Pomiń nawigację
Graj w Mundial

Polityka prywatności

Obowiązuje od 1 czerwca 2026. Ostatnia aktualizacja: 23.05.2026.

1. Administrator danych

Administratorem danych osobowych użytkowników serwisu Dobitka (dostępnego pod adresem dobitka.pl) jest:

Mateusz Rutkowski Testy
Kraków, Polska
NIP: 7962790612
REGON: 381659867

Pełne dane rejestrowe (w tym adres prowadzenia działalności) dostępne są w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) pod podanym numerem NIP.

W sprawach dotyczących przetwarzania danych osobowych możesz skontaktować się z nami mailowo pod adresem: rodo@dobitka.pl.

2. Inspektor Ochrony Danych (IOD)

Administrator nie wyznaczył Inspektora Ochrony Danych, ponieważ nie spełnia przesłanek z art. 37 RODO (skala działalności). Wszelkie pytania dotyczące przetwarzania danych można kierować bezpośrednio do Administratora (sekcja 1).

Jeśli skala działalności wzrośnie i pojawi się obowiązek wyznaczenia IOD - zaktualizujemy tę sekcję mailem do Użytkowników.

3. Jakie dane zbieramy i po co

  • Konto Użytkownika - adres email (do uwierzytelniania kodem z maila albo przez Google), opcjonalny nickname, ulubiony klub, wybór persony komentatora. Dane służą do logowania, personalizacji Serwisu i przypisania do ligi klubowej.
  • Audyt zgody - timestamp pierwszej zgody na warunek 18+ + akceptacji Regulaminu (adult_confirmed_at). Wymóg z RODO art. 7 ust. 1 - administrator musi być w stanie wykazać że osoba wyraziła zgodę.
  • Setupy meczowe - wybrany alternatywny skład, formacja, suwaki stylu (press/tempo/direct), warunkowe zmiany. Dane wysyłane są do serwisu symulacyjnego oraz do modelu AI Claude (Anthropic) w celu wygenerowania narracji.
  • Wyniki symulacji i statystyki - symulowane wyniki Twoich składów, punkty w lidze klubowej, historia składów. Służą do tabel ligi i analizy własnej skuteczności.
  • Dane subskrypcji (gdy włączymy płatności) - id klienta Stripe, status subskrypcji, plan (Premium / Ultra), historia faktur. Dane karty płatniczej NIE trafiają do nas - operuje nimi Stripe Payments Europe Ltd.
  • Email transakcyjny - adresy email wysyłki przez Resend (welcome, powiadomienia o wynikach symulacji, powiadomienia o zmianach Regulaminu).
  • Dane techniczne - adres IP (hashowany z solą, nie przechowujemy surowego IP), User-Agent, token CSRF/sesji. Używamy ich do ograniczania nadużyć (rate limiting), zabezpieczenia sesji i debugowania.

4. Podstawa prawna (RODO art. 6)

  • Art. 6 ust. 1 lit. b RODO - wykonanie umowy (założenie Konta, prowadzenie ligi klubowej, świadczenie symulacji, obsługa subskrypcji).
  • Art. 6 ust. 1 lit. a RODO - Twoja zgoda (zapis na opcjonalne powiadomienia mailowe poza transakcyjnymi, oświadczenie 18+).
  • Art. 6 ust. 1 lit. c RODO - obowiązek prawny (faktury, archiwizacja księgowa zgodnie z art. 86 Ordynacji podatkowej - 5 lat).
  • Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes administratora (bezpieczeństwo Serwisu, obrona przed atakami, rate limiting, logi techniczne, fraud detection).

