Przejdź do treści
Dokument prawny

Polityka prywatności

Platforma badawcza „Zielona cyfryzacja gmin"

Data wejścia w życie: 1 marca 2026 r.

1. Administrator danych

Administratorem Twoich danych osobowych jest:

Tomasz Fiedoruk

E-mail: [email protected]

Telefon: +48 604 060 080

W sprawach dotyczących ochrony danych osobowych możesz kontaktować się bezpośrednio z administratorem pod wskazanym adresem e-mail.

2. Jakie dane zbieramy

2.1. Ankieta badawcza (respondenci)

Udział w ankiecie jest anonimowy. Nie wymagamy podania imienia, nazwiska ani adresu e-mail. Zbieramy wyłącznie:

  • Odpowiedzi na pytania ankietowe — dotyczące cyfryzacji i ekologii w gminie
  • Skrót (hash) adresu IP — jednokierunkowy hash SHA-256 z rotacją miesięczną, służy wyłącznie do ochrony przed duplikatami i nadużyciami; nie pozwala na identyfikację użytkownika
  • Adres e-mail (opcjonalnie) — tylko jeśli respondent chce otrzymać raport z wynikami; email jest szyfrowany algorytmem AES-256-CBC i przechowywany w zaszyfrowanej formie

2.2. Panel badawczy (konta dla gmin)

Gminy biorące udział w badaniu mogą bezpłatnie zarejestrować się w panelu badawczym — narzędziu online do przeglądania wyników, benchmarkingu i raportów. Rejestracja wymaga:

  • Adres e-mail w domenie urzędowej (np. [email protected]) — szyfrowany algorytmem AES-256-CBC
  • Hasło — przechowywane wyłącznie jako hash bcrypt (cost 12); oryginalne hasło nie jest nigdzie zapisywane
  • Nazwa gminy — przypisana do konta na podstawie domeny e-mail

3. Cele i podstawy prawne przetwarzania

Cel Podstawa prawna Okres przechowywania
Przeprowadzenie badania i analiza wyników Art. 6 ust. 1 lit. f RODO (uzasadniony interes) Do 24 miesięcy od zakończenia badania
Wysyłka raportu z wynikami Art. 6 ust. 1 lit. a RODO (zgoda) Do momentu wysłania raportu lub cofnięcia zgody
Obsługa konta w panelu badawczym Art. 6 ust. 1 lit. b RODO (umowa / usługa) Do usunięcia konta lub zakończenia badania
Ochrona przed nadużyciami (hash IP) Art. 6 ust. 1 lit. f RODO (uzasadniony interes) Hash rotowany co miesiąc, dane usuwane automatycznie
Statystyki odwiedzin (Plausible) Art. 6 ust. 1 lit. f RODO (uzasadniony interes) Dane zagregowane, bez danych osobowych

4. Pliki cookies i analityka

4.1. Cookies

Platforma wykorzystuje wyłącznie cookies techniczne, niezbędne do jej funkcjonowania:

  • Cookie sesyjne (PHPSESSID) — utrzymuje sesję użytkownika w panelu; usuwany po zamknięciu przeglądarki
  • Preferencja motywu (badanie_theme) — przechowuje wybór trybu jasnego/ciemnego w localStorage przeglądarki; nie jest plikiem cookie sensu stricto

Nie stosujemy cookies marketingowych, reklamowych ani śledzących. Nie korzystamy z Google Analytics ani podobnych narzędzi profilujących.

4.2. Analityka — Plausible CE

Do analizy ruchu na stronie używamy Plausible Community Edition — oprogramowania analitycznego hostowanego na naszym własnym serwerze (skad.click). Plausible:

  • Nie używa plików cookies
  • Nie zbiera danych osobowych
  • Nie śledzi użytkowników między stronami
  • Generuje wyłącznie zagregowane statystyki (liczba odwiedzin, źródła ruchu, popularne podstrony)
  • Jest w pełni zgodne z RODO, ePrivacy i PECR bez konieczności uzyskiwania zgody

5. Sposób przechowywania danych

  • Format: Dane przechowywane są w plikach JSON (flat-file) — nie korzystamy z zewnętrznych baz danych typu MySQL
  • Szyfrowanie e-maili: Wszystkie adresy e-mail są szyfrowane algorytmem AES-256-CBC przed zapisem; klucz szyfrowania przechowywany jest oddzielnie od danych
  • Hasła: Przechowywane wyłącznie jako hash bcrypt z kosztem 12 — odtworzenie oryginalnego hasła jest praktycznie niemożliwe
  • Hash IP: Adresy IP przetwarzane są wyłącznie jako jednokierunkowy hash SHA-256 z miesięczną rotacją soli (salt); sam adres IP nie jest nigdzie zapisywany
  • Katalog danych: Pliki z danymi chronione są na poziomie serwera (Apache .htaccess deny all) — nie są dostępne z poziomu przeglądarki

