Polityka prywatności – Centrum pomocy

Data wejścia w życie: 21 lutego 2026 r.

1.Wprowadzenie

Bitbase (dalej jako „my”, „nas” lub „nasz”) prowadzi platformę wymiany kryptowalut dostępną pod adresem www.Bitbase.com oraz w naszych aplikacjach mobilnych („Platforma”). Niniejsza Polityka Prywatności („Polityka”) określa, w jaki sposób zbieramy, wykorzystujemy, przechowujemy, ujawniamy, przekazujemy oraz chronimy dane osobowe w związku z korzystaniem przez użytkownika z Platformy i Usług.

Ma ona zastosowanie do wszystkich użytkowników Platformy, w tym indywidualnych użytkowników detalicznych, klientów instytucjonalnych oraz odwiedzających naszą stronę internetową („Ty” lub „Twój”).

Niniejsza Polityka stanowi integralną część naszego Regulaminu (Terms of Use). Rejestrując Konto lub korzystając z Usług, potwierdzasz, że przeczytałeś(-aś) i zrozumiałeś(-aś) niniejszą Politykę oraz wyrażasz zgodę na przetwarzanie swoich danych osobowych zgodnie z jej postanowieniami. Jeśli się nie zgadzasz, nie możesz korzystać z Platformy. O ile w niniejszej Polityce nie zdefiniowano inaczej, wszystkie terminy pisane wielką literą mają znaczenie nadane im w Regulaminie.

Zastrzegamy sobie prawo do okresowej aktualizacji niniejszej Polityki. Aktualna wersja będzie zawsze dostępna na Platformie. Istotne zmiany będą komunikowane zgodnie z opisem w Sekcji 22.

2.Twoja zgoda

Aby zapewnić przejrzystość oraz utrzymać Twoje zaufanie co do sposobu, w jaki zbieramy, wykorzystujemy i chronimy dane osobowe, zachęcamy do uważnego i pełnego zapoznania się z niniejszą Polityką Prywatności.

Uzyskując dostęp do naszej Platformy lub logując się do niej, niezależnie od tego, czy zarejestrowałeś(-aś) konto, potwierdzasz, że przeczytałeś(-aś), zrozumiałeś(-aś) i akceptujesz warunki niniejszej Polityki Prywatności.

W szczególności potwierdzasz i zgadzasz się, że:

Dobrowolnie przekazujesz swoje dane osobowe oraz wyrażasz wyraźną zgodę na ich zbieranie, wykorzystywanie, przetwarzanie i ujawnianie zgodnie z niniejszą Polityką Prywatności.
Zgadzasz się przestrzegać wszystkich obowiązujących warunków, zasad i postanowień określonych w niniejszej Polityce Prywatności.
Wyrażasz zgodę na zbieranie i przetwarzanie Twoich danych osobowych w związku z dostępem do Platformy, w tym między innymi poprzez logowanie, rejestrację konta oraz korzystanie z Usług dostępnych na Platformie. Przyjmujesz również do wiadomości i akceptujesz, że niniejsza Polityka Prywatności może być okresowo zmieniana, aktualizowana lub modyfikowana, a dalsze korzystanie z Platformy po wprowadzeniu takich zmian oznacza akceptację zaktualizowanej Polityki Prywatności.
Zgadzasz się, że nasze oddziały, podmioty powiązane, jednostki zależne oraz pracownicy mogą kontaktować się z Tobą w sprawie produktów, usług, promocji lub innych informacji, które mogą Cię zainteresować, chyba że wyraźnie wskazałeś(-aś), że nie chcesz otrzymywać takich komunikatów.

3.Zakres niniejszej Polityki

Niniejsza Polityka obejmuje dane osobowe zbierane i przetwarzane przez nas w związku z:

rejestracją i utrzymaniem Twojego Konta;
korzystaniem przez Ciebie z jakichkolwiek Usług udostępnianych za pośrednictwem Platformy;
weryfikacją tożsamości oraz procedurami zgodności AML/CFT (przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu) prowadzonymi w związku z Twoim procesem rejestracji (onboardingiem) oraz dalszą relacją z nami;
komunikacją z nami, w tym poprzez obsługę klienta, e-mail oraz czat na żywo;
odwiedzaniem naszej strony internetowej oraz korzystaniem z naszych aplikacji mobilnych; oraz
wszelkimi innymi interakcjami z nami w związku z korzystaniem z Platformy.

Niniejsza Polityka nie obejmuje praktyk dotyczących prywatności stosowanych przez strony internetowe, aplikacje ani usługi podmiotów trzecich, do których mogą prowadzić linki zamieszczone na Platformie. Zalecamy zapoznanie się z politykami prywatności takich podmiotów trzecich przed przekazaniem im jakichkolwiek danych osobowych.

4.Dane osobowe, które zbieramy — kompleksowy wykaz

Zbieramy dane osobowe z kilku źródeł: bezpośrednio od Ciebie, automatycznie w związku z korzystaniem z Platformy, od naszych zewnętrznych dostawców usług, ze źródeł publicznych i rejestrów, a także od kontrahentów będących VASP (Virtual Asset Service Providers) w związku z przestrzeganiem wymogów tzw. Travel Rule.

Poniższa tabela przedstawia kompleksowy wykaz kategorii zbieranych przez nas danych osobowych, konkretnych elementów danych, sposobów ich pozyskiwania, celów przetwarzania oraz podstaw prawnych przetwarzania.

