GH GambleHub

Polityka prywatności witryny

1) Cel i zakres

Polityka prywatności to dokument publiczny, który wyjaśnia użytkownikom w przejrzystym i zrozumiałym języku:
  • jakie dane osobowe gromadzisz,
  • w jakich celach i na jakich podstawach prawnych je przetwarzasz,
  • do kogo i w jaki sposób przesyłasz dane (przetwórcy, partnerzy, dostawcy),
  • jak długo przechowujesz, jak chronisz i jak wykonujesz prawa osób, których dane dotyczą.

Kto potrzebuje: każdej witryny/aplikacji, zwłaszcza iGaming i usługi fintech z KYC/AML, operacji płatniczych, analizy zwalczania nadużyć finansowych, analityki i marketingu.

2) Kluczowe definicje

Dane osobowe (PD): wszelkie informacje umożliwiające identyfikację użytkownika (nazwa, e-mail, IP, identyfikatory urządzeń, dane dotyczące płatności itp.).
Przetwarzanie: wszelkie operacje z danymi osobowymi (gromadzenie, przechowywanie, modyfikacja, przekazywanie, usuwanie).
Administrator/Operator: firma, która określa cele i sposoby przetwarzania.
Podmiot przetwarzający: osoba/organizacja przetwarzająca dane osobowe w imieniu administratora danych.
Pliki cookie i piksele: technologie przechowywania i odczytu identyfikatorów dla funkcjonowania witryny, analityki i marketingu.
Specjalne kategorie danych: biometria/medycyna itp. (zwykle nie przetwarzane w iGaming; wyjątek - biometria KYC od osób trzecich na osobną zgodę/na podstawie).

3) Jakie dane zwykle gromadzisz na platformie iGaming

1. Identyfikacja: imię i nazwisko, data urodzenia, obywatelstwo, adres, dokument (paszport/dowód osobisty), selfie/weryfikacja wideo (jeżeli KYC jest z upoważnionym dostawcą).
2. Kontakt: e-mail, telefon, komunikatory.
3. Konta: loginy, hasła, ustawienia konta, preferencje językowe/walutowe.
4. Płatność i transakcja: tokenizowane karty, szczegóły portfela, historia płatności, wnioski, obciążenie zwrotne/spory.
5. Techniczne: IP, user-agent, identyfikatory urządzeń, rejestry dzienników, wydarzenia sesyjne, cookie-ID.
6. Marketing/analytical: źródła ruchu, UTM, konwersje, segmenty, wyniki testów A/B.
7. Antyfraud/AML: wzorce behawioralne, punktacja ryzyka, sygnały geo/proxy, wynik sankcji i ekrany PEP (za pośrednictwem licencjonowanych dostawców).

4) Podstawy prawne przetwarzania (przybliżony wykaz)

Wykonanie umowy (rejestracja, obsługa konta, przetwarzanie stawek/płatności).
Obowiązek prawny (KYC/AML, sprawozdawczość podatkowa/finansowa, dzienniki bezpieczeństwa).
Uzasadniony interes (oszustwo, bezpieczeństwo, poprawa usług), z testem równowagi interesów.
Zgoda (mailingi marketingowe, opcjonalne pliki cookie, biometria KYC od poszczególnych dostawców, jeśli wymaga tego prawo lokalne).
Ochrona praw i porządku (rozstrzyganie sporów, ochrona przed roszczeniami).

5) Cele przetwarzania (typowe brzmienie)

Tworzenie i administrowanie kontem, zapewnianie dostępu do gier/usług.
Płatności i wypłaty, zwroty, rozliczenie depozytów netto, sprawozdanie finansowe.
KYC/AML/Sankcje/kontrole PEP, zapobieganie oszustwom i nadużyciom bonusowym.
Wsparcie klientów i spełnienie żądań osób, których dane dotyczą.
Analityka i poprawa produktów (konwersje, UX, wydajność).
Marketing (e-mail, push, retargeting), jeśli istnieje podstawa prawna.
Zgodność z wymogami regulacyjnymi i dostarczanie danych dotyczących ich uzasadnionych wniosków.

