Postanowienia ogólne i zakres Polityka prywatności

Niniejsza Polityka prywatności określa zasady przetwarzania danych osobowych w ramach serwisu dostępnego pod adresem gamingowetalenty.pl/privacy-policy, związanego z działalnością Pelican Casino. Dokument ma zastosowanie do danych pozyskiwanych podczas korzystania z witryny, komunikacji elektronicznej oraz realizacji funkcjonalności przewidzianych w serwisie. Celem niniejszego dokumentu jest zapewnienie przejrzystości, rozliczalności oraz zgodności z wymogami prawa obowiązującego na terytorium Rzeczypospolitej Polskiej, w tym z rozporządzeniem (UE) 2016/679. Postanowienia stosuje się niezależnie od urządzenia końcowego, w tym komputera, tabletu lub telefonu, oraz niezależnie od wykorzystywanego systemu operacyjnego. W zakresie, w jakim obowiązują przepisy szczególne prawa krajowego dotyczące ochrony danych lub łączności elektronicznej, mają one pierwszeństwo przed postanowieniami niniejszego dokumentu.

Administrator danych i odpowiedzialność

Administratorem danych osobowych jest podmiot odpowiedzialny za cele i sposoby przetwarzania danych w serwisie, działający pod marką Pelican Casino. Administrator decyduje o środkach organizacyjnych i technicznych oraz zapewnia zgodność procesów z zasadami legalności, rzetelności i przejrzystości. Odpowiedzialność administratora obejmuje także dobór podmiotów przetwarzających oraz nadzór nad realizacją umów powierzenia przetwarzania danych. W przypadkach, w których administrator współdecyduje o celach przetwarzania wraz z innym podmiotem, zakres współodpowiedzialności jest ustalany w uzgodnieniach wewnętrznych. W ramach zarządzania ryzykiem administrator dokonuje okresowych przeglądów procesów co najmniej 1 raz na 12 miesięcy albo częściej, gdy wymagają tego zmiany operacyjne lub prawne.

Podstawy prawne przetwarzania danych

Przetwarzanie danych osobowych odbywa się na podstawie przesłanek z art. 6 ust. 1 RODO, adekwatnych do kontekstu danej czynności. W przypadku prowadzenia korespondencji, obsługi zapytań oraz zapewnienia ciągłości funkcjonowania serwisu podstawą może być prawnie uzasadniony interes administratora polegający na utrzymaniu komunikacji i bezpieczeństwa. W zakresie, w jakim przetwarzanie jest niezbędne do zawarcia lub wykonania umowy dotyczącej usług dostępnych w serwisie, podstawą jest art. 6 ust. 1 lit. b RODO. Jeżeli określone funkcjonalności wymagają zgody, zgoda stanowi odrębną podstawę prawną i może zostać wycofana w dowolnym czasie, bez wpływu na zgodność z prawem przetwarzania sprzed wycofania. W określonych sytuacjach przetwarzanie może wynikać z obowiązku prawnego, w szczególności w zakresie rozliczeń, przeciwdziałania nadużyciom oraz realizacji obowiązków wobec organów publicznych w granicach prawa.

Cele przetwarzania i minimalizacja danych

Przetwarzanie danych odbywa się w celach jasno określonych, zgodnych z zasadą ograniczenia celu oraz adekwatności. Dane są wykorzystywane do zapewnienia funkcjonalności serwisu, utrzymania ciągłości usług, obsługi zgłoszeń, analizy incydentów oraz zapobiegania nadużyciom. Administrator ogranicza zakres przetwarzania do danych niezbędnych, stosując zasadę minimalizacji oraz kontrolę dostępu opartą na upoważnieniach. W ramach wewnętrznych procedur administrator stosuje progi dostępowe i segmentację danych, tak aby ograniczyć ryzyko nieuprawnionego ujawnienia, w tym poprzez podział ról i rejestrowanie operacji. Pelican Kasyno może przetwarzać dane także w celu ustalenia, dochodzenia lub obrony roszczeń, co jest uzasadnione potrzebą ochrony prawnej i bezpieczeństwa obrotu.

