1. INFORMACJE OGÓLNE
1.1. Niniejsza Polityka Prywatności („Polityka”) określa zasady gromadzenia, przetwarzania i ochrony danych osobowych oraz innych informacji dotyczących Użytkowników aplikacji mobilnej PointAPlace („Aplikacja”), a także zasady korzystania z plików cookies i podobnych technologii w ramach Aplikacji oraz usług towarzyszących („Usługi”).
1.2. Administratorem danych osobowych Użytkowników jest Piotr Goryl, prowadzący działalność gospodarczą pod firmą „Piotr Goryl – Gorilla Business”, z siedzibą w Krakowie, ul. Bronisława Malinowskiego 15, 30-699 Kraków, Polska, NIP: 9451969937, REGON: 527321740 („Operator” lub „Administrator”). Operator jest odpowiedzialny za zapewnienie, że przetwarzanie danych odbywa się zgodnie z przepisami prawa Unii Europejskiej, w tym w szczególności z Rozporządzeniem (UE) 2016/679 (RODO), ustawą o ochronie danych osobowych, a także z przepisami prawa Stanów Zjednoczonych (w zakresie, w jakim mają zastosowanie), w tym California Consumer Privacy Act (CCPA/CPRA) oraz Children’s Online Privacy Protection Act (COPPA).
1.3. Operator zapewnia zgodność Aplikacji i procedur przetwarzania danych z obowiązującymi wymogami regulacyjnymi Apple App Store oraz Google Play, w szczególności w zakresie App Store Privacy Nutrition Labels oraz Google Play Data Safety Form.
1.4. Kontakt z Administratorem w sprawach dotyczących danych osobowych jest możliwy: drogą elektroniczną: gdpr@pointaplace.com pocztą tradycyjną: ul. Bronisława Malinowskiego 15, 30-699 Kraków, Polska; w Aplikacji: poprzez formularz kontaktowy lub elektroniczny punkt kontaktowy.
1.5. Operator powołał [jeśli dotyczy: Inspektora Ochrony Danych (IOD) / Data Protection Officer (DPO)]. Dane kontaktowe IOD zostaną wskazane Użytkownikom w Aplikacji oraz na stronie internetowej Operatora. Jeżeli IOD nie został powołany, wszelkie obowiązki z tego zakresu realizuje Administrator.
1.6. Niniejsza Polityka ma zastosowanie do wszystkich Użytkowników Aplikacji, niezależnie od miejsca zamieszkania lub korzystania z Usług, z uwzględnieniem różnic wynikających z lokalnych przepisów o ochronie danych (np. UE, Kalifornia, inne stany USA).
1.7. Polityka stanowi integralną część Regulaminu Aplikacji. Korzystanie z Aplikacji oznacza akceptację niniejszej Polityki w aktualnym brzmieniu.
2. DEFINICJE
2.1. Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności takie jak imię, nazwisko, adres e-mail, numer telefonu, dane lokalizacyjne, identyfikatory internetowe (np. adres IP, identyfikatory urządzeń) oraz wszelkie inne informacje, które w połączeniu z innymi danymi mogą prowadzić do identyfikacji osoby.
2.2. Przetwarzanie – każda operacja lub zestaw operacji wykonywanych na danych osobowych, zarówno w sposób zautomatyzowany, jak i niezautomatyzowany, w tym zbieranie, utrwalanie, organizowanie, przechowywanie, modyfikowanie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, a także usuwanie lub niszczenie.
2.3. Użytkownik – osoba fizyczna korzystająca z Aplikacji. W zależności od kontekstu Użytkownik może być także Konsumentem (osobą fizyczną działającą poza działalnością gospodarczą) lub osobą fizyczną działającą w imieniu i na rzecz podmiotu trzeciego.
2.4. Konsument – Użytkownik, który korzysta z Aplikacji dla celów prywatnych, niezwiązanych bezpośrednio z działalnością gospodarczą, zawodową lub inną działalnością profesjonalną.
