Сайттың құпиялылық саясаты

1) Мақсаты және қолдану саласы

• сіз қандай дербес деректерді жинайсыз,
• оларды қандай мақсатта және қандай құқықтық негіздерде өңдейсіз,
• деректерді кімге және қалай бересіз (процессорлар, серіктестер, провайдерлер),
• қанша уақыт сақтайсыз, қалай қорғайсыз және деректер субъектілерінің құқықтарын қалай іске асырасыз.

Кімге керек: кез келген сайт/бағдарлама, әсіресе iGaming және KYC/AML, төлем операциялары, антифрод-талдау, талдау және маркетингі бар финтех-сервистер.

2) Негізгі анықтамалар

Дербес деректер (КДн): пайдаланушыны сәйкестендіруге мүмкіндік беретін кез келген ақпарат (аты, e-mail, IP, құрылғы сәйкестендіргіштері, төлем деректемелері және т.б.).
Өңдеу: ПД-мен кез келген операциялар (жинау, сақтау, өзгерту, беру, жою).
Бақылаушы/Оператор: өңдеу мақсаттары мен құралдарын айқындайтын компания.
Процессор: бақылаушының тапсырмасы бойынша ПДн өңдейтін тұлға/ұйым.
Cookie файлдары және пиксельдер: сайттың жұмыс істеуі үшін идентификаторларды сақтау және оқу технологиялары, талдау және маркетинг.
Деректердің арнайы санаттары: биометрия/медициналық және т.б. (iGaming әдетте өңделмейді; ерекшелік - жеке келісім/негіз бойынша үшінші тұлғалардың KYC-биометриясы).

3) Сіз әдетте iGaming платформасында қандай деректерді жинайсыз

1. Сәйкестендіру: аты, туған күні, азаматтығы, мекенжайы, құжаты (төлқұжаты/ID), селфи/бейне сәйкестендіру (егер KYC уәкілетті провайдерде болса).
2. Байланыс телефондары: e-mail, телефон, мессенджерлер.
3. Тіркелгілер: логиндер, пароль хэштері, есеп параметрлері, тілді/валютаны таңдау.
4. Төлем және транзакциялық: токенделген карталар, әмиян деректемелері, төлем тарихы, қорытындылар, chargeback/диспуттар.
5. Техникалық: IP, user-agent, құрылғы идентификаторлары, журнал жазбалары, сессия оқиғалары, cookie-ID.
6. Маркетингтік/талдамалық: трафик көздері, UTM, конверсиялар, сегменттер, A/B-тест нәтижелері.
7. Антифрод/AML: мінез-құлық паттерндері, тәуекелдер скорингтері, гео/прокси-сигналдар, санкциялық және PEP-скрининг нәтижелері (лицензияланған провайдерлер арқылы).

4) Өңдеудің құқықтық негіздері (болжамды тізбе)

Шартты орындау (тіркеу, шот жүргізу, ставкаларды/төлемдерді өңдеу).
Заңды міндет (KYC/AML, салық/қаржылық есептілік, қауіпсіздік журналдары).
Мүдделер теңгерімінің тестімен заңды мүдде (фрод-превенция, қауіпсіздік, сервистің жақсаруы).
Келісім (егер жергілікті құқық талап етсе, жекелеген провайдерлерде маркетингтік тарату, міндетті емес cookie, KYC биометриясы).
Құқықтар мен құқықтық тәртіпті қорғау (дауларды реттеу, наразылықтардан қорғау).

5) Өңдеу мақсаттары (үлгілік тұжырымдар)

Аккаунтты құру және әкімшілендіру, ойындарға/сервистерге қолжетімділікті ұсыну.
Төлемдер мен қорытындыларды жүргізу, қайтарулар, Net Deposits есебі, қаржылық есептер.
KYC/AML/санкциялар/PEP тексерулері, алаяқтық пен бонустарды теріс пайдаланудың алдын алу.
Клиенттерді қолдау және ПДн субъектілерінің сұраныстарын орындау.
Өнімдерді талдау және жақсарту (конверсия, UX, спектакль).
Құқықтық негіз болған жағдайда маркетинг (e-mail, push, ретаргетинг).
Реттеушілердің талаптарын сақтау және олардың заңды сұрау салулары бойынша деректерді ұсыну.

