Privatumo politika

Ši privatumo politika (toliau – „Politika“) nustato, kaip „FotoResto“ (toliau – „mes“, „mūsų“ arba „Bendrovė“) tvarko jūsų asmens duomenis, kai naudojatės interneto svetaine fotoresto.lt ir su ja susijusiomis nuotraukų restauravimo paslaugomis (toliau – „Paslauga“).

Asmens duomenis tvarkome vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 (Bendruoju duomenų apsaugos reglamentu, toliau – „BDAR“), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais taikytinais teisės aktais.

Naudodamiesi Paslauga jūs patvirtinate, kad susipažinote su šia Politika ir suprantate, kaip tvarkome jūsų duomenis.

Pagrindinės šios Politikos sąvokos atitinka BDAR vartojamas sąvokas:

• Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba gali būti nustatyta (pvz., el. pašto adresas, IP adresas, įkelta nuotrauka).
• Tvarkymas – bet kokia operacija ar operacijų seka, atliekama su asmens duomenimis (rinkimas, saugojimas, naudojimas, perdavimas, trynimas).
• Naudotojas – fizinis asmuo, lankantis Paslaugoje arba naudojantis jos funkcijomis.
• Duomenų tvarkytojas – mūsų pasirinktas paslaugų teikėjas, tvarkantis duomenis mūsų vardu pagal sutartį.
• Slapukai – nedideli tekstiniai failai, kuriuos naršyklė įrašo į jūsų įrenginį, kai lankotės svetainėje.
• Žetonas – Paslaugoje naudojamas vidinis kreditas, leidžiantis atlikti vieną nuotraukos restauravimo užklausą.

3.1. Paskyros duomenys

Kuriant paskyrą prašome el. pašto adreso ir slaptažodžio. Slaptažodis saugomas tik kriptografiškai apsaugotos santraukos pavidalu (hash) – mes jo neturime atviru tekstu ir neperžiūrime. Naudojame „Supabase Auth“ autentifikavimo sistemą.

3.2. Įkeltos nuotraukos ir apdorojimo rezultatai

Kai naudojatės restauracijos funkcija, įkeliate skaitmeninius nuotraukų failus. Kartu su jūsų užklausa saugome:

• įkeltą originalų vaizdą (po kliento pusėje atlikto pakeitimo dydžio, JPEG formatu);
• jūsų pasirinktas funkcijas (restauruoti, perspalvinti);
• užklausos būseną (laukia, vykdoma, baigta, nepavyko);
• apdorojimo rezultatą (PNG vaizdą), kai jis sukuriamas;
• užklausos sukūrimo ir užbaigimo laiko žymas.

Šie duomenys laikinai saugomi privačiame failų segmente, prie kurio prieiga yra apribota lentos lygmens saugumo (angl. Row Level Security) politika – kiekvienas naudotojas mato tik savo failus.

3.3. Mokėjimo duomenys

Mokėjimus apdoroja licencijuotas mokėjimo paslaugų teikėjas „Stripe Payments Europe, Ltd.“ Mes nesaugome jūsų mokėjimo kortelės numerio, galiojimo datos ar saugumo kodo (CVV/CVC). Į mūsų sistemą patenka tik šie duomenys:

• mokėjimo identifikatorius („PaymentIntent ID“);
• suma ir valiuta;
• mokėjimo data;
• įsigyto paketo pavadinimas ir žetonų skaičius;
• el. pašto adresas, kurį nurodėte mokėjimo metu (jei tai svečio mokėjimas).

3.4. Naudojimosi duomenys

Saugome jūsų žetonų likutį, atliktų užklausų istoriją ir rezultatų metaduomenis. Jie reikalingi, kad galėtume tinkamai teikti Paslaugą ir užtikrinti, kad jums būtų priskirta tiek žetonų, kiek įsigijote.

3.5. Techniniai duomenys

Automatiškai surenkame: IP adresą, naršyklės tipą ir versiją, operacinę sistemą, kalbos pasirinkimą, atvykimo šaltinį (referer), apsilankymo datą ir laiką. Šie duomenys reikalingi saugumui užtikrinti ir Paslaugos kokybei tobulinti.

3.6. Analitiniai ir rinkodaros duomenys

Naudojame trečiųjų šalių įrankius, kurie renka analitinę ir rinkodaros informaciją:

• „Meta Pixel“ ir „Meta Conversions API“ – fiksuoja peržiūrų, registracijų, krepšelio inicijavimo (InitiateCheckout) ir pirkimo (Purchase) įvykius. Renkamas užšifruotas (SHA‑256 maišos) el. paštas, IP adresas, naršyklės identifikatoriai (slapukai _fbp, _fbc) ir atvykimo URL.
• „Google Analytics 4“ – matuoja srautą, mygtukų paspaudimus ir konversijas. Slapukai _ga, _ga_*. IP adresas yra anonimizuojamas.
• „Microsoft Clarity“ – įrašo anonimines sesijos peržiūras ir karštuosius žemėlapius (heatmaps). Slapukai _clck, _clsk. Visi įvesties laukai (slaptažodžiai, mokėjimo informacija) automatiškai užmaskuojami.

