Privacy Policy
Polityka prywatności jest potrzebna, aby wyjaśnić, w jaki sposób Kaktus dostępny pod adresem kaktus-pl.com zbiera, wykorzystuje, przechowuje i chroni dane osobowe użytkowników. Dokument ma zastosowanie do osób odwiedzających stronę internetową, rejestrujących konto, kontaktujących się z obsługą oraz korzystających z funkcji związanych z grą, płatnościami i bezpieczeństwem konta. Niniejsza polityka obowiązuje od dnia 6 listopada 2026 r. i powinna być czytana łącznie z warunkami korzystania z serwisu, polityką cookies oraz informacjami przekazywanymi podczas rejestracji, weryfikacji i obsługi płatności.
Kim jesteśmy
Administratorem danych w rozumieniu RODO w zakresie danych przetwarzanych w związku z korzystaniem z serwisu kaktus-pl.com jest operator marki Kaktus. Na dzień ostatniej aktualizacji pełna nazwa prawna operatora, forma prawna, adres siedziby, adres do korespondencji oraz dane rejestrowe nie zostały publicznie wskazane w przekazanych danych źródłowych. Z tego względu użytkownik powinien każdorazowo zweryfikować aktualne dane identyfikacyjne operatora w stopce serwisu, regulaminie, sekcji kontaktowej albo w dokumentach udostępnionych podczas rejestracji konta.
- Marka i domena: Kaktus działa w ramach serwisu https://kaktus-pl.com.
- Jurysdykcja operacyjna wskazana w źródłach: w materiałach źródłowych pojawia się odniesienie do typowego modelu działania platform funkcjonujących na podstawie licencji z Curaçao, jednak numer licencji, nazwa podmiotu licencjonowanego i organ wydający nie zostały wskazane.
- Adres prawny i dane rejestrowe: nie określono.
- Numer rejestracyjny / identyfikacja podatkowa: nie określono.
W sprawach dotyczących ochrony danych osobowych użytkownik może kierować zapytania do podmiotu odpowiedzialnego za ochronę danych lub do działu wsparcia operatora. Dedykowane dane kontaktowe inspektora ochrony danych (DPO), bezpośredni numer telefonu oraz odrębny adres e-mail do spraw prywatności nie zostały wskazane w dostarczonych danych. Publicznie potwierdzony kanał kontaktowy obejmuje stronę internetową kaktus-pl.com; inne dane kontaktowe należy zweryfikować bezpośrednio w serwisie. Autorem treści informacyjnych powiązanych z projektem jest Aleksandra Zielińska, jednak nie należy utożsamiać tej informacji automatycznie z formalnym wyznaczeniem DPO.
Jakie dane osobowe zbieramy
Kaktus może przetwarzać dane osobowe i dane powiązane z korzystaniem z serwisu w zakresie niezbędnym do świadczenia usług, zapewnienia bezpieczeństwa, realizacji obowiązków prawnych oraz prowadzenia analiz operacyjnych. Zakres danych może różnić się w zależności od tego, czy użytkownik jedynie odwiedza stronę, zakłada konto, przechodzi weryfikację, dokonuje wpłat lub wypłat, bierze udział w promocjach albo kontaktuje się z obsługą.
- Dane identyfikacyjne i kontaktowe: imię i nazwisko, nazwa użytkownika, data urodzenia, adres zamieszkania, adres e-mail, numer telefonu oraz inne dane podane przy rejestracji, w formularzach lub korespondencji z operatorem.
- Dane weryfikacyjne i zgodności: dokumenty tożsamości, potwierdzenie adresu, dane wymagane do procedur KYC/AML, informacje potrzebne do potwierdzenia źródła środków lub legalności transakcji, jeżeli wymagają tego przepisy albo procedury bezpieczeństwa operatora.
- Dane finansowe i płatnicze: historia wpłat i wypłat, użyta metoda płatności, identyfikatory transakcji, waluta, kwoty oraz informacje przekazywane przez dostawców płatności. W kontekście polskim może to obejmować obsługę płatności w PLN; dostępność metod takich jak BLIK, Przelewy24, przelew bankowy lub karty płatnicze wymaga każdorazowej weryfikacji w kasie operatora.