kategorie danych	Elementy danych	Sposób pozyskania	Cel przetwarzania	Podstawa prawna
Dane identyfikacyjne	Imię i nazwisko; data urodzenia; płeć; narodowość; obywatelstwo; miejsce urodzenia; numer identyfikacyjny / numer dowodu osobistego; dokumenty tożsamości wydane przez organy publiczne (paszport, dowód osobisty, prawo jazdy — w tym typ dokumentu, kraj wydania, numer dokumentu, data ważności, MRZ, kody kreskowe, zabezpieczenia, obrazy/skany dokumentów)	Pozyskiwane bezpośrednio od użytkownika podczas rejestracji i procesu KYC; za pośrednictwem naszego dostawcy usług weryfikacji tożsamości	Otwarcie konta; KYC; zgodność z AML/CFT; zapobieganie oszustwom; raportowanie regulacyjne	Obowiązek prawny; wykonanie umowy
Wizerunek twarzy& Dane biometryczne	Zdjęcia typu selfie; obrazy/skany twarzy z dokumentów tożsamości; biometryczne wzorce cech twarzy (wyodrębniane do dopasowania twarzy); obrazy/wideo do weryfikacji żywotności (mruganie, uśmiech, reakcje ruchowe); nagrania wideo identyfikacyjne; porównania służące wykrywaniu duplikatów tożsamości	Za pośrednictwem naszego dostawcy usług weryfikacji tożsamości w trakcie procesu KYC	Uwierzytelnianie tożsamości; weryfikacja żywotności; wykrywanie spoofingu / deepfake / emulatorów; wykrywanie duplikatów kont; zgodność z AML/CFT	Wyraźna zgoda; istotny interes publiczny (AML/CFT)
Dane Kontaktowe	Adres e-mail; numer telefonu; adres zamieszkania / adres korespondencyjny; kod pocztowy; miasto; kraj zamieszkania	Pozyskiwane bezpośrednio od użytkownika; weryfikowane przez naszego dostawcę usług weryfikacji tożsamości	Zarządzanie kontem; świadczenie usług; kontakt z użytkownikiem; weryfikacja adresu; kontrole AML	Wykonanie umowy; obowiązek prawny
Dane Finansowe	Dane rachunku bankowego (w przypadku korzystania z usług fiat); dane karty płatniczej (wyłącznie pierwsze 6 i ostatnie 4 cyfry); kwoty w walutach fiat; informacje o metodach płatności	Pozyskiwane bezpośrednio od użytkownika podczas procesów wpłat i wypłat w walutach fiat; za pośrednictwem dostawców usług płatniczych	Obsługa wpłat i wypłat w walutach fiat (on/off-ramp); weryfikacja płatności; zapobieganie oszustwom	Wykonanie umowy; obowiązek prawny
Dane dotyczące transakcji i handlu	Adresy portfeli (wpłaty i wypłaty); pełna historia transakcji i zleceń (para, cena, ilość, znacznik czasu, typ); rejestry wpłat i wypłat (kwota, aktywo, data, hash transakcji on-chain, adres kontrahenta); historia salda konta; otwarte pozycje; dane dotyczące stóp finansowania; rejestry likwidacji; historia zysków i strat (P&L)	Generowane automatycznie w wyniku korzystania z Platformy	Świadczenie usług; monitorowanie transakcji w ramach AML/CFT; raportowanie regulacyjne; rozstrzyganie sporów; obowiązki podatkowe	Wykonanie umowy; obowiązek prawny
Dane on-chain i dane blockchain	Adresy portfeli blockchain; identyfikatory i hashe transakcji on-chain; typ i ilość aktywów; adresy portfeli kontrahentów; wyniki oceny ryzyka w analizie blockchain; wyniki screeningu portfeli; dane Travel Rule (imię i nazwisko nadawcy/odbiorcy, adres fizyczny lub numer identyfikacyjny lub data i miejsce urodzenia, numery rachunków nadawcy/odbiorcy, identyfikatory VASP)	Z danych on-chain; za pośrednictwem dostawców analityki blockchain; od kontrahentów będących VASP (Travel Rule)	Zgodność z AML/CFT; zgodność z zasadą Travel Rule; kontrola sankcyjna; wykrywanie oszustw; przypisywanie portfeli	Wykonanie umowy; obowiązek prawny
Dane dotyczące ryzyka i zgodności w zakresie weryfikacji tożsamości	Status PEP oraz wyniki weryfikacji; wyniki screeningu sankcyjnego (OFAC, UE, ONZ, listy krajowe); wyniki analizy negatywnych informacji medialnych; oznaczenia krajów wysokiego ryzyka / miejsca zamieszkania; wyniki weryfikacji korporacyjnej KYB (UBO, członkowie zarządu, struktura korporacyjna, weryfikacja rejestrowa); oceny ryzyka adresu e-mail i numeru telefonu; sygnały oszustw związane z urządzeniem; ocena ryzyka / profil ryzyka klienta; dokumentacja EDD	Za pośrednictwem naszego dostawcy usług weryfikacji tożsamości; za pośrednictwem narzędzi analityki blockchain i narzędzi compliance; z baz danych regulacyjnych	Zgodność z AML/CFT; zgodność sankcyjna; ocena ryzyka klienta; raportowanie regulacyjne; zapobieganie oszustwom	Wykonanie umowy; obowiązek prawny
Dane korporacyjne i instytucjonalne	Nazwa prawna podmiotu i numer rejestracyjny; jurysdykcja rejestracji; adres rejestrowy; certyfikat rejestracji; dokumenty założycielskie; oświadczenia UBO; dane dyrektorów i członków zarządu; schemat struktury korporacyjnej; status regulacyjny i licencje; dane osób upoważnionych do reprezentacji	Bezpośrednio od użytkowników instytucjonalnych podczas procesu onboardingu; z publicznych rejestrów korporacyjnych	Otwarcie konta instytucjonalnego; KYB; zgodność z AML/CFT; obowiązki regulacyjne	Wykonanie umowy; obowiązek prawny
Dane urządzenia i dane techniczne	Adres IP; identyfikatory urządzenia (Android ID, IDFV, IDFA, OAID); marka i model urządzenia, typ i wersja systemu operacyjnego; typ i wersja przeglądarki; informacje o sieci (SSID/BSSID Wi-Fi, operator, adres MAC, typ połączenia); cechy sprzętowe urządzenia (nazwa i typ kamery); lista uruchomionych aplikacji (w celu kontroli ryzyka); znaczniki czasu sesji; strony odsyłające/wyjścia	Zbierane automatycznie za pośrednictwem naszej Platformy, aplikacji mobilnej oraz SDK	Bezpieczeństwo Platformy; wykrywanie oszustw; wykrywanie emulatorów/botów; kontrola dostępu; analityka	Prawnie uzasadniony interes; zgoda (dotycząca danych nieistotnych)
Dane behawioralne urządzenia	Rozmiar i rozdzielczość ekranu; ustawienia języka sesji; sygnały weryfikacji systemu operacyjnego; zdarzenia aktywności/nieaktywności okna; zdarzenia wklejania; wzorce ruchu myszy; czas reakcji zdarzeń klawiatury; wzorce zdarzeń dotykowych; dane dotyczące zużycia baterii; odczyty akcelerometru / G-metra; wykrywanie trybu incognito	Zbierane automatycznie podczas sesji na Platformie oraz w trakcie procesów weryfikacji tożsamości	Emulator detection; bot and automated attack prevention; fraud scoring; liveness verification	Prawnie uzasadnione interesy
Dane dotyczące użytkowania i zachowań	Historia logowania (znaczniki czasu, adres IP, urządzenie); odwiedzone strony; używane funkcje i produkty; przepływ zleceń i wzorce handlowe; wzorce i wolumeny wywołań API; czas trwania sesji; nawigacja w aplikacji	Automatycznie zbierane za pośrednictwem Platformy	Udoskonalanie Platformy; personalizacja; monitorowanie integralności rynku; wykrywanie wzorców AML/CFT; wykrywanie nadużyć API	Prawnie uzasadnione interesy; zgoda
Dane dotyczące komunikacji i wsparcia	Zgłoszenia wsparcia i zapisy czatów; korespondencja e-mailowa; rejestry sporów; nagrania wideo z rozmów weryfikacyjnych; informacje zwrotne i odpowiedzi na ankiety; zapisy decyzji weryfikacyjnych KYC oraz kody powodów odrzucenia	Bezpośrednio od Ciebie; generowane podczas interakcji wsparcia oraz procesów weryfikacji	Obsługa klienta; rozstrzyganie sporów; zapewnienie jakości; postępowania prawne; ścieżka audytowa KYC	Wykonanie umowy; prawnie uzasadnione interesy
Dane marketingowe & preferencji	Preferencje dotyczące komunikacji marketingowej (status opt-in / opt-out); preferencje językowe; sygnały zainteresowania produktami; kod polecający / dane programu partnerskiego; kampania promocyjnaresponses	Bezpośrednio od Ciebie; wnioskowane na podstawie korzystania z Platformy	Wysyłanie komunikacji marketingowej (za zgodą); zarządzanie programem partnerskim; ulepszanie produktów	Zgoda; prawnie uzasadnione interesy

4.1 Źródła danych osobowych

(a) Dane pozyskiwane bezpośrednio od użytkownika

Przekazujesz nam dane osobowe, gdy: rejestrujesz Konto; przeprowadzasz weryfikację tożsamości (KYC); składasz dokumentację w ramach rozszerzonej należytej staranności (EDD); dokonujesz wpłat lub wypłat; składasz zlecenia lub realizujesz transakcje; uczestniczysz w Produktach Finansowych; kontaktujesz się z naszym działem obsługi klienta; odpowiadasz na ankiety lub oferty promocyjne; lub w inny sposób komunikujesz się z nami.

(b) Dane zbierane automatycznie

Podczas uzyskiwania dostępu do Platformy lub korzystania z naszej aplikacji mobilnej automatycznie zbieramy dane dotyczące urządzenia, adresy IP, identyfikatory techniczne, dane sesji oraz sygnały behawioralne za pośrednictwem infrastruktury Platformy, mobilnego SDK oraz plików cookies lub podobnych technologii.

(c) Dane pochodzące od dostawcy usług weryfikacji tożsamości

Korzystamy z usług zewnętrznego dostawcy weryfikacji tożsamości w celu przeprowadzania procedur KYC, weryfikacji biometrycznej, uwierzytelniania dokumentów, kontroli żywotności (liveness checks), weryfikacji sankcyjnej, kontroli PEP oraz wykrywania oszustw w naszym imieniu.

W tym zakresie dostawca przetwarza Twoje dane identyfikacyjne, biometryczne, kontaktowe, dane dotyczące urządzenia oraz dane dotyczące zgodności zgodnie z naszymi instrukcjami jako administratora danych.

Dostawca może również przetwarzać niektóre dane do własnych, niezależnych celów (w tym rozwoju usług oraz wykrywania oszustw między klientami), działając jako odrębny administrator danych; w takim przypadku przetwarzanie to podlega jego własnej Polityce Prywatności, a żądania osób, których dane dotyczą, powinny być kierowane bezpośrednio do tego dostawcy.

Aktualna Polityka Prywatności dostawcy usług weryfikacji tożsamości jest dostępna poprzez link w naszym Centrum Pomocy.

(d) Dane pochodzące z blockchaina i źródeł on-chain

My oraz nasi dostawcy usług analityki blockchain możemy uzyskiwać dostęp do publicznie dostępnych danych on-chain, w tym adresów portfeli, historii transakcji oraz zapisów blockchain, w związku z obowiązkami w zakresie AML/CFT, kontroli sankcyjnych oraz wymogów Travel Rule.

(e) Dane pochodzące ze źródeł publicznych i baz danych podmiotów trzecich

Możemy pozyskiwać informacje na Twój temat z publicznych rejestrów przedsiębiorstw (w przypadku KYB), rejestrów tożsamości prowadzonych przez organy państwowe, baz danych PEP i sankcji, źródeł medialnych zawierających negatywne informacje, agencji informacji kredytowej oraz innych publicznych baz danych wykorzystywanych w celu realizacji naszych obowiązków regulacyjnych.

(f) Dane pochodzące od kontrahentów będących VASP (Travel Rule)

W związku z wymogami FATF dotyczącymi Travel Rule możemy otrzymywać dane osobowe (w tym dane identyfikacyjne nadawcy i odbiorcy) od kontrahentów będących dostawcami usług w zakresie aktywów wirtualnych (VASP), gdy inicjujesz lub otrzymujesz transfery kryptowalut spełniające obowiązujące progi Travel Rule.