Toliau nurodome, kuriuo BDAR teisiniu pagrindu tvarkome jūsų duomenis kiekvienu konkrečiu tikslu:

Suprantame, kad nuotraukos yra ypač asmeniškas duomuo – dažnai tai vienintelis prisiminimas apie artimą žmogų. Todėl taikome papildomas priemones:

5.1. Nuotraukos nenaudojamos modelių apmokymui

Jūsų įkeltos nuotraukos nenaudojamos dirbtinio intelekto modelių apmokymui ar bet kokiam kitam tikslui, išskyrus tą, dėl kurio jas pateikėte – t. y. konkrečios užklausos įvykdymui.

5.2. Apdorojimas „OpenAI“ infrastruktūroje

Restauravimui ir perspalvinimui pasitelkiame „OpenAI, Inc.“ (JAV) modelį gpt-image-2. Pateikus užklausą, vaizdas perduodamas „OpenAI“ tik tiek, kiek reikia jį apdoroti. „OpenAI“ pagal savo sąlygas naudoja tik laikiną apdorojimą ir nesinaudoja vaizdais modeliams apmokyti, jei naudojama API per organizacijos paskyrą. Su „OpenAI“ duomenų tvarkymo sąlygomis galite susipažinti čia: openai.com/policies/privacy-policy.

5.3. Privatus failų segmentas

Tiek originalas, tiek apdorojimo rezultatas saugomi privačiame „Supabase Storage“ segmente kelio formatu {user_id}/{job_id}/.... Lentos lygmens saugumo politika užtikrina, kad failą gali atsisiųsti tik prisijungęs jo savininkas. Tiesioginis viešas URL nesuteikiamas.

5.4. Trumpas saugojimo laikas

Įkelta nuotrauka ir gautas rezultatas pašalinami iš mūsų infrastruktūros, kai įvyksta bet kuris iš šių veiksmų:

• jūs paspaudžiate „ד mygtuką nuotraukos peržiūros lange;
• įkeliate naują nuotrauką (ankstesnė užklausa pakeičiama);
• užklausa baigiasi nesėkmingai (klaida arba atšaukimas).

Šalinama tiek failų saugykla, tiek atitinkamos eilutės duomenų bazėje. Jei užklausa neuždaryta, ji lieka prie jūsų paskyros, kad galėtumėte tęsti darbą iš to paties taško, jei perkrovėte naršyklę ar grįžote vėliau.

5.5. Rankinė peržiūra – tik išimtiniais atvejais

Mes neperžiūrime jūsų nuotraukų rankiniu būdu, išskyrus tuos atvejus, kai esama pagrįsto saugumo ar teisinio reikalo (pvz., piktnaudžiavimo Paslauga tyrimas) – ir tik turint aiškų pagrindą.

Asmens duomenis perduodame tik tiek, kiek būtina, ir tik patikimiems duomenų tvarkytojams, su kuriais esame sudarę BDAR 28 straipsnio reikalavimus atitinkančias sutartis:

Duomenys taip pat gali būti perduodami:

• Lietuvos Respublikos kompetentingoms institucijoms, kai to reikalauja įstatymai;
• profesionaliems patarėjams (advokatams, auditoriams), turintiems konfidencialumo prievolę;
• galimam mūsų verslo įgijėjui, jei vykdomas reorganizavimas – apie tai jus informuotume atskirai.

Kai kurie mūsų tvarkytojai („OpenAI“, kai kuriais atvejais „Stripe“, „Vercel“, „Meta“, „Google“, „Microsoft“) tvarko duomenis Jungtinėse Amerikos Valstijose. Tokius perdavimus vykdome tik užtikrinę, kad jie atitiktų BDAR 44–49 straipsnių reikalavimus, pasitelkdami:

• ES Komisijos patvirtintas standartines sutartines išlygas (SCC) pagal 2021/914 sprendimą;
• ES–JAV duomenų privatumo sistemą (Data Privacy Framework), kai partneris yra sertifikuotas;
• papildomas technines priemones (šifravimas perdavimo metu, prieigos kontrolė, pseudonimizavimas).

Pasibaigus saugojimo terminui, duomenys ištrinami arba negrįžtamai anonimizuojami, kad jų nebūtų galima susieti su konkrečiu asmeniu.

Slapukai padeda Paslaugai veikti, tobulėti ir efektyviai pasiekti tinkamą auditoriją. Naudojame šių kategorijų slapukus:

9.1. Būtini slapukai

Reikalingi pagrindinėms Paslaugos funkcijoms – be jų svetainė neveikia. Sutikimas šiems slapukams nereikalingas (BDAR 6 str. 1 d. b p. ir f p.).

• „Supabase“ autentifikavimo slapukai (sb-...);
• seansui priskirti CSRF apsaugos žymeniai.

