Polityka prywatności

1. Administrator danych

Administratorem danych osobowych jest operator Serwisu („Administrator”) dostępnego pod adresem erplay.pl. Kontakt: kontakt@erplay.pl.

2. Zakres przetwarzania

• Dane konta: e-mail, nick (publiczny), hasło (zaszyfrowane), identyfikatory.
• Dane profilu i preferencji: avatar/zdjęcie profilowe, opis profilu, ustawienia sesji (np. widełki długości odpowiedzi, czas na odpis), preferencje i tagi tematyczne (np. kinki w ERP lub universa w RP).
• Dane aktywności w module opowiadań: opowiadania i szkice, komentarze, reakcje, polubienia, tipy oraz metadane publikacji.
• Dane z logowania przez zewnętrznych dostawców tożsamości (np. Google OAuth): adres e-mail konta Google, podstawowe dane profilu (imię / nazwa profilu, zdjęcie profilowe), identyfikator konta Google oraz identyfikator używany do logowania (openid).
• Dane rozliczeniowe Twórców: dane firmy / płatnicze wymagane przez operatorów płatności.
• Dane transakcyjne: informacje o zakupach, statusach, wypłatach, zwrotach.
• Dane związane ze zgłoszeniami naruszeń i moderacją treści: treść zgłoszenia, identyfikatory kont i sesji, informacje o podjętych działaniach (np. blokady, usunięcie treści) oraz podstawowe dane kontaktowe osoby zgłaszającej, jeżeli zostały podane.
• Dane techniczne: adres IP, identyfikatory urządzeń, logi, cookies.
• Dane wejściowe do Narzędzi AI: prompty, parametry i wybory formularza, dane profilu przekazane do generacji, metadane techniczne żądania oraz wygenerowane wyniki (tekst/obrazy), o ile Użytkownik korzysta z tych funkcji.
• Dane urządzenia mobilnego: tokeny push, identyfikatory instalacji aplikacji, wersja aplikacji i systemu, podstawowe logi diagnostyczne związane z dostarczaniem powiadomień.

3. Cele i podstawy prawne

• Założenie i obsługa konta (art. 6 ust. 1 lit. b RODO – niezbędność do umowy).
• Realizacja zamówień, rozliczenia, wypłaty (art. 6 ust. 1 lit. b i c RODO).
• Wsparcie, bezpieczeństwo, przeciwdziałanie nadużyciom oraz obsługa zgłoszeń treści i moderacja (w tym zgłoszeń opowiadań; notice & takedown) (art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora).
• Marketing własny Serwisu (art. 6 ust. 1 lit. f RODO); newsletter – tylko za zgodą (art. 6 ust. 1 lit. a).
• Spełnienie obowiązków księgowych i podatkowych (art. 6 ust. 1 lit. c RODO).
• Wyświetlanie reklam oraz pomiar skuteczności kampanii – wyłącznie w zakresie dozwolonym przez prawo i zgodnie z ustawieniami cookies Użytkownika (co do zasady na podstawie zgody – art. 6 ust. 1 lit. a RODO – w zakresie cookies marketingowych / reklamowych).
• Świadczenie funkcji Narzędzi AI (generowanie treści i obrazów na żądanie Użytkownika) oraz rozliczanie zużycia pakietów/limitów (art. 6 ust. 1 lit. b RODO; w zakresie logów bezpieczeństwa także art. 6 ust. 1 lit. f RODO).

3A. Logowanie przez Google (OAuth)

Serwis ERPlay umożliwia logowanie za pomocą konta Google z wykorzystaniem protokołu OAuth. W związku z tym możemy uzyskiwać dostęp do danych użytkownika Google w następującym, ograniczonym zakresie:

• Adres e-mail – używany do założenia konta, logowania oraz kontaktu z użytkownikiem.
• Podstawowe dane profilu (imię / nazwa profilu, zdjęcie profilowe, identyfikator konta Google) – używane do wyświetlania profilu w ERPlay oraz powiązania konta w Serwisie z kontem Google.
• Identyfikator OpenID – wykorzystywany do potwierdzenia tożsamości użytkownika i obsługi logowania.

W ramach integracji z Google korzystamy wyłącznie z podstawowych uprawnień (scopes) niezbędnych do logowania: openid, email, profile. Nie uzyskujemy dostępu do żadnych innych danych Google (w szczególności nie czytamy treści wiadomości e-mail, plików z Google Drive, listy kontaktów, kalendarza itp.).

Sposób wykorzystania danych Google

• utworzenie nowego konta użytkownika w ERPlay,
• logowanie oraz ponowne uwierzytelnianie użytkownika,
• wyświetlanie podstawowych informacji o profilu (np. nazwa, avatar) w ramach interfejsu Serwisu.

Dane z Google nie są wykorzystywane do żadnych innych celów, w szczególności do marketingu zewnętrznego, profilowania poza ERPlay ani do trenowania modeli sztucznej inteligencji.

Przechowywanie i udostępnianie danych Google

Przechowujemy jedynie dane niezbędne do obsługi konta: adres e-mail, podstawowe dane profilu (nazwa, avatar – jeśli dostępny) oraz identyfikatory techniczne konta. Nie przechowujemy tokenów dostępu w sposób umożliwiający nam samodzielne wykonywanie operacji na koncie Google użytkownika poza procesem logowania.

Dane Google użytkownika nie są sprzedawane ani udostępniane podmiotom trzecim w celach własnych tych podmiotów. Dostęp do nich mogą mieć wyłącznie podmioty świadczące na rzecz Administratora usługi techniczne (np. dostawca hostingu lub usług uwierzytelniania), na podstawie umowy powierzenia przetwarzania danych i wyłącznie w zakresie niezbędnym do świadczenia tych usług.