4.2 Dane biometryczne i szczególne kategorie danych

Zbieramy i przetwarzamy dane biometryczne (w tym wzorce cech twarzy wyodrębnione ze zdjęć typu selfie oraz obrazów dokumentów tożsamości, a także nagrania weryfikacji żywotności) w ramach procesu weryfikacji tożsamości.

Dane biometryczne stanowią „szczególną kategorię” danych osobowych w rozumieniu obowiązujących przepisów o ochronie danych i są przetwarzane ze szczególną starannością.

Konkretne operacje przetwarzania obejmują:

Dopasowanie twarzy do dokumentu: porównanie zdjęcia typu selfie z wizerunkiem twarzy znajdującym się na dokumencie tożsamości w celu potwierdzenia, że dokument należy do użytkownika.
Weryfikacja żywotności: potwierdzenie, że użytkownik jest rzeczywistą osobą w czasie rzeczywistym, z wykrywaniem prób spoofingu przy użyciu statycznych obrazów, nagrań wideo, masek, deepfake’ów lub emulatorów. Użytkownik może zostać poproszony o mrugnięcie, uśmiech lub poruszenie urządzeniem.
Biometryczna deduplikacja: porównanie obrazu twarzy z danymi wcześniej zweryfikowanych użytkowników na Platformie w celu wykrycia prób tworzenia duplikatów kont.
Ponowna autoryzacja (re-authentication): w przypadku korzystania z uwierzytelniania biometrycznego do uzyskania dostępu do wrażliwych funkcji konta, obraz weryfikacji żywotności może zostać porównany z wcześniej zapisanym wzorcem biometrycznym.
Identyfikacja wideo: w przypadku przeprowadzania rozmowy wideo, nagranie może być analizowane przez upoważniony personel w celach zapewnienia jakości oraz zgodności z przepisami.

Przetwarzamy dane biometryczne na podstawie Twojej wyraźnej zgody oraz/lub w sytuacjach, gdy przetwarzanie jest niezbędne ze względu na istotny interes publiczny, w tym w celu spełnienia obowiązków wynikających z przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CFT).

Możesz w dowolnym momencie wycofać swoją zgodę na przetwarzanie danych biometrycznych, kontaktując się z nami za pośrednictwem danych kontaktowych wskazanych w niniejszej Polityce Prywatności. Należy jednak pamiętać, że wycofanie zgody może uniemożliwić przeprowadzenie procesu weryfikacji tożsamości, a w konsekwencji ograniczyć lub uniemożliwić dostęp do niektórych funkcji lub Usług dostępnych na Platformie.

4.3 Dane, których nie zbieramy

Nie zbieramy ani nie przechowujemy: pełnych numerów kart płatniczych ani kodów CVV; haseł do bankowości internetowej; prywatnych kluczy blockchain ani fraz seed; ani danych osobowych osób poniżej 18 roku życia. Jeżeli dowiemy się, że nieumyślnie zebraliśmy dane osoby małoletniej, niezwłocznie je usuniemy.

5.Cele przetwarzania — w jaki sposób wykorzystujemy Twoje dane

5.1 Otwarcie konta i onboarding

Przetwarzamy Twoje dane identyfikacyjne, kontaktowe oraz finansowe w celu utworzenia Konta, przeprowadzenia weryfikacji tożsamości (KYC) oraz weryfikacji podmiotów (KYB), oceny Twojej kwalifikowalności do korzystania z Usług, a także ustalenia poziomu konta oraz limitów transakcyjnych zgodnie z naszym systemem weryfikacji warstwowej.

5.2 Świadczenie usług handlowych i finansowych

Przetwarzamy Twoje dane dotyczące transakcji, handlu oraz dane finansowe w celu: realizacji Twoich zleceń na rynku Spot; obsługi pozycji w handlu instrumentami pochodnymi (Derivatives Trading) oraz obliczania depozytu zabezpieczającego, poziomów likwidacji i stawek finansowania; umożliwienia wpłat i wypłat aktywów cyfrowych; zapewnienia dostępu do Produktów Finansowych oraz obliczania zysków; przetwarzania transakcji w ramach programów poleceń i afiliacyjnych; a także dostarczania wyciągów z konta, potwierdzeń transakcji oraz danych do celów podatkowych.

5.3 AML/CFT, sankcje oraz zgodność regulacyjna

Podlegamy przepisom dotyczącym przeciwdziałania praniu pieniędzy, finansowaniu terroryzmu oraz reżimom sankcyjnym, które wymagają od nas weryfikacji tożsamości użytkowników, monitorowania transakcji, przeprowadzania kontroli względem list sankcyjnych, zgłaszania podejrzanych działań oraz prowadzenia odpowiedniej dokumentacji.

W celu spełnienia tych obowiązków przetwarzamy Twoje dane identyfikacyjne, dane dotyczące zgodności, dane transakcyjne, dane on-chain oraz dane związane z Travel Rule.

Przetwarzanie to ma charakter obowiązkowy — nie podlega rezygnacji, a przekazanie odpowiednich danych stanowi warunek otwarcia konta i świadczenia usług.

Szczegółowe działania w zakresie zgodności obejmują:

początkową oraz bieżącą weryfikację tożsamości KYC i EDD;
bieżący oraz okresowy screening względem list OFAC, UE, Rady Bezpieczeństwa ONZ oraz krajowych list PEP i sankcji;
monitorowanie transakcji AML oraz raportowanie podejrzanych działań;
monitoring blockchain w ramach Know Your Transaction (KYT) w celu wykrywania nielegalnej aktywności;
zgodność z Travel Rule — zbieranie, weryfikację oraz przekazywanie danych nadawcy i odbiorcy dla kwalifikujących się transferów aktywów wirtualnych;
profilowanie ryzyka oraz ocenę ryzyka klienta;
weryfikację KYB dla klientów instytucjonalnych; oraz
raportowanie podatkowe oraz wymianę informacji z organami podatkowymi zgodnie z obowiązującym prawem.

5.4 Zapobieganie oszustwom i integralność rynku

Analizujemy wzorce transakcyjne, zachowania handlowe, sygnały urządzeń oraz aktywność konta w celu wykrywania i zapobiegania: przejęciu konta i nieautoryzowanemu dostępowi; oszustwom tożsamości oraz fałszowaniu dokumentów; manipulacjom rynkowym (w tym wash trading, spoofing, layering, pump-and-dump oraz front-running); nadużyciom API oraz zautomatyzowanym atakom; tworzeniu wielu kont z naruszeniem naszych zasad; oraz innym działaniom zabronionym na mocy Regulaminu.

Przetwarzanie to odbywa się w ramach prawnie uzasadnionych interesów Bitbase oraz naszej społeczności użytkowników.

5.5 Bezpieczeństwo Platformy

Przetwarzamy dane dotyczące urządzenia i dane techniczne, adresy IP, historię logowania oraz dane behawioralne urządzenia w celu monitorowania nieautoryzowanego dostępu, badania incydentów bezpieczeństwa, utrzymania stabilności Platformy oraz ochrony kont użytkowników.

Konkretne środki bezpieczeństwa obejmują m.in. weryfikację reputacji adresów IP, fingerprinting urządzeń, wykrywanie emulatorów i botów oraz monitorowanie nietypowej aktywności sesji.

5.6 Obsługa klienta i rozstrzyganie sporów

Przechowujemy i przetwarzamy dane komunikacyjne oraz dane wsparcia w celu udzielania odpowiedzi na zapytania, badania skarg, rozstrzygania sporów oraz przeprowadzania kontroli jakości.

Nagrania wideo identyfikacyjne oraz decyzje KYC mogą być analizowane przez upoważniony personel w celach audytowych oraz zapewnienia zgodności z przepisami.

5.7 Zarządzanie ryzykiem i kontrola finansowa

Przetwarzamy dane dotyczące transakcji, handlu oraz dane finansowe w celu zarządzania naszym ryzykiem finansowym i operacyjnym, w tym m.in. monitorowania ujemnych sald kont oraz raportowania do odpowiednich funkcji zarządzania ryzykiem.

5.8 Analityka, badania i rozwój Platformy

Wykorzystujemy zagregowane oraz — w miarę możliwości — zanonimizowane dane dotyczące użytkowania i zachowań w celu analizy wydajności Platformy, zrozumienia wzorców aktywności użytkowników, rozwoju nowych funkcjonalności, prowadzenia badań rynkowych oraz tworzenia wewnętrznych analiz biznesowych.

W przypadku gdy dane są skutecznie zanonimizowane, nie podlegają one zakresowi niniejszej Polityki.

5.9 Komunikacja marketingowa

W przypadku udzielenia przez Ciebie zgody (jeżeli jest to wymagane przepisami prawa) lub gdy mamy w tym prawnie uzasadniony interes, możemy przesyłać Ci informacje marketingowe dotyczące nowych produktów, funkcji, ofert oraz aktualizacji rynkowych za pośrednictwem poczty elektronicznej, powiadomień push lub wiadomości w ramach Platformy.

Możesz w dowolnym momencie zrezygnować z otrzymywania komunikacji marketingowej, korzystając z linku rezygnacji w wiadomości lub zmieniając ustawienia w sekcji Ustawienia Konta.

