Ostatnia aktualizacja: 29 czerwca 2026.
1. Jakie dane kolekcjonujemy i dlaczego
1.1. Wysokopoziomowa logika
Eteryczny Młot to strona skupiona na zapisywaniu się na sesje RPGowe na eventach, konwentach itp. To sprawia, że musimy przechowywać pewne dane osobowe by zweryfikować:
- czy zapisująca się osoba jest faktycznym człowiekiem czy botem (więc: przyjdzie czy nie)
Jednocześnie potrzebujemy tych informacji tylko do sprawdzenia i potwierdzenia, że mamy do czynienia z człowiekiem który się pojawi na sesji. Potem te dane nie są nam potrzebne.
- jeśli sesja stała się nieaktualna i przeszła do archiwum, odpalany jest scrambler i niszczone są dane kontaktowe osób, które zapisały się na sesję (detale dalej).
Owszem, jest specyficzny warunek - "osoba się konsekwentnie nie pojawia na sesji". Ale to nie wymaga przechowywania informacji o użytkowniku, jak się można domyśleć:
- jeśli zapisze się OSOBA_NUMER_JEDEN i konsekwentnie nie będzie przychodzić, będziemy pamiętać, że "osoba z takim nickiem się nie pojawia". Nie musimy do tego celu przechowywać jakichś dziwnych danych na stronie.
Eteryczny Młot nie jest stowarzyszeniem, firmą ani niczym formalnym. To luźna nieformalna agregacja kilku osób prywatnych.
Nie zmienia to faktu, że RODO obowiązuje też tą stronę jak i każdą osobę w izolacji.
Więc, przejdźmy do konkretów prawnych.
1.2. Jeśli nie macie konta ORAZ nie zapisaliście się na żadną sesję
Nie macie konta? Nie kolekcjonujemy niczego. Nie mamy ciasteczek, reklam, niczego. Nie wiemy nawet, że odwiedziliście stronę.
1.3. Jeśli nie macie konta ORAZ zapisaliście się na sesję
1.3.1. Co to znaczy
Gratulacje, będziecie na sesji :-).
To oznacza, że podaliście nam:
- nick: (np. Żółw)
- kontakt: (Discord, email albo telefon)
1.3.2. Sesja jest aktywna (nie jest w archiwum, będzie w przyszłości)
Jak długo sesja jest "aktywna" (nie jest w archiwum, nie odbyła się):
- przechowujemy Waszego nicka oraz kontakt do Was
- dostęp do nicka oraz kontaktu ma jeden z adminów i tylko admini
- admini to: Fox, Żółw, Flamerog
- najpewniej któryś z adminów się z Wami skontaktował i potwierdził, że będziecie na sesji.
Nie mamy żadnych profili. Jeśli zapisaliście się na sesję, informacje jakie nam podaliście są powiązane z tą sesją i TYLKO z tą sesją. Nie ma jakichś magicznych ukrytych profili na stronie, baza danych nie trzyma informacji o użytkownikach zapisanych na sesji poza tą sesją.
Jeśli wypiszecie się z sesji (lub któryś z adminów Was usunie), automatycznie informacje na Wasz temat są kasowane z bazy. Oczywiście, nie macie konta, więc nie możecie wypisać się z sesji; musicie się skontaktować z jednym z adminów i udowodnić, że "Ty to Ty" (by ktoś losowy lub złośliwy nie usunął Was z sesji). Wtedy admin usuwa Was z sesji i problem znika.
1.3.3. Sesja trafia do archiwum
W momencie, w którym sesja trafia do archiwum (była aktywna, odbyła się i automatycznie trafia do archiwum) odpalany jest scrambler:
- Dla każdej osoby zapisanej na sesję
- Nick zostaje
- Dane kontaktowe (discord, email, telefon) ulegają zamazaniu. Przestają być prawdziwe. Pojawia się tekst CONTACT_DATA_SCRAMBLED lub coś takiego. Innymi słowy - tracimy możliwość kontaktu z Wami na podstawie bazy danych.
Czyli nie mamy jak się z Wami skontaktować po sesji. Nie mamy Waszych danych.
- Wy nie macie konta, więc nie chcieliście podawać nam danych. Uczciwe.
- My nie chcemy Waszych danych (bo to kłopot prawny z RODO itp), więc wszystko usuwamy.