2.5. Dziecko – w rozumieniu RODO osoba, która nie ukończyła 16 lat, a w rozumieniu COPPA – osoba, która nie ukończyła 13 lat. Jeżeli prawo lokalne przewiduje wyższy próg wiekowy dla samodzielnego wyrażenia zgody na przetwarzanie danych osobowych, stosuje się ten wyższy próg.
2.6. Cookies i podobne technologie – niewielkie pliki tekstowe, piksele, SDK, identyfikatory urządzeń i inne technologie śledzące, które mogą być instalowane na urządzeniu końcowym Użytkownika w celu zapewnienia prawidłowego działania Aplikacji, analityki, bezpieczeństwa oraz – wyłącznie za zgodą Użytkownika – w celach marketingowych.
2.7. Podmiot przetwarzający (procesor) – podmiot przetwarzający dane osobowe w imieniu Administratora, na podstawie zawartej umowy powierzenia przetwarzania danych (np. dostawca hostingu, usług chmurowych, narzędzi analitycznych, usług moderacji treści).
2.8. Organy nadzorcze – organy odpowiedzialne za ochronę danych osobowych i prywatności, w tym w szczególności: Prezes Urzędu Ochrony Danych Osobowych (PUODO) w Polsce, właściwe organy nadzorcze w państwach UE oraz regulatorzy stanowi i federalni w USA (np. Federal Trade Commission, California Privacy Protection Agency).
2.9. Polityka – niniejsza Polityka Prywatności Aplikacji PointAPlace.
2.10. Regulamin – Regulamin korzystania z Aplikacji PointAPlace, dostępny w Aplikacji oraz w Sklepach Aplikacji, który określa zasady korzystania z Usług i stanowi integralną część Umowy między Użytkownikiem a Operatorem.
3. KATEGORIE PRZETWARZANYCH DANYCH
3.1. Operator przetwarza dane osobowe wyłącznie w zakresie niezbędnym do świadczenia Usług i zgodnie z zasadą minimalizacji danych. Kategorie danych obejmują:
3.1.1.Dane identyfikacyjne i kontaktowe (imię, nazwisko, adres e-mail, numer telefonu (jeśli podany); dane użyte do rejestracji i logowania (login, zaszyfrowane hasło, tokeny sesyjne) - rejestracja i obsługa Konta, uwierzytelnianie, komunikacja z Użytkownikiem.
3.1.2.Dane płatnicze i subskrypcyjne (identyfikatory transakcji i status płatności; informacje o wybranym planie Subskrypcji, okresach rozliczeniowych, promocjach i okresach próbnych) - rozliczenia, obsługa Subskrypcji, prawa konsumentów.
3.1.3.Dane techniczne i urządzeniowe (adres IP, identyfikatory urządzeń (np. Android ID, IDFV); system operacyjny, wersja Aplikacji, logi systemowe; dane diagnostyczne i crash reports) - zapewnienie kompatybilności, bezpieczeństwa, wsparcia technicznego i poprawy jakości Usług.
3.1.4.Dane lokalizacyjne (dokładne dane GPS (jeśli Użytkownik wyraził zgodę); dane przybliżone (np. adres IP, dane sieciowe); lokalizacje przypisane do Treści (np. zdjęcia, notatki) - prawidłowe funkcjonowanie Aplikacji, przypisywanie Treści do lokalizacji, dodatkowe funkcje map i wyszukiwania.
3.1.5.Dane treściowe (User Content) (notatki tekstowe, zdjęcia, nagrania audio i wideo, metadane; dane przypisane do lokalizacji, opisy, tagi) - przechowywanie i udostępnianie Treści w ramach Aplikacji, zgodnie z wyborem Użytkownika.
3.1.6.Dane komunikacyjne (treść zgłoszeń, reklamacji i korespondencji z Operatorem; informacje przekazane w ramach procedur moderacyjnych (np. odwołania, skargi) - obsługa reklamacji, skarg, odwołań, zapewnienie zgodności z prawem.
