Polityka Prywatności Gry „FindTheMoney”
(obowiązuje od 26 maja 2025 roku)
Niniejsza Polityka Prywatności opisuje, w jaki sposób FindTheMoney P.S.A. (dalej: „Administrator” lub „Organizator” ) gromadzi, wykorzystuje i chroni dane osobowe Użytkowników gry mobilnej „FindTheMoney” (dalej: „Gra” ). Szanujemy prywatność Użytkowników i dokładamy wszelkich starań, aby dane osobowe były przetwarzane zgodnie z obowiązującymi przepisami, w tym Rozporządzeniem (UE) 2016/679 (RODO). Polityka ma zastosowanie do wszystkich Użytkowników Gry, niezależnie od platformy (Android/iOS). Prosimy o uważne zapoznanie się z jej treścią. Jeżeli Użytkownik nie akceptuje Polityki Prywatności, powinien powstrzymać się od korzystania z Gry.
Administrator Danych i Kontakt Administratorem danych osobowych zbieranych w związku z korzystaniem z Gry jest: FindTheMoney P.S.A. z siedzibą w Warszawie, ul. Karolkowa 30, 01-207 Warszawa, Polska, wpisana do rejestru przedsiębiorców KRS (numer KRS: 0001146437 ), NIP: 5273144841, REGON 540522588 (dalej: „Administrator” albo „my” ).
W sprawach ochrony danych osobowych można kontaktować się z nami:
Mailowo: pod adresem e-mail: rodo@findthemoney.win Pisemnie: na adres siedziby Administratora podany powyżej (z dopiskiem "Dane osobowe"). Administrator może wyznaczyć Inspektora Ochrony Danych (IOD), jeżeli będzie to wymagane przepisami. Informacja o ewentualnym IOD i jego dane kontaktowe zostaną udostępnione Użytkownikom (np. na stronie internetowej lub w aktualizacji Polityki). W przypadku braku odmiennych informacji, kontakt w sprawach danych odbywa się bezpośrednio z Administratorem.
Zakres Gromadzonych Danych Podczas instalacji i korzystania z Gry możemy zbierać następujące kategorie danych osobowych Użytkowników:
3.1. Dane podawane przez Użytkownika:
Dane rejestracyjne: Jeżeli Użytkownik decyduje się założyć Konto (np. podając adres e-mail i hasło) lub później dokonuje rejestracji przy wypłacie Nagrody, gromadzimy dane takie jak: adres e-mail, hasło (przechowywane w postaci zaszyfrowanej), imię i nazwisko, data urodzenia, kraj zamieszkania/rezydencji, adres zamieszkania (jeśli wymagany do rozliczeń), numer PESEL lub inny identyfikator (jeśli wymagany prawem, np. do celów podatkowych przy dużych wygranych), oraz ewentualnie dane dokumentu tożsamości (jeśli weryfikacja wieku/tożsamości jest potrzebna). Dane do wypłaty Nagrody: przy zlecaniu wypłaty Użytkownik podaje dane potrzebne do dokonania przelewu: np. numer rachunku bankowego (IBAN), nazwę banku, lub numer telefonu powiązany z Revolut, oraz informacje związane z opodatkowaniem (np. status rezydencji podatkowej, certyfikat rezydencji). Dane kontaktowe: jeśli Użytkownik kontaktuje się z nami (np. przez e-mail, formularz wsparcia), może przekazać nam swoje dane kontaktowe (adres e-mail, numer telefonu) oraz informacje zawarte w korespondencji. Zgody marketingowe: informacje o wyrażonych przez Użytkownika zgodach (np. zgoda na otrzymywanie newslettera, zgoda na oferty partnerów) – przechowujemy fakt udzielenia zgody oraz jej zakres, a także ewentualne późniejsze wycofanie. Inne dane przekazywane świadomie: np. dane wypełnione w ankietach, konkursach dodatkowych organizowanych w grze, informacje w profilu (jeśli gra umożliwia utworzenie profilu gracza z dodatkowymi danymi, np. pseudonimem/avatara – choć pseudonim czy avatar nie muszą mieć charakteru danych osobowych, chyba że zawierają prawdziwe imię/nazwisko). Dane szczególnej kategorii: Z założenia nie gromadzimy od Użytkowników danych wrażliwych (specjalnych kategorii) typu pochodzenie rasowe, poglądy polityczne, informacje o zdrowiu itp. Prosimy, aby takich danych nie umieszczać np. w korespondencji z nami lub w nazwach użytkownika. 3.2. Dane zbierane automatycznie podczas korzystania z Gry:
Identyfikatory techniczne: unikalny identyfikator instalacji/Użytkownika przypisany przez nasz system, identyfikator urządzenia mobilnego (np. ID urządzenia, Android Advertising ID lub Apple IDFA – w zależności od ustawień prywatności urządzenia), adres IP, identyfikatory plików cookie lub podobnych technologii (jeśli używane w aplikacji). Informacje o urządzeniu i połączeniu: model i producent urządzenia, wersja systemu operacyjnego, wersja aplikacji, język urządzenia, model procesora, rozdzielczość ekranu, nazwa sieci komórkowej lub dostawcy Internetu, siła sygnału GPS, stan baterii (np. dla celów gry, by nie uruchamiać trybu AR przy niskiej baterii), itp. Dane dot. lokalizacji: aktualne dane geolokalizacyjne Użytkownika pobierane z czujników urządzenia (GPS, sieć Wi-Fi, BTS) – w zakresie w jakim Użytkownik udzielił aplikacji zgody na dostęp do lokalizacji. Dane te wykorzystywane są do funkcjonowania mechaniki Gry (pokazywanie pozycji na mapie, rozmieszczanie obiektów). Możemy rejestrować historię ruchu Użytkownika w grze (np. odwiedzone strefy, pokonany dystans) w celu analizy rozgrywki i wykrywania oszustw (np. nienaturalnie szybkie przemieszczenia). Nie ud ostępniamy jednak historycznych tras ani dokładnej lokalizacji osobom trzecim bez podstawy prawnej. Użytkownik może w każdej chwili wyłączyć