Polityka prywatności

Administrator danych

Administratorem danych osobowych przetwarzanych w związku z korzystaniem ze strony voctensemble.com jest:

Fundacja realizuje cele statutowe w zakresie kultury i sztuki sakralnej. Strona stanowi jej witrynę informacyjną oraz kanał przyjmowania darowizn.

Kontakt w sprawach danych

W sprawach związanych z przetwarzaniem danych osobowych prosimy o kontakt na adres:

Nie powołaliśmy Inspektora Ochrony Danych — zakres i charakter przetwarzania nie wymagają jego ustanowienia (art. 37 RODO).

Jakie dane przetwarzamy

Odwiedzający stronę

Samo otwarcie strony powoduje automatyczne przetworzenie danych technicznych przez serwery hostingowe oraz sieci dostarczania treści (CDN):

• adres IP urządzenia,
• nagłówki HTTP (m.in. typ przeglądarki, język, źródło),
• data i godzina żądania,
• adres żądanego zasobu.

Są to standardowe logi serwera HTTP. Nie łączymy ich z żadnymi innymi danymi, nie używamy ich do profilowania ani marketingu. Służą wyłącznie do utrzymania działania witryny oraz bezpieczeństwa (np. blokady ruchu nadużywanego).

Darczyńcy

W trakcie składania darowizny przetwarzane są dane niezbędne do realizacji transakcji, wystawienia ewentualnego zaświadczenia o darowiźnie oraz wypełnienia obowiązków księgowych Fundacji. Zakres i sposób przetwarzania zależą od wybranej metody:

Bramka płatnicza Axepta BNP Paribas (BLIK, szybkie przelewy, Apple Pay, Google Pay, karty)

Korzystamy z bramki płatniczej Axepta BNP Paribas, której operatorem jest BNP Paribas Bank Polska S.A. Dla transakcji kartowych agentem rozliczeniowym jest PayU S.A. Płatność jest obsługiwana w dwóch trybach — w zależności od tego, który jest dostępny w danym momencie:

• Tryb wbudowany (embedded, REST API) — formularz płatności pojawia się bezpośrednio w interfejsie naszej strony. Wprowadzone dane (kod BLIK, dane karty, wybór banku przy szybkim przelewie) są przekazywane przez nasz serwer aplikacyjny szyfrowanym kanałem do REST API bramki — bez utrwalania pełnych danych płatniczych po naszej stronie.
• Tryb przekierowania (redirect) — używany jako wariant zastępczy. Po kliknięciu „Wesprzyj" zostajesz przekierowany na podstronę operatora bramki, gdzie wprowadzasz dane płatnicze, i wracasz na naszą stronę z potwierdzeniem transakcji.

Niezależnie od trybu, Fundacja nie przechowuje pełnych danych kart płatniczych ani danych logowania do bankowości elektronicznej. Dane karty są w czasie rzeczywistym tokenizowane i przekazywane do bramki, która przejmuje ciężar autoryzacji oraz obowiązki bezpieczeństwa zgodnie z normą PCI DSS. Po stronie Fundacji zachowujemy wyłącznie: imię i nazwisko (lub pseudonim) darczyńcy, adres e-mail, kwotę, datę, identyfikator transakcji oraz jej status — w zakresie niezbędnym do ewidencji księgowej i wystawienia potwierdzenia darowizny.

Zrzutka.pl

Zakres danych określa polityka Zrzutka.pl; administratorem danych wpłacających w jej obrębie jest Zrzutka Sp. z o.o.

Przelew bankowy

Dane wynikają z polecenia przelewu (nadawca, tytuł, kwota) i trafiają do nas wyłącznie za pośrednictwem banku prowadzącego nasz rachunek.

Korespondencja e-mail

Jeśli napiszesz do nas na jeden z naszych adresów, przetwarzamy dane zawarte w treści korespondencji — adres e-mail nadawcy, podpis, treść wiadomości — wyłącznie w celu odpowiedzi.

Preferencja audio (localStorage)

Po wybraniu „Wejdź z głosem" / „Wejdź w ciszę" zapisujemy Twój wybór w pamięci lokalnej przeglądarki (localStorage) pod kluczem voct.demo.audio. Wpis wygasa po 3 godzinach i zawiera wyłącznie wartość preferencji oraz znacznik czasu. Nie są to dane osobowe, nie opuszczają Twojej przeglądarki.

