Polityka Prywatności Vulkan Casino

Niniejsza Polityka Prywatności wyjaśnia, jakie dane osobowe gromadzimy podczas korzystania z usług Vulkan Casino, w jakich celach je przetwarzamy oraz jakie prawa przysługują Ci na mocy RODO (UE) i przepisów Polski. Dokument obejmuje m.in. KYC/AML, pliki cookie, udostępnianie i transfery danych, okresy przechowywania, bezpieczeństwo oraz kontakt. Dane kontaktowe administratora i IOD znajdziesz w sekcji „Jak skontaktować się z nami lub Inspektorem Ochrony Danych?”.

Jakie dane zbieramy i w jakim celu?

Przetwarzamy dane osobowe wyłącznie w zakresie niezbędnym do świadczenia usług kasyna online oraz wypełniania obowiązków prawnych w Polsce i UE. Główne cele to: rejestracja i obsługa konta gracza, weryfikacja tożsamości (KYC) i przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT), bezpieczeństwo i zapobieganie nadużyciom, realizacja płatności i wypłat, wsparcie klienta, rozliczenia księgowe i podatkowe, spełnienie obowiązków regulacyjnych, a także — za Twoją zgodą — marketing i personalizacja doświadczenia.

Rejestracja konta i weryfikacja KYC/AML — jakie informacje podajesz?

Podczas zakładania konta i korzystania z usług kasyna prosimy o podanie danych niezbędnych do identyfikacji, świadczenia usług i spełnienia wymogów prawnych (w szczególności wynikających z RODO oraz krajowych przepisów AML). Kategorie danych obejmują:

Dane rejestracyjne: imię i nazwisko, data urodzenia (potwierdzenie pełnoletniości), kraj zamieszkania, adres e-mail, numer telefonu, login i zaszyfrowane hasło.
Dane identyfikacyjne do KYC: adres zamieszkania/korespondencyjny, obywatelstwo, informacje z dokumentu tożsamości (rodzaj, numer, data ważności, kraj wydania), a także — jeżeli wymagane przez prawo lub proces weryfikacji — potwierdzenie wizerunku (np. zdjęcie dokumentu i zdjęcie twarzy) lub wideoweryfikacja.
Weryfikacja AML/CFT: informacje o statusie PEP (osoba zajmująca eksponowane stanowisko polityczne) oraz wyniki sprawdzeń na listach sankcyjnych, a w uzasadnionych przypadkach także informacje o źródle pochodzenia środków (np. oświadczenia lub dokumenty potwierdzające dochód).
Dane transakcyjne i rozliczeniowe: historia depozytów i wypłat, kursy i stawki zakładów/obrotów, saldo, waluta, identyfikatory transakcji, wygrane i bonusy; rejestry wymagane do przeciwdziałania nadużyciom i praniu pieniędzy.
Dane płatnicze: informacje niezbędne do realizacji płatności i wypłat poprzez upoważnionych operatorów płatności (np. identyfikator transakcji, maskowane cyfry karty, identyfikatory portfeli elektronicznych). Dane wrażliwe płatnicze są co do zasady przetwarzane przez zewnętrznych dostawców płatności zgodnych ze standardami bezpieczeństwa.
Zgody i ustawienia: preferencje komunikacyjne i marketingowe, ustawienia odpowiedzialnej gry (limity depozytów/strat/czasu), język interfejsu.
Reklamacje i kontakt: treść zapytań do obsługi klienta, nagrania rozmów/korespondencja (jeśli stosowane i dozwolone przepisami), metadane kontaktu.

Dane te są wymagane w celu zawarcia i wykonania umowy o świadczenie usług konta gracza, wypełnienia obowiązków prawnych dotyczących KYC/AML/CFT i rachunkowości, a także ochrony serwisu i użytkowników przed nadużyciami oraz zapewnienia zgodności regulacyjnej.

Tak — w celu zapewnienia prawidłowego działania serwisu, bezpieczeństwa, pomiaru wydajności i — za Twoją zgodą — personalizacji oraz marketingu, przetwarzamy dane techniczne i korzystamy z plików cookie oraz podobnych technologii (np. local storage). Obsługa plików cookie odbywa się zgodnie z przepisami RODO i właściwymi regulacjami dotyczącymi prywatności łączności elektronicznej.

Dane techniczne i dzienniki systemowe: adres IP, sygnatura i wersja przeglądarki, system operacyjny i jego konfiguracja, ustawienia języka i strefy czasowej, typ i parametry urządzenia, identyfikatory sesji, znaczniki czasu logowania i aktywności, adresy URL odsyłające i błędy aplikacji.
Informacje o lokalizacji przybliżonej (na podstawie IP): używane do celów zgodności (np. ograniczenia terytorialne), bezpieczeństwa i zapobiegania nadużyciom; nie stosujemy precyzyjnej geolokalizacji bez Twojej wyraźnej zgody. Pliki cookie:
Niezbędne (techniczne): potrzebne do logowania, utrzymania sesji, obsługi koszyka/portfela, bezpieczeństwa i równoważenia obciążenia.
Funkcjonalne/preferencji: zapamiętują wybory (np. język, ustawienia stołu/gry).
Analityczne/wydajnościowe: pomagają mierzyć ruch i diagnozować problemy techniczne, agregowane statystyki korzystania z serwisu.
Marketingowe/reklamowe: służą do wyświetlania komunikacji dopasowanej do zainteresowań w oparciu o Twoją zgodę.

Możesz zarządzać zgodami na pliki cookie poprzez panel zgód w serwisie oraz ustawienia przeglądarki. Ciasteczka sesyjne wygasają po zamknięciu przeglądarki, a trwałe pozostają do upływu okresu życia określonego w ich parametrach lub do czasu ich usunięcia przez Ciebie.

Na jakiej podstawie prawnej przetwarzamy dane (RODO)?

Przetwarzanie odbywa się zgodnie z art. 6 RODO. W zależności od celu stosujemy:

Wykonanie umowy (art. 6 ust. 1 lit. b RODO): założenie i obsługa konta, realizacja gier/usług, rozpatrywanie płatności i wypłat, wsparcie klienta.
Obowiązek prawny (art. 6 ust. 1 lit. c RODO): weryfikacja tożsamości i monitorowanie transakcji na potrzeby AML/CFT, przechowywanie dokumentacji księgowej i podatkowej, prowadzenie rejestrów wymaganych prawem.
Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO): bezpieczeństwo systemów i kont, zapobieganie oszustwom i nadużyciom, obrona i dochodzenie roszczeń, podstawowa analityka serwisu w celu ulepszania funkcjonalności (z poszanowaniem Twoich praw i wolności).
Zgoda (art. 6 ust. 1 lit. a RODO): komunikacja marketingowa e-mail/SMS/push, marketingowe i niektóre analityczne pliki cookie, ewentualna biometryczna weryfikacja tożsamości — wyłącznie, gdy jest to opcjonalne i wyraźnie zaakceptowane.

