Polityka Prywatności Vulkan Spiele

Niniejsza Polityka Prywatności opisuje, w jaki sposób Vulkan Spiele przetwarza dane osobowe użytkowników z Polski zgodnie z RODO i przepisami branży hazardowej. Wyjaśniamy cele, podstawy prawne, okresy przechowywania, udostępnianie danych, prawa użytkownika oraz zasady cookies, profilowania i bezpieczeństwa. Szczegóły kontaktu do IOD oraz informacje o skardze do PUODO znajdziesz poniżej.

Jakie dane zbieramy i w jakich celach?

W ramach świadczenia usług hazardowych online przetwarzamy wyłącznie dane niezbędne do założenia i obsługi konta gracza, weryfikacji wieku oraz tożsamości (KYC), realizacji płatności, zapewnienia zgodności z przepisami prawa (m.in. RODO i AML), a także bezpieczeństwa serwisu, wykrywania nadużyć i personalizacji treści za zgodą. Poniżej przedstawiamy pełen zakres kategorii danych, cele i podstawy prawne przetwarzania oraz zasady retencji.

Jakie dane rejestrowe i identyfikacyjne zbieramy?

Podczas rejestracji i korzystania z konta gromadzimy podstawowe dane identyfikacyjne i kontaktowe potrzebne do świadczenia usług i spełnienia obowiązków prawnych, w szczególności w zakresie weryfikacji wieku oraz zapobiegania nadużyciom.

• Dane konta: imię, nazwisko, data urodzenia (weryfikacja pełnoletniości), obywatelstwo (jeśli wymagane), preferencje językowe.
• Dane kontaktowe: adres e‑mail, numer telefonu (do weryfikacji i powiadomień), adres korespondencyjny (jeśli wymagany do weryfikacji adresu).
• Dane identyfikacyjne KYC (na dalszym etapie): numer i dane dokumentu tożsamości, selfie/zdjęcie do dopasowania twarzy (jeżeli stosowane), adres zamieszkania do potwierdzenia.
• Dane dotyczące konta gracza: identyfikator użytkownika, historia logowań, ustawienia odpowiedzialnej gry (limity, samowykluczenie), historia transakcji i gier.

Przetwarzanie odbywa się zgodnie z zasadą minimalizacji i ograniczenia celu. Podanie danych oznaczonych jako wymagane jest konieczne do zawarcia i realizacji umowy o świadczenie usług hazardowych online; brak ich podania uniemożliwi rejestrację lub dostęp do funkcji związanych z grą na prawdziwe środki.

Czy wymagamy danych płatniczych i KYC?

Tak. Aby umożliwić zasilenia konta, wypłaty wygranych oraz spełnić wymogi przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML), wymagamy przetwarzania danych płatniczych oraz przeprowadzenia procedury KYC (Know Your Customer). Zakres obejmuje weryfikację tożsamości, wieku i – gdy to konieczne – źródła pochodzenia środków.

• Dane płatnicze: numer rachunku/IBAN, dane posiadacza rachunku, identyfikatory transakcji, maskowane dane karty (np. ostatnie 4 cyfry), metoda płatności, status transakcji.
• Dane KYC/EDD: skan/zdjęcie dokumentu tożsamości (dowód osobisty/paszport/prawo jazdy), potwierdzenie adresu (np. rachunek za media/wyciąg bankowy), w razie potrzeby oświadczenia dot. źródła środków.
• Zgodność AML: weryfikacje na listach sankcyjnych/PEP, monitoring transakcji pod kątem wzorców nadużyć i limitów odpowiedzialnej gry.

Wymogi KYC/AML wynikają z przepisów Unii Europejskiej i prawa krajowego. Ogólne zasady ochrony danych określa rozporządzenie RODO, dostępne na eur-lex.europa.eu. W Polsce nadzór nad ochroną danych sprawuje Urząd Ochrony Danych Osobowych (uodo.gov.pl).

Dane techniczne i analityczne (IP, logi, urządzenie)

Podczas korzystania z serwisu automatycznie zbierane są dane techniczne i eksploatacyjne niezbędne do zapewnienia działania platformy, bezpieczeństwa konta oraz statystycznej analizy wydajności. Dane te nie są używane do identyfikacji użytkownika, chyba że łączymy je z danymi konta w uzasadnionych celach bezpieczeństwa lub na podstawie zgody (np. marketing).

• Identyfikatory techniczne: adres IP, znaczniki czasu logowań i sesji, identyfikator sesji, sygnatury błędów.
• Parametry urządzenia/przeglądarki: typ i wersja przeglądarki, system operacyjny, rozdzielczość ekranu, ustawienia językowe, typ urządzenia.
• Dane o działaniu aplikacji: metryki wydajności (czas ładowania, opóźnienia), logi serwera i aplikacji, zdarzenia bezpieczeństwa (np. próby nieautoryzowanego dostępu, anomalia logowania).
• Cookies i podobne technologie: pliki niezbędne (sesyjne), funkcjonalne, analityczne/statystyczne, reklamowe – zgodnie z wyborami w banerze zgody.