- Dane techniczne: adres IP, identyfikatory urządzenia, system operacyjny, typ przeglądarki, ustawienia językowe, znaczniki czasu logowania, logi systemowe, dane o błędach i zdarzeniach bezpieczeństwa.
- Dane dotyczące korzystania z usług: historia aktywności na koncie, używane funkcje, interakcje z interfejsem, kliknięcia, czas sesji, historia gry, zakładów, bonusów, ograniczeń konta, samowykluczenia lub prób odzyskania dostępu.
- Cookies i podobne technologie: dane zapisywane w przeglądarce lub na urządzeniu dla potrzeb logowania, utrzymania sesji, pomiaru ruchu, personalizacji ustawień i działań reklamowych wykonywanych za zgodą.
Podstawa prawna przetwarzania
Przetwarzanie danych osobowych przez Kaktus w ramach kaktus-pl.com powinno opierać się na podstawach prawnych przewidzianych w RODO i, w odpowiednim zakresie, na obowiązkach wynikających z przepisów dotyczących przeciwdziałania nadużyciom, bezpieczeństwa transakcji i zgodności operacyjnej. Zakres podstawy prawnej zależy od celu i charakteru relacji z użytkownikiem.
- Wykonanie umowy lub działania przedumowne: dotyczy założenia i utrzymania konta, obsługi logowania, przetwarzania wpłat i wypłat, kontaktu z użytkownikiem w sprawach technicznych, rozpatrywania zgłoszeń oraz zarządzania relacją kontraktową między użytkownikiem a operatorem.
- Zgoda użytkownika: może stanowić podstawę dla marketingu bezpośredniego drogą elektroniczną, wybranych cookies analitycznych i reklamowych, profilowania marketingowego lub innych działań, które nie są niezbędne do świadczenia usługi. Zgoda może zostać wycofana w dowolnym czasie bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
- Uzasadniony interes administratora: obejmuje ochronę serwisu przed oszustwami, nadużyciami, atakami technicznymi, bonus abuse, przejęciami kont, sporami płatniczymi, a także wewnętrzną analitykę, rozwój usług, obronę roszczeń i zapewnienie integralności systemów.
- Obowiązek prawny: może obejmować weryfikację tożsamości, ocenę ryzyka, raportowanie, przeciwdziałanie praniu pieniędzy, prowadzenie dokumentacji księgowej, odpowiadanie na prawnie uzasadnione żądania organów publicznych oraz przechowywanie danych przez okres wymagany przez przepisy.
Dla użytkowników z Polski informacje o statusie legalności usług hazardowych online należy oceniać ostrożnie i odrębnie od kwestii prywatności. Sam fakt korzystania z języka polskiego, płatności w PLN lub odniesień do graczy z Polski nie stanowi samodzielnego potwierdzenia zgodności operatora z wymogami polskiej ustawy o grach hazardowych ani z komunikatami Ministerstwa Finansów lub Krajowej Administracji Skarbowej.
Cel przetwarzania
Dane osobowe są wykorzystywane wyłącznie w zakresie adekwatnym do jasno określonych celów operacyjnych, prawnych i bezpieczeństwa. Kaktus nie powinien przetwarzać danych w sposób niezgodny z celem, dla którego zostały zebrane, chyba że istnieje odrębna podstawa prawna albo użytkownik został właściwie poinformowany o zmianie celu.
- Świadczenie usług serwisu: rejestracja konta, uwierzytelnianie, utrzymywanie sesji, obsługa płatności, rozpatrywanie wypłat, prowadzenie historii konta i komunikacja związana z korzystaniem z usługi.
- Weryfikacja i zgodność: potwierdzenie wieku 18+, weryfikacja tożsamości, przeciwdziałanie oszustwom, ochrona przed nieuprawnionym dostępem, analiza nietypowych działań i realizacja obowiązków wynikających z procedur bezpieczeństwa oraz AML/KYC.
- Rozwój i ulepszanie usług: analiza wydajności strony, usuwanie błędów, poprawa użyteczności, optymalizacja interfejsu i dostosowanie funkcji technicznych do sposobu korzystania z serwisu.