Nie sprzedajemy ani nie udostępniamy Twoich danych osobowych osobom trzecim do ich własnych celów marketingowych.

5.10 Postępowania prawne i obowiązki regulacyjne

Możemy przetwarzać Twoje dane osobowe w celu wykonania nakazów sądowych, udzielania odpowiedzi na postępowania regulacyjne, realizacji obowiązków podatkowych i sprawozdawczych oraz w celu ustalenia, dochodzenia lub obrony roszczeń prawnych.

Możemy być zobowiązani do ujawnienia danych osobowych organom ścigania, organom regulacyjnym, jednostkom analityki finansowej lub sądom — bez uprzedniego powiadomienia użytkownika — jeżeli wymagają tego obowiązujące przepisy prawa.

5.11 Zautomatyzowane podejmowanie decyzji i profilowanie

My oraz nasz dostawca usług weryfikacji tożsamości wykorzystujemy zautomatyzowane przetwarzanie — w tym uczenie maszynowe, rozpoznawanie wzorców oraz scoring oparty na regułach — w procesie onboardingu KYC oraz w ramach bieżącego monitorowania transakcji AML/CFT.

Automatyczne kontrole mogą generować oceny ryzyka, oznaczenia potencjalnych oszustw lub wyniki weryfikacji, które mogą wpływać na możliwość korzystania z Usług lub limity transakcyjne.

Ważne zabezpieczenia dotyczące zautomatyzowanego podejmowania decyzji:

Automatyczne kontrole w procesie KYC generują raporty i wskaźniki ryzyka; ostateczna decyzja dotycząca onboardingu podejmowana jest przez człowieka po naszej stronie, chyba że wynik jest jednoznaczny i w pełni zautomatyzowana decyzja jest uzasadniona przepisami prawa oraz Twoją wyraźną zgodą.
W przypadku niepowodzenia weryfikacji lub ograniczenia konta na podstawie wyniku automatycznego, możesz odwołać się od decyzji, kontaktując się z nami pod adresem support@Bitbase.com. Nasz zespół compliance przeprowadzi weryfikację manualną.
Zapewniamy nadzór człowieka nad procesami zautomatyzowanymi w celu zagwarantowania ich rzetelności oraz korekty ewentualnych błędów wynikających z modeli uczenia maszynowego.
W przypadku podejmowania decyzji wyłącznie w sposób zautomatyzowany, które wywołują skutki prawne lub w podobny sposób istotnie wpływają na użytkownika, poinformujemy Cię o tym oraz przekażemy istotne informacje dotyczące zastosowanej logiki.

6. Podstawy przetwarzania danych osobowych

Zbieramy i przetwarzamy Twoje dane osobowe wyłącznie w przypadkach, gdy posiadamy ku temu ważną podstawę prawną. Główne podstawy, na których się opieramy, obejmują:

Świadczenie Usług na Twoją rzecz. W przypadku otwarcia Konta i korzystania z Platformy przetwarzamy dane osobowe niezbędne do wykonania naszych zobowiązań wobec Ciebie — w tym realizacji transakcji, obsługi wpłat i wypłat, zarządzania Kontem oraz zapewnienia obsługi klienta. Bez tego przetwarzania nie bylibyśmy w stanie świadczyć Usług.
Wypełnianie obowiązków prawnych i regulacyjnych. Jako dostawca usług w zakresie aktywów wirtualnych podlegamy przepisom prawa, które zobowiązują nas do zbierania i przetwarzania danych osobowych — w tym w zakresie weryfikacji tożsamości, screeningu AML/CFT, kontroli sankcyjnych, zgodności z Travel Rule, monitorowania transakcji oraz raportowania regulacyjnego. Obowiązki te mają charakter bezwzględny, niezależny od Twojej zgody i nie mogą zostać uchylone.
Ochrona Platformy i użytkowników. Przetwarzamy dane osobowe w celu wykrywania i zapobiegania oszustwom, przejęciom kont, manipulacjom rynkowym, nadużyciom API oraz innym szkodliwym działaniom. Dane wykorzystywane są również do zapewnienia bezpieczeństwa i integralności Platformy. Działania te są niezbędne dla ochrony zarówno naszej działalności, jak i całej społeczności użytkowników, oraz dla zapewnienia bezpiecznego i uczciwego funkcjonowania Platformy.
Twoja zgoda. W przypadku niektórych operacji przetwarzania — w szczególności dotyczących danych biometrycznych w procesie weryfikacji tożsamości, plików cookies niebędących niezbędnymi oraz bezpośredniej komunikacji marketingowej — opieramy się na Twojej zgodzie. Możesz ją wycofać w dowolnym momencie, kontaktując się z nami pod adresem privacy@bitbase.com lub korzystając z odpowiednich mechanizmów rezygnacji. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem, jednak może skutkować ograniczeniem dostępu do niektórych funkcji Usług.
Dodatkowe prawa w zależności od miejsca zamieszkania. Przepisy dotyczące ochrony danych różnią się w zależności od jurysdykcji. W zależności od kraju lub regionu zamieszkania mogą przysługiwać Ci dodatkowe prawa lub środki ochrony wynikające z lokalnych przepisów — w tym na podstawie ogólnego rozporządzenia o ochronie danych (GDPR) UE, UK GDPR lub innych obowiązujących regulacji. W przypadkach, gdy przepisy te mają zastosowanie, będziemy przestrzegać wynikających z nich obowiązków. W razie pytań dotyczących zastosowania lokalnych przepisów prosimy o kontakt pod adresem privacy@bitbase.com.

7.Udostępnianie danych i ujawnianie osobom trzecim

7.1 Zasady ogólne

Nie sprzedajemy, nie wynajmujemy ani nie udostępniamy Twoich danych osobowych osobom trzecim do ich własnych celów komercyjnych. Udostępniamy dane osobowe wyłącznie w zakresie niezbędnym do świadczenia Usług, w celu wypełnienia obowiązków prawnych oraz w sposób opisany w niniejszej Polityce.

7.2 Odbiorcy zewnętrzni — tabela przeglądowa

Poniższa tabela (również przedstawiona w Załączniku A) określa kategorie podmiotów trzecich, którym możemy udostępniać Twoje dane osobowe, cel udostępnienia, kategorie przekazywanych danych oraz stosowane zabezpieczenia.

Odbiorca	Cel / Usługi	Przekazywane dane	Zabezpieczenia
Dostawca usług weryfikacji tożsamości	KYC; screening AML/CFT; weryfikacja biometryczna; kontrole żywotności; uwierzytelnianie dokumentów; screening PEP/sankcji; kontrole sieci oszustw; KYT/KYB; Travel Rule; przypisywanie portfeli	Dane identyfikacyjne; obraz twarzy / dane biometryczne; dane kontaktowe; dane urządzenia / dane behawioralne; dane zgodności	Umowa powierzenia przetwarzania danych; zobowiązania umowne; szyfrowanie w trakcie transmisji i w spoczynku
Dostawca infrastruktury chmurowej	Hosting; przechowywanie danych; przetwarzanie obliczeniowe; odzyskiwanie po awarii	Wszystkie kategorie danych osobowych przechowywanych na Platformie	AWS Data Processing Addendum; model współodpowiedzialności AWS; certyfikacja SOC 2 / ISO 27001
Dostawcy analityki blockchain & zgodności	Monitorowanie transakcji on-chain; screening portfeli; zgodność z sankcjami; raportowanie AML/CFT	Adresy portfeli; hashe transakcji; dane transakcji on-chain; dane Travel Rule	Umowa powierzenia przetwarzania danych; zobowiązania umowne dotyczące poufności
Dostawcy usług płatności fiat	Przetwarzanie wpłat i wypłat fiat; zarządzanie chargebackami	Dane identyfikacyjne; dane kontaktowe; dane finansowe; dane transakcyjne; dane urządzenia	Umowa powierzenia przetwarzania danych; zgodność z PCI-DSS (jeżeli ma zastosowanie)
Dostawcy zapobiegania oszustwom & analizy ryzyka	Wykrywanie oszustw oparte na urządzeniach; scoring ryzyka; wykrywanie emulatorów/botów; sygnały oszustw międzyplatformowych	Dane urządzenia; dane behawioralne; adres IP; sygnały ryzyka e-mail / telefonu	Umowa powierzenia przetwarzania danych; zobowiązania umowne dotyczące poufności
Organy regulacyjne, organy podatkowe i organy ścigania	Zgodność z obowiązkami prawnymi; odpowiedzi na nakazy sądowe; współpraca w dochodzeniach finansowych; wymiana danych w ramach Travel Rule	Dane identyfikacyjne; dane transakcyjne; dane zgodności; dane on-chain (zgodnie z wymogami prawa)	Obowiązek prawny; brak przekazania, chyba że wymagane prawem
Podmioty powiązane i spółki z grupy	Wsparcie operacyjne w ramach grupy; koordynacja zgodności; współdzielone funkcje zarządzania ryzykiem	Dane identyfikacyjne; dane kontaktowe; dane zgodności; dane konta	Umowa o współdzieleniu danych w grupie; równoważne standardy ochrony prywatności
Profesjonalni doradcy (prawni, audyt, podatki)	Doradztwo prawne; audyty; zgodność podatkowa; rozstrzyganie sporów	Dane niezbędne do realizacji konkretnego zlecenia doradczego	Obowiązki zachowania poufności zawodowej; umowa powierzenia przetwarzania danych (jeżeli ma zastosowanie)
Następcy prawni (fuzje i przejęcia)	Przeniesienie działalności w związku z fuzją, przejęciem, restrukturyzacją lub sprzedażą aktywów	Wszystkie kategorie, z zastrzeżeniem równoważnej ochrony prywatności	Umowa poufności; ochrona prywatności jako warunek transferu

7.3 Udostępnianie danych w ramach Travel Rule

W przypadku gdy obowiązujące przepisy wymagają zgodności z zasadą Travel Rule FATF, będziemy udostępniać dane nadawcy i odbiorcy (w tym imię i nazwisko, adres portfela oraz dane identyfikacyjne) kontrahentom będącym VASP, gdy inicjujesz lub otrzymujesz transfery aktywów wirtualnych spełniające obowiązujące progi.