Użytkownik może zarządzać zgodami na pliki cookie w ustawieniach banera zgód oraz w przeglądarce. W przypadku wyłączenia plików niezbędnych korzystanie z niektórych funkcji serwisu może być niemożliwe. Wykorzystujemy środki bezpieczeństwa, w tym pseudonimizację i ograniczenia dostępu, aby zminimalizować ryzyko połączenia danych technicznych z Twoją tożsamością poza jasno określonymi przypadkami zgodnymi z prawem.

Na jakiej podstawie prawnej i jak długo przetwarzamy dane?

Przetwarzamy dane osobowe wyłącznie w granicach określonych przez prawo Unii Europejskiej i Polski, w szczególności na podstawie art. 6 RODO oraz przepisów sektorowych dotyczących gier hazardowych, przeciwdziałania praniu pieniędzy (AML) i rachunkowości. Okres przechowywania danych ustalamy zgodnie z zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) – tylko tak długo, jak to jest niezbędne do celów, dla których dane zostały zebrane, lub przez czas wymagany przepisami. Dodatkowo możemy przechowywać wybrane informacje przez czas niezbędny do dochodzenia lub obrony roszczeń. Tekst RODO jest dostępny na eur-lex.europa.eu, a informacje dla osób w Polsce publikuje Urząd Ochrony Danych Osobowych.

Podstawy RODO: zgoda, umowa, obowiązek, uzasadniony interes

RODO przewiduje zamknięty katalog podstaw prawnych przetwarzania. W naszym serwisie wykorzystujemy je odpowiednio do celu przetwarzania, z poszanowaniem zasady minimalizacji i przejrzystości. Podstawy te mają równorzędny charakter, ale nie są wymienne – każda z nich służy konkretnym operacjom na danych.

• Zgoda (art. 6 ust. 1 lit. a RODO) – dobrowolna, konkretna, świadoma i jednoznaczna zgoda na przetwarzanie, np. na otrzymywanie komunikacji marketingowej, użycie plików cookie analitycznych/reklamowych lub personalizację oferty. Zgodę można w każdej chwili wycofać bez wpływu na zgodność wcześniejszego przetwarzania z prawem.
• Umowa (art. 6 ust. 1 lit. b RODO) – niezbędność do zawarcia lub wykonania umowy o świadczenie usług, np. założenie i obsługa konta gracza, realizacja płatności, zapewnienie dostępu do treści i funkcji serwisu.
• Obowiązek prawny (art. 6 ust. 1 lit. c RODO) – wypełnienie obowiązków wynikających z przepisów, np. weryfikacja tożsamości i wieku (KYC), przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu (AML), prowadzenie i przechowywanie dokumentacji księgowej i podatkowej.
• Uzasadniony interes (art. 6 ust. 1 lit. f RODO) – prawnie uzasadnione interesy administratora lub strony trzeciej, które nie są nadrzędne wobec interesów lub podstawowych praw i wolności użytkownika, np. bezpieczeństwo sieci i informacji, zapobieganie nadużyciom, dochodzenie i obrona roszczeń, podstawowa analityka serwisowa w ujęciu zagregowanym. Zawsze dokonujemy testu równowagi (balancing test).

Pełny tekst przepisów RODO dostępny jest na eur-lex.europa.eu. Wytyczne i komunikaty dla osób w Polsce publikuje UODO.

Jak długo przechowujemy Twoje dane i według jakich kryteriów?

Okresy retencji ustalamy w oparciu o: (1) wymagania prawa (np. AML, rachunkowość), (2) czas trwania umowy i świadczenia usług, (3) terminy przedawnienia roszczeń wynikające z Kodeksu cywilnego (co do zasady 6 lat; dla roszczeń okresowych i związanych z działalnością gospodarczą – 3 lata), (4) ważny interes w zapewnieniu bezpieczeństwa oraz (5) decyzje użytkownika (np. wycofanie zgody). Dane usuwamy lub anonimizujemy po upływie właściwego okresu, chyba że prawo wymaga dłuższego przechowywania.

W przypadku kolizji okresów – np. gdy użytkownik żąda usunięcia danych, ale obowiązki AML lub rachunkowe wymagają ich dalszego przechowywania – będziemy kontynuować przechowywanie w zakresie i przez czas wymagany prawem. Po upływie wymaganych terminów dane są bezpiecznie usuwane lub trwale anonimizowane.

Minimalizacja, pseudonimizacja i retencja kopii zapasowych

Realizujemy zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO) oraz projektowanie z myślą o ochronie danych (privacy by design, art. 25 RODO), aby ograniczyć zakres i czas przetwarzania do niezbędnego minimum. Stosujemy również środki techniczne i organizacyjne adekwatne do ryzyka (art. 32 RODO), w tym pseudonimizację tam, gdzie jest to możliwe i uzasadnione celem przetwarzania.