- Marketing i komunikacja promocyjna: wysyłka informacji handlowych, bonusów i ofert specjalnych wyłącznie tam, gdzie istnieje odpowiednia podstawa prawna, w szczególności zgoda albo dopuszczalna relacja z użytkownikiem zgodna z obowiązującymi przepisami.
- Analityka i zapobieganie nadużyciom: wykrywanie wzorców ryzyka, analiza źródeł ruchu, monitoring skuteczności kampanii oraz ograniczanie działań szkodzących użytkownikom, operatorowi lub partnerom płatniczym.
Ujawnianie i udostępnianie
Kaktus może ujawniać dane osobowe wyłącznie w zakresie niezbędnym do realizacji celów opisanych w niniejszej polityce, przy zachowaniu zasady minimalizacji danych, odpowiednich zabezpieczeń kontraktowych oraz obowiązującego prawa. Udostępnienie nie powinno oznaczać sprzedaży danych osobowych bez podstawy prawnej.
- Dostawcy usług technicznych: hosting, utrzymanie infrastruktury, narzędzia analityczne, bezpieczeństwo IT, komunikacja z użytkownikiem, systemy CRM, obsługa zgłoszeń i dostawcy wsparcia operacyjnego.
- Partnerzy płatniczy i instytucje finansowe: podmioty realizujące wpłaty, wypłaty, autoryzacje, chargebacki, kontrole ryzyka i przeciwdziałanie oszustwom. W przypadku wypłat w PLN lub innych walutach przetwarzanie może obejmować dane wymagane do KYC, księgowania i weryfikacji transakcji.
- Podmioty powiązane i doradcy: spółki z tej samej grupy, audytorzy, doradcy prawni, księgowi lub podmioty wspierające zgodność, o ile takie ujawnienie jest uzasadnione i odpowiednio zabezpieczone.
- Organy publiczne i regulacyjne: sądy, organy ścigania, organy nadzoru, organy podatkowe lub inne instytucje uprawnione na podstawie prawa do żądania określonych informacji.
- Sieci reklamowe i partnerzy marketingowi: wyłącznie w zakresie dopuszczalnym prawem i zasadniczo na podstawie zgody użytkownika w odniesieniu do cookies reklamowych, identyfikatorów marketingowych i podobnych technologii.
Jeżeli dojdzie do sprzedaży aktywów, restrukturyzacji, połączenia lub przeniesienia działalności, dane mogą zostać przekazane następcy prawnemu lub nabywcy, pod warunkiem zachowania odpowiedniego poziomu ochrony i poinformowania użytkowników, gdy wymagają tego przepisy.
Transfery międzynarodowe
Z uwagi na transgraniczny charakter infrastruktury internetowej, usług płatniczych, narzędzi analitycznych i wsparcia technicznego dane użytkowników kaktus-pl.com mogą być przetwarzane poza Europejskim Obszarem Gospodarczym. W przekazanych danych źródłowych pojawia się odniesienie do jurysdykcji Curaçao, dlatego użytkownik powinien zakładać możliwość transferów do państw trzecich związanych z operatorem, jego dostawcami albo zapleczem technologicznym, chyba że operator publicznie wskaże węższy zakres.
- Możliwe kierunki transferu: państwa, w których znajdują się operator, podmioty powiązane, dostawcy hostingu, narzędzia bezpieczeństwa, wsparcia klienta, płatności i analityki. Konkretna lista krajów nie została publicznie potwierdzona w dostarczonych danych.
- Stosowane zabezpieczenia: standardowe klauzule umowne Komisji Europejskiej, ocena ryzyka transferu, środki techniczne i organizacyjne, ograniczenia dostępu, szyfrowanie oraz zasada potrzeby wiedzy.
- Ważne zastrzeżenie: odwołania do Privacy Shield nie należy traktować jako samodzielnej aktualnej podstawy transferu dla nowych operacji; podstawę powinny stanowić obowiązujące mechanizmy prawne stosowane w czasie transferu.
Na żądanie użytkownika operator powinien, w granicach prawa i tajemnicy handlowej, poinformować o stosowanych zabezpieczeniach transferowych lub sposobie uzyskania kopii istotnych gwarancji.