3.1.7.Dane marketingowe i preferencje (zgody marketingowe; ustawienia dotyczące powiadomień push, cookies i podobnych technologii; preferencje użytkowe (np. ulubione lokalizacje, ustawienia widoku mapy) - prowadzenie marketingu własnego Operatora (wyłącznie za zgodą), personalizacja ustawień Aplikacji.
3.1.8.Cookies i podobne technologie (pliki cookies, piksele, SDK, identyfikatory urządzeń.) - funkcjonalność, bezpieczeństwo, analityka, marketing (tylko za zgodą).
3.2. Operator nie wymaga i nie przetwarza świadomie danych szczególnych kategorii (tzw. danych wrażliwych w rozumieniu art. 9 RODO), takich jak dane zdrowotne, dane biometryczne czy dane ujawniające poglądy polityczne. Jeżeli Użytkownik wprowadzi takie dane do Aplikacji w ramach własnych Treści, przetwarzanie odbywa się wyłącznie na jego odpowiedzialność i zgodnie z wybranymi ustawieniami prywatności.
3.3. Dane osobowe pozyskiwane są bezpośrednio od Użytkownika (dane podane w Aplikacji), automatycznie z urządzenia i oprogramowania Użytkownika (np. dane techniczne, diagnostyczne), a także – wyłącznie w niezbędnym zakresie – od podmiotów trzecich działających jako dostawcy usług (np. Sklepy Aplikacji, operatorzy płatności), wyłącznie w celu świadczenia i prawidłowego funkcjonowania Usług, zgodnie z niniejszą Polityką.
4. CELE I PODSTAWY PRAWNE
4.1. Operator przetwarza dane osobowe wyłącznie w zakresie niezbędnym do prawidłowego świadczenia Usług, w oparciu o jasne cele i podstawy prawne. Przetwarzanie odbywa się na podstawie:
4.1.1.art. 6 ust. 1 lit. b RODO – wykonanie Umowy (np. rejestracja, logowanie, przechowywanie Treści),
4.1.2.art. 6 ust. 1 lit. c RODO – obowiązki prawne (np. podatki, rachunkowość, obowiązki wynikające z DSA),
4.1.3.art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Operatora (np. bezpieczeństwo IT, ochrona przed nadużyciami, obrona przed roszczeniami),
4.1.4.art. 6 ust. 1 lit. a RODO – zgoda Użytkownika (np. lokalizacja GPS, marketing, powiadomienia push).
4.2. Podstawy prawne przetwarzania w USA (CCPA/CPRA, COPPA):
4.2.1.Dane są wykorzystywane w zakresie „business purposes” i „service provider purposes” (np. świadczenie Usług, bezpieczeństwo, wykrywanie oszustw);
4.2.2.Operator nie sprzedaje danych osobowych w rozumieniu CCPA/CPRA;
4.2.3.W przypadku przetwarzania danych dzieci poniżej 13 lat w USA stosuje się przepisy COPPA (choć Aplikacja nie jest do nich kierowana – patrz sekcja 6.12 Regulaminu).