dostęp do lokalizacji w ustawieniach urządzenia, ale uniemożliwi to korzystanie z gry w trybie fizycznym (a potencjalnie w ogóle, jeśli gra wymaga lokalizacji). Dane dot. aktywności w grze: zdarzenia generowane przez Użytkownika w aplikacji, takie jak: logowania i wylogowania, czas spędzony w grze, zdobyte przedmioty (klucze, skrzynie), otwarte nagrody, interakcje z innymi graczami (np. użycie kodu referencyjnego), dokonane zakupy w aplikacji (co kupiono, kiedy, za ile), wykorzystanie paliwa/drona, wyniki ewentualnych mini-gier lub quizów. Gromadzimy te dane w naszych bazach, aby świadczyć usługę (np. zapisać postęp gry) oraz w celach analitycznych. Dane transakcyjne (zakupy IAP): w przypadku zakupów w aplikacji otrzymujemy od Google/Apple informację o dokonaniu transakcji (np. unikalny ID transakcji, produkt, kwota, waluta, kraj sklepu, status płatności). Nie przetwarzamy jednak danych finansowych takich jak numery kart płatniczych – tym zajmuje się operator płatności (Google/Apple). Możemy przechowywać potwierdzenie zakupu przypisane do konta Użytkownika celem przywrócenia zakupów lub obsługi reklamacji. Logi serwera: nasze serwery automatycznie zapisują logi techniczne z niektórych zdarzeń – mogą one zawierać np. adres IP Użytkownika, znaczniki czasu dostępu, użyte zapytania do API, kody błędów, itp. Dane te służą do monitorowania poprawności działania usług i bezpieczeństwa systemu. 3.3. Dane z źródeł zewnętrznych:
Logowanie przez zewnętrzne konto: Jeśli Użytkownik połączy konto Gry z serwisem zewnętrznym (np. logowanie przez Google/Facebook/Apple), otrzymujemy od tego usługodawcy pewne informacje z profilu Użytkownika za jego zgodą – zazwyczaj imię, nazwisko i adres e-mail powiązany z kontem (oraz ewentualnie zdjęcie profilowe czy ID). Zakres przekazywanych danych zależy od ustawień prywatności Użytkownika u danego dostawcy i zgód udzielonych przy łączeniu kont. Wykorzystujemy te dane wyłącznie do uwierzytelnienia Użytkownika w grze oraz (w przypadku e-mail) jako dane kontaktowe w razie potrzeby. Informacje od innych graczy: W ramach mechanizmów Gry inni gracze mogą dostarczać pewnych informacji o Użytkowniku, np. potwierdzać, że polecił ich do gry (kod referencyjny identyfikuje konto polecającego), lub składać skargi na niewłaściwe zachowanie Użytkownika w komunikacji. Takie dane również przetwarzamy (np. fakt, że dany Użytkownik został wskazany jako zapraszający znajomego – w celu naliczenia mu bonusu). Dostawcy danych analitycznych: Możemy korzystać z narzędzi analitycznych (np. Google Analytics for Firebase, Unity Analytics itp.), które zbierają dane o interakcjach Użytkownika z aplikacją. Dane te są gromadzone anonimowo lub pod pseudonimem (np. identyfikator reklamowy) i służą nam do analizy zbiorczych trendów (np. liczba aktywnych graczy dziennie, ścieżki nawigacji w aplikacji). Szczegóły dot. używanych narzędzi podajemy w dalszej części Polityki (jeśli stosowane). Cele Przetwarzania Danych oraz Podstawy Prawne Dane osobowe Użytkowników są przetwarzane w następujących celach, na następujących podstawach prawnych:
4.1. Świadczenie usług gry (wykonanie umowy z Użytkownikiem):
Obsługa konta i rozgrywki: aby umożliwić Użytkownikowi korzystanie z Gry zgodnie z Regulaminem – tj. logowanie, udział w rozgrywce, zapis stanu gry, przyznawanie nagród, umożliwienie zakupów w aplikacji itp. – przetwarzamy dane techniczne (identyfikatory, logi) oraz dane dot. aktywności w grze. Komunikacja w ramach usługi: wysyłanie powiadomień push lub komunikatów w grze związanych z funkcjonowaniem usługi (np. informacja o pojawieniu się skrzyni w pobliżu, komunikat o konieczności aktualizacji aplikacji, wiadomość od zespołu gry dot. zmian). Te działania są niezbędne do wykonania naszej umowy – dostarczenia funkcjonalności aplikacji. Wsparcie użytkownika (support): jeżeli Użytkownik zgłasza nam problem z grą, reklamację lub prośbę o pomoc, przetwarzamy jego dane kontaktowe i treść zgłoszenia, aby rozwiązać problem. Podstawa prawna: art. 6 ust. 1 lit. b) RODO – niezbędność do wykonania umowy (Regulaminu) lub do podjęcia działań na żądanie Użytkownika przed zawarciem umowy. Korzystanie z Gry stanowi zawarcie umowy o świadczenie usług drogą elektroniczną zgodnie z Regulaminem. 4.2. Przyznawanie i rozliczanie Nagród (wykonanie umowy i obowiązek prawny):
Weryfikacja uprawnień do Nagrody: przy zgłoszeniu wypłaty Nagrody przetwarzamy dane identyfikacyjne Użytkownika (imię, nazwisko, wiek) w celu potwierdzenia, że spełnia warunki (pełnoletność, posiadanie prawa do nagrody). Możemy też weryfikować, czy nagroda nie została zdobyta w sposób sprzeczny z regulaminem (analiza danych gry – jako część zobowiązania umownego zapewnienia uczciwej gry). Realizacja wypłaty: wykorzystujemy dane płatnicze (nr konta, Revolut) do wykonania przelewu z wygraną oraz dane adresowe do wystawienia dokumentów księgowych (np. dowód wydania nagrody). Potrącenie podatku i zgłoszenia fiskalne: w razie wygranej podlegającej podatkowi wykorzystujemy dane Użytkownika, by odprowadzić zaliczkę/zryczałtowany podatek (np. identyfikator podatkowy, adres dla celów PIT-8AR) i dopełnić Podstawa prawna: art. 6 ust. 1 lit. b) RODO (wykonanie umowy – wydanie nagrody przewidzianej regulaminem jest częścią umowy z Użytkownikiem); oraz art. 6 ust. 1 lit. c) RODO(wypełnienie obowiązku prawnego ciążącego na Administratorze – np. przepisów podatkowych, ustawy o grach hazardowych jeżeli miałaby zastosowanie, czy innych regulacji nakładających obowiązek ewidencji wydanych nagród i poboru podatku). 4.3. Umożliwienie zakupów w aplikacji (wykonanie umowy):
