GH GambleHub

Polityka prywatności i RODO

1) Cel i zakres

Cel: zapewnienie legalnego, przejrzystego i bezpiecznego przetwarzania danych osobowych (PII) graczy, partnerów i pracowników we wszystkich jurysdykcjach obecności operatora.
Zasięg: aplikacje internetowe/mobilne, CRM/BI/DWH, anti-fraud/AML/KYC, PSP/CUS/sankcje dostawców, wsparcie, marketing, partnerzy, studia na żywo, hosting i logowanie.

2) Role i obowiązki (RACI)

Inspektor ochrony danych - A: nadzór zgodności, RoPA, DPIA/DTIA, odpowiedzi na pytania organów regulacyjnych.
Szef zgodności - A: polityka, apetyt na ryzyko, eskalacja i sprawozdawczość.
Prawo - C: podstawy prawne, umowy DPA/SCC, teksty banerów i ogłoszeń.
Bezpieczeństwo/SRE - R: środki techniczne i organizacyjne (TOM), dziennik dostępu, incydenty.
Dane/BI - R: katalog danych, minimalizacja, maskowanie/pseudonimizacja.
Marketing/CRM - R: zgody, preferencje, rezygnacje, pliki cookie.
Produkt/Inżynieria - R: Prywatność według projektu/Domyślna, retencja i dyspozycja.
Wsparcie/VIP - R: Zapytania przedmiotowe (DSAR), weryfikacja tożsamości.

3) Podstawy prawne

Zgoda - marketing, pliki cookie analityczne/reklamowe, personalizacja nieobowiązkowa.
Umowa - rejestracja, przetwarzanie stawek/wniosków, wsparcie.
Obowiązek prawny - KYC/AML/sankcje, rachunkowość i sprawozdawczość.
Uzasadnione interesy - zwalczanie nadużyć finansowych, bezpieczeństwo, poprawa jakości produktów (z testem równoważenia odsetek - LIA).
Ważny/Interes Publiczny - rzadkie sprawy/bezpieczeństwo RG, jeśli ma to zastosowanie i jest dozwolone przez prawo.

4) Prawa osób, których dane dotyczą (DSR/DSAR)

Dostęp (art. 15), korekta (art. 16), skreślenie (art. 17), ograniczenie (art. 18), tolerancja (art. 20), sprzeciw (art. 21), nie może być przedmiotem rozwiązania wyłącznie zautomatyzowanego (art. 22).
DSAR przetwarzanie SLA: potwierdzenie ≤ 7 dni, wykonanie ≤ 30 dni (przedłużenie o kolejne 60, jeśli trudno jest powiadomić podmiot).
Weryfikacja: wielowymiarowa; zakaz ujawniania danych wrażliwych za pośrednictwem otwartych kanałów.
Dzienniki: żądanie przechowywania, sprawdzenie tożsamości, wydany pakiet danych i czas odpowiedzi.

5) Rejestr operacji przetwarzania (RoPA)

Minimalne pola: cel, kategorie podmiotów/danych, podstawa prawna, okresy zatrzymania, odbiorcy/państwa trzecie, środki bezpieczeństwa, źródło danych, zautomatyzowane decyzje/profilowanie, DPIA/DTIA, jeśli takie istnieją.

6) DPIA/DTIA: kiedy i w jaki sposób

DPIA - na duże ryzyko: profilowanie na dużą skalę, nowe modele zwalczania nadużyć finansowych, przetwarzanie geodezyjne, wyzwalacze RG, systematyczne obserwacje.
DTIA/TIA - w przypadku transmisji transgranicznych poza EOG/Wielką Brytanią: ocena dostępu lokalnego przez agencje rządowe, środki umowne/techniczne.
Proces: Przegląd → ocena ryzyka i środków → DPO/Zatwierdzenie prawne → wdrożenie kontroli → dziennik założeń.

7) Pliki cookie, piksele, SDK i baner zgody

Kategorie: ściśle niezbędne, funkcjonalne, analityczne, marketingowe.

Wymagania:
  • Aż do zgody - załadujemy tylko ściśle niezbędne.
  • Porozumienie granularne i odrębna odmowa; dziennik wersji i znaczników czasu.
  • CMP z IAB TCF (w stosownych przypadkach); automatyczna aktualizacja banera podczas zmiany celów/dostawców.
  • Łatwa rezygnacja/zmiana wyboru w dowolnym momencie.