Co do zasady nie przetwarzamy szczególnych kategorii danych (art. 9 RODO). Jeżeli wyjątkowo zastosowana byłaby biometryczna weryfikacja tożsamości, odbywa się ona wyłącznie w oparciu o wyraźną zgodę lub inny właściwy przepis prawa oraz z zachowaniem podwyższonych środków ochrony.

Cel przetwarzania	Kategorie danych	Podstawa prawna (RODO)	Okres przechowywania
Rejestracja i obsługa konta	Dane rejestracyjne, kontaktowe, ustawienia konta	Art. 6 ust. 1 lit. b (umowa)	Przez czas trwania umowy, a następnie do upływu terminów przedawnienia roszczeń (co do zasady do 6 lat; dla roszczeń okresowych i związanych z działalnością gospodarczą — 3 lata)
Weryfikacja KYC oraz monitorowanie AML/CFT	Dane identyfikacyjne, dokumenty, PEP/sankcje, dane transakcyjne	Art. 6 ust. 1 lit. c (obowiązek prawny)	Zgodnie z przepisami AML: co najmniej 5 lat od zakończenia relacji gospodarczej lub transakcji okazjonalnej; możliwe przedłużenie do dodatkowych 5 lat na żądanie właściwego organu
Realizacja płatności i wypłat	Dane transakcyjne, referencje płatnicze	Art. 6 ust. 1 lit. b (umowa) oraz lit. c (rachunkowość)	Dowody i dokumenty księgowe — do upływu terminu przedawnienia zobowiązania podatkowego (co do zasady 5 lat licząc od końca roku kalendarzowego)
Bezpieczeństwo i zapobieganie nadużyciom	Logi techniczne, identyfikatory sesji, dane o aktywności	Art. 6 ust. 1 lit. f (uzasadniony interes)	Przez okres niezbędny do wykrycia i udokumentowania incydentów oraz dochodzenia roszczeń (zwykle do 6 lat, zgodnie z ogólnymi terminami przedawnienia)
Obsługa klienta i reklamacje	Dane kontaktowe, treść korespondencji, metadane	Art. 6 ust. 1 lit. b (umowa) lub lit. f (uzasadniony interes)	Przez czas obsługi sprawy oraz do upływu terminów przedawnienia roszczeń
Marketing bezpośredni i personalizacja	E-mail/telefon, preferencje, identyfikatory cookie	Art. 6 ust. 1 lit. a (zgoda)	Do wycofania zgody lub wniesienia sprzeciwu; dane agregowane/analityczne mogą być przechowywane dłużej w formie zanonimizowanej
Pliki cookie i analityka serwisu	Identyfikatory cookie, adres IP, dane urządzenia	Art. 6 ust. 1 lit. a (zgoda) dla niezbędnych wykraczających poza cele techniczne; niezbędne — art. 6 ust. 1 lit. f	Ciasteczka sesyjne — do końca sesji; ciasteczka trwałe — do daty wygaśnięcia określonej w ich parametrach lub do usunięcia przez użytkownika

Cookies i technologie śledzące: co, po co, jak je kontrolować?

Pliki cookie i podobne technologie (np. localStorage, sessionStorage, identyfikatory urządzeń, znaczniki pikselowe) pomagają zapewnić działanie serwisu, bezpieczeństwo kont, pomiar wydajności i – za Twoją zgodą – personalizację treści oraz marketing. Zgodnie z prawem UE (RODO oraz przepisy o prywatności łączności elektronicznej) na urządzeniu można przechowywać informacje lub uzyskiwać do nich dostęp tylko wtedy, gdy jest to niezbędne do świadczenia usługi, albo po uprzednim uzyskaniu Twojej zgody. Niektóre przeglądarki (np. Firefox, Safari) domyślnie ograniczają ciasteczka śledzące stron trzecich, co dodatkowo wzmacnia Twoją kontrolę nad danymi.

W serwisie wyróżniamy następujące kategorie plików cookie i podobnych technologii. Ich zakres i aktywność zależą od ustawień technicznych witryny oraz Twoich zgód wyrażonych w banerze zarządzania preferencjami.

Niezbędne (techniczne): utrzymanie sesji logowania, równoważenie obciążenia, bezpieczeństwo (np. zapobieganie nadużyciom, ochrona przed CSRF), obsługa płatności i portfela.
Preferencji/funkcjonalne: zapamiętywanie wyborów (język, układ interfejsu, ustawienia stołu/gry) dla wygody użytkowania.
Analityczne/wydajnościowe: pomiar ruchu, diagnostyka błędów, statystyki korzystania (zagregowane raporty o wydajności serwisu i treści).
Marketingowe/reklamowe: dopasowywanie komunikacji marketingowej na podstawie Twoich zgód i aktywności w serwisie.
Bezpieczeństwo i antyfraudowe: wykrywanie podejrzanej aktywności (np. nietypowe logowania), ochrona kont i infrastruktury.

Kategoria	Cel główny	Przykładowe zastosowania	Zgoda w UE (ePrivacy/RODO)	Przechowywanie
Niezbędne (techniczne)	Zapewnienie działania i bezpieczeństwa usług, o które prosisz	Sesja logowania, utrzymanie stanu koszyka/portfela, load balancer, tokeny bezpieczeństwa	Nie, jeśli są ściśle niezbędne do świadczonej usługi	Sesyjne lub trwałe (ustawione przez serwis), mogą być automatycznie usuwane po wylogowaniu lub zakończeniu sesji
Preferencji/funkcjonalne	Ułatwienie korzystania dzięki zapamiętywaniu ustawień	Język interfejsu, układ i preferencje gier	Tak, wymagana przed aktywacją	Sesyjne lub trwałe (okres określony przez serwis)
Analityczne/wydajnościowe	Pomiar i ulepszanie działania serwisu	Statystyki odsłon, czas ładowania, diagnostyka błędów	Tak, wymagana przed aktywacją	Sesyjne lub trwałe (okres określony przez dostawcę lub serwis)
Marketingowe/reklamowe	Personalizacja i pomiar skuteczności kampanii	Identyfikatory reklamowe, częstotliwość emisji, atrybucja kampanii	Tak, wymagana przed aktywacją	Trwałe (okres określony przez dostawcę); może być ograniczany przez ustawienia przeglądarek
Bezpieczeństwo i antyfraudowe	Ochrona kont i infrastruktury, wykrywanie nadużyć	Wykrywanie botów, nietypowych logowań, ograniczanie ryzyka	Nie, jeżeli są ściśle niezbędne do bezpieczeństwa usługi	Sesyjne lub krótkookresowe (zgodnie z celem i wymogami bezpieczeństwa)