Obsługa transakcji i dostarczenie treści cyfrowych: przetwarzamy informacje o dokonanych przez Użytkownika zakupach w aplikacji (identyfikator transakcji, zakupiony przedmiot, konto Użytkownika) w celu przypisania zakupionych Wirtualnych przedmiotów do konta i udostępnienia ich w grze. Historia transakcji: prowadzimy rejestr zakupów związanych z Kontem Użytkownika (co jest konieczne np. by przywrócić zakupione przedmioty po reinstalacji gry lub rozstrzygać ewentualne reklamacje dotyczące brakującego przedmiotu). Podstawa prawna: art. 6 ust. 1 lit. b) RODO – wykonanie umowy (dostarczenie zamówionych usług cyfrowych w zamian za opłatę jest realizacją umowy pomiędzy Użytkownikiem a nami, zawartej poprzez akceptację zakupu w Sklepie). 4.4. Wykrywanie oszustw i zapewnienie bezpieczeństwa (uzasadniony interes Administratora):
Monitoring anty-cheat: analizujemy dane techniczne i dotyczące rozgrywki (np. tempo przemieszczania, jednoczesne logowanie z różnych miast, próby modyfikacji aplikacji wykryte przez mechanizmy zabezpieczające) w celu identyfikacji naruszeń Regulaminu, nadużyć lub włamań do naszych systemów. Zapobieganie nadużyciom finansowym: przed wypłatą większych kwot możemy zweryfikować historię konta Użytkownika i jego działania pod kątem podejrzanych schematów (np. pranie pieniędzy poprzez grę nie jest raczej możliwe, ale np. masowe zakładanie kont i generowanie fikcyjnych nagród – takie rzeczy staramy się wyłapać). Bezpieczeństwo systemu i debugowanie: dane w logach serwera wykorzystujemy do wykrywania błędów aplikacji, prób nieautoryzowanego dostępu, ataków DDOS itp. To może obejmować automatyczne blokowanie określonych adresów IP lub urządzeń naruszających integralność systemu. Podstawa prawna: art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes Administratora polegający na zapewnieniu uczciwości rozgrywki, ochronie swojego modelu biznesowego przed oszustwami oraz zapewnieniu bezpieczeństwa informatycznego usługi. Te działania są również korzystne dla ogółu Użytkowników, gdyż utrzymują Gry w zbalansowany i bezpieczny sposób. 4.5. Marketing bezpośredni własnych produktów/usług (zgoda lub uzasadniony interes):
Newsletter, e-maile i powiadomienia marketingowe: za zgodą Użytkownika (wyrażoną przez zaznaczenie odpowiedniej opcji) używamy jego danych kontaktowych (adres e-mail, ewentualnie numer telefonu do SMS lub zgoda na powiadomienia push) do wysyłania informacji handlowych dotyczących Gry oraz innych produktów i usług FindTheMoney P.S.A. (np. nowych funkcjonalności, promocji dla graczy, zaproszeń do testów innych aplikacji). Personalizacja ofert: możemy korzystać z danych o aktywności Użytkownika w grze (np. poziom zaangażowania, ulubiony tryb, dokonane zakupy), by dostosować treść komunikatów marketingowych do jego potencjalnych zainteresowań (profilowanie w celach marketingowych). Np. Użytkownikowi, który często używa trybu drona, możemy wysłać ofertę promocyjną na pakiety Paliwa. Takie profilowanie odbywa się jednak wyłącznie za zgodą (wynikającą z zgody marketingowej – obejmującej również zgodę na profilowanie dla takich celów). Brak zgody spowoduje, że Użytkownik nie będzie podlegał takiemu profilowaniu i nie otrzyma spersonalizowanych ofert, a jedynie ewentualne komunikaty ogólne (lub wcale). Podstawa prawna: art. 6 ust. 1 lit. a) RODO – dobrowolna zgoda Użytkownika na przetwarzanie danych w celach marketingu bezpośredniego. W niektórych przypadkach marketing własny do istniejących użytkowników można oprzeć na uzasadnionym interesie (art. 6 ust.1 lit. f RODO, tzw. miękki opt-in), jednak w naszym przypadku, ze względu na brak wcześniejszej relacji handlowej przed rejestracją w grze, i tak prosimy o wyraźną zgodę. Użytkownik może w każdej chwili wycofać zgodę marketingową – patrz pkt 8. 4.6. Marketing zewnętrznych partnerów (zgoda): Jeżeli Użytkownik wyrazi odrębną zgodę na otrzymywanie informacji marketingowych od partnerów biznesowych Administratora, jego dane kontaktowe mogą być wykorzystywane do przesyłania takich informacji lub udostępnione wybranemu partnerowi (np. sponsorowi nagród w grze) w celu jednorazowego wysłania oferty. Np. możemy wysłać e-mail w imieniu sponsora turnieju w grze, reklamujący jego usługi, tylko jeśli Użytkownik wyraził na to zgodę. Bez zgody takie komunikaty nie będą miały miejsca.
Podstawa prawna: art. 6 ust. 1 lit. a) RODO – zgoda Użytkownika. Brak zgody na partnerów zewnętrznych nie wpływa na inne aspekty gry i nie stoi na przeszkodzie otrzymywaniu informacji od nas (jeśli wyraził zgodę na nasz marketing). Zgoda ta może być wycofana w dowolnym momencie.