8) Handlowcy i podwykonawcy

DPA z każdym dostawcą: podmiot, cele, kategorie danych, terminy, TOM, podwykonawcy, audyty.
publiczny rejestr podwykonawców przetwórstwa (wersioning); zawiadomienie o zmianach i prawie do sprzeciwu.
Kontrole: due diligence (ISO/SOC2), incydenty testowe, raporty pentest na życzenie, plan offboardingu.

9) Transfery transgraniczne

SCC/IDTA + DTIA; w razie potrzeby - dodatkowe środki: E2EE, szyfrowanie klienta, quasi-anonimizacja, klucze w UE.
W Polityce/rejestrze ustalamy mechanizm prawny, kraje i odbiorcy.

10) Zatrzymanie i usunięcie

Macierz daty (przykład):
KategoriaTerminPodstawa
Konto graczaDo 5 lat po zamknięciuAML/księgowość w wielu jurysdykcjach
Dokumenty KYC/AML5-10 latObowiązek prawny
Dzienniki dostępu PII1-3 lataUzasadnione interesy/bezpieczeństwo
Wydarzenia marketingowe24 miesiąceZgoda/LI
Rekordy wsparcia24-36 miesięcyUmowa/LI

Polityka usuwania: automatyczne zadania (zadanie) w DWH/sklepieniach; Usuwanie kopii zapasowych przez rejestrowanie cyklu. Aliasing ID dla analityki.

11) Bezpieczeństwo (TOM)

Techniczne: W odpoczynku/tranzycie szyfrowanie, segmentacja sieci, minimalizacja praw, KMS/key rotation, DLP, EDR/IDS/WAF, SSO/MFA, secret manager, rejestrowanie WORM.
Organizacja: polityka dostępu, szkolenia, NDA, czyste biurko, weryfikacja sprzedawcy, zarządzanie incydentami (SANS/NIST).
Prywatność według projektu/domyślnie: ocena w procesach zmian, minimalne domyślne zestawy danych, dane testowe bez PII.

12) Powiadomienia o wycieku i incydencie

Ocena: potwierdzenie faktu, wielkości i ryzyka.
Terminy (poziomy odniesienia): do organu nadzorczego zgodnie z danymi - do 72 godzin przy ryzyku praw/wolności; użytkownicy - bez zbędnej zwłoki.
Treść powiadomienia: opis incydentu, kategorie i szacunkowa liczba zapisów, kontakt z inspektorem ochrony danych, konsekwencje, podjęte środki, zalecenia dla uczestników.
Dzienniki: linia czasu, rozwiązania, szablony liter/odpowiedzi, CAPA.

13) Marketing i komunikacja

Oddzielenie wiadomości transakcyjnych (bez zgody) i marketingowych (tylko za zgodą).
Zarządzanie preferencjami: centrum ustawień, subskrypcje według tematu/kanału, double-opt-in (jeśli jest to wymagane).
Podmioty powiązane i śledzenie: umowne ograniczenia dotyczące zbierania/przekazywania PII, zakaz przekazywania identyfikatorów bez powodu i zgody.

14) Polityka prywatności publicznej - struktura

1. Kim jesteśmy i kontakty IOD.
2. Jakie dane zbieramy (według kategorii i źródła).
3. Cele/podstawy prawne (tabela „cel → dane → podstawa → termin”).
4. Pliki cookie/SDK i zarządzanie zgodą.
5. Odbiorcy i transfery transgraniczne (mechanizmy i środki).
6. Prawa podmiotów i sposób ich wdrażania.
7. Bezpieczeństwo danych (TOM wysokiego szczebla).
8. Okresy retencji i kryteria.
9. Zautomatyzowane rozwiązania/profilowanie i logika ogólnie.
10. Zmiany polityki (wersioning) i jak informujemy.
11. Kontakty w sprawie skarg (DPA według jurysdykcji, jeśli jest to wymagane).

💡 Język - prosty i zrozumiały; unikać żargonu i nadmiernych szczegółów technicznych.