• Minimalizacja zakresu: wymagamy wyłącznie danych koniecznych do rejestracji, weryfikacji (KYC), rozliczeń i bezpieczeństwa; preferujemy rozwiązania „privacy by default”, w tym domyślne wyłączenie marketingu bez zgody.
• Pseudonimizacja: tam, gdzie to możliwe, zastępujemy identyfikatory bezpośrednie (np. e‑mail) identyfikatorami technicznymi (tokenami) na potrzeby analityki lub testów, a dostęp do kluczy odwzorowujących jest ściśle ograniczony.
• Segmentacja i kontrola dostępu: dostęp do danych jest nadawany według ról i potrzeb (need‑to‑know), a operacje są rejestrowane w logach uprawnień.
• Retencja kopii zapasowych: kopie zapasowe służą wyłącznie celom ciągłości działania i odtwarzania awaryjnego. Nie są wykorzystywane do celów operacyjnych (np. marketingu). Usunięcia i sprostowania wykonane w systemach produkcyjnych są odzwierciedlane w kopiach w trakcie kolejnych cykli rotacji; dostęp do backupów jest ograniczony i podlega kontroli.
• Usuwanie i anonimizacja: po upływie okresów retencji stosujemy bezpieczne procedury usuwania danych lub ich nieodwracalnej anonimizacji, dokumentując wykonane operacje dla celów rozliczalności.

Więcej informacji o zasadach przetwarzania danych zawierają art. 5, 6, 25 i 32 RODO dostępne na eur-lex.europa.eu. Jeśli masz pytania dotyczące okresów przechowywania lub środków ochrony, skontaktuj się z właściwym organem nadzorczym w Polsce (UODO) lub Inspektorem Ochrony Danych wskazanym w naszej Polityce Prywatności.

Czy udostępniamy dane i czy są przekazywane poza EOG?

Dane osobowe udostępniamy wyłącznie w zakresie niezbędnym do realizacji usług, spełnienia obowiązków prawnych oraz zapewnienia bezpieczeństwa i ciągłości działania. Zasadniczo korzystamy z podmiotów przetwarzających (procesorów) działających na podstawie umów powierzenia i środków ochrony danych wymaganych przez RODO. Przekazania poza Europejski Obszar Gospodarczy (EOG) mogą wystąpić jedynie, gdy jest to konieczne i przy zastosowaniu odpowiednich zabezpieczeń (np. standardowych klauzul umownych). Informacje o RODO publikowane są na eur-lex.europa.eu, a polski organ nadzorczy to UODO.

Komu powierzamy przetwarzanie: płatności, KYC, analityka

Współpracujemy z wyspecjalizowanymi dostawcami usług, którzy działają jako podmioty przetwarzające i realizują wyłącznie udokumentowane polecenia administratora. Każdy dostawca jest weryfikowany pod kątem bezpieczeństwa informacji i zgodności z RODO, a zakres danych jest ograniczony do minimum koniecznego do świadczenia danej usługi.

• Płatności i rozliczenia: operatorzy płatności elektronicznych, banki rozliczeniowe, pośrednicy wypłat (wymiana identyfikatorów transakcji i danych rozliczeniowych niezbędnych do księgowania).
• KYC/AML: dostawcy weryfikacji tożsamości, weryfikacji dokumentów, list sankcyjnych i PEP (udostępnienie danych identyfikacyjnych w zakresie wymaganym przepisami AML).
• Infrastruktura IT/hosting/CDN: centra danych, dostawcy chmur i sieci dystrybucji treści (przetwarzanie techniczne i przechowywanie danych zgodnie z umowami powierzenia).
• Analityka i bezpieczeństwo: rozwiązania monitoringu wydajności, analizy zagregowanych statystyk, wykrywania nadużyć (przetwarzanie z użyciem pseudonimizacji tam, gdzie to możliwe).
• Wsparcie operacyjne: systemy ticketowe, komunikacja transakcyjna (e‑mail/SMS), narzędzia do zarządzania incydentami.

Każdy procesor jest związany klauzulami poufności, wymogami bezpieczeństwa (art. 32 RODO) oraz audytami/ocenami dostawców prowadzonymi przez administratora. Dane nie są sprzedawane podmiotom trzecim.

Czy dane trafiają poza EOG? Standardowe klauzule i TIA

Jeżeli korzystanie z danej usługi wymaga transferu danych poza EOG (np. wsparcie 24/7, globalny CDN, specjalistyczny screening), wdrażamy mechanizmy przewidziane przez RODO rozdz. V. W pierwszej kolejności opieramy się na decyzjach stwierdzających odpowiedni poziom ochrony (tzw. decyzje adekwatności), a gdy ich brak – na odpowiednich zabezpieczeniach, przede wszystkim Standardowych Klauzulach Umownych (SCC) przyjętych decyzją wykonawczą Komisji (UE) 2021/914.

