Polityka prywatności

Dotyczy serwisów docenki.pl i gratsly.com · Obowiązuje od 2026-03-20

Skrót Zbieramy tylko to, co niezbędne do działania serwisu i walki ze spamem. Dane osobowe (email, imię) są szyfrowane w bazie. Nie sprzedajemy Twoich danych reklamodawcom. Adresy IP i identyfikatory urządzeń są przechowywane wyłącznie jako hashe kryptograficzne — nie możemy ich odwrócić.

1. Administrator danych

Administratorem Twoich danych osobowych jest:
[NAZWA OPERATORA]
[ADRES OPERATORA]
E-mail w sprawach prywatności: privacy@docenki.pl

2. Jakie dane zbieramy i dlaczego

2.1 Dane konta (tylko po rejestracji)

DaneCelPodstawa prawnaOkres
Adres e-mail Logowanie, wysyłanie kodów jednorazowych, powiadomienia o docenkach Art. 6 ust. 1 lit. b RODO — niezbędność umowna Do usunięcia konta
Imię / pseudonim Wyświetlanie na tablicy i w docenkach; pobierane z Google lub generowane z e-maila Art. 6 ust. 1 lit. b RODO Do usunięcia konta
Identyfikator Google (ID OAuth) Logowanie przez Google Art. 6 ust. 1 lit. b RODO Do usunięcia konta

Jak chronimy: Adres e-mail i imię są szyfrowane algorytmem AES-256-GCM (envelope encryption). Klucz szyfrujący jest przechowywany poza bazą danych i nigdy nie jest przesyłany przez sieć. W bazie przechowujemy również jednostronny hash SHA-256 adresu e-mail do wyszukiwania — bez możliwości odwrócenia do oryginalnej wartości.

2.2 Dane wysyłanej docenki

DaneCelPodstawa prawnaOkres
Imię nadawcy (opcjonalne) Wyświetlane odbiorcy wraz z docenką Art. 6 ust. 1 lit. b RODO Do wygaśnięcia lub usunięcia docenki
E-mail odbiorcy (jeśli wysyłasz na e-mail) Dostarczenie docenki na adres e-mail Art. 6 ust. 1 lit. f RODO — uzasadniony interes (dostarczenie treści wybranej przez nadawcę) Do odebrania docenki lub 90 dni od wysłania
Treść wiadomości (opcjonalna) Przekazana odbiorcy jako część docenki Art. 6 ust. 1 lit. b RODO Do wygaśnięcia lub usunięcia docenki

E-mail odbiorcy jest szyfrowany tak samo jak e-mail nadawcy (AES-256-GCM).

Źródło danych odbiorcy. Jeżeli nadawca wpisuje adres e-mail odbiorcy lub wybiera odbiorcę po nicku, dane odbiorcy otrzymujemy od nadawcy lub z istniejącego konta odbiorcy w serwisie. Jeżeli pozyskaliśmy dane odbiorcy nie bezpośrednio od niego, przekazujemy mu informacje o przetwarzaniu najpóźniej przy pierwszym kontakcie z naszej strony (np. w wiadomości z linkiem do odbioru docenki) albo przy pierwszym logowaniu/odbiorze, zgodnie z art. 14 RODO.

2.3 Dane techniczne i bezpieczeństwo

Aby chronić serwis przed spamem, nadużyciami i atakami, zbieramy następujące dane techniczne:

DaneJak przechowywaneCelPodstawa prawna
Adres IP Hash SHA-256 — nie możemy odwrócić do oryginalnego IP Limitowanie wysyłek, ochrona przed spamem Art. 6 ust. 1 lit. f RODO — uzasadniony interes
User Agent przeglądarki Hash SHA-256 Wykrywanie botów, bezpieczeństwo Art. 6 ust. 1 lit. f RODO
Odcisk urządzenia (device fingerprint) Hash SHA-256 — generowany lokalnie w przeglądarce Identyfikacja unikatowego niezarejestrowanego nadawcy (limity wysyłek) Art. 6 ust. 1 lit. f RODO
Cookie docenki-uid Losowy identyfikator przechowywany w pliku cookie — ważny 1 rok Tymczasowa identyfikacja niezarejestrowanego nadawcy do limitowania wysyłek Art. 6 ust. 1 lit. f RODO