Pamiętaj: przeglądarki i systemy mogą modyfikować sposób działania plików cookie (np. blokowanie śledzenia stron trzecich w trybie domyślnym w Firefox (ETP) lub ograniczenia w Safari (ITP)). To może wpływać na czas ich przechowywania i zasięg działania po stronie urządzenia.

Masz pełną kontrolę nad ciasteczkami i podobnymi technologiami. Możesz zarządzać zgodami w naszym banerze preferencji oraz zmienić ustawienia w swojej przeglądarce. Poniżej znajdują się ogólne ścieżki i oficjalne materiały pomocy producentów.

Google Chrome: Ustawienia → Prywatność i bezpieczeństwo → Pliki cookie i inne dane witryn. Instrukcje: support.google.com/chrome/answer/95647
Mozilla Firefox: Ustawienia → Prywatność i bezpieczeństwo → Ciasteczka i dane stron. Instrukcje: support.mozilla.org/pl/kb/ciasteczka
Apple Safari (macOS): Safari → Ustawienia → Prywatność (zarządzanie plikami cookie). Instrukcje: support.apple.com/pl-pl/guide/safari/sfri11471/mac
Microsoft Edge: Ustawienia → Pliki cookie i uprawnienia witryn → Pliki cookie i dane przechowywane. Instrukcje: support.microsoft.com/…/usuwanie-plików-cookie
Opera: Ustawienia → Prywatność i bezpieczeństwo → Ciasteczka i inne dane witryn. Instrukcje: help.opera.com/pl/latest/security-and-privacy/#cookies

Możesz także usuwać istniejące ciasteczka, blokować te stron trzecich lub ustawiać wyjątki dla wybranych witryn. Pamiętaj, że wyłączenie niezbędnych plików cookie może ograniczyć działanie serwisu (np. logowanie, bezpieczeństwo, obsługa płatności).

Czy korzystamy z narzędzi analitycznych i reklamowych?

Po wyrażeniu przez Ciebie zgody serwis może wykorzystywać narzędzia analityczne i reklamowe do pomiaru ruchu, poprawy użyteczności oraz dopasowania komunikacji marketingowej. Przykładowe kategorie dostawców obejmują rozwiązania analityczne (np. narzędzia do agregowania statystyk ruchu), testy A/B oraz platformy reklamowe umożliwiające pomiar skuteczności kampanii. Dostawcy ci otrzymują ograniczone dane (np. identyfikatory cookie, adres IP – z możliwością zastosowania anonimizacji/skracania, informacje o urządzeniu i zdarzeniach w witrynie) i przetwarzają je zgodnie z własnymi politykami prywatności.

Przykładowe polityki prywatności dostawców:

Google (Analytics/Ads): policies.google.com/privacy
Meta (Facebook/Instagram Ads): facebook.com/privacy/policy
Matomo (analityka on‑premise/first‑party): matomo.org/privacy-policy
Hotjar (mapy kliknięć/badania UX): hotjar.com/legal/policies/privacy
Zawsze możesz cofnąć lub zmienić zgodę w banerze preferencji. Dane zbierane do celów marketingowych nie są niezbędne do świadczenia usługi i ich brak nie wpływa na możliwość korzystania z konta, choć może ograniczyć personalizację treści.
Narzędzia analityczne powinny być konfigurowane zgodnie z zasadą minimalizacji danych (np. skracanie adresów IP, krótsze retencje, brak łączenia danych z innymi źródłami bez zgody), aby chronić Twoją prywatność.

Jeżeli przeglądarka blokuje śledzenie stron trzecich, część funkcji narzędzi reklamowych może nie działać lub będzie działać w ograniczonym zakresie. Nadal masz jednak dostęp do kluczowych usług serwisu, które opierają się na plikach cookie niezbędnych do ich działania.

Komu udostępniamy dane, gdzie je przekazujemy i jak długo je przechowujemy?

Nie sprzedajemy Twoich danych. Udostępnienie odbywa się wyłącznie: (a) podmiotom przetwarzającym działającym w naszym imieniu na podstawie umów powierzenia (art. 28 RODO), (b) niezależnym administratorom, gdy jest to konieczne do realizacji usługi (np. operatorzy płatności), (c) organom publicznym, jeżeli wymagają tego obowiązujące przepisy. Każdy podmiot przetwarzający jest zobowiązany do zachowania poufności, wdrożenia odpowiednich środków bezpieczeństwa i przetwarzania danych wyłącznie zgodnie z naszymi instrukcjami.

Komu powierzamy przetwarzanie danych (procesorzy)?

Powierzenie przetwarzania odbywa się na piśmie (również elektronicznie) zgodnie z art. 28 RODO i obejmuje wyłącznie zakres niezbędny do świadczenia danej usługi. Stosujemy weryfikację dostawców (due diligence), wymagamy zgodności z RODO, poufności i audytowalności.

Infrastruktura i hosting: centra danych oraz dostawcy chmury (preferencyjnie w EOG) zapewniający utrzymanie serwisu, kopie zapasowe, równoważenie obciążenia i ochronę DDoS.
Weryfikacja tożsamości (KYC) i AML/CFT: dostawcy narzędzi do weryfikacji dokumentów, sprawdzania PEP/sankcji, weryfikacji źródła środków; przetwarzają dane identyfikacyjne wyłącznie na nasze polecenie.
Płatności i wypłaty (często niezależni administratorzy): bramki płatnicze, emitenci kart, operatorzy portfeli elektronicznych; otrzymują tylko dane niezbędne do rozliczeń i przeciwdziałania nadużyciom.
Bezpieczeństwo i antyfraud: systemy wykrywania botów, analiz ryzyka, monitorowania anomalii logowania i transakcji.
Wsparcie i komunikacja: platformy obsługi klienta, systemy ticketowe, narzędzia do wysyłki powiadomień (e‑mail/SMS/push) — zgodnie z udzielonymi zgodami.
Analityka i pomiary wydajności: narzędzia agregujące statystyki ruchu i stabilności serwisu (aktywowane wyłącznie za Twoją zgodą, jeśli wymagana).
Księgowość, audyt i doradztwo prawne: podmioty wspierające rozliczenia oraz obsługę roszczeń i postępowań.