Przechowywanie danych
Kaktus przechowuje dane osobowe tak długo, jak jest to konieczne do realizacji celu przetwarzania, wykonania umowy, ochrony przed nadużyciami, rozpatrzenia sporów oraz spełnienia obowiązków prawnych. Jeżeli dokładny harmonogram retencji nie został wskazany w serwisie, zastosowanie mają kryteria funkcjonalnej niezbędności, wymogi księgowe, bezpieczeństwo i zgodność.
- Dane konta i dane identyfikacyjne: co do zasady przez okres korzystania z konta oraz do 5 lat po jego zamknięciu w 2026 r. i później, chyba że dłuższy okres wynika z obowiązków prawnych, sporu, dochodzenia roszczeń lub trwającej weryfikacji.
- Dane KYC/AML i dokumenty weryfikacyjne: przez okres wymagany przepisami prawa, politykami zgodności i uzasadnioną potrzebą dowodową; w praktyce może to oznaczać okres równy lub dłuższy niż retencja danych konta.
- Dane transakcyjne i księgowe: przez okres wymagany przez przepisy rachunkowe, podatkowe, przeciwdziałania oszustwom i obsługi reklamacji.
- Dane techniczne i logi bezpieczeństwa: przez okres niezbędny do zapewnienia bezpieczeństwa systemów, diagnostyki błędów i obrony przed nadużyciami; okres ten może być krótszy niż dla danych konta, chyba że logi stanowią dowód incydentu.
- Dane marketingowe: do czasu wycofania zgody, wniesienia sprzeciwu albo ustania celu marketingowego.
- Cookies: przez czas życia danej technologii lub do usunięcia ich przez użytkownika, zgodnie z ustawieniami przeglądarki lub panelu zgód.
Usunięcie danych może nastąpić po zamknięciu konta, na uzasadnione żądanie użytkownika, po wycofaniu zgody albo po upływie obowiązkowego okresu przechowywania. Jeżeli pełne usunięcie nie jest możliwe z przyczyn prawnych, dane powinny zostać ograniczone, zarchiwizowane lub zanonimizowane.
Twoje prawa
Osobom, których dane dotyczą, przysługują prawa wynikające z RODO. W zakresie, w jakim Kaktus kieruje usługi do użytkowników z Polski lub przetwarza dane osób znajdujących się w EOG, prawa te powinny być wykonywane zgodnie z zasadami przejrzystości, rozliczalności i niedyskryminacji. Odniesienia w specyfikacji do prawa meksykańskiego nie mają tutaj zastosowania jako lokalny standard publikacji dla pl_PL; dlatego niniejsza sekcja opiera się na RODO i polskich realiach zgodności.
- Prawo dostępu: możesz żądać potwierdzenia, czy Twoje dane są przetwarzane, oraz uzyskać kopię danych i informacje o celach, odbiorcach, retencji i zabezpieczeniach transferowych.
- Prawo do sprostowania: możesz zażądać poprawienia danych nieprawidłowych albo uzupełnienia danych niekompletnych. W niektórych przypadkach operator może wymagać dokumentu potwierdzającego zmianę.
- Prawo do usunięcia: możesz żądać usunięcia danych, jeżeli nie są już potrzebne, zgoda została wycofana albo przetwarzanie jest niezgodne z prawem. Prawo to może być ograniczone, gdy dalsze przechowywanie jest wymagane przez prawo lub potrzebne do ustalenia, dochodzenia albo obrony roszczeń.
- Prawo do ograniczenia przetwarzania: przysługuje m.in. gdy kwestionujesz prawidłowość danych lub zgłaszasz sprzeciw wobec przetwarzania.
- Prawo do sprzeciwu: możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie, w tym profilowaniu na potrzeby marketingowe.
- Prawo do przenoszenia danych: w zakresie danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany możesz poprosić o ich przekazanie Tobie lub innemu administratorowi, jeżeli jest to technicznie możliwe.
- Prawo do wycofania zgody: w każdej chwili w odniesieniu do marketingu, cookies opcjonalnych lub innych procesów opartych na zgodzie.
- Jak złożyć wniosek: skontaktuj się przez kanały dostępne na kaktus-pl.com, opisując żądanie na tyle precyzyjnie, aby umożliwić jego obsługę.