• Standardowe Klauzule Umowne (SCC) – umowne zabezpieczenia przewidziane w art. 46 RODO; tekst SCC: eur-lex.europa.eu.
• Ocena skutków transferu (TIA) – analiza prawa i praktyk państwa przyjmującego oraz ryzyka dla osób, zgodnie z zaleceniami EROD 01/2020: edpb.europa.eu.
• Środki uzupełniające – m.in. szyfrowanie end‑to‑end, pseudonimizacja, ograniczenia dostępu oparte na rolach, logowanie dostępu i testy bezpieczeństwa.
• Rzadkie wyjątki (art. 49 RODO) – tylko incydentalnie, gdy spełnione są warunki przepisu (np. wyraźna zgoda lub niezbędność do wykonania umowy zawartej z użytkownikiem).

Informacje o mechanizmach transferu i kopii SCC mogą zostać udostępnione na żądanie przez właściwy kanał kontaktu. Przy każdym transferze dokonujemy przeglądu okresowego TIA i adekwatności zastosowanych środków.

Udostępnienia wymagane prawem: organy nadzoru, AML

Poza procesorami działającymi w naszym imieniu możemy być zobowiązani do ujawnienia danych właściwym organom publicznym, jeżeli wynika to wprost z przepisów. Dotyczy to w szczególności instytucji związanych z przeciwdziałaniem praniu pieniędzy, organów ścigania, nadzoru nad ochroną danych oraz administracji skarbowej i sądów. Takie udostępnienia opierają się na art. 6 ust. 1 lit. c RODO (obowiązek prawny) lub – gdy to konieczne do ustalenia, dochodzenia lub obrony roszczeń – art. 6 ust. 1 lit. f RODO.

• AML/CFT: realizacja obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (zgłaszanie transakcji/sygnalizowanie podejrzeń do właściwego organu). Informacje o GIIF: gov.pl.
• Organy ścigania i sądy: udostępnienia na żądanie w zakresie niezbędnym do postępowania przygotowawczego lub sądowego, zgodnie z właściwymi przepisami.
• Organy administracji skarbowej: realizacja obowiązków podatkowych i sprawozdawczych (np. kontrole KAS), w zakresie określonym przepisami.
• Organ nadzorczy ds. ochrony danych: współpraca z UODO w ramach nadzoru i postępowań administracyjnych.

W każdym przypadku udostępnienia wymagamy podstawy prawnej i dokumentujemy realizację żądania. Przekazywany zakres danych ograniczamy do niezbędnego minimum, stosując zasady rozliczalności i bezpieczeństwa z art. 5 i 32 RODO oraz wewnętrzne procedury retencji i kontroli dostępu.

Jakie masz prawa i jak je zrealizować w Polsce?

Jako osoba, której dane dotyczą, masz prawa wynikające z RODO (m.in. art. 12–23), w tym dostęp do danych, sprostowanie, usunięcie („prawo do bycia zapomnianym”), ograniczenie przetwarzania, przenoszenie danych, sprzeciw wobec przetwarzania oraz prawo do wycofania zgody. Na wnioski odpowiadamy bez zbędnej zwłoki, nie później niż w ciągu miesiąca (art. 12 ust. 3 RODO), z możliwością przedłużenia o kolejne dwa miesiące w przypadku skomplikowanych żądań lub wielu wniosków (o czym poinformujemy). Podstawy prawne znajdziesz na eur-lex.europa.eu, a informacje dla osób w Polsce publikuje UODO.

Jak uzyskać dostęp, sprostowanie, usunięcie lub ograniczenie?

Możesz złożyć wniosek o dostęp (art. 15), sprostowanie (art. 16), usunięcie (art. 17) lub ograniczenie przetwarzania (art. 18) danymi kanałami wskazanymi w naszej Polityce Prywatności (np. przez ustawienia konta lub formularz kontaktowy). W celu ochrony Twoich danych możemy poprosić o potwierdzenie tożsamości. Wniosek powinien precyzować, których danych i jakiego okresu dotyczy.

• Dostęp do danych: otrzymasz kopię danych oraz informacje o celach, kategoriach, odbiorcach, okresie przechowywania i źródłach danych.
• Sprostowanie: poprawimy nieprawidłowe lub uzupełnimy niekompletne dane.
• Usunięcie: usuniemy dane, gdy zachodzi jedna z przesłanek z art. 17 ust. 1 RODO; wyjątki obejmują m.in. obowiązki prawne (np. AML, rachunkowość) – art. 17 ust. 3.
• Ograniczenie: oznaczymy dane jako ograniczone w przetwarzaniu w przypadkach określonych w art. 18 (np. kwestionowanie prawidłowości, sprzeciw, dochodzenie roszczeń).

