サイトプライバシーポリシー
1)目的と範囲
プライバシーポリシーは、透明でわかりやすい言語でユーザーに説明するパブリックドキュメントです:- あなたが収集する個人データ、
- どのような目的で、どのような法的根拠でそれらを処理します、
- 誰に、どのようにデータ(プロセッサ、パートナー、プロバイダ)を転送するか、
- どのくらいの期間、どのように保護し、どのようにデータ主体の権利を行使するか。
誰が必要ですか:サイト/アプリケーション、特にKYC/AMLを使用したiGamingおよびフィンテックサービス、決済操作、不正防止分析、分析およびマーケティング。
2)キーの定義
個人データ(PD):ユーザーを識別できる情報(名前、電子メール、IP、デバイス識別子、支払い詳細など)。
処理:個人データ(収集、保管、変更、転送、削除)の操作。
コントローラー/オペレータ:処理の目標と手段を定義する会社。
プロセッサ:管理者に代わって個人データを処理する人/組織。
クッキーとピクセル:サイト、分析およびマーケティングの機能のための識別子を保存および読み取りするための技術。
データの特別なカテゴリ:生体認証/医療など(通常はiGamingで処理されません。例外-別の同意/ベースで第三者からのKYCバイオメトリクス)。
3) iGamingプラットフォームで通常収集するデータ
1.身分証明:氏名、生年月日、市民権、住所、書類(パスポート/ID)、 selfie/video verification (KYCが許可されたプロバイダーと一緒にいる場合)。
2.連絡先:電子メール、電話、インスタントメッセンジャー。
3.アカウント:ログイン、パスワードハッシュ、アカウント設定、言語/通貨の設定。
4.支払いとトランザクション:トークン化されたカード、ウォレットの詳細、支払い履歴、結論、チャージバック/紛争。
5.技術:IP、ユーザーエージェント、デバイス識別子、ログ記録、セッションイベント、Cookie-ID。
6.マーケティング/分析:トラフィックソース、UTM、コンバージョン、セグメント、A/Bテスト結果。
7.Antifraud/AML:行動パターン、リスクスコアリング、地理/プロキシ信号、制裁とPEP画面の結果(ライセンス供与者を通じて)。
4)処理のための法的根拠(おおよそのリスト)
契約の実行(登録、アカウントのメンテナンス、料金/支払いの処理)。
法的義務(KYC/AML、税務/財務報告、セキュリティログ)。
正当な利益(詐欺、セキュリティ、サービス改善)、利益のバランスのテスト。
同意(マーケティングメーリング、オプションクッキー、個々のプロバイダーからのKYCバイオメトリクス、現地の法律で要求されている場合)。
権利と法律と秩序の保護(紛争の解決、請求に対する保護)。
5)処理の目的(典型的な言葉遣い)
アカウントの作成と管理、ゲーム/サービスへのアクセスを提供します。
支払いと引き出し、リターン、Net Deposits決済、財務諸表。
KYC/AML/制裁/PEPチェック、詐欺やボーナスの乱用を防止します。
クライアントのサポートと個人データ主体の要求の履行。
分析と製品の改善(コンバージョン、UX、パフォーマンス)。
マーケティング(電子メール、プッシュ、リターゲティング)法的根拠がある場合。
規制要件の遵守と正当な要求に関するデータの提供。
6)クッキー、トラッキング、ピクセル
カテゴリーに分けられる:- 厳密に必要な:セッション、セキュリティ、アカウント機能。
- 機能:言語、通貨、インターフェースの設定。
- 分析:出席の測定、漏斗、UXメトリック。
- マーケティング:トラフィックのアトリビューション、リターゲティング、見た目に似たセグメント。
練習:別のバナー/同意コントロールパネル(CMP)、いつでも選択肢を変更する機能。ライフタイム、目標、プロバイダーを指定します。
7)国境を越えた伝達およびローカリゼーション
貯蔵および処理の地理を記述して下さい(EU/EEA、イギリス、カナダ、ブラジル、米国、等)。
メカニズムを指定する:標準契約規定(SCC)、同等の機器、ローカルストレージ/ミラー、必要に応じてDPIA。
特に敏感なストリーム(KYCバイオメトリクス)-別の対策と最小化。
8)流通目標(カテゴリー)
KYC/AML、制裁およびPEPチェックの提供者。
決済プロバイダー、発行者、銀行、処理ゲートウェイ。
アンチフラウド/リスクスコアリングプロバイダ、ホスティング/クラウド、CDN、 メール/SMSサービス。
分析/クラッシュレポート、マーケティングプラットフォーム(同意による)。
監査人、弁護士、規制当局およびその他の機関-法的に。
9)保存性(最小化原理)
アカウントと運用データ-契約と規制の期限は有効ですが(多くの場合、財務文書/AMLログの場合は5〜10年)。
マーケティングプロファイル-CMPに同意した期限に従って、同意を撤回する前に。
セキュリティログ-法律で別段の要求がない限り、目標の倍数(例えば、12-24ヶ月)。
用語の終わりに-安全な除去/匿名化。
10)安全・組織的対策
残りの部分と送信中の暗号化、厳格なネットワークポリシー、WAF/ファイアウォール。
アクセス制御(RBAC/ABAC)、ロギング、定期的な監査およびペンテスト。
システムのセグメンテーション、最低権利の原則、秘密管理。
継続的な監視、不正防止規則、インシデント対応計画のテスト。
リスクの高い治療のためのリスク評価とDPIA。
11)利用者の権利(データ主体)
データへのアクセス、訂正、削除、処理制限。
可搬性(機械可読形式)。
処理への異議(マーケティングを含む)。
必須機能を損なうことなく同意を撤回する。
認可された機関への苦情(管轄区域によって規制当局の連絡先を示します)。
12)子供と年齢の制限
iGamingサービスは、地元の法律に従って大人のためにのみ意図されています。年齢確認の仕組みや、誤登録の場合の少年データ削除の手続きについて説明します。
13)自動化されたソリューションとプロファイリング
アンチフラウド/リスクスコアリング/マーケティングのプロファイリングについて簡単に説明します。
結果が法的に重要な決定(フリーズ、KYC要求)に影響するかどうかを示します。
物議を醸す事件における「人間レビュー」の権利を提供する。
14)連絡先とDPO
被験者のご要望、会社の住所などについては、電子メール・お問い合わせフォームをご指定ください。DPOが割り当てられている場合-名前/連絡先。応答時間(例:法律で許可されている場合、可能な延長で最大30日)。
15)ポリシーの更新
発効日と改訂を修正しました。
重要な変更の透過的な通知(バナー/手紙/内部通知)。
16)管轄権ノート(サンプルマトリックス)
EU/EEA (GDPR):グラウンド、DPIA、プロセッサ付きDPA、クロスボーダー送信用SCC、関心の登録、処理レジスタ。
英国(英国GDPR):同様に、地方自治体を考慮に入れて。
ブラジル(LGPD):法的根拠、LGPDオンブズマン、現地期限。
カリフォルニア州(CPPA/CPRA):「販売/共有」データ、「販売または共有しない」、個人データのカテゴリをオプトアウトする権利。
カナダ(PIPEDA/州):同意とターゲット制限。
オーストラリア(プライバシー法):APP、国境を越えた開示。
作業する国のローカルパーティションを追加します。
17)出版前の実用的なチェックリスト
- データマップ(誰がアクセスできるか、どこで、なぜ、どのくらいの期間)。
- キープロセッサでレジスタとDPAを処理します。
- 日付と目的を持つCMPとCookieテーブル。
- 対象リクエスト(SLA、レターテンプレート)への対応手順).
