Wróć na stronę główną

Polityka Prywatności

21 marca 2026

1. Administrator danych

Bartosz Rżycki, działalność nierejestrowana, Polska.

Kontakt: team@albumqr.io — odpowiedź w ciągu 30 dni.

2. Przetwarzane dane

Organizatorzy

adres e-mail i profil Google (OAuth), nazwa i konfiguracja wydarzenia, dane płatnicze (przetwarzane wyłącznie przez Stripe — nie przechowujemy danych kart), dane techniczne (IP, logi).

Goście

zdjęcia i miniatury (przesyłane bezpośrednio do S3 za pomocą presigned URL), opcjonalne imię i wiadomość, metadane zdjęć (data, rozmiar, EXIF), dane techniczne. Polubienia są przechowywane wyłącznie lokalnie w przeglądarce.

Analityka

Google Analytics 4 — dane o ruchu i interakcjach (zdarzenia GA4), za zgodą użytkownika (Consent Mode v2). Dane przekazywane do Google LLC (USA).

3. Cele i podstawy prawne przetwarzania

Dane przetwarzamy w celu świadczenia usługi i obsługi płatności (wykonanie umowy), zapewnienia bezpieczeństwa i analityki (prawnie uzasadniony interes), opcjonalnej integracji z Google Drive (zgoda) oraz wypełnienia obowiązków prawnych.

4. Odpowiedzialność Organizatora za prawa do wizerunku

⚠️ Ważne

AlbumQR jest narzędziem technicznym. Administrator usługi nie moderuje treści ani nie weryfikuje zgód na wykorzystanie wizerunku. Organizator jest odpowiedzialny za poinformowanie uczestników i uzyskanie wszelkich wymaganych zgód (prawo do wizerunku, RODO).

5. Podmioty przetwarzające

PodmiotCel
Vercel Inc.USA — hosting; standardowe klauzule umowne (SKU)
Amazon Web ServicesS3 eu-central-1 Frankfurt, CloudFront — zdjęcia; SKU
Stripe Inc.USA — płatności; niezależny administrator danych
Google LLCUSA — OAuth, Google Analytics 4, opcjonalnie Google Drive; SKU
Neon Inc.baza danych PostgreSQL (AWS eu-central-1, EOG)

6. Bezpieczeństwo

  • Transmisja szyfrowana HTTPS/TLS
  • Zdjęcia przesyłane bezpośrednio do S3 za pomocą presigned URL (ważny 15 min)
  • Dostęp do prywatnej galerii chroniony przez podpisane ciasteczka CloudFront (24 h)
  • Ograniczenie częstotliwości żądań (rate limiting) na endpointach przesyłania

7. Okresy przechowywania danych

  • Zdjęcia i metadane — do momentu usunięcia przez Organizatora lub wygaśnięcia planu
  • Dane konta Google — przez czas trwania konta, usuwane na żądanie
  • Dane płatnicze — zgodnie z polityką Stripe (do 5 lat, wymogi prawne)
  • Logi techniczne — do 90 dni

8. Prawa użytkownika

Na mocy RODO przysługuje prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu oraz cofnięcia zgody. Kontakt: team@albumqr.io.

Skargę można złożyć do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, Warszawa — uodo.gov.pl.

Prawa mieszkańców Kalifornii (CCPA/CPRA)

Osobom zamieszkałym w Kalifornii przysługują dodatkowe prawa na podstawie California Consumer Privacy Act (CCPA) zmienionego przez California Privacy Rights Act (CPRA).

