Polityka Prywatności

1. Administrator danych

Administratorem Twoich danych osobowych jest YASTUNING OÜ, z siedzibą pod adresem Pae 25-47, 11414 Tallinn, Estonia, numer rejestrowy 14016370, numer VAT EE102354272. W sprawach dotyczących danych osobowych możesz skontaktować się z nami pod adresem: [email protected].

2. Dane, które zbieramy

Zbieramy następujące kategorie danych:

• –Dane konta: adres e-mail, imię i nazwisko, hash hasła.
• –Profil gracza: miasto, numer telefonu, zdjęcie profilowe, poziom umiejętności sportowych, wskaźnik niezawodności (0–100).
• –Profil właściciela: nazwa firmy, NIP, adres, dane kontaktowe, logo firmy.
• –Dane rezerwacji: wybrany kort, data i godzina, kwota, status obecności.
• –Dane rozliczeniowe: nazwa firmy, NIP i adres na potrzeby wystawiania faktur.

Wskaźnik niezawodności jest obliczany automatycznie na podstawie historii rezerwacji i stanowi profilowanie w rozumieniu art. 4 pkt 4 RODO. Wynik jest widoczny dla innych użytkowników w kontekście otwartych gier. Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy matchmakingu). Masz prawo sprzeciwu wobec profilowania zgodnie z art. 21 RODO - kontakt: [email protected].

Wskaźnik może wpływać na możliwość dołączenia do otwartych gier przez innych graczy, co stanowi automatyczne podejmowanie decyzji w rozumieniu art. 22 RODO. Masz prawo zażądać udziału człowieka w procesie decyzyjnym - kontakt: [email protected].

3. Dane techniczne i płatnicze

Gromadzimy dane techniczne: adres IP (do celów bezpieczeństwa i logów), tokeny JWT przechowywane w pamięci lokalnej przeglądarki (localStorage).

Dane płatnicze przetwarzane są przez Revolut - operatora spełniającego standard PCI DSS Level 1. Z webhooka Revolut przechowujemy wyłącznie cztery ostatnie cyfry karty oraz miesiąc i rok jej ważności. Pełne dane karty (numer, CVV) nigdy nie są przechowywane przez KORTY ONLINE.

4. Podstawy prawne przetwarzania

Twoje dane przetwarzamy na następujących podstawach (art. 6 RODO):

• –Wykonanie umowy (art. 6 ust. 1 lit. b) - konto, rezerwacje, matchmaking.
• –Uzasadniony interes administratora (art. 6 ust. 1 lit. f) - bezpieczeństwo systemu, logowanie zdarzeń, zapobieganie nadużyciom.
• –Obowiązek prawny (art. 6 ust. 1 lit. c) - przechowywanie faktur przez 7 lat zgodnie z estońskim prawem rachunkowym.
• –Zgoda (art. 6 ust. 1 lit. a) - Google Analytics (możesz ją wycofać w dowolnym momencie).

W zakresie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f): interes polega na zapewnieniu bezpieczeństwa technicznego Platformy i ochronie przed nadużyciami. Interes ten przeważa nad minimalną ingerencją w prywatność wynikającą z przechowywania zanonimizowanych logów IP przez 12 miesięcy.

5. Odbiorcy danych i przekazywanie

Przekazujemy dane następującym podmiotom zewnętrznym:

Przekazania poza EOG - podstawa: Standardowe Klauzule Umowne UE (SCC):
• Google LLC (USA) - uwierzytelnianie OAuth (e-mail, imię, identyfikator Google; podstawa: art. 6 ust. 1 lit. b RODO) oraz Google Analytics (analityka - wyłącznie po Twojej zgodzie; podstawa: art. 6 ust. 1 lit. a RODO). Polityka prywatności Google: policies.google.com/privacy.
• Cloudflare Inc. (USA) - weryfikacja bezpieczeństwa Turnstile CAPTCHA (transmitowane dane behawioralne sesji); podstawa: uzasadniony interes (art. 6 ust. 1 lit. f RODO).

Podmioty przetwarzające i odbiorcy w EOG:
• Revolut Ltd (Wielka Brytania - objęta decyzją o adekwatności UE nr 2021/1772) - realizacja płatności. Revolut działa jako podmiot przetwarzający (art. 28 RODO) przy realizacji płatności na zlecenie KORTY ONLINE oraz jako niezależny administrator dla celów własnych wymogów regulacyjnych (AML, zapobieganie oszustwom). Polityka prywatności Revolut: revolut.com/legal/privacy.
• OpenStreetMap Foundation (Wielka Brytania) - wyświetlanie map oraz geokodowanie adresów (autocomplete); Wielka Brytania objęta decyzją o adekwatności UE; żadne dane osobowe poza standardowym żądaniem HTTP (adres IP) nie są przekazywane.
• Geoapify GmbH (Niemcy, UE) - geokodowanie i autocomplete adresów przy dodawaniu obiektów; przekazywane są wpisane zapytania adresowe oraz adres IP; podstawa: uzasadniony interes (art. 6 ust. 1 lit. f RODO).