W przypadku niezależnych administratorów (np. operatorzy płatności) podmioty te samodzielnie określają cele i sposoby przetwarzania w swoim zakresie, a stosowne informacje znajdziesz w ich politykach prywatności. Dane udostępniamy im wyłącznie, gdy jest to konieczne i zgodne z prawem.

Czy przekazujemy dane poza EOG i na jakich zabezpieczeniach?

Jeżeli przetwarzanie wymaga przekazania danych poza Europejski Obszar Gospodarczy (EOG), stosujemy mechanizmy zgodne z rozdziałem V RODO, w tym:

Decyzje stwierdzające odpowiedni stopień ochrony wydane przez Komisję Europejską (np. dla Szwajcarii, Nowej Zelandii, Japonii, Republiki Korei, Zjednoczonego Królestwa, wybranych organizacji w Kanadzie i podmiotów certyfikowanych w ramach EU–US Data Privacy Framework). Informacje: commission.europa.eu/…/adequacy-decisions.
Standardowe klauzule umowne (SCC) Komisji Europejskiej zgodnie z decyzją wykonawczą 2021/914 — wraz z oceną skutków transferu (TIA), dodatkowymi środkami technicznymi/organizacyjnymi (np. szyfrowanie w tranzycie i spoczynku, pseudonimizacja, kontrola dostępu). Tekst SCC: eur-lex.europa.eu/eli/dec_impl/2021/914/oj.
EU–US Data Privacy Framework (DPF) — tylko wobec odbiorców certyfikowanych, co można zweryfikować w rejestrze: dataprivacyframework.gov.

W każdym przypadku oceniamy ryzyko transferu (w tym przepisy państwa przyjmującego) i dokumentujemy przyjęte zabezpieczenia. Masz prawo uzyskać kopię odpowiednich zabezpieczeń dotyczących przekazania danych; w tym celu skontaktuj się z nami. Informacje o organie nadzorczym w Polsce (UODO): uodo.gov.pl.

Jak długo przechowujemy Twoje dane?

Stosujemy zasadę minimalizacji i ograniczenia przechowywania (art. 5 ust. 1 lit. c i e RODO). Dane przechowujemy nie dłużej, niż jest to konieczne do celów, dla których zostały zebrane, z uwzględnieniem wymogów prawa (m.in. AML/CFT, podatki, rachunkowość) oraz terminów przedawnienia roszczeń w Polsce. Po upływie okresów retencji dane są bezpiecznie usuwane lub anonimizowane.

Kategoria danych	Cel główny	Okres przechowywania	Podstawa/uwagi
Konto i dane rejestracyjne	Utworzenie i obsługa konta	Przez czas trwania umowy, a następnie do upływu terminów przedawnienia	Co do zasady 6 lat; dla roszczeń okresowych i związanych z działalnością gospodarczą — 3 lata (K.c.)
Dokumenty i dane KYC/AML	Identyfikacja klienta, przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu	Co najmniej 5 lat od zakończenia relacji gospodarczej lub transakcji okazjonalnej; możliwe przedłużenie o kolejne 5 lat na żądanie właściwego organu	Wymogi AML/CFT wynikające z prawa UE i krajowych przepisów AML
Dane i dokumenty księgowe/podatkowe	Rozliczenia, wymogi rachunkowe i podatkowe	5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku	Ordynacja podatkowa (PL)
Logi bezpieczeństwa i zapobieganie nadużyciom	Ochrona systemów, detekcja incydentów	Przez okres niezbędny do wykrycia i udokumentowania incydentów oraz dochodzenia roszczeń	Uzasadniony interes (art. 6 ust. 1 lit. f RODO); zwykle do czasu przedawnienia roszczeń
Reklamacje i korespondencja z obsługą	Obsługa spraw, dowodowa dokumentacja kontaktu	Przez czas prowadzenia sprawy oraz do upływu terminów przedawnienia roszczeń	Umowa/uzasadniony interes (art. 6 ust. 1 lit. b/f RODO)
Dane marketingowe (na zgodzie)	Komunikacja marketingowa i personalizacja	Do wycofania zgody lub wniesienia sprzeciwu; rejestr zgód przechowywany dłużej w celach dowodowych	Zgoda (art. 6 ust. 1 lit. a RODO); obowiązek rozliczalności
Pliki cookie i identyfikatory online	Utrzymanie sesji, analityka, marketing	Ciasteczka sesyjne — do końca sesji; ciasteczka trwałe — zgodnie z parametrem żywotności lub do ręcznego usunięcia	Niezbędne — bez zgody; pozostałe — na podstawie zgody i ustawień przeglądarki
Dane związane ze sporami/powiązanymi postępowaniami	Ustalenie, dochodzenie lub obrona roszczeń	Do prawomocnego zakończenia sprawy i wykonania orzeczeń oraz do upływu terminów przedawnienia	Uzasadniony interes (art. 6 ust. 1 lit. f RODO)

Po zakończeniu okresów retencji dane są nieodwracalnie usuwane lub anonimizowane zgodnie z politykami bezpieczeństwa. Informacje o przysługujących Ci prawach i sposobach ich realizacji znajdziesz w odpowiednich sekcjach naszej Polityki Prywatności; możesz też skontaktować się z organem nadzorczym w Polsce: uodo.gov.pl.

Jakie masz prawa i jak z nich skorzystać?

Na mocy RODO masz szereg praw dotyczących swoich danych osobowych. Realizujemy je bez zbędnej zwłoki, co do zasady w ciągu miesiąca od otrzymania żądania (art. 12 ust. 3 RODO), z możliwością przedłużenia o maksymalnie dwa miesiące przy złożonych lub licznych wnioskach. Zanim spełnimy żądanie, możemy poprosić o dodatkowe informacje w celu weryfikacji tożsamości (art. 12 ust. 6 RODO). Pamiętaj, że niektóre prawa podlegają ograniczeniom wynikającym z przepisów (np. AML/CFT, podatkowych i rachunkowych), co może uniemożliwić np. natychmiastowe usunięcie wszystkich danych.