1. Right to Know (Prawo do informacji)

Masz prawo wiedzieć, jakie dane osobowe zbieramy. Zbieramy następujące kategorie danych:

  • Identyfikatory (adres e-mail, dane profilu OAuth z Google)
  • Dane konfiguracyjne wydarzenia (nazwa wydarzenia, daty, ustawienia)
  • Metadane przesłanych zdjęć (rozmiar pliku, wymiary, data EXIF, orientacja)
  • Logi użytkowania i dane techniczne (adres IP, informacje o przeglądarce)
  • Dane płatnicze — obsługiwane wyłącznie przez Stripe Inc. (nie przechowujemy numerów kart)

2. Right to Delete (Prawo do usunięcia)

Możesz zażądać usunięcia swoich danych osobowych. Organizatorzy mogą usunąć konto i wszystkie powiązane dane za pomocą funkcji usuwania konta w /settings (Strefa zagrożenia → Usuń konto) lub kontaktując się z nami pod adresem team@albumqr.io.

3. Right to Opt-Out of Sale or Sharing (Prawo do rezygnacji ze sprzedaży lub udostępniania)

AlbumQR nie sprzedaje ani nie udostępnia danych osobowych za wynagrodzeniem pieniężnym ani innym świadczeniem. Nie sprzedajemy danych osobom trzecim ani nie udostępniamy ich w celu reklamy behawioralnej w różnych kontekstach.

4. Right to Non-Discrimination (Prawo do niedyskryminacji)

AlbumQR nie będzie dyskryminować użytkownika z powodu korzystania z praw wynikających z CCPA. Korzystanie z praw do prywatności nie skutkuje odmową świadczenia usług, wyższymi cenami ani niższym poziomem obsługi.

5. How to Submit a Request (Jak złożyć wniosek)

Aby złożyć wniosek dotyczący praw do prywatności, skontaktuj się z nami: team@albumqr.io. Odpowiemy w ciągu 45 dni od otrzymania weryfikowalnego wniosku konsumenta.

9. Pliki cookie i localStorage

Używamy sesyjnych plików cookie NextAuth (niezbędne do logowania) oraz podpisanych plików cookie CloudFront (dostęp do galerii, 24 h). localStorage przechowuje polubienia i preferencje językowe lokalnie.

Za zgodą użytkownika ustawiamy również pliki cookie Google Analytics 4 (_ga, _ga_*) — przechowywane do 2 lat. Zgodę można wycofać w dowolnym momencie, klikając „Odrzuć" w banerze zgody lub czyszcząc dane przeglądarki. Stosujemy Consent Mode v2 — żadne pliki cookie analityczne nie są ustawiane przed wyrażeniem zgody.

Google Consent Mode v2 może stosować techniki modelowania behawioralnego, w tym modelowanie konwersji i Google Signals, nawet gdy użytkownik nie wyraził pełnej zgody na analitykę. Oznacza to, że Google może szacować wzorce ruchu na podstawie zagregowanych, zanonimizowanych danych. Szczegóły: Google Consent Mode v2.

10. Zmiany w Polityce Prywatności

Aktualna wersja jest dostępna pod adresem www.albumqr.io/privacy. Organizatorzy zostaną powiadomieni o istotnych zmianach drogą e-mailową.

11. Minimalny wiek (COPPA / RODO)

Usługa jest przeznaczona dla użytkowników, którzy ukończyli 16 lat. Wymóg ten wynika z art. 8 RODO oraz amerykańskiej ustawy Children's Online Privacy Protection Act (COPPA).

AlbumQR świadomie nie zbiera danych osobowych dzieci poniżej 16. roku życia. W przypadku powzięcia informacji o zebraniu takich danych zostaną one niezwłocznie usunięte.

Organizator jest odpowiedzialny za zapewnienie, że Goście uczestniczący w wydarzeniu spełniają wymóg minimalnego wieku.

12. Powiadomienie o naruszeniu ochrony danych

W przypadku naruszenia ochrony danych osobowych AlbumQR powiadomi Prezesa Urzędu Ochrony Danych Osobowych (UODO, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl) w ciągu 72 godzin od powzięcia informacji o naruszeniu, zgodnie z art. 33 RODO.

Gdy naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą, osoby te zostaną powiadomione bezpośrednio bez zbędnej zwłoki (art. 34 RODO).

Aby zgłosić podejrzenie incydentu bezpieczeństwa, skontaktuj się: team@albumqr.io.