GH GambleHub

プライバシーポリシーとGDPR

1)目的と範囲

目的:プレーヤー、パートナー、およびオペレーターのすべての管轄区域の個人データ(PII)の法的、透明性、安全性の確保。
適用範囲:Web/モバイルアプリケーション、 CRM/BI/DWH、不正防止/AML/KYC、 PSP/CUS/制裁プロバイダ、サポート、マーケティング、アフィリエイト、ライブスタジオ、ホスティング、ロギング。

2)役割と責任(RACI)

データ保護責任者(DPO)-A:コンプライアンス監督、RoPA、 DPIA/DTIA、規制当局への対応。
コンプライアンス責任者-A:ポリシー、リスクアペタイト、エスカレーション、レポート。
法的-C:法的根拠、DPA/SCC契約、バナーおよび通知テキスト。
セキュリティ/SRE-R:技術的および組織的措置(TOM)、アクセスログ、インシデント。
Data/BI-R:データディレクトリ、最小化、マスキング/仮名化。
マーケティング/CRM-R:同意、設定、退会、クッキー。
製品/エンジニアリング-R:設計/デフォルトによるプライバシー、保持および廃棄。
サポート/VIP-R:件名照会(DSAR)、本人確認。

3)法的根拠

同意-マーケティング、分析/広告クッキー、必須ではないパーソナライゼーション。
契約-登録、料金/結論の処理、サポート。
法的義務-KYC/AML/制裁、会計および報告。
正当な利益-詐欺防止、セキュリティ、製品改善(利害バランシングテスト-LIA)。
重要/公益-まれなRGケース/セキュリティ、適用され、法律で許可されている場合。

4)データ主体の権利(DSR/DSAR)

アクセス(Art。 15)、訂正(Art。 16)、削除(Art。 17)、制約(Art。 18)、許容性(Art。 20)、異議(Art。 21)、排他的に自動化されたソリューション(Art。 22)の対象ではありません。
DSAR処理SLA:確認≤ 7日、実行≤ 30日(それが件名を通知することが困難である場合、別の60のための延長)。
検証:多面的;オープンチャネル上の機密データの開示を禁止します。
ログ:ストアリクエスト、IDチェック、発行されたデータパッケージ、応答時間。

5)プロセスオペレーションレジスタ(RoPA)

最小フィールド:ターゲット、サブジェクト/データカテゴリ、法的根拠、保持期間、受信者/第三国、セキュリティ対策、データソース、自動化された意思決定/プロファイリング、DPIA/DTIA、もしあれば。

6) DPIA/DTIA: いつ、どのように

DPIA-高リスク:大規模なプロファイリング、新しい不正防止モデル、ジオデータ処理、RGトリガー、体系的な観察。
DTIA/TIA-EEA/UK外の国境を越えたトランスミッションのために:政府機関によるローカルアクセスの評価、契約/技術的措置。
プロセス:スクリーニング→リスクと対策の評価→DPO/法的承認→コントロールの実装→前提のログ。

7)クッキー、ピクセル、SDK、同意バナー

カテゴリー:厳密に必要、機能、分析、マーケティング。

要件:
  • 同意するまで-私たちは厳密に必要なものだけをロードします。
  • 詳細な合意と個別の拒否;バージョンとタイムスタンプのログ。
  • IAB TCFのCMP(該当する場合);ターゲット/プロバイダを変更するときにバナーを自動更新します。
  • いつでも簡単に購読解除/変更できます。

8)ハンドラおよびサブプロセッサ

各プロバイダとのDPA:件名、目標、データカテゴリ、締め切り、TOM、サブプロセッサ、監査。
サブプロセッサの公開レジスタ(バージョン管理);変更の通知と異議の権利。
チェック:デューデリジェンス(ISO/SOC2)、テストインシデント、リクエストに応じたペンテストレポート、オフボーディングプラン。

9)国境を越えた移動

SCCs/IDTA+DTIA;必要に応じて-追加の対策:E2EE、クライアント暗号化、準匿名化、EU内のキー。
私たちは、ポリシー/レジスタ内の法的メカニズム、国、受信者を修正します。

10)保存と削除

日付行列(例):
カテゴリー一覧Term(用語)Basis(ベース)
プレイヤーアカウント閉店後5年まで複数の管轄区域におけるAML/会計
KYC/AMLドキュメント5-10年法的義務
PIIアクセスログ1-3年正当な利益/セキュリティ
マーケティングイベント24か月同意/LI
サポートレコード24-36か月契約/LI

削除ポリシー:DWH/vaultsの自動タスク(ジョブ);サイクルログによるバックアップの削除。アナリティクス用のエイリアシングID。

11)セキュリティ(TOMs)

技術:Rest/Transit暗号化、ネットワークセグメンテーション、権利最小化、KMS/キー回転、DLP、 EDR/IDS/WAF、 SSO/MFA、シークレットマネージャ、WORMロギング。
組織:アクセスポリシー、トレーニング、NDA、クリーンデスク、ベンダー検証、インシデント管理(SANS/NIST)。
設計/デフォルトによるプライバシー:変更プロセスの評価、最小デフォルトのデータセット、PIIなしのテストデータ。

12)漏洩およびインシデント通知

評価:事実の確認、ボリュームとリスク。
締め切り(ベンチマーク):データに従って監督当局に-権利/自由のリスクで最大72時間;ユーザー-過度の遅延なし。
通知の内容:インシデントの説明、カテゴリとレコードの推定数、DPOの接触、結果、措置、被験者への勧告。
ログ:タイムライン、ソリューション、文字/応答テンプレート、CAPA。

