Polityka prywatności

Eris („my”, „nas” lub „nasz”) prowadzi serwis internetowy eris.tv („Usługa”). Niniejsza Polityka Prywatności wyjaśnia, w jaki sposób zbieramy, wykorzystujemy, ujawniamy i chronimy dane osobowe użytkowników korzystających z naszej Usługi. Eris jest prowadzony z terytorium Polski i podlega Ogólnemu Rozporządzeniu o Ochronie Danych (RODO) oraz obowiązującym polskim i unijnym przepisom o ochronie danych osobowych. Korzystając z Usługi, wyrażasz zgodę na zbieranie i wykorzystywanie informacji zgodnie z niniejszą polityką.

Zbieramy następujące kategorie danych osobowych:

Dane rejestracyjne: Podczas tworzenia konta zbieramy imię i nazwisko, adres e-mail oraz hasło (przechowywane jako bezpieczny hash — nigdy nie przechowujemy haseł w postaci jawnej). Opcjonalnie można również podać zdjęcie profilowe, opis profilu, kolor akcentu profilu oraz preferencje wyświetlania.

Dane OAuth: W przypadku logowania przez Google lub Facebook otrzymujemy imię i nazwisko, adres e-mail, adres URL zdjęcia profilowego oraz unikalny identyfikator użytkownika u danego dostawcy. Nie otrzymujemy ani nie przechowujemy haseł do mediów społecznościowych.

Dane behawioralne: Zbieramy dane o interakcjach użytkownika z Usługą, w tym: historię oglądania (odcinki oznaczone jako obejrzane ze znacznikami czasu), subskrypcje seriali/aktorów/postaci, wyniki i odpowiedzi w grach trivia, oceny i recenzje seriali, aktywność związaną z tworzeniem i edycją pakietów trivia oraz przesłane propozycje funkcji.

Dane płatnicze: Płatności są przetwarzane przez Stripe. Przechowujemy identyfikator klienta Stripe, identyfikator subskrypcji, identyfikator ceny, typ metody płatności i ostatnie cztery cyfry, poziom subskrypcji, kwotę, walutę oraz daty rozliczeń. Nigdy nie przechowujemy pełnych numerów kart kredytowych, kodów CVV ani kompletnych danych uwierzytelniających płatności.

Dane powiadomień: W przypadku włączenia powiadomień push przechowujemy token Firebase Cloud Messaging (FCM) oraz preferencje powiadomień dla poszczególnych elementów (e-mail, push lub w aplikacji) i globalne ustawienia powiadomień (dzień podsumowania, godziny przypomnień).

Wykorzystujemy dane osobowe użytkowników w następujących celach:

• Działanie Usługi: Świadczenie, utrzymanie i ulepszanie Usługi — w tym śledzenie odcinków, subskrypcje, spersonalizowane rekomendacje, gry trivia i funkcje kalendarza.
• Uwierzytelnianie: Tworzenie konta i zarządzanie nim, weryfikacja tożsamości oraz zapewnienie bezpiecznego dostępu.
• Powiadomienia: Wysyłanie przypomnień o datach emisji odcinków, aktualizacji subskrypcji i innych powiadomień, na które użytkownik wyraził zgodę, za pośrednictwem e-maila, powiadomień push lub powiadomień w aplikacji.
• Płatności: Przetwarzanie płatności za subskrypcje Guardian, zarządzanie rozliczeniami i dostarczanie potwierdzeń za pośrednictwem Stripe.
• Analityka i ulepszenia: Używamy Google Analytics 4, aby zrozumieć wzorce użytkowania i ulepszać Usługę. GA4 zbiera zanonimizowane dane o wyświetleniach stron i interakcjach. Adresy IP są domyślnie anonimizowane. Możesz kontrolować analityczne pliki cookie za pomocą ustawień plików cookie na naszej stronie.
• Bezpieczeństwo: Wykrywanie i zapobieganie oszustwom, nadużyciom i nieautoryzowanemu dostępowi.

Korzystamy z plików cookie i mechanizmów pamięci przeglądarki w następujący sposób:

Element	Cel	Czas trwania
XSRF-TOKEN	Ochrona CSRF przy przesyłaniu formularzy	Sesja
laravel_session	Zarządzanie sesją serwera	120 minut
i18n_redirected	Preferencje językowe	Sesja
localStorage (Pinia)	Stan przeglądania, status uwierzytelnienia, preferencje interfejsu	Trwałe
sessionStorage	Pamięć podręczna ochrony treści, flagi uwierzytelnienia	Sesja karty
Pamięć podręczna Service Worker	Odpowiedzi API (1 godz.), obrazy (30 dni), czcionki (1 rok)	Różne
Pliki cookie Google AdSense	Targetowanie i wyświetlanie reklam (tylko użytkownicy bezpłatni)	Zgodnie z polityką Google
Pliki cookie Google reCAPTCHA	Ocena wykrywania botów (tylko rejestracja)	Zgodnie z polityką Google
_ga	Google Analytics: rozróżnia użytkowników	2 lata
_ga_*	Google Analytics: utrzymuje stan sesji	2 lata
_gid	Google Analytics: rozróżnia użytkowników (24h)	24 godziny
Widget JustWatch (iframe)	Może ustawiać pliki cookie w swoim iframe do śledzenia sesji i analityki. Podlega zgodzie na reklamy. Aktywny tylko w obsługiwanych krajach	Zgodnie z polityką JustWatch

Pliki cookie i pamięć przeglądarki można wyczyścić w dowolnym momencie za pomocą ustawień przeglądarki. Uwaga: wyczyszczenie sesyjnych plików cookie spowoduje wylogowanie.