5. Jak długo przechowujemy dane

  • Konto Użytkownika - do momentu usunięcia Konta przez Użytkownika lub Administratora.
  • Setupy i wyniki symulacji - do końca sezonu piłkarskiego, w którym Setup został rozegrany. Po sezonie agregujemy do statystyk anonimowych.
  • Dane subskrypcji i płatności - przez cały okres aktywnej subskrypcji, plus 5 lat (obowiązek księgowy).
  • Adresy email kontaktowe / transakcyjne - do momentu usunięcia Konta lub rezygnacji z określonego rodzaju maila.
  • Hashowany IP + metadane żądań - maksymalnie 30 dni, potem automatycznie kasowane.
  • Logi serwera (Vercel, GitHub Actions) - zgodnie z polityką dostawcy (Vercel: 30 dni domyślnie).

6. Komu udostępniamy dane (podmioty przetwarzające)

Korzystamy z następujących dostawców (procesorów danych w rozumieniu RODO art. 28). Z każdym mamy/będziemy mieli zawartą umowę powierzenia przetwarzania danych (DPA - Data Processing Agreement):

  • Vercel Inc. (USA, hosting aplikacji + cron jobs) - transfer danych na podstawie Standard Contractual Clauses (SCC). vercel.com/legal/privacy-policy
  • Supabase Inc. (USA, baza danych + auth) - region instancji EU. DPA + SCC. supabase.com/privacy
  • Stripe Payments Europe Ltd. (Irlandia, operator płatności i fakturowania subskrypcji). Dane karty NIE trafiają do Dobitki - operuje nimi Stripe. stripe.com/privacy
  • Resend (USA, wysyłka emaili) - adresy email odbiorców, nagłówki, statusy dostarczenia. SCC. resend.com/legal/privacy-policy
  • Anthropic PBC (USA, modele Claude AI) - treść Setupu (skład, formacja, decyzje, statystyki) idzie do modelu w celu wygenerowania narracji. Anthropic deklaruje, że nie trenuje modeli na danych z API. SCC. anthropic.com/legal/privacy
  • Railway / Fly.io (operator serwisu symulacyjnego FastAPI) - przekazujemy parametry Setupu i stat klubów. Brak danych osobowych poza wewnętrznym ID lineupu.
  • Upstash (USA/EU, Redis dla rate-limitingu) - hashowany IP + licznik żądań, TTL kilkanaście minut.
  • API-Sports / API-Football - wyłącznie dane piłkarskie (mecze, składy realne, statystyki). Nie przekazujemy danych osobowych Użytkowników.

7. Transfer danych poza EOG

Część dostawców (Vercel, Supabase HQ, Resend, Anthropic) ma siedzibę w USA - transfer danych poza Europejski Obszar Gospodarczy (EOG). Podstawą transferu są:

  • Standardowe Klauzule Umowne (SCC) Komisji Europejskiej, decyzja 2021/914 - automatycznie zawarte w DPA każdego z dostawców.
  • Decyzja UE-USA Data Privacy Framework (2023) - dla dostawców certyfikowanych w ramach DPF (większość naszych dostawców).

Możesz uzyskać kopię klauzul, kontaktując się z Administratorem (sekcja 1).

8. Twoje prawa

Na mocy RODO masz prawo do:

  • Dostępu do swoich danych (art. 15)
  • Sprostowania danych (art. 16)
  • Usunięcia danych („prawo do bycia zapomnianym”, art. 17). Wyjątek: dane księgowe (faktury) - przechowywane 5 lat zgodnie z prawem.
  • Ograniczenia przetwarzania (art. 18)
  • Przenoszenia danych (art. 20)
  • Sprzeciwu (art. 21)
  • Cofnięcia zgody w dowolnym momencie (nie wpływa to na legalność przetwarzania przed cofnięciem)
  • Złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl) jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem.

Aby skorzystać z któregoś z praw - napisz na rodo@dobitka.pl. Odpowiadamy w ciągu 30 dni (RODO art. 12 ust. 3).

9. Profilowanie i automatyczne decyzje

Serwis NIE podejmuje automatycznych decyzji opartych na profilowaniu w rozumieniu art. 22 RODO (decyzje wywołujące skutki prawne lub w podobny sposób istotnie wpływających na Użytkownika).