4.3. Zestawienie celów i podstaw prawnych:
|
Cel przetwarzania |
Kategorie danych |
Podstawa prawna (UE – RODO) |
Podstawa prawna (USA) |
|
Rejestracja i prowadzenie Konta |
Dane identyfikacyjne, dane logowania |
Art. 6 ust. 1 lit. b RODO |
Business purpose – providing services |
|
Świadczenie Usług (przechowywanie, organizacja i udostępnianie Treści) |
Dane treściowe, dane lokalizacyjne |
Art. 6 ust. 1 lit. b RODO |
Business purpose – service provider |
|
Obsługa Subskrypcji i płatności |
Dane subskrypcyjne, identyfikatory transakcji |
Art. 6 ust. 1 lit. b i c RODO |
Business purpose – transactions |
|
Bezpieczeństwo i integralność Aplikacji (zapobieganie fraudom, nadużyciom, atakom IT) |
Dane techniczne, logi, IP |
Art. 6 ust. 1 lit. f RODO |
Business purpose – security and fraud prevention |
|
Obsługa reklamacji, zgłoszeń, procedur moderacyjnych |
Dane komunikacyjne, dane treściowe |
Art. 6 ust. 1 lit. b i c RODO |
Business purpose – customer support |
|
Wypełnianie obowiązków prawnych (podatki, rachunkowość, DSA, DMCA) |
Dane identyfikacyjne, dane transakcyjne |
Art. 6 ust. 1 lit. c RODO |
Legal compliance |
|
Analiza statystyczna i rozwój Usług |
Dane techniczne, dane użytkowe |
Art. 6 ust. 1 lit. f RODO |
Business purpose – analytics |
|
Marketing własny Operatora (newsletter, powiadomienia push, promocje) |
Dane identyfikacyjne, dane marketingowe |
Art. 6 ust. 1 lit. a RODO |
Consent – opt-in marketing |
|
Personalizacja ustawień Aplikacji |
Dane lokalizacyjne, preferencje użytkowe |
Art. 6 ust. 1 lit. a RODO |
Consent |
|
Obrona przed roszczeniami i dochodzenie praw |
Wszystkie kategorie danych, w zakresie niezbędnym |
Art. 6 ust. 1 lit. f RODO |
Business purpose – legal defense |
4.4. W przypadku przetwarzania na podstawie art. 6 ust. 1 lit. f RODO, Operator opiera się na takich interesach jak: zapewnienie bezpieczeństwa Aplikacji i danych, ochrona praw Operatora (np. dochodzenie roszczeń), prowadzenie analiz statystycznych i optymalizacja Aplikacji.
5. PRZEKAZYWANIE DANYCH
5.1. Dane osobowe Użytkowników mogą być przekazywane poza Europejski Obszar Gospodarczy („EOG”) wyłącznie w zakresie niezbędnym do realizacji celów określonych w niniejszej Polityce.
5.2. Takie przekazania mogą obejmować w szczególności: dostawców hostingu i usług chmurowych posiadających centra danych poza EOG (np. w Stanach Zjednoczonych); dostawców usług analitycznych i marketingowych (np. Google, Firebase); App Stores (Apple, Google), które mogą przetwarzać dane w swoich globalnych infrastrukturach; organy publiczne lub organy ścigania, jeżeli wymaga tego prawo obowiązujące poza EOG.
5.3. W przypadku przekazywania danych do państw trzecich Operator stosuje odpowiednie mechanizmy ochrony przewidziane w RODO, w tym: decyzje Komisji Europejskiej stwierdzające odpowiedni stopień ochrony; Standardowe Klauzule Umowne (SCC) przyjęte przez Komisję Europejską; dodatkowe środki techniczne i organizacyjne, takie jak szyfrowanie, pseudonimizacja oraz ograniczenie dostępu.
5.4. Operator informuje, że główni dostawcy usług (Apple Inc. i Google LLC) posiadają certyfikacje i wdrożone mechanizmy zgodności (m.in. SCC), które zapewniają odpowiedni poziom ochrony danych osobowych.
5.5. Szczegółowe informacje o stosowanych zabezpieczeniach w związku z transferami danych poza EOG są dostępne na żądanie Użytkownika.
5.6. Użytkownicy w Stanach Zjednoczonych przyjmują do wiadomości, że Operator – mając siedzibę w Polsce – podlega w pierwszej kolejności przepisom RODO i prawa polskiego, a ich dane mogą być przekazywane do UE zgodnie z amerykańskimi regulacjami federalnymi i stanowymi dotyczącymi prywatności.
