Polityka prywatności
Jak przetwarzamy Twoje dane osobowe, jakie masz prawa i kogo dotyczą te zasady.
Wersja obowiązująca od: .
§1. Administrator danych
Administratorem Twoich danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) jest:
LAPER WITOLD ARAMOWICZ
NIP: 9731121220
Siedziba: Wrocław, Polska
E-mail: kontakt@laper.pl
Wszystkie sprawy dotyczące ochrony danych — w tym realizację Twoich praw — kierujesz na adres e-mail kontakt@laper.pl. Administrator nie powołał Inspektora Ochrony Danych (IOD), ponieważ nie ma takiego obowiązku.
§2. Zakres przetwarzanych danych
W zależności od tego, jak korzystasz z serwisu Laper, przetwarzamy następujące kategorie danych:
- Dane konta: imię, nazwisko, adres e-mail, hasło (przechowywane wyłącznie w postaci skrótu — bcrypt), numer telefonu, rola (uczestnik / organizator / administrator).
- Dane uczestnika biegu: data urodzenia, płeć, obywatelstwo, adres zamieszkania, telefon kontaktowy (ICE), klub sportowy, rozmiar koszulki, najlepsze czasy, informacje medyczne (alergie, choroby — jeśli organizator o nie pyta).
- Dane organizatora: nazwa organizacji, NIP, adres rozliczeniowy, numer konta bankowego, dane kontaktowe.
- Dane transakcyjne: kwota opłaty startowej, status płatności, numer transakcji Przelewy24, data wpłaty, dane do faktury VAT (jeśli żądana).
- Dane sportowe: numer startowy, czas brutto/netto, miejsce w klasyfikacji generalnej i wiekowej, fotografie z trasy biegu, nagrania z kamer pomiarowych.
- Dane techniczne: adres IP, identyfikator sesji, dane przeglądarki (User-Agent), pliki cookies, log aktywności (data logowania, akcje w panelu).
- Treść korespondencji: wiadomości wysłane przez formularz kontaktowy lub bezpośrednio na nasz e-mail.
§3. Cele i podstawy prawne przetwarzania
Twoje dane przetwarzamy w następujących celach i na następujących podstawach prawnych:
| Cel przetwarzania | Podstawa prawna RODO |
|---|---|
| Świadczenie usług platformy (założenie i prowadzenie konta, zapisy na wydarzenia, pomiar czasu, publikacja wyników) | art. 6 ust. 1 lit. b RODO — wykonanie umowy |
| Realizacja płatności online i obsługa reklamacji finansowych | art. 6 ust. 1 lit. b RODO — wykonanie umowy art. 6 ust. 1 lit. c RODO — obowiązek prawny (rachunkowość, podatki) |
| Wystawianie faktur VAT i prowadzenie ksiąg rachunkowych | art. 6 ust. 1 lit. c RODO — obowiązek prawny (ustawa o rachunkowości, ustawa o VAT) |
| Rejestracja wizerunku w punktach pomiaru w celu identyfikacji zawodnika | art. 6 ust. 1 lit. b RODO — wykonanie umowy o pomiar czasu, którą uczestnik zawiera akceptując regulamin wydarzenia |
| Publikacja zdjęć z trasy biegu do pobrania przez uczestników | art. 6 ust. 1 lit. a RODO — zgoda wyrażona w regulaminie wydarzenia |
| Marketing własnych usług (newsletter, informacje o nowych biegach) | art. 6 ust. 1 lit. a RODO — zgoda (newsletter) art. 6 ust. 1 lit. f RODO — uzasadniony interes (marketing bezpośredni dot. własnych usług) |
| Dochodzenie i obrona roszczeń | art. 6 ust. 1 lit. f RODO — uzasadniony interes administratora |
| Zapewnienie bezpieczeństwa serwisu (logi, wykrywanie nadużyć) | art. 6 ust. 1 lit. f RODO — uzasadniony interes |
| Informacje medyczne podane przez uczestnika | art. 9 ust. 2 lit. a RODO — wyraźna zgoda na przetwarzanie danych szczególnej kategorii |
§4. Okresy przechowywania danych
- Dane konta użytkownika — przez czas trwania umowy (do usunięcia konta), a po jej zakończeniu przez okres przedawnienia roszczeń (zazwyczaj 6 lat — art. 118 KC).
