zaloguj się zarejestruj się
Prywatność, bezpieczeństwo i przejrzyste zasady przetwarzania danych
Ten dokument wyjaśnia, w jaki sposób Bdmbet gromadzi, wykorzystuje, przechowuje i chroni dane osobowe użytkowników. Opis obejmuje zarówno informacje podawane podczas rejestracji lub kontaktu z serwisem, jak i dane techniczne związane z korzystaniem ze strony, plikami cookies oraz zabezpieczeniami konta. Celem Polityki jest przedstawienie zasad w sposób konkretny — bez niejasnych skrótów i bez ukrywania istotnych informacji w przypisach.
W dalszej części opisano administratora danych, kategorie przetwarzanych informacji, cele i podstawy prawne przetwarzania, zasady udostępniania danych, prawa użytkownika, politykę cookies, środki bezpieczeństwa oraz reguły przekazywania danych poza Europejski Obszar Gospodarczy. Dokument ma pomóc zrozumieć nie tylko to, jakie dane są przetwarzane, ale też po co i przez jaki czas pozostają w systemie.
Korzystanie z platformy oznacza akceptację zasad opisanych poniżej. Jeżeli użytkownik nie zgadza się z którymkolwiek z postanowień, powinien powstrzymać się od dalszego korzystania z usług. Serwis jest przeznaczony wyłącznie dla osób pełnoletnich — 18+.
Poniżej znajduje się skrócony układ tej Polityki. Dzięki temu można od razu przejść do części dotyczącej administratora, praw użytkownika, cookies, bezpieczeństwa albo przekazywania danych poza EOG.
Administratorem danych osobowych przetwarzanych w ramach serwisu jest spółka
Bdmbet Operations Sp. z o.o.z siedzibą pod adresemul. Złota 59, 00-120 Warszawa, Polska, wpisana do rejestru przedsiębiorców pod numeremKRS 0000854321. Podmiot odpowiada za zgodne z prawem, rzetelne i przejrzyste przetwarzanie danych użytkowników w zakresie niezbędnym do świadczenia usług, obsługi konta, bezpieczeństwa platformy oraz realizacji obowiązków wynikających z przepisów prawa.Administrator określa cele i sposoby przetwarzania danych, a także wdraża środki organizacyjne oraz techniczne służące ochronie informacji przed utratą, nieuprawnionym dostępem, modyfikacją lub ujawnieniem. W praktyce oznacza to, że każda operacja wykonywana na danych osobowych musi mieć uzasadnioną podstawę prawną i pozostawać proporcjonalna do celu, dla którego dane zostały zebrane.
W sprawach dotyczących ochrony danych, realizacji praw wynikających z RODO albo pytań o sposób przetwarzania informacji można skontaktować się z zespołem odpowiedzialnym za prywatność za pośrednictwem adresu e-mail: [email protected]. Zgłoszenia dotyczące dostępu do danych, ich sprostowania, ograniczenia przetwarzania lub usunięcia są analizowane indywidualnie, z uwzględnieniem obowiązków prawnych ciążących na administratorze.
Kontakt w sprawach prywatności
E-mail: [email protected]
Adres korespondencyjny:
ul. Złota 59, 00-120 Warszawa, PolskaZakres przetwarzanych informacji zależy od tego, w jaki sposób użytkownik korzysta z serwisu. Część danych jest podawana bezpośrednio — na przykład przy rejestracji konta, kontakcie z obsługą lub weryfikacji tożsamości — a część powstaje automatycznie podczas korzystania ze strony, aplikacji i narzędzi bezpieczeństwa. Administrator nie gromadzi danych „na zapas”; każda kategoria informacji musi pozostawać powiązana z konkretnym celem biznesowym, prawnym albo technicznym.
Do podstawowych kategorii należą dane identyfikacyjne, kontaktowe, finansowe, techniczne oraz informacje związane z aktywnością użytkownika w obrębie platformy. Obejmuje to między innymi dane potrzebne do potwierdzenia wieku, wykrywania nadużyć, zabezpieczenia konta, obsługi płatności, a także realizacji obowiązków wynikających z przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.
W szczególnych przypadkach administrator może przetwarzać również dokumenty lub informacje uzupełniające, jeżeli są one niezbędne do zakończenia procedury KYC, rozpatrzenia reklamacji, ustalenia źródła środków albo potwierdzenia bezpieczeństwa konta. Zakres takich danych ogranicza się do minimum potrzebnego do realizacji określonego obowiązku.
Dane osobowe są przetwarzane wyłącznie wtedy, gdy istnieje do tego wyraźna podstawa prawna i jasno określony cel. W praktyce oznacza to, że administrator nie wykorzystuje informacji użytkownika w sposób dowolny ani oderwany od realnego działania platformy. Każda operacja na danych musi pozostawać związana z obsługą konta, bezpieczeństwem serwisu, wykonaniem obowiązków ustawowych albo interesem administratora, który nie narusza praw i wolności użytkownika.