- Weryfikacja tożsamości: operator może poprosić o dodatkowe informacje potrzebne do potwierdzenia, że wniosek składa właściwa osoba.
- Termin odpowiedzi: co do zasady bez zbędnej zwłoki, nie później niż w ciągu 30 dni, z możliwością przedłużenia w przypadkach przewidzianych prawem.
- Opłaty: realizacja praw jest zasadniczo bezpłatna; opłata może zostać naliczona tylko w przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych, zgodnie z RODO.
Cookies i technologie śledzące
Serwis kaktus-pl.com może używać cookies i podobnych technologii do zapewnienia działania strony, zapamiętywania ustawień, analizy korzystania z usług oraz prowadzenia działań reklamowych. Tam, gdzie wymagają tego przepisy, cookies inne niż ściśle niezbędne powinny być aktywowane dopiero po uzyskaniu zgody użytkownika.
- Cookies sesyjne: działają tylko podczas aktywnej sesji i służą m.in. do utrzymania logowania, bezpieczeństwa formularzy i obsługi podstawowych funkcji konta.
- Cookies trwałe: pozostają na urządzeniu przez określony czas i pozwalają zapamiętać preferencje, ustawienia językowe, dane analityczne lub wybory związane z panelem zgód.
- Cookies podmiotów trzecich: mogą pochodzić od dostawców analityki, zabezpieczeń, osadzonych treści albo partnerów reklamowych, jeśli użytkownik wyraził odpowiednią zgodę.
- Funkcjonalne: konieczne do prawidłowego działania strony i usług użytkownika.
- Analityczne: pomagają mierzyć ruch, analizować błędy i ulepszać działanie serwisu.
- Reklamowe i personalizacyjne: mogą służyć do prezentowania dopasowanych komunikatów marketingowych oraz ograniczania liczby wyświetleń tej samej reklamy.
Użytkownik może zarządzać cookies przez ustawienia przeglądarki, narzędzie zgód dostępne w serwisie lub funkcje urządzenia. Wyłączenie niektórych cookies może ograniczyć działanie wybranych funkcji, w tym logowania, personalizacji albo bezpieczeństwa sesji.
Bezpieczeństwo danych
Kaktus powinien stosować środki techniczne i organizacyjne odpowiednie do ryzyka związanego z przetwarzaniem danych osobowych w środowisku iGaming, gdzie szczególne znaczenie mają bezpieczeństwo kont, integralność płatności, ochrona dokumentów KYC i przeciwdziałanie przejęciu konta. Ponieważ część danych o infrastrukturze nie została publicznie potwierdzona, poniższe środki opisują standard oczekiwany od operatora przetwarzającego dane użytkowników serwisu kaktus-pl.com.
- Szyfrowanie i transmisja: stosowanie połączeń szyfrowanych co najmniej TLS 1.2+, ochrona danych podczas przesyłu oraz, tam gdzie to właściwe, szyfrowanie danych w spoczynku, kopii zapasowych i dokumentów weryfikacyjnych.
- Kontrola dostępu: ograniczenie dostępu do danych według ról, zasady najmniejszych uprawnień, rejestrowanie działań administracyjnych, separacja środowisk oraz bezpieczne zarządzanie hasłami i kluczami.
- Uwierzytelnianie i ochrona konta: mechanizmy silnego logowania, monitorowanie prób nieautoryzowanego dostępu, blokady bezpieczeństwa oraz, jeśli dostępne, uwierzytelnianie wieloskładnikowe.
- Monitorowanie i testy: regularne skanowanie podatności, audyty bezpieczeństwa, testy aktualizacji, analiza logów oraz procedury zarządzania incydentami.
- Organizacja i personel: szkolenia personelu, polityki poufności, procedury reagowania na incydenty, kontrola dostawców i zasady retencji danych.
Jeżeli operator deklaruje zgodność ze standardami takimi jak ISO 27001 lub SOC 2, takie zapewnienia powinny wynikać z publicznie weryfikowalnych informacji. W przekazanych danych źródłowych brak potwierdzenia takich certyfikacji, dlatego nie są one tutaj przedstawiane jako stwierdzony fakt. W razie naruszenia ochrony danych operator powinien podjąć działania naprawcze, ocenić ryzyko dla użytkowników oraz dokonać wymaganych prawem zgłoszeń i zawiadomień.