- Konta nieaktywne, niepotwierdzone e-mailem — usuwane automatycznie po 24 godzinach od rejestracji.
- Dane uczestnika biegu i wyniki sportowe — przechowywane bezterminowo w archiwum wyników (publikacja w klasyfikacjach), o ile uczestnik nie zażąda anonimizacji.
- Zdjęcia z trasy biegu — do 12 miesięcy od dnia wydarzenia, następnie usuwane (z wyjątkiem zdjęć zgłoszonych do reklamacji wyniku).
- Nagrania z kamer pomiarowych (raw video) — do 30 dni od dnia wydarzenia, następnie automatycznie usuwane (z wyjątkiem materiałów objętych postępowaniem reklamacyjnym lub prawnym).
- Dane do faktury VAT i transakcyjne — przez okres 5 lat licząc od końca roku kalendarzowego, w którym wystawiono fakturę (zgodnie z ustawą o rachunkowości i ordynacją podatkową).
- Korespondencja e-mail z administratorem — do 3 lat od ostatniej wiadomości, następnie usuwana.
- Logi serwerowe i dane techniczne — do 12 miesięcy.
- Newsletter (zgoda marketingowa) — do momentu wycofania zgody.
- Dane medyczne uczestnika — usuwane w ciągu 30 dni po zakończeniu wydarzenia, chyba że uczestnik kontynuuje udział w cyklu zawodów.
§5. Odbiorcy danych
Twoje dane mogą zostać udostępnione następującym kategoriom odbiorców — wyłącznie w zakresie niezbędnym do realizacji celu:
- Organizator wydarzenia, na które się zapisałeś — w zakresie potrzebnym do prowadzenia zawodów, opublikowania wyników i wystawienia ewentualnej faktury.
- PayPro S.A. (Przelewy24) — operator płatności online — w zakresie niezbędnym do realizacji transakcji.
- Brevo (Sendinblue SAS) — dostawca usługi e-mail (transakcyjne maile, newsletter).
- Supabase Inc. — dostawca hostingu bazy danych i uwierzytelniania (na podstawie Standardowych Klauzul Umownych UE, dane przechowywane w UE).
- dhosting.pl Sp. z o.o. — dostawca hostingu strony (serwery w Polsce).
- Biuro księgowe / kancelaria prawna obsługujące administratora — w zakresie niezbędnym do prowadzenia spraw księgowych i prawnych.
- Organy publiczne (policja, prokuratura, sąd, urząd skarbowy) — wyłącznie na żądanie organu i w zakresie wymaganym przez przepisy prawa.
Nie sprzedajemy ani nie wymieniamy Twoich danych z podmiotami trzecimi w celach marketingowych.
§6. Przekazywanie danych poza Europejski Obszar Gospodarczy
Większość przetwarzania Twoich danych odbywa się w obrębie EOG (Polska — hosting strony na dhosting.pl, Supabase — serwery w UE, Brevo — serwery w UE). Jeżeli kiedykolwiek pojawi się konieczność przekazania danych poza EOG (np. w razie zmiany dostawcy usług), nastąpi to wyłącznie na podstawie Standardowych Klauzul Umownych zatwierdzonych przez Komisję Europejską oraz dodatkowych zabezpieczeń technicznych (szyfrowanie w spoczynku i w trakcie przesyłania). O każdej takiej zmianie poinformujemy z 14-dniowym wyprzedzeniem.
§7. Twoje prawa (RODO art. 15–22)
W związku z przetwarzaniem Twoich danych masz następujące prawa:
- Prawo dostępu do danych (art. 15 RODO) — możesz uzyskać kopię swoich danych oraz informację o sposobie i celach ich przetwarzania.
- Prawo do sprostowania (art. 16 RODO) — żądanie poprawienia nieaktualnych lub błędnych danych.