4.7. Analiza i rozwój produktu (uzasadniony interes):
Statystyki korzystania z gry: przetwarzamy zbiorcze i zanonimizowane (lub pseudonimizowane) dane o sposobie korzystania z aplikacji przez Użytkowników, aby lepiej zrozumieć, które funkcje są popularne, gdzie występują trudności, jak przebiega rozwój społeczności gry itp. Np. mierzymy liczbę aktywnych Użytkowników dziennie, retencję (ile osób wraca do gry), typowe trasy w grze, procent Użytkowników, którzy dokonali zakupu itp. Te informacje pomagają nam ulepszać Grę, dostosowywać rozgrywkę, planować nowe funkcje. Testy i ulepszenia: dane o błędach i awariach aplikacji (crash reports) wykorzystujemy do diagnozy problemów i ich naprawy w kolejnych aktualizacjach. Mogą to być raporty generowane przez systemy typu Firebase Crashlytics zawierające np. model telefonu, wersję OS, stack trace błędu, ale raczej bez danych osobowych. Badania rynku (anonimowe): w pewnych przypadkach możemy poprosić użytkowników o dobrowolne wypełnienie ankiety dot. satysfakcji z gry czy preferencji (np. za drobną nagrodę w grze). Dane z ankiet są wtedy analizowane zbiorczo. Jeśli ankieta zbiera dane kontaktowe lub osobowe, traktujemy je odpowiednio do celu (np. jeśli to konkurs – dane do nagrody). Podstawa prawna: art. 6 ust. 1 lit. f) RODO – uzasadniony interes Administratora polegający na ulepszaniu swoich produktów i usług poprzez zrozumienie potrzeb Użytkowników i efektywności oferowanych funkcji. W miarę możliwości do analiz używamy danych zanonimizowanych lub przynajmniej zagregowanych, które nie identyfikują konkretnych osób. 4.8. Wypełnienie obowiązków prawnych (obowiązek prawny):
Obowiązki księgowe i podatkowe: przechowujemy dokumentację związaną z transakcjami (zakupy IAP) oraz wydanymi Nagrodami przez wymagany okres (np. 5 lat podatkowych) i udostępniamy ją organom skarbowym, jeśli zażądają. Może to obejmować dane osobowe zwycięzców większych Nagród w celu ewidencji podatkowej. Zgodność z przepisami dot. gier/konkursów: jeśli organy państwowe (np. Ministerstwo Finansów, sąd) zażądają informacji dot. organizowanych przez nas promocji i nagród, musimy je udostępnić na podstawie prawa. Wezwania prawne i postępowania: w razie prawnie uzasadnionego żądania organów ścigania lub sądu (np. postanowienie o zabezpieczeniu danych), jesteśmy zobowiązani przekazać określone dane z systemu (np. historię logowania danego Użytkownika). Podstawa prawna: art. 6 ust. 1 lit. c) RODO – wypełnienie obowiązku prawnego ciążącego na Administratorze. 4.9. Ustalenie, dochodzenie lub obrona roszczeń (uzasadniony interes): W razie sporu z Użytkownikiem lub innego konfliktu prawnego, możemy przetwarzać dane
osobowe w zakresie niezbędnym do ustalenia okoliczności sprawy, dochodzenia naszych roszczeń (np. wobec oszustów) lub obrony przed roszczeniami (np. gdyby Użytkownik wystąpił z roszczeniem przeciw nam).
Podstawa prawna: art. 6 ust. 1 lit. f) RODO – nasz uzasadniony interes polegający na ochronie naszych praw, zapewnieniu możliwości obrony i wyjaśnienia ewentualnych sporów.
Szanujemy prywatność Użytkowników, dlatego nie sprzedajemy ani nie wynajmujemy ich danych osobowych osobom trzecim. Dane mogą być udostępniane podmiotom trzecim wyłącznie w ograniczonych okolicznościach opisanych poniżej:
5.1. Podmioty przetwarzające (usługodawcy): Korzystamy z zewnętrznych firm, które wspomagają nas w świadczeniu usług, a które mogą przetwarzać dane osobowe wyłącznie na nasze polecenie i w naszym imieniu (na podstawie umowy powierzenia przetwarzania danych). Do takich podmiotów należą m.in.:
Dostawcy hostingu i infrastruktury serwerowej: przechowywanie bazy danych i serwerów gry (np. firma udostępniająca serwer w chmurze). Mogą oni potencjalnie mieć dostęp do danych, ale wykorzystują je tylko do utrzymania i zarządzania infrastrukturą. Dostawcy usług analitycznych i narzędzi deweloperskich: np. Google Firebase (Analytics, Crashlytics), który gromadzi w naszym imieniu zagregowane statystyki i raporty błędów; Unity Analytics; itp. Dane osobowe tu są z reguły pseudonimizowane (np. identyfikator urządzenia). Dostawcy powiadomień push i e - mail: np. serwis wysyłki e-maili marketingowych (jeśli korzystamy z takiego), który przetwarza adres e-mail i treść wiadomości do rozesłania newslettera; serwery powiadomień push (Firebase Cloud Messaging/Apple Push Notification) – choć one raczej otrzymują tylko token urządzenia i treść komunikatu, bez innych danych. Partnerzy techniczni płatności: Google i Apple w zakresie potwierdzania transakcji w aplikacji (otrzymują dane transakcji i pseudonim konta, ale to oni jako administratorzy przetwarzają np. dane karty kredytowej – my tego nie otrzymujemy). W przypadku wypłat: banki lub operatorzy płatności, za pomocą których realizujemy przelewy – np. nasz bank otrzyma dane odbiorcy i kwotę przelewu. Z tymi podmiotami nie łączy nas typowa umowa powierzenia (są odrębnymi administratorami np. bank), ale przekazanie danych wynika z konieczności wykonania transakcji na życzenie Użytkownika. Inni podwykonawcy: np. firmy księgowe rozliczające podatki od nagród, kancelarie prawne obsługujące nasze sprawy (mogą mieć wgląd w dokumentację zawierającą dane osobowe w razie sporu), firmy IT serwisujące aplikację itp. Każdy taki podmiot ma dostęp tylko do tych danych, które są niezbędne do realizacji jego usługi, i jest zobowiązany do zachowania poufności. 5.2. Organy publiczne: Możemy ujawnić niektóre dane, jeśli będziemy prawnie zobowiązani do ich przekazania organom władzy publicznej, np.:
Organy ścigania, sądy lub inne instytucje rządowe – na ich uzasadnione prawnie żądanie (np. w ramach postępowania karnego lub administracyjnego). Organy skarbowe – w zakresie wymaganym przepisami podatkowymi (np. udostępnienie listy laureatów loterii promocyjnej, jeżeli gra byłaby uznana za taką loterię, czy okazanie dokumentów księgowych podczas kontroli). W takich sytuacjach sprawdzamy podstawę prawną żądania i przekazujemy tylko wymagane dane.
