Polityka Prywatności
1. Administrator danych osobowych
Administratorem danych osobowych przetwarzanych za pośrednictwem serwisu Pufflista.pl jest właściciel serwisu (osoba fizyczna prowadząca serwis prywatnie, bez działalności gospodarczej).
Kontakt: kontakt@pufflista.pl lub formularz kontaktowy.
W niniejszej polityce „Administrator" oznacza właściciela serwisu Pufflista.pl.
2. Jakie dane zbieramy i skąd?
Zbieramy wyłącznie dane niezbędne do działania serwisu:
- Dane z Discord OAuth2 (przy logowaniu): identyfikator Discord (Snowflake ID), nazwa użytkownika, discriminator, adres e-mail powiązany z kontem Discord, URL awataru. Zakres żądany:
identify,email,guilds.join. - Dołączenie do serwera Discord Pufflista: przy pierwszym logowaniu użytkownik jest automatycznie dodawany do serwera Discord Pufflista.pl za pomocą zakresu
guilds.join. Możesz opuścić serwer w dowolnym momencie bezpośrednio w aplikacji Discord. - Dane serwerów Minecraft (dodawane przez właściciela): adres IP/hostname, port, nazwa, opis, ikona (opcjonalna), wersja gry, typ serwera.
- Głosowania: jednokierunkowy skrót (HMAC-SHA256) adresu IP, nick gracza w Minecraft, data i godzina głosowania, identyfikator serwera. Surowy adres IP nigdy nie jest zapisywany — przechowywany jest wyłącznie jego nieodwracalny skrót.
- Dane techniczne: adres IP w logach serwera HTTP (przechowywane do 30 dni przez dostawcę hostingu), nagłówek User-Agent przeglądarki.
- Pliki cookies: token sesji (JWT, niezbędny do logowania), preferencja motywu kolorystycznego (jasny/ciemny — tylko lokalna preferencja).
3. W jakim celu i na jakiej podstawie przetwarzamy dane?
| Cel | Podstawa prawna (RODO) |
|---|---|
| Logowanie i uwierzytelnianie (Discord OAuth2) | Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy o świadczenie usług |
| Wyświetlanie i zarządzanie listą serwerów | Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy |
| Ochrona przed botami i nadużyciami (limit głosowań 24h) | Art. 6 ust. 1 lit. f — prawnie uzasadniony interes Administratora (bezpieczeństwo serwisu) |
| Bezpieczeństwo systemu i analiza ruchu (logi HTTP) | Art. 6 ust. 1 lit. f — prawnie uzasadniony interes Administratora |
| Dołączenie do serwera Discord Pufflista | Art. 6 ust. 1 lit. f — prawnie uzasadniony interes (informowanie użytkowników o zmianach w serwisie) |
| Wyświetlanie spersonalizowanych reklam (Google AdSense) | Art. 6 ust. 1 lit. a — zgoda użytkownika (wyrażana przez akceptację preferencji cookies przy pierwszej wizycie) |
| Przetwarzanie płatności za promowanie serwera | Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy; dane płatnicze przetwarza wyłącznie Stripe / PayPal |
4. Odbiorcy danych (podmioty przetwarzające)
Twoje dane mogą być przekazywane wyłącznie następującym podmiotom:
- Discord Inc. (USA) — logowanie OAuth2, dołączenie do serwera Discord. Polityka prywatności Discord.
- Google LLC (USA) — usługa Google AdSense (reklamy). Google przetwarza dane zgodnie z własną polityką prywatności. Możesz zarządzać reklamami przez Google Ads Settings.
- Stripe Inc. (USA) — przetwarzanie płatności kartą / BLIK / Przelewy24 za pakiety promowania. Stripe przetwarza dane płatnicze zgodnie z własną polityką prywatności. Administrator nie przechowuje danych kart.
- PayPal (Europe) S.à r.l. — alternatywna metoda płatności za promowanie. Dane płatnicze przetwarza wyłącznie PayPal zgodnie z ich polityką prywatności.
- Dostawca hostingu / VPS — infrastruktura serwerowa, na której działa serwis (dostęp do logów systemowych). Dane przetwarzane na podstawie umowy powierzenia.
- MongoDB Atlas (MongoDB Inc., USA) — hostowanie bazy danych.
Administrator nie sprzedaje i nie udostępnia danych podmiotom trzecim w celach marketingowych.