- Prawo do usunięcia danych („prawo do bycia zapomnianym") (art. 17 RODO) — w określonych przypadkach, m.in. gdy dane nie są już niezbędne lub gdy wycofałeś zgodę.
- Prawo do ograniczenia przetwarzania (art. 18 RODO) — np. gdy kwestionujesz prawidłowość danych.
- Prawo do przenoszenia danych (art. 20 RODO) — otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie (np. JSON / CSV).
- Prawo do sprzeciwu (art. 21 RODO) — wobec przetwarzania opartego na uzasadnionym interesie (w tym marketingu bezpośredniego).
- Prawo do wycofania zgody (art. 7 ust. 3 RODO) — w każdej chwili, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
- Prawo wniesienia skargi do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
Aby skorzystać z tych praw, napisz na kontakt@laper.pl. Odpowiadamy w terminie do 30 dni od otrzymania żądania (z możliwością przedłużenia o kolejne 2 miesiące w skomplikowanych przypadkach — z informacją o powodzie).
§8. Pliki cookies i podobne technologie
Serwis korzysta z plików cookies w dwóch celach:
- Cookies niezbędne (sesja użytkownika, koszyk zapisów, preferencja języka) — nie wymagają zgody, są warunkiem działania serwisu.
- Cookies statystyczne i analityczne (jeśli są używane) — wyłącznie po wyrażeniu zgody. Możesz wycofać zgodę i wyczyścić cookies w ustawieniach przeglądarki.
Nie stosujemy cookies reklamowych ani profilujących stron trzecich. Nie używamy automatycznych decyzji ani profilowania, które wywoływałyby skutki prawne wobec użytkownika.
§9. Wizerunek a RODO — uczestnictwo w wydarzeniu
System Laper opiera się na analizie obrazu z kamer w punktach pomiaru czasu. W konsekwencji w trakcie udziału w wydarzeniu Twój wizerunek jest rejestrowany w celu:
- identyfikacji zawodnika i przypisania mu właściwego czasu (podstawa: wykonanie umowy o pomiar czasu, art. 6 ust. 1 lit. b RODO),
- udostępnienia uczestnikowi zdjęć z trasy biegu (podstawa: zgoda wyrażona w regulaminie wydarzenia, art. 6 ust. 1 lit. a RODO).
Klauzula zgody na rejestrację i przetwarzanie wizerunku jest częścią regulaminu każdego wydarzenia. Wycofanie zgody na publikację zdjęć możliwe jest w każdej chwili (zdjęcia uczestnika zostają usunięte z galerii w ciągu 7 dni) — wycofanie nie wpływa na zgodność z prawem rejestracji w celu pomiaru czasu.
§10. Bezpieczeństwo danych
Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony Twoich danych:
- Szyfrowanie połączenia HTTPS/TLS 1.3 na całej stronie.
- Hasła przechowywane wyłącznie w postaci skrótu (bcrypt) — administrator nie ma dostępu do Twojego hasła w postaci jawnej.
- Uwierzytelnianie dwuetapowe dla kont administracyjnych.
- Regularne kopie zapasowe bazy danych.
- Ograniczony dostęp do danych na poziomie uprawnień (Row Level Security w bazie danych).
- Logi dostępu administratora — w razie naruszenia danych powiadamiamy Prezesa UODO w terminie 72 godzin oraz osoby, których dotyczy naruszenie, jeśli ryzyko jest wysokie.
§11. Zmiany polityki prywatności
O istotnych zmianach polityki informujemy z co najmniej 14-dniowym wyprzedzeniem na adres e-mail powiązany z kontem oraz w widocznym miejscu na stronie głównej. Aktualna wersja jest zawsze dostępna pod tym adresem.
§12. Kontakt w sprawach danych osobowych
W każdej sprawie związanej z przetwarzaniem danych osobowych (realizacja praw, pytania, skargi) skontaktuj się z administratorem:
E-mail: kontakt@laper.pl
Adresat: LAPER WITOLD ARAMOWICZ, NIP 9731121220, Wrocław