Kategorie danych osobowych objęte przetwarzaniem

Kategorie danych obejmują dane identyfikacyjne oraz kontaktowe, w szczególności imię i nazwisko, adres e mail, numer telefonu, a także identyfikatory techniczne przypisane do sesji lub urządzenia. Przetwarzane mogą być dane dotyczące aktywności w serwisie, takie jak znaczniki czasu logowania, historia interakcji z funkcjonalnościami oraz informacje o błędach, które wspierają diagnostykę. W zależności od rodzaju relacji prawnej mogą być przetwarzane dane rozliczeniowe i transakcyjne, w tym potwierdzenia operacji, numer rachunku w formie zmaskowanej oraz podstawowe dane księgowe. Administrator co do zasady nie przetwarza szczególnych kategorii danych z art. 9 RODO, a jeśli wyjątkowo dojdzie do ich przekazania w treści korespondencji, dane są ograniczane i przetwarzane wyłącznie w zakresie niezbędnym do obsługi sprawy. W kontekście zapewnienia bezpieczeństwa Pelican Kasyno może przetwarzać dane związane z podejrzeniami nadużyć, w tym wskaźniki ryzyka oraz dane o niezgodnych działaniach.

Dane techniczne i identyfikatory sieciowe

Danymi technicznymi są w szczególności adres IP, identyfikatory plików cookie, identyfikator urządzenia, typ przeglądarki oraz informacje o systemie operacyjnym. Dane te są przetwarzane w celu zapewnienia poprawnego działania serwisu, diagnostyki błędów, przeciwdziałania atakom oraz prowadzenia statystyk. Zakres danych technicznych jest zależny od konfiguracji urządzenia i ustawień przeglądarki, a część informacji może być ograniczona przez funkcje prywatności. Administrator dąży do stosowania pseudonimizacji w przypadkach, w których pełna identyfikacja nie jest wymagana do realizacji celu. W ramach Polityka prywatności wskazuje się, że dane techniczne mogą być łączone z innymi danymi wyłącznie, gdy jest to uzasadnione i zgodne z prawem.

Dane komunikacyjne i treść zgłoszeń

Danymi komunikacyjnymi są informacje przekazywane w ramach formularzy, wiadomości e mail oraz kontaktu z obsługą, obejmujące temat, treść oraz metadane korespondencji. Dane te służą do udzielania odpowiedzi, weryfikacji kontekstu sprawy, prowadzenia rejestrów zgłoszeń oraz zapewnienia jakości obsługi. Administrator ogranicza dostęp do treści zgłoszeń do osób upoważnionych, a w razie potrzeby może anonimizować fragmenty niezwiązane z istotą sprawy. W określonych przypadkach dane komunikacyjne mogą być wykorzystywane jako dowód w postępowaniu dotyczącym reklamacji, incydentów lub roszczeń, przy zachowaniu zasady proporcjonalności. Pelican Kasyno utrzymuje wewnętrzne procedury klasyfikacji zgłoszeń, aby zapewnić spójność i rozliczalność obsługi.

Sposoby pozyskiwania danych i źródła

Pozyskiwanie danych następuje poprzez czynności wykonywane w serwisie, w tym rejestrację konta, logowanie, korzystanie z funkcjonalności oraz przesyłanie zapytań. Dane mogą być także zbierane automatycznie poprzez mechanizmy teleinformatyczne, które rejestrują zdarzenia bezpieczeństwa i parametry działania. W ograniczonych przypadkach dane mogą pochodzić od dostawców usług wspierających, takich jak operatorzy płatności lub dostawcy weryfikacji, w zakresie niezbędnym do realizacji usługi oraz spełnienia wymogów zgodności. Administrator może pozyskiwać dane z publicznie dostępnych rejestrów wyłącznie w granicach dopuszczalnych prawem i wyłącznie, gdy jest to konieczne do weryfikacji tożsamości lub przeciwdziałania nadużyciom. W niniejszym dokumencie, zgodnie z Polityka prywatności, opisano także relację między danymi podanymi bezpośrednio a danymi pozyskiwanymi w sposób automatyczny.