Udostępniamy dane następującym usługom podmiotów trzecich w zakresie niezbędnym do działania Usługi:

Stripe — Przetwarza płatności za subskrypcje Guardian. Otrzymuje adres e-mail, identyfikator użytkownika i tokeny płatności. Polityka prywatności Stripe.

Firebase Cloud Messaging (Google) — Dostarcza powiadomienia push na urządzenia użytkowników. Otrzymuje tokeny FCM i treści powiadomień. Polityka prywatności Firebase.

Google OAuth — Zapewnia opcjonalne logowanie przez Google. Standardowy przepływ OAuth — otrzymujemy imię i nazwisko, adres e-mail i zdjęcie profilowe. Polityka prywatności Google.

Facebook OAuth (Meta) — Zapewnia opcjonalne logowanie przez Facebooka. Standardowy przepływ OAuth — otrzymujemy imię i nazwisko oraz adres e-mail. Polityka prywatności Meta.

Google reCAPTCHA — Chroni formularz rejestracyjny przed botami. Przetwarza adres IP i wzorce interakcji użytkownika. Polityka prywatności Google.

Google AdSense — Wyświetla reklamy użytkownikom bezpłatnego planu. Może zbierać pliki cookie i dane o przeglądaniu w celu targetowania reklam. Guardians (subskrybenci płatni) nie widzą reklam. Prywatność Google Ads.

Sentry — Przechwytuje błędy aplikacji w celu diagnostyki. W raportach o błędach może się znajdować identyfikator użytkownika i adres e-mail, gdy użytkownik jest zalogowany. Polityka prywatności Sentry.

Google Analytics 4 — Zbiera zanonimizowane dane o użytkowaniu (wyświetlenia stron, interakcje, informacje o urządzeniu), aby pomóc nam zrozumieć, jak użytkownicy korzystają z Usługi. Adresy IP są anonimizowane. Prywatność Google Analytics. Możesz zrezygnować za pomocą naszych ustawień plików cookie lub instalując Dodatek do przeglądarki blokujący Google Analytics.

Usługi, które nie otrzymują danych osobowych użytkowników: TVMaze, TheTVDB (źródła danych o serialach), Meilisearch (wyszukiwarka hostowana na naszych serwerach), Reverb (WebSockety hostowane na naszych serwerach).

JustWatch — Wyświetla informacje o dostępności streamingowej na stronach seriali za pomocą wbudowanego widgetu. Widget jest ładowany z serwerów JustWatch i może zbierać adres IP, kraj oraz zachowanie przeglądania w obrębie widgetu. JustWatch działa jako partner afiliacyjny — możemy otrzymać prowizję, gdy klikniesz i przejdziesz do usługi streamingowej. Widget ładuje się tylko w obsługiwanych krajach i podlega preferencjom dotyczącym reklamowych plików cookie. Polityka prywatności JustWatch.

Użytkownicy bezpłatnego planu mogą widzieć reklamy wyświetlane przez Google AdSense. Reklamy te mogą wykorzystywać pliki cookie i podobne technologie do wyświetlania spersonalizowanych treści na podstawie aktywności przeglądania w Internecie. Preferencje dotyczące reklam Google można zarządzać na stronie Ustawienia reklam Google.

Subskrybenci Guardian (plan płatny) korzystają z całkowicie wolnego od reklam doświadczenia. Dla subskrybentów Guardian nie są ładowane żadne pliki cookie ani skrypty śledzące związane z reklamami.

Linki afiliacyjne JustWatch — Na stronach szczegółów seriali wyświetlamy dostępność streamingową za pośrednictwem JustWatch. Gdy klikniesz i przejdziesz do usługi streamingowej, możemy otrzymać prowizję. Jest to relacja afiliacyjna — JustWatch dostarcza widget i dane streamingowe. Widget ładuje się tylko w obsługiwanych krajach i podlega preferencjom dotyczącym reklamowych plików cookie.

Przechowujemy dane osobowe tak długo, jak konto użytkownika jest aktywne lub jak jest to niezbędne do świadczenia Usługi. Szczegółowe okresy przechowywania:

• Dane konta: Przechowywane do momentu usunięcia konta.
• Historia oglądania i subskrypcje: Przechowywane do momentu usunięcia konta.
• Wyniki trivia i dane gier: Przechowywane do momentu usunięcia konta.
• Dokumentacja płatności: Przechowywana przez 7 lat od ostatniej transakcji, zgodnie z wymogami polskich przepisów podatkowych i rachunkowych.
• Logi błędów (Sentry): Automatycznie usuwane po 90 dniach.
• Logi serwera: Automatycznie usuwane po 30 dniach.

