Polityka prywatności

1. Administrator danych

Administratorem danych osobowych jest operator Serwisu („Administrator”). Kontakt: kontakt@erplay.pl.

2. Zakres przetwarzania

• Dane konta: e-mail, nick (publiczny), hasło (zaszyfrowane), identyfikatory.
• Dane z logowania przez zewnętrznych dostawców tożsamości (np. Google OAuth): adres e-mail konta Google, podstawowe dane profilu (imię / nazwa profilu, zdjęcie profilowe), identyfikator konta Google oraz identyfikator używany do logowania (openid).
• Dane rozliczeniowe Twórców: dane firmy / płatnicze wymagane przez operatorów płatności.
• Dane transakcyjne: informacje o zakupach, statusach, wypłatach, zwrotach.
• Dane związane ze zgłoszeniami naruszeń i moderacją treści: treść zgłoszenia, identyfikatory kont i sesji, informacje o podjętych działaniach (np. blokady, usunięcie treści) oraz podstawowe dane kontaktowe osoby zgłaszającej, jeżeli zostały podane.
• Dane techniczne: adres IP, identyfikatory urządzeń, logi, cookies.

3. Cele i podstawy prawne

• Założenie i obsługa konta (art. 6 ust. 1 lit. b RODO – niezbędność do umowy).
• Realizacja zamówień, rozliczenia, wypłaty (art. 6 ust. 1 lit. b i c RODO).
• Wsparcie, bezpieczeństwo, przeciwdziałanie nadużyciom oraz obsługa zgłoszeń treści i moderacja (notice & takedown) (art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa Serwisu, użytkowników oraz zgodności z prawem).
• Marketing własny Serwisu (art. 6 ust. 1 lit. f RODO); newsletter – tylko za zgodą (art. 6 ust. 1 lit. a).
• Spełnienie obowiązków księgowych i podatkowych (art. 6 ust. 1 lit. c RODO).

3A. Logowanie przez Google (OAuth)

Serwis ERPlay umożliwia logowanie za pomocą konta Google z wykorzystaniem protokołu OAuth. W związku z tym możemy uzyskiwać dostęp do danych użytkownika Google w następującym, ograniczonym zakresie:

• Adres e-mail – używany do założenia konta, logowania oraz kontaktu z użytkownikiem.
• Podstawowe dane profilu (imię / nazwa profilu, zdjęcie profilowe, identyfikator konta Google) – używane do wyświetlania profilu w ERPlay oraz powiązania konta w Serwisie z kontem Google.
• Identyfikator OpenID – wykorzystywany do potwierdzenia tożsamości użytkownika i obsługi logowania.

W ramach integracji z Google korzystamy wyłącznie z podstawowych uprawnień (scopes) niezbędnych do logowania: openid, email, profile. Nie uzyskujemy dostępu do żadnych innych danych Google (w szczególności nie czytamy treści wiadomości e-mail, plików z Google Drive, listy kontaktów, kalendarza itp.).

Sposób wykorzystania danych Google

• utworzenie nowego konta użytkownika w ERPlay,
• logowanie oraz ponowne uwierzytelnianie użytkownika,
• wyświetlanie podstawowych informacji o profilu (np. nazwa, avatar) w ramach interfejsu Serwisu.

Dane z Google nie są wykorzystywane do żadnych innych celów, w szczególności do marketingu zewnętrznego, profilowania poza ERPlay ani do trenowania modeli sztucznej inteligencji.

Przechowywanie i udostępnianie danych Google

Przechowujemy jedynie dane niezbędne do obsługi konta: adres e-mail, podstawowe dane profilu (nazwa, avatar – jeśli dostępny) oraz identyfikatory techniczne konta. Nie przechowujemy tokenów dostępu w sposób umożliwiający nam samodzielne wykonywanie operacji na koncie Google użytkownika poza procesem logowania.

Dane Google użytkownika nie są sprzedawane ani udostępniane podmiotom trzecim w celach własnych tych podmiotów. Dostęp do nich mogą mieć wyłącznie podmioty świadczące na rzecz Administratora usługi techniczne (np. dostawca hostingu lub usług uwierzytelniania), na podstawie umowy powierzenia przetwarzania danych i wyłącznie w zakresie niezbędnym do świadczenia tych usług.

4. Okres przechowywania

• Dane konta – przez czas trwania umowy i do upływu terminów przedawnienia roszczeń.
• Dane księgowe – zgodnie z przepisami (zwykle 5 lat).
• Dane związane ze zgłoszeniami naruszeń i moderacją treści – przez okres niezbędny do rozpatrzenia zgłoszenia, ochrony przed roszczeniami, zapewnienia rozliczalności działań moderacyjnych oraz wykonywania obowiązków prawnych (co do zasady nie dłużej niż przez okres przedawnienia potencjalnych roszczeń wynikających z danego zdarzenia).
• Logi bezpieczeństwa – do 12 miesięcy, chyba że przepisy stanowią inaczej.

5. Odbiorcy danych

Dane mogą być przekazywane podmiotom przetwarzającym na zlecenie Administratora (np. hosting, płatności, analityka, księgowość) wyłącznie w zakresie niezbędnym do realizacji usług. Przy płatnościach dane przekażemy operatorom (w szczególności Przelewy24 (PayPro SA)) zgodnie z ich regulaminami i politykami prywatności, a przy logowaniu z wykorzystaniem zewnętrznych dostawców tożsamości – takim podmiotom jak Google (OAuth), zgodnie z zasadami tych usług.

6. Przekazywanie poza EOG

Jeśli dostawca narzędzia przetwarza dane poza EOG, stosujemy wymagane mechanizmy (np. SCC).

7. Prawa osób

• dostęp do danych i kopii,
• sprostowanie,
• usunięcie („bycie zapomnianym”),
• ograniczenie przetwarzania,
• przenoszenie danych,
• sprzeciw (w tym marketing),
• wycofanie zgody,
• skarga do PUODO.

8. Cookies

Serwis wykorzystuje cookies niezbędne do działania, a także (za zgodą) analityczne i marketingowe. Zgody możesz w każdej chwili zmienić w Ustawieniach ciasteczek lub poprzez link w stopce.

9. Zabezpieczenia

Stosujemy środki odpowiednie do ryzyka: szyfrowanie haseł, kontrola dostępu, monitoring logów.

10. Kontakt

W sprawach prywatności pisz: kontakt@erplay.pl. Zobacz też: Regulamin serwisu.

11. Zmiany Polityki prywatności

Polityka prywatności może ulegać zmianom, w szczególności w razie rozwoju Serwisu, zmian przepisów prawa lub wykorzystywanych narzędzi zewnętrznych. O istotnych zmianach informujemy w Serwisie (np. w formie komunikatu) lub e-mailem na adres powiązany z kontem użytkownika. Zaktualizowana wersja Polityki obowiązuje od dnia publikacji w Serwisie, chyba że wyraźnie wskazano inaczej.