Cele i podstawy prawne

Twoje dane przetwarzamy w następujących celach i na następujących podstawach prawnych RODO:

• Utrzymanie i bezpieczeństwo witryny (logi serwera) — art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes administratora w postaci zapewnienia ciągłości i bezpieczeństwa działania strony.
• Realizacja darowizny — art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy darowizny) oraz lit. c (obowiązki prawne w zakresie księgowości i sprawozdawczości fundacji). W tym zakresie pośredniczymy w transmisji danych płatniczych do bramki Axepta BNP Paribas / PayU.
• Wystawienie zaświadczenia o darowiźnie — art. 6 ust. 1 lit. c RODO, wykonanie obowiązków wynikających z przepisów podatkowych.
• Ustalenie, dochodzenie lub obrona roszczeń — art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes Fundacji (np. w związku z błędną wpłatą lub sporem).
• Odpowiedź na korespondencję — art. 6 ust. 1 lit. f RODO, prawnie uzasadniony interes w postaci komunikacji z osobami zainteresowanymi działalnością fundacji.

Odbiorcy danych

W zależności od wykonywanej operacji Twoje dane mogą trafić do następujących podmiotów (procesorów lub odrębnych administratorów):

• Dostawcy infrastruktury technicznej (hosting, CDN) — zaufane podmioty zapewniające nam serwery oraz sieć dostarczania treści niezbędną do działania i zabezpieczenia strony. Działają oni jako podmioty przetwarzające na nasze polecenie. Fonty serwujemy lokalnie i nie przekazujemy adresów IP zewnętrznym dostawcom typografii.
• BNP Paribas Bank Polska S.A. (ul. Kasprzaka 2, 01-211 Warszawa) — operator bramki Axepta BNP Paribas. Przetwarza dane transakcyjne (BLIK, szybkie przelewy, Apple Pay, Google Pay) w celu autoryzacji i rozliczenia płatności. Zgodnie z zawartą umową jest odrębnym (niezależnym) administratorem danych osobowych przetwarzanych w celu wykonania płatności. Polityka prywatności: bnpparibas.pl/repozytorium/rodo.
• PayU S.A. (ul. Grunwaldzka 186, 60-166 Poznań) — agent rozliczeniowy dla transakcji kartowych. Obsługuje autoryzację, tokenizację oraz przetwarza dane karty zgodnie z normą PCI DSS. Również jest odrębnym (niezależnym) administratorem danych osobowych. Polityka prywatności: poland.payu.com/prywatnosc.
• Zrzutka Sp. z o.o. — w momencie kliknięcia w link do naszej zbiórki i wpłaty przez Zrzutkę. Jest odrębnym administratorem; polityka: https://zrzutka.pl/privacy.
• Biuro rachunkowe fundacji — w zakresie niezbędnym do prowadzenia ksiąg rachunkowych i ewidencji darowizn.

Transfery poza EOG

Fundacja ogranicza przekazywanie danych poza Europejski Obszar Gospodarczy tam, gdzie jest to możliwe. Nasza główna infrastruktura serwerowa znajduje się na terenie Unii Europejskiej.

Jeżeli w związku z obsługą techniczną strony (np. przez sieci CDN) dochodzi do przekazania danych poza EOG, odbywa się to wyłącznie na podstawie Standardowych Klauzul Umownych (SCC) lub innych zabezpieczeń przewidzianych w RODO.

Operator bramki płatniczej (BNP Paribas Bank Polska S.A.) oraz agent rozliczeniowy kart (PayU S.A.) są podmiotami z siedzibą w Polsce. Mogą oni jednak — w ramach własnych systemów antyfraudowych — przetwarzać dane również poza EOG, za co odpowiadają na zasadach określonych w swoich politykach prywatności.

Czas przechowywania

• Logi serwera HTTP — standardowo do 12 miesięcy, chyba że przepisy prawa lub trwające postępowanie (np. analizy nadużyć) uzasadniają dłuższy okres przechowywania.
• Dane darczyńców (dokumentacja księgowa i dowody wpłat) — przez 5 lat, licząc od początku roku następującego po roku obrotowym, którego dane dotyczą. Obowiązek ten wynika wprost z art. 74 ustawy o rachunkowości oraz przepisów Ordynacji podatkowej.
• Korespondencja e-mail — do czasu zakończenia sprawy, nie dłużej niż 3 lata od ostatniej wymiany wiadomości. Okres ten może ulec wydłużeniu do czasu przedawnienia ewentualnych roszczeń, jeśli korespondencja stanowi dowód w sprawie.
• Preferencja audio w localStorage — 3 godziny od zapisu lub do czasu wyczyszczenia danych przeglądarki przez użytkownika.

Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa:

• Prawo dostępu do swoich danych oraz uzyskania ich kopii (art. 15 RODO).
• Prawo do sprostowania danych nieprawidłowych lub niekompletnych (art. 16).
• Prawo do usunięcia danych („prawo do bycia zapomnianym", art. 17).
• Prawo do ograniczenia przetwarzania (art. 18).
• Prawo do przenoszenia danych, gdy przetwarzanie odbywa się na podstawie zgody lub umowy i w sposób zautomatyzowany (art. 20).
• Prawo do sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie administratora (art. 21).
• Prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Aby skorzystać z któregokolwiek z powyższych praw, napisz na rodo@voctensemble.com. Odpowiadamy bez zbędnej zwłoki, najpóźniej w terminie miesiąca od otrzymania żądania.