5. Przekazywanie danych do państw trzecich (poza EOG)
Część odbiorców (Discord, Google, Stripe, MongoDB Atlas) to podmioty z siedzibą w Stanach Zjednoczonych. Przekazywanie danych odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO) lub decyzji o odpowiednim poziomie ochrony (EU-U.S. Data Privacy Framework). Możesz uzyskać kopię stosowanych zabezpieczeń pisząc na kontakt@pufflista.pl.
6. Okres przechowywania danych
- Dane konta (Discord ID, nick, e-mail, avatar) — do momentu żądania usunięcia konta przez użytkownika lub przez Administratora w przypadku naruszenia regulaminu.
- Dane serwerów — do momentu usunięcia serwera przez właściciela lub przez administrację serwisu.
- Skróty IP głosowań — 90 dni od daty głosowania (potem usuwane automatycznie).
- Logi serwera HTTP — do 30 dni (zarządzane przez dostawcę hostingu).
- Dane płatności — przechowywane przez Stripe / PayPal zgodnie z ich politykami oraz przepisami o rachunkowości (do 5 lat).
7. Twoje prawa (RODO)
Przysługują Ci następujące prawa. Aby z nich skorzystać, skontaktuj się przez kontakt@pufflista.pl lub formularz kontaktowy. Odpowiemy w ciągu 30 dni.
- Prawo dostępu (art. 15 RODO) — możesz zapytać, jakie dane o Tobie przechowujemy.
- Prawo do sprostowania (art. 16 RODO) — możesz zażądać poprawienia nieprawidłowych danych.
- Prawo do usunięcia (art. 17 RODO) — możesz zażądać usunięcia konta i powiązanych danych („prawo do bycia zapomnianym").
- Prawo do ograniczenia przetwarzania (art. 18 RODO) — możesz wnioskować o wstrzymanie przetwarzania.
- Prawo do przenoszenia danych (art. 20 RODO) — możesz otrzymać swoje dane w formacie JSON.
- Prawo do sprzeciwu (art. 21 RODO) — możesz sprzeciwić się przetwarzaniu opartemu na prawnie uzasadnionym interesie.
- Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) — jeśli przetwarzanie odbywa się na podstawie zgody (np. cookies reklamowe), możesz ją wycofać w dowolnym momencie (przez ustawienia przeglądarki lub kontakt z Administratorem). Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania przed cofnięciem.
- Prawo do skargi (art. 77 RODO) — możesz złożyć skargę do Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
8. Pliki cookies
Serwis używa następujących typów plików cookies:
- Cookies niezbędne: token sesji JWT (wymagany do logowania) — bez nich korzystanie z konta jest niemożliwe. Podstawa prawna: art. 6 ust. 1 lit. b RODO.
- Cookies preferencji: zapis motywu kolorystycznego (jasny/ciemny) — nie identyfikują Cię osobiście.
- Cookies reklamowe (Google AdSense): służą do wyświetlania spersonalizowanych reklam. Wymagają Twojej zgody. Możesz je wyłączyć w ustawieniach przeglądarki lub przez Google Ads Settings.
9. Dzieci i osoby niepełnoletnie
Serwis nie jest skierowany do dzieci poniżej 16 roku życia. Jeśli masz mniej niż 16 lat, do korzystania z konta wymagana jest zgoda rodzica lub opiekuna prawnego. W przypadku stwierdzenia, że dane dziecka poniżej 16 lat zostały zebrane bez stosownej zgody, zostaną one niezwłocznie usunięte. Zgłoszenia: kontakt@pufflista.pl.
10. Bezpieczeństwo danych
Stosujemy następujące środki ochrony danych:
- Połączenia szyfrowane protokołem HTTPS/TLS.
- Adresy IP głosowań przechowywane wyłącznie jako nieodwracalne skróty HMAC-SHA256.
- Brak własnych haseł — autoryzacja wyłącznie przez Discord OAuth2.
- Nagłówki bezpieczeństwa HTTP (Content Security Policy, HSTS, X-Frame-Options i inne).
- Rate limiting zapobiegający atakom brute-force.
11. Zmiany polityki prywatności
Zastrzegamy sobie prawo do aktualizacji niniejszej polityki. O istotnych zmianach poinformujemy z wyprzedzeniem na stronie głównej serwisu lub przez Discord. Data ostatniej aktualizacji jest widoczna na górze tej strony. Dalsze korzystanie z serwisu po zmianie polityki oznacza jej akceptację.
12. Kontakt
We wszelkich sprawach dotyczących ochrony danych osobowych: kontakt@pufflista.pl lub formularz kontaktowy.