2.4 Dane analityczne (first-party)

Używamy wyłącznie własnej, wewnętrznej analityki — bez żadnych zewnętrznych narzędzi (Google Analytics, Meta Pixel ani innych). Zbieramy:

  • Zdarzenia użytkownika — np. „wysłano docenkę", „odebrano docenkę", „otwarto tablicę" — wraz z ekranem, datą i typem urządzenia (mobile/desktop)
  • Kraj, region, miasto — pobierane z nagłówków Cloudflare (na poziomie serwera, nie GPS); nie zbieramy dokładnej lokalizacji
  • Parametry UTM (utm_source, utm_medium, utm_campaign) — jeśli trafiasz z linku z takimi parametrami, np. z posta na social media
  • Adres referrer — tylko domena strony, z której trafiłeś (np. „whatsapp.com"), nie pełny URL
  • Język i strefa czasowa przeglądarki
  • Rozmiar okna przeglądarki — do optymalizacji layoutu

Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes — mierzenie funkcjonowania serwisu i optymalizacja produktu). Dane analityczne są przechowywane przez maksymalnie 24 miesiące od ich zebrania.

Masz prawo sprzeciwić się temu przetwarzaniu — patrz sekcja 5.

2.5 Cookies i local storage

Cookie / kluczCelCzas życiaKategoria
PHPSESSID Sesja logowania Do zamknięcia przeglądarki Niezbędny
docenki-theme Zapamiętanie wyboru motywu (jasny/ciemny) 1 rok Funkcjonalny (preferencja UI)
docenki-uid Tymczasowa identyfikacja niezarejestrowanego nadawcy — limity wysyłek, ochrona przed spamem 1 rok Funkcjonalny / bezpieczeństwo

Serwis nie używa ciasteczek reklamowych ani śledzących stron trzecich. Nie korzystamy z Google Analytics, Meta Pixel ani żadnych podobnych narzędzi marketingowych.

3. Komu przekazujemy dane

Nie sprzedajemy danych osobowych. Dane mogą być przekazane wyłącznie:

  • Dostawcom infrastruktury hostingowej — serwery, na których działa serwis (w UE lub z odpowiednimi zabezpieczeniami SCCs)
  • Google LLC — w zakresie danych przekazywanych przez OAuth (logowanie przez Google); Google jest odrębnym administratorem tych danych
  • Dostawcom poczty elektronicznej — do wysyłania kodów logowania i powiadomień o docenkach
  • Organom publicznym — wyłącznie gdy wymagają tego przepisy prawa

Wszystkie podmioty przetwarzające, którym przekazujemy dane, działają na podstawie umowy powierzenia przetwarzania danych (DPA) lub mają odpowiednią podstawę prawną transferu do krajów trzecich.

4. Twoje prawa

Na podstawie RODO przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15) — możesz zażądać kopii Twoich danych osobowych, które przetwarzamy
  • Prawo do sprostowania (art. 16) — możesz poprosić o korektę nieprawidłowych danych
  • Prawo do usunięcia (art. 17) — możesz zażądać usunięcia swoich danych; usuniemy je niezwłocznie, chyba że istnieje inna podstawa prawna do ich przechowywania (np. obowiązek podatkowy)
  • Prawo do ograniczenia przetwarzania (art. 18)
  • Prawo do przenoszenia danych (art. 20) — dane podane przez Ciebie możemy przekazać Tobie lub innemu administratorowi w ustrukturyzowanym formacie (JSON/CSV)
  • Prawo sprzeciwu (art. 21) — masz prawo sprzeciwić się przetwarzaniu danych analitycznych opartemu na uzasadnionym interesie; po wniesieniu sprzeciwu zaprzestaniemy tego przetwarzania

Aby skorzystać z powyższych praw, napisz na adres: privacy@docenki.pl. Odpowiemy w ciągu 30 dni.

Masz również prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem. Więcej informacji: uodo.gov.pl.

5. Sprzeciw wobec analityki

Jeśli nie zgadzasz się na zbieranie danych analitycznych (zdarzenia, geo, UTM, referrer), możesz w każdej chwili wnieść sprzeciw, pisząc na adres privacy@docenki.pl. Zaprzestaniemy zbierania tych danych dla Twojego konta. Nie wpłynie to na funkcjonowanie serwisu.