Generowane przez model AI narracje, predykcje i statystyki są treściami rozrywkowymi, a nie automatycznymi decyzjami w sensie RODO. Nie wpływają na status Konta ani dostępne funkcje.

Personalizacja (np. Twoje setupy, ranking w lidze klubowej) jest wynikiem wprowadzonych przez Ciebie danych - nie automatycznym profilowaniem.

10. Pliki cookies i podobne technologie

Aktualnieużywamy wyłącznie plików niezbędnych do działania Serwisu (kategoria „strictly necessary”):

  • Cookie sesji Supabase Auth - uwierzytelnianie, kod z maila, stan zalogowania.
  • Token CSRF - ochrona przed atakami cross-site.
  • localStorage - zapis preferencji UI (np. ostatnio wybrana persona, theme).

Cookies niezbędne do działania Serwisu nie wymagają zgody (art. 173 ust. 3 ustawy Prawo telekomunikacyjne).

Cookies analityczne / reklamowe - aktualnie nie używamy. Jeśli w przyszłości wprowadzimy analitykę (np. Plausible, Vercel Analytics) - przed załadowaniem skryptu wyświetlimy banner zgody (mechanizm opt-in zgodny z RODO art. 6 ust. 1 lit. a) i zaktualizujemy tę politykę.

11. Bezpieczeństwo danych

Stosujemy szereg warstw ochrony:

  • Transport. HTTPS/TLS na wszystkich endpointach (HSTS preload, TLS 1.2+).
  • Uwierzytelnianie. Magic link zamiast haseł (eliminuje ryzyko leaków bazy haseł). Tokeny sesji kryptograficznie podpisane.
  • Autoryzacja. Row-Level Security (RLS) na wszystkich tabelach w bazie - user widzi tylko swoje dane.
  • Anti-CSRF. Weryfikacja Origin na endpointach mutujących.
  • Rate limiting. Upstash Redis na poziomie user_id i IP.
  • Nagłówki bezpieczeństwa. HSTS, CSP, COOP, X-Frame-Options.
  • Logi audytowe. Strukturalne JSON-y z user_id, action, timestamp.
  • Środowiska. Odseparowane: development / preview / production. Sekrety w Vercel env (encrypted at rest).
  • Dependabot. Automatyczne wykrywanie podatności w zależnościach.

12. Naruszenie ochrony danych (data breach)

W razie wykrycia naruszenia ochrony danych osobowych mogącego skutkować ryzykiem dla praw lub wolności Użytkowników:

  • Powiadomimy Prezesa UODO w ciągu 72 godzin od wykrycia (RODO art. 33).
  • Jeśli ryzyko jest wysokie - powiadomimy Użytkowników mailem niezwłocznie po ustaleniu zakresu i sposobu mitigacji (art. 34).
  • Prowadzimy wewnętrzny rejestr naruszeń (art. 33 ust. 5).

13. Wiek minimalny

Serwis przeznaczony jest dla osób pełnoletnich (ukończone 18 lat). Zakładając Konto Użytkownik oświadcza, że spełnia ten warunek (audyt zgody - sekcja 3, pole adult_confirmed_at). Jeśli dowiemy się, że Konto należy do osoby niepełnoletniej - usuniemy je razem ze zgromadzonymi danymi.

14. Zmiany Polityki

Możemy aktualizować tę Politykę. O istotnych zmianach poinformujemy mailem (Użytkowników z aktywnym Kontem) lub banerem w Serwisie z 7-dniowym wyprzedzeniem.

Drobne zmiany redakcyjne (literówki, aktualizacja URL-i dostawców) nie wymagają uprzedzenia.

Regulamin Strona główna
Dobitka to analiza sportowa, nie doradztwo bukmacherskie. Komentarze generowane są opinią, nie typem czy przewidywaniem wyniku meczu. Symulacja Monte Carlo służy rozrywce i analizie, nie typowaniu. 18+.