Prawo dostępu, sprostowania, usunięcia, ograniczenia

Możesz poprosić o kopię danych, poprawić nieprawidłowe informacje, usunąć je lub ograniczyć ich przetwarzanie w określonych sytuacjach. Poniżej wyjaśniamy zakres tych praw i typowe ograniczenia:

Prawo dostępu (art. 15 RODO): otrzymasz potwierdzenie przetwarzania, zakres danych, cele, kategorie odbiorców, okresy przechowywania, źródło danych, informacje o zautomatyzowanym podejmowaniu decyzji oraz kopię danych.
Prawo sprostowania (art. 16 RODO): poprawimy nieprawidłowe dane lub uzupełnimy niekompletne (z uwzględnieniem celu przetwarzania).
Prawo do usunięcia (art. 17 RODO): możemy usunąć dane, m.in. gdy nie są już potrzebne, cofniesz zgodę (i nie ma innej podstawy), wniesiesz skuteczny sprzeciw lub przetwarzanie jest niezgodne z prawem. Wyjątki: obowiązki prawne, w tym przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu (AML/CFT), zobowiązania podatkowo‑rachunkowe oraz ustalenie, dochodzenie lub obrona roszczeń.
Prawo do ograniczenia (art. 18 RODO): wstrzymamy operacje na danych poza przechowywaniem, gdy kwestionujesz ich prawidłowość (na czas weryfikacji), przetwarzanie jest niezgodne z prawem (i żądasz ograniczenia zamiast usunięcia), dane nie są już potrzebne, ale są niezbędne do roszczeń, lub wnosisz sprzeciw (do czasu rozstrzygnięcia).

Wnioski realizujemy nieodpłatnie, chyba że są oczywiście bezzasadne lub nadmierne (art. 12 ust. 5 RODO). W takiej sytuacji możemy pobrać rozsądną opłatę lub odmówić działania, uzasadniając decyzję.

Jak wnieść sprzeciw lub wycofać zgodę?

Masz prawo sprzeciwić się przetwarzaniu danych opartego na naszym prawnie uzasadnionym interesie (art. 21 RODO) oraz w dowolnym momencie wycofać zgodę (art. 7 ust. 3 RODO). Sprzeciw wobec marketingu bezpośredniego (w tym ewentualnego profilowania na potrzeby takiego marketingu) jest skuteczny bezwarunkowo i powoduje zaprzestanie tego przetwarzania.

Sprzeciw (art. 21 RODO): złóż wniosek, wskazując, które czynności oparte na „uzasadnionym interesie” kwestionujesz (np. podstawowa analityka, zabezpieczenia antyfraudowe). Możemy wykazać „ważne prawnie uzasadnione podstawy nadrzędne” lub potrzebę ustalenia/dochodzenia/obrony roszczeń — w takim przypadku sprzeciw może nie zostać uwzględniony.
Wycofanie zgody (art. 7 ust. 3 RODO): dotyczy operacji, które wcześniej zaakceptowałeś (np. marketing e‑mail/SMS, niektóre pliki cookie). Cofnięcie nie wpływa na zgodność z prawem przetwarzania przed jego dokonaniem. Jak to zrobić praktycznie:
Użyj panelu preferencji prywatności (baner cookie) do zarządzania zgodami na analitykę/marketing.
Skorzystaj z linku „wypisz się” w stopce wiadomości marketingowych lub ustawień konta, aby zrezygnować z komunikacji.
Prześlij żądanie z poziomu centrum pomocy/konta, jasno określając, czy dotyczy sprzeciwu (art. 21), czy cofnięcia zgody (art. 7 ust. 3).

Po otrzymaniu Twojego żądania zaktualizujemy rejestry w rozsądnym terminie i potwierdzimy realizację. Zmiany preferencji cookie mogą wymagać odświeżenia strony lub ponownego zalogowania.

Jak skontaktować się z nami lub Inspektorem Ochrony Danych?

W sprawach związanych z realizacją praw lub pytaniami o przetwarzanie danych skorzystaj z kanałów udostępnionych w serwisie (np. formularz kontaktowy w Centrum Pomocy lub zgłoszenie z poziomu konta). Jeżeli powołaliśmy Inspektora Ochrony Danych (IOD), dane kontaktowe IOD publikujemy w stopce serwisu i w panelu prywatności. Możesz również wnieść skargę do organu nadzorczego w Polsce — Prezesa Urzędu Ochrony Danych Osobowych (UODO): uodo.gov.pl.

Zgłoszenia RODO: złóż wniosek poprzez formularz w serwisie, opisując żądanie i zakres danych.
Weryfikacja: w razie potrzeby poprosimy o potwierdzenie tożsamości (tylko w niezbędnym zakresie).
Odpowiedź: udzielimy odpowiedzi do 1 miesiąca; w przypadku złożonych wniosków możemy wydłużyć termin maksymalnie o 2 miesiące, informując Cię o przyczynach i planowanym terminie.
Skarga do organu: masz prawo złożyć skargę do UODO niezależnie od kontaktu z nami.

Prawo	Podstawa prawna (RODO)	Warunki/zakres	Termin odpowiedzi	Ograniczenia/wyjątki
Dostęp do danych	Art. 15	Informacje o przetwarzaniu i kopia danych	Do 1 miesiąca (możliwe +2 miesiące)	Poufność praw osób trzecich; tajemnica przedsiębiorstwa
Sprostowanie	Art. 16	Korekta danych nieprawidłowych/niekompletnych	Bez zbędnej zwłoki	Weryfikacja poprawności; ograniczenia dowodowe
Usunięcie („bycie zapomnianym”)	Art. 17	Gdy dane nie są potrzebne, cofnięto zgodę, skuteczny sprzeciw, bezprawność	Do 1 miesiąca	Obowiązki prawne (np. AML/CFT min. 5 lat), podatkowe/rachunkowe, roszczenia
Ograniczenie przetwarzania	Art. 18	Na czas weryfikacji lub dla roszczeń	Do 1 miesiąca	Możliwe utrzymanie przechowywania bez operacji na danych
Przenoszenie danych	Art. 20	W formacie ustrukturyzowanym, powszechnie używanym, możliwym do odczytu maszynowego	Do 1 miesiąca	Tylko dane przetwarzane na podstawie zgody lub umowy i w sposób zautomatyzowany
Sprzeciw	Art. 21	Szczególnie wobec marketingu bezpośredniego lub „uzasadnionego interesu”	Niezwłocznie dla marketingu; inne — do 1 miesiąca	Dla nie‑marketingu możliwe ważne prawnie uzasadnione podstawy nadrzędne
Cofnięcie zgody	Art. 7 ust. 3	W dowolnym momencie, bez negatywnych konsekwencji	Niezwłocznie po odnotowaniu	Nie wpływa na zgodność przetwarzania sprzed cofnięcia
Brak decyzji opartych wyłącznie na automatyzacji	Art. 22	Prawo do interwencji ludzkiej, wyrażenia własnego stanowiska, zakwestionowania decyzji	Do 1 miesiąca	Nie dotyczy, gdy decyzja jest niezbędna do umowy, dozwolona prawem z zabezpieczeniami lub oparta na zgodzie
Skarga do organu nadzorczego	Art. 77	Do Prezesa UODO lub innego organu UE	Zgodnie z trybem organu	Niezależne od środków u administratora