- Zachowujemy rekord historyczny (nicki), bo to istotne z perspektywy archiwum.
1.3.4. Co to znaczy?
To powoduje, że gdyby serwer na którym znajduje się Eteryczny Młot został shackowany i baza zostanie wykradziona, hacker dostanie rejestr sesji i jedynie informacje z sesji aktywnych - czyli połączenie nick - discord / telefon / email.
Jeśli sesja była w archiwum, hacker dostanie tylko nick i zamazane dane. Nie będzie mieć nic innego.
Efekt uboczny: jeśli Wy chcecie wiedzieć na jakich byliście sesjach i używacie dwóch różnych nicków, nie mamy jak określić że dwa różne nicki są tą samą osobą. Więc silnie rekomendujemy używanie tego samego nicka.
1.4. Jeśli macie konto
Ok, więc macie konto. To znaczy, że się zalogowaliście przez Google i daliście stronie prawo do odczytania Waszego adresu email.
Przechowujemy:
- Waszego maila
- To, co dodaliście jako sposób komunikacji z Wami: discord, telefon, email
- Wasze ustawienia (które są podpięte do Waszego maila)
I po to właśnie robimy kolekcjonowanie danych:
- Kim jesteście (email)
- Jakie ustawienia wybraliście (a to identyfikujemy po emailu)
- Jakie role Wam (po mailu) przypisaliśmy.
- Jak się z Wami komunikować
Do tego, czysto technicznie, system logowania (Better Auth + Google OAuth) trzyma dane potrzebne wyłącznie do podtrzymania Waszego zalogowania:
- token sesji logowania, a przy każdym logowaniu również Wasz adres IP i typ przeglądarki (user-agent),
- tokeny logowania OAuth od Google.
Nie używamy tych danych do śledzenia ani profilowania — istnieją tylko po to, byście pozostali zalogowani, i znikają, gdy usuniecie konto. Nie zaglądamy w nie.
Koniec. I dlatego nie potrzebujecie konta. Konto jest po to, byście mogli sobie ustawić ustawienia i byśmy mogli dać Wam dostęp do niewidocznych części strony (co jest robione ręcznie przez Żółwia).
2. Jak wykorzystujemy Wasze dane
- JEŚLI MACIE KONTO:
- autentykacja ("z kim mamy do czynienia") i autoryzacja ("co ta osoba może robić")
- możliwość kontaktu z Wami (ręcznego, przez wybrany kanał, tylko przez człowieka, bez automatyzacji)
- NIEZALEŻNIE OD KONTA, JEŚLI KTOŚ SIĘ ZAPISAŁ NA SESJĘ:
- czy osoba, która się zapisała na sesję jest prawdziwą osobą czy botem.
- komunikacja z osobą, która się zapisała na sesję (np. "hej, sesja odwołana / przesunięta", "hej, proponujemy Ci taką sesję bo się zwolniła a ostatnio pytałeś...")
- zarządzanie wolnymi slotami na sesji
- JEŚLI SESJA JEST W ARCHIWUM
- wcale, bo nie wiemy kim kto jest
Jeśli macie konto, te dane siedzą gdzieś w bazie danych byśmy mogli Was rozpoznawać, ale nie używamy ich do niczego poza tym.
- Nie sprzedajemy
- Nie śledzimy
- Nie patrzymy co robicie na stronie
- ...po prostu nie.
To serio nas nie interesuje.
3. Third-Party Services
3.1. Google OAuth
Wykorzystujemy Google OAuth do logowania. Kiedy klikacie "Zaloguj się przez Google":
- Google nam wysyła: Wasz adres email i status weryfikacji emaila.
- Z tego, co dostajemy, przechowujemy tylko Wasz adres email (plus techniczne tokeny logowania OAuth — patrz sekcja 1.4).
A to jest polityka prywatności Google; to Was już dotyczy (ale ze strony Googla, nie nas): https://policies.google.com/privacy
3.2. Google Fonts
Strona używa czcionki z Google Fonts (fonts.googleapis.com). Oznacza to, że Wasza przeglądarka pobiera czcionkę z serwerów Google, co technicznie ujawnia Google Wasz adres IP przy wczytywaniu strony. Nie ustawia to żadnych ciasteczek ani nie służy do śledzenia.
