Polityka prywatności – Lights & Colors

Data ostatniej aktualizacji: 2025-08-18
Domena: lightsandcolors.art • Kontakt: kunsttherapieblog@gmail.com

---

1. Administrator danych

Administratorem danych osobowych jest właściciel serwisu Lights & Colors dostępnego pod adresem
https://www.lightsandcolors.art (dalej: „Serwis”).
W sprawach ochrony danych możesz skontaktować się pod adresem:
kunsttherapieblog@gmail.com.

2. Zakres stosowania

Niniejsza polityka opisuje przetwarzanie danych w związku z korzystaniem z Serwisu (aplikacja webowa/blog) oraz kont użytkowników.

3. Jakie dane zbieramy

3.1. Rejestracja i logowanie lokalne

• adres e-mail
• nazwa wyświetlana (jeśli podasz)
• hasło – przechowywane wyłącznie jako hash z użyciem Argon2 (nie przechowujemy haseł w postaci jawnej)

3.2. Logowanie przez Google (OAuth 2.0)

Zakres uprawnień: email oraz profile (imię i nazwisko/nazwa oraz avatar).

• zapisujemy: adres e-mail, nazwę/imię i nazwisko, URL avatara
• nie otrzymujemy ani nie przechowujemy Twojego hasła do Google
• nie przechowujemy długoterminowych tokenów Google (access/refresh) w naszej bazie

3.3. Dane techniczne i dzienniki

W celach bezpieczeństwa i utrzymania usługi możemy przetwarzać: adres IP (z nagłówków X-Forwarded-*), znaczniki czasu, identyfikatory żądań, podstawowe logi błędów.

3.4. Treści użytkownika

Wszelkie treści dodawane w Serwisie (np. posty, obrazy, komentarze) przetwarzane są w celu świadczenia usługi publikacji i zarządzania kontem.

4. Skąd mamy dane

• bezpośrednio od Ciebie (rejestracja/logowanie lokalne, edycja profilu, dodawanie treści)
• od Google – jeśli logujesz się przez Google OAuth w zakresie email i profile

5. Cele i podstawa prawna przetwarzania

• Uwierzytelnianie i prowadzenie konta – umożliwienie logowania i korzystania z Serwisu (art. 6 ust. 1 lit. b RODO)
• Bezpieczeństwo i utrzymanie (rate limiting, logi, moderacja) – nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO)

Nie prowadzimy marketingu behawioralnego ani profilowania.

6. Wykrywanie nadużyć i wsparcie moderacji (OpenAI)

W celu zapobiegania nadużyciom (np. spam, treści nienawistne, nawoływanie do przemocy) i utrzymania jakości Serwisu korzystamy z usług OpenAI API jako podmiotu przetwarzającego.

Przekazujemy wyłącznie niezbędne minimum danych, głównie treści dodawane/zgłaszane do moderacji oraz techniczne metadane potrzebne do klasyfikacji.

• Decyzja nie jest w pełni automatyczna – każdy przypadek oznaczony przez system jest weryfikowany przez człowieka
• Moderator może samodzielnie oznaczyć treść jako naruszającą regulamin
• Nie udostępniamy danych do trenowania modeli – dane służą wyłącznie do świadczenia usługi klasyfikacji/moderacji

Szczegóły po stronie OpenAI: openai.com/policies

7. Odbiorcy danych i podmioty przetwarzające

• Supabase – baza danych (PostgreSQL), region AWS eu-north-1 (Sztokholm, EOG)
• Vercel / Railway – hosting aplikacji
• Upstash (Redis) – kolejki zadań (BullMQ); połączenia szyfrowane TLS
• OpenAI – automatyczna klasyfikacja treści
• Google – dostawca tożsamości (OAuth, osobny administrator)

Nie sprzedajemy danych.

8. Przekazywanie danych poza EOG

Dane przechowywane są w EOG (Supabase eu-north-1).
Jeśli wyjątkowo dojdzie do transferu poza EOG, stosujemy odpowiednie zabezpieczenia (np. standardowe klauzule umowne).

9. Okres przechowywania

• konto (e-mail, nazwa, avatar) – do usunięcia konta
• logi techniczne – zwykle 30 dni
• kolejki (Upstash) – tymczasowo

10. Środki bezpieczeństwa (skrót)

• nagłówki HTTP (helmet): CSP, HSTS, X-Frame-Options, nosniff
• restrykcyjny CORS
• walidacja danych (ValidationPipe)
• uwierzytelnianie JWT (Authorization header, bez cookies)
• hasła lokalne jako hash Argon2
• logowanie przez Google OAuth w minimalnym zakresie (email, profile)
• rate limiting, TLS, proxy-aware IP (X-Forwarded-*)

11. Twoje prawa

Masz prawa: dostępu, sprostowania, usunięcia („bycia zapomnianym”), ograniczenia, przenoszenia danych oraz sprzeciwu.

Możemy odmówić całkowitego usunięcia danych w przypadku nadużyć (art. 17 ust. 3 RODO) – zachowujemy wtedy minimalny zestaw (e-mail, IP, logi).

Żądania: kunsttherapieblog@gmail.com.

12. Pliki cookie

Używamy tokenów JWT w nagłówku Authorization (nie w cookies).
Serwis może korzystać tylko z niezbędnych cookies (np. preferencje UI).
Brak cookies marketingowych.

13. Współpraca z organami państwowymi

W przypadku podejrzenia przestępstwa (np. groźby, nienawiść, pedofilia, oszustwa) możemy przekazać właściwym organom wszystkie posiadane dane, w tym adresy IP i logi – w zakresie wymaganym prawem.

14. Informacja dla logowania przez Google

Możesz cofnąć dostęp dla naszej aplikacji w ustawieniach konta Google („Bezpieczeństwo” → „Dostęp stron trzecich”).
Cofnięcie dostępu uniemożliwia logowanie przez Google.

15. Zmiany w polityce

Polityka może być aktualizowana. Aktualna wersja dostępna jest zawsze pod tym adresem.

---

© Lights & Colors — Polityka prywatności