6) Pliki cookie, śledzenie i piksele

Podzielone na kategorie:
  • Ściśle konieczne: sesje, bezpieczeństwo, funkcjonalność konta.
  • Funkcjonalne: język, waluta, preferencje interfejsu.
  • Analiza: pomiar frekwencji, lejków, mierników UX.
  • Marketing: przypisywanie ruchu, retargetowanie, segmenty podobne do wyglądu.

Praktyka: oddzielny panel sterowania banerem/zgodą (CMP), możliwość zmiany wyboru w dowolnym momencie. Określić okresy życia, cele i dostawców.

7) Przekładnie transgraniczne i lokalizacja

Opis geografii składowania i przetwarzania (UE/EOG, Wielka Brytania, Kanada, Brazylia, USA itp.).
Określić mechanizmy: standardowe postanowienia umowne (SCC), równoważne instrumenty, lokalne magazynowanie/lusterka, w razie potrzeby DPIA.
Dla szczególnie wrażliwych strumieni (biometria KYC) - oddzielne środki i zminimalizowanie.

8) Cele dystrybucji (kategorie)

Dostawcy KYC/AML, sankcji i kontroli PEP.
Dostawcy płatności, emitenci, banki, bramy przetwarzania.
Dostawcy punktów antyfraud/ryzyka, hosting/chmury, CDN, usługi poczty/sms.
Analityka/raportowanie awarii, platformy marketingowe (za zgodą).
Audytorzy, prawnicy, organy regulacyjne i inne organy - zgodnie z prawem.

9) Okres trwałości (zasada minimalizacji)

Dane rachunkowe i operacyjne - podczas obowiązywania terminów kontraktowych i regulacyjnych (często 5-10 lat dla dokumentów finansowych/dzienników AML).
Profile marketingowe - zgodnie z terminami uzgodnionymi z CMP i przed wycofaniem zgody.
Dzienniki bezpieczeństwa - wiele celów (na przykład 12-24 miesiące), chyba że prawo wymaga inaczej.
Na koniec terminu - bezpieczne usunięcie/anonimizacja.

10) Bezpieczeństwo i środki organizacyjne

Szyfrowanie w czasie odpoczynku i transmisji, ścisłe zasady sieci, WAF/firewalls.
Kontrola dostępu (RBAC/ABAC), rejestrowanie, regularne audyty i testy wstrzykiwacza.
Segmentacja systemów, zasada najmniejszych praw, tajne zarządzanie.
Ciągłe monitorowanie, zasady zwalczania nadużyć finansowych, testowanie planów reagowania na incydenty.
Oceny ryzyka i DPIA w leczeniu wysokiego ryzyka.

11) Prawa użytkowników (osoby, których dane dotyczą)

Dostęp do danych, korekta, usunięcie, ograniczenie przetwarzania.
Przenośność (format do odczytu maszynowego).
Sprzeciw wobec przetwarzania (w tym wprowadzania do obrotu).
Cofnięcie zgody bez naruszenia obowiązkowych funkcji.
Skarga do upoważnionego organu (wskazać kontakty organu regulacyjnego według jurysdykcji).

12) Ograniczenia dotyczące dzieci i wieku

Usługi iGaming są przeznaczone tylko dla dorosłych zgodnie z lokalnymi przepisami. Opisać mechanizmy weryfikacji wieku oraz procedurę usuwania danych dotyczących nieletnich w przypadku błędnej rejestracji.

13) Zautomatyzowane rozwiązania i profilowanie

Krótki opis profilowania antyfraud/punktacji ryzyka/marketingu.
Wskazać, czy wynik wpływa na prawnie istotne decyzje (zamrożenie, wniosek KYC).
Zapewnienie prawa do „ludzkiego przeglądu” w kontrowersyjnych przypadkach.

14) Kontakty i inspektor ochrony danych

Podaj e-mail/formularz kontaktowy dla zapytań osób, adres pocztowy firmy. Jeśli DPO jest przypisany - nazwa/kontakty. Czas reakcji (np. do 30 dni, z możliwym przedłużeniem, jeżeli zezwala na to prawo).