4. Gdzie przechowujemy Wasze dane
Wasze dane są przechowywane w bazie danych SQLite na naszym serwerze. Baza danych jest:
- Zlokalizowana w naszej infrastrukturze hostingowej (OVH VPS, Unia Europejska)
- Transfer jest szyfrowany (HTTPS)
- Nie jest udostępniana osobom trzecim
- Regularnie archiwizowana dla ciągłości usług
5. Wasze prawa zgodnie z RODO (GDPR)
5.1. Prawo dostępu do Waszych danych
Możecie zobaczyć wszystkie dane, które o Was przechowujemy. Teraz; tu jest pewien problem, bo z uwagi na to że NIE przechowujemy Waszych danych nie wiemy czy osoba, która prosi o dane jest upoważniona do ich otrzymania.
Np.
- Niech Jan Kowalski ma nick na discordzie jankowalski1234. Niech zapisał się na sesję "Szczury" pod nickiem killer97
- Niech teraz CAŁKOWICIE LOSOWY CZŁOWIEK zażąda od nas informacji na temat osoby o nicku killer97 lub o discordzie jankowalski1234. My nie wiemy, czy ta osoba to Jan Kowalski czy nie (bo nie zbieramy tej informacji).
To powoduje, że aby dostać te informacje musicie:
- skontaktować się z jednym z adminów (rekomendujemy discorda Eteryczny Młot)
- dać dowód prawa dostępu do danych (np. jeśli pytasz o osobę o discordzie jankowalski1234, poprosimy o wysłanie wiadomości z tego discorda)
Wtedy podamy wszystko co mamy powiązanego z daną osobą.
5.2. Prawo do bycia zapomnianym (usunięcia danych)
5.2.1. Jeśli macie konto
Możecie usunąć swoje konto w dowolnym momencie.
Jak usunąć:
- Zalogujcie się na swoje konto
- Odwiedźcie /account/delete
- Wpiszcie swój adres email, aby potwierdzić
- Kliknijcie "Usuń moje konto"
Co zostanie usunięte:
- Adres email
- Konto użytkownika
- Wasze ustawienia profilu (nick, Discord, telefon)
- Wszystkie Wasze sesje logowania (zostaniecie wszędzie wylogowani; razem z nimi znika adres IP i user-agent z tych sesji)
- Przypisania ról
- Tokeny logowania Google (OAuth)
Co zostaje — w formie zanonimizowanej: Wasze zapisy na sesje nie znikają. Zostaje nick, ale zostają one odłączone od Waszego konta, a dane kontaktowe w nich zamazane (CONTACT_DATA_SCRAMBLED). Czyli w archiwum zostaje sam nick, bez możliwości kontaktu z Wami. Robimy tak, bo rekord historyczny (kto był na sesji) jest istotny — a Wasze dane kontaktowe już nie.
Usunięcie konta jest trwałe i nie może być cofnięte. Ale jeśli się pomylicie i usuniecie przez przypadek, możecie po prostu założyć nowe konto (i musicie znowu przypomnieć Żółwiowi jakie mieliście mieć nadane uprawnienia), więc tragedii nie będzie.
5.2.2. Jeśli nie macie konta
Chcecie poczekać, aż sesja trafi do archiwum to "samo się usunie". Jeśli chcecie wcześniej, skomunikujcie się z adminem że chcecie się wypisać z sesji. Admin wypisze Was z sesji i Wasze dane zostaną automatycznie usunięte.
5.3. Prawo do sprostowania
W chwili obecnej nie do końca wiemy jak to działa w wypadku tej sytuacji. Proponujemy wykorzystać "prawo do bycia zapomnianym". Regulamin zostanie zaktualizowany jak się okaże, że to jakoś aplikuje.
5.4. Prawo do ograniczenia przetwarzania
Możecie zażądać zaprzestania przetwarzania Waszych danych przez:
- Usunięcie swojego konta
- Nie logowanie się
- Nie zapisywania się na sesję
Serio, nie wiemy jak to zrobić inaczej w tym kontekście.
5.5. Prawo do sprzeciwu
Możecie sprzeciwić się przetwarzaniu Waszych danych przez:
- Niekorzystanie ze strony
- Usunięcie swojego konta
5.6. Prawo do wniesienia skargi do organu nadzorczego
Jeśli uważacie, że przetwarzamy Wasze dane niezgodnie z prawem, macie prawo wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych (UODO) — https://uodo.gov.pl.