6. OKRES PRZECHOWYWANIA DANYCH
6.1. Dane osobowe Użytkowników są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane, a następnie usuwane lub anonimizowane, chyba że przepisy prawa wymagają ich dalszego przechowywania: Dane konta Użytkownika – przez czas trwania Umowy i korzystania z Aplikacji; po usunięciu Konta dane są usuwane niezwłocznie, nie później niż w terminie 30 dni, z wyjątkiem danych wymaganych prawem. Dane związane z Subskrypcjami i płatnościami – przez okres wymagany przepisami prawa podatkowego i księgowego (co do zasady 5 lat od zakończenia roku podatkowego). Treści Użytkownika – do czasu ich usunięcia przez Użytkownika lub zakończenia korzystania z Usług, chyba że przepisy prawa wymagają dłuższego przechowywania. Dane techniczne i logi systemowe – co do zasady przez okres do 12 miesięcy od ich zgromadzenia, chyba że są niezbędne do celów bezpieczeństwa lub obrony roszczeń. Dane komunikacyjne (reklamacje, zgłoszenia, Moderacja) – przez okres konieczny do obsługi zgłoszenia oraz ewentualnych postępowań, nie dłużej niż 3 lata od zakończenia sprawy. Dane marketingowe i zgody – do czasu cofnięcia zgody przez Użytkownika lub zgłoszenia sprzeciwu wobec przetwarzania. Okresy przechowywania odnoszą się do odpowiednich kategorii danych wskazanych w § 3 i są stosowane zgodnie z zasadą minimalizacji i ograniczenia przechowywania. Szczegółowe przypisanie kategorii do okresów retencji może być udostępnione Użytkownikowi na żądanie.
6.2. Operator stosuje zasadę minimalizacji przechowywania danych („storage limitation”), zgodnie z którą dane są usuwane lub anonimizowane, gdy nie są już potrzebne do celów, w jakich zostały zebrane.
6.3. Jeżeli dane osobowe są niezbędne do ustalenia, dochodzenia lub obrony roszczeń, Operator może je przechowywać do czasu przedawnienia tych roszczeń zgodnie z przepisami prawa właściwego (w Polsce co do zasady 6 lat, a w przypadku roszczeń o świadczenia okresowe i związanych z prowadzeniem działalności gospodarczej – 3 lata).
6.4. Po upływie okresów wskazanych powyżej dane są nieodwracalnie usuwane lub poddawane anonimizacji w sposób uniemożliwiający identyfikację Użytkownika.
7. PRAWA UŻYTKOWNIKÓW
7.1. Prawa Użytkowników w Unii Europejskiej (RODO)
7.1.1.Prawo dostępu – Użytkownik ma prawo uzyskać potwierdzenie, czy Operator przetwarza jego dane osobowe, a jeżeli tak, ma prawo dostępu do tych danych oraz informacji o zasadach przetwarzania.
7.1.2.Prawo do sprostowania – Użytkownik ma prawo żądać niezwłocznego sprostowania danych, które są nieprawidłowe, oraz uzupełnienia danych niekompletnych.
7.1.3.Prawo do usunięcia danych („prawo do bycia zapomnianym”) – Użytkownik może żądać usunięcia swoich danych osobowych, jeżeli zachodzi jedna z przesłanek wskazanych w art. 17 RODO (np. dane nie są już potrzebne do celów, w których zostały zebrane, lub zgoda została cofnięta).
7.1.4.Prawo do ograniczenia przetwarzania – Użytkownik ma prawo zażądać ograniczenia przetwarzania w przypadkach określonych w art. 18 RODO.
7.1.5.Prawo do przenoszenia danych – Użytkownik ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz ma prawo przesłać te dane innemu administratorowi.
7.1.6.Prawo sprzeciwu – Użytkownik ma prawo wnieść sprzeciw wobec przetwarzania danych opartego na uzasadnionym interesie Operatora, w tym wobec profilowania, oraz wobec przetwarzania danych w celach marketingowych.
7.1.7.Prawo cofnięcia zgody – Użytkownik ma prawo w dowolnym momencie wycofać zgodę, jeżeli stanowiła ona podstawę przetwarzania, bez wpływu na zgodność przetwarzania sprzed jej cofnięcia.
7.1.8.Prawo wniesienia skargi – Użytkownik ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) lub innego właściwego organu nadzorczego w UE.
7.2. Prawa Użytkowników w Stanach Zjednoczonych (CCPA/CPRA, COPPA)
7.2.1.Prawo do informacji („right to know”) – Użytkownik z Kalifornii ma prawo żądać informacji o kategoriach i źródłach danych zbieranych, celach przetwarzania, kategoriach podmiotów, którym dane są ujawniane, oraz o swoich prawach.