Udostępnianie tych danych ma charakter obowiązkowy i nie podlega rezygnacji. Korzystając z naszych usług transferu, upoważniasz nas do przekazywania wymaganych danych zgodnie z Travel Rule.

7.4 Ujawnienia na rzecz organów ścigania i organów regulacyjnych

Możemy ujawniać dane osobowe organom ścigania, jednostkom analityki finansowej, organom podatkowym oraz organom regulacyjnym w przypadkach, gdy:

(i) wymagają tego obowiązujące przepisy prawa lub orzeczenie sądu;

(ii) jest to konieczne do zapobiegania, wykrywania lub badania przestępstw finansowych, oszustw lub działalności terrorystycznej; lub

(iii) jest to konieczne do ochrony praw, własności lub bezpieczeństwa Bitbase, naszych użytkowników lub społeczeństwa.

W przypadkach, w których jest to prawnie dopuszczalne, dołożymy starań, aby poinformować Cię o takim ujawnieniu.

7.5 Przeniesienia biznesowe

W przypadku połączenia, przejęcia, restrukturyzacji, upadłości lub sprzedaży całości lub zasadniczej części naszych aktywów, Twoje dane osobowe mogą zostać przekazane podmiotowi przejmującemu.

Zobowiążemy taki podmiot do zapewnienia ochrony prywatności na poziomie co najmniej równoważnym z niniejszą Polityką oraz, jeżeli wymagają tego przepisy prawa, poinformujemy Cię o tym z wyprzedzeniem.

7.6 Dane zagregowane i zanonimizowane

Możemy udostępniać dane zagregowane lub zanonimizowane (które nie mogą w rozsądny sposób posłużyć do Twojej identyfikacji) publicznie lub naszym partnerom w celach analitycznych, badawczych oraz raportowych.

Takie dane nie stanowią danych osobowych i nie podlegają niniejszej Polityce.

8.Przechowywanie danych

Przekazywanie danych

Możemy przekazywać lub ujawniać Twoje dane osobowe naszym podmiotom powiązanym, zaufanym partnerom zewnętrznym oraz dostawcom usług zlokalizowanym w różnych jurysdykcjach na całym świecie, jeżeli takie przekazanie jest niezbędne do realizacji celów określonych w niniejszej Polityce Prywatności.

W przypadku przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych poza Twoim krajem zamieszkania, które nie podlegają decyzji stwierdzającej odpowiedni stopień ochrony ani nie zapewniają równoważnego poziomu ochrony zgodnie z obowiązującymi przepisami o ochronie danych, wdrożymy odpowiednie zabezpieczenia w celu zapewnienia zgodności takiego przekazania z obowiązującymi wymogami prawnymi.

Zabezpieczenia te mogą obejmować środki techniczne, organizacyjne oraz umowne, mające na celu zapewnienie, że Twoje dane osobowe nadal będą objęte odpowiednim poziomem ochrony zgodnym z obowiązującymi przepisami o ochronie danych.

Korzystając z Platformy, potwierdzasz i akceptujesz, że Twoje dane osobowe mogą być przekazywane w sposób opisany powyżej.

9.Przechowywanie danych

9.1 Okres przechowywania danych

Przechowujemy dane osobowe przez okres niezbędny do realizacji celów, dla których zostały zebrane, oraz w celu wypełnienia naszych obowiązków prawnych i regulacyjnych.

Nasz harmonogram przechowywania danych przedstawiono w poniższej tabeli.

Kategoria danych	Okres przechowywania	Podstawa okresu przechowywania
Dane rejestracji konta oraz dokumenty tożsamości	Minimum 5 lat od zamknięcia konta lub ostatniej transakcji (w zależności od tego, co nastąpi później)	Obowiązki prawne AML/CFT; wymogi regulacyjne dotyczące prowadzenia rejestrów
Dane biometryczne (wzorce cech twarzy, obrazy weryfikacji żywotności)	Przechowywane wyłącznie przez okres niezbędny do celów weryfikacji; usuwane po upływie okresu przechowywania AML/CFT lub na podstawie zweryfikowanego wniosku o usunięcie; trwale nieodwracalne po usunięciu	Zgodność z AML/CFT; obowiązek prawny; podstawa wyraźnej zgody
Rejestry transakcji i handlu (wszystkie Usługi)	Minimum 5 lat od daty każdej transakcji; dłużej, jeżeli wymagają tego obowiązujące przepisy podatkowe lub regulacyjne	AML/CFT; prawo podatkowe; obowiązki raportowania regulacyjnego
Dane on-chain i blockchain / dane Travel Rule	Minimum 5 lat od daty transakcji	FATF Travel Rule; przepisy AML/CFT; obowiązujące regulacje dotyczące VASP
Rejestry ryzyka KYC / zgodności (screening PEP/sankcji, EDD)	Minimum 5 lat od zamknięcia konta; dłużej, jeżeli wymagają tego przepisy prawa lub trwające postępowanie	AML/CFT; obowiązki związane z kontrolami regulacyjnymi
Rejestry transakcji fiat i płatności	Minimum 5 lat od daty transakcji lub dłużej zgodnie z obowiązującymi przepisami dotyczącymi płatności	Prawo płatnicze; prawo podatkowe; AML/CFT
Obsługa klienta i komunikacja	3 lata od daty ostatniej komunikacji; dłużej w przypadku sporu, postępowania prawnego lub zapytania regulacyjnego	Prawnie uzasadnione interesy; wykonanie umowy; obrona prawna
Logi urządzenia, techniczne i behawioralne	Do 2 lat; dłużej, jeżeli są przechowywane w związku z dochodzeniem bezpieczeństwa lub postępowaniem prawnym	Prawnie uzasadnione interesy; obowiązki związane z zapobieganiem oszustwom i bezpieczeństwem
Nagrania wideo z identyfikacji	Takie same jak rejestry KYC (minimum 5 lat) lub zgodnie z obowiązującymi przepisami eIDAS / AML/CFT	AML/CFT; ramy eIDAS (jeżeli mają zastosowanie); obowiązek prawny
Rejestry preferencji marketingowych	Do momentu wycofania zgody; plus 1 dodatkowy rok w celach ewidencyjnych zgodności	Zgoda; obowiązki rozliczalności
Rejestry onboardingu korporacyjnego / instytucjonalnego	Minimum 5 lat od zakończenia relacji biznesowej	AML/CFT; obowiązki regulacyjne KYB

9.2 Kryteria ustalania okresów przechowywania

Przy ustalaniu odpowiednich okresów przechowywania uwzględniamy: charakter i wrażliwość danych; cele, w jakich dane są przetwarzane; możliwość osiągnięcia tych celów poprzez przechowywanie danych w formie zanonimizowanej; obowiązujące wymogi AML/CFT, podatkowe oraz regulacyjne w zakresie usług finansowych; zobowiązania umowne; oraz potencjalne ryzyko szkody wynikające z nieuprawnionego ujawnienia danych.

9.3 Usuwanie i niszczenie danych

Po upływie obowiązującego okresu przechowywania dane osobowe są bezpiecznie i trwale usuwane lub nieodwracalnie anonimizowane. Nasze procedury usuwania obejmują:

Dane elektroniczne: trwale usuwane ze wszystkich systemów przy użyciu metod uniemożliwiających ich odzyskanie; w przypadku danych przechowywanych w chmurze stosowane jest usuwanie AWS S3 Object Deletion. Jeżeli dane były objęte kopiami zapasowymi, kopie te są usuwane w ramach cyklu rotacji kopii zapasowych.
Dane biometryczne: usuwane przy użyciu metod uniemożliwiających ich odzyskanie, w tym z zastosowaniem technik forensycznych.
Dokumenty papierowe: niszczone poprzez rozdrabnianie lub spalanie.
Nośniki mobilne i wymienne: reset fabryczny lub fizyczne zniszczenie w przypadku danych wrażliwych.