5.3. Partnerzy marketingowi (za zgodą): Jak wspomniano, jeżeli Użytkownik wyrazi odrębną zgodę, możemy przekazać jego dane kontaktowe (np. adres e-mail) naszemu partnerowi handlowemu w celu skierowania do niego jednorazowej informacji marketingowej lub dodania go do bazy mailingowej partnera. Np. jeżeli sponsorem wybranej puli nagród jest firma X i Użytkownik zgodzi się na otrzymywanie od niej ofert, możemy przekazać jego adres e-mail firmie X, ograniczając wykorzystanie tych danych tylko do zakresu objętego zgodą (np. przesłania newslettera). Partner staje się wówczas osobnym administratorem tych danych i ponosi odpowiedzialność za ich przetwarzanie zgodnie z prawem – my zaś zapewniamy, że taka firma jest wiarygodna i zawieramy z nią umowę gwarantującą jednokrotne lub ograniczone wykorzystanie danych zgodnie z celem. Brak zgody oznacza brak takiego udostępnienia.
5.4. Połączenia społecznościowe (social media): Gra może oferować integrację z mediami społecznościowymi (np. funkcja udostępnienia wyniku na Facebooku, logowanie przez Google/Facebook). Jeśli Użytkownik skorzysta z tych opcji, pewne jego dane mogą być udostępnione tym serwisom – np. informacja, że gra w naszą grę, jego osiągnięcia (jeśli sam postanowi je udostępnić), lista znajomych grających (jeśli funkcja znajomych jest zaimplementowana). Takie udostępnienie następuje za zgodą i działaniem samego Użytkownika (np. kliknął "share on Facebook") i podlega politykom prywatności tamtych serwisów.
5.5. Zmiana właściciela lub restrukturyzacja: W przypadku, gdy FindTheMoney P.S.A. przejdzie proces transformacji, np. fuzji, przejęcia przez inny podmiot, sprzedaży przedsiębiorstwa lub jego części związanej z Grą – dane Użytkowników mogą stać się częścią przenoszonych aktywów. Nowy właściciel będzie mógł dalej wykorzystywać dane w celach identycznych jak opisane w niniejszej Polityce (lub celach, na które Użytkownik osobno wyraził zgodę), oczywiście z poszanowaniem wszelkich obowiązujących przepisów. W przypadku takiego zdarzenia poinformujemy Użytkowników o zmianie administratora danych, jeśli on nastąpi.
5.6. Publiczna widoczność pewnych danych: Zwracamy uwagę, że niektóre elementy informacji mogą być widoczne dla innych graczy w samej grze, co można uznać za ograniczone udostępnianie danych: np. jeśli Użytkownik wybierze sobie pseudonim gracza, może być on widoczny w rankingu; jeśli napisze wiadomość na czacie gry – inni w grze ją zobaczą (wraz z jego pseudonimem). Zalecamy nie używać danych osobowych jako pseudonimu (np. pełnego imienia i nazwiska) ani nie podawać w czacie danych kontaktowych, bo te informacje stają się dostępne dla społeczności i Administrator nie ma nad nimi pełnej kontroli (aczkolwiek stara się moderować i usuwać dane osobowe pojawiające się publicznie, by chronić prywatność Użytkowników).
Co do zasady staramy się przetwarzać dane osobowe Użytkowników na terytorium Europejskiego Obszaru Gospodarczego (EOG). Niemniej, niektóre zewnętrzne usługi, z których korzystamy, mogą wiązać się z przekazywaniem danych poza EOG, np.:
Google Firebase i inne usługi Google – firma Google może przechowywać dane (analizy, logi błędów) na serwerach zlokalizowanych poza EOG (np. w USA). Google uczestniczy jednak w tzw. EU-US Data Privacy Framework (następcy Tarczy Prywatności) lub stosuje standardowe klauzule umowne zatwierdzone przez Komisję Europejską, co zapewnia odpowiedni stopień ochrony danych porównywalny z UE. Apple (App Store, iCloud) – Apple, Inc. ma siedzibę w USA, aczkolwiek dane iCloud europejskich użytkowników są zwykle przechowywane w Europie. W przypadku transferu do USA, Apple również jest objęty odpowiednim mechanizmem zgodności z RODO (np. standardowe klauzule umowne). Serwery i usługi w chmurze – jeśli korzystamy z AWS (Amazon Web Services) lub Azure, te firmy mają globalną infrastrukturę. Wybieramy centra danych w UE w miarę możliwości. Jeżeli jednak w ramach backupu lub obsługi globalnej nastąpi przekazanie poza EOG, odbywa się to w oparciu o mechanizmy zgodności (Amazon i Microsoft także objęte są standardowymi klauzulami i/lub decyzjami o adekwatności). Partnerzy w zakresie płatności – np. Revolut jest firmą z siedzibą w UK (poza EOG, ale UK ma status kraju zapewniającego adekwatny poziom ochrony danych osobowych na mocy decyzji Komisji Europejskiej z dnia 28.06.2021). W razie użycia innych fintechów spoza EOG – upewnimy się, że stosują właściwe zabezpieczenia. Inne podmioty – ewentualne przekazanie np. do sponsorów w krajach poza EOG (jeśli Użytkownik wyrazi zgodę) odbędzie się dopiero po zapewnieniu odpowiednich mechanizmów (np. sponsor z USA podpisze standardowe klauzule, zanim dostanie e- mail Użytkownika). W każdym przypadku przekazania danych do państwa trzeciego (poza EOG) zapewniamy spełnienie jednej z przesłanek z Rozdziału V RODO: albo decyzja stwierdzająca odpowiedni stopień ochrony, albo standardowe klauzule umowne, ewentualnie inne dopuszczone instrumenty (kodeksy postępowania, wiążące reguły korporacyjne), a w braku ich zastosowania – będziemy prosić o wyraźną zgodę Użytkownika lub taki transfer będzie niezbędny do wykonania umowy (np. międzynarodowa płatność). Użytkownik ma prawo uzyskać kopię zastosowanych zabezpieczeń przy transferze – w tym celu prosimy o kontakt (pkt 2).