Żądania oczywiście bezzasadne lub nadmierne mogą skutkować pobraniem rozsądnej opłaty lub odmową (art. 12 ust. 5 RODO). W razie odmowy zawsze przysługuje Ci prawo do złożenia skargi do UODO oraz skorzystania ze środków ochrony prawnej przed sądem.

Jak wycofać zgodę i sprzeciwić się marketingowi?

Zgodę możesz wycofać w dowolnym momencie (art. 7 ust. 3 RODO), bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem. Masz także prawo wnieść sprzeciw wobec przetwarzania opartego na uzasadnionym interesie (art. 21 RODO), w tym bezwzględne prawo sprzeciwu wobec marketingu bezpośredniego (obejmuje także profilowanie marketingowe).

• Wycofanie zgody: skorzystaj z ustawień konta, linku rezygnacji w wiadomości e‑mail lub preferencji w banerze cookies (dla analityki/reklamy).
• Sprzeciw wobec marketingu: zgłoś sprzeciw kanałem wskazanym w Polityce Prywatności; wstrzymamy marketing bezpośredni niezwłocznie.
• Komunikacja elektroniczna: wysyłka informacji handlowych wymaga zgody zgodnie z art. 10 ustawy o świadczeniu usług drogą elektroniczną; szczegóły aktu prawnego: isap.sejm.gov.pl. Połączenia marketingowe podlegają art. 172 Prawa telekomunikacyjnego: isap.sejm.gov.pl.

Po wycofaniu zgody i/lub skutecznym sprzeciwie zatrzymamy odpowiednie przetwarzanie. Możemy zachować minimalne informacje dowodowe o wycofaniu zgody lub wniesieniu sprzeciwu do czasu upływu terminów przedawnienia roszczeń.

Skarga do PUODO i kontakt z Inspektorem Ochrony Danych

Masz prawo wnieść skargę do polskiego organu nadzorczego, jeśli uznasz, że przetwarzanie Twoich danych narusza RODO. Skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO) możesz złożyć m.in. drogą pocztową lub przez ePUAP; instrukcje i formularze są dostępne na stronie UODO: uodo.gov.pl/pl/p/skargi. Adres UODO: ul. Stawki 2, 00‑193 Warszawa. Z Inspektorem Ochrony Danych (IOD) wyznaczonym przez administratora skontaktujesz się kanałami wskazanymi w naszej Polityce Prywatności (np. poprzez formularz kontaktowy lub dedykowany adres e‑mail IOD, jeśli został podany).

• Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych – uodo.gov.pl.
• Instrukcje składania skarg: uodo.gov.pl/pl/p/skargi.
• Podstawa prawna prawa do skargi: art. 77 RODO – eur-lex.europa.eu.

Przed wniesieniem skargi do UODO zachęcamy do bezpośredniego kontaktu z naszym IOD w celu wyjaśnienia sprawy – w wielu przypadkach pozwala to na szybsze i pełne zaspokojenie Twoich praw. Jeśli jednak wybierzesz drogę administracyjną, pamiętaj o dołączeniu informacji identyfikujących administratora, opisu naruszenia oraz – jeśli to możliwe – kopii korespondencji.

Pliki cookie, profilowanie i bezpieczeństwo informacji

W naszym serwisie wykorzystujemy pliki cookie i podobne technologie wyłącznie w zakresie niezbędnym do działania platformy, poprawy jakości usług, bezpieczeństwa oraz – po uzyskaniu Twojej zgody – w celach analitycznych i reklamowych. Przetwarzanie danych wykonywane z użyciem tych technologii odbywa się zgodnie z RODO i przepisami dotyczącymi komunikacji elektronicznej (w Polsce art. 173 Prawa telekomunikacyjnego). Zgody możesz zarządzać w banerze preferencji oraz ustawieniach przeglądarki. Informacje o podstawach prawnych znajdziesz w RODO: eur-lex.europa.eu, a komunikaty i poradniki publikuje UODO.

Jak używamy plików cookie i podobnych technologii?

Pliki cookie to niewielkie pliki zapisywane na Twoim urządzeniu przez przeglądarkę. Stosujemy również podobne mechanizmy, takie jak local storage, tagi pikselowe i identyfikatory urządzeń. Kategorie i cele stosowania przedstawiamy poniżej; zakres aktywnych kategorii zależy od Twoich wyborów w banerze zgody i ustawieniach przeglądarki.

