Polityka prywatności

1. W skrócie (TL;DR)

Jeśli nie chce Ci się czytać całości — najważniejsze rzeczy:

• Nie sprzedajemy Twoich danych. Nigdy. Nikomu.
• Nie używamy reklam ani trackerów Google'a, Meta, TikToka itp.
• Nie używamy cookies marketingowych. Tylko techniczne, niezbędne do działania strony.
• Chronimy źródła. Sygnaliści są chronieni tajemnicą dziennikarską (art. 15 ust. 2 Prawa prasowego). Ich IP nie jest zapisywane.
• Możesz w każdej chwili dowiedzieć się jakie dane mamy, poprawić je, usunąć, lub złożyć skargę do UODO.

2. Administrator danych

Administratorem Twoich danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) jest:

PROBEH Łukasz Majchrzak
ul. Ignacego Daszyńskiego 255, 44-100 Gliwice
NIP: 9691584504 · REGON: 366838283
Kontakt w sprawach prywatności: kontakt@poziomnizej.pl

Wydawca portalu „Poziom Niżej" — tytułu prasowego w rozumieniu ustawy z dnia 26 stycznia 1984 r. Prawo prasowe.

3. Jakie dane zbieramy

3.1. Dane, które podajesz dobrowolnie

• Formularz kontaktowy (kontakt.html) — zbieramy: imię i nazwisko, adres e-mail, temat wiadomości, treść wiadomości oraz znacznik zgody na przetwarzanie danych.
• Newsletter (strona główna) — zbieramy: wyłącznie adres e-mail.
• Formularz dla sygnalistów / tip-off (kontakt.html#tipoff) — pola: krótki temat sprawy, opis sprawy oraz (opcjonalnie) dowolny kontakt zwrotny. Nie pytamy o Twoje imię, e-mail osobisty ani inne dane identyfikujące. Sygnalista może pozostać w pełni anonimowy.

3.2. Dane zbierane automatycznie

• Adres IP — przechowywany wyłącznie w postaci zahaszowanej (SHA-256, obcięty), nieumożliwiającej deanonimizacji. Używany do ochrony przed spamem (rate-limiting).
• Logi serwera (standardowe logi Apache OVH) — IP, czas dostępu, żądany zasób, kod odpowiedzi, user-agent. Logi są usuwane automatycznie po 30 dniach.
• Metadane formularzy — data wysłania, sukces/porażka, kategoria zgłoszenia. Nie zapisujemy treści wiadomości w logach — treść trafia wyłącznie do skrzynki e-mail redakcji.

3.3. Czego NIE zbieramy

• Nie używamy Google Analytics, Facebook Pixel, TikTok Pixel ani innych zewnętrznych trackerów.
• Nie zbieramy danych o lokalizacji (GPS, dokładne IP).
• Nie zbieramy danych biometrycznych ani danych zdrowotnych.
• Nie tworzymy profili reklamowych użytkowników.

4. W jakim celu i na jakiej podstawie

Każdy rodzaj danych przetwarzamy w konkretnym, ograniczonym celu:

• Odpowiedź na zapytania (formularz kontaktowy)
  Cel: udzielenie odpowiedzi na wiadomość, ewentualne wyjaśnienia, sprostowania, współpraca.
  Podstawa: art. 6 ust. 1 lit. b RODO (działania na żądanie osoby przed zawarciem umowy / w celu kontaktu) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora w odpowiadaniu na korespondencję).
• Wysyłka newslettera
  Cel: informowanie o nowych odcinkach i materiałach.
  Podstawa: art. 6 ust. 1 lit. a RODO (Twoja dobrowolna zgoda).
• Przyjmowanie zgłoszeń od sygnalistów
  Cel: prowadzenie działalności dziennikarskiej i śledczej; weryfikacja informacji zgłaszanych przez sygnalistów.
  Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora — wolność prasy i prawo do informacji); art. 85 RODO (przetwarzanie do celów dziennikarskich); art. 15 ust. 2 Prawa prasowego (tajemnica dziennikarska).
• Bezpieczeństwo serwisu i ochrona przed spamem
  Cel: ochrona przed botami, atakami DDoS, scrapingiem.
  Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes — utrzymanie sprawności i bezpieczeństwa).
• Spełnienie obowiązków prawnych
  Cel: przechowywanie korespondencji zgodnie z obowiązkiem archiwizacyjnym (Prawo prasowe), reagowanie na zapytania organów państwa.
  Podstawa: art. 6 ust. 1 lit. c RODO (obowiązek prawny).