7.2.2.Prawo dostępu i prawo do kopii – Użytkownik ma prawo uzyskać kopię swoich danych osobowych przetwarzanych przez Operatora.
7.2.3.Prawo do usunięcia danych („right to delete”) – Użytkownik może żądać usunięcia swoich danych osobowych, z wyjątkami przewidzianymi w przepisach CCPA/CPRA (np. obowiązki prawne).
7.2.4.Prawo do sprostowania – Użytkownik może żądać poprawienia danych nieprawidłowych.
7.2.5.Prawo do przenoszenia danych („right to data portability”) – Użytkownik ma prawo otrzymać swoje dane osobowe w formacie nadającym się do odczytu maszynowego oraz – w zakresie technicznie możliwym – przenieść je do innego dostawcy usług.
7.2.6.Prawo do opt-out – Użytkownik ma prawo sprzeciwić się sprzedaży lub udostępnianiu swoich danych osobowych. Operator nie sprzedaje danych osobowych w rozumieniu CCPA/CPRA.
7.2.7.Prawo do ograniczenia wykorzystania danych wrażliwych („sensitive personal information”) – Użytkownik może żądać, aby takie dane były wykorzystywane wyłącznie w zakresie niezbędnym do świadczenia Usług.
7.2.8.Prawo do niedyskryminacji – Użytkownik nie może być traktowany mniej korzystnie z powodu skorzystania ze swoich praw wynikających z CCPA/CPRA.
7.2.9.W zakresie danych uznawanych za „sensitive personal information” na gruncie CCPA/CPRA, Użytkownik może żądać ograniczenia ich wykorzystania do celów niezbędnych do świadczenia Usług lub innych dozwolonych prawem.
7.2.10. COPPA – Operator nie gromadzi świadomie danych dzieci poniżej 13 roku życia w USA; jeżeli takie dane zostaną ujawnione, zostaną usunięte.
7.3. Procedura realizacji praw
7.3.1.W celu realizacji swoich praw Użytkownik może skontaktować się z Operatorem poprzez formularz w Aplikacji lub na adres e-mail wskazany w § 13. Ze względu na to, że Operator świadczy Usługi wyłącznie online, powyższe kanały stanowią wystarczające i zgodne z CCPA/CPRA metody składania wniosków.
7.3.2.Operator odpowiada na wnioski bez zbędnej zwłoki, nie później niż w ciągu 30 dni. W przypadku skomplikowanych żądań termin ten może zostać przedłużony o kolejne 60 dni, o czym Użytkownik zostanie poinformowany. W przypadku wniosków Użytkowników z Kalifornii maksymalny termin odpowiedzi wynosi co do zasady 45 dni (z możliwością przedłużenia o kolejne 45 dni, o czym Użytkownik zostanie poinformowany wraz z uzasadnieniem).
7.3.3.Operator może wymagać weryfikacji tożsamości Użytkownika w zakresie adekwatnym i proporcjonalnym, w celu zapewnienia bezpieczeństwa danych.
7.3.4.Wnioski będą weryfikowane w sposób adekwatny i proporcjonalny (np. weryfikacja adresu e-mail powiązanego z Kontem lub potwierdzenie akcji w Aplikacji).
7.3.5.Użytkownik może skorzystać z upoważnionego przedstawiciela (authorized agent) – w takim przypadku Operator może żądać potwierdzenia udzielonego pełnomocnictwa oraz weryfikacji tożsamości Użytkownika.
7.3.6.Wnioski dotyczące gospodarstw domowych (household) są realizowane zgodnie z CCPA/CPRA, przy czym Operator może wymagać dodatkowej weryfikacji, jeżeli nie jest w stanie zidentyfikować wszystkich członków gospodarstwa.
