Polityka prywatności
Data obowiązywania: 22 kwietnia 2026. Ostatnia aktualizacja: 22.04.2026.
TL;DR
- Twoje zdjęcia są szyfrowane w Twojej przeglądarce (AES-256-GCM) zanim opuszczą Twoje urządzenie.
- Nasz serwer nie widzi zawartości plików — przechowujemy wyłącznie zaszyfrowany blob.
- Adresy IP są logowane w celach bezpieczeństwa, ale szyfrowane AES-256-CBC w bazie (nie plaintext).
- Pliki są automatycznie kasowane po 48h lub 60s od pierwszego wyświetlenia.
- Brak rejestracji, brak konta, brak trackingu reklamowego, brak cookies reklamowych.
- Jesteśmy zgodni z RODO — art. 5 (minimalizacja), art. 25 (privacy by design), art. 32 (bezpieczeństwo).
1. Administrator danych osobowych
Administratorem danych osobowych przetwarzanych w ramach usługi Fotopliki.pl (dalej: Serwis) jest operator Serwisu, kontakt: gsnet.pl@gmail.com.
W sprawach dotyczących ochrony danych osobowych można kontaktować się z nami pod powyższym adresem e-mail. Odpowiadamy w ciągu 30 dni, zgodnie z art. 12 RODO.
2. Jakie dane przetwarzamy
2.1. Dane, których NIE przetwarzamy
- Treść plików — zdjęcia są szyfrowane end-to-end w Twojej przeglądarce przed wysłaniem na serwer. Klucz szyfrujący znajduje się wyłącznie w URL po znaku
#i nigdy nie dociera do naszego serwera. - Imię, nazwisko, e-mail — upload nie wymaga rejestracji ani podania jakichkolwiek danych osobowych.
- Dane lokalizacyjne, płatnicze, biometryczne — nie zbieramy i nie przetwarzamy.
2.2. Dane, które przetwarzamy
- Zaszyfrowany blob pliku (zawartość już zaszyfrowana — nie mamy do niej dostępu).
- Adres IP uploadera — logowany w celach bezpieczeństwa (anty-spam, wykrywanie nadużyć), przechowywany w bazie w formie zaszyfrowanej AES-256-CBC.
- User-Agent przeglądarki + timestampy — do rate-limitingu i fingerprintingu antyspamowego.
- Identyfikator sesji (cookie) — wyłącznie dla ochrony CSRF (ważność sesji: 2 godziny, httponly, samesite=strict).
- Dla planów płatnych (Pro/Business/Enterprise): e-mail kontaktowy, dane do faktury VAT (jeśli dotyczy), historia płatności. Te dane są przetwarzane przez operatora płatności (Przelewy24 lub Stripe) zgodnie z ich politykami.
3. Podstawa prawna przetwarzania
Dane osobowe (głównie zaszyfrowane IP) przetwarzamy na następujących podstawach:
- Art. 6 ust. 1 lit. b RODO — wykonanie umowy o świadczenie usługi drogą elektroniczną (regulamin + akceptacja ToS).
- Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes administratora (zapobieganie nadużyciom, bezpieczeństwo, spełnianie wymogów Ustawy o świadczeniu usług drogą elektroniczną).
- Art. 6 ust. 1 lit. c RODO — obowiązek prawny (np. współpraca z Dyżurnet.pl w razie zgłoszenia CSAM, współpraca z organami ścigania na podstawie prawomocnego wniosku).
- Art. 6 ust. 1 lit. a RODO — zgoda użytkownika (tylko dla opcjonalnych funkcji w planach Pro+, np. e-mail z powiadomieniem).
4. Cele przetwarzania
- Świadczenie usługi hostingu zaszyfrowanych plików (realizacja umowy).
- Zapewnienie bezpieczeństwa Serwisu — ochrona przed spamem, DDoS, nadużyciami (rate limiting, fingerprinting, Proof-of-Work, CAPTCHA).
- Wykrywanie i blokowanie treści niedozwolonych (CSAM hash check na poziomie klienta, system zgłoszeń).
- Współpraca z uprawnionymi podmiotami w ramach obowiązków prawnych.
- Obsługa płatności (tylko plan Pro+) — realizowana przez zewnętrznego operatora.