6. Przechowywanie Danych
Przechowujemy Wasze dane tak długo, jak istnieje Wasze konto lub tak długo, jak sesja nie jest w Archiwum. Potem tracimy informacje o tym "kim jesteś".
Kiedy usuwacie swoje konto:
- Dane są natychmiast nieodwracalnie usuwane z naszej bazy danych
- Kopie zapasowe mogą przechowywać dane, ale jeśli nie zostaną przywrócone, to nie ma to znaczenia. I tak dotyczą tylko "sesji aktywnych które akurat są aktywne w kopiach zapasowych" a kopie zapasowe są usuwane po miesiącu.
- Jeśli to ważne, żeby Wasze dane zniknęły z kopii zapasowych, dajcie nam znać i to zrobimy ręcznie (nikt tego nie monitoruje; przewidujemy niewielką ilość kont i sesji aktywnych). Następna kopia zapasowa i tak nadpisze poprzednią, więc problem rozwiąże się sam.
7. Ciasteczka
Używamy tylko minimalnych, niezbędnych ciasteczek do utrzymania Was zalogowanymi. To w sumie wszystko.
7.1. Ciasteczko Sesji
- Cel: Utrzymanie sesji zalogowanego użytkownika
- Typ: HttpOnly, Secure (produkcja)
- Czas trwania: 30 dni
- Przechowywane dane: Token sesji (losowy, nieidentyfikowalny)
7.2. Ciasteczko logowania Google (przejściowe)
Podczas logowania przez Google ustawiane jest jedno przejściowe ciasteczko (state), które zabezpiecza sam proces logowania (przekierowanie do Google i z powrotem) i znika po jego zakończeniu. Nie służy do śledzenia.
Poza powyższymi nie mamy żadnych ciasteczek — żadnych analitycznych, żadnych śledzących, nie ma tu niczego.
8. Prywatność Dzieci
Zbieramy tylko to, co opisaliśmy w sekcji 1 (nick, dane kontaktowe i techniczne dane logowania) — i nic z tego nie jest danymi wrażliwymi z punktu widzenia prywatności dzieci: nie pytamy o wiek ani prawdziwe imię. Więc TECHNICZNIE nie ma to znaczenia, ale.
TREŚCI na stronie ABSOLUTNIE nie są skierowane do dzieci poniżej 13 roku życia. Zakładamy, że mamy do czynienia z dorosłymi albo późnymi nastolatkami.
Prośba - jeśli jesteś dzieckiem poniżej 13 roku życia, nie korzystaj z tej strony. A już na pewno nie zakładaj konta.
9. Zmiany w Polityce Prywatności
Możemy od czasu do czasu aktualizować tę politykę prywatności. Najpewniej wtedy, gdy ktoś znajdzie literówkę.
Zmiany będą:
- Publikowane na tej stronie
- Traktowane jako wchodzące w życie natychmiast po opublikowaniu
10. Kontakt
Z kim się kontaktować:
- Żółw. "lukasz (at) januszek (dot) me".
Jeśli macie pytania dotyczące tej polityki prywatności lub swoich danych, piszcie do Żółwia.
Administrator Danych: Żółw. Niestety. Nie chciałem być Administratorem, ale ktoś musi.
11. Podstawa Prawna przetwarzania danych
Każdy rodzaj danych ma jedną, konkretną podstawę prawną (art. 6 RODO):
Zgoda (art. 6 ust. 1 lit. a) — dla danych, które sami nam podajecie:
- email + ustawienia konta, gdy logujecie się przez Google,
- nick + kontakt, gdy zapisujecie się na sesję.
Zgodę możecie wycofać w każdej chwili — usuwając konto lub prosząc admina o wypisanie z sesji (sekcja 5). Wtedy dane są usuwane lub zanonimizowane.
Uzasadniony interes (art. 6 ust. 1 lit. f) — wyłącznie dla technicznych danych logowania (token sesji, adres IP, user-agent), potrzebnych, by bezpiecznie utrzymać Was zalogowanymi. Do niczego innego ich nie używamy.
Nie powołujemy się na "niezbędność umowną" — Eteryczny Młot nie jest formalnym podmiotem i nie zawiera z Wami żadnej umowy.
12. Międzynarodowy Transfer Danych
Wasze dane są przechowywane na serwerach zlokalizowanych w Unii Europejskiej (OVH, Francja). Nie transferujemy danych poza UE.