Skargi i kontakty
W sprawach dotyczących prywatności, przetwarzania danych, realizacji praw użytkownika lub zastrzeżeń co do bezpieczeństwa konta należy korzystać z kanałów kontaktowych udostępnionych przez Kaktus w serwisie kaktus-pl.com. W przekazanych danych źródłowych nie podano bezpośredniego adresu e-mail DPO, numeru telefonu, formularza prywatności ani adresu pocztowego właściwego dla skarg dotyczących ochrony danych. Oznacza to, że przed złożeniem formalnej skargi użytkownik powinien zweryfikować aktualne dane kontaktowe bezpośrednio na stronie operatora.
- Złożenie skargi lub wniosku: opisz problem, wskaż dane identyfikujące konto, daty zdarzeń oraz oczekiwany sposób rozwiązania. Nie przesyłaj nadmiarowych danych, jeśli nie są potrzebne.
- Potwierdzenie przyjęcia: operator powinien potwierdzić odbiór zgłoszenia w rozsądnym terminie operacyjnym.
- Weryfikacja i odpowiedź: sprawa może wymagać potwierdzenia tożsamości, analizy logów, historii płatności lub dokumentów KYC. Odpowiedź dotycząca praw z RODO powinna zostać udzielona co do zasady w terminie 30 dni.
- Eskalacja wewnętrzna: jeśli pierwsza odpowiedź jest niewystarczająca, użytkownik może zażądać ponownej analizy przez dział zgodności lub osobę odpowiedzialną za ochronę danych, o ile operator taki kanał przewiduje.
- Skarga do organu nadzorczego: użytkownik w Polsce ma prawo wnieść skargę do właściwego organu ochrony danych osobowych, w szczególności do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
Organ nadzorczy w Polsce: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, strona: uodo.gov.pl. W kwestiach związanych z publicznym kontekstem rynku hazardowego w Polsce użytkownik może dodatkowo samodzielnie weryfikować komunikaty Ministerstwa Finansów, Krajowej Administracji Skarbowej oraz rejestr domen pod adresem hazard.mf.gov.pl, jednak nie są to kanały obsługi prywatnych skarg dotyczących przetwarzania danych przez operatora.
Aktualizacje
Kaktus może okresowo aktualizować niniejszą politykę prywatności, jeżeli zmienią się przepisy, model operacyjny, narzędzia technologiczne, procesy weryfikacyjne, zakres usług albo praktyki bezpieczeństwa. Zmiany powinny być publikowane w sposób przejrzysty i zrozumiały dla użytkowników.
- Sposób informowania: poprzez publikację nowej wersji na kaktus-pl.com, komunikat w panelu konta, baner w serwisie albo wiadomość e-mail, jeżeli operator dysponuje adresem użytkownika i charakter zmiany tego wymaga.
- Kontrola wersji: każda nowa wersja powinna zawierać oznaczenie Last updated: November 2026 albo równoważny znacznik daty, zgodny z faktycznym momentem publikacji.
- Istotne zmiany: jeżeli modyfikacja istotnie wpływa na prawa użytkownika, zakres danych, podstawy przetwarzania lub transfery międzynarodowe, operator powinien przekazać wcześniejsze powiadomienie z wyprzedzeniem co najmniej 30 dni, o ile wymagają tego przepisy lub charakter zmiany.
- Opcje użytkownika: przed wejściem w życie istotnych zmian użytkownik może skontaktować się z operatorem, wycofać zgodę marketingową, zmienić ustawienia prywatności, ograniczyć korzystanie z usług albo zamknąć konto, z zastrzeżeniem obowiązków retencyjnych i nierozliczonych zobowiązań.
Dalsze korzystanie z serwisu po dacie wejścia w życie zaktualizowanej polityki może oznaczać przyjęcie jej nowego brzmienia w zakresie dopuszczalnym prawem. Jeżeli użytkownik nie zgadza się ze zmianami, powinien zaprzestać korzystania z usług i wystąpić o zamknięcie konta lub realizację przysługujących mu praw.