8. UJAWNIANIE I UDOSTĘPNIANIE DANYCH OSOBOWYCH (ODBIORCY DANYCH)
8.1. Operator nie „sprzedaje” danych osobowych Użytkowników ani nie „udostępnia” ich do celów reklamy kontekstowo-niezależnej (cross-context behavioral advertising) w rozumieniu CCPA/CPRA. Jeżeli w przyszłości zakres przetwarzania ulegnie zmianie, Operator zapewni wymagane powiadomienia, mechanizmy opt-out oraz stosowne aktualizacje niniejszej Polityki.
8.2. Dane osobowe mogą być ujawniane wyłącznie w zakresie niezbędnym do realizacji celów wskazanych w niniejszej Polityce i zgodnie z zasadą minimalizacji, następującym kategoriom odbiorców: Podmioty przetwarzające (procesorzy) – dostawcy hostingu i chmury, infrastruktury i bezpieczeństwa IT, narzędzi analitycznych i diagnostycznych (w tym crash reporting), usług moderacji treści (Podmiot Moderacyjny), systemów komunikacji i helpdesk – działający na podstawie umów powierzenia przetwarzania danych i wyłącznie zgodnie z instrukcjami Operatora. Dostawcy płatności i Sklepy Aplikacji – Apple App Store oraz Google Play w zakresie obsługi Subskrypcji, rozliczeń, zwrotów i przeciwdziałania nadużyciom, zgodnie z regulaminami tych podmiotów. Profesjonalni doradcy – podmioty świadczące na rzecz Operatora usługi prawne, podatkowe, księgowe, audytorskie lub doradcze – w zakresie niezbędnym do świadczenia tych usług i przy zapewnieniu poufności. Organy publiczne – gdy obowiązek ujawnienia wynika z bezwzględnie obowiązujących przepisów prawa lub prawomocnych wezwań/nakazów właściwych organów (w tym na gruncie DSA/DMCA), a także w celu ochrony żywotnych interesów osób (np. zgłoszenia dotyczące bezpieczeństwa dzieci). Następcy prawni – w związku z reorganizacją, połączeniem, przejęciem lub sprzedażą przedsiębiorstwa Operatora; w takim przypadku następca prawny staje się administratorem danych w miejsce Operatora, przy zachowaniu praw Użytkowników i obowiązków wynikających z prawa. Inni Użytkownicy – wyłącznie w zakresie wynikającym z wyborów i ustawień prywatności Użytkownika (np. udostępnianie Treści innym Użytkownikom lub grupom).
8.3. Operator zawiera z Podmiotami przetwarzającymi umowy powierzenia przetwarzania spełniające wymagania RODO, zapewniające m.in. poufność, bezpieczeństwo, wsparcie w realizacji praw Użytkowników oraz audytowalność.
8.4. Operator nie ujawnia danych w celach marketingu bezpośredniego osób trzecich. Marketing własny Operatora odbywa się wyłącznie na podstawie ważnej zgody (opt-in), którą Użytkownik może w każdej chwili wycofać.
8.5. W przypadkach ujawniania danych na podstawie przepisów prawa, Operator dokonuje weryfikacji podstawy prawnej żądania, zakresu żądanych danych oraz – o ile jest to dozwolone – informuje Użytkownika o takim żądaniu.
8.6. Operator wdraża środki umowne i techniczne mające ograniczyć ryzyka dalszego, nieuprawnionego wykorzystania danych przez odbiorców, w szczególności obowiązki poufności, ograniczenia celu, ograniczenia retencji oraz – gdy ma to zastosowanie – szyfrowanie i pseudonimizację.
8.7. Udostępnianie danych w ramach anonimowych lub zagregowanych zestawień (np. statystyki użycia Aplikacji) nie stanowi ujawnienia danych osobowych; takie informacje nie pozwalają na identyfikację Użytkownika.
8.8. Operator respektuje – w zakresie wymaganym prawem i technicznie możliwym w środowisku Aplikacji – systemowe ustawienia prywatności oraz sygnały Global Privacy Control (GPC) jako żądanie opt-out w rozumieniu CCPA/CPRA.