Pełny tekst RODO znajdziesz w Dzienniku Urzędowym UE: eur-lex.europa.eu/eli/reg/2016/679/oj. Jeśli potrzebujesz pomocy w doborze właściwego wniosku, opisz swój cel (np. „kopie danych o wypłatach” lub „rezygnacja z marketingu”), a wskażemy najwłaściwszy tryb działania.

Bezpieczeństwo, profilowanie i odpowiedzialna gra — jak to działa?

Chronimy Twoje dane, stosując podejście „privacy by design” i „security by default” oraz środki adekwatne do ryzyka (art. 25 i art. 32 RODO). Łączymy zabezpieczenia techniczne i organizacyjne, ciągłe monitorowanie oraz kontrolę dostępu, aby zapewnić poufność, integralność i dostępność informacji. Mechanizmy antyfraudowe i odpowiedzialnej gry działają w granicach prawa, z poszanowaniem Twoich praw, w tym prawa do interwencji człowieka w przypadku decyzji podejmowanych w sposób zautomatyzowany.

Jak chronimy dane (środki techniczne i organizacyjne)?

Stosujemy wielowarstwowe zabezpieczenia na poziomie ludzi, procesów i technologii. Poniżej przedstawiamy kluczowe obszary ochrony oraz przykładowe środki kontrolne, które wdrażamy proporcjonalnie do ryzyka.

Kontrola dostępu i uwierzytelnianie: zasada najmniejszych uprawnień, separacja obowiązków, wieloskładnikowe uwierzytelnianie (MFA) dla dostępu administracyjnego, okresowy przegląd uprawnień.
Szyfrowanie: transmisja danych z wykorzystaniem protokołów TLS 1.2/1.3 oraz silnych pakietów kryptograficznych; szyfrowanie danych w spoczynku (np. AES‑256), zarządzanie kluczami z kontrolą dostępu i rotacją.
Bezpieczeństwo aplikacji i SDLC: przeglądy kodu, testy statyczne i dynamiczne, skanowanie podatności, zarządzanie zależnościami, testy penetracyjne ukierunkowane na ryzyka OWASP Top 10.
Monitorowanie i reagowanie: centralizacja logów, korelacja zdarzeń (SIEM), alertowanie anomalii, gotowe procedury reagowania na incydenty, rejestrowanie i analiza przyczyn.
Odporność i ciągłość: kopie zapasowe, testy odtwarzania, separacja środowisk (produkcyjne/testowe), kontrola zmian, hardening systemów.
Bezpieczeństwo dostawców: umowy powierzenia, weryfikacja środków bezpieczeństwa, ocena ryzyka i audyty zgodnie z wymaganiami art. 28 RODO.
Polityki i szkolenia: regularne szkolenia personelu z ochrony danych i bezpieczeństwa informacji, polityki czystego biurka/ekranu, procedury klasyfikacji informacji.
Ochrona fizyczna: korzystanie z centrów danych o kontrolowanym dostępie fizycznym i środowiskowym, z redundancją zasilania i łączy.

Obszar	Przykładowy środek	Cel	Odniesienie (dobre praktyki/prawo)
Transmisja danych	TLS 1.2/1.3, silne szyfry (np. AES‑256‑GCM)	Ochrona przed podsłuchem i modyfikacją	RODO art. 32 (odpowiednie środki); zalecenia IETF dla TLS 1.3
Dane w spoczynku	Szyfrowanie dysków/baz, rotacja kluczy	Redukcja skutków nieuprawnionego dostępu	RODO art. 32; ISO/IEC 27002 (kontrola 8.25 Kryptografia)
Dostęp uprzywilejowany	MFA, PAM, przeglądy uprawnień	Ograniczenie ryzyka nadużyć i przejęć kont	NIST SP 800‑63B (uwierzytelnianie); RODO zasada minimalizacji
Bezpieczeństwo aplikacji	Code review, SAST/DAST, zarządzanie podatnościami	Wczesne wykrywanie i eliminacja błędów	OWASP ASVS/Top 10 (dobre praktyki inżynierii)
Monitorowanie i incydenty	SIEM, playbooki IR, rejestrowanie zdarzeń	Szybkie wykrycie i skuteczna reakcja	RODO art. 33–34 (zgłaszanie naruszeń); ISO/IEC 27035
Odporność	Kopie zapasowe, testy odtwarzania, separacja środowisk	Zapewnienie dostępności i integralności	RODO art. 32 ust. 1 lit. b (odporność systemów)
Zarządzanie dostawcami	Ocena ryzyka, umowy powierzenia, audyty	Kontrola łańcucha przetwarzania	RODO art. 28 (podmioty przetwarzające)

Czy stosujemy profilowanie i automatyczne decyzje w ocenie ryzyka?

Możemy stosować profilowanie na potrzeby bezpieczeństwa, zgodności i odpowiedzialnej gry, aby wykrywać nadużycia, oceniać ryzyko transakcji oraz zapobiegać korzystaniu z usług niezgodnie z regulaminem lub prawem. Profilowanie może wykorzystywać m.in. dane o aktywności konta, wzorce transakcyjne, adres IP (lokalizacja przybliżona), identyfikatory urządzeń, historię logowań oraz wskaźniki reputacji. Wynik oceny ryzyka może skutkować np. koniecznością dodatkowej weryfikacji, czasowym ograniczeniem funkcji lub wstrzymaniem wypłaty do momentu zakończenia kontroli zgodności (np. wymogi AML/CFT). Nie polegamy na wyłącznie zautomatyzowanych decyzjach wywołujących skutki prawne lub w podobny sposób istotnie na Ciebie wpływające bez wdrożenia odpowiednich zabezpieczeń przewidzianych w art. 22 RODO, w tym prawa do uzyskania interwencji człowieka, wyrażenia własnego stanowiska i zakwestionowania decyzji.