15) Aktualizacje polityki

Napraw datę i wersję.
Przejrzyste powiadamianie o istotnych zmianach (baner/list/zgłoszenie wewnętrzne).

16) Noty jurysdykcyjne (przykładowa matryca)

EU/EEA (RODO): podstawy, DPIA, DPA z przetwórcami, SCC dla transmisji transgranicznych, rejestracja interesów, rejestr przetwarzania.
UK (UK RODO): Podobnie, biorąc pod uwagę władze lokalne.
Brazylia (LGPD): podstawy prawne, rzecznik LGPD, terminy lokalne.
Kalifornia (CCPA/CPRA): prawo do rezygnacji z danych „sprzedawać/udostępniać”, „Nie sprzedawać lub udostępniać”, kategorie danych osobowych.
Kanada (PIPEDA/prowincje): ograniczenie zgody i docelowe.
Australia (ustawa o prywatności): APP, ujawnienia transgraniczne.
Dodaj partycje lokalne dla krajów, w których pracujesz.

17) Praktyczna lista kontrolna przed publikacją

  • Mapa danych (co, gdzie, dlaczego, jak długo, kto ma dostęp).
  • Rejestr przetwarzania i DPA z kluczowymi procesorami.
  • Tabela CMP i plików cookie z datami i celami.
  • Procedura reagowania na wnioski osób, których dotyczy wniosek (SLA, szablony listów).
  • Procedura powiadamiania o incydencie (do kogo, kiedy, jak).
  • Weryfikacja polityki i dziennik zmian.

18) Gotowy szablon polityki (kopiowanie i dostosowywanie)

Ogłoszenie o ochronie prywatności

Skuteczność: [data] Wersja: [vX. Y]

1. Kim jesteśmy

[Pełna nazwa przedsiębiorstwa], [siedziba statutowa], [dane rejestracyjne].

Kontakty: [support @ domain], [adres pocztowy].

2. Możliwość zastosowania

Niniejsza polityka ma zastosowanie do witryny (witryn) i aplikacji: [domeny/aplikacje], jak również powiązanych usług wsparcia.

3. Przetwarzamy dane

Identyfikacja i kontakt (nazwisko, data urodzenia, e-mail, numer telefonu, adres).
Poświadczenia (login, hasło, ustawienia).
Płatność/transakcja (tokeny karty, historia transakcji).
Techniczny (IP, urządzenia, dzienniki, cookie-ID).
Antyfraud/AML (sygnały behawioralne, wyniki kontroli u dostawców).
Marketing/analytical (UTM, konwersje) - jeśli uzgodnione, w razie potrzeby.

4. Cele i podstawy prawne

Przetwarzamy dane dla: świadczenia usług, płatności i wniosków, KYC/AML, bezpieczeństwa i zwalczania nadużyć finansowych, wsparcia, analityki, marketingu (za zgodą), zgodności z prawem. Powody: wykonanie umowy, zobowiązanie prawne, uzasadniony interes, zgoda.

5. Pliki cookie i podobne technologie

Używamy:
  • bezwzględnie konieczne (sesje, bezpieczeństwo),
  • funkcjonalne (ustawienia),
  • analityczne,
  • marketing.
  • Kontrola jest dostępna poprzez [panel zgody/CIW link]. Patrz załącznik A dla tabeli plików cookie.

6. Z kim dzielimy się danymi

Kategorie odbiorców: dostawcy KYC/AML, organizacje płatnicze, hosting/CDN, zwalczanie nadużyć finansowych i analityka, wsparcie (e-mail/SMS), audytorzy, organy regulacyjne zgodnie z prawem. Transfer - w oparciu o umowy i środki bezpieczeństwa.

7. Transmisje międzynarodowe

Dane mogą być przetwarzane poza granicami kraju. Stosujemy mechanizmy prawne (np. standardowe postanowienia umowne) i techniczne/organizacyjne środki ochrony.

