网站隐私政策
1)目的和适用范围
隐私政策(Privacy Policy)是以透明和易于理解的语言向用户解释的公共文档:- 您收集哪些个人数据,
- 为什么目的和根据什么法律理由加以处理,
- 向谁以及如何传输数据(处理器、合作伙伴、提供商),
- 保存多久,如何保护以及如何实现数据主体的权利。
谁需要:任何网站/应用程序,特别是iGaming和fintech服务,包括KYC/AML,支付交易,反欺诈分析,分析和营销。
2)关键定义
个人数据(PD):允许识别用户的任何信息(姓名、电子邮件、IP、设备ID、付款详细信息等)。
处理:与PDn的任何操作(收集,存储,更改,传输,删除)。
主计长/操作员:确定处理目的和手段的公司。
处理器:代表主计长处理PDn的个人/组织。
Cookie和像素:用于站点功能、分析和营销的ID存储和读取技术。
特殊的数据类别:生物识别/医疗等(iGaming通常不处理;例外-通过单独同意/基于第三方的KYC生物识别法)。
3)您通常在iGaming平台上收集哪些数据
1.身份证明:姓名,出生日期,国籍,地址,文件(护照/ID),自拍/视频声明(如果授权提供商拥有KYC)。
2.联系人:电子邮件,电话,信使。
3.帐户:登录,密码哈希,帐户设置,语言/货币偏好。
4.支付和交易:代币卡,钱包详细信息,支付历史,收据,充电包/分销。
5.技术:IP、用户代理、设备ID、日志记录、会话事件、Cookie ID。
6.营销/分析:流量来源,UTM,转换,细分,A/B测试结果。
7.Antifrod/AML:行为模式,风险评分,地理/代理信号,制裁和PEP屏幕的结果(通过许可提供商)。
4)处理的法律依据(示例清单)
合同执行(登记、账户管理、费率/付款处理)。
法律责任(KYC/AML,税收/财务报告,安全记录)。
合法利益(假设,安全,改善服务),并进行利益平衡测试。
同意(如果当地法律要求,营销邮件,可选Cookie,个别提供商的KYC生物识别)。
保护权利和法治(争端解决、索赔保护)。
5)处理目的(示范措辞)
创建和管理帐户,允许访问游戏/服务。
进行付款和结算,退款,Net Deposits结算,财务报告。
KYC/AML/制裁/PEP检查,防止欺诈和滥用奖金。
客户支持和执行PDn主体的请求。
分析和产品改进(转换,UX,表演)。
有法律依据的营销(电子邮件、推送、转售)。
遵守监管机构的要求,并根据他们的合法要求提供数据。
6)Cookie,跟踪和像素
分为以下几类:- 严格要求:会议,安全,帐户功能。
- 功能:语言、货币、界面偏好。
- 分析:考勤测量,漏斗,UX度量。
- 市场营销:流量归属,转发,看似细分市场.
练习:单独的横幅/同意控制面板(CMP),可以随时更改选择。指定寿命、目标和提供商。
7)跨境传输和本地化
描述存储和加工的地理位置(欧盟/欧洲经济区、英国、加拿大、巴西、美国等)。
指定机制:标准合同条款(SCC)、等效工具、本地存储/镜像、必要时的DPIA。
对于特别敏感的流(KYC生物识别法)-单独的措施和最小化。
8)数据收件人(类别)
提供商KYC/AML,制裁和PEP检查。
支付提供商,发行人,银行,处理网关。
Antifrod/风险评分提供商,托管/云,CDN,邮件/短信服务。
分析/碰撞报告,营销平台(同意书)。
审计员,律师,监管机构和其他机构是合法的。
9)保留时间(最小化原则)
帐户和运营数据-只要合同和监管期限有效(通常为5-10 年的财务文件/AML登录)。
营销配置文件-与CMP协商的时间表以及在撤销同意之前。
除非法律另有要求,否则安全徽标是目标的倍数(例如12-24个月)。
截止日期-安全删除/匿名。
10)安全和组织安排
静止和传输加密,严格的网络策略,WAF/防火墙。
访问控制(RBAC/ABAC),日志,定期审核和泡沫测试。
系统细分,最小权利原则,秘密管理。
持续监测,反欺诈规则,事件响应计划的测试。
高风险处理的风险评估和DPIA。
11)用户(数据主体)的权利)
数据访问、修补、删除、处理限制。
可移植性(机器可读格式)。
反对处理(包括营销)。
取消同意而不降低强制性功能。
向授权机构投诉(指定监管机构管辖范围内的联系人)。
12)儿童和年龄限制
根据当地法律,iGaming服务仅针对成年人。描述年龄验证机制和错误注册时删除未成年人数据的程序。
13)自动化解决方桉和分析
简要描述防冻分析/风险评分/营销。
指定结果是否影响具有法律意义的决策(冻结,KYC请求)。
在有争议的桉件中规定";人为复审";的权利。
14)联系人和DPO
指定实体请求的电子邮件/通信表单,公司的邮件地址。如果分配了DPO-名称/联系人。回复时间(例如,最多30天,如果法律允许,可以延长)。
15)政策更新