6. Pliki cookies i localStorage

Używamy następujących technologii:

• –Plik cookie is_auth (własny, techniczny) - informuje przeglądarkę o aktywnej sesji; ważność 7 dni; nie wymaga zgody.
• –Pliki Google Analytics _ga, _gat, _gid - śledzenie analityczne; ważność do 2 lat; wymagają Twojej zgody.
• –Pliki Cloudflare Turnstile - weryfikacja zabezpieczeń; sesyjne; nie wymagają zgody.
• –localStorage: token dostępu JWT (ważność 5 minut) i token odświeżania JWT (ważność 7 dni).

Możesz zarządzać plikami cookies w ustawieniach przeglądarki.

7. Okresy przechowywania danych

Przechowujemy dane przez następujące okresy:

• –Konto użytkownika - do momentu jego usunięcia.
• –Historia rezerwacji - 3 lata od daty rezerwacji (uzasadniony interes administratora, art. 6 ust. 1 lit. f RODO - obrona przed roszczeniami w granicach ogólnego okresu przedawnienia).
• –Faktury i dane rozliczeniowe - 7 lat (obowiązek prawny, art. 6 ust. 1 lit. c RODO; estońskie prawo rachunkowe, Raamatupidamise seadus). Dane osobowe zawarte w fakturach są anonimizowane w chwili usunięcia konta - sama faktura jest przechowywana w formie zanonimizowanej przez wymagany okres.
• –Logi bezpieczeństwa - 12 miesięcy.

Po upływie tych okresów dane są usuwane lub anonimizowane.

8. Twoje prawa (RODO)

Na podstawie RODO (art. 15–22) przysługują Ci następujące prawa:

• –Dostęp do danych.
• –Sprostowanie nieprawidłowych danych.
• –Usunięcie danych (prawo do bycia zapomnianym).
• –Ograniczenie lub sprzeciw wobec przetwarzania.
• –Przenoszenie danych w ustrukturyzowanym formacie.
• –Wycofanie zgody bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
• –Sprzeciw wobec profilowania (art. 21 RODO) - dotyczy wskaźnika niezawodności.
• –Prawa związane z automatycznym podejmowaniem decyzji (art. 22 RODO) - dotyczy wskaźnika niezawodności.

Wnioski kieruj na adres: [email protected] - odpowiedź otrzymasz w ciągu 30 dni.

Przysługuje Ci prawo skargi do właściwego organu nadzorczego:
• Ochrona danych osobowych (RODO): Andmekaitse Inspektsioon, Estonia - aki.ee
• Ochrona konsumentów i usługi elektroniczne: Tarbijakaitse ja Tehnilise Järelevalve Amet (TTJA), Estonia - ttja.ee
• Organ w kraju zamieszkania: np. Prezes UODO (Polska) - uodo.gov.pl

9. Bezpieczeństwo danych

Stosujemy następujące środki ochrony danych:

• –Szyfrowanie transmisji HTTPS.
• –Szyfrowanie haseł algorytmem Argon2.
• –Tokeny JWT z krótkim czasem ważności.
• –Blokada kont przy wielokrotnych błędnych próbach logowania.
• –Standard PCI DSS Level 1 w zakresie danych kart płatniczych (Revolut).

Mimo stosowanych zabezpieczeń żaden system informatyczny nie jest w pełni odporny na zagrożenia zewnętrzne.

10. Zmiany Polityki Prywatności

Możemy aktualizować niniejszą Politykę. O istotnych zmianach poinformujemy Cię drogą mailową z co najmniej 14-dniowym wyprzedzeniem. Data ostatniej aktualizacji widnieje w nagłówku dokumentu. Jeśli nie akceptujesz zmian, możesz usunąć swoje konto przed ich wejściem w życie. Dalsze korzystanie po tej dacie oznacza zapoznanie się z aktualną treścią Polityki.

11. Naruszenia ochrony danych

W przypadku naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko dla Twoich praw i wolności, poinformujemy Cię o tym bez zbędnej zwłoki, zgodnie z art. 34 RODO.

Każde naruszenie ochrony danych jest niezwłocznie badane. Organ nadzorczy (Andmekaitse Inspektsioon) jest powiadamiany w ciągu 72 godzin od wykrycia naruszenia, o ile naruszenie może powodować ryzyko dla praw i wolności osób fizycznych - zgodnie z art. 33 RODO.