15) Szablony i wzory próbek

15. 1 Tabela celów/podstaw (fragment):

CelDanePodstawaTermin
Rejestracja i kontoIdentyfikacja, kontaktUmoważywotność konta + X
KYC/AMLDokumenty, zdjęcia, urok, sankzObowiązek prawny5-10 lat
Środki zapobiegawcze/bezpieczeństwoIdentyfikator urządzenia, IP, behawioralnyUzasadnione interesy24 miesiące
Wprowadzanie do obrotuE-mail/Push/Cookie-IDZgodaprzed przypomnieniem

15. 2 Baner cookie (minimum):

"Używamy ciasteczek. Klikając przycisk Akceptuj wszystkie, wyrażasz zgodę na przechowywanie plików cookie analityczne i marketingowe. Możesz zmienić wybór według kategorii. "Odrzuć opcjonalnie" - tylko ściśle wymagane pliki cookie"

15. 3 Sekcja profilowania (przykład):

"Używamy profilowania, aby zapobiec oszustwom i grać odpowiedzialnie (RG). Jest to konieczne dla bezpieczeństwa i zgodnie z naszymi uzasadnionymi interesami. Możesz zgłosić sprzeciw, chyba że prawo stanowi inaczej (np. AML) "

16) Procesy SOP

SOP-1: Aktualizacja zasad

Wyzwalacze: nowe cele/sprzedawcy/SDK/jurysdykcje.
Kroki: inwentaryzacja → LIA/DPIA → aktualizacja tekstu → lokalizacja → aktualizacja CMP → komunikacja z użytkownikami → wersja/data wejścia.

SOP-2: DSAR

Kanał zapytania → weryfikacja tożsamości → szacowanie wolumenu danych → zbieranie pakietów (eksport z systemów) → audyt prawny → wydanie/odmowa z uzasadnieniem → dziennik.

SOP-3: Nowy podwykonawca

Due diligence → DPA/SCC → DTIA → test incydentu → włączenie rejestru publicznego → powiadomienie użytkownika (jeśli wymagane).

17) Szkolenie i audyt

Wejście na pokład + roczne szkolenia w zakresie prywatności dla wszystkich; dodatkowe szkolenia dla wsparcia/marketingu/inżynierii.
Audyt wewnętrzny raz w roku: RoPA, zgodność z wymogami retencji, selektywna weryfikacja DSAR, przegląd CIW/cookie, aplikacje testowe, badanie penetracyjne/badania dziennika dostępu.
KPI:% przeszkolonych pracowników; SLA DSAR; Odsetek systemów z możliwością aliasingu zakończonych CAPA.

18) Lokalizacja i jurysdykcja

RODO/UK RODO jako podstawowy standard; rozważyć ePrivacy/PECR dla komunikacji i plików cookie.
Lokalne niuanse (przykład): wiek zgody na przetwarzanie danych dziecka, okresy przechowywania KYC, formularze zgłoszeniowe, wymagania dotyczące języka dokumentu.
Utrzymywanie macierzy rozbieżności według krajów i odniesień do odpowiednich kodów/licencji.

19) Plan działania w zakresie wdrażania (przykład)

Tygodnie 1-2: Inwentaryzacja danych/systemów, RoPA, Mapa przepływu, Projekt polityki.
Tygodnie 3-4: CIW/baner, rejestr podwykonawców, DPA/SCC, DPIA dla procesów wysokiego ryzyka.
Miesiąc 2: uruchomienie centrum preferencji, automatyzacja usuwania/anonimizacji, szkolenie pracowników.
Miesiąc 3 +: okresowe audyty, testy DSAR, aktualizacje lokalizacji i rejestru.

20) Krótka lista kontrolna gotowości

  • Wyznaczony inspektor ochrony danych, opublikowane kontakty
  • Aktualna mapa RoPA i przepływu danych
  • Polityka opublikowana, zlokalizowana, zmieniona
  • CMP z możliwymi do udowodnienia dziennikami opt-in/opt-out
  • DPA/SCC i publiczny rejestr podwykonawców
  • DPIA/DTIA zakończone dla procesów ryzyka
  • Procedury zatrzymywania i usuwania/anonimizacji
  • SOP w sprawie DSAR i incydentów, przeszkoleni właściciele
  • Wskaźniki/KPI i roczny audyt prywatności

TL; DR

Silna polityka = jasne cele i uzasadnienie + inwentaryzacja i RoPA + zezwolenia/pliki cookie pod kontrolą + bezpieczne transgraniczne transfery + rejestr podwykonawców + jasne zatrzymywanie i usuwanie + szkolenie DSAR/incydenty. Zmniejsza to ryzyko prawne i reputacyjne oraz buduje zaufanie graczy.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.