Polityka prywatności

Administrator danych

Administrator danych jest wskazany na dole tej strony wraz z danymi kontaktowymi do wszelkich wniosków dotyczących ochrony danych. Możesz zwrócić się do administratora, aby wykonać swoje prawa lub uzyskać wyjaśnienia dotyczące niniejszej polityki.

Kategorie przetwarzanych danych

Przetwarzamy: dane konta (e-mail, nazwa użytkownika, imię, awatar, język); dane gry (dokonane znaleziska, ukończenia, metoda weryfikacji); dane geolokalizacyjne (szerokość, długość geograficzna i dokładność GPS rejestrowane na uzbrojonym etapie); selfie wykonane na każdym etapie, przechowywane w prywatnym repozytorium; dane płatności (kwoty, status, identyfikatory Stripe — nie przechowujemy danych karty); dowody udzielonych zgód; oraz dzienniki bezpieczeństwa (identyfikator użytkownika, zdarzenie, adres IP, dane techniczne).

Cele przetwarzania

Przetwarzamy Twoje dane, aby: utworzyć i prowadzić Twoje konto; realizować grę terenową i weryfikować etapy (NFC, GPS i selfie); obsługiwać płatności i powiązane obowiązki podatkowe; przechowywać dowody udzielonych zgód; a także zapewniać bezpieczeństwo usługi oraz zapobiegać oszustwom i nadużyciom.

Na starcie nie prowadzimy profilowania w celach marketingowych. Jeśli w przyszłości wprowadzimy dodatkowe cele, poinformujemy Cię o tym wcześniej.

Podstawy prawne

Dane konta, selfie, geolokalizacji i płatności są przetwarzane w celu wykonania umowy uczestnictwa (art. 6 ust. 1 lit. b RODO). Płatności są przetwarzane także w celu wypełnienia obowiązków prawnych o charakterze podatkowym i księgowym (art. 6 ust. 1 lit. c RODO).

Bezpieczeństwo usługi, audyty oraz zapobieganie oszustwom opierają się na naszym prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO): realizowanym interesem jest ochrona platformy i jej użytkowników przed nieuprawnionym dostępem, manipulacją i działaniami oszukańczymi. Przechowywanie dowodu zgód wynika z zasady rozliczalności (art. 5 ust. 2 i art. 7 ust. 1 RODO).

Okres przechowywania

Dane płatności są przechowywane przez 10 lat od ostatniego zapisu, na podstawie obowiązków cywilnoprawnych i podatkowych (art. 2220 włoskiego kodeksu cywilnego). Selfie są przechowywane przez czas trwania gry oraz przez okno około 90 dni na obsługę ewentualnych reklamacji. Dane gry i geolokalizacji (znaleziska) są przechowywane przez około 12 miesięcy na obsługę reklamacji. Dzienniki audytu i bezpieczeństwa są przechowywane przez około 6 miesięcy (z możliwością przedłużenia w razie uzasadnionych potrzeb antyfraudowych).

W przypadku wniosku o usunięcie konta dane są usuwane bez zbędnej zwłoki, zwykle w ciągu około 30 dni, z zastrzeżeniem obowiązków prawnych i terminów niezbędnych do obrony prawa. Dla danych bez stałego terminu wskazujemy kryteria ustalania okresu przechowywania.

Odbiorcy i podmioty przetwarzające

Twoje dane są przetwarzane przez dostawców działających jako podmioty przetwarzające na podstawie umów zgodnych z art. 28 RODO: Supabase (baza danych i przechowywanie), Stripe (płatności) oraz Vercel (hosting). Dane mogą być również ujawniane organom podatkowym lub sądowym, gdy wymaga tego prawo. Nie sprzedajemy Twoich danych osobom trzecim.

Przekazywanie poza UE

Niektórzy dostawcy (Supabase, Stripe, Vercel) mogą przetwarzać dane w Stanach Zjednoczonych. Takie przekazania odbywają się z zastosowaniem odpowiednich zabezpieczeń, takich jak certyfikacja w ramach Ram Ochrony Danych UE-USA i/lub Standardowe Klauzule Umowne Komisji Europejskiej (Dec. UE 2021/914). Możesz poprosić o ich kopię, kontaktując się z administratorem.

Twoje prawa

Masz prawo dostępu do swoich danych oraz do ich sprostowania, usunięcia i ograniczenia przetwarzania, a także prawo do przenoszenia danych i prawo do sprzeciwu, w granicach przewidzianych przez RODO. Jeżeli przetwarzanie opiera się na zgodzie, możesz ją wycofać w dowolnym momencie (art. 7 ust. 3 RODO), bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem. Aby wykonać swoje prawa, możesz skontaktować się z administratorem pod danymi wskazanymi poniżej.

Skarga do organu nadzorczego

Jeśli uważasz, że przetwarzanie Twoich danych narusza przepisy, masz prawo wnieść skargę do organu nadzorczego. We Włoszech właściwy jest Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Rzym; e-mail protocollo@gpdp.it; e-mail certyfikowany protocollo@pec.gpdp.it; strona www.garanteprivacy.it.

Charakter podania danych

Podanie danych konta, selfie, geolokalizacji i płatności jest niezbędne do udziału w grach terenowych: odmowa uniemożliwia świadczenie usługi. Pozostałe dane są dobrowolne, a ich odmowa nie wpływa na udział.

Decyzje zautomatyzowane

Nie podejmujemy decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywołują wobec Ciebie skutki prawne lub podobnie istotne w rozumieniu art. 22 RODO: ogłoszenie zwycięzcy zawsze podlega weryfikacji przez człowieka — selfie oraz dowodów ukończenia. Stosujemy automatyczne kontrole antyfraudowe (np. spójność GPS i czasów) jako wsparcie, lecz ostateczna decyzja pozostaje po stronie człowieka.

Profil częściowo publiczny

Niektóre dane Twojego profilu mogą być widoczne dla innych uczestników, na przykład nazwa użytkownika i awatar, w szczególności w rankingach i na stronach gry. Adres e-mail, prawdziwe imię i dane kontaktowe nie są upubliczniane.

Przetwarzanie selfie

Selfie to fotograficzny obraz twarzy, badany wyłącznie przez człowieka w celu jedynego porównania wizualnego niezbędnego do weryfikacji znalezisk i zwycięzcy. Nie jest wykonywane żadne automatyczne rozpoznawanie twarzy, ani ekstrakcja wzorców biometrycznych, ani wykrywanie żywotności (liveness).

Podstawą prawną przetwarzania selfie jest wykonanie umowy uczestnictwa (art. 6 ust. 1 lit. b RODO), ponieważ selfie jest niezbędne do weryfikacji zwycięzcy, stanowiącej istotę świadczenia. Zdjęcie twarzy poddane wyłącznie wizualnej ocenie człowieka samo w sobie nie stanowi danych biometrycznych. Dla dodatkowej ochrony, gdy jest to wymagane, odrębnie zbieramy konkretną wyraźną zgodę na to przetwarzanie, którą można wycofać w dowolnym momencie.

Inspektor ochrony danych

Powołanie Inspektora ochrony danych (IOD) na podstawie art. 37 RODO nie jest obowiązkowe. W sprawach dotyczących prywatności możesz jednak napisać do nas na dedykowany adres e-mail wskazany w naszych danych kontaktowych.

Kontakt

W przypadku jakiegokolwiek wniosku dotyczącego przetwarzania Twoich danych osobowych lub wykonania Twoich praw możesz skontaktować się z administratorem pod danymi wskazanymi na dole tej strony.