8. Okres trwałości

Przechowywać tak długo, jak jest to konieczne do celów i w terminach określonych przez prawo (na przykład zapisy finansowe/AML - co najmniej [X] lat). Po - usuń/anonimizuj.

9. Bezpieczeństwo

Szyfrowanie, kontrola dostępu, monitorowanie, segmentacja, audyt, testy pióra. Pomimo tych środków nie gwarantuje się absolutnego bezpieczeństwa; działamy zgodnie z obowiązującymi przepisami dotyczącymi powiadamiania o incydentach.

10. Twoje prawa

Możesz zażądać dostępu, korekty, usunięcia, ograniczenia, przenoszenia, sprzeciwu i wycofania zgody (do przetwarzania na zgodę). Kontakty na żądania: [privacy @ domain]. Możesz również złożyć skargę do [nazwa organu/jurysdykcji].

11. Zautomatyzowane rozwiązania i profilowanie

Używamy zautomatyzowanych systemów do zwalczania oszustw i oceny ryzyka. W przypadku sensownej decyzji, można poprosić o ludzką recenzję.

12. Dzieci

Usługa jest przeznaczona dla osób [18 +] lub starszych zgodnie z lokalnym prawem. Po wykryciu konta małoletniego dane są blokowane i usuwane.

13. Inspektor ochrony danych/kontakty z właścicielami

[Nazwa/pozycja inspektora], e-mail: [dpo @ domain], adres: [adres].

14. Aktualizacje niniejszej polityki

Aktualizujemy Politykę okresowo. Istotne zmiany zostaną przekazane za pośrednictwem strony/ogłoszenia. Aktualna wersja jest zawsze dostępna pod adresem [link].

Dodatek A - Tabela plików cookie (Przykład)

NazwaTypCelOkres życiaDostawca
_session_idBezwzględnie konieczneSesja użytkownikaSesjaWłasna lokalizacja
_analytics_idDane analitycznePomiar ruchu/konwersji24 miesiące[Dostawca]
_ ad _ tagWprowadzanie do obrotuRetargetowanie6 miesięcy[Dostawca]

Dodatek B. Kontrahenci (kategorie)

Dostawcy usług KYC/AML: [nazwa/jurysdykcja/rola].
Podmioty przetwarzające płatności/banki: [kategorie].
Hosting/chmury/CDN: [kategorie].
Marketing/mailing/analytics: [kategorie].
Wsparcie (bilety/SMS/e-mail): [kategorie].

(Dokładne nazwy można ujawnić w rejestrze DPA/Treatment Registry i kategoriach w polityce.)

Dodatek C. Jurysdykcyjne warunki dodatkowe (szablon)

UE/EOG (RODO): prawa, mechanizmy przesyłowe, kontakty organów nadzorczych: [link/title].
Kalifornia (CCPA/CPRA): „Nie sprzedawaj ani nie udostępniaj moich danych osobowych” link, opis kategorii i praw konsumentów.
Brazylia (LGPD): odpowiedzialny kontakt, prawa do titulares.
UK: UK RODO i ICO.
Kanada/Australia: lokalne prawa i kontakty regulacyjne.

19) Wskazówki dotyczące utrzymania

Raz na kwartał sprawdź Zasady z rzeczywistym przepływem danych i DPIA.
Podczas dodawania nowego dostawcy/SDK zaktualizuj rejestr przetwarzania i CMP.
Odpowiedzi dzienników i dokumentów na żądania uczestników (SLA, szablony, mierniki).
Przechowywać dziennik wersji z krótkim changelogiem.

Jak korzystać z tego artykułu

1. Przejdź przez listę kontrolną i zbierz fakty o swoich danych i przepływach.
2. Skopiuj szablon i wklej swoje dane/terminy/jurysdykcje.
3. Zgadzam się z adwokatem i inspektorem ochrony danych, a następnie opublikować na stronie i podłączyć CMP.
4. Skonfiguruj proces akceptowania żądań osoby, której dane dotyczą, i aktualizuj Zasady w przypadku wystąpienia zmian.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.