POLITYKA PRYWATNOŚCI

POLITYKA PRYWATNOŚCI SERWISU starterdokultury.pl

1) Administrator i dane kontaktowe

Administratorem danych osobowych jest Gdyńskie Centrum Kultury (GCK), ul. Jana z Kolna 25, 81-354 Gdynia, NIP 586-12-13-177, REGON 000283156, e-mail: sekretariat@gck.gdynia.pl.
Inspektor Ochrony Danych: Mateusz Gigiewicz, e-mail: m.gigiewicz@gck.gdynia.pl.

2) Zakres i źródła danych

Dane pozyskujemy bezpośrednio od użytkowników poprzez formularze na stronie:

• Formularz zapisu na warsztaty/wykłady – dane kontaktowe nauczyciela (imię, nazwisko, e-mail, telefon), nazwa szkoły, klasa/poziom edukacyjny oraz liczba uczniów. Nie zbieramy imiennych list uczestników.
• Formularz kontaktowy – imię, nazwisko, adres e-mail, temat wiadomości oraz treść zapytania.

W serwisie może być dostępny odrębny formularz zapisu na newsletter programu „Starter do kultury”, w którym wymagany jest adres e-mail. Zapis odbywa się w trybie double opt-in. W ramach procesu potwierdzania zapisu oraz zapewnienia bezpieczeństwa i rozliczalności mogą być rejestrowane dane techniczne (np. data i godzina zgłoszenia/potwierdzenia, adres IP). Adres IP może stanowić daną osobową.

Niezależnie od tego, w ramach formularzy Contact Form 7 (np. kontakt, zapisy) może być dostępny opcjonalny checkbox zapisu na newsletter programu „Starter do kultury” (domyślnie niezaznaczony). Jeżeli checkbox nie jest zaznaczony, dane z formularza nie są dodawane do listy newsletterowej i służą wyłącznie do obsługi sprawy (np. kontakt, organizacja zajęć). Pozostałe dane z formularza (np. imię i nazwisko podane w formularzu kontaktowym) są przetwarzane wyłącznie w celu obsługi sprawy i nie są wykorzystywane do zapisu na newsletter.
Jeżeli checkbox jest zaznaczony, do systemu mailingowego przekazywany jest co do zasady wyłącznie adres e-mail w celu realizacji zapisu na newsletter (double opt-in).

3) Cele i podstawy prawne przetwarzania

• Obsługa zgłoszeń, organizacja zajęć oraz korespondencja organizacyjna (w tym potwierdzenia i przypomnienia o terminach) – art. 6 ust. 1 lit. e RODO, w związku z realizacją zadań własnych w zakresie kultury wynikających z Ustawy z dnia 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (Dz.U. z 2020 r. poz. 194 z późn. zm.) oraz Statutu Gdyńskiego Centrum Kultury (Załącznik nr 2 do Uchwały nr XX/650/20 Rady Miasta Gdyni z dnia 24 czerwca 2020 r.).
• Kontakt zwrotny na prośbę użytkownika (formularz kontaktowy) – art. 6 ust. 1 lit. e RODO w związku z ww. ustawą i Statutem GCK.
• Publikacja fotorelacji (punkt 8) – co do zasady uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) dla ujęć dokumentacyjnych/grupowych; zgoda (art. 6 ust. 1 lit. a) dla portretów/ujęć, gdzie osoba jest głównym motywem.
• Newsletter programu „Starter do kultury” (wysyłka informacji drogą elektroniczną) – art. 6 ust. 1 lit. a RODO (zgoda). Zapis jest dobrowolny i następuje po wyrażeniu zgody na otrzymywanie newslettera oraz po potwierdzeniu zapisu w wiadomości e-mail (double opt-in).
• Rejestrowanie danych technicznych związanych z procesem double opt-in (np. data i godzina zgłoszenia/potwierdzenia, adres IP) – art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora), w celu zapewnienia bezpieczeństwa procesu, wykazania udzielenia zgody (rozliczalność) oraz obrony przed ewentualnymi roszczeniami.

Administrator prowadzi newsletter programu „Starter do kultury” o charakterze informacyjnym (dotyczącym programu, wydarzeń i komunikatów). Niezależnie od tego wysyłane są komunikaty organizacyjne związane z zapisami.

4) Zasady zapisów i udziału

Zapisy na warsztaty/wykłady są dokonywane wyłącznie przez nauczyciela lub opiekuna w imieniu szkoły/klasy/grupy. Nie prowadzimy indywidualnej rejestracji uczniów ani nie zbieramy imiennych list uczestników; na etapie zgłoszenia przekazywane są jedynie: dane kontaktowe nauczyciela (imię, nazwisko, e-mail, telefon), nazwa szkoły, klasa/poziom edukacyjny oraz liczba uczniów.