6) Cookie, трекинг және пикселдер

• Қатаң қажет: сессиялар, қауіпсіздік, аккаунттың функционалдығы.
• Функционалдық: тіл, валюта, интерфейстің артықшылықтары.
• Аналитикалық: келушілерді, шұңқырларды, UX-метрикті өлшеу.
• Маркетингтік: трафиктің атрибуциясы, ретаргетинг, look-alike-сегменттер.

Практика: жеке баннер/келісімдерді басқару панелі (CMP), кез келген сәтте таңдауды өзгерту мүмкіндігі. Өмір сүру мерзімін, мақсаттарын және провайдерлерді көрсету.

7) Трансшекаралық беру және оқшаулау

Сақтау және өңдеу географиясын сипаттау (ЕО/ЕЭА, Ұлыбритания, Канада, Бразилия, АҚШ және т.б.).
Тетіктерді көрсету: стандартты шарттық ережелер (SCC), баламалы құралдар, жергілікті сақтау/айналар, қажет болған жағдайда DPIA.
Аса сезімтал ағындар үшін (KYC-биометрия) - жеке шаралар мен барынша азайту.

8) Деректерді алушылар (санаттар)

KYC/AML, санкциялық және PEP-тексерулердің провайдерлері.
Төлем провайдерлері, эмитенттер, банктер, процессингтік шлюздер.
Антифрод/тәуекел-скоринг, хостинг/бұлттар, CDN, пошта/смс-сервистер жеткізушілері.
Аналитика/краш-репортинг, маркетингтік платформалар (келісім бойынша).
Аудиторлар, заңгерлер, реттеушілер және өзге де органдар - заңды негізде.

9) Сақтау мерзімдері (барынша азайту қағидаты)

Аккаунт және операциялық деректер - әзірге шарт пен нормативтік мерзімдер қолданыста (көбінесе қаржылық құжаттар/AML-логтар үшін 5-10 жыл).
Маркетингтік профильдер - CMP-мен келісілген мерзімдер бойынша және келісім кері қайтарылғанға дейін.
Егер заң өзгені талап етпесе, қауіпсіздік логтары мақсаттарға еселенеді (мысалы, 12-24 ай).
Мерзімдер аяқталғаннан кейін - қауіпсіз жою/анонимдеу.

10) Қауіпсіздік және ұйымдастыру шаралары

Тыныштықта және беру кезінде шифрлау, қатаң желілік саясат, WAF/брандмауэр.
Қолжетімділікті бақылау (RBAC/ABAC), журналдау, тұрақты аудиттер және пен-тестілер.
Жүйелерді сегменттеу, ең аз құқықтар қағидаты, құпия-менеджмент.
Үздіксіз мониторинг, антифрод-ережелер, инциденттерге ден қою жоспарларын тестілеу.
Тәуекелдерді бағалау және тәуекелі жоғары өңдеулер үшін DPIA.

11) Пайдаланушылардың (деректер субъектілерінің) құқықтары

Деректерге қатынау, түзету, жою, өңдеуді шектеу.
Төзімділік (machine-readable пішімі).
Өңдеуге қарсылық (оның ішінде маркетингке).
Міндетті функцияларды нашарлатпай келісімді қайтарып алу.
Уәкілетті органға шағым (юрисдикция бойынша реттеушінің байланысын көрсету).

12) Балалар және жас шектеулері

iGaming-сервистер жергілікті заңдарға сәйкес кәмелетке толғандарға ғана арналған. Қате тіркеу кезінде кәмелетке толмағандардың жасын верификациялау тетіктерін және деректерін жою тәртібін сипаттау.

13) Автоматтандырылған шешімдер және бейіндеу

Антифрод/тәуекел-скоринг/маркетинг үшін бейіндеуді қысқаша сипаттау.
Нәтиженің заңдық маңызы бар шешімдерге әсер ететінін көрсету (мұздату, KYC сұрауы).
Даулы жағдайларда «адами қайта қарау» құқығын көздеу.