Dane przekazywane bezpośrednio przez osobę, której dane dotyczą

Dane przekazywane bezpośrednio obejmują informacje wprowadzone w formularzach, przekazane w wiadomości lub udostępnione w trakcie obsługi zgłoszenia. Administrator zakłada, że osoba przekazująca dane jest uprawniona do ich przekazania, przy czym w razie wątpliwości może żądać wyjaśnień ograniczonych do minimum. Jeżeli przekazane dane są nadmiarowe w stosunku do celu, administrator może je usunąć albo zanonimizować, o ile nie jest to sprzeczne z obowiązkiem prawnym. W przypadkach, w których podanie danych jest warunkiem realizacji funkcjonalności, brak danych może skutkować brakiem możliwości realizacji danej czynności, co jest oceniane indywidualnie. Pelican Kasyno rejestruje moment przekazania danych i kanał komunikacji w celu zapewnienia rozliczalności.

Dane gromadzone automatycznie

Dane gromadzone automatycznie obejmują logi systemowe, zdarzenia bezpieczeństwa, informacje o sesji oraz dane statystyczne związane z ruchem w serwisie. Przetwarzanie tych danych jest uzasadnione potrzebą zapewnienia integralności, dostępności i poufności systemów, a także stabilności usług. Logi mogą obejmować znaczniki czasu z dokładnością do 1 sekundy, identyfikatory zdarzeń oraz parametry techniczne, które umożliwiają analizę incydentów. Administrator może stosować mechanizmy wykrywania nadużyć, w tym analizę powtarzalnych prób dostępu lub nietypowych wzorców, z zachowaniem zasady minimalizacji. W ramach Polityka prywatności wskazuje się, że automatyczne gromadzenie danych nie służy podejmowaniu decyzji wywołujących skutki prawne wyłącznie w sposób zautomatyzowany, chyba że przepis prawa dopuszcza takie rozwiązanie i zapewnione są odpowiednie gwarancje.

Udostępnianie danych i odbiorcy

Administrator może ujawniać dane osobowe podmiotom przetwarzającym działającym na jego zlecenie, takim jak dostawcy hostingu, narzędzi analitycznych, obsługi zgłoszeń oraz usług bezpieczeństwa. Udostępnienie następuje wyłącznie w zakresie niezbędnym do realizacji celu oraz na podstawie umów powierzenia, które przewidują wymagania co do poufności, integralności i audytowalności. Dane mogą zostać ujawnione organom publicznym, sądom lub uprawnionym instytucjom, jeżeli obowiązek wynika z przepisów prawa lub wiążącego żądania, z zachowaniem zasady legalizmu. W relacjach gospodarczych Pelican Kasyno może przekazywać dane doradcom prawnym, audytorom lub podmiotom windykacyjnym, o ile jest to konieczne do ochrony prawnej i rozliczeń. Administrator nie sprzedaje danych oraz nie udostępnia ich w celach marketingu podmiotów trzecich, a każde przekazanie jest ewidencjonowane w ramach wewnętrznych rejestrów.