Podejmujemy uzasadnione działania w celu zapewnienia, że nasi podmioty przetwarzające dane również usuwają lub anonimizują Twoje dane po upływie okresu przechowywania zgodnie z obowiązkami umownymi.

Wnioski o usunięcie danych zgłoszone przez użytkownika są realizowane w terminie trzydziestu (30) dni, z zastrzeżeniem obowiązków prawnych dotyczących przechowywania danych. W przypadku braku możliwości usunięcia określonych danych z uwagi na obowiązki prawne, poinformujemy Cię o tym.

10.Bezpieczeństwo danych

10.1 Środki techniczne i organizacyjne

Wdrażamy kompleksowy zestaw środków technicznych i organizacyjnych w celu ochrony Twoich danych osobowych przed nieuprawnionym dostępem, ujawnieniem, zmianą, przypadkową utratą lub zniszczeniem. Środki te obejmują:

szyfrowanie wszystkich danych w trakcie transmisji przy użyciu TLS (Transport Layer Security) oraz danych przechowywanych przy użyciu AES-256 lub równoważnych standardów szyfrowania w środowisku AWS;
kontrolę dostępu opartą na rolach oraz zasadę minimalnych uprawnień, zapewniającą dostęp do danych osobowych wyłącznie upoważnionemu personelowi, który potrzebuje ich do wykonywania swoich obowiązków;
obowiązkowe uwierzytelnianie dwuskładnikowe (2FA) dla wszystkich kont użytkowników Platformy;
stosowanie whitelisty kluczy API oraz ograniczeń częstotliwości zapytań (rate limiting) w celu zapobiegania nieautoryzowanemu dostępowi do API;
architekturę portfeli wielopodpisowych (multi-signature, multi-sig) oraz przechowywanie większości rezerw aktywów cyfrowych w cold storage;
warstwowy system portfeli hot/cold w celu minimalizacji ekspozycji aktywów online;
dedykowane wewnętrzne funkcje kontroli ryzyka i monitorowania bezpieczeństwa, obejmujące ciągłe monitorowanie aktywności na Platformie;
regularne testy penetracyjne, oceny podatności oraz audyty bezpieczeństwa;
procedury wykrywania i reagowania na incydenty, w tym zdolności do prowadzenia analiz forensycznych; oraz
regularne szkolenia pracowników w zakresie bezpieczeństwa informacji, ochrony danych oraz świadomości zagrożeń phishingowych.

10.2 Obowiązki użytkownika

Użytkownik ponosi odpowiedzialność za zachowanie poufności danych dostępowych do Konta, w tym hasła, kodów 2FA oraz kluczy API.

Zaleca się stosowanie silnego, unikalnego hasła, włączenie wszystkich dostępnych funkcji bezpieczeństwa oraz nieudostępnianie danych dostępowych osobom trzecim.

W przypadku podejrzenia nieautoryzowanego dostępu do Konta należy niezwłocznie skontaktować się z nami pod adresem: support@Bitbase.com.

10.3 Brak absolutnej gwarancji bezpieczeństwa

Pomimo stosowania wszelkich uzasadnionych środków ochrony danych, żaden system nie jest całkowicie odporny na zagrożenia bezpieczeństwa.

Przesyłanie danych przez internet z natury wiąże się z ryzykiem. Nie możemy zagwarantować absolutnego bezpieczeństwa danych przesyłanych do lub z Platformy.

11.Zgłaszanie naruszeń ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia Twoich praw i wolności, podejmiemy następujące działania:

powiadomimy właściwe organy nadzorcze w terminie wymaganym przez obowiązujące przepisy prawa (jeżeli ma to zastosowanie);
poinformujemy osoby, których dane dotyczą, bez zbędnej zwłoki oraz — w miarę możliwości — w terminach określonych przez obowiązujące przepisy o ochronie danych; oraz
przekażemy osobom, których dane dotyczą, informacje dotyczące: charakteru naruszenia; kategorii oraz przybliżonej liczby rekordów danych objętych naruszeniem; prawdopodobnych konsekwencji naruszenia; oraz środków podjętych lub planowanych w celu zaradzenia naruszeniu.

Powiadomienia o naruszeniu będą przesyłane na adres e-mail powiązany z Twoim Kontem oraz — w stosownych przypadkach — publikowane w formie widocznego komunikatu na Platformie.

W przypadku gdy indywidualne powiadomienie nie jest rozsądnie wykonalne ze względu na skalę naruszenia, opublikujemy stosowną informację publiczną za pośrednictwem Platformy.

12.Pliki cookies i technologie śledzące

12.1 Zakres stosowania

Na Platformie oraz w naszych aplikacjach mobilnych wykorzystujemy pliki cookies oraz podobne technologie śledzące (w tym web beacons, pixel tags, SDK oraz fingerprinting urządzeń) w następujących celach:

Niezbędne (Strictly Necessary) Technologie te są niezbędne do prawidłowego funkcjonowania Platformy. Umożliwiają realizację podstawowych funkcji, takich jak zarządzanie sesją, uwierzytelnianie, bezpieczeństwo (ochrona CSRF, wykrywanie nieautoryzowanego dostępu) oraz równoważenie obciążenia. Stanowią również podstawę naszych systemów zapobiegania oszustwom oraz wykrywania emulatorów i botów. Nie mogą zostać wyłączone.

Wydajnościowe i analityczne (Performance and Analytics) Wykorzystujemy pliki cookies wydajnościowe oraz narzędzia analityczne w celu zrozumienia sposobu korzystania z Platformy przez użytkowników, identyfikacji problemów wydajnościowych, pomiaru wykorzystania funkcji oraz poprawy ogólnego doświadczenia użytkownika. W przypadkach wymaganych przepisami prawa ich stosowanie wymaga Twojej zgody.

Funkcjonalne (Functional) Technologie te zapamiętują Twoje preferencje (np. ustawienia języka i regionu) oraz umożliwiają korzystanie z rozszerzonych funkcji Platformy. W przypadkach wymaganych przepisami prawa wymagają Twojej zgody.

Reklamowe i targetujące (Advertising and Targeting) Jeżeli są włączone i za Twoją zgodą, możemy wykorzystywać własne oraz zewnętrzne pliki cookies reklamowe w celu prezentowania dopasowanych treści promocyjnych. W przypadkach wymaganych przepisami prawa wymagają Twojej zgody.

12.2 Zarządzanie plikami cookies

Możesz zarządzać swoimi preferencjami dotyczącymi cookies za pośrednictwem naszego Centrum Preferencji Cookies (dostępnego poprzez link „Cookies” w stopce strony) lub poprzez ustawienia przeglądarki.

Wyłączenie niektórych plików cookies może wpłynąć na możliwość korzystania z niektórych funkcji Platformy.

Jeżeli korzystasz z VPN, adresy IP przypisywane przez VPN mogą wpływać na dokładność banerów zgody cookies opartych na lokalizacji; zalecamy ręczne zarządzanie preferencjami w Centrum Preferencji Cookies.

12.3 Uprawnienia aplikacji mobilnej

Nasza aplikacja mobilna może wymagać dostępu do określonych uprawnień urządzenia w celu świadczenia Usług. Kluczowe uprawnienia obejmują:

kamera — do skanowania dokumentów oraz weryfikacji żywotności w procesie KYC;
pamięć urządzenia — do przesyłania dokumentów;
identyfikatory urządzenia — do wykrywania oszustw oraz powiązania urządzenia z kontem.

Udzielenie tych uprawnień nie oznacza ich natychmiastowej aktywacji; dostęp do wrażliwych funkcji będzie wymagany wyłącznie w momencie ich użycia, a użytkownik zostanie poproszony o wyrażenie zgody.

8Twoje prawa w zakresie ochrony danych

13.1 Przysługujące Ci prawa

Z zastrzeżeniem obowiązujących przepisów prawa oraz określonych wyjątków prawnych, możesz posiadać następujące prawa w odniesieniu do swoich danych osobowych przetwarzanych przez nas:

Prawo dostępu do danych (Data Subject Access Request) Masz prawo uzyskać kopię danych osobowych, które przetwarzamy, wraz z informacjami dotyczącymi celów przetwarzania, kategorii danych, odbiorców danych, okresu przechowywania oraz przysługujących Ci praw. Odpowiedź zostanie udzielona w powszechnie używanym formacie elektronicznym.

Prawo do sprostowania danych Masz prawo żądać poprawienia nieprawidłowych danych lub uzupełnienia danych niekompletnych. Należy jednak pamiętać, że niektóre dane (takie jak dane weryfikacyjne tożsamości) nie mogą być zmienione jednostronnie i mogą wymagać przeprowadzenia ponownego procesu weryfikacji.

Prawo do usunięcia danych (prawo do bycia zapomnianym) Masz prawo żądać usunięcia swoich danych osobowych w przypadkach, gdy: dane nie są już niezbędne do celów, dla których zostały zebrane; wycofasz zgodę (jeżeli przetwarzanie opiera się na zgodzie); skutecznie wniesiesz sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie; lub dane były przetwarzane niezgodnie z prawem.