Okres Przechowywania Danych Będziemy przechowywać dane osobowe Użytkowników tylko tak długo, jak jest to potrzebne do realizacji celów określonych w niniejszej Polityce, chyba że dłuższy okres przechowywania jest wymagany lub dozwolony przez prawo. Poniżej przedstawiamy główne zasady dotyczące okresów retencji danych:
Dane konta i profilowe: Dane powiązane z Kontem Użytkownika (adres e-mail, pseudonim, dane gry) przechowujemy przez cały okres aktywności konta. Po usunięciu konta przez Użytkownika lub po ostatniej aktywności przez dłuższy okres [np. 2 lata] dane mogą zostać usunięte lub zanonimizowane, o ile nie musimy ich zachować z innych względów (np. rozliczeń). Zazwyczaj przy braku logowania przez 2 lata konto uznajemy za nieaktywne i możemy je skasować (po uprzednim powiadomieniu e-mailem, o ile to możliwe). Dane dot. transakcji w aplikacji: Informacje o zakupach IAP możemy przechowywać przez czas istnienia konta (aby umożliwić przywrócenie zakupów). Dokumentacja finansowa tych transakcji (raporty od Google/Apple) jest przechowywana osobno w księgowości przez wymagane 5 lat (zgodnie z przepisami podatkowymi). Dane dot. wypłat nagród: Dane osobowe związane z wypłatami (np. imię, nazwisko, adres, NIP, dowód wypłaty) musimy przechowywać przez okres wymagany prawem podatkowym i rachunkowym – w Polsce co do zasady 5 lat od końca roku, w którym nastąpiła transakcja podatkowa (np. wypłata w 2025 – dane do końca 2030). Po tym okresie dokumenty zawierające dane zostaną zniszczone lub zanonimizowane. Dane z rejestrów anty - fraud: Informacje o banach, naruszeniach regulaminu (np. że dane urządzenie zostało zbanowane za cheat) możemy zachować przez czas nieokreślony w bazie wewnętrznej (na potrzeby zapobiegania przyszłym naruszeniom). Jednak przypisanie tych informacji do danych osobowych konkretnej osoby (jeśli np. podała e-mail) zniknie wraz z usunięciem jej danych osobowych z konta. Logi techniczne: Logi serwera zawierające IP i zdarzenia systemowe są zwykle przechowywane przez okres do [np. 30-90 dni], chyba że zawierają informacje potrzebne do dalszego badania nadużyć – wtedy mogą być trzymane do czasu zakończenia sprawy. Dane marketingowe: o Jeśli Użytkownik zgodził się na komunikację marketingową, będziemy przetwarzać jego dane kontaktowe w tym celu do momentu wycofania zgody. Po wycofaniu zgody nie będziemy wysyłać dalszych wiadomości – ale informacja o tym, że dany adres e-mail zrezygnował, może zostać zachowana, aby nie dodać go ponownie na listę (lista blokująca). o Dane przekazane partnerowi na podstawie zgody – partner będzie przechowywał według swojej polityki, my usuniemy naszą kopię po przekazaniu (chyba że potrzebujemy dowodu przekazania zgody). Korespondencja i zgłoszenia: Maile i zgłoszenia do supportu przechowujemy tak długo, jak to potrzebne do obsługi sprawy, a po jej zamknięciu archiwizujemy na okres do 2 lat na wypadek wznowienia sprawy lub przydatności dla przyszłych podobnych problemów. Dane z Google/Facebook login: Jeśli Użytkownik połączy konto z Google/Facebook, my nie przechowujemy np. tokenów dostępowych dłużej niż potrzebne do autoryzacji sesji. Mamy zapisany identyfikator konta w tamtym serwisie by umożliwić kolejne logowanie – usuwamy go gdy Użytkownik odłączy lub skasuje konto. Materiał dowodowy w sporach: Jeżeli toczy się spór, możemy zachować wszelkie istotne dane aż do prawomocnego zakończenia sprawy i wygaśnięcia roszczeń (np. do upływu okresu przedawnienia lub wykonania wyroku). Po upływie odpowiednich okresów, dane zostaną bezpiecznie usunięte lub trwale zanonimizowane (pozbawione cech pozwalających na identyfikację). W przypadku
anonimizacji możemy nadal wykorzystywać zbiorcze, nieidentyfikujące statystyki (np. łączna liczba wypłat dokonanych w latach 2023-2025 itp.).
Zgodnie z RODO, Użytkownikom przysługują następujące prawa związane z przetwarzaniem ich danych osobowych przez Administratora:
Prawo dostępu do danych (art. 15 RODO): Użytkownik ma prawo uzyskać potwierdzenie, czy przetwarzamy jego dane osobowe, a jeśli ma to miejsce – uzyskać do nich dostęp oraz informacje m.in. o celach, kategoriach danych, odbiorcach, planowanym okresie przechowywania, przysługujących prawach, źródłach pozyskania danych (jeśli nie od osoby której dotyczą) oraz o ewentualnym zautomatyzowanym podejmowaniu decyzji. Użytkownik może zażądać kopii swoich danych osobowych (pierwsza kopia jest bezpłatna, za kolejne możemy pobrać opłatę administracyjną). Prawo sprostowania danych (art. 16 RODO): Jeśli zauważysz, że Twoje dane, które przetwarzamy, są nieprawidłowe lub niekompletne, masz prawo zażądać ich poprawienia lub uzupełnienia. W wielu przypadkach możesz samodzielnie skorygować dane profilowe poprzez ustawienia konta (np. zmiana adresu e-mail), w przeciwnym razie poprawimy je na Twoje żądanie. Prawo do usunięcia danych – "prawo do bycia zapomnianym" (art. 17 RODO): Masz prawo żądania usunięcia swoich danych osobowych, w szczególności gdy: (a) dane nie są już potrzebne do celów, w których zostały zebrane, (b) cofnąłeś zgodę na przetwarzanie i nie ma innej podstawy prawnej, (c) wnosisz skuteczny sprzeciw wobec przetwarzania (patrz niżej), (d) dane były przetwarzane niezgodnie z prawem, lub (e) muszą zostać usunięte celem wywiązania