• Niezbędne (techniczne) – kluczowe dla funkcjonowania serwisu: logowanie, utrzymanie sesji, bezpieczeństwo, zapamiętanie wyborów prywatności. Nie wymagają zgody, ale możesz je zablokować w przeglądarce, co może uniemożliwić korzystanie z serwisu.
• Funkcjonalne – poprawiają wygodę, np. zapamiętywanie preferencji interfejsu, języka lub ostatniej aktywności. Wymagają zgody w zakresie niewynikającym z niezbędności technicznej.
• Analityczne/statystyczne – pomagają zrozumieć, jak użytkownicy korzystają z serwisu (np. zagregowane dane o ruchu i wydajności), by usprawniać działanie. Wymagają zgody.
• Reklamowe/retargeting – służą do personalizacji przekazu i pomiaru skuteczności kampanii marketingowych. Wymagają zgody.

Więcej o zasadach stosowania plików cookie i zgód znajdziesz w RODO i przepisach krajowych (np. art. 173 Prawa telekomunikacyjnego: isap.sejm.gov.pl) oraz w materiałach edukacyjnych UODO. Zmian dokonasz w banerze preferencji lub ustawieniach przeglądarki. Pamiętaj, że wyłączenie plików niezbędnych może ograniczyć dostęp do kluczowych funkcji konta.

Czy stosujemy profilowanie lub zautomatyzowane decyzje?

Profilowanie w rozumieniu RODO to dowolna forma zautomatyzowanego przetwarzania danych osobowych polegająca na wykorzystaniu danych do oceny niektórych czynników dotyczących osoby fizycznej (art. 4 pkt 4 RODO). Stosujemy profilowanie w ograniczonym zakresie, głównie w celach personalizacji (za zgodą) i bezpieczeństwa (uzasadniony interes/obowiązki AML). Nie podejmujemy decyzji wywołujących wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływających wyłącznie na podstawie zautomatyzowanego przetwarzania, bez zapewnienia istotnego udziału człowieka (art. 22 RODO).

• Personalizacja treści/ofert: dostosowanie interfejsu i rekomendacji na podstawie Twojej aktywności – wyłącznie po wyrażeniu zgody na odpowiednie kategorie cookie lub w ustawieniach konta.
• Analityka zagregowana: wnioski oparte na danych zanonimizowanych/pseudonimizowanych, bez identyfikacji konkretnego użytkownika – uzasadniony interes w poprawie jakości usług.
• Bezpieczeństwo i antyfraud: wykrywanie anomalii logowania i wzorców nadużyć; w przypadkach ryzyka decyzję weryfikuje zespół bezpieczeństwa (udział człowieka).
• Odpowiedzialna gra: sygnały o potencjalnym ryzyku (np. nagłe zmiany wzorców gry) służą do wyświetlania komunikatów i oferowania narzędzi ograniczeń; działania dot. ograniczeń podejmowane są z udziałem człowieka i zgodnie z prawem.

Masz prawo sprzeciwić się profilowaniu w celach marketingu bezpośredniego oraz – w innych przypadkach – żądać interwencji człowieka, wyrażenia własnego stanowiska i zakwestionowania decyzji. Podstawa prawna: art. 21 i 22 RODO dostępne na eur-lex.europa.eu.

Środki bezpieczeństwa: szyfrowanie, kontrola dostępu, testy

Wdrażamy środki techniczne i organizacyjne adekwatne do ryzyka (art. 32 RODO), tak aby zapewnić poufność, integralność, dostępność i odporność systemów. Środki te obejmują zarówno ochronę danych w tranzycie i w spoczynku, jak i kontrolę dostępu, monitoring, testy bezpieczeństwa oraz procedury reagowania na incydenty. Dobre praktyki w tym obszarze opisuje m.in. ENISA oraz wytyczne EROD.

• Szyfrowanie: ochrona transmisji danych (TLS) oraz szyfrowanie danych w spoczynku na poziomie infrastruktury; egzekwowanie bezpiecznych konfiguracji i aktualizacji.
• Kontrola dostępu: zasada najmniejszych uprawnień (least privilege), role‑based access control (RBAC), uwierzytelnianie wieloskładnikowe dla kont administracyjnych, cykliczny przegląd uprawnień.
• Monitoring i rejestrowanie: centralizacja logów, wykrywanie anomalii, alertowanie bezpieczeństwa, rozdzielenie obowiązków i regularne przeglądy dzienników.
• Zarządzanie podatnościami i testy: cykliczne skanowanie podatności, aktualizacje bezpieczeństwa, testy penetracyjne i testy odporności, proces zarządzania incydentami.
• Ciągłość działania i kopie zapasowe: regularne kopie, szyfrowanie backupów, testy odtwarzania, ograniczony dostęp do środowisk backupowych.
• Łańcuch dostaw i dostawcy: oceny ryzyka i umowy powierzenia z procesorami, środki transferowe przy przekazaniach poza EOG, audyty i wymogi zgodności.
• Szkolenia i polityki: szkolenia pracowników z zakresu bezpieczeństwa i ochrony danych, polityki haseł, zarządzanie urządzeniami końcowymi.