5. Bezpieczeństwo formularzy

Formularze na naszej stronie wysyłają dane bezpośrednio do skrzynki e-mail redakcji (kontakt@poziomnizej.pl) przy zachowaniu następujących mechanizmów bezpieczeństwa:

• Szyfrowanie HTTPS/TLS — cała transmisja między Twoją przeglądarką a serwerem jest szyfrowana.
• Honeypot — ukryte pole, niewidoczne dla użytkownika, ale wypełniane przez boty. Zgłoszenia z wypełnionym honeypotem są automatycznie odrzucane.
• Minimalny czas wypełnienia — formularze odrzucają zgłoszenia wypełnione w mniej niż 3 sekundy (typowe dla botów).
• Rate-limiting — maksymalnie 10 zgłoszeń z jednego IP w ciągu godziny. IP jest hashowane (SHA-256, przycięte) — nie da się go odtworzyć.
• Walidacja po stronie serwera — wszystkie pola są weryfikowane po stronie serwera, niezależnie od JavaScript.
• Brak captcha dla formularza sygnalistów — świadomie nie używamy Google reCAPTCHA ani hCaptcha w formularzu tip-off, aby zewnętrzne usługi nie mogły logować IP sygnalisty.

6. Ochrona sygnalistów i tajemnica dziennikarska

Jeśli kontaktujesz się z nami jako sygnalista — osoba przekazująca informacje istotne dla interesu publicznego — chronimy Cię prawnie i technicznie:

• Tajemnica dziennikarska (art. 15 ust. 2 Prawa prasowego) — mamy obowiązek prawny ochrony danych osób przekazujących informacje. Tajemnica ta jest chroniona zarówno wobec osób prywatnych, jak i organów państwowych.
• Nie zapisujemy IP sygnalistów w sposób umożliwiający deanonimizację — w logach formularza tip-off zapisywany jest wyłącznie fakt zgłoszenia (sukces/porażka), bez treści ani danych identyfikujących.
• Treść zgłoszeń trafia bezpośrednio do skrzynki e-mail redakcji. Dostęp do niej ma wyłącznie redaktor naczelny.
• Nie ujawniamy źródeł bez pisemnej zgody sygnalisty — nawet na żądanie organów. Wyjątki przewidziane w art. 16 ust. 1 Prawa prasowego są stosowane wyłącznie w ramach prawomocnego postanowienia sądu.
• Polecamy używanie anonimowych skrzynek (ProtonMail), połączenia przez sieć Tor lub poczty zwykłej bez adresu nadawcy dla spraw szczególnie wrażliwych.

7. Jak długo przechowujemy dane

• Korespondencja z formularza kontaktowego — do momentu zakończenia sprawy + 12 miesięcy (na wypadek dalszej korespondencji), maksymalnie 3 lata.
• Adres e-mail w newsletterze — do momentu wypisania się z newslettera (link rezygnacji w każdej wysyłce) lub na Twoje żądanie.
• Logi serwera — automatycznie usuwane po 30 dniach.
• Logi formularzy (sukces/porażka, bez treści) — 90 dni.
• Dane sygnalistów — przechowywane wyłącznie tak długo, jak wymaga tego prowadzona sprawa dziennikarska. Po jej zakończeniu — niszczone lub anonimizowane.
• Faktury i dokumenty księgowe (jeśli zostały wystawione) — 5 lat (obowiązek z ustawy o rachunkowości).

