1. Administrator danych osobowych

Administratorem Państwa danych osobowych jest PXL MEDIA Gracjan Szymczak, NIP 9472018058, REGON 542668215, ul. Turoszowska 9/15, 91-025 Łódź (dalej: Administrator), wydawca serwisu plotuch.pl. Dane kontaktowe Administratora oraz pełna informacja o wydawcy znajdują się w stopce Serwisu.

W sprawach związanych z przetwarzaniem danych osobowych prosimy o kontakt: rodo@plotuch.pl.

2. Zakres i cele przetwarzania, podstawy prawne

Państwa dane osobowe przetwarzamy w następujących celach i na następujących podstawach:

2.1. Świadczenie usług elektronicznych (konto, komentarze)

  • Zakres danych: adres e-mail, nazwa użytkownika (nick), hasło (przechowywane wyłącznie w postaci skrótu kryptograficznego), opcjonalnie awatar i krótki opis profilu, treść komentarzy.
  • Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usług elektronicznych).
  • Okres przechowywania: przez okres istnienia Konta oraz 3 lata po jego usunięciu (okres przedawnienia ewentualnych roszczeń); komentarze - przez okres dostępności artykułu, do którego zostały dodane, z zastrzeżeniem prawa do żądania ich usunięcia.

2.2. Subskrypcja newslettera

  • Zakres: adres e-mail, preferencje dotyczące tematów.
  • Podstawa: art. 6 ust. 1 lit. a RODO (zgoda) potwierdzona w trybie double opt-in zgodnie z art. 10 ustawy o świadczeniu usług drogą elektroniczną.
  • Okres: do momentu wycofania zgody (rezygnacji z subskrypcji - link w każdej wiadomości).

2.3. Obsługa formularzy kontaktowych, RODO i DSA

  • Zakres: imię i nazwisko, adres e-mail, treść korespondencji, ewentualne załączniki.
  • Podstawa: art. 6 ust. 1 lit. c RODO (obowiązek prawny - rozpatrzenie wniosku zgodnie z art. 12 RODO, art. 16 DSA, prawem prasowym) oraz art. 6 ust. 1 lit. f (prawnie uzasadniony interes - obsługa korespondencji).
  • Okres: 6 lat (okres przedawnienia roszczeń + ewentualne kontrole organów nadzorczych).

2.4. Analityka, badania statystyczne

  • Zakres: zanonimizowane dane sesji (adres IP w postaci skrótu, typ przeglądarki, system operacyjny, źródło wejścia, kliknięcia).
  • Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes - mierzenie skuteczności treści) - dla danych zanonimizowanych; art. 6 ust. 1 lit. a (zgoda) - dla analityki nieanonimowej (Google Analytics).
  • Okres: 26 miesięcy (Google Analytics z domyślnym ustawieniem retencji).

2.5. Reklamy programatyczne, personalizacja reklam

  • Zakres: identyfikatory urządzeń, zachowania na stronie, kategorie zainteresowań.
  • Podstawa: art. 6 ust. 1 lit. a RODO (zgoda) wyrażona w systemie zarządzania zgodami zgodnym z IAB Europe Transparency & Consent Framework v2.3.
  • Okres: 13 miesięcy lub do momentu wycofania zgody.

3. Odbiorcy danych

Państwa dane mogą być przekazywane następującym kategoriom odbiorców:

  • dostawcom usług IT (hosting, baza danych, CDN, kopie zapasowe) - na podstawie umów powierzenia przetwarzania (DPA) zgodnych z art. 28 RODO;
  • dostawcom usług komunikacji elektronicznej (poczta elektroniczna, powiadomienia push);
  • dostawcom narzędzi analitycznych i reklamowych (po wyrażeniu zgody);
  • dostawcom narzędzi automatycznej moderacji treści (wyłącznie w zakresie treści komentarzy publikowanych w Serwisie);
  • organom państwowym - wyłącznie na podstawie obowiązujących przepisów prawa.

Wszyscy odbiorcy działają na podstawie umów powierzenia przetwarzania spełniających wymogi RODO. Pełna lista podmiotów przetwarzających dostępna na żądanie pod adresem rodo@plotuch.pl.

4. Transfer danych do państw trzecich

Niektórzy dostawcy mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym, w szczególności w Stanach Zjednoczonych. W takich przypadkach transfer odbywa się na podstawie:

  • decyzji Komisji Europejskiej o adekwatności (Decyzja 2023/1795 - EU-US Data Privacy Framework);
  • standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (decyzja 2021/914), uzupełnionych o środki techniczne i organizacyjne zapewniające odpowiedni poziom ochrony.