Podstawą przetwarzania danych związanych ze zgłoszeniami i organizacją zajęć jest art. 6 ust. 1 lit. e RODO (szczegóły w punkcie 3).

Zgody stosujemy wyłącznie tam, gdzie są wymagane, w szczególności w zakresie publikacji wizerunku osób możliwych do zidentyfikowania (np. portrety).

• w przypadku osób niepełnoletnich (poniżej 18 lat) – zgodę wyraża rodzic/opiekun prawny,
• w przypadku osób pełnoletnich (18 lat i więcej) – zgodę wyraża sama osoba.

Komunikacja organizacyjna prowadzona jest z nauczycielem/opiekunem wskazanym w zgłoszeniu.

5) Odbiorcy danych i podmioty przetwarzające

E-mail (wysyłka wiadomości): Brevo (Sendinblue SAS, Francja, EOG) – usługa do wysyłki wiadomości e-mail, w tym newslettera oraz wiadomości transakcyjnych związanych z formularzami (np. potwierdzenie wysłania wiadomości, wiadomość double opt-in).

W ramach zapisu na newsletter do Brevo przekazywany jest co do zasady wyłącznie adres e-mail.

W przypadku wiadomości transakcyjnych do Brevo przekazywany jest adres e-mail odbiorcy oraz treść i metadane wiadomości wysyłanej z serwisu (np. temat i treść potwierdzenia, a jeśli potwierdzenie zawiera cytat zgłoszenia – także treść zgłoszenia). Zakres danych przekazywanych do Brevo zależy od konfiguracji wysyłki wiadomości w serwisie. Dostawca działa jako podmiot przetwarzający na podstawie umowy powierzenia (DPA). W zależności od konfiguracji i podwykonawców może dojść do przekazania danych poza EOG, z zastosowaniem odpowiednich zabezpieczeń (np. Standardowych Klauzul Umownych).

6) Transfery poza EOG

Osadzenia i usługi zewnętrzne (np. mapy, wideo) mogą wiązać się z przekazaniem adresu IP oraz danych technicznych dostawcom tych usług. Jeżeli w danym przypadku dochodzi do przekazywania danych poza EOG, stosujemy wymagane prawem podstawy i zabezpieczenia transferu, odpowiednie dla danego dostawcy (w szczególności Standardowe Klauzule Umowne – SCC oraz, gdy ma to zastosowanie, mechanizmy wynikające z decyzji Komisji Europejskiej stwierdzającej odpowiedni poziom ochrony, np. w ramach EU–US Data Privacy Framework). Usługi nieniezbędne są uruchamiane dopiero po wyrażeniu zgody w CMP, w tym poprzez kliknięcie w zablokowaną treść („2-klik”).

7) Pliki cookie i podobne technologie

Strona wykorzystuje narzędzie zarządzania zgodami Real Cookie Banner (CMP). Kategorie:
• Niezbędne – wymagane do działania strony i formularzy; uruchamiane bez zgody.
• Funkcjonalne/Media – usługi zewnętrzne (np. mapy, osadzenia wideo); uruchamiane po zgodzie, w tym poprzez kliknięcie w zablokowaną treść („2-klik”).
• Analityczne – na dzień publikacji niewykorzystywane (w tym brak Google Analytics); żadne narzędzia nie ładują się bez zgody.

Do celów administracyjnych korzystamy z Google Search Console (weryfikacja własności domeny), co nie wymaga skryptów śledzących na stronie ani zapisu plików cookie w przeglądarce użytkownika.
Użytkownik może w każdej chwili zmienić lub wycofać zgody poprzez link „Zarządzaj zgodą” dostępny w stopce każdej strony.

8) Fotorelacje z wydarzeń (wizerunek)

Publikujemy materiały dokumentujące działania programu.
• Ujęcia zbiorowe i dokumentacyjne — uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) z poszanowaniem praw osób (m.in. prawo sprzeciwu).
• Ujęcia indywidualne/portrety — wyłącznie na podstawie zgody osoby, a przy niepełnoletnich – zgody rodzica/opiekuna.
Informacja o dokumentowaniu wydarzeń jest udostępniana na miejscu (klauzula informacyjna).

9) Okresy przechowywania (retencja)

Zgłoszenia i korespondencja związana z zapisami – do końca bieżącego roku szkolnego (przyjmujemy 31 sierpnia) + 12 miesięcy (maks. 540 dni); po tym okresie dane są usuwane z bazy CMS i skrzynki e-mail.

Newsletter – kontakty potwierdzone – do czasu wypisu lub cofnięcia zgody. Dane dowodowe procesu double opt-in (np. data i godzina zgłoszenia/potwierdzenia, zdarzenia potwierdzenia/wypisu, dane techniczne) mogą być przechowywane dłużej w zakresie niezbędnym do celów rozliczalności i obrony przed roszczeniami, nie dłużej jednak niż do upływu terminów przedawnienia ewentualnych roszczeń.