8. Komu udostępniamy dane

Twoich danych nigdy nie sprzedajemy. Mogą być udostępniane wyłącznie następującym podmiotom — i tylko w niezbędnym zakresie:

• OVHcloud Poland sp. z o.o. (hosting serwerowy) — przetwarza dane techniczne (logi, zawartość strony, e-maile) jako podmiot przetwarzający (procesor), na podstawie umowy powierzenia (art. 28 RODO). Dane przechowywane są w centrum danych OVH w Gravelines (Francja, EOG).
• Organy państwa (sąd, prokuratura, policja, KAS) — wyłącznie na podstawie ważnego wezwania prawnego (postanowienie sądu, wezwanie prokuratorskie). Wyjątek dla sygnalistów — patrz sekcja 6.
• Biuro rachunkowe (jeśli prowadzona jest dla nas księgowość zewnętrzna) — wyłącznie w zakresie niezbędnym do rozliczeń podatkowych.

NIE udostępniamy danych: Google, Meta (Facebook, Instagram), TikTok, Microsoft, brokerom danych, sieciom reklamowym ani innym firmom marketingowym.

9. Twoje prawa (RODO)

Zgodnie z RODO masz prawo do:

• Dostępu do swoich danych (art. 15 RODO) — możesz zapytać, jakie dane na Twój temat przechowujemy.
• Sprostowania (art. 16 RODO) — możesz poprosić o poprawienie błędnych lub nieaktualnych danych.
• Usunięcia („prawo do bycia zapomnianym") (art. 17 RODO) — możesz poprosić o usunięcie swoich danych.
• Ograniczenia przetwarzania (art. 18 RODO) — możesz poprosić o czasowe wstrzymanie przetwarzania.
• Przenoszenia danych (art. 20 RODO) — możesz otrzymać swoje dane w formacie czytelnym maszynowo (CSV, JSON).
• Sprzeciwu (art. 21 RODO) — możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie.
• Wycofania zgody (art. 7 ust. 3 RODO) — w każdej chwili możesz wycofać zgodę (dotyczy newslettera). Wycofanie nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed jego wycofaniem.
• Wniesienia skargi do Prezesa UODO — Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl, jeśli uznasz, że przetwarzanie narusza RODO.

Jak skorzystać z tych praw? Skorzystaj z formularza kontaktowego z tematem „RODO" lub „Dane osobowe". Odpowiemy w ciągu 30 dni (art. 12 ust. 3 RODO). W razie potrzeby zweryfikujemy Twoją tożsamość — np. prosząc o potwierdzenie z adresu e-mail, którego użyłeś wcześniej.

Ograniczenie dla danych dziennikarskich: w zakresie, w jakim Twoje dane zostały przekazane do celów dziennikarskich (np. jako materiał źródłowy), prawo do usunięcia może być ograniczone przepisami o wolności prasy (art. 85 RODO, art. 17 ust. 3 lit. a RODO oraz przepisy Prawa prasowego).

10. Pliki cookies

Strona używa wyłącznie niezbędnych cookies technicznych — bez nich serwis nie działałby prawidłowo. Nie używamy ciasteczek marketingowych, analitycznych stron trzecich ani trackerów reklamowych.

Cookies, których używamy:

• Sesyjne — utrzymanie sesji użytkownika podczas wizyty. Wygasają po zamknięciu przeglądarki.
• localStorage / sessionStorage (jeśli używane) — wyłącznie do zapamiętywania preferencji wyświetlania (np. ostatnio wybrana kategoria). Brak danych identyfikujących.

Możesz w każdej chwili zablokować lub usunąć cookies w ustawieniach swojej przeglądarki (Ctrl+Shift+Del dla Chrome, Firefox, Edge). Wyłączenie cookies nie wpłynie znacząco na działanie strony.

11. Osadzenia i usługi zewnętrzne

Na stronie mogą pojawiać się osadzone filmy z YouTube (Google LLC, USA) oraz linki do platform społecznościowych (YouTube, Spotify, Instagram, X).