5. Okres przechowywania
| Rodzaj danych | Okres |
|---|---|
| Zaszyfrowany plik (plan darmowy) | 48 godzin lub 60s po wyświetleniu |
| Zaszyfrowany plik (plan Pro) | Do 30 dni (użytkownik wybiera) |
| Zaszyfrowany plik (plan Business) | Do 30 dni + audit log 90 dni |
| Zaszyfrowany plik (plan Enterprise) | Do 1 roku + audit log 3 lata |
| Zaszyfrowane IP (logi bezpieczeństwa) | 90 dni, potem automatyczne usuwanie |
| Dane płatności (plan Pro+) | 5 lat (wymóg księgowy — Ordynacja podatkowa, art. 86) |
| Zgłoszenia nadużyć (Key Escrow) | 90 dni po zakończeniu sprawy, potem usuwane |
6. Odbiorcy danych
Dane osobowe możemy przekazywać wyłącznie:
- Dostawcom infrastruktury — OVH SAS (Francja, UE) jako hosting VPS. Podpisana umowa powierzenia (DPA) zgodna z art. 28 RODO.
- Operatorom płatności (tylko plan Pro+) — Przelewy24 (Polska) lub Stripe (Irlandia, UE). Polityki dostępne na ich stronach.
- Uprawnionym podmiotom — organy ścigania, sądy, NASK/Dyżurnet.pl — wyłącznie w przypadku prawomocnego wniosku, i jedynie w zakresie, w jakim dysponujemy danymi (przypomnienie: nie mamy dostępu do treści plików przez E2E).
Uwaga: nie sprzedajemy, nie udostępniamy w celach marketingowych, nie profilujemy użytkowników.
7. Transfer danych poza EOG
Dane są przechowywane i przetwarzane wyłącznie w granicach Europejskiego Obszaru Gospodarczego (infrastruktura: OVH Francja). Nie transferujemy danych do państw trzecich.
W przypadku planu Pro+ operator płatności (Stripe) może przetwarzać dane w państwach trzecich na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską.
8. Prawa użytkownika (art. 15-22 RODO)
Przysługują Ci następujące prawa:
- Prawo dostępu (art. 15) — możesz zażądać informacji, czy przetwarzamy Twoje dane i jakie.
- Prawo sprostowania (art. 16) — poprawienie błędnych danych.
- Prawo usunięcia ("prawo do bycia zapomnianym", art. 17) — pełne usunięcie danych.
- Prawo ograniczenia przetwarzania (art. 18).
- Prawo przenoszenia danych (art. 20) — eksport w formacie JSON.
- Prawo sprzeciwu (art. 21).
- Prawo skargi do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych (uodo.gov.pl).
Żądania przesyłaj na gsnet.pl@gmail.com. Odpowiadamy w ciągu 30 dni.
Ograniczenie praktyczne: ze względu na E2E encryption nie mamy dostępu do treści Twoich plików — nie możemy ich zidentyfikować jako „Twoich" bez linku i klucza. Jeśli chcesz usunąć konkretny plik, użyj linku do usunięcia (delete_token) wysłanego razem z linkiem publicznym.
9. Cookies i technologie podobne
Używamy tylko niezbędnych cookies:
- Cookie sesyjne (
PHPSESSID) — identyfikator sesji do ochrony CSRF. Httponly, samesite=strict, ważność 2h. Kasowane po zamknięciu przeglądarki.
Nie używamy: Google Analytics, Facebook Pixel, ani żadnych cookies reklamowych/trackingowych. Nie wyświetlamy reklam.
Lokalnie w przeglądarce (localStorage) może być przechowywany stan akceptacji regulaminu — te dane nigdy nie są wysyłane do nas.
10. Bezpieczeństwo danych
Stosujemy środki techniczne i organizacyjne zgodne z art. 32 RODO:
- Szyfrowanie w transporcie: TLS 1.3 + HSTS preload.
- Szyfrowanie w spoczynku: AES-256-GCM (treść plików, E2E) + AES-256-CBC (IP w bazie).
- Kontrola dostępu: dostęp do infrastruktury ograniczony do administratorów, uwierzytelnianie kluczem SSH.
- Firewall: UFW + fail2ban (5 jaili), ModSecurity + OWASP CRS.
- Monitoring: node_exporter + alerty dla incydentów bezpieczeństwa.
- Backup: zaszyfrowany, off-site, retencja 30 dni.
- Incident Response: w razie naruszenia ochrony danych (art. 33 RODO) — powiadomienie UODO w ciągu 72 godzin oraz osób, których dane dotyczą (art. 34 RODO), jeśli ryzyko jest wysokie.
11. Zmiany polityki prywatności
Zastrzegamy prawo do zmian. Istotne zmiany ogłosimy z co najmniej 14-dniowym wyprzedzeniem na stronie głównej. Data ostatniej aktualizacji: 22.04.2026.
12. Kontakt w sprawach ochrony danych
Wszelkie pytania dotyczące przetwarzania danych osobowych:
E-mail: gsnet.pl@gmail.com
Niniejsza polityka stanowi realizację obowiązku informacyjnego z art. 13 i 14 RODO. Sporządzono w języku polskim — w przypadku wątpliwości językowych wersja polska jest wiążąca.