Stale doskonalimy środki ochrony w oparciu o analizę ryzyka, wyniki testów oraz rekomendacje organów i instytucji (np. EROD/EDPB, ENISA). W przypadku incydentu bezpieczeństwa stosujemy procedury reagowania, a gdy jest to wymagane, dokonujemy zgłoszeń do właściwego organu nadzorczego i – jeśli dotyczy – powiadamiamy osoby, których dane dotyczą, zgodnie z art. 33–34 RODO.

Często Zadawane Pytania

Czy Vulkan Spiele przetwarza dane osób niepełnoletnich i co dzieje się po wykryciu takiego przypadku?

Nie rejestrujemy osób poniżej 18 lat; przy wykryciu małoletniości konto jest blokowane, a zebrane dane nieobowiązkowe usuwane, z zachowaniem informacji wymaganych prawem wyłącznie tak długo, jak to konieczne. Podstawą prawną kontroli wieku jest obowiązek prawny (art. 6 ust. 1 lit. c RODO) wynikający m.in. z KYC/AML. W praktyce oznacza to weryfikację pełnoletniości i zamknięcie dostępu do funkcji gry; wszelkie dane utrzymywane dalej to wyłącznie te, które musimy zachować do celów rozliczalności i zgodności z prawem. Jeżeli w toku weryfikacji powstała dokumentacja KYC, jej minimalny okres przechowywania wynika z przepisów AML, co najmniej 5 lat od zakończenia relacji.

Czy mogę sprzeciwić się profilowaniu w ramach odpowiedzialnej gry lub AML?

Sprzeciw z art. 21 RODO dotyczy wyłącznie przetwarzania opartego na uzasadnionym interesie; nie obejmuje operacji wymaganych prawem, takich jak KYC/AML czy obowiązkowe środki odpowiedzialnej gry oparte na art. 6 ust. 1 lit. c RODO. Możesz zawsze wnieść bezwzględny sprzeciw wobec marketingu bezpośredniego, w tym profilowania marketingowego, a my wstrzymamy takie działania; nie wstrzymamy jednak analiz niezbędnych do spełnienia wymogów ustawowych lub do ustalenia, dochodzenia czy obrony roszczeń.

Jak uzyskać kopię Standardowych Klauzul Umownych (SCC) dla transferów poza EOG?

Złóż wniosek do Inspektora Ochrony Danych o udostępnienie kopii lub streszczenia zastosowanych SCC; odpowiemy w ciągu 1 miesiąca zgodnie z art. 12 ust. 3 RODO. SCC są środkiem z art. 46 ust. 2 lit. c RODO, dlatego przekazujemy treść w zakresie niewykraczającym poza tajemnicę handlową, zazwyczaj z zaciemnieniem informacji poufnych; wraz z SCC możesz otrzymać opis zastosowanych środków uzupełniających i ram TIA.

Czy dane o samowykluczeniu są udostępniane innym operatorom lub rejestrom państwowym?

Wykorzystujemy dane o samowykluczeniu do obsługi Twojego konta i bezpieczeństwa; udostępniamy je wyłącznie, jeśli wprost wymaga tego prawo lub żądają tego właściwe organy na podstawie art. 6 ust. 1 lit. c RODO. Nie przekazujemy tych danych do celów marketingowych ani komercyjnych; gdy przepis krajowy nakłada obowiązek zgłoszenia do rejestru lub organu, zakres i czas przetwarzania ograniczamy do niezbędnego minimum oraz dokumentujemy podstawę prawną.

Jak długo przechowywane są dowody zgód marketingowych i wybory plików cookie?

Dowody wyrażenia lub wycofania zgody na marketing oraz logi wyborów cookies przechowujemy do upływu terminów przedawnienia roszczeń, co do zasady 6 lat, a dla roszczeń okresowych 3 lata (Kodeks cywilny, art. 117 i nast.). Taki horyzont zapewnia możliwość wykazania rozliczalności przetwarzania (art. 5 ust. 2 RODO) i legalności komunikacji elektronicznej przy ewentualnych sporach.

Jak mogę udowodnić, że wycofałem zgodę lub wniosłem sprzeciw?

Możesz żądać potwierdzenia przyjęcia wycofania zgody lub sprzeciwu; administrator ma obowiązek rozliczalności z art. 5 ust. 2 RODO i odpowiada na wnioski w ciągu 1 miesiąca (art. 12 ust. 3 RODO). W rejestrach przechowujemy metadane, takie jak znacznik czasu, kanał zgłoszenia i identyfikator konta, co pozwala jednoznacznie wykazać datę i zakres Twojej decyzji.

Czy mogę skorzystać z prawa do przenoszenia danych w odniesieniu do historii gier i transakcji?