Niezarejestrowanym użytkownikom zalecamy skorzystanie z trybu prywatnego przeglądarki lub rozszerzenia blokującego śledzenie — cookie docenki-uid nie zostanie wtedy utrwalony między sesjami.

6. Bezpieczeństwo danych

Stosujemy następujące środki ochrony danych:

  • Szyfrowanie AES-256-GCM (envelope encryption) dla danych osobowych — email, imię, identyfikatory OAuth
  • Jednostronne hashowanie SHA-256 dla adresów IP, User Agentów i odcisków urządzeń
  • Połączenia wyłącznie przez HTTPS
  • Ciasteczka sesji ustawione jako HttpOnly; Secure; SameSite=Lax
  • Klucz szyfrujący przechowywany poza bazą danych, jako zmienna środowiskowa na serwerze
  • Zasada minimalnych uprawnień w bazie danych

7. Dane dzieci

Serwis nie jest przeznaczony dla osób poniżej 16 roku życia. Jeśli dowiesz się, że dziecko poniżej 16 lat podało nam swoje dane bez wiedzy rodzica, prosimy o kontakt na adres privacy@docenki.pl — usuniemy te dane niezwłocznie.

8. Zmiany polityki prywatności

O istotnych zmianach polityki prywatności poinformujemy użytkowników posiadających konto drogą e-mailową lub komunikatem w serwisie, z wyprzedzeniem co najmniej 14 dni.

9. Kontakt

W sprawach związanych z ochroną danych osobowych: privacy@docenki.pl

W pozostałych sprawach: kontakt@docenki.pl

Privacy Policy

Covers gratsly.com and docenki.pl · Effective 2026-03-20

TL;DR We only collect what's needed to run the service and prevent spam. Personal data (email, name) is encrypted in the database. We don't sell your data to advertisers. IP addresses and device identifiers are stored only as cryptographic hashes — they cannot be reversed.

1. Data controller

[NAZWA OPERATORA]
[ADRES OPERATORA]
Privacy contact: privacy@docenki.pl

2. What we collect and why

2.1 Account data (registered users only)

DataPurposeLegal basisRetention
Email address Login, one-time codes, appreciation notifications Art. 6(1)(b) GDPR — contractual necessity Until account deletion
Name / nickname Shown on board and in badges; from Google or generated from email Art. 6(1)(b) GDPR Until account deletion
Google account ID Google Sign-In Art. 6(1)(b) GDPR Until account deletion

How we protect it: Email and name are encrypted with AES-256-GCM (envelope encryption). The encryption key is stored outside the database and never transmitted over the network. We also store a one-way SHA-256 hash of the email for lookup — it cannot be reversed to the original.

2.2 Appreciation data

DataPurposeLegal basisRetention
Sender name (optional) Shown to recipient with the badge Art. 6(1)(b) GDPR Until badge expires or is deleted
Recipient email (if sending by email) Delivery of the appreciation email Art. 6(1)(f) GDPR — legitimate interest (delivery of content chosen by sender) Until claimed or 90 days from send
Optional message text Passed to recipient as part of the badge Art. 6(1)(b) GDPR Until badge expires or is deleted

Source of recipient data. If a sender enters a recipient's email address or selects a recipient by nickname, we receive the recipient data from the sender or from an existing user account already present in the service. When we have not obtained the recipient's personal data directly from that person, we provide the required privacy information at the latest at first contact from us (for example in the message containing the claim link) or when the recipient first logs in or claims the appreciation, in line with Article 14 GDPR / UK GDPR.

2.3 Technical and security data

DataHow storedPurposeLegal basis
IP address SHA-256 hash — cannot be reversed Rate limiting, spam prevention Art. 6(1)(f) GDPR
Browser User Agent SHA-256 hash Bot detection, security Art. 6(1)(f) GDPR
Device fingerprint SHA-256 hash — generated locally in browser Identify unique unregistered sender for rate limits Art. 6(1)(f) GDPR
docenki-uid cookie Random ID in a cookie — 1 year lifespan Temporary ID for unregistered sender — rate limiting Art. 6(1)(f) GDPR

2.4 First-party analytics

We use only our own internal analytics — no third-party tools (no Google Analytics, Meta Pixel or similar). We collect:

  • User events — e.g. "badge sent", "badge claimed", "board opened" — with screen, date and device type
  • Country, region, city — from Cloudflare server headers; not GPS — no precise location
  • UTM parameters (utm_source, utm_medium, utm_campaign) — when you arrive via a tagged link
  • Referrer domain — only the domain (e.g. "whatsapp.com"), not the full URL
  • Browser language and timezone
  • Browser window size — for layout optimisation

Legal basis: Art. 6(1)(f) GDPR (legitimate interest — measuring service performance and product optimisation). Analytics data is retained for a maximum of 24 months from collection.

2.5 Cookies

CookiePurposeLifespanCategory
PHPSESSIDLogin sessionSessionEssential
docenki-themeRemember light/dark mode preference1 yearFunctional
docenki-uidTemporary ID for unregistered sender — rate limiting, spam prevention1 yearFunctional / security

We do not use advertising or third-party tracking cookies.

3. Who we share data with

We do not sell personal data. Data may be shared only with:

  • Hosting infrastructure providers — servers running the service (EU or with appropriate SCCs)
  • Google LLC — data passed via OAuth for Google Sign-In; Google is a separate data controller for that data
  • Email service providers — to send login codes and appreciation notifications
  • Public authorities — only when required by law

4. Your rights

Under GDPR you have the right to:

  • Access (Art. 15) — request a copy of your personal data
  • Rectification (Art. 16) — correct inaccurate data
  • Erasure (Art. 17) — request deletion of your data
  • Restriction (Art. 18) — restrict how we process your data
  • Data portability (Art. 20) — receive your data in a structured format (JSON/CSV)
  • Object (Art. 21) — object to analytics processing based on legitimate interest; we will stop upon objection

To exercise these rights, email: privacy@docenki.pl. We will respond within 30 days.

You may also lodge a complaint with the Polish data protection authority (UODO) at uodo.gov.pl, or your local supervisory authority.

5. US state privacy notice

If you are a resident of California or another US state with a comprehensive privacy law, this section supplements the rest of this Privacy Policy.

Categories of personal information. Depending on how you use the service, we may collect identifiers and contact details (such as email address, nickname, Google account ID), appreciation content you submit, internet or device activity information, approximate geolocation derived from server headers, and cookie or similar identifiers used for login, preferences and abuse prevention.

Sources. We collect personal information directly from you, automatically from your browser or device, from Google when you choose Google Sign-In, and from another user when that person sends an appreciation to you or provides your contact details to deliver it.

Business purposes and disclosures. We use these categories for account access, delivery of appreciations, security, abuse prevention, internal analytics, support and legal compliance. We disclose the relevant categories only to service providers and processors helping us run hosting, email delivery, authentication and infrastructure, or when disclosure is required by law.

No sale or sharing for cross-context behavioural advertising. We do not sell personal information and we do not share personal information for cross-context behavioural advertising as those terms are used in California privacy law.

Your rights. Subject to applicable law, you may request access to, deletion of, correction of and portability of your personal information, and you may opt out of any sale or sharing if our practices change in the future. You may also use an authorised agent where state law permits it. We will not discriminate against you for exercising an applicable privacy right.

Appeals. If we deny a request from a resident of a state that grants an appeal right, you may reply to our decision email within 30 days and request an internal review.

To exercise these rights, email privacy@docenki.pl. We will verify the request as required by applicable law and respond within the statutory deadline that applies to your place of residence.

6. Objecting to analytics

To opt out of analytics data collection (events, geo, UTM, referrer), email privacy@docenki.pl at any time. We will stop collecting this data for your account. This will not affect service functionality.

7. Security

  • AES-256-GCM envelope encryption for personal data (email, name, OAuth IDs)
  • One-way SHA-256 hashing for IP addresses, User Agents and device fingerprints
  • HTTPS-only connections
  • Session cookies set as HttpOnly; Secure; SameSite=Lax
  • Encryption key stored outside the database as a server environment variable

8. Children

The service is not intended for users under 16. If you believe a child under 16 has provided us with data, contact privacy@docenki.pl and we will investigate and delete the data where required by law.

9. Contact

Privacy matters: privacy@docenki.pl
General: kontakt@docenki.pl