Newsletter – kontakty oczekujące na potwierdzenie (double opt-in) – do czasu potwierdzenia; niepotwierdzone kontakty mogą być automatycznie usuwane zgodnie z konfiguracją systemu.

10) Środki bezpieczeństwa

Administrator wdraża środki techniczne i organizacyjne odpowiednie do ryzyka, w tym m.in.: aktualizacje CMS i wtyczek, role z minimalnymi uprawnieniami, uwierzytelnianie dwuskładnikowe (2FA) dla kont administracyjnych, ograniczenia prób logowania, szyfrowanie transmisji (TLS/SSL), kontrole dostępu i rejestry incydentów. Treści i interfejsy są projektowane zgodnie z WCAG 2.1 AA.

11) Usługi zewnętrzne i „2-klik”

Usługi zewnętrzne (np. wideo, mapy) są blokowane do czasu wyrażenia zgody w CMP, w tym poprzez kliknięcie w zablokowaną treść („2-klik”). Formularze są widoczne od początku, natomiast elementy wymagające usług zewnętrznych wczytują się dopiero po zgodzie; do tego momentu widoczny jest komunikat wyjaśniający.

12) Prawa osób, których dane dotyczą

Osobie, której dane dotyczą, przysługuje prawo: dostępu, sprostowania, usunięcia, ograniczenia, sprzeciwu wobec przetwarzania (w tym opartego na art. 6 ust. 1 lit. e/f), a także prawo do przenoszenia danych (jeśli ma zastosowanie).
W przypadku przetwarzania danych na podstawie zgody (np. newsletter, portrety) przysługuje prawo do cofnięcia zgody w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
Wnioski można kierować na adres administratora lub IOD (punkt 1). Administrator udziela odpowiedzi nie później niż w ciągu 30 dni od otrzymania żądania.
Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.
Dodatkowa instrukcja (wizerunek): sprzeciw wobec publikacji ujęcia (art. 21 RODO) lub wycofanie zgody na portret zgłaszaj do IOD/administratora (punkt 1); wskazuj link/adres publikacji, abyśmy mogli szybko zareagować.

13) Naruszenia ochrony danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny ryzyka i – jeżeli jest to wymagane – zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, nie później niż w 72 godziny od stwierdzenia naruszenia, oraz informuje osoby, których dane dotyczą, gdy ryzyko jest wysokie.

14) Zautomatyzowane decyzje i profilowanie

Administrator nie prowadzi profilowania ani zautomatyzowanego podejmowania decyzji wywołującego wobec użytkowników skutki prawne lub w podobny sposób istotnie na nich wpływające.

15) Newsletter

Newsletter programu „Starter do kultury” ma charakter informacyjny i obejmuje m.in. informacje o wydarzeniach, aktualnościach i komunikaty programu.

Zapis na newsletter jest dobrowolny i odbywa się:
• poprzez formularz zapisu na newsletter dostępny w serwisie, w którym wymagany jest adres e-mail; w ramach procesu double opt-in oraz bezpieczeństwa mogą być rejestrowane dane techniczne (np. data i godzina zgłoszenia/potwierdzenia, adres IP), lub
• poprzez opcjonalny checkbox w formularzach Contact Form 7 (np. kontakt, zapisy) – domyślnie niezaznaczony. W przypadku zapisu poprzez checkbox w formularzu Contact Form 7 do systemu mailingowego przekazywany jest wyłącznie adres e-mail.

Zapis jest realizowany w trybie double opt-in:
• po zgłoszeniu adres e-mail trafia do Brevo na listę „newsletter – oczekujący”, a użytkownik otrzymuje wiadomość e-mail z prośbą o potwierdzenie zapisu,
• dopiero po kliknięciu linku potwierdzającego zapis jest aktywowany (kontakt trafia na listę „newsletter – potwierdzeni”).

W każdej wiadomości newsletterowej znajduje się link „Wypisz się”, który umożliwia rezygnację w dowolnym momencie. Po wypisie zaprzestajemy wysyłki newslettera od momentu rezygnacji.
Na dzień publikacji polityki funkcje śledzenia otwarć i kliknięć (tracking) nie są wykorzystywane. Jeżeli zostaną uruchomione, zakres przetwarzania zostanie opisany w aktualizacji niniejszej polityki.

16) Zmiany dokumentu

Polityka może być aktualizowana w przypadku zmian funkcjonalności serwisu lub dostawców usług zewnętrznych. Aktualna wersja jest publikowana na niniejszej stronie.
Data publikacji: 22.01.2026 r.
Data ostatniej aktualizacji: 9.02.2026 r.