4. Okres przechowywania

• Dane konta – przez czas trwania umowy i do upływu terminów przedawnienia roszczeń.
• Dane księgowe – zgodnie z przepisami (zwykle 5 lat).
• Dane związane ze zgłoszeniami naruszeń i moderacją treści – przez okres niezbędny do rozpatrzenia zgłoszenia, ochrony przed roszczeniami, zapewnienia rozliczalności działań moderacyjnych oraz wykonywania obowiązków prawnych (co do zasady nie dłużej niż przez okres przedawnienia potencjalnych roszczeń wynikających z danego zdarzenia).
• Logi bezpieczeństwa – do 12 miesięcy, chyba że przepisy stanowią inaczej.

5. Odbiorcy danych

Dane mogą być przekazywane podmiotom przetwarzającym na zlecenie Administratora (np. hosting, płatności, analityka, księgowość) wyłącznie w zakresie niezbędnym do realizacji usług. Przy płatnościach dane przekażemy operatorom (w szczególności Przelewy24 (PayPro SA)) zgodnie z ich regulaminami i politykami prywatności, a przy logowaniu z wykorzystaniem zewnętrznych dostawców tożsamości – takim podmiotom jak Google (OAuth), zgodnie z zasadami tych usług.

W zakresie reklam i pomiaru kampanii dane techniczne (np. adres IP, identyfikatory cookies, identyfikatory reklamowe, informacje o urządzeniu i przeglądarce) mogą być przekazywane dostawcom technologii reklamowych (np. sieciom reklamowym i dostawcom pomiaru — w tym dostawcom obsługującym formaty typu popunder) wyłącznie zgodnie z ustawieniami cookies i w zakresie niezbędnym do wyświetlania reklam oraz rozliczania i pomiaru kampanii. Przykładowo Serwis może korzystać z sieci reklamowej ExoClick (oraz powiązanych domen technicznych służących do dostarczania kreacji), o ile Użytkownik wyrazi zgodę na kategorię „Reklamy”.

W przypadku korzystania z Narzędzi AI dane wejściowe (np. prompt, parametry generacji, wybrane pola profilu), metadane techniczne zapytania oraz wynik generacji mogą być przetwarzane przez zewnętrznych dostawców infrastruktury AI, w szczególności fal.ai (generowanie obrazów) oraz OpenRouter (generowanie treści tekstowych), wyłącznie w zakresie niezbędnym do realizacji funkcji zamówionej przez Użytkownika. Przetwarzanie odbywa się na podstawie umów powierzenia lub równoważnych mechanizmów prawnych wymaganych przez RODO.

6. Przekazywanie poza EOG

Część dostawców usług używanych przez Serwis (w tym dostawcy narzędzi AI) może przetwarzać dane poza Europejskim Obszarem Gospodarczym. W takich przypadkach Administrator stosuje wymagane prawem mechanizmy zabezpieczające, w szczególności standardowe klauzule umowne (SCC), oraz weryfikuje adekwatność poziomu ochrony danych.

7. Prawa osób

• dostęp do danych i kopii,
• sprostowanie,
• usunięcie („bycie zapomnianym”),
• ograniczenie przetwarzania,
• przenoszenie danych,
• sprzeciw (w tym marketing),
• wycofanie zgody,
• skarga do PUODO.

8. Cookies

Serwis wykorzystuje cookies niezbędne do działania, a także (za zgodą) analityczne i marketingowe. Zgody możesz w każdej chwili zmienić w Ustawieniach ciasteczek lub poprzez link w stopce.

Integracje Narzędzi AI (fal.ai, OpenRouter) działają po stronie serwera (server-to-server) i same w sobie nie zapisują dodatkowych cookies w przeglądarce Użytkownika. Cookies mogą pochodzić od innych usług osadzonych po stronie frontendu (np. analityka/reklamy), zgodnie z ustawieniami zgody.

8A. Aplikacja mobilna i powiadomienia push

• Aplikacja mobilna ERPlay może przetwarzać dane techniczne urządzenia niezbędne do działania konta, sesji i funkcji komunikacyjnych.
• Dla działania powiadomień push przetwarzamy token urządzenia oraz informacje o platformie (Android/iOS), a także zdarzenia doręczenia lub odczytu powiadomienia.
• Wysyłka powiadomień push może odbywać się z wykorzystaniem zewnętrznych dostawców infrastruktury push (np. Expo/Firebase), wyłącznie w zakresie niezbędnym do dostarczenia powiadomienia.
• Aplikacja mobilna może korzystać z lokalnej pamięci urządzenia (np. bezpiecznego storage) do utrzymania sesji użytkownika i ustawień.
• Użytkownik może wyłączyć powiadomienia push w ustawieniach systemowych urządzenia lub ustawieniach aplikacji, co może ograniczyć działanie funkcji realtime.

9. Zabezpieczenia

Stosujemy środki odpowiednie do ryzyka: szyfrowanie haseł, kontrola dostępu, monitoring logów.

10. Kontakt

W sprawach prywatności pisz: kontakt@erplay.pl. Zobacz też: Regulamin serwisu.

11. Zmiany Polityki prywatności

Polityka prywatności może ulegać zmianom, w szczególności w razie rozwoju Serwisu, zmian przepisów prawa lub wykorzystywanych narzędzi zewnętrznych. O istotnych zmianach informujemy w Serwisie (np. w formie komunikatu) lub e-mailem na adres powiązany z kontem użytkownika. Zaktualizowana wersja Polityki obowiązuje od dnia publikacji w Serwisie, chyba że wyraźnie wskazano inaczej.