Najczęściej przetwarzanie opiera się na konieczności wykonania umowy lub podjęcia działań przed jej zawarciem, zgodnie z art. 6 ust. 1 lit. b RODO. Dotyczy to między innymi zakładania i prowadzenia konta, logowania, obsługi płatności, rozliczania transakcji, kontaktu w sprawach technicznych oraz zapewnienia ciągłości działania usług. Jeżeli użytkownik nie poda danych wymaganych do realizacji tych czynności, korzystanie z części funkcji serwisu może okazać się niemożliwe lub ograniczone.
Odrębną podstawę stanowi obowiązek prawny ciążący na administratorze, o którym mowa w art. 6 ust. 1 lit. c RODO. Chodzi przede wszystkim o przepisy związane z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, identyfikacją wieku użytkownika, prowadzeniem dokumentacji księgowej, rozpatrywaniem reklamacji, współpracą z uprawnionymi organami oraz dochowaniem wymogów licencyjnych. W takich przypadkach przetwarzanie nie zależy od swobodnej decyzji administratora, lecz wynika wprost z obowiązujących regulacji.
W określonych sytuacjach podstawą przetwarzania może być także prawnie uzasadniony interes administratora, zgodnie z art. 6 ust. 1 lit. f RODO. Obejmuje to na przykład ochronę przed oszustwami, monitorowanie ryzyka nadużyć, zabezpieczenie infrastruktury IT, dochodzenie roszczeń, archiwizację dowodową oraz analizę zdarzeń wpływających na bezpieczeństwo użytkowników. Każdorazowo oceniane jest jednak to, czy taki interes nie prowadzi do nadmiernej ingerencji w prywatność osoby, której dane dotyczą.
Jeżeli przetwarzanie opiera się na zgodzie, użytkownik jest o tym informowany odrębnie. Dotyczy to zwykle działań fakultatywnych, takich jak wybrane komunikaty marketingowe, personalizacja określonych treści lub użycie niektórych rodzajów cookies. Zgoda może zostać cofnięta w dowolnym momencie, bez wpływu na zgodność z prawem wcześniejszego przetwarzania. Cofnięcie zgody nie wpływa również na operacje wykonywane na podstawie innych przepisów lub obowiązków ustawowych.
Najważniejsze cele przetwarzania
Bdmbet nie handluje danymi osobowymi i nie przekazuje ich podmiotom trzecim w sposób dowolny. Udostępnienie informacji może nastąpić wyłącznie wtedy, gdy jest to konieczne do prawidłowego świadczenia usług, zabezpieczenia transakcji, realizacji obowiązków prawnych albo ochrony uzasadnionych interesów administratora i użytkowników. Zakres takich działań ogranicza się do minimum potrzebnego do osiągnięcia określonego celu.
Odbiorcami danych mogą być przede wszystkim dostawcy usług płatniczych, operatorzy systemów weryfikacji tożsamości, podmioty zapewniające infrastrukturę techniczną, partnerzy odpowiedzialni za bezpieczeństwo IT, dostawcy narzędzi analitycznych oraz kancelarie lub doradcy wspierający administratora w realizacji obowiązków prawnych. Jeżeli przetwarzanie odbywa się w imieniu administratora, podmiot zewnętrzny działa na podstawie umowy powierzenia i wyłącznie według udokumentowanych instrukcji.
Dane mogą zostać przekazane także organom publicznym, regulatorom, instytucjom uprawnionym do prowadzenia kontroli lub podmiotom uczestniczącym w procedurach AML, jeżeli obowiązek taki wynika z przepisów prawa albo prawidłowo zgłoszonego żądania. W takich sytuacjach administrator ocenia podstawę prawną żądania i dąży do przekazania wyłącznie tych informacji, które są faktycznie wymagane. Każde udostępnienie danych poza standardową obsługą serwisu jest rozpatrywane z uwzględnieniem zasady proporcjonalności i poufności.
Typowi odbiorcy danych
Każda osoba, której dane są przetwarzane, zachowuje kontrolę nad informacjami dotyczącymi jej tożsamości, aktywności i kontaktu z serwisem. RODO nie sprowadza się wyłącznie do obowiązków administratora — przyznaje również użytkownikowi konkretne uprawnienia, z których można skorzystać w dowolnym momencie, o ile nie zachodzą przesłanki ustawowe ograniczające ich zakres. Wniosek nie musi mieć skomplikowanej formy, ale powinien pozwalać na jednoznaczne ustalenie, czego dotyczy żądanie.
Użytkownik może zażądać informacji o tym, czy jego dane są przetwarzane, uzyskać kopię danych, poprawić nieścisłości, ograniczyć określone operacje albo sprzeciwić się przetwarzaniu w przypadkach przewidzianych przez prawo. W określonych sytuacjach przysługuje także prawo do usunięcia danych lub do ich przeniesienia do innego administratora. Jeżeli przetwarzanie odbywa się na podstawie zgody, zgoda może zostać wycofana bez wpływu na zgodność z prawem działań podjętych wcześniej.