9.2. Analitiniai slapukai

Padeda suprasti, kaip Paslauga naudojama:

• „Google Analytics 4“: _ga, _ga_* (galioja iki 2 metų);
• „Microsoft Clarity“: _clck, _clsk (galioja iki 1 metų / 1 dienos atitinkamai).

9.3. Rinkodaros slapukai

Skirti tikslinei reklamai ir konversijų matavimui:

• „Meta Pixel“: _fbp (galioja iki 90 dienų), _fbc (galioja iki 90 dienų po paspaudimo).

Sutikimą galite valdyti iš naujo bet kuriuo metu pakeisdami pasirinkimus slapukų sutikimo lange arba ištrindami slapukus per savo naršyklės nustatymus.

Pagal BDAR turite šias teises:

• Susipažinti (15 str.) – sužinoti, kokie jūsų duomenys yra tvarkomi, kokiu pagrindu ir kam perduodami.
• Ištaisyti (16 str.) – pataisyti netikslius ar papildyti neišsamius duomenis.
• Ištrinti – „teisė būti pamirštam“ (17 str.) – kai nebėra teisinio pagrindo saugoti duomenis.
• Apriboti tvarkymą (18 str.) – kai ginčijate duomenų tikslumą, tvarkymo teisėtumą ar kt.
• Perkelti duomenis (20 str.) – gauti savo duomenis struktūruotu, įprastai naudojamu ir kompiuteriu skaitomu formatu.
• Nesutikti (21 str.) – su tvarkymu, kuris grindžiamas teisėtu interesu, įskaitant tiesioginę rinkodarą.
• Atšaukti sutikimą (7 str.) – jei tvarkymas grindžiamas sutikimu, jį galite atšaukti bet kada. Atšaukimas neturi poveikio prieš tai vykdyto tvarkymo teisėtumui.
• Pateikti skundą priežiūros institucijai – Valstybinei duomenų apsaugos inspekcijai (žr. 15 sk.).

Dauguma teisių (ypač paskyros duomenų peržiūra, ištrynimas, slapukų sutikimo atšaukimas) yra įgyvendinamos savitarnos būdu paskyros nustatymuose. Kitais atvejais kreipkitės el. paštu info@fotoresto.lt – į prašymą atsakysime ne vėliau kaip per 1 mėnesį (esant sudėtingiems prašymams – iki 3 mėnesių, iš anksto pranešdami).

Taikome organizacines ir technines priemones, atitinkančias BDAR 32 straipsnio reikalavimus:

• HTTPS/TLS šifravimas viso duomenų perdavimo metu;
• slaptažodžiai saugomi naudojant kriptografiškai stiprią vienakryptę maišą (hash);
• lentos lygmens saugumo (RLS) politika duomenų bazėje – kiekvienas naudotojas pasiekia tik savo eilutes;
• privatūs failų segmentai – tiesioginė prieiga be autentifikacijos negalima;
• atskiri „service-role“ raktai server-side kodui, kurie nepasiekiami iš naršyklės;
• įvesties laukų užmaskavimas sesijų peržiūros įrašuose;
• reguliarus tarnybinių partnerių saugumo įsipareigojimų vertinimas;
• prieigos žurnalai saugumo incidentams atsekti.

Vis dėlto joks duomenų perdavimas ar saugojimas internete nėra 100 % saugus. Stengiamės užtikrinti aukšto lygio apsaugą, bet absoliučios garantijos suteikti negalime. Pastebėję galimą saugumo pažeidimą prašome nedelsiant pranešti adresu info@fotoresto.lt.

Paslauga skirta asmenims, sulaukusiems 16 metų. Sąmoningai nerenkame jaunesnių nei 16 metų asmenų duomenų. Jei sužinome, kad neturėdami tinkamo teisinio pagrindo tvarkome jaunesnio asmens duomenis, juos pašalinsime nedelsiant.

Tėvai ar globėjai, manantys, kad jų vaikas pateikė asmens duomenis be reikiamo sutikimo, gali kreiptis į mus el. paštu info@fotoresto.lt – nedelsdami imsimės reikiamų veiksmų.

Paslaugos esmė – automatinis nuotraukos restauravimas dirbtinio intelekto modeliu. Toks tvarkymas nelaikomas automatizuotu sprendimų priėmimu BDAR 22 str. prasme, nes jo rezultatas (atrestauruota nuotrauka) nesukuria jums teisinių pasekmių ir panašiai reikšmingai jūsų neveikia.

Profilio kūrimas ar automatizuotas sprendimų priėmimas, kuris jums sukurtų teisines pasekmes (pvz., atsisakymas suteikti paslaugą), nėra vykdomas.

Šią Politiką galime peržiūrėti ir atnaujinti. Esminius pakeitimus paskelbsime Paslaugoje ir, kai tai pagrįsta, pranešime jūsų el. paštu prieš jiems įsigaliojant. Naujausią versiją visuomet rasite šiame puslapyje. Skyriaus pradžioje nurodyta paskutinio atnaujinimo data leidžia pasitikrinti, ar Politika nuo jūsų paskutinio susipažinimo nepasikeitė.