14) Байланыс және DPO

Субъектілердің сұраулары үшін e-mail/байланыс нысанын, компанияның пошталық мекенжайын көрсету. Егер DPO тағайындалса - аты/контактілері. Жауап беру мерзімі (мысалы, егер заңмен рұқсат етілсе, 30 күнге дейін ұзартылуы мүмкін).

15) Саясатты жаңарту

Күшіне ену және ревизия күнін белгілеу.
Елеулі өзгерістер туралы ашық хабарлау (баннер/хат/ішкі хабарлама).

16) Юрисдикциялық ескертулер (үлгі матрица)

ЕО/ЕЭА (GDPR): негіздер, DPIA, процессорлары бар DPA, трансшекаралық берілімдер үшін SCC, мүдделерді тіркеу, өңдеу тіркелімі.
Ұлыбритания (UK GDPR): жергілікті органдарды ескере отырып, ұқсас.
Бразилия (LGPD): құқықтық негіздер, LGPD омбудсмені, жергілікті мерзімдер.
Калифорния (CCPA/CPRA): «Do Not Sell or Share», дербес деректер санатынан бас тарту құқығы.
Канада (PIPEDA/провинциялар): келісім және мақсатты шектеу.
Австралия (Privacy Act): APPs, трансшекаралық ашулар.
Жұмыс істейтін елдер үшін жергілікті бөлімдерді қосыңыз.

17) Жариялау алдындағы іс жүзіндегі чек-парақ

• Деректер картасы (не, қайда, неге, қанша уақыт, кімнің рұқсаты бар).
• Өңдеу тізілімі және негізгі процессорлары бар DPA.
• Мерзімі мен мақсаттары бар CMP және cookie кестесі.
• Субъектілердің сұрауларына жауап беру рәсімі (SLA, хат үлгілері).
• Инциденттер туралы хабарлау рәсімі (кімге, қашан, қалай).
• Саясатты нұсқалау және өзгерістер журналы.

18) Саясаттың дайын үлгісі (көшіріңіз және бейімдеңіз)

Құпиялылық саясаты

Күшіне енуі: [күні] Нұсқа: [vX. Y]

1. Біз кімміз

[Компанияның толық атауы], [заңды мекенжайы], [тіркеу деректері].

Контактілер: [support @домен], [пошта мекенжайы].

2. Қолдануға жарамдылығы

Осы Саясат [домендер/қосымшалар] сайтына және қосымшаларына, сондай-ақ байланысты қолдау сервистеріне қолданылады.

3. Біз өңдеп жатқан деректер

Сәйкестендіру және байланыс (аты, туған күні, e-mail, телефоны, мекенжайы).
Есептік (логин, пароль хеші, баптаулар).
Төлем/транзакция (карта токендері, операциялар тарихы).
Техникалық (IP, құрылғылар, логтар, cookie-ID).
Антифрод/AML (мінез-құлық сигналдары, провайдерлердегі тексеру нәтижелері).
Маркетингтік/талдамалық (UTM, конверсиялар) - егер талап етілсе, келісім болған жағдайда.

4. Мақсаттар мен құқықтық негіздер

Сервисті, төлемдерді және қорытындыларды, KYC/AML, қауіпсіздік және антифрод, қолдау, талдау, маркетинг (келісім бойынша), заңды сақтау үшін деректерді өңдейміз. Негіздемелер: шартты орындау, заңды міндет, заңды мүдде, келісім.

5. Cookie және ұқсас технологиялар

• (сессиялар, қауіпсіздік),
• функционалдық (баптаулар),
• талдамалық,
• маркетингілік.
• Басқару [келісім тақтасы/СМР-сілтеме] арқылы қол жетімді. Cookie кестесін А қосымшасынан қараңыз.

6. Деректерді кіммен бөлісеміз

Алушылардың санаттары: KYC/AML-провайдерлер, төлем ұйымдары, хостинг/CDN, антифрод және аналитика, қолдау (e-mail/SMS), аудиторлар, заң бойынша реттеушілер. Беру - шарттар мен қауіпсіздік шаралары негізінде.

7. Халықаралық сәлемдемелер

Деректер сіздің еліңізден тыс өңделуі мүмкін. Біз қорғауға арналған құқықтық тетіктерді (мысалы, стандартты шарттық ережелер) және техникалық/ұйымдастырушылық шараларды қолданамыз.