Zakres celów: bezpieczeństwo (antyfraud), zgodność (AML/CFT), integralność promocji/bonusów, odpowiedzialna gra.
Ograniczenie danych: wykorzystujemy tylko dane adekwatne i niezbędne do danego celu; okres przechowywania jest ograniczony do niezbędnego minimum.
Twoje prawa: możesz zażądać wyjaśnień co do logiki, znaczenia i przewidywanych konsekwencji profilowania w danym przypadku oraz domagać się przeglądu przez człowieka.

Polityka dla nieletnich i ograniczenia wiekowe

Usługi przeznaczone są wyłącznie dla osób pełnoletnich (co najmniej 18 lat). Nie gromadzimy świadomie danych osób małoletnich ani nie kierujemy do nich komunikacji marketingowej. W procesie rejestracji i obsługi konta stosujemy weryfikację wieku i tożsamości (KYC). Jeżeli uzyskamy wiarygodną informację, że konto należy do osoby niepełnoletniej, podejmujemy działania obejmujące niezwłoczne zablokowanie konta, przeprowadzenie weryfikacji oraz usunięcie danych w zakresie dozwolonym prawem.

Weryfikacja wieku: sprawdzenie dokumentów tożsamości oraz innych wiarygodnych danych w ramach procesu KYC.
Ograniczenia dostępu: blokada usług i wypłat w razie braku lub negatywnej weryfikacji pełnoletniości.
Usuwanie danych: dane osób zidentyfikowanych jako małoletnie usuwamy niezwłocznie, o ile prawo nie wymaga ich zachowania (np. w ramach postępowania wyjaśniającego).
Wskazówki dla opiekunów: zalecamy korzystanie z funkcji kontroli rodzicielskiej systemów operacyjnych i dostawców oprogramowania oraz zabezpieczenie urządzeń hasłem.
Odpowiedzialna gra: umożliwiamy ustawienie limitów (czas, depozyty, straty), przerw w grze oraz samowykluczenia; w razie potrzeby udostępniamy informacje o organizacjach oferujących wsparcie.

Często Zadawane Pytania

Kto jest administratorem moich danych w Vulkan Casino i gdzie znajdę kontakt do IOD?

Administratorem jest podmiot wskazany w stopce serwisu i w sekcji Polityki „Jak skontaktować się z nami lub Inspektorem Ochrony Danych?”. Dane kontaktowe IOD (jeśli powołany) są publikowane w tym samym miejscu. Aby przyspieszyć obsługę, w wiadomości podaj e‑mail przypisany do konta, ID konta (jeśli je znasz) i precyzyjnie opisz żądanie. Odpowiedź na wniosek RODO powinna zostać udzielona do 1 miesiąca, z możliwością wydłużenia maksymalnie o 2 miesiące przy sprawach złożonych (art. 12 ust. 3 RODO).

Jak złożyć wniosek RODO (dostęp, usunięcie, sprostowanie, sprzeciw) w Vulkan Casino?

Złóż wniosek przez formularz w Centrum Pomocy lub z poziomu konta, a następnie potwierdź tożsamość na żądanie administratora. W treści wskaż precyzyjnie uprawnienie (np. art. 15 – dostęp, art. 17 – usunięcie) i zakres danych lub okres, którego dotyczy wniosek. Zasadą jest brak opłat; opłata może zostać naliczona tylko przy żądaniach oczywiście bezzasadnych lub nadmiernych (art. 12 ust. 5 RODO). Termin odpowiedzi wynosi do 1 miesiąca, z możliwym wydłużeniem o kolejne 2 miesiące przy wnioskach licznych lub skomplikowanych.

Jakie dokumenty KYC/AML są akceptowane i kiedy będą wymagane?

Najczęściej akceptowane są dowód osobisty lub paszport do potwierdzenia tożsamości oraz dokument potwierdzający adres (np. rachunek za media lub wyciąg bankowy wystawiony w ostatnich 3 miesiącach). Weryfikacja tożsamości jest wymagana przy zakładaniu konta i w trakcie relacji, a obowiązki AML nakazują stosować środki należytej staranności m.in. przy transakcjach okazjonalnych od równowartości 2 000 EUR (dyrektywy AML UE) lub w razie stwierdzonego ryzyka. Dane KYC/AML co do zasady przechowuje się co najmniej 5 lat od zakończenia relacji, z możliwością przedłużenia o kolejne 5 lat na żądanie organu.

Czym jest weryfikacja źródła środków (Source of Funds) i kiedy może wstrzymać wypłatę?

To procedura żądania dowodów legalnego pochodzenia pieniędzy (np. paski wynagrodzeń, wyciągi bankowe z 3–6 ostatnich miesięcy, PIT/zeznanie podatkowe), uruchamiana przy podwyższonym ryzyku AML lub nietypowych wzorcach transakcji. W praktyce może zostać zastosowana przy kumulacji wpłat lub pojedynczych transakcjach od 2 000 EUR, przy szybkiej eskalacji stawek, rozbieżnościach danych KYC albo przed dużą wypłatą; do zakończenia weryfikacji wypłata może zostać czasowo wstrzymana zgodnie z przepisami AML, a dokumentacja jest przechowywana co najmniej 5 lat.

Czy i kiedy Vulkan Casino zgłasza naruszenia ochrony danych (data breach)?

Jeśli naruszenie może powodować ryzyko naruszenia praw lub wolności osób, administrator zgłasza je do UODO w ciągu 72 godzin od stwierdzenia (art. 33 RODO). Gdy ryzyko jest wysokie, użytkownicy są informowani bez zbędnej zwłoki (art. 34 RODO), ze wskazaniem charakteru incydentu, możliwych konsekwencji oraz środków zastosowanych lub proponowanych do ich ograniczenia. Komunikacja może nastąpić e‑mailem, w aplikacji lub na koncie użytkownika, a rejestr zdarzenia jest dokumentowany zgodnie z zasadą rozliczalności.