5. Państwa prawa

Zgodnie z RODO przysługują Państwu następujące prawa:

  • prawo dostępu do danych (art. 15);
  • prawo do sprostowania danych (art. 16);
  • prawo do usunięcia danych - "prawo do bycia zapomnianym" (art. 17) - formularz: /usun-dane;
  • prawo do ograniczenia przetwarzania (art. 18);
  • prawo do przenoszenia danych (art. 20);
  • prawo do wniesienia sprzeciwu wobec przetwarzania (art. 21);
  • prawo do wycofania zgody (art. 7 ust. 3) - bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem;
  • prawo do wniesienia skargi do organu nadzorczego - Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Realizacja praw - bezpłatnie, w terminie 30 dni od otrzymania żądania (z możliwością przedłużenia o 60 dni dla skomplikowanych wniosków).

6. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator stosuje zautomatyzowane filtry moderacji komentarzy (np. wykrywanie spamu i mowy nienawiści). Decyzje o ograniczeniu lub usunięciu komentarza są weryfikowane przez moderatora-człowieka na żądanie osoby, której dotyczą. Nie stosujemy zautomatyzowanego podejmowania decyzji wywołujących skutki prawne wobec osób fizycznych (art. 22 RODO).

7. Bezpieczeństwo

Administrator stosuje techniczne i organizacyjne środki bezpieczeństwa odpowiednie do ryzyka, w szczególności:

  • szyfrowanie połączeń z Serwisem (HTTPS / TLS 1.3) z wymuszaniem HSTS;
  • przechowywanie haseł w postaci jednokierunkowego skrótu kryptograficznego (algorytm bcrypt, koszt 11);
  • ograniczenie dostępu do danych do osób upoważnionych, z uwierzytelnianiem dwuskładnikowym (TOTP) dla kont administracyjnych;
  • rejestrowanie zdarzeń bezpieczeństwa (audit log) dla wszystkich operacji administracyjnych;
  • regularne kopie zapasowe;
  • ograniczenia szybkości żądań (rate limiting) zapobiegające atakom słownikowym i nadużyciom.

8. Pliki cookies

Szczegółowe informacje o plikach cookies stosowanych w Serwisie znajdują się w Polityce cookies. Zarządzanie zgodami możliwe jest w każdej chwili poprzez ustawienia w stopce Serwisu.

9. Reklamy Google AdSense i partnerzy reklamowi

W Serwisie wyświetlamy reklamy dostarczane przez Google AdSense (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irlandia) oraz partnerów reklamowych zarejestrowanych w ramach IAB Europe Transparency & Consent Framework v2.3.

9.1. Jak Google używa Państwa danych

  • Cookies reklamowe (m.in. __gads, __gpi, NID, IDE): Google wykorzystuje pliki cookies w celu serwowania reklam dopasowanych do Państwa zainteresowań na podstawie historii odwiedzanych witryn (Personalized Ads, PA).
  • Bez zgody marketingowej: Google serwuje wyłącznie reklamy niespersonalizowane (Non-Personalized Ads, NPA), kontekstowo dopasowane do treści strony, bez profilowania.
  • Google Consent Mode v2: Serwis przekazuje Google sygnał o stanie Państwa zgód (zgodnie z RODO i wymogami AdSense w EOG od marca 2024 r.).

9.2. Państwa prawa wobec reklam Google

9.3. Partnerzy reklamowi (TCF v2.3)

Lista dostawców (vendors) zatwierdzonych przez IAB Europe i obsługiwanych w naszym CMP: vendor-list.consensu.org. Możliwe jest udzielenie lub odmowa zgody indywidualnie dla każdego partnera w panelu Zarządzaj zgodami.

9.4. Transfer danych do USA

Google LLC (siedziba w USA) jest certyfikowanym uczestnikiem programu EU-U.S. Data Privacy Framework, który zapewnia odpowiedni stopień ochrony danych w rozumieniu art. 45 RODO (decyzja Komisji Europejskiej (UE) 2023/1795 z 10.07.2023 r.). Lista certyfikatów: dataprivacyframework.gov.

10. Zmiany Polityki prywatności

Polityka może być aktualizowana - o zmianach informujemy z 14-dniowym wyprzedzeniem w Serwisie i poprzez powiadomienie e-mail (dla osób zarejestrowanych). Historyczne wersje dokumentu udostępniamy na żądanie.