Prawo do przenoszenia (art. 20 RODO) obejmuje dane dostarczone przez Ciebie oraz dane obserwowane przetwarzane na podstawie umowy lub zgody i w sposób zautomatyzowany; w wielu przypadkach historia gier i transakcji spełnia te kryteria. Przekazujemy je w powszechnie używanym, odczytywalnym maszynowo formacie; części objęte obowiązkami prawnymi (np. AML, rachunkowość) mogą pozostać u administratora niezależnie od realizacji przenoszenia.

Co zrobi Vulkan Spiele w razie naruszenia ochrony danych (data breach)?

Naruszenia zgłaszamy do UODO w ciągu 72 godzin od stwierdzenia, o ile jest to wymagane, a gdy ryzyko dla osób jest wysokie, informujemy użytkowników bez zbędnej zwłoki (art. 33–34 RODO). Prowadzimy rejestr incydentów, dokumentujemy skutki i środki naprawcze oraz wdrażamy działania zapobiegawcze, takie jak korekty konfiguracji bezpieczeństwa i dodatkowe kontrole dostępu.

Czy operator płatności jest administratorem moich danych, czy podmiotem przetwarzającym?

Operatorzy płatności co do zasady działają jako niezależni administratorzy w zakresie własnych obowiązków AML, KYC i rachunkowych, z obowiązkową retencją co najmniej 5 lat na mocy przepisów AML. W wąskich, technicznych zakresach mogą przetwarzać dane jako procesorzy na podstawie umowy powierzenia; informujemy Cię o kategoriach takich odbiorców i podstawach prawnych, w tym art. 6 ust. 1 lit. b i c RODO.

Jak sprawdzić, z jakich krajów pochodzą dostawcy przetwarzający moje dane i jakie zabezpieczenia stosują?

Udostępniamy kategorie odbiorców w Polityce; szczegółową listę dostawców z lokalizacjami przetwarzania i zastosowanymi zabezpieczeniami transferowymi (np. SCC) możesz otrzymać na wniosek do IOD w terminie 1 miesiąca. Gdy występuje transfer poza EOG, opisujemy także mechanizmy art. 46 RODO i wyniki oceny TIA w zakresie możliwym do ujawnienia bez naruszenia tajemnicy handlowej.

Czy dane z plików cookie mogą zostać powiązane z moim kontem i jak to zweryfikować?

Łączymy dane z plików cookie z kontem wyłącznie w celach bezpieczeństwa na podstawie art. 6 ust. 1 lit. f RODO lub, dla personalizacji/analityki, za Twoją zgodą; nie łączymy ich w innych celach. Możesz wystąpić o dostęp do powiązanych rekordów, w tym znaczników czasu, identyfikatorów sesji i adresów IP przypisanych do loginów, w trybie art. 15 RODO; przekażemy kopię tych danych wraz z informacją o celach i podstawach.

Czy mogę domagać się pełnego usunięcia danych z kopii zapasowych?

Usunięcia realizujemy w systemach produkcyjnych niezwłocznie po spełnieniu warunków, a kopie zapasowe odzwierciedlają te zmiany w trakcie ich planowej rotacji; backupy służą wyłącznie odtwarzaniu awaryjnemu. Przy każdym przywróceniu środowiska stosujemy ponownie reguły usunięcia i ograniczenia dostępu, aby usunięte wcześniej dane nie wróciły do operacyjnego przetwarzania.

Czy selfie do weryfikacji jest danymi biometrycznymi i jaka jest podstawa prawna takiego przetwarzania?

Jeżeli stosowana jest technika dopasowania twarzy w celu jednoznacznej identyfikacji, powstają dane biometryczne w rozumieniu art. 4 pkt 14 RODO, a ich przetwarzanie wymaga podstawy z art. 9 ust. 2. W praktyce opieramy je na obowiązkach wynikających z przepisów AML i celu weryfikacji tożsamości; retencja takich danych podlega zasadom AML, co najmniej 5 lat od zakończenia relacji.

Czy moje dane są używane do oceny zdolności kredytowej lub udostępniane ubezpieczycielom?

Nie wykorzystujemy danych do credit scoringu ani taryfikacji ubezpieczeniowej; przetwarzanie ograniczamy do świadczenia usług hazardowych, KYC/AML, bezpieczeństwa i, po zgodzie, marketingu. Dane nie są sprzedawane podmiotom trzecim, a każde udostępnienie opieramy na określonej podstawie prawnej i zasadzie minimalizacji wynikającej z art. 5 RODO.

Czy w trakcie sporu o wypłatę mogę żądać ograniczenia przetwarzania danych?

Tak, możesz żądać ograniczenia przetwarzania na podstawie art. 18 RODO, na przykład gdy kwestionujesz prawidłowość danych lub sprzeciwiasz się przetwarzaniu. W okresie ograniczenia dane są jedynie przechowywane, z wyjątkiem operacji niezbędnych do ustalenia, dochodzenia lub obrony roszczeń, ochrony praw innej osoby lub z uwagi na ważny interes publiczny.