się z obowiązku prawnego. Pamiętaj jednak, że nie zawsze będziemy mogli od razu usunąć wszystkie Twoje dane np. może istnieć prawny obowiązek ich dalszego przechowywania (dane dot. wypłaconych nagród – do celów podatkowych) lub inna nadrzędna podstawa (np. interes prawny obrony przed roszczeniami). W takiej sytuacji poinformujemy Cię o zakresie, w jakim nie możemy spełnić żądania i dlaczego. Zwracamy też uwagę, że usunięcie danych oznacza zazwyczaj usunięcie konta i utratę dostępu do Gry – o czym mowa w Regulaminie. Jeżeli nadal posiadasz niewypłacone Nagrody, nie będziemy mogli ich wydać po usunięciu danych, bo stracimy możliwość identyfikacji i kontaktu. Prawo do ograniczenia przetwarzania (art. 18 RODO): Możesz zażądać, abyśmy ograniczyli przetwarzanie Twoich danych (czyli jedynie je przechowywali, ewentualnie wykonując minimalne operacje za Twoją zgodą lub do ochrony roszczeń), jeśli: (a) kwestionujesz prawidłowość danych – na okres pozwalający nam je sprawdzić; (b) przetwarzanie jest niezgodne z prawem, ale sprzeciwiasz się usunięciu danych i w zamian żądasz ograniczenia; (c) nie potrzebujemy już tych danych, ale Ty potrzebujesz ich do ustalenia, dochodzenia lub obrony roszczeń; lub (d) wniosłeś sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy nasze prawnie uzasadnione podstawy są nadrzędne wobec Twojego sprzeciwu. Gdy przetwarzanie zostanie ograniczone, będziemy mogli (poza przechowywaniem) przetwarzać te dane tylko za Twoją zgodą lub w celu ustalenia/dochowania roszczeń, ochrony praw innej osoby lub z ważnych względów publicznych. Poinformujemy Cię zanim uchylimy takie ograniczenie. Prawo do przenoszenia danych (art. 20 RODO): W zakresie, w jakim Twoje dane przetwarzamy na podstawie zgody lub umowy (art. 6 ust.1 lit. a lub b RODO) oraz w sposób zautomatyzowany – masz prawo otrzymać od nas swoje dane osobowe, które nam dostarczyłeś, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. CSV, JSON). Możesz też wskazać, byśmy przesłali te dane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Prawo to nie obejmuje danych przetwarzanych w oparciu o inne podstawy (np. uzasadniony interes) ani danych, które stworzyliśmy w oparciu o Twoje aktywności (np. wewnętrzne analizy). Prawo sprzeciwu wobec przetwarzania (art. 21 RODO): Masz prawo w dowolnym momencie wnieść sprzeciw z przyczyn związanych z Twoją szczególną sytuacją wobec przetwarzania Twoich danych, które opieramy na naszym prawnie uzasadnionym interesie (art. 6 ust.1 lit. f RODO) – np. profilowania w celach anty- cheat lub analitycznych. Po otrzymaniu sprzeciwu, rozpatrzymy, czy istnieją ważne, prawnie uzasadnione podstawy do dalszego przetwarzania, które są nadrzędne wobec Twoich interesów, praw i wolności, lub czy dane są nam niezbędne do ewentualnego ustalenia, dochodzenia lub obrony roszczeń. Jeśli nie – zaprzestaniemy takiego przetwarzania. Jeżeli sprzeciw dotyczy przetwarzania na potrzeby marketingu bezpośredniego , masz prawo sprzeciwić się w dowolnym momencie i my wówczas zaprzestaniemy takiego przetwarzania niezwłocznie (tutaj nie ma wymogu "szczególnej sytuacji" – marketing to zawsze Twój wybór). Sprzeciw wobec marketingu możesz wyrazić np. klikając link wypisu w stopce otrzymanej wiadomości lub zmieniając ustawienia konta. Prawo do wycofania zgody: Jeżeli jakiekolwiek Twoje dane przetwarzamy na podstawie zgody (np. zgoda marketingowa, zgoda na udostępnienie partnerowi, zgoda na dane lokalizacji w tle jeśli by taka była wymagana), masz prawo w dowolnym momencie taką zgodę wycofać. Wycofanie zgody nie wpływa na legalność przetwarzania dokonanego przed jej cofnięciem (czyli wcześniejsze wysłane maile czy przetwarzanie lokalizacji do momentu cofnięcia były legalne). Po wycofaniu zaprzestaniemy przetwarzania danych w zakresie objętym tą zgodą. Zgodę marketingową można wycofać tak jak wyżej (wypis, ustawienia), zgodę na lokalizację zmieniając ustawienia urządzenia, inne zgody – kontaktując się z nami. Prawo niepodlegania zautomatyzowanemu podejmowaniu decyzji (art. 22 RODO): Co do zasady nie podejmujemy wobec Użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywołują skutki prawne lub podobnie istotnie na nich wpływają. Pewne funkcje Gry (np. automatyczne zawieszenie konta przy wykryciu nieprawidłowości) mogą wydawać się automatyczną decyzją – jednak ostateczne decyzje o nałożeniu np. permanentnego bana są weryfikowane przez personel. Jeśli uważasz, że w Twoim przypadku nastąpiła w pełni zautomatyzowana decyzja bez ludzkiej interwencji i nie zgadzasz się z nią, masz prawo się od niej odwołać i zażądać ponownego rozpatrzenia przy udziale człowieka. Aby skorzystać ze swoich praw, skontaktuj się z nami (dane kontaktowe w pkt 2). Spełnimy Twoje żądania w najszybszym możliwym terminie, nie później niż w ciągu miesiąca od otrzymania (w skomplikowanych przypadkach termin ten może zostać przedłużony do 2 miesięcy, o czym Cię poinformujemy). Zwracamy uwagę, że przed realizacją niektórych żądań będziemy musieli odpowiednio Cię zweryfikować (aby upewnić się, że osoba zgłaszająca żądanie jest tą, za którą się podaje i ma prawo do tych danych). Weryfikacja może
polegać np. na zalogowaniu się do konta i wysłaniu wiadomości z aplikacji, bądź podaniu nam pewnych informacji referencyjnych.