8. Сақтау мерзімі

Заңда белгіленген мақсаттар мен мерзімдер үшін қажетті мөлшерде сақтаймыз (мысалы, қаржылық/AML жазбалары - кемінде [X] жыл). Аяқталғаннан кейін - жою/анонимдеу.

9. Қауіпсіздік

Шифрлау, қолжетімділікті бақылау, мониторинг, сегменттеу, аудит, пен-тесттер. Шараларға қарамастан, абсолюттік қауіпсіздікке кепілдік берілмейді; біз оқыс оқиғалар туралы хабарлаудың қолданылатын нормаларына сәйкес әрекет етеміз.

10. Сіздің құқықтарыңыз

Сіз рұқсатты, түзетуді, жоюды, шектеуді, төзімділікті, қарсылықты сұрата аласыз, сондай-ақ келісімді кері қайтара аласыз (келісім бойынша өңдеу үшін). Сұрау контактілері: [privacy @домен]. Сіз сондай-ақ [қадағалау органының атауына/юрисдикциясына] шағым беруге құқылы.

11. Автоматтандырылған шешімдер және бейіндеу

Біз антифрод және тәуекелді бағалау үшін автоматтандырылған жүйелерді пайдаланамыз. Маңызды шешім қабылданған жағдайда, сіз адамның қатысуымен қайта қарауды сұрай аласыз.

12. Балалар

Сервис жергілікті құқыққа сәйкес [18 +] немесе одан үлкен адамдарға арналған. Кәмелетке толмағанның аккаунты табылған жағдайда - деректерді бұғаттау және жою.

13. DPO/жауапты

[DPO ТАӘ/лауазымы], e-mail: [dpo @домен], мекенжайы: [мекенжайы].

14. Осы Саясатты жаңарту

Біз Саясатты кезең-кезеңімен жаңартып отырамыз. Маңызды өзгерістер сайт/хабарлама арқылы жеткізіледі. Ағымдағы нұсқасы әрқашан [сілтеме] мекенжайында қол жетімді.

Қосымша А, Cookie кестесі (мысал)

B қосымшасы Контрагенттер (санаттар)

KYC/AML провайдерлері: [атауы/юрисдикциясы/рөлі].
Төлем процессорлары/банктер: [санаттар].
Хостинг/бұлттар/CDN: [санаттар].
Маркетинг/тарату/талдау: [санаттар].
Қолдау (тикеттер/SMS/e-mail): [санаттар].

(Нақты атауларды DPA/өңдеу тізілімінде, ал Саясатта - санаттарда ашуға болады.)

Қосымша С, Юрисдикциялық қосымша шарттар (үлгі)

ЕО/ЕЭА (GDPR): құқықтар, беру тетіктері, қадағалау органының байланыстары: [сілтеме/атауы].
Калифорния (CCPA/CPRA): «Do Not Sell or Share My Personal Information» сілтемесі, тұтынушылардың санаттары мен құқықтарының сипаттамасы.
Бразилия (LGPD): жауапты контактісі, titulares құқығы.
Ұлыбритания: UK GDPR және ICO.
Канада/Австралия: Жергілікті құқықтар және реттеушілер контактілері.

19) Өзектілікті қолдау жөніндегі кеңестер

Тоқсанына бір рет Саясатты нақты дата-флоумен және DPIA-мен салыстырыңыз.
Жаңа провайдер/SDK қосу кезінде өңдеу тізілімін және CMP жаңартыңыз.
Субъектілердің сауалдарына жауаптарды (SLA, үлгілер, метриктер) логикалаңыз және құжаттаңыз.
Қысқаша changelog нұсқалар журналын жүргізіңіз.

Бұл мақаланы қалай пайдалану керек

1. Чек парағын аралап, деректеріңіз бен ағындарыңыз туралы деректерді жинаңыз.
2. Үлгіні көшіріп, деректемелеріңізді/мерзімдеріңізді/юрисдикцияларыңызды қойыңыз.
3. Заңгермен және DPO-мен келісіп, сайтта жариялап, CMP-ге қосыңыз.
4. Деректер субъектілерінің сұрауларын қабылдау процесін теңшеңіз және өзгерістер кезінде Саясатты жаңартыңыз.