Statystyki odwiedzin

W celu optymalizacji strony oraz zrozumienia, jakie treści są dla Państwa interesujące, korzystamy z narzędzia Plausible Analytics. Jest to rozwiązanie skoncentrowane na prywatności:

• Brak ciasteczek: Narzędzie nie wykorzystuje plików cookies i nie zapisuje żadnych danych w pamięci Państwa przeglądarki.
• Pełna anonimowość: Nie zbieramy adresów IP, danych lokalizacyjnych ani żadnych informacji pozwalających na identyfikację konkretnej osoby.
• Minimalizm: Przetwarzamy wyłącznie surowe, zagregowane dane statystyczne (np. liczba odwiedzin, najpopularniejsze podstrony), które służą nam wyłącznie do celów ulepszania serwisu.

Szczegółowe informacje o tym, w jaki sposób narzędzie to dba o prywatność, można znaleźć w oficjalnej Polityce Danych Plausible (Data Policy).

Cookies, localStorage i skrypty podmiotów trzecich

Własne pliki cookies

Nie używamy własnych plików cookies — ani analitycznych, ani marketingowych. Strona nie zawiera Google Analytics, Meta Pixel ani podobnych narzędzi profilujących.

localStorage przeglądarki

Używamy mechanizmu localStorage przeglądarki do zapisania jednej preferencji (dźwięk włączony/wyłączony, klucz voct.demo.audio). Jest to mechanizm „ściśle niezbędny" do realizacji wybranej przez Ciebie funkcji witryny — zgodnie z motywem 30 dyrektywy 2002/58/WE oraz orzecznictwem nie wymaga uprzedniej zgody.

Techniczne skrypty i pliki cookies bramki płatniczej

W momencie, w którym wybierzesz metodę płatności i przejdziesz do formularza darowizny, w przeglądarce ładują się techniczne biblioteki JavaScript dostarczane przez BNP Paribas / PayU. Mogą one ustawić pliki cookies lub korzystać z innych mechanizmów przechowywania danych w przeglądarce w celach:

• autoryzacji i utrzymania sesji płatności,
• tokenizacji danych karty,
• wykrywania nadużyć (fraud detection, device fingerprinting),
• obsługi 3-D Secure / Strong Customer Authentication (PSD2 SCA).

Te mechanizmy są ściśle niezbędne do bezpiecznego przeprowadzenia płatności i nie wymagają odrębnej zgody. Administratorem danych przetwarzanych przez te skrypty są BNP Paribas Bank Polska S.A. oraz — w przypadku płatności kartą — PayU S.A., na zasadach opisanych w ich politykach prywatności (linki w sekcji „Odbiorcy danych"). Nie pojawiają się one, dopóki nie rozpoczniesz procesu darowizny.

Bezpieczeństwo

• Strona dostępna jest wyłącznie przez połączenie szyfrowane HTTPS (TLS 1.3).
• Wymuszamy HTTP Strict Transport Security (HSTS) z opcją preload — przeglądarka nie pozwoli na nieszyfrowane połączenie z naszą domeną.
• Nie przechowujemy pełnych danych kart płatniczych ani kodów BLIK na serwerach Fundacji. Dane są w czasie rzeczywistym tokenizowane i przekazywane szyfrowanym kanałem do bramki Axepta BNP Paribas / PayU.
• W zakresie, w jakim nasz serwer aplikacyjny pośredniczy w transmisji danych płatniczych (tryb embedded REST API), komunikacja odbywa się wyłącznie szyfrowanym TLS, a dane są natychmiast po przekazaniu do bramki usuwane z pamięci procesu i nie są utrwalane na dysku.
• Adresy e-mail przechowywane są w skrzynkach pocztowych zabezpieczonych mechanizmami uwierzytelniania wieloskładnikowego.

Zmiany polityki

Politykę aktualizujemy, gdy zmienia się sposób przetwarzania danych — na przykład gdy uruchomimy nowe metody płatności, dodamy formularze lub zmienimy infrastrukturę techniczną. Każda zmiana jest oznaczona nowym numerem wersji i datą obowiązywania (u góry tego dokumentu).

Historia zmian

• 1.0 · 13 maja 2026 — Wersja pierwotna polityki, opublikowana wraz z uruchomieniem witryny voctensemble.com.

Pełną historię zmian możesz zawsze otrzymać, pisząc na rodo@voctensemble.com.