Transfery międzynarodowe danych

Przekazywanie danych poza Europejski Obszar Gospodarczy może mieć miejsce wyłącznie, gdy jest to niezbędne w związku z korzystaniem z infrastruktury lub usług dostawców o zasięgu międzynarodowym. W takim przypadku administrator zapewnia mechanizmy zgodności, w tym odpowiedni poziom ochrony na podstawie decyzji stwierdzającej odpowiedni stopień ochrony albo standardowych klauzul umownych. Ocena ryzyka transferu jest dokonywana z uwzględnieniem charakteru danych, celu transferu oraz środków dodatkowych, takich jak szyfrowanie i ograniczenia dostępu. Administrator dąży do lokalizacji przetwarzania w EOG, o ile jest to racjonalnie możliwe z punktu widzenia dostępności i bezpieczeństwa. Postanowienia dotyczące transferów są interpretowane zgodnie z Polityka prywatności oraz z aktualnymi wytycznymi Europejskiej Rady Ochrony Danych.

Okresy przechowywania danych i usuwanie

Okres przechowywania danych jest ograniczony do czasu niezbędnego do realizacji celów, dla których dane zostały zebrane, a następnie dane są usuwane lub anonimizowane. Dane związane z obsługą korespondencji mogą być przechowywane przez okres do 24 miesięcy od zakończenia sprawy, o ile nie zachodzi potrzeba dłuższego przechowywania wynikająca z roszczeń. Logi bezpieczeństwa i zdarzenia techniczne są co do zasady przechowywane przez okres od 90 dni do 180 dni, zależnie od kategorii zdarzenia oraz wymogów operacyjnych. Dane rozliczeniowe mogą być przechowywane przez okres wynikający z obowiązków prawnych, w tym przepisów podatkowych, co w praktyce może oznaczać 5 lat liczonych zgodnie z właściwymi regulacjami. Pelican Kasyno stosuje procedury okresowego przeglądu danych oraz automatyczne reguły retencji w celu ograniczenia ryzyka nadmiernego przechowywania.

Kryteria ustalania retencji

Kryteriami ustalania okresu przechowywania są w szczególności rodzaj danych, cel przetwarzania, charakter relacji prawnej oraz potencjalny okres przedawnienia roszczeń. W przypadku danych przetwarzanych na podstawie zgody, dane są przechowywane do czasu wycofania zgody albo do momentu, gdy przestaną być potrzebne do realizacji celu, zależnie od tego, co nastąpi wcześniej. Dla danych technicznych istotne znaczenie mają cykle bezpieczeństwa, wymagania detekcji incydentów oraz potrzeba utrzymania ciągłości działania usług. Administrator może stosować krótsze okresy retencji w przypadku danych o niskiej przydatności dowodowej, jeżeli nie narusza to zasad rozliczalności. Zasady te opisuje Polityka prywatności w sposób umożliwiający weryfikację zgodności z zasadą ograniczenia przechowywania.

Środki bezpieczeństwa i zarządzanie incydentami

Administrator wdraża środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiadający ryzyku, w tym kontrolę dostępu, rejestrowanie operacji oraz mechanizmy ochrony przed nieuprawnioną modyfikacją danych. Stosowane mogą być zabezpieczenia kryptograficzne, w tym szyfrowanie transmisji, a także pseudonimizacja wybranych zbiorów, jeżeli jest to celowe. Dostęp do danych jest przyznawany zgodnie z zasadą najmniejszych uprawnień, a upoważnienia podlegają przeglądom co najmniej co 6 miesięcy. Administrator utrzymuje procedury reagowania na incydenty i w razie naruszenia ochrony danych dokonuje oceny ryzyka dla praw i wolności osób fizycznych oraz podejmuje działania naprawcze. W ujęciu organizacyjnym Pelican Kasyno zakłada cel redukcji ryzyka operacyjnego o 25 procent w wyniku przeglądów kontroli, przy czym wskaźnik ten stanowi element wewnętrznego modelu zarządzania ryzykiem, a nie gwarancję braku incydentów.