记录生效日期和审计日期。
透明地通知重大变化(横幅/信函/内部通知)。
16)管辖权说明(示例矩阵)
EU/EEA(GDPR):基础,DPIA,具有处理器的DPA,用于跨境传输的SCC,利益注册,处理注册。
英国(UK GDPR):类似地,考虑到地方当局。
巴西(LGPD):法律依据,LGPD监察员,地方时间表。
加利福尼亚州(CCPA/CPRA):拒绝个人数据类别"Do Not Sell or Share"的"销售/交换"数据的权利。
加拿大(PIPEDA/省):同意和目标限制。
澳大利亚(隐私法):APPs,跨境披露。
在您工作的国家/地区添加本地分区。
17)公布前的实用支票清单
- 数据卡(哪个,哪里,为什么,多久,谁可以访问)。
- 具有关键处理器的处理和DPA注册表。
- CMP和Cookie表具有时间和目标。
- 响应受试者查询的程序(SLA、信件模板)。
- 事件通知程序(如何、何时、何时)。
- 政策验证和变更日志。
18)完成策略模板(复制和修改)
隐私政策
生效: [日期]版本:[vX.Y]
1.我们是谁
[公司全名]、[法律地址]、[登记数据]。
联系人:[support@domane],[邮寄地址]。
2.适用性
本政策适用于站点(am)和应用程序[域/应用程序]以及相关支持服务。
3.我们处理的数据
识别和联系人(姓名、出生日期、电子邮件、电话、地址)。
凭据(登录,密码哈希,首选项)。
付款/交易(卡代币,交易历史)。
技术(IP、设备、日志、cookie-ID)。
Antifrod/AML(行为信号,提供者的检查结果)。
营销/分析(UTM,转换)-如果需要,如果同意。
4.目标和法律依据
我们处理以下方面的数据:提供服务、付款和提款、KYC/AML、安全和反欺诈、支持、分析、营销(经同意)、遵守法律。理由:合同的执行,法律义务,合法利益,同意。
5.Cookie和类似技术
我们使用:- 严格需要(会议、安全)
- 功能(设置),
- 分析性的,
- 营销。
- 可通过[同意小组/CMR链接]进行控制。Cookie表请参见附录A。
6.我们与谁共享数据
收件人的类别包括:KYC/AML提供商,支付组织,托管/CDN,反欺诈和分析师,支持(电子邮件/SMS),审计师,法律监管机构。转让是根据条约和安全措施进行的。
7.国际转让
数据可在贵国境外处理。我们采用法律机制(例如标准合同条款)和技术/组织措施来保护。
8.保留时间
根据法律规定的目的和期限(例如,金融/AML记录-至少[X]年),我们保留尽可能多的时间。过期后-删除/匿名。
9.安全性
加密,访问控制,监视,细分,审计,泡沫测试。尽管采取了措施,但绝对安全并未得到保证;我们按照适用的事件通知规则行事。
10.你的权利
您可以请求访问、修补、删除、限制、可移植性、异议,以及撤消同意(用于同意处理)。查询联系人:[privacy@domain]。您还有权向[监管机构的名称/管辖权]提出申诉。
11.自动化解决方桉和分析
我们使用自动化系统进行防冻和风险评估。如果有意义的决定,您可以要求进行人员审核。
12.儿童
根据当地法律,该服务适用于[18+]或以上的人。如果发现未成年人的帐户-阻止和删除数据。
13.DPO联系人/负责人
[DPO FIO/职位],电子邮件:[dpo@域],地址:[地址]。
14.本政策的更新
我们定期更新政策。将通过网站/通知进行重大更改。当前版本始终可从[链接]访问。
附录A Cookie表(示例)
附录B交易对手(类别)
KYC/AML提供商:[名称/管辖权/角色]。
支付处理器/银行:[类别]。
托管/云/CDN:[类别]。
营销/通讯/分析:[类别]。
支持(tikets/SMS/E-mail):[类别]。
(确切的名称可以在DPA/处理注册表中披露,在Policy中可以披露。)
附录C管辖性附加条件(模板)
欧盟/欧洲经济区(GDPR):权利、转让机制、监督机构的联系:[参考/名称]。
加利福尼亚州(CCPA/CPRA):"不选择或分享我的个人信息"链接,消费者类别和权利的描述。
巴西(LGPD):负责人的联系,titulares权利。
英国:英国GDPR和ICO。
加拿大/澳大利亚:地方权利和监管机构联系。
19)保持相关性的建议
每季度一次将政策与真实的数据流和DPIA核对。
添加新的ISP/SDK时,请更新处理和CMP注册表。
编写和记录对受试者请求(SLA、模板、指标)的响应。
使用简短的changelog维护版本日志。
如何使用这篇文章
1.通过支票单,收集有关您的数据和流量的事实。
2.复制模板并粘贴您的详细信息/时限/管辖区。
3.与律师和DPO保持一致,然后在网站上发布并连接CMP。
4.配置接收数据对象请求的过程,并在更改时更新"策略"。