Po usunięciu konta usuwamy awatar, subskrypcje, preferencje, tokeny uwierzytelniania i ustawienia powiadomień. Rekord użytkownika jest oznaczany jako usunięty (przechowywany w zanonimizowanej formie w celu zachowania integralności referencyjnej) i trwale usuwany po 30 dniach.

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:

• Wszystkie dane przesyłane za pomocą szyfrowania HTTPS/TLS
• Hasła przechowywane z użyciem hashowania bcrypt (nigdy w postaci jawnej)
• Ochrona CSRF we wszystkich formularzach
• Ograniczanie częstotliwości zapytań na punktach końcowych uwierzytelniania i API
• Zarządzanie sesją po stronie serwera z bezpiecznymi plikami cookie HTTP-only
• Regularne aktualizacje bezpieczeństwa i łatki zależności

Mimo że dokładamy wszelkich starań w celu ochrony danych, żadna metoda transmisji ani przechowywania nie jest w 100% bezpieczna. Nie możemy zagwarantować absolutnego bezpieczeństwa.

Jako mieszkaniec Unii Europejskiej lub Europejskiego Obszaru Gospodarczego przysługują Ci następujące prawa dotyczące danych osobowych:

• Prawo dostępu: Możesz zażądać kopii danych osobowych, które przechowujemy na Twój temat.
• Prawo do sprostowania: Możesz zażądać poprawienia niedokładnych lub niekompletnych danych.
• Prawo do usunięcia: Możesz zażądać usunięcia swoich danych osobowych („prawo do bycia zapomnianym”). Konto można usunąć w dowolnym momencie z poziomu ustawień profilu lub kontaktując się z nami.
• Prawo do przenoszenia danych: Możesz wyeksportować swoje dane w formacie JSON lub CSV z poziomu ustawień profilu w dowolnym momencie.
• Prawo do ograniczenia przetwarzania: Możesz zażądać ograniczenia przetwarzania swoich danych w określonych okolicznościach.
• Prawo do sprzeciwu: Możesz sprzeciwić się przetwarzaniu swoich danych w określonych celach.
• Prawo do wniesienia skargi: Możesz złożyć skargę do UODO (Urząd Ochrony Danych Osobowych) pod adresem uodo.gov.pl.

Aby skorzystać z któregokolwiek z tych praw, skontaktuj się z nami pod adresem [email protected]. Odpowiemy w ciągu 30 dni.

Jeśli jesteś mieszkańcem Kalifornii, kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) zapewnia Ci dodatkowe prawa:

• Prawo do informacji: Możesz zażądać szczegółowych informacji o kategoriach i konkretnych elementach zebranych danych osobowych.
• Prawo do usunięcia: Możesz zażądać usunięcia swoich danych osobowych.
• Prawo do rezygnacji: Możesz zrezygnować ze „sprzedaży” danych osobowych. Eris nie sprzedaje danych osobowych użytkowników podmiotom trzecim.

Aby skorzystać z tych praw, skontaktuj się z nami pod adresem [email protected].

Usługa nie jest przeznaczona dla dzieci. Aby utworzyć konto na terenie UE/EOG, należy mieć ukończone 16 lat (zgodnie z wymogami RODO), a poza UE/EOG — ukończone 13 lat. Nie zbieramy świadomie danych osobowych dzieci poniżej tych progów wiekowych. Jeśli odkryjemy, że dziecko poniżej obowiązującego minimalnego wieku przekazało nam swoje dane osobowe, niezwłocznie je usuniemy. Jeśli uważasz, że dziecko przekazało nam swoje dane, prosimy o kontakt.

Nasze serwery znajdują się w Polsce (Unia Europejska). Dane są przechowywane i przetwarzane przede wszystkim na terenie UE. Jednak niektóre usługi podmiotów trzecich (Stripe, Google, Firebase) mogą przekazywać dane do Stanów Zjednoczonych lub innych krajów. Przekazywanie to jest chronione odpowiednimi zabezpieczeniami, w tym standardowymi klauzulami umownymi UE i decyzjami o adekwatności, gdy mają zastosowanie.

Niniejsza Polityka Prywatności może być okresowo aktualizowana. O istotnych zmianach powiadomimy, zamieszczając informację w Usłudze lub wysyłając wiadomość e-mail na zarejestrowany adres. Data „Ostatnia aktualizacja” na górze tej strony wskazuje na najnowszą wersję. Dalsze korzystanie z Usługi po wprowadzeniu zmian oznacza akceptację zaktualizowanej polityki.

W przypadku pytań dotyczących niniejszej Polityki Prywatności lub chęci skorzystania z praw ochrony danych osobowych prosimy o kontakt:

E-mail: [email protected]
Organ nadzorczy: UODO — Urząd Ochrony Danych Osobowych