Zgłaszanie naruszeń i dokumentowanie działań

W przypadku naruszenia ochrony danych administrator prowadzi dokumentację obejmującą charakter naruszenia, jego skutki oraz zastosowane środki. Jeżeli zachodzi obowiązek notyfikacji do organu nadzorczego, administrator dokonuje zgłoszenia bez zbędnej zwłoki, z uwzględnieniem wymogów wynikających z RODO. Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności, administrator może podjąć działania informacyjne wobec osób, których dane dotyczą, z uwzględnieniem właściwego kanału komunikacji. W ramach postępowań incydentowych analizowane są przyczyny źródłowe oraz wdrażane są działania zapobiegawcze, w tym zmiany konfiguracji lub szkolenia. Uregulowania te pozostają spójne z Polityka prywatności oraz z zasadą rozliczalności.

Pliki cookie oraz podobne technologie służą do zapewnienia działania serwisu, utrzymania sesji, zapamiętywania preferencji oraz prowadzenia statystyk. W zależności od rodzaju pliku cookie podstawą prawną może być prawnie uzasadniony interes administratora w zakresie cookies niezbędnych albo zgoda, gdy technologia nie jest konieczna do świadczenia usługi. Ustawienia dotyczące cookie mogą być zarządzane przez przeglądarkę, a w niektórych przypadkach przez narzędzie zarządzania zgodami, jeżeli jest dostępne w serwisie. Identyfikatory cookie mogą być powiązane z danymi technicznymi, jednak administrator dąży do ograniczenia identyfikowalności poprzez skracanie okresów ważności oraz stosowanie rozwiązań prywatnościowych. Pelican Kasyno stosuje rozróżnienie na cookies sesyjne oraz trwałe, przy czym okres działania cookies trwałych może wynosić od 7 dni do 12 miesięcy, zależnie od funkcji.

Cookies niezbędne są wykorzystywane w celu zapewnienia podstawowych funkcji, w tym bezpieczeństwa i utrzymania sesji, i ich wyłączenie może utrudnić działanie serwisu. Cookies preferencyjne umożliwiają zapamiętanie ustawień, takich jak język lub wybrane opcje prywatności, o ile takie funkcje są dostępne. Cookies analityczne mogą być stosowane w celu tworzenia zbiorczych statystyk i raportów, przy czym administrator dąży do stosowania konfiguracji ograniczających zakres danych i identyfikowalność. W przypadku wykorzystywania rozwiązań zewnętrznych administrator zapewnia odpowiednie umowy oraz ocenia ich zgodność z prawem, w tym w zakresie transferów międzynarodowych. Postanowienia niniejszego fragmentu są częścią Polityka prywatności i podlegają aktualizacji wraz ze zmianami technologicznymi.

Prawa osób, których dane dotyczą

Prawa osób, których dane dotyczą, wynikają z RODO i obejmują prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania oraz przenoszenia danych, o ile przesłanki prawne są spełnione. Osobie przysługuje także prawo wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie, z przyczyn związanych z jej szczególną sytuacją. W przypadku przetwarzania na podstawie zgody przysługuje prawo wycofania zgody w dowolnym czasie, bez wpływu na wcześniejsze przetwarzanie. Administrator udziela informacji o działaniach podjętych w związku z żądaniem bez zbędnej zwłoki, co do zasady w terminie 30 dni, z możliwością przedłużenia w przypadkach przewidzianych prawem. Pelican Kasyno zapewnia mechanizmy weryfikacji tożsamości wnioskodawcy, aby ograniczyć ryzyko nieuprawnionego dostępu do danych.

Skarga do organu nadzorczego i ograniczenia praw

Osobie, której dane dotyczą, przysługuje prawo wniesienia skargi do organu nadzorczego właściwego w Polsce, w szczególności do Prezesa Urzędu Ochrony Danych Osobowych. Realizacja niektórych praw może podlegać ograniczeniom wynikającym z przepisów prawa, w tym w zakresie obowiązków przechowywania danych lub ochrony praw i wolności innych osób. W sytuacji, gdy administrator odmawia podjęcia działań na żądanie, przedstawia uzasadnienie oraz informuje o możliwości wniesienia skargi, o ile jest to wymagane. Administrator dąży do udzielania odpowiedzi w sposób zrozumiały i kompletny, przy jednoczesnym zachowaniu tajemnic prawnie chronionych. Zasady te wynikają z Polityka prywatności i pozostają spójne z zasadą rzetelności przetwarzania.

Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator może stosować ograniczone mechanizmy automatycznej oceny zdarzeń technicznych w celu ochrony serwisu, wykrywania nadużyć oraz zapobiegania nieuprawnionemu dostępowi. Tego rodzaju operacje co do zasady nie prowadzą do podejmowania decyzji wywołujących skutki prawne wobec osoby wyłącznie w sposób zautomatyzowany, lecz stanowią element wsparcia analizy bezpieczeństwa. Jeżeli w ramach określonych procesów doszłoby do profilowania w rozumieniu RODO, administrator zapewnia odpowiednie gwarancje, w tym możliwość uzyskania interwencji człowieka oraz zakwestionowania rozstrzygnięcia, o ile przepisy mają zastosowanie. Kryteria oceny ryzyka są projektowane w sposób ograniczający błędy i dyskryminację, z uwzględnieniem testów jakości oraz przeglądów. Pelican Kasyno utrzymuje dokumentację logiki przetwarzania w zakresie niezbędnym do zapewnienia rozliczalności i wykazania zgodności.

Procedury kontaktu i realizacji wniosków

Wnioski dotyczące danych osobowych, w tym żądania realizacji praw, mogą być składane drogą elektroniczną poprzez kanały kontaktowe udostępnione w serwisie gamingowetalenty.pl. Administrator może wymagać dodatkowych informacji w celu potwierdzenia tożsamości, przy czym żądany zakres jest ograniczany do danych koniecznych i adekwatnych. W przypadku skomplikowanych wniosków administrator może poinformować o przedłużeniu terminu odpowiedzi, wskazując przyczyny oraz planowany czas realizacji, zgodnie z przepisami RODO. Jeżeli wniosek jest oczywiście nieuzasadniony lub nadmierny, administrator może pobrać opłatę odpowiadającą kosztom administracyjnym albo odmówić podjęcia działań, z zachowaniem warunków ustawowych. Pelican Kasyno prowadzi rejestr wniosków i działań podjętych w ich następstwie, aby zapewnić możliwość audytu oraz rozliczalność procesów.

Zmiany dokumentu i zobowiązanie zgodności w Polityka prywatności

Niniejsza Polityka prywatności może ulegać zmianom w przypadku modyfikacji procesów przetwarzania, zmian technologicznych, wprowadzenia nowych funkcjonalności lub zmian przepisów prawa mających wpływ na obowiązki administratora. Administrator utrzymuje zasadę, zgodnie z którą każda zmiana jest oceniana pod kątem jej wpływu na prawa i wolności osób fizycznych, a w razie potrzeby przeprowadzana jest ponowna ocena ryzyka oraz aktualizacja środków zabezpieczających. Aktualna wersja dokumentu jest udostępniana w serwisie pod stałym adresem gamingowetalenty.pl/privacy-policy, a data obowiązywania zmiany wynika z treści opublikowanej wersji. Jeżeli zmiana ma istotny charakter, administrator może zastosować dodatkowy kanał poinformowania, w szczególności komunikat w serwisie, z zachowaniem zasady proporcjonalności. Pelican Kasyno deklaruje utrzymanie zgodności z RODO, przepisami krajowymi dotyczącymi ochrony danych oraz zasadami poufności i integralności informacji, a także prowadzenie dokumentacji umożliwiającej wykazanie zgodności. Postanowienia dotyczące aktualizacji, w tym zakres zmian i ich uzasadnienie, stanowią integralny element Polityka prywatności i podlegają okresowemu przeglądowi co najmniej raz na 12 miesięcy, aby zapewnić aktualność i adekwatność względem praktyk przetwarzania oraz wymogów nadzorczych.