Zrealizujemy takie żądanie, chyba że jesteśmy zobowiązani lub uprawnieni do przechowywania danych na podstawie przepisów prawa (np. obowiązki archiwizacyjne AML/CFT).

Prawo do ograniczenia przetwarzania Masz prawo żądać ograniczenia przetwarzania w określonych sytuacjach, w tym podczas weryfikacji poprawności kwestionowanych danych, w trakcie oceny sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie lub gdy przetwarzanie jest niezgodne z prawem, ale nie chcesz, aby dane zostały usunięte.

Prawo do przenoszenia danych W przypadku gdy przetwarzanie opiera się na zgodzie lub wykonaniu umowy i odbywa się w sposób zautomatyzowany, masz prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub żądać ich przekazania innemu administratorowi, o ile jest to technicznie możliwe.

Prawo do sprzeciwu Masz prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych opartego na naszym prawnie uzasadnionym interesie (w tym profilowania). Zaprzestaniemy przetwarzania, chyba że wykażemy istnienie nadrzędnych, prawnie uzasadnionych podstaw, które przeważają nad Twoimi interesami, prawami i wolnościami, lub że przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych.

Masz również bezwarunkowe prawo sprzeciwu wobec przetwarzania danych w celach marketingu bezpośredniego.

Prawo do cofnięcia zgody Jeżeli przetwarzanie odbywa się na podstawie Twojej wyraźnej zgody (w tym w odniesieniu do danych biometrycznych), możesz ją wycofać w dowolnym momencie, kontaktując się z nami pod adresem: privacy@Bitbase.com.

Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Należy jednak pamiętać, że cofnięcie zgody na przetwarzanie danych biometrycznych może uniemożliwić zakończenie procesu weryfikacji tożsamości oraz skutkować ograniczeniem dostępu do Konta.

Prawa związane ze zautomatyzowanym podejmowaniem decyzji Masz prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), która wywołuje wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływa, chyba że takie przetwarzanie jest niezbędne do zawarcia lub wykonania umowy, dopuszczone przez obowiązujące przepisy prawa lub oparte na Twojej wyraźnej zgodzie.

W takich przypadkach przysługuje Ci prawo do uzyskania interwencji człowieka, wyrażenia własnego stanowiska oraz zakwestionowania decyzji.

13.2 Jak skorzystać ze swoich praw

Aby skorzystać z któregokolwiek z powyższych praw, prosimy o złożenie pisemnego wniosku na adres privacy@Bitbase.com, zawierającego: Twoje imię i nazwisko; adres e-mail powiązany z Twoim Kontem; jasne wskazanie prawa, z którego chcesz skorzystać; oraz wystarczające informacje umożliwiające weryfikację Twojej tożsamości (możemy poprosić o dodatkową weryfikację).

Niezwłocznie potwierdzimy otrzymanie Twojego wniosku i udzielimy odpowiedzi w terminie trzydziestu (30) dni. W przypadkach złożonych możemy wydłużyć ten okres o kolejne sześćdziesiąt (60) dni, informując Cię wcześniej o przyczynach przedłużenia. Nie pobieramy opłat za rozpatrywanie uzasadnionych wniosków; jednak możemy pobrać uzasadnioną opłatę administracyjną lub odmówić realizacji wniosków, które są oczywiście bezzasadne, nadmierne lub powtarzające się.

13.3 Ograniczenia praw

Twoje prawa mogą być ograniczone lub wyłączone w przypadkach, gdy: (i) jesteśmy zobowiązani na mocy prawa do przechowywania lub przetwarzania danych (w tym obowiązków AML/CFT dotyczących prowadzenia rejestrów); (ii) dane są niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych; (iii) wykonanie prawa miałoby negatywny wpływ na prawa lub wolności osób trzecich; lub (iv) mają zastosowanie inne ustawowe wyjątki. Zawsze wyjaśnimy każde ograniczenie lub wyłączenie mające zastosowanie do Twojego konkretnego wniosku.

13.4 Dane kont nieaktywnych

Nie stosujemy odrębnej polityki dotyczącej kont nieaktywnych, która samodzielnie prowadziłaby do usunięcia danych. Konta nieaktywne podlegają naszym standardowym procesom monitorowania transakcji AML/CFT. Dane kont są przechowywane zgodnie z Sekcją 9 niezależnie od poziomu aktywności konta.

14.Praktyki dotyczące danych specyficznych dla kryptowalut

14.1 Przejrzystość blockchaina

Należy mieć świadomość, że sieci blockchain są publiczne i niezmienne. W przypadku wysyłania lub otrzymywania Aktywów Cyfrowych w blockchainie, Twój adres portfela oraz szczegóły transakcji (w tym kwoty i adresy portfeli kontrahentów) stają się publicznie widoczne w blockchainie. Nie mamy możliwości usunięcia ani zmiany danych on-chain. Nasze obowiązki w zakresie prywatności wynikające z niniejszej Polityki odnoszą się do danych osobowych przechowywanych w naszych własnych systemach; nie mamy kontroli nad widocznością danych on-chain.

14.2 Powiązanie adresów portfeli

Powiązujemy Twoje zarejestrowane adresy portfeli z Twoją tożsamością w naszych wewnętrznych systemach w celu zapewnienia zgodności z AML/CFT. Powiązanie to nie jest publikowane publicznie. Jednak narzędzia analityki blockchain podmiotów trzecich mogą niezależnie powiązać adresy portfeli z tożsamościami na podstawie publicznie dostępnych danych on-chain.

14.3 Zgodność z FATF Travel Rule

Jako dostawca usług w zakresie aktywów wirtualnych (VASP) jesteśmy zobowiązani do przestrzegania FATF Travel Rule, która wymaga zbierania, weryfikacji i przekazywania informacji o nadawcy i odbiorcy w przypadku kwalifikujących się transferów Aktywów Wirtualnych. W przypadku inicjowania lub otrzymywania transferu spełniającego obowiązujący próg, będziemy:

zbierać Twoje imię i nazwisko, adres portfela oraz odpowiednie dane identyfikacyjne;
weryfikować te informacje w ramach procesu KYC;
przekazywać te informacje kontrahentowi będącemu VASP przy użyciu szyfrowanych protokołów komunikacyjnych; oraz
przechowywać zapis przekazanych informacji.

Możemy również otrzymywać informacje o nadawcy i odbiorcy od kontrahentów będących VASP w przypadku otrzymywania przez Ciebie transferów Aktywów Wirtualnych. Otrzymane dane Travel Rule przetwarzamy wyłącznie w celu zapewnienia zgodności z AML/CFT.

14.4 Monitorowanie Know Your Transaction (KYT)

Korzystamy z narzędzi analityki blockchain do prowadzenia monitorowania Know Your Transaction (KYT). KYT polega na analizie danych transakcji on-chain powiązanych z Twoimi adresami portfeli w celu wykrywania nietypowych wzorców, powiązań z działalnością nielegalną lub ekspozycji na sankcje. Wyniki KYT mogą wpływać na Twoją możliwość dokonywania wpłat lub wypłat Aktywów Cyfrowych oraz mogą skutkować zastosowaniem rozszerzonej należytej staranności.

14.5 Weryfikacja portfeli niehostowanych

W przypadkach wymaganych przez przepisy Travel Rule możemy poprosić Cię o potwierdzenie własności lub kontroli nad niehostowanym (samodzielnie zarządzanym) adresem portfela. Weryfikacja może być przeprowadzona poprzez: podpisanie wiadomości testowej kluczem prywatnym portfela; złożenie oświadczenia o własności; dostarczenie zrzutu ekranu portfela; lub, w niektórych przypadkach, poprzez mikrotransakcję (test Satoshi). Zapisy weryfikacji są przechowywane w celach zgodności z Travel Rule.

15.Handel instrumentami pochodnymi i produkty lewarowane — specyficzne praktyki dotyczące danych

W przypadku użytkowników korzystających z produktów handlu instrumentami pochodnymi przetwarzamy dodatkowe dane specyficzne dla produktów lewarowanych:

Dane pozycji: otwarte pozycje, wielkość pozycji, cena wejścia, cena mark, cena likwidacji, niezrealizowany P&L oraz współczynnik marży.
Dane dotyczące marży i zabezpieczenia: typ marży (izolowana/krzyżowa), marża początkowa, marża utrzymania, naruszenia współczynnika marży oraz struktura aktywów zabezpieczających.
Zapisy likwidacji: w przypadku przymusowej likwidacji wynikającej ze spadku współczynnika marży poniżej poziomu marży utrzymania rejestrujemy zdarzenie likwidacji, zamknięte pozycje, cenę mark w momencie likwidacji oraz wykorzystanie funduszu ubezpieczeniowego.
Zapisy stawek finansowania: okresowe płatności stawek finansowania między pozycjami długimi i krótkimi.

Dane te są przetwarzane w celu rozliczania kontraktów, zarządzania marżą i likwidacją, kontroli ryzyka, raportowania regulacyjnego oraz rozstrzygania sporów.