Czy Vulkan Casino przekazuje dane poza EOG i jak uzyskać kopię zabezpieczeń transferu?

Transfery poza EOG mogą odbywać się wyłącznie z zastosowaniem mechanizmów z rozdziału V RODO, takich jak Standardowe Klauzule Umowne 2021/914, decyzje adekwatności lub EU–US Data Privacy Framework. Kopię odpowiednich zabezpieczeń (np. obowiązujących modułów SCC i opisów środków technicznych jak szyfrowanie TLS 1.2/1.3 i AES‑256) możesz otrzymać po złożeniu wniosku do administratora; informacje wrażliwe mogą zostać zanonimizowane ze względu na bezpieczeństwo.

Jakie dane mogę przenieść (prawo do przenoszenia) i w jakim formacie je otrzymam?

Przenoszeniu podlegają dane, które Ciebie dotyczą, zostały dostarczone przez Ciebie i są przetwarzane na podstawie umowy lub zgody oraz w sposób zautomatyzowany (art. 20 RODO). Zwykle obejmuje to dane rejestracyjne i wybrane dane transakcyjne powiązane z Twoją aktywnością; nie obejmuje to ocen ryzyka AML, wewnętrznych notatek czy danych objętych obowiązkiem prawnym. Dane są przekazywane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, typowo CSV lub JSON, w terminie do 1 miesiąca.

Jak długo przechowywane są moje dane po zamknięciu konta? Podajcie konkretny przykład.

Okres zależy od kategorii danych: AML to co najmniej 5 lat od zakończenia relacji, księgowość i podatki 5 lat licząc od końca roku podatkowego, a ogólne roszczenia w Polsce zasadniczo do 6 lat. Przykład: jeśli konto zamkniesz 15.05.2026, dokumenty AML można przechowywać co najmniej do 15.05.2031, dokumenty podatkowe za operacje z 2026 roku do 31.12.2031, a wybrane logi lub dane niezbędne do obrony roszczeń do 2032 roku (6 lat od końca 2026).

Jakie dane są udostępniane operatorom płatności i czy są oni niezależnymi administratorami?

Operatorom płatności przekazuje się wyłącznie informacje niezbędne do rozliczenia i bezpieczeństwa, takie jak identyfikator transakcji, kwota, waluta, maskowane dane instrumentu (np. ostatnie 4 cyfry karty), token płatniczy, znacznik czasu oraz ograniczone dane o urządzeniu i ryzyku. W swoim zakresie operatorzy działają zwykle jako niezależni administratorzy, prowadząc własne rejestry zgodności (PCI DSS, AML) i retencje; ich zasady opisane są w ich politykach prywatności.

Czy mogę otrzymać historię logowań i adresów IP mojego konta?

Tak, w ramach prawa dostępu (art. 15 RODO) możesz wnioskować o kopię danych, która – o ile to możliwe i nie narusza praw innych osób – może obejmować znaczniki czasu logowań, przybliżone lokalizacje na podstawie IP, typ przeglądarki i urządzenia oraz identyfikatory sesji. Wniosek powinien wskazywać okres (np. od 01.01.2026 do 31.12.2026) i zakres danych, aby przyspieszyć przetwarzanie; odpowiedź powinna nastąpić do 1 miesiąca.

Czy Vulkan Casino stosuje profilowanie lub w pełni zautomatyzowane decyzje wobec graczy?

Stosowane może być profilowanie ryzyka i nadużyć (antyfraud, AML/CFT, odpowiedzialna gra), ale nie są podejmowane wyłącznie zautomatyzowane decyzje wywołujące skutki prawne bez przewidzianych zabezpieczeń (art. 22 RODO). Przykładowo, nietypowy wzorzec logowania łączony z przyspieszoną dynamiką stawek może wywołać dodatkową weryfikację KYC lub wymóg silnego uwierzytelnienia; masz prawo do interwencji człowieka, przedstawienia stanowiska i zakwestionowania decyzji.

Czy i kiedy dane są udostępniane organom państwowym w Polsce lub UE?

Dane mogą być przekazywane wyłącznie na podstawie obowiązku prawnego, m.in. w ramach przepisów AML/CFT (np. zgłoszenia transakcji podejrzanych do właściwego organu) lub na wiążące żądanie uprawnionych organów. Zakres ujawnienia jest ograniczony do minimum niezbędnego do celu postępowania i dokumentowany zgodnie z zasadą rozliczalności; przepisy AML pozwalają nie informować osoby, której dane dotyczą, o dokonanym zgłoszeniu, aby nie utrudniać czynności organów.

Zgodę na e‑mail/SMS/push cofniesz w ustawieniach konta lub przez link rezygnacji w stopce wiadomości, a preferencje analityczne i reklamowe zmienisz w banerze zgód na stronie. Aby wyczyścić dane urządzenia przechowywane przez przeglądarkę (np. cookie, localStorage), usuń dane witryny w ustawieniach przeglądarki; zmiany obowiązują od momentu odnotowania cofnięcia, a wyświetlanie treści może wymagać odświeżenia strony lub ponownego logowania.

Czy używacie precyzyjnej geolokalizacji użytkownika?

Nie stosuje się precyzyjnej geolokalizacji bez wyraźnej zgody; do celów zgodności i bezpieczeństwa wykorzystywana jest przybliżona lokalizacja na podstawie adresu IP. Taka lokalizacja służy m.in. do stosowania ograniczeń terytorialnych i wykrywania nadużyć, a jej dokładność zależy od dostawcy danych IP i bywa niższa na poziomie miasta niż kraju; dane nie są łączone z GPS ani danymi z czujników urządzenia bez Twojej zgody.

Czy dane są przechowywane w chmurze i jakie standardy bezpieczeństwa są stosowane?

Dane mogą być przetwarzane w centrach danych i chmurach zlokalizowanych preferencyjnie w EOG, z zastosowaniem szyfrowania w tranzycie (TLS 1.2/1.3) i w spoczynku (np. AES‑256) oraz kontrolą dostępu według zasady najmniejszych uprawnień. Dostawcy infrastruktury są weryfikowani pod kątem zgodności i bezpieczeństwa (np. certyfikacje ISO/IEC 27001), a proces obejmuje testy bezpieczeństwa aplikacji, monitorowanie zdarzeń (SIEM) i gotowe procedury reagowania na incydenty zgodnie z art. 32–34 RODO.