6. Hosting i lokalizacja danych

Platforma hostowana jest na serwerach współdzielonych:

  • dhosting.pl / zenbox.pl — polscy dostawcy hostingu, serwery zlokalizowane w Polsce
  • Dane osobowe nie są przekazywane poza Europejski Obszar Gospodarczy (EOG)
  • Analityka (Plausible CE) działa na serwerze VPS w Niemczech (Hetzner) — również w ramach EOG

7. Komu udostępniamy dane

Nie sprzedajemy, nie wymieniamy ani nie udostępniamy danych osobowych podmiotom trzecim w celach marketingowych. Dane mogą być udostępnione wyłącznie:

  • Dostawcom hostingu (dhosting.pl / zenbox.pl) — w zakresie niezbędnym do świadczenia usługi hostingowej (dane zaszyfrowane)
  • Organom publicznym — wyłącznie na podstawie obowiązujących przepisów prawa, na żądanie uprawnionych organów

Wyniki badania publikowane są wyłącznie w formie zagregowanej i zanonimizowanej — nigdy jako odpowiedzi indywidualne.

8. Twoje prawa (RODO)

Jako osoba, której dane dotyczą, masz prawo do:

Prawo dostępu

Możesz zapytać, jakie Twoje dane przetwarzamy i uzyskać ich kopię.

Prawo do sprostowania

Jeśli Twoje dane są nieprawidłowe lub niekompletne — poprawimy je na Twoje żądanie.

Prawo do usunięcia („prawo do bycia zapomnianym")

Możesz żądać usunięcia swoich danych. Realizujemy to przez mechanizm soft delete — dane zostają oznaczone jako usunięte i nie są dalej przetwarzane, a następnie trwale usuwane w cyklicznym procesie czyszczenia.

Prawo do przenoszenia danych

Masz prawo otrzymać swoje dane w formacie nadającym się do odczytu maszynowego (JSON).

Prawo do ograniczenia przetwarzania

W określonych sytuacjach możesz żądać ograniczenia przetwarzania Twoich danych.

Prawo do sprzeciwu

Możesz wnieść sprzeciw wobec przetwarzania opartego na uzasadnionym interesie administratora.

Prawo do cofnięcia zgody

Jeśli przetwarzamy dane na podstawie Twojej zgody (np. e-mail na raport) — możesz ją cofnąć w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

Aby skorzystać z któregokolwiek z powyższych praw, napisz na adres: [email protected]. Odpowiemy w ciągu 30 dni.

9. Prawo do skargi

Jeśli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, masz prawo złożyć skargę do organu nadzorczego:

Prezes Urzędu Ochrony Danych Osobowych (UODO)

ul. Stawki 2, 00-193 Warszawa

Strona: uodo.gov.pl

10. Zabezpieczenia techniczne

Stosujemy następujące środki ochrony danych:

  • Szyfrowanie adresów e-mail algorytmem AES-256-CBC
  • Hashowanie haseł algorytmem bcrypt z kosztem obliczeniowym 12
  • Jednokierunkowy hash SHA-256 adresów IP z miesięczną rotacją soli
  • Ochrona formularzy przed atakami CSRF (tokeny jednorazowe)
  • Ochrona przed brute-force (blokada po 5 nieudanych próbach logowania na 15 minut)
  • Limity przesyłania ankiet (max 3 dziennie na adres IP)
  • Katalogi danych niedostępne z poziomu przeglądarki (.htaccess deny all)
  • Kodowanie wyjścia HTML (htmlspecialchars) zapobiegające atakom XSS
  • Regularne aktualizacje oprogramowania serwera

11. Zmiany polityki prywatności

Zastrzegamy sobie prawo do aktualizacji niniejszej polityki prywatności. O istotnych zmianach poinformujemy poprzez zamieszczenie zaktualizowanej wersji na tej stronie z nową datą wejścia w życie. Zachęcamy do okresowego sprawdzania tej strony.

12. Kontakt

Pytania dotyczące polityki prywatności lub przetwarzania danych osobowych prosimy kierować na adres: