Privacy Policy

Polityka prywatności jest potrzebna, aby wyjaśnić, w jaki sposób dane osobowe są gromadzone, wykorzystywane, chronione i udostępniane podczas korzystania z serwisu Grato Win dostępnego pod adresem gratowingame-pl.com. Ma ona zastosowanie do użytkowników serwisu, w tym graczy, osób rejestrujących konto, osób kontaktujących się z obsługą oraz odwiedzających stronę internetową. Niniejsza polityka obowiązuje od 6 listopada 2026 r. i powinna być czytana łącznie z warunkami korzystania z serwisu oraz, w odpowiednim zakresie, polityką cookies.

Kim jesteśmy

Operatorem serwisu Grato Win dostępnego pod adresem gratowingame-pl.com jest Donateu Ltd, spółka typu Ltd, wskazana w dostępnych danych źródłowych jako podmiot obsługujący markę. Z dostępnych informacji wynika również powiązanie rejestrowe z Cyprem. Jednocześnie należy zaznaczyć, że pełny adres prawny operatora, numer rejestracyjny spółki, numer identyfikacji podatkowej oraz kompletne dane ewidencyjne nie zostały publicznie potwierdzone w przekazanych danych i wymagają weryfikacji bezpośrednio u operatora.

W materiałach źródłowych wskazano także nazwy Donateu Ltd oraz Unigad Ltd w kontekście weryfikacji rejestrowej, jednak charakter tych relacji korporacyjnych nie został jednoznacznie potwierdzony. W związku z tym w niniejszej polityce nie przypisuje się tym podmiotom statusu właściciela, spółki dominującej ani współadministratora bez dalszego potwierdzenia.

  • Administrator danych: Donateu Ltd, w zakresie danych przetwarzanych przez serwis Grato Win pod adresem gratowingame-pl.com.
  • Adres prawny: nie wskazano publicznie w przekazanych danych.
  • Dane rejestrowe: nie wskazano publicznie w przekazanych danych.
  • Kontakt w sprawach prywatności i ochrony danych: brak publicznie potwierdzonego adresu e-mail DPO lub dedykowanego działu ochrony danych w przekazanych danych.
  • Strona internetowa: https://gratowingame-pl.com

Jeżeli operator wyznaczył inspektora ochrony danych lub dedykowany punkt kontaktowy ds. prywatności, właściwe dane kontaktowe powinny być udostępnione w panelu konta, sekcji kontaktowej serwisu albo w oficjalnych komunikatach operatora. Do czasu takiej publikacji użytkownik może kierować zapytania przez oficjalne kanały dostępne na stronie.

Jakie dane osobowe zbieramy

Grato Win może gromadzić dane osobowe i powiązane informacje techniczne w zakresie niezbędnym do świadczenia usług, utrzymania bezpieczeństwa serwisu, realizacji obowiązków prawnych oraz prowadzenia uzasadnionej analizy działania platformy. Zakres danych może różnić się w zależności od tego, czy użytkownik jedynie odwiedza stronę, zakłada konto, dokonuje wpłat lub wypłat, przechodzi procedurę weryfikacji czy kontaktuje się z obsługą.

  • Dane identyfikacyjne i kontaktowe: imię i nazwisko, adres e-mail, numer telefonu, data urodzenia, adres zamieszkania, nazwa użytkownika oraz inne dane podane przy rejestracji lub aktualizacji konta.
  • Dane weryfikacyjne: dokumenty lub informacje wymagane do potwierdzenia tożsamości, wieku, źródła środków, miejsca zamieszkania lub zgodności z procedurami KYC/AML.
  • Dane finansowe i transakcyjne: informacje o wpłatach, wypłatach, zwrotach, statusach płatności, walucie rozliczeniowej, historii transakcji i wykorzystanych metodach płatności. W kontekście graczy z Polski mogą to być także dane związane z obsługą płatności w PLN, przy czym dostępność metod takich jak BLIK, Przelewy24, przelew bankowy lub karty płatnicze wymaga każdorazowego sprawdzenia w kasie operatora.
  • Dane dotyczące aktywności w serwisie: historia gry, historia zakładów, logowania, ustawienia konta, używane bonusy, kliknięcia, odsłony, interakcje z interfejsem oraz informacje o korzystaniu z funkcji bezpieczeństwa lub odpowiedzialnej gry.
  • Dane techniczne: adres IP, identyfikatory urządzenia, typ przeglądarki, system operacyjny, strefa czasowa, dane dzienników systemowych, znaczniki sesji, identyfikatory plików cookies i podobnych technologii.
  • Dane komunikacyjne: treść korespondencji z obsługą, zgłoszenia, reklamacje, rozmowy na czacie oraz metadane kontaktu, o ile takie kanały są udostępniane przez operatora.

Podstawa prawna przetwarzania

Dane osobowe są przetwarzane wyłącznie wtedy, gdy istnieje ku temu odpowiednia podstawa prawna wynikająca z RODO oraz, w odpowiednim zakresie, przepisów krajowych właściwych dla użytkowników z Polski. W przypadku usług hazardowych online mogą mieć znaczenie również obowiązki związane z identyfikacją użytkownika, przeciwdziałaniem nadużyciom oraz wykazaniem zgodności operacyjnej.

  • Wykonanie umowy: przetwarzanie jest niezbędne do utworzenia i prowadzenia konta, logowania, realizacji transakcji, obsługi wypłat, kontaktu operacyjnego, rozpatrywania reklamacji i zapewnienia podstawowej funkcjonalności serwisu.
  • Wypełnienie obowiązku prawnego: dotyczy to w szczególności obowiązków związanych z weryfikacją tożsamości, kontrolami KYC/AML, bezpieczeństwem płatności, prowadzeniem wymaganej dokumentacji oraz odpowiadaniem na prawnie uzasadnione żądania właściwych organów.
  • Uzasadniony interes administratora: obejmuje zapobieganie oszustwom, nadużyciom, wielokrotnym kontom, praniu pieniędzy, atakom na infrastrukturę, dochodzenie lub obronę roszczeń, analizę działania serwisu oraz wewnętrzne raportowanie operacyjne.
  • Zgoda użytkownika: może być wykorzystywana w odniesieniu do wybranych działań marketingowych, nieobowiązkowych cookies, technologii reklamowych lub innych czynności, które zgodnie z prawem wymagają uprzedniej zgody. Zgoda może zostać wycofana w dowolnym czasie bez wpływu na zgodność z prawem wcześniejszego przetwarzania.

Jeżeli określone dane są wymagane do zawarcia lub wykonania umowy albo do spełnienia obowiązków zgodności, brak ich podania może uniemożliwić rejestrację konta, dokonanie wypłaty, przejście procedury KYC lub dalsze korzystanie z części usług.

Cel przetwarzania

Dane osobowe są wykorzystywane wyłącznie w określonych, wyraźnych i prawnie uzasadnionych celach. Zakres wykorzystania zależy od relacji użytkownika z serwisem oraz od tego, czy użytkownik jedynie odwiedza stronę, czy korzysta z funkcji konta gracza.

  • Świadczenie usług: rejestracja i utrzymanie konta, uwierzytelnianie użytkownika, obsługa płatności, realizacja wypłat, zarządzanie ustawieniami konta oraz zapewnienie dostępu do funkcji serwisu.
  • Weryfikacja i zgodność: potwierdzenie wieku 18+, tożsamości, legalności korzystania z usług, zapobieganie nadużyciom oraz wykonywanie kontroli zgodności związanych z bezpieczeństwem finansowym i operacyjnym.
  • Obsługa klienta: odpowiadanie na pytania, prowadzenie korespondencji, rozpatrywanie reklamacji, rozwiązywanie problemów technicznych oraz dokumentowanie zgłoszeń.
  • Analityka i ulepszanie usług: analiza wydajności strony, diagnozowanie błędów, poprawa funkcjonalności, pomiar użyteczności i rozwój bezpieczeństwa platformy.
  • Marketing i komunikacja promocyjna: wysyłka ofert, bonusów, informacji produktowych lub komunikatów promocyjnych, jeżeli użytkownik wyraził na to zgodę lub istnieje inna dopuszczalna podstawa prawna.
  • Zapobieganie oszustwom: wykrywanie podejrzanych schematów aktywności, nieautoryzowanych płatności, nadużyć bonusowych, przejęć kont i naruszeń regulaminu.

Ujawnianie i udostępnianie

Grato Win może ujawniać dane osobowe wyłącznie w granicach niezbędnych do świadczenia usług, zapewnienia zgodności prawnej, bezpieczeństwa operacyjnego oraz prawidłowego funkcjonowania infrastruktury. Każde udostępnienie powinno opierać się na odpowiedniej podstawie prawnej, zasadzie minimalizacji danych oraz, tam gdzie to wymagane, odpowiednich zobowiązaniach umownych dotyczących poufności i bezpieczeństwa.

  • Dostawcy usług technicznych: hosting, utrzymanie infrastruktury, narzędzia analityczne, systemy komunikacji, wsparcie klienta, bezpieczeństwo IT i zarządzanie incydentami.
  • Partnerzy płatniczy i podmioty finansowe: operatorzy płatności, banki, procesorzy kart, podmioty wspierające wypłaty i kontrole antyfraudowe. Dla graczy z Polski zakres ten może obejmować obsługę transakcji w PLN lub lokalnych metod płatności, jeśli są faktycznie dostępne w kasie operatora.
  • Podmioty weryfikacyjne i compliance: dostawcy narzędzi KYC/AML, weryfikacji dokumentów, kontroli sankcyjnych, analizy ryzyka oraz przeciwdziałania praniu pieniędzy.
  • Podmioty powiązane korporacyjnie: wyłącznie w zakresie niezbędnym do administracji wewnętrznej, zarządzania zgodnością, bezpieczeństwem, audytem i obsługą operacyjną, o ile takie powiązania istnieją i są zgodne z prawem.
  • Organy publiczne i regulacyjne: gdy jest to wymagane przez prawo, prawomocne żądanie organu, obowiązki sprawozdawcze lub obrona praw administratora. W polskim kontekście informacje publiczne dotyczące rynku mogą być związane z działaniami Ministerstwa Finansów lub Krajowej Administracji Skarbowej, ale samo odwołanie do tych instytucji nie stanowi potwierdzenia statusu prawnego operatora.
  • Sieci reklamowe i partnerzy marketingowi: w zakresie danych dotyczących reklam i skuteczności kampanii, co do zasady na podstawie zgody użytkownika na odpowiednie cookies lub technologie śledzące.

Dane nie powinny być sprzedawane użytkownikom jako niezależny produkt handlowy. Jeżeli dojdzie do reorganizacji przedsiębiorstwa, połączenia, sprzedaży aktywów lub podobnej transakcji, dane mogą zostać ujawnione w zakresie dozwolonym przez prawo i z zachowaniem odpowiednich zabezpieczeń.

Transfery międzynarodowe

Z uwagi na transgraniczny charakter usług online dane osobowe mogą być przetwarzane lub udostępniane poza Europejskim Obszarem Gospodarczym, w tym do państw, w których znajdują się dostawcy technologii, podmioty wspierające zgodność, infrastruktura hostingowa albo podmioty powiązane z operatorem. Z przekazanych danych wynika kontekst operacyjny związany m.in. z Cyprem oraz wzmianką licencyjną dotyczącą Curacao; nie oznacza to jednak automatycznie, że każdy transfer odbywa się do tych lokalizacji ani że każda taka lokalizacja ma jednakowy status ochrony danych.

  • Podstawa transferu: decyzja stwierdzająca odpowiedni stopień ochrony, standardowe klauzule umowne Komisji Europejskiej, wiążące reguły korporacyjne lub inny dopuszczalny mechanizm zgodny z RODO.
  • Dodatkowe zabezpieczenia: ograniczenie dostępu, szyfrowanie, pseudonimizacja, ocena ryzyka transferu, klauzule poufności i procedury bezpieczeństwa dostawców.
  • Brak oparcia na Privacy Shield: nie należy traktować uchylonego mechanizmu Privacy Shield jako aktualnej samodzielnej podstawy transferu danych z EOG.

Użytkownik może wystąpić o ogólne informacje dotyczące stosowanych mechanizmów transferowych, o ile udostępnienie takich informacji nie naruszy praw osób trzecich, tajemnicy przedsiębiorstwa lub bezpieczeństwa systemów.

Przechowywanie danych

Dane osobowe są przechowywane przez okres nie dłuższy, niż jest to niezbędne do realizacji celu, dla którego zostały zebrane, chyba że dłuższy okres przechowywania wynika z obowiązku prawnego, potrzeby obrony roszczeń lub uzasadnionych wymogów bezpieczeństwa. Okres retencji może zależeć od rodzaju konta, charakteru transakcji, statusu weryfikacji oraz toczących się postępowań wyjaśniających.

  • Dane konta i dane identyfikacyjne: co do zasady przez okres korzystania z konta oraz do 5 lat po jego zamknięciu w 2026 r. lub później, chyba że dłuższe przechowywanie jest wymagane przez prawo lub uzasadnione obroną roszczeń.
  • Dane transakcyjne i zgodności: przez okres wymagany do spełnienia obowiązków księgowych, przeciwdziałania nadużyciom, KYC/AML i bezpieczeństwa płatności, zwykle nie krócej niż okres wymagany właściwymi przepisami.
  • Dane marketingowe: do czasu wycofania zgody, wniesienia sprzeciwu lub ustania celu komunikacji marketingowej.
  • Dane techniczne i logi: przez okres uzasadniony bezpieczeństwem, diagnostyką, analizą incydentów i integralnością systemów.
  • Cookies: zgodnie z czasem życia danego pliku cookie albo do momentu jego usunięcia przez użytkownika lub zmiany preferencji.

Usunięcie danych może nastąpić po zamknięciu konta, skutecznym żądaniu usunięcia, upływie obowiązkowego okresu przechowywania albo po definitywnym ustaniu celu przetwarzania. W niektórych przypadkach dane mogą zostać zanonimizowane zamiast usunięte, jeżeli służy to celom statystycznym lub bezpieczeństwa i nie pozwala już na identyfikację użytkownika.

Twoje prawa

Osobom, których dane dotyczą, przysługują prawa wynikające z RODO oraz właściwych przepisów krajowych mających zastosowanie do użytkowników w Polsce. Niniejsza polityka nie stosuje meksykańskich przepisów o ochronie danych, ponieważ nie są one właściwym lokalnym standardem dla tego dokumentu kierowanego do rynku pl_PL. Jeżeli jednak w konkretnym przypadku przetwarzanie podlega również innemu porządkowi prawnemu, administrator powinien poinformować o tym odrębnie.

  • Prawo dostępu: możesz uzyskać potwierdzenie, czy Twoje dane są przetwarzane, oraz otrzymać kopię podstawowych informacji o tym przetwarzaniu.
  • Prawo sprostowania: możesz żądać poprawienia danych nieprawidłowych lub uzupełnienia danych niekompletnych.
  • Prawo usunięcia: możesz żądać usunięcia danych, jeżeli nie są już potrzebne, zgoda została wycofana i brak innej podstawy przetwarzania, wniesiono skuteczny sprzeciw albo przetwarzanie było niezgodne z prawem.
  • Prawo ograniczenia przetwarzania: możesz żądać czasowego ograniczenia operacji na danych w przypadkach przewidzianych prawem.
  • Prawo sprzeciwu: możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie, w tym profilowaniu na tej podstawie.
  • Prawo do przenoszenia danych: w zakresie przewidzianym prawem możesz otrzymać dane w ustrukturyzowanym formacie lub żądać ich przekazania innemu administratorowi.
  • Prawo wycofania zgody: możesz w dowolnym momencie wycofać zgodę na marketing lub inne operacje oparte na zgodzie.
  1. Jak złożyć wniosek: skorzystaj z oficjalnych kanałów kontaktowych dostępnych na gratowingame-pl.com lub w panelu konta i opisz, z którego prawa chcesz skorzystać.
  2. Weryfikacja tożsamości: administrator może poprosić o dodatkowe informacje potwierdzające tożsamość, aby chronić dane przed nieuprawnionym ujawnieniem.
  3. Termin odpowiedzi: co do zasady odpowiedź powinna zostać udzielona bez zbędnej zwłoki, nie później niż w terminie 30 dni, z możliwością przedłużenia zgodnie z prawem w sprawach szczególnie złożonych.
  4. Opłaty: wykonanie praw jest zasadniczo bezpłatne; opłata może zostać naliczona jedynie w przypadkach wyraźnie dopuszczonych przez prawo, np. przy żądaniach ewidentnie nadmiernych lub powtarzalnych.

Cookies i technologie śledzące

Serwis może używać plików cookies i podobnych technologii do zapewnienia działania strony, utrzymania sesji użytkownika, analizy ruchu, zapamiętywania preferencji oraz, w odpowiednich przypadkach, prowadzenia działań reklamowych. Zakres ich stosowania zależy od ustawień przeglądarki, preferencji prywatności użytkownika oraz narzędzi wdrożonych przez operatora i jego dostawców.

  • Cookies sesyjne: działają tymczasowo podczas jednej sesji i pomagają w logowaniu, nawigacji, bezpieczeństwie i utrzymaniu podstawowych funkcji strony.
  • Cookies trwałe: pozostają na urządzeniu przez określony czas i służą np. do zapamiętywania ustawień, preferencji językowych, zgód lub rozpoznawania powracających użytkowników.
  • Cookies podmiotów trzecich: mogą pochodzić od dostawców analityki, narzędzi bezpieczeństwa, osadzonych treści lub partnerów reklamowych, jeśli takie rozwiązania są używane.
  • Funkcjonalne: umożliwiają prawidłowe działanie serwisu i zwykle nie wymagają odrębnej zgody, jeśli są ściśle niezbędne.
  • Analityczne: pomagają zrozumieć sposób korzystania z witryny, mierzyć wydajność i poprawiać interfejs.
  • Reklamowe i śledzące: mogą służyć personalizacji komunikacji marketingowej, pomiarowi skuteczności kampanii i ograniczaniu powtarzalności reklam; co do zasady wymagają zgody użytkownika.

Użytkownik może zarządzać cookies przez ustawienia przeglądarki, baner zgód, panel preferencji prywatności lub inne narzędzie udostępnione w serwisie. Ograniczenie niektórych cookies może wpłynąć na działanie części funkcji strony, logowanie lub personalizację ustawień.

Bezpieczeństwo danych

Grato Win powinno stosować środki techniczne i organizacyjne odpowiednie do ryzyka związanego z przetwarzaniem danych osobowych, charakteru usług online oraz zagrożeń typowych dla środowiska płatności i kont użytkowników. Środki bezpieczeństwa muszą być dostosowywane do skali przetwarzania, poziomu wrażliwości danych oraz aktualnego stanu wiedzy technicznej.

  • Szyfrowanie transmisji: połączenia z serwisem powinny być zabezpieczone przy użyciu TLS 1.2 lub nowszego, tak aby ograniczyć ryzyko przechwycenia danych podczas przesyłu.
  • Ochrona danych w spoczynku: dane przechowywane w systemach produkcyjnych i kopiach zapasowych powinny być chronione z użyciem odpowiednich metod szyfrowania, segmentacji i kontroli integralności.
  • Kontrola dostępu: dostęp do danych powinien być przyznawany zgodnie z zasadą minimalnych uprawnień, rozdziału obowiązków oraz ewidencji działań administracyjnych.
  • Uwierzytelnianie i ochrona konta: mogą być stosowane mechanizmy silnego logowania, monitorowania sesji, blokady podejrzanych prób dostępu oraz, tam gdzie dostępne, uwierzytelnianie wieloskładnikowe.
  • Monitoring i audyt: bezpieczeństwo systemów może być wspierane przez testy, przeglądy konfiguracji, skanowanie podatności, rejestrowanie zdarzeń oraz procedury zarządzania incydentami.
  • Środki organizacyjne: szkolenia personelu, polityki poufności, procedury zgłaszania naruszeń i zasady retencji dostępu.

Jeżeli operator deklaruje zgodność z normami takimi jak ISO 27001 lub SOC 2, takie twierdzenia powinny wynikać z rzeczywiście posiadanych certyfikacji lub audytów. W przekazanych danych brak publicznie potwierdzonych informacji o takich certyfikatach, dlatego nie są one w tej polityce przedstawiane jako fakt. W przypadku naruszenia ochrony danych administrator powinien działać zgodnie z obowiązującymi przepisami dotyczącymi oceny ryzyka, dokumentowania incydentu oraz ewentualnego zawiadamiania osób i właściwych organów.