Każde zgłoszenie jest analizowane indywidualnie, a administrator może poprosić o dodatkowe potwierdzenie tożsamości, jeżeli jest to niezbędne do ochrony danych przed ujawnieniem osobie nieuprawnionej. Jeżeli użytkownik uzna, że jego prawa zostały naruszone, ma również prawo wnieść skargę do właściwego organu nadzorczego zajmującego się ochroną danych osobowych.
Jak złożyć wniosek
Najprościej skontaktować się z administratorem przez adres wskazany w tej Polityce i opisać, z którego prawa użytkownik chce skorzystać. Im bardziej precyzyjne zgłoszenie, tym sprawniejsze rozpatrzenie wniosku.
Ochrona danych osobowych opiera się na połączeniu środków technicznych, organizacyjnych i proceduralnych. Serwis wykorzystuje szyfrowanie transmisji, kontrolę dostępu do zasobów, monitorowanie zdarzeń bezpieczeństwa oraz rozwiązania ograniczające ryzyko nieuprawnionego użycia danych. Każdy dostęp do informacji odbywa się według zasady minimalizacji uprawnień — pracownik lub podmiot współpracujący może przetwarzać wyłącznie te dane, które są rzeczywiście potrzebne do wykonania określonego zadania.
Połączenie z platformą zabezpieczone jest z użyciem aktualnych standardów kryptograficznych, a systemy informatyczne podlegają regularnym przeglądom, testom i ocenie odporności na incydenty. Administrator stosuje także rozwiązania służące wykrywaniu prób nadużyć, nieautoryzowanych logowań, nietypowych operacji finansowych oraz zagrożeń związanych z przejęciem konta. Środki ochrony są dostosowywane do charakteru danych, poziomu ryzyka oraz wymagań prawnych wynikających z RODO i przepisów sektorowych.
Retencja danych nie ma charakteru bezterminowego. Informacje są przechowywane przez okres niezbędny do realizacji celu, dla którego zostały zebrane, a następnie usuwane, anonimizowane albo archiwizowane tylko wtedy, gdy wymagają tego przepisy prawa, obowiązki licencyjne, księgowe lub przepisy AML. W praktyce część danych związanych z kontem i transakcjami może być przechowywana także po zakończeniu relacji z użytkownikiem, jeżeli wymaga tego konieczność obrony przed roszczeniami, prowadzenia kontroli lub wykonania obowiązków wobec organów publicznych.
Najważniejsze środki ochrony
Co do zasady dane użytkowników są przetwarzane na terenie Europejskiego Obszaru Gospodarczego albo w innej jurysdykcji zapewniającej porównywalny poziom ochrony. Zdarzają się jednak sytuacje, w których część usług technicznych, analitycznych lub bezpieczeństwa wymaga współpracy z dostawcami działającymi poza EOG. Sam fakt takiego transferu nie oznacza automatycznie obniżenia standardu ochrony, ale wymaga zastosowania dodatkowych zabezpieczeń prawnych i organizacyjnych.
Jeżeli przekazanie danych poza EOG okaże się konieczne, administrator dąży do tego, aby odbywało się ono wyłącznie do podmiotów gwarantujących odpowiedni poziom bezpieczeństwa. Podstawą transferu mogą być w szczególności standardowe klauzule umowne zatwierdzone przez Komisję Europejską, decyzje stwierdzające odpowiedni stopień ochrony albo inne mechanizmy dopuszczone przez przepisy RODO. Zakres przekazywanych danych jest ograniczany do minimum niezbędnego do wykonania konkretnej usługi.
Każdy transfer podlega ocenie ryzyka i nie jest stosowany automatycznie tylko dlatego, że dany dostawca działa globalnie. Administrator analizuje charakter danych, cel przekazania, lokalizację odbiorcy oraz dostępne środki techniczne i kontraktowe. Jeśli wymagają tego przepisy lub okoliczności sprawy, użytkownik może uzyskać dodatkowe informacje o podstawach transferu i rodzaju zabezpieczeń stosowanych przy przekazywaniu danych poza EOG.
Zabezpieczenia przy transferze danych
Polityka Prywatności może być okresowo aktualizowana, jeżeli zmienią się przepisy prawa, wymogi licencyjne, sposób świadczenia usług albo rozwiązania techniczne stosowane w serwisie. Celem takich zmian nie jest ukrywanie nowych obowiązków w treści dokumentu, lecz utrzymanie jego zgodności z rzeczywistym sposobem przetwarzania danych oraz z obowiązującymi standardami ochrony prywatności.
Jeżeli modyfikacje mają charakter istotny, użytkownicy mogą zostać poinformowani o nich za pośrednictwem komunikatu na stronie, wiadomości e-mail lub innej formy kontaktu przewidzianej dla konta. Aktualna wersja Polityki obowiązuje od daty jej publikacji i zastępuje wcześniejsze wydania w zakresie objętym zmianą. Z tego względu warto zaglądać do tego dokumentu regularnie — zwłaszcza przed ponownym skorzystaniem z usług po dłuższej przerwie.