16.Użytkownicy instytucjonalni i biznesowi

W przypadku korzystania z Usług w charakterze biznesowym lub instytucjonalnym zbieramy dane osobowe dotyczące podmiotów oprócz danych indywidualnych opisanych powyżej. Obejmuje to dane dotyczące upoważnionych przedstawicieli podmiotu, rzeczywistych beneficjentów (UBO), członków zarządu, kadry kierowniczej, akcjonariuszy oraz innych odpowiednich osób fizycznych („Osoby powiązane”).

Użytkownik ponosi odpowiedzialność za zapewnienie, że Osoby powiązane zostały poinformowane o przekazaniu ich danych osobowych oraz o ich przetwarzaniu zgodnie z niniejszą Polityką. Przekazując dane osobowe dotyczące Osób powiązanych, oświadczasz, że posiadasz do tego odpowiednią podstawę prawną oraz że osoby te zostały poinformowane i wyraziły zgodę (jeżeli jest to wymagane).

Użytkownicy instytucjonalni mogą podlegać rozszerzonej należytej staranności, bardziej rozbudowanemu zakresowi zbierania danych oraz odrębnym warunkom kont instytucjonalnych uzupełniającym niniejszą Politykę.

17.Użytkownicy API

Jeżeli uzyskujesz dostęp do Platformy za pośrednictwem API, zbieramy i przechowujemy rejestry wszystkich wywołań API wykonanych przy użyciu Twoich danych uwierzytelniających, w tym znaczniki czasu, adresy IP, parametry oraz odpowiedzi.

Rejestry dostępu do API są wykorzystywane do monitorowania bezpieczeństwa, wykrywania oszustw, ograniczania częstotliwości zapytań oraz zapobiegania nadużyciom. Nietypowe wzorce korzystania z API (w tym zachowania charakterystyczne dla manipulacji rynkowej lub nieautoryzowanego dostępu) mogą skutkować przeglądem lub ograniczeniem konta.

18.Osoby małoletnie

Platforma i Usługi nie są skierowane do osób poniżej 18 roku życia ani nie są przeznaczone do ich użytku. Nie zbieramy świadomie danych osobowych od osób małoletnich. Nasz proces weryfikacji tożsamości został zaprojektowany w celu wykrywania i odrzucania osób małoletnich.

Jeżeli dowiemy się, że nieumyślnie zebraliśmy dane osobowe osoby małoletniej lub że osoba małoletnia została poddana weryfikacji tożsamości bez zgody rodzica (jeżeli obowiązujące przepisy wymagają takiej zgody), niezwłocznie usuniemy dane po uzyskaniu takiej informacji. Jeżeli uważasz, że dane osoby małoletniej zostały przekazane, skontaktuj się z nami niezwłocznie pod adresem privacy@Bitbase.com.

19.Linki i integracje z podmiotami trzecimi

Platforma może zawierać linki do stron internetowych, aplikacji lub usług podmiotów trzecich, które nie są przez nas obsługiwane ani kontrolowane. Po kliknięciu takich linków opuszczasz Platformę, a Twoja aktywność podlega polityce prywatności danego podmiotu trzeciego. Nie ponosimy odpowiedzialności za praktyki w zakresie prywatności ani treści jakichkolwiek stron podmiotów trzecich.

Platforma może również integrować się z dostawcami usług podmiotów trzecich (takimi jak procesorzy płatności, dostawcy fiat on-ramp oraz usługi danych blockchain), którzy przetwarzają Twoje dane zgodnie z naszymi instrukcjami oraz w sposób opisany w Sekcji 7 i Załączniku A. Polityki prywatności tych dostawców regulują ich własne niezależne praktyki przetwarzania danych; linki do polityk prywatności naszych kluczowych dostawców usług są dostępne w naszym Centrum Pomocy.

20.Użytkownicy zmarli

W przypadku śmierci użytkownika możemy odpowiadać na wnioski zweryfikowanych najbliższych krewnych lub przedstawicieli spadku dotyczące konta i aktywów zmarłego użytkownika, z zastrzeżeniem naszych procedur zamknięcia konta, obowiązujących przepisów prawa spadkowego oraz obowiązków AML/CFT. Dane osobowe zmarłych użytkowników będą nadal przechowywane i przetwarzane zgodnie z niniejszą Polityką przez obowiązujące okresy przechowywania.

21.Prawo właściwe

Niniejsza Polityka podlega prawu Republiki Panamy i zgodnie z nim będzie interpretowana. Wszelkie spory powstałe w związku z niniejszą Polityką będą rozstrzygane zgodnie z postanowieniami dotyczącymi rozstrzygania sporów określonymi w naszych Warunkach Użytkowania. Żadne postanowienie niniejszej Sekcji nie ogranicza Twoich praw wynikających z bezwzględnie obowiązujących przepisów o ochronie danych mających zastosowanie w Twojej jurysdykcji zamieszkania.

22.Zmiany niniejszej Polityki Prywatności

Możemy w dowolnym czasie aktualizować lub zmieniać niniejszą Politykę. Opublikujemy zaktualizowaną Politykę na Platformie wraz z nową datą wejścia w życie. W przypadku istotnych zmian — w tym zmian kategorii zbieranych danych, celów przetwarzania danych, kategorii podmiotów trzecich, którym dane są udostępniane, lub Twoich praw — zapewnimy wcześniejsze powiadomienie za pośrednictwem wiadomości e-mail na adres powiązany z Twoim Kontem i/lub poprzez widoczne powiadomienie na Platformie, co najmniej czternaście (14) dni przed wejściem zmian w życie (jeżeli będzie to możliwe). W przypadku zmian nieistotnych (takich jak poprawki typograficzne lub doprecyzowania, które nie wpływają na nasze praktyki przetwarzania danych), opublikujemy zaktualizowaną Politykę bez indywidualnego powiadomienia.

Dalsze korzystanie z Platformy po dacie wejścia w życie zmienionej Polityki oznacza akceptację zaktualizowanych warunków. Jeżeli nie zgadzasz się z jakąkolwiek zmianą, powinieneś zaprzestać korzystania z Platformy i złożyć wniosek o zamknięcie Konta przed wejściem zmian w życie.

23.Język

Niniejsza Polityka Prywatności została sporządzona w języku angielskim. W przypadku jakichkolwiek rozbieżności pomiędzy wersją angielską a jakąkolwiek wersją tłumaczoną, wersja angielska ma pierwszeństwo.

Słownik

AML/CFT: przeciwdziałanie praniu pieniędzy / przeciwdziałanie finansowaniu terroryzmu — ramy regulacyjne obejmujące przepisy prawa, regulacje i procedury mające na celu wykrywanie i zapobieganie praniu pieniędzy oraz finansowaniu terroryzmu.

Biometric Data: dane osobowe wynikające ze szczególnego przetwarzania technicznego cech fizycznych lub behawioralnych, umożliwiające lub potwierdzające jednoznaczną identyfikację osoby, w tym wzorce cech twarzy.

Controller: osoba fizyczna lub prawna, która określa cele i sposoby przetwarzania danych osobowych. Na potrzeby niniejszej Polityki administratorem danych jest Bitbase Corp.

Data Subject: każda zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dane osobowe są przetwarzane przez administratora.

EDD: rozszerzona należyta staranność — dodatkowe środki weryfikacji tożsamości i oceny ryzyka stosowane wobec klientów wysokiego ryzyka.

FATF Travel Rule: rekomendacja Grupy Specjalnej ds. Przeciwdziałania Praniu Pieniędzy (FATF), wymagająca od VASP zbierania i przekazywania informacji o nadawcy i odbiorcy w przypadku transferów aktywów wirtualnych powyżej określonego progu.

GDPR: Ogólne rozporządzenie o ochronie danych (UE) 2016/679 oraz, w stosownych przypadkach, UK GDPR wdrożone do prawa krajowego Wielkiej Brytanii.

KYB: Know Your Business — proces weryfikacji tożsamości, struktury i rzeczywistych beneficjentów podmiotu prawnego.

KYC: Know Your Customer — proces weryfikacji tożsamości użytkowników indywidualnych zgodnie z wymogami AML/CFT i regulacyjnymi.

KYT: Know Your Transaction — monitorowanie transakcji blockchain w celu wykrywania nietypowej lub nielegalnej aktywności w transferach aktywów wirtualnych.

PEP: osoba zajmująca eksponowane stanowisko polityczne — osoba pełniąca lub pełniąca w przeszłości ważne funkcje publiczne, w tym członkowie najbliższej rodziny i bliscy współpracownicy.

Personal Data: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Processor: osoba fizyczna lub prawna przetwarzająca dane osobowe w imieniu administratora.

Special Category Data: szczególne kategorie danych osobowych wymagające zwiększonej ochrony, w tym dane biometryczne, dane dotyczące zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych oraz przynależności do związków zawodowych.

VASP: dostawca usług w zakresie aktywów wirtualnych — podmiot świadczący usługi wymiany, transferu, przechowywania lub inne usługi związane z aktywami wirtualnymi.