Regulamin Gry Urwanie Głowy

REGULAMIN GRY MIEJSKIEJ „URWANIE GŁOWY”

§ 1. Postanowienia ogólne

  • Niniejszy regulamin, zwany dalej **„Regulaminem”**, określa ogólne zasady, zakres i warunki uczestnictwa w grze miejskiej o nazwie **Urwanie Głowy**.
  • Organizatorem gry miejskiej Urwanie Głowy, zwanej dalej **„Grą”**, jest **WTOMIGRAJ Kamila Pazdroska**.
  • Aplikację do gry dostarcza **Kamila Pazdroska**, zwana dalej **„Administratorem aplikacji”**.
  • Administratorem zebranych **danych osobowych** osób fizycznych biorących udział w Grze (zwanych dalej **„Uczestnikami”**) jest **Organizator**.
  • Podanie danych osobowych jest **dobrowolne**, jednak **konieczne** w celu wzięcia udziału w grze.
  • Dane osobowe Uczestników udostępniane są przez Organizatora Administratorowi aplikacji w zakresie niezbędnym dla realizacji Gry.

§ 2. Zasady udziału w grze

  • Wzięcie udziału w grze wymaga wcześniejszej **rejestracji** przez Uczestników (Internet lub punkt stacjonarny).
  • Wymagane dane do rejestracji: **adres email** oraz **pseudonim** wykorzystywany w grze.
  • Miejsce, termin oraz liczbę uczestników gry określa **Organizator** po uzgodnieniu z Administratorem aplikacji.
  • Osoby o ograniczonej zdolności do czynności prawnych mogą wziąć udział za **zgodą przedstawiciela ustawowego**.
  • Wymagane jest **pobranie aplikacji na telefon** (niezbędne do wzięcia udziału).
  • Do wzięcia udziału w grze należy posiadać telefon spełniający wymagane **wymogi techniczne**.

§ 3. Reguły gry

  • Udział w Grze jest **dobrowolny**.
  • Każda z drużyn składa się z **minimum 2 osób**.
  • Każda z drużyn wyznacza **kapitana drużyny**.
  • Kapitan drużyny otrzymuje z aplikacji **zadania** do wykonania.
  • Wygrywa drużyna, która zdobędzie **najwięcej punktów**.

§ 4. Zasady bezpieczeństwa ⚠️

  • Uczestnicy oświadczają, że są **zdolni pod względem zdrowotnym** do wzięcia udziału w grze.
  • Obowiązuje zachowanie **szczególnej ostrożności** oraz przestrzeganie **przepisów ruchu drogowego** i prawa.
  • W razie braku możliwości bezpiecznego wykonania zadania, Uczestnik ma obowiązek **powiadomić** Organizatora/Administratora. **Zakazuje się** wykonywania zadań w niebezpiecznych warunkach.
  • Organizator i Administrator **nie ponoszą odpowiedzialności** za naruszenia przepisów prawa przez Uczestników.
  • Organizator zapewnia **pomoc medyczną** w trakcie rozgrywki.

§ 5. Poruszanie się po terenie Gry

  • Uczestnicy poruszają się **wyłącznie pieszo**. **Zakaz** korzystania z wszelkich pojazdów (rowery, hulajnogi, itp.).
  • **Wyjątek:** osoby niepełnosprawne mogą korzystać z niezbędnych do poruszania się pomocy.
  • **Zakazane** jest rozdzielanie drużyn przez cały czas trwania Gry.
  • Naruszenie regulaminu może skutkować **dyskwalifikacją** drużyny lub jej członków. Decyzja jest ostateczna.

§ 6. Wyłanianie zwycięzców i nagrody

  • Wygrywa drużyna z **największą liczbą punktów**.
  • W przypadku remisu punktowego, zwycięża zespół, który **wcześniej ukończył grę**.

§ 7. Postanowienia końcowe

  1. Udział w Grze oznacza **akceptację niniejszego regulaminu**.
  2. Regulamin będzie dostępny do wglądu w **punkcie startowym**.
  3. W kwestiach nieprzewidzianych regulaminem, **głos rozstrzygający** należy do Organizatorów oraz Administratora aplikacji.
  4. Regulamin niniejszy może być **zmieniony w każdym czasie**.

🛡️ POLITYKA OCHRONY DANYCH OSOBOWYCH

1. Cel i zakres Polityki

Niniejszy dokument, zatytułowany **„Polityka ochrony danych osobowych”** (dalej jako **Polityka**), ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w **WTOMIGRAJ Kamila Pazdroska** (dalej jako **Spółka**).

Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu **RODO** – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

2. Zawartość Polityki

  • opis zasad ochrony danych obowiązujących w Spółce;
  • odwołania do załączników uszczegóławiających (wzorcowe procedury lub instrukcje).

3. Odpowiedzialność

Podział odpowiedzialności za Politykę
Wdrożenie i utrzymanieZarząd Spółki (Członek Zarządu nadzorujący, Osoba wyznaczona przez Zarząd).
Nadzór i monitorowanieInspektor Ochrony Danych (jeśli powołany), komórka audytu wewnętrznego (jeśli funkcjonuje).
StosowanieSpółka; komórka organizacyjna odpowiedzialna za obszar bezpieczeństwa informacji; komórki przetwarzające dane osobowe w dużym rozmiarze; pozostałe komórki organizacyjne; **wszyscy członkowie personelu Spółki**.

Spółka powinna też zapewnić zgodność postępowania **kontrahentów** Spółki z niniejszą Polityką w odpowiednim zakresie, gdy dochodzi do przekazania im danych osobowych przez Spółkę.

4. Skróty i Definicje

PolitykaNiniejsza Polityka ochrony danych osobowych.
RODORozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r.
DaneDane osobowe.
Dane WrażliweDane specjalne (Art. 9 RODO: pochodzenie, poglądy, zdrowie, itp.) i dane karne (Art. 10 RODO).
Dane dzieciDane osób poniżej 16. roku życia.
OsobaOsoba, której dane dotyczą.
Podmiot PrzetwarzającyOrganizacja lub osoba, której Spółka powierzyła przetwarzanie danych (np. usługodawca IT).
ProfilowanieDowolna forma zautomatyzowanego przetwarzania danych osobowych w celu oceny czynników osobowych (np. prognozy dot. pracy, lokalizacji).
Eksport danychPrzekazanie danych do państwa trzeciego lub organizacji międzynarodowej (poza EOG).
IOD lub InspektorInspektor Ochrony Danych Osobowych.
RCPD lub RejestrRejestr Czynności Przetwarzania Danych Osobowych.
SpółkaSpółka WTOMIGRAJ Kamila Pazdroska.

5. Ochrona danych osobowych w Spółce – zasady ogólne

5.1. Filary ochrony danych osobowych w Spółce:

  • **(1) Legalność** − Spółka przetwarza dane zgodnie z prawem.
  • **(2) Bezpieczeństwo** − Spółka zapewnia odpowiedni poziom bezpieczeństwa danych.
  • **(3) Prawa Jednostki** − Spółka umożliwia osobom wykonywanie ich praw.
  • **(4) Rozliczalność** − Spółka dokumentuje spełnianie obowiązków.

5.2. Zasady ochrony danych (Art. 5 RODO)

Spółka przetwarza dane osobowe z poszanowaniem następujących zasad:

  • w oparciu o podstawę prawną i zgodnie z prawem (**legalizm**);
  • rzetelnie i uczciwie (**rzetelność**);
  • w sposób przejrzysty dla osoby, której dane dotyczą (**transparentność**);
  • w konkretnych celach i nie „na zapas” (**minimalizacja**);
  • nie więcej niż potrzeba (**adekwatność**);
  • z dbałością o prawidłowość danych (**prawidłowość**);
  • nie dłużej niż potrzeba (**czasowość**);
  • zapewniając odpowiednie bezpieczeństwo danych (**bezpieczeństwo**).

5.3. System ochrony danych (Elementy):

  1. **Inwentaryzacja danych** (identyfikacja danych wrażliwych, dzieci, profilowania, współadministrowania).
  2. **Rejestr (RCPD):** Prowadzenie i utrzymywanie Rejestru Czynności Danych Osobowych.
  3. **Podstawy prawne:** Identyfikacja, weryfikacja i rejestracja podstaw prawnych (w tym zarządzanie zgodami i uzasadnionym interesem).
  4. **Obsługa praw jednostki:** Spełnianie obowiązków informacyjnych i realizacja żądań (w tym zawiadamianie o naruszeniach).
  5. **Minimalizacja (privacy by default):** Zarządzanie adekwatnością danych, dostępem i okresem przechowywania.
  6. **Bezpieczeństwo:** Analizy ryzyka, oceny skutków (DPIA), zarządzanie bezpieczeństwem informacji i zarządzanie incydentami (zgłaszanie naruszeń UODO).
  7. **Przetwarzający:** Zasady doboru, wymogi (umowa powierzenia) i weryfikacja.
  8. **Eksport danych:** Zasady weryfikacji i zapewnienia zgodnych z prawem warunków przekazywania danych poza EOG.
  9. **Privacy by design:** Zarządzanie zmianami (nowe projekty/inwestycje) z koniecznością oceny wpływu na ochronę danych.
  10. **Przetwarzanie transgraniczne:** Zasady ustalania wiodącego organu nadzorczego (jeżeli dotyczy).

6. Inwentaryzacja (Ryzyka Specjalne)

  • **6.1. Dane wrażliwe:** Spółka identyfikuje przypadki przetwarzania danych wrażliwych i utrzymuje dedykowane mechanizmy zapewnienia zgodności.
  • **6.2. Dane niezidentyfikowane:** Spółka identyfikuje przypadki przetwarzania danych niezidentyfikowanych i utrzymuje mechanizmy ułatwiające realizację praw osób.
  • **6.3. Profilowanie:** Spółka identyfikuje przypadki profilowania i utrzymuje mechanizmy zapewniające zgodność tego procesu z prawem.
  • **6.4. Współadministrowanie:** Spółka identyfikuje przypadki współadministrowania danymi i postępuje zgodnie z przyjętymi zasadami.

7. Rejestr Czynności Przetwarzania Danych (RCPD)

  • RCPD stanowi rolę **mapy przetwarzania danych** i jest kluczowym elementem **zasady rozliczalności**.
  • Spółka prowadzi Rejestr, w którym inwentaryzuje i monitoruje sposób wykorzystania danych osobowych.
  • W Rejestrze odnotowuje się co najmniej: (i) nazwę czynności, (ii) cel przetwarzania, (iii) opis kategorii osób i danych, (iv) **podstawę prawną** (w tym uzasadniony interes), (v) sposób zbierania, (vi) opis kategorii odbiorców, (vii) informację o przekazaniu poza EU/EOG, (viii) ogólny opis środków ochrony danych.
  • Wzór Rejestru stanowi Załącznik nr 1. Spółka może rejestrować także kolumny nieobowiązkowe dla ułatwienia zarządzania zgodnością.

8. Podstawy Przetwarzania

  • Spółka dokumentuje w Rejestrze podstawy prawne dla poszczególnych czynności.
  • **Dookreślanie podstaw:** Spółka dookreśla ogólną podstawę prawną w czytelny sposób (np. wskazując zakres zgody, konkretny przepis prawny, lub konkretny realizowany uzasadniony interes).
  • Spółka wdraża metody **zarządzania zgodami** umożliwiające rejestrację i weryfikację posiadania/cofnięcia zgody na przetwarzanie i komunikację na odległość.
  • Kierownik komórki ma obowiązek znać podstawy prawne przetwarzania danych w swojej komórce.

9. Sposób obsługi praw jednostki i obowiązków informacyjnych

  • Spółka dba o **czytelność i styl** przekazywanych informacji oraz komunikacji.
  • Spółka ułatwia korzystanie z praw (np. informacje na stronie, metody kontaktu, wymogi identyfikacji).
  • Spółka dba o dotrzymywanie prawnych terminów realizacji obowiązków.
  • Spółka wprowadza adekwatne metody **identyfikacji i uwierzytelniania** osób.
  • Spółka zapewnia procedury i mechanizmy pozwalające zidentyfikować, zintegrować, wprowadzać zmiany i usuwać dane w sposób zintegrowany.
  • Spółka dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań.

10. Obowiązki informacyjne

Spółka określa zgodne z prawem i efektywne sposoby wykonywania obowiązków informacyjnych:

  • Informowanie o przedłużeniu terminu rozpatrzenia żądania (ponad 1 miesiąc).
  • Informowanie o przetwarzaniu danych (przy pozyskiwaniu danych od osoby lub niebezpośrednio od niej).
  • Informowanie o przetwarzaniu danych **niezidentyfikowanych** (jeśli możliwe, np. monitoring wizyjny).
  • Informowanie o planowanej zmianie celu przetwarzania.
  • Informowanie o prawie **sprzeciwu** najpóźniej przy pierwszym kontakcie z osobą.
  • Zawiadamianie osoby o **naruszeniu ochrony danych osobowych** (bez zbędnej zwłoki, jeśli ryzyko naruszenia praw/wolności jest wysokie).

11. Żądania Osób (Realizacja Praw)

  • **11.1. Prawa osób trzecich:** Spółka wprowadza gwarancje ochrony praw osób trzecich przy realizacji żądań (np. przy wydaniu kopii danych), łącznie z możliwością odmowy.
  • **11.3. Odmowa:** Spółka informuje osobę w ciągu miesiąca o odmowie rozpatrzenia żądania i o prawach z tym związanych.
  • **11.4. Dostęp do danych:** Spółka informuje, czy przetwarza dane, udziela dostępu i wydaje kopię danych (zakres Art. 15 RODO).
  • **11.5. Kopie danych:** Spółka wydaje kopię danych, odnotowuje fakt wydania pierwszej kopii, a za kolejne kopie pobiera opłaty zgodnie z cennikiem skalkulowanym na podstawie jednostkowego kosztu obsługi.
  • **11.6/11.7. Sprostowanie/Uzupełnienie:** Spółka dokonuje na żądanie (prawo odmowy, jeśli brak wykazania nieprawidłowości lub dane są zbędne).
  • **11.8. Usunięcie danych (Prawo do bycia zapomnianym):** Spółka usuwa dane, gdy m.in.: nie są niezbędne, cofnięto zgodę, wniesiono sprzeciw, lub dotyczy to danych dziecka (w zakresie usług społeczeństwa informacyjnego). Spółka weryfikuje wyjątki (Art. 17 ust. 3 RODO).
  • **11.9. Ograniczenie przetwarzania:** Spółka ogranicza przetwarzanie na żądanie osoby (gdy kwestionuje prawidłowość, przetwarzanie jest niezgodne z prawem, itp.).
  • **11.10. Przenoszenie danych:** Spółka wydaje w ustrukturyzowanym formacie lub przekazuje innemu podmiotowi dane dostarczone przez osobę, przetwarzane na podstawie zgody lub umowy.
  • **11.11-11.13. Sprzeciw:** Spółka uwzględnia umotywowany sprzeciw (szczególna sytuacja, cele badawcze) lub sprzeciw względem **marketingu bezpośredniego** (w tym profilowania).
  • **11.14. Prawo do ludzkiej interwencji:** Spółka zapewnia możliwość odwołania się do decyzji człowieka przy automatycznym podejmowaniu decyzji wywołujących istotne skutki prawne.

12. Minimalizacja (Adekwatność, Dostęp, Czas)

Spółka dba o minimalizację przetwarzania danych pod kątem: (i) adekwatności danych, (ii) dostępu do danych, (iii) czasu przechowywania danych.

  • **12.1. Minimalizacja zakresu:** Okresowy przegląd ilości i zakresu przetwarzanych danych (nie rzadziej niż raz na rok).
  • **12.2. Minimalizacja dostępu:** Stosowanie ograniczeń dostępu: prawne, fizyczne i logiczne. Okresowy przegląd uprawnień dostępowych.
  • **12.3. Minimalizacja czasu:** Wdrażanie mechanizmów kontroli cyklu życia danych, usuwanie danych z systemów produkcyjnych i archiwizacja z uwzględnieniem wymogów usuwania danych.

13. Bezpieczeństwo

Spółka zapewnia stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych.

  • **13.1. Analizy ryzyka i adekwatności środków bezpieczeństwa:** Kategoryzacja danych, analizy ryzyka naruszenia praw/wolności (uwzględniające pseudonimizację, szyfrowanie, ciągłość działania).
  • **13.2. Oceny skutków dla ochrony danych (DPIA):** Przeprowadzane tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie.
  • **13.3. Środki bezpieczeństwa:** Stosowanie środków ustalonych w analizach ryzyka, opisanych w procedurach bezpieczeństwa informacji.
  • **13.4. Zgłaszanie naruszeń:** Procedury pozwalające na identyfikację, ocenę i **zgłoszenie naruszenia UODO w terminie 72 godzin**.

14. Przetwarzający (Podmioty)

Spółka posiada zasady doboru i weryfikacji przetwarzających w celu zapewnienia, że wdrożą odpowiednie środki organizacyjne i techniczne.

  • Przyjęto minimalne wymagania co do **umowy powierzenia przetwarzania danych** (Załącznik nr 2).
  • Spółka rozlicza przetwarzających z wykorzystania podprzetwarzających.

15. Eksport Danych

Spółka rejestruje w Rejestrze przypadki przekazywania danych **poza EOG** i weryfikuje, czy Spółka zapewnia zgodne z prawem warunki takiego przekazywania.

Spółka okresowo weryfikuje zachowania użytkowników, aby unikać nieautoryzowanego eksportu (np. publiczne usługi chmurowe).

16. Projektowanie Prywatności (Privacy by Design)

Spółka zarządza zmianą mającą wpływ na prywatność w taki sposób, aby umożliwić zapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz minimalizacji ich przetwarzania.

Procedury uruchamiania nowych projektów i inwestycji uwzględniają konieczność **oceny wpływu na prywatność** już w fazie projektowania.