud.google.com/privacy/gdpr. Ważna informacja: Zgodnie z Google Cloud Data Processing Addendum, zdjęcia przesyłane do Gemini API nie są wykorzystywane przez Google do trenowania modeli AI ani do innych celów niż realizacja usługi generowania treści na zlecenie Użytkownika. Dane są usuwane z serwerów Google po zakończeniu procesu generowania. (3) Stripe, Inc. - przetwarzanie płatności - Lokalizacja: Stany Zjednoczone. Zabezpieczenie: Stripe jest certyfikowanym uczestnikiem EU-US Data Privacy Framework (DPF). Transfer odbywa się również na podstawie standardowych klauzul umownych (SCC). Więcej informacji: https://stripe.com/privacy. Prawa Użytkownika w związku z transferem danych: Użytkownik ma prawo uzyskać kopię zabezpieczeń dotyczących transferu danych poza EOG (np. kopię standardowych klauzul umownych), kontaktując się z Administratorem pod adresem: kontakt@fotosesja.ai. Deklaracja Administratora: Administrator oświadcza, że nie przekazuje danych osobowych do państw trzecich, w odniesieniu do których Komisja Europejska nie wydała decyzji o stwierdzeniu adekwatności oraz które nie są objęte odpowiednimi zabezpieczeniami (takimi jak SCC lub Binding Corporate Rules). Administrator monitoruje zmiany w przepisach oraz orzecznictwie (w tym wyroki TSUE, takie jak Schrems II) i dostosowuje środki ochrony danych w razie potrzeby.

10. Kontakt i skargi

W przypadku jakichkolwiek pytań, wątpliwości lub wniosków dotyczących przetwarzania danych osobowych przez Administratora prosimy o kontakt: adres e-mail: kontakt@fotosesja.ai, formularz kontaktowy dostępny na stronie Platformy pod adresem /kontakt. Administrator dołoży wszelkich starań, aby udzielić odpowiedzi na zapytanie w terminie 30 dni od daty jego otrzymania. W uzasadnionych przypadkach (skomplikowane zapytanie, duża liczba wniosków) termin może zostać przedłużony o kolejne 60 dni, o czym Administrator poinformuje osobę składającą zapytanie. Prawo wniesienia skargi do organu nadzorczego: Osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego zajmującego się ochroną danych osobowych w przypadku, gdy uzna, że przetwarzanie jej danych osobowych narusza przepisy RODO. Właściwym organem nadzorczym w Polsce jest: Prezes Urzędu Ochrony Danych Osobowych (UODO), adres: ul. Stawki 2, 00-193 Warszawa, Polska, telefon: +48 22 531 03 00, e-mail: kancelaria@uodo.gov.pl, strona internetowa: www.uodo.gov.pl. Skargę można złożyć za pomocą formularza dostępnego na stronie UODO, listownie, e-mailem lub osobiście w siedzibie Urzędu. Wniesienie skargi do organu nadzorczego jest bezpłatne. Procedura rozpatrywania reklamacji dotyczących ochrony danych: Przed wniesieniem skargi do UODO zachęcamy do kontaktu bezpośrednio z Administratorem w celu polubownego rozwiązania sprawy. Administrator dokłada wszelkich starań, aby przetwarzać dane osobowe zgodnie z przepisami RODO i w pełni respektować prawa osób, których dane dotyczą. Reklamacje dotyczące ochrony danych można przesyłać na adres: kontakt@fotosesja.ai z dopiskiem "Ochrona danych osobowych - reklamacja". Administrator rozpatrzy reklamację w terminie 14 dni roboczych od daty jej otrzymania i udzieli odpowiedzi drogą mailową. W przypadku odmowy uwzględnienia reklamacji Administrator wskaże przyczyny odmowy oraz poinformuje o prawie wniesienia skargi do UODO. Pozasądowe sposoby rozstrzygania sporów: Użytkownik będący konsumentem (osoba fizyczna korzystająca z usług w celach niezwiązanych z działalnością gospodarczą) ma prawo do skorzystania z pozasądowych sposobów rozpatrywania reklamacji i dochodzenia roszczeń, w tym: skorzystania z platformy ODR (Online Dispute Resolution) dostępnej pod adresem: https://ec.europa.com/consumers/odr/, zwrócenia się do stałego polubownego sądu konsumenckiego działającego przy Inspekcji Handlowej, zwrócenia się do wojewódzkiego inspektora Inspekcji Handlowej z wnioskiem o wszczęcie postępowania mediacyjnego, skorzystania z bezpłatnej pomocy powiatowego (miejskiego) rzecznika konsumentów. Zmiany w Polityce Prywatności: Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności w przypadku zmian przepisów prawa, zmian w sposobie przetwarzania danych, wprowadzenia nowych funkcjonalności Platformy lub zmian w strukturze podmiotów przetwarzających. O istotnych zmianach w Polityce Prywatności Użytkownicy zostaną poinformowani drogą mailową z co najmniej 14-dniowym wyprzedzeniem. Bieżąca wersja Polityki Prywatności wraz z datą ostatniej aktualizacji jest zawsze dostępna na stronie /polityka-prywatnosci.