8.9. Operator nie tworzy kategorii „odbiorców” w celach ukrytego profilowania lub reklamy opartej na śledzeniu międzykontekstowym i nie prowadzi aukcji danych (ad exchanges).
8.10. Operator nie oferuje programów zachęt finansowych, różnic cen ani jakości Usług w zamian za dane osobowe w rozumieniu CCPA/CPRA.
9. BEZPIECZEŃSTWO DANYCH
9.1. Operator wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, zgodnie z art. 32 RODO oraz właściwymi przepisami USA. Środki te są dostosowywane do stanu wiedzy technicznej, kosztów wdrożenia, charakteru, zakresu, kontekstu i celów przetwarzania oraz zidentyfikowanych ryzyk.
9.2. Stosowane środki obejmują w szczególności szyfrowanie transmisji danych (TLS), kontrolę dostępu opartą na uprawnieniach, monitorowanie systemów, regularne testy bezpieczeństwa oraz procedury reagowania na incydenty.
9.3. W przypadku naruszenia ochrony danych osobowych, Operator realizuje obowiązki informacyjne i notyfikacyjne zgodnie z przepisami RODO oraz właściwymi przepisami stanowymi/federalnymi w USA, w tym – gdy to wymagane – powiadamia Użytkowników i właściwe organy.
10. COOKIES I PODOBNE TECHNOLOGIE
10.1. Aplikacja może korzystać z plików cookies i podobnych technologii (np. SDK, identyfikatorów urządzeń, pikseli) w celach niezbędnych do zapewnienia prawidłowego działania Usług, bezpieczeństwa oraz analityki.
10.2. Wykorzystanie cookies do celów marketingowych lub personalizacji odbywa się wyłącznie za zgodą Użytkownika, którą można w każdej chwili wycofać w ustawieniach urządzenia lub Aplikacji. Brak wyrażenia zgody nie ogranicza korzystania z podstawowych funkcji Aplikacji.
10.3. Szczegółowe informacje o wykorzystywanych technologiach znajdują się w ustawieniach prywatności Aplikacji.
11. DZIECI I OSOBY MAŁOLETNIE
11.1. Aplikacja nie jest kierowana do dzieci poniżej 16 roku życia w UE ani poniżej 13 roku życia w USA.
11.2. Operator nie gromadzi świadomie danych dzieci. Jeżeli takie dane zostaną zidentyfikowane, zostaną niezwłocznie usunięte.
11.3. W przypadku, gdy prawo lokalne wymaga wyższego wieku dla samodzielnej zgody, stosuje się ten wyższy próg.
12. ZMIANY POLITYKI
12.1. Operator może wprowadzać zmiany w niniejszej Polityce z ważnych przyczyn prawnych, technicznych lub organizacyjnych.
12.2. O zmianach Użytkownicy zostaną poinformowani z wyprzedzeniem poprzez Aplikację lub e-mail (jeśli został podany). W przypadku zmian istotnych (np. dotyczących nowych celów przetwarzania), Operator może wymagać ponownego wyrażenia zgody przez Użytkownika przed dalszym korzystaniem z Aplikacji.
12.3. Najnowsza wersja Polityki jest zawsze dostępna w Aplikacji i na stronie internetowej Operatora.
13. KONTAKT
13.1. W sprawach dotyczących przetwarzania danych osobowych Użytkownik może kontaktować się z Operatorem:
13.1.1. pocztą elektroniczną: gdpr@pointaplace.com,
13.1.2. pocztą tradycyjną: ul. Bronisława Malinowskiego 15, 30-699 Kraków, Polska,
13.1.3. poprzez formularz kontaktowy w Aplikacji.
13.2. W przypadku pytań lub wątpliwości dotyczących ochrony danych osobowych Użytkownik ma również prawo skontaktować się z właściwym organem nadzorczym (PUODO w Polsce lub innym organem UE, a w USA – właściwym regulatorem stanowym lub federalnym). W UE Użytkownik może zwrócić się do organu nadzorczego właściwego dla miejsca swojego zamieszkania lub pracy, niezależnie od PUODO w Polsce.