13)マーケティング&コミュニケーション

トランザクションメッセージ(同意なし)とマーケティングメッセージ(同意した場合のみ)の分離。
プリファレンス管理:設定センター、トピック/チャンネル別のサブスクリプション、ダブルオプトイン(必要に応じて)。
関連会社と追跡:PIIの収集/転送に関する契約上の制限、理由と同意なしに識別子の転送の禁止。

14)プライバシーポリシー-構造

1.私たちとDPOの連絡先は誰ですか。
2.私たちが収集するデータ(カテゴリとソース別)。
3.目的/法的根拠(表「目的→データ→基準→用語」)。
4.Cookie/SDKおよび同意管理。
5.受信者と国境を越えた転送(メカニズムと対策)。
6.被験者の権利とその実施方法。
7.データセキュリティ(高レベルTOM)。
8.保存期間と基準。
9.一般的な用語で自動化されたソリューション/プロファイリングとロジック。
10.ポリシーの変更(バージョン管理)と通知方法。
11.苦情の連絡先(管轄区域によるDPA、必要に応じて)。

💡 言語-シンプルでわかりやすい;専門用語および過度の技術的な細部を避けて下さい。

15)テンプレートとサンプル製剤

15.1ターゲット/ベーステーブル(フラグメント):

PurposeデータBasis(ベース)Term(用語)
登録とアカウント身分証明書、連絡先プライバシーポリシーアカウントの寿命+X
KYC/AMLドキュメント、写真、liveness、 sankzヒット法的義務5-10年
アンチフラウド/安全性デバイスID、 IP、行動正当な利益24か月
マーケティングEメール/プッシュ/Cookie-ID同意するリコールする前に

15.2クッキーバナー(最小):

"私たちはクッキーを使用しています。「すべて同意する」をクリックすると、分析およびマーケティングクッキーの保存に同意したことになります。選択範囲はカテゴリごとに変更できます。"拒否オプション"-厳密に必要なクッキーのみ"

15.3プロファイリングセクション(例):

"私たちは、不正を防止し、責任ある(RG)を再生するためにプロファイリングを使用します。これは、私たちの正当な利益に沿った安全のために必要です。法律で別段の定めがない限り、異議を申し立てることができます(例: AML)"

16)プロセスSOP

SOP-1: ポリシーの更新

トリガー:新しいターゲット/ベンダー/SDK/管轄。
ステップ:インベントリ→LIA/DPIA→テキスト更新→ローカリゼーション→CMP更新→ユーザーへの通信→バージョン/エントリの日付。

SOP-2: DSAR

channel→identity verification→data volume estimation→package collection(システムからのエクスポート)→legal監査→issue/refusal with justification→logをリクエストします。

SOP-3: 新しいサブプロセッサ

デューデリジェンス→DPA/SCC→DTIA→インシデントテスト→パブリックレジストリ包含→ユーザー通知(必要に応じて)。

17)トレーニングと監査

すべての人のためのオンボーディング+年間プライバシー研修;サポート/マーケティング/エンジニアリングのための追加トレーニング。
内部監査:年に一度:RoPA、保持コンプライアンス、選択的DSAR検証、CIW/Cookieレビュー、テストアプリケーション、浸透テスト/アクセスログのフォレンジック。
KPI:訓練される従業員の%;SLA DSAR;エイリアシングが有効になっているシステムの割合は完了したCAPAです。

18)ローカリゼーションと複数の管轄

基本的な標準としてGDPR/UK GDPR;コミュニケーションとクッキーのためのePrivacy/PECRを検討してください。
ローカルニュアンス(例):子データの処理に同意した年齢、KYCの保存期間、通知フォーム、文書言語の要件。
国ごとの相違行列を維持し、該当するコード/ライセンスへの参照。

19)実装ロードマップ(例)

週1-2:データ/システムインベントリ、RoPA、フローマップ、ポリシー草案。
週3-4: CIW/バナー、サブプロセッサレジストリ、DPA/SCC、高リスクプロセスのDPIA。
月2:プリファレンスセンターの立ち上げ、削除/匿名化の自動化、従業員トレーニング。
月3+:定期的な監査、DSARテスト、ローカライズとレジストリの更新。

20)短い準備チェックリスト

  • DPOが割り当てられ、連絡先が公開されました
  • 最新のRoPAとデータフローマップ
  • ポリシー公開、ローカライズ、バージョン管理
  • 実績のあるオプトイン/オプトアウトログ付きCMP
  • DPA/SCCとパブリックサブプロセッサレジストリ
  • リスクプロセスのためのDPIA/DTIA完了
  • リテンションジョブと削除/匿名化の手順
  • DSARとインシデントに関するSOP、訓練を受けたオーナー
  • メトリクス/KPIと年間プライバシー監査

TL;DR(ドクター)

強力なポリシー=明確な目標と根拠+インベントリとRoPA+は、制御下での同意/クッキー+安全な国境を越えた転送+サブプロセッサレジストリ+明確な保持と削除+DSAR/インシデントのトレーニング。これは、法的および評判のリスクを軽減し、プレーヤーの信頼を構築します。

Contact

お問い合わせ

ご質問やサポートが必要な場合はお気軽にご連絡ください。いつでもお手伝いします!

統合を開始

Email は 必須。Telegram または WhatsApp は 任意

お名前 任意
Email 任意
件名 任意
メッセージ 任意
Telegram 任意
@
Telegram を入力いただいた場合、Email に加えてそちらにもご連絡します。
WhatsApp 任意
形式:+国番号と電話番号(例:+81XXXXXXXXX)。

ボタンを押すことで、データ処理に同意したものとみなされます。