Jeśli uznasz, że przetwarzanie Twoich danych osobowych odbywa się z naruszeniem przepisów prawa, przysługuje Ci prawo wniesienia skargi do organu nadzorczego. W Polsce organem właściwym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO) , adres: ul. Stawki 2, 00-193 Warszawa. Możesz też zgłosić sprawę do organu w kraju UE, w którym mieszkasz lub pracujesz, jeśli inny niż Polska.
Dokładamy wszelkich starań, aby zapewnić odpowiedni stopień bezpieczeństwa Twoich danych. W tym celu wdrożyliśmy następujące środki i praktyki:
Środki techniczne: zastosowaliśmy środki bezpieczeństwa, takie jak szyfrowanie komunikacji pomiędzy aplikacją a serwerem (protokoły HTTPS/TLS), szyfrowanie wrażliwych danych w bazie (np. hasła przechowywane z użyciem silnych funkcji skrótu bcrypt), firewalle i systemy wykrywania włamań chroniące nasze serwery, regularne aktualizacje oprogramowania i weryfikacje podatności. Dane przechowywane w urządzeniu (np. token logowania) są zabezpieczone mechanizmami systemu operacyjnego (sandbox aplikacji). Środki organizacyjne: dostęp do danych osobowych Użytkowników mają wyłącznie upoważnieni pracownicy/współpracownicy, którzy muszą mieć ten dostęp, aby wykonywać swoje obowiązki (zasada need-to-know). Osoby te są zobowiązane do zachowania poufności. Prowadzimy logi dostępu do systemów z danymi, aby móc monitorować ewentualne nieautoryzowane próby. Regularnie szkolimy zespół z zakresu ochrony danych i bezpieczeństwa. Minimalizacja danych: zbieramy tylko te dane, które są nam rzeczywiście potrzebne do wskazanych celów. W miarę możliwości używamy pseudonimizacji lub anonimizacji (np. do analiz statystycznych posługujemy się zagregowanymi danymi, a nie pełnymi danymi konkretnych osób). Kopie zapasowe: wykonujemy szyfrowane kopie zapasowe bazy danych, aby w razie awarii lub błędu móc odtworzyć dane (to też element bezpieczeństwa – zapobieganie ich utracie). Dostęp do backupów jest ograniczony i są one przechowywane bezpiecznie. Ocena ryzyka: na bieżąco oceniamy zagrożenia dla danych (np. możliwość ataku na aplikację) i dostosowujemy zabezpieczenia. Mamy procedury reagowania na incydenty – w razie naruszenia ochrony danych osobowych, które mogłoby skutkować ryzykiem dla praw Użytkowników, powiadomimy odpowiednio Użytkowników oraz organ nadzorczy zgodnie z art. 33-34 RODO. Bezpieczeństwo po stronie Użytkownika: Pamiętaj, że również Ty odgrywasz rolę w ochronie swoich danych. Dbaj o bezpieczeństwo swojego urządzenia: używaj blokady ekranu, nie udostępniaj go nieznajomym, utrzymuj aktualne oprogramowanie. Nie dziel się publicznie swoimi danymi osobowymi w ramach gry (np. na czacie). Jeżeli korzystasz z loginu i hasła – utrzymuj hasło w tajemnicy i nie używaj takiego samego hasła jak w innych usługach. My nigdy nie poprosimy Cię o hasło w wiadomości, uważaj na próby phishingu podszywające się pod nas. W razie podejrzeń, że ktoś nieuprawniony uzyskał dostęp do Twojego konta, natychmiast nas powiadom. 10. Pliki Cookie i Technologie Śledzące
Gra mobilna może wykorzystywać lokalnie pewne techniczne mechanizmy podobne do plików cookies (np. przechowywanie tokenu sesji w pamięci urządzenia). Nie jest to jednak strona internetowa, więc tradycyjne cookies przeglądarkowe nie mają tu zastosowania, z wyjątkiem naszej strony informacyjnej (jeśli taka istnieje, np. strona www z regulaminem), która może używać cookies do podstawowych celów (np. zapamiętanie ustawień języka).
W samej aplikacji mobilnej:
Używamy Firebase Analytics i ewentualnie podobnych narzędzi – które mogą wykorzystywać identyfikator reklamowy urządzenia (Advertising ID na Androidzie / IDFA na iOS) albo własny identyfikator analityczny do śledzenia aktywności wewnątrz aplikacji. Ten identyfikator jest pseudonimowy i można go zresetować w ustawieniach urządzenia. Użytkownik na iOS może w ogóle zablokować śledzenie (ATT - App Tracking Transparency, gdzie aplikacja poprosi o pozwolenie na dostęp do IDFA; my ewentualnie wyświetlimy taką prośbę jeśli wymagają tego zasady Apple dla Analytics). Na Androidzie można w ustawieniach prywatności wyłączyć personalizację reklam i zresetować identyfikator. Push notifications tokens: urządzenie generuje token (ciąg znaków) dla odbierania powiadomień push. Przechowujemy ten token powiązany z kontem, aby wysyłać powiadomienia. Ten token można uznać za identyfikator techniczny; jeśli Użytkownik nie chce dostawać pushy, może je wyłączyć w ustawieniach aplikacji lub systemu – wtedy nie będziemy z niego korzystać. GPS/Bluetooth/WiFi: To nie są cookies, ale warto wspomnieć – gra korzysta z GPS, a ewentualnie z BT/WiFi (np. do poprawy dokładności lokalizacji). Użytkownik zawsze może to wyłączyć na poziomie systemu, choć ograniczy to funkcjonalność gry. Aktualnie nie stosujemy w aplikacji mechanizmów śledzenia cross-app (między różnymi aplikacjami) poza standardowymi funkcjami analitycznymi. Nie udostępniamy też danych z analityki zewnętrznym reklamodawcom (gra nie ma klasycznych reklam od podmiotów trzecich, opiera się na własnych mechanizmach).
Jeśli w przyszłości wprowadzimy technologie mogące zbierać dodatkowe informacje (np. integracja z Facebook SDK dla share'owania, co może ustawiać pewne tokeny), poinformujemy o tym w Polityce.
prywatność Użytkowników jest dla nas bardzo ważna i stale staramy się podnosić standardy jej ochrony. Dziękujemy za poświęcenie czasu na zapoznanie się z Polityką Prywatności. Życzymy miłej i bezpiecznej rozgrywki w FindTheMoney!