• YouTube — jeśli klikniesz w osadzony film lub odtworzysz go, Google może zbierać dane zgodnie ze swoją polityką prywatności (policies.google.com/privacy). Tam, gdzie to możliwe, używamy trybu „enhanced privacy" (youtube-nocookie.com), który ogranicza śledzenie do momentu kliknięcia odtwarzania.
• Linki do platform (Instagram, X, Spotify) — to wyłącznie linki odsyłające. Kliknięcie przekierowuje Cię na zewnętrzną stronę, gdzie obowiązują polityki prywatności tych platform.
• hCaptcha (jeśli aktywowany w formularzu kontaktowym) — gdy włączymy hCaptcha, w formularzu kontaktowym (NIE w formularzu sygnalistów) pojawi się widget weryfikujący. hCaptcha jest dostawcą zorientowanym na prywatność (siedziba: Intuition Machines, USA), ale przekazuje pewne dane techniczne. Polityka: hcaptcha.com/privacy.

12. Bezpieczeństwo techniczne

Stosujemy następujące środki bezpieczeństwa zgodnie z art. 32 RODO:

• Szyfrowanie HTTPS/TLS — cała transmisja danych jest szyfrowana certyfikatem SSL.
• Nagłówki bezpieczeństwa HTTP — X-Content-Type-Options, X-Frame-Options, Referrer-Policy.
• Ograniczony dostęp — do danych osobowych mają dostęp wyłącznie upoważnione osoby (redaktor naczelny).
• Regularne aktualizacje — oprogramowanie serwera (OVH) jest aktualizowane automatycznie.
• Kopie zapasowe — wykonywane przez dostawcę hostingu zgodnie z jego polityką (OVH).
• Hashing IP — adresy IP w bazach rate-limiting są hashowane SHA-256.
• Ochrona przed iniekcjami — wszystkie dane wejściowe są walidowane i sanityzowane przed zapisem.

Mimo zastosowania ww. środków, jak każda usługa internetowa, nie możemy zagwarantować 100% bezpieczeństwa. Zalecamy korzystanie z silnych haseł i ostrożność.

13. Profilowanie i automatyczne decyzje

Nie stosujemy zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO. Twoje dane nie są analizowane algorytmami w celu wywołania wobec Ciebie skutków prawnych ani istotnego oddziaływania.

14. Dane osób małoletnich

Nasza strona nie jest skierowana do osób poniżej 16 roku życia. Nie zbieramy świadomie danych osobowych dzieci. Jeśli stwierdzisz, że Twoje dziecko przesłało nam dane bez Twojej zgody — skontaktuj się z nami, a niezwłocznie je usuniemy.

15. Przekazywanie danych poza EOG

Co do zasady Twoje dane przetwarzamy w obrębie Europejskiego Obszaru Gospodarczego (serwer w Gravelines, Francja). Wyjątki:

• YouTube / Google (USA) — jeśli klikniesz w osadzony film. Google stosuje Standardowe Klauzule Umowne (SCC) Komisji Europejskiej.
• hCaptcha (USA, jeśli aktywowany) — Intuition Machines, Inc., działa na podstawie SCC.

Transfery te są ograniczone do absolutnego minimum i odbywają się wyłącznie na podstawie Twojej aktywnej interakcji z osadzonymi elementami.

16. Zmiany w polityce prywatności

Politykę prywatności możemy aktualizować, np. w związku ze zmianami prawa lub rozwojem serwisu. O istotnych zmianach poinformujemy:

• Komunikatem na stronie głównej.
• Bezpośrednio mailem — jeśli zapisałeś się na newsletter i zmiana Cię dotyczy.

Aktualna wersja obowiązuje od daty wskazanej na dole strony. Poprzednie wersje udostępniamy na żądanie przez formularz kontaktowy.

17. Kontakt w sprawach RODO

Pytania dotyczące przetwarzania danych osobowych, realizacji Twoich praw lub naruszeń — kieruj przez nasz formularz kontaktowy z tematem „RODO" lub „Dane osobowe".

Możesz też napisać tradycyjnie na adres redakcji:
PROBEH Łukasz Majchrzak
ul. Ignacego Daszyńskiego 255
44-100 Gliwice
z dopiskiem „RODO".