- インシデント通知手順(誰に、いつ、どのように)。
- ポリシーのバージョン管理とログの変更。
18)既製のポリシーテンプレート(コピーして適応)
プライバシーポリシー
有効: [date]バージョン:[vX。Y]
1.私たちは誰ですか
[会社のフルネーム]、[登録事務所]、[登録詳細]。
連絡先:[support@domain]、 [mailing address]。
2.適用可能性
本ポリシーは、サイトおよびアプリケーション([ドメイン/アプリケーション])、および関連するサポートサービスに適用されます。
3.当社が処理するデータ
身分証明書と連絡先(氏名、生年月日、電子メール、電話番号、住所)。
資格情報(ログイン、パスワードハッシュ、設定)。
支払い/トランザクション(カードトークン、取引履歴)。
技術(IP、デバイス、ログ、Cookie-ID)。
Antifraud/AML(行動シグナル、プロバイダのチェック結果)。
マーケティング/分析(UTM、コンバージョン)-合意された場合、必要に応じて。
4.目的と法的根拠
当社は、サービスの提供、支払いおよび結論、KYC/AML、セキュリティおよび不正防止、サポート、分析、マーケティング(同意を得て)、法律の遵守。根拠:契約の履行、法的義務、正当な利益、同意。
5.Cookieおよび類似の技術
私達は使用します:- 厳密に必要な(セッション、セキュリティ)、
- functional(設定)、
- 分析的、
- マーケティング。
- 制御は[同意パネル/CIWリンク]を通じて利用できます。Cookieテーブルについては付録Aを参照してください。
6.私たちがデータを共有する人
受信者のカテゴリ:KYC/AMLプロバイダー、決済機関、ホスティング/CDN、不正防止および分析、サポート(電子メール/SMS)、監査人、法律による規制当局。転送-契約とセキュリティ対策に基づいて。
7.インターナショナル・トランスミッション
データはあなたの国の外で処理することができます。法的メカニズムを適用します(例:標準契約条項)および保護のための技術的/組織的措置。
8.貯蔵寿命
目的のために必要な限り、法律で定められた制限時間内(例えば、財務/AML記録-少なくとも[X]年)に保管してください。After-削除/匿名化。
9.安全性について
暗号化、アクセス制御、監視、セグメンテーション、監査、ペンテスト。対策にもかかわらず、絶対的な安全性は保証されていません。当社は、適用されるインシデント通知規則に従って行動します。
10.あなたの権利
お客様は、アクセス、訂正、削除、制限、移植性、異議、および同意の撤回(同意の処理のため)を要求することができます。リクエストの連絡先:[privacy@domain]。また、[権限/管轄の名前]に苦情を申し立てることもできます。
11.自動化されたソリューションとプロファイリング
不正防止やリスクアセスメントのために自動化されたシステムを使用しています。有意義な決定の場合には、人間のレビューを要求することができます。
12.お子様連れの
このサービスは、現地の法律に従って18歳以上の方を対象としています。未成年者のアカウントが検出されると、データがブロックされ、削除されます。
13.DPO/オーナーの連絡先
[DPOの名前/位置]、電子メール:[dpo@domain]、住所:[address]。
14.本ポリシーの更新
当社は、本ポリシーを定期的に更新します。重要な変更は、サイト/通知を通じて通知されます。現在のバージョンは常に[link]でご利用いただけます。
付録A-クッキーテーブル(例)
付録B。カウンターパーティ(カテゴリー)
KYC/AMLプロバイダ:[名前/管轄/役割]。
支払プロセッサ/銀行:[カテゴリ]。
ホスティング/クラウド/CDN:[カテゴリ]。
マーケティング/メーリング/アナリティクス:[categories]。
サポート(チケット/SMS/電子メール):[カテゴリ]。
(正確な名称はDPA/Treatment Registryおよびポリシーのカテゴリーで開示することができます。)
付録C。管轄付加規約(テンプレート)
EU/EEA (GDPR):権利、伝送メカニズム、監督当局の連絡先:[link/title]。
カリフォルニア州(CPPA/CPRA):「私の個人情報を販売または共有しないでください」リンク、カテゴリの説明と消費者の権利。
ブラジル(LGPD):責任ある連絡先、titularesの権利。
英国:英国GDPRとICO。
カナダ/オーストラリア:現地の権利と規制上の連絡先。
19)関連性を保つためのヒント
四半期に一度、実際のデータフローとDPIAでポリシーを確認します。
新しいプロバイダ/SDKを追加する場合は、処理レジストリとCMPを更新します。
件名リクエスト(SLA、テンプレート、メトリック)に対するログとドキュメントの応答。
短い変更履歴を持つバージョンログを保持します。
この記事の使い方
1.チェックリストを通過し、データとフローに関する事実を収集します。
2.テンプレートをコピーし、詳細/期限/管轄を貼り付けます。
3.弁護士とDPOに同意し、サイトに公開し、CMPを接続します。
4.データ主体の要求を受け入れるプロセスを構成し、変更が発生したときにポリシーを更新します。