Skargi i kontakty

Użytkownik może zgłaszać pytania dotyczące prywatności, wykonywać swoje prawa lub składać skargi dotyczące sposobu przetwarzania danych przez Grato Win w odniesieniu do serwisu gratowingame-pl.com. Ponieważ w przekazanych danych nie wskazano publicznie potwierdzonego adresu e-mail DPO, numeru telefonu, formularza kontaktowego ani adresu pocztowego działu ochrony danych, zgłoszenie należy kierować przez oficjalne kanały kontaktowe dostępne w serwisie.

  • Oficjalna strona: https://gratowingame-pl.com
  • E-mail DPO lub działu prywatności: nie wskazano w przekazanych danych.
  • Telefon: nie wskazano w przekazanych danych.
  • Adres pocztowy: nie wskazano w przekazanych danych.
  • Osoba wskazana w materiałach redakcyjnych: Maria Nowak.
  1. Złożenie zgłoszenia: opisz problem, wskaż dane identyfikujące konto, daty zdarzeń i oczekiwany sposób rozwiązania sprawy.
  2. Potwierdzenie przyjęcia: operator powinien potwierdzić otrzymanie zgłoszenia w rozsądnym terminie operacyjnym.
  3. Weryfikacja: może być wymagana weryfikacja tożsamości przed ujawnieniem danych lub zmianą ustawień konta.
  4. Odpowiedź merytoryczna: skargi i wnioski dotyczące danych powinny być rozpatrywane bez zbędnej zwłoki, zasadniczo w terminie do 30 dni, chyba że prawo dopuszcza przedłużenie.
  5. Eskalacja: jeżeli użytkownik uzna odpowiedź za niewystarczającą, może złożyć skargę do właściwego organu nadzorczego ds. ochrony danych w państwie UE swojego zwykłego pobytu, miejsca pracy lub miejsca domniemanego naruszenia.

Dla użytkowników w Polsce właściwym organem nadzorczym w sprawach ochrony danych jest co do zasady Prezes Urzędu Ochrony Danych Osobowych (UODO). W odniesieniu do kwestii rynku hazardowego i publicznych ostrzeżeń dotyczących domen można odrębnie korzystać z informacji publikowanych przez Ministerstwo Finansów, Krajową Administrację Skarbową oraz rejestr hazard.mf.gov.pl, przy czym źródła te nie zastępują postępowania skargowego w sprawach prywatności.

Aktualizacje

Niniejsza polityka może być okresowo aktualizowana w celu odzwierciedlenia zmian prawnych, operacyjnych, technicznych lub organizacyjnych dotyczących serwisu Grato Win pod adresem gratowingame-pl.com. Zmiany powinny być publikowane w sposób przejrzysty, tak aby użytkownik mógł łatwo ustalić, która wersja dokumentu obowiązuje oraz od kiedy jest skuteczna.

  • Data ostatniej aktualizacji: Last updated: November 2026
  • Sposoby informowania: komunikat w serwisie, baner na stronie, informacja w panelu konta lub wiadomość e-mail, jeżeli operator dysponuje ważnym adresem kontaktowym użytkownika.
  • Istotne zmiany: w przypadku zmian mających istotny wpływ na prawa użytkownika, zakres przetwarzania, podstawy prawne lub odbiorców danych, operator powinien zapewnić wcześniejsze powiadomienie z wyprzedzeniem co najmniej 30 dni, chyba że wcześniejsze wdrożenie jest wymagane prawem.
  • Opcje użytkownika: użytkownik może zapoznać się ze zmianami, zaktualizować ustawienia prywatności, wycofać zgody marketingowe, zgłosić sprzeciw tam, gdzie jest on dopuszczalny, albo zamknąć konto zgodnie z obowiązującymi warunkami.

W miarę możliwości operator powinien prowadzić wewnętrzny lub publiczny dziennik istotnych zmian, obejmujący datę wprowadzenia aktualizacji i krótki opis zakresu modyfikacji. Dalsze korzystanie z serwisu po wejściu w życie zmian może oznaczać przyjęcie zaktualizowanych zasad w zakresie dozwolonym przez prawo, z zastrzeżeniem praw użytkownika wynikających z RODO i przepisów krajowych.