GH GambleHub

Politica de confidențialitate și GDPR

1) Scopul și domeniul de aplicare

Scop: asigurarea prelucrării legale, transparente și sigure a datelor cu caracter personal (PII) ale jucătorilor, partenerilor și angajaților din toate jurisdicțiile prezenței operatorului.
Acoperire: aplicații web/mobile, CRM/BI/DWH, anti-fraudă/AML/KYC, furnizori de sancțiuni PSP/CUS/, suport, marketing, afiliați, studiouri live, găzduire și logare.

2) Roluri și responsabilități (RACI)

Responsabilul cu protecția datelor (DPO) - A: supravegherea conformității, RoPA, DPIA/DTIA, răspunsuri la autoritățile de reglementare.
Șef de conformitate - A: Politică, apetit pentru risc, escaladare și raportare.
Legal - C: temeiuri legale, contracte DPA/SCC, bannere și texte de notificare.
Securitate/SRE - R: măsuri tehnice și organizatorice (TOM), jurnal de acces, incidente.
Date/BI - R: director de date, minimizare, mascare/pseudonimizare.
Marketing/CRM - R: consimțăminte, preferințe, dezabonări, cookie-uri.
Produs/Inginerie - R: Confidențialitate prin Design/Implicit, retenție și dispoziție.
Suport/VIP - R: Întrebări privind subiectul (DSAR), Verificarea identității.

3) Temeiuri juridice

Consimțământ - marketing, cookie-uri analitice/publicitare, personalizare non-obligatorie.
Contract - inregistrare, prelucrare tarife/concluzii, suport.
Obligație legală - KYC/AML/sancțiuni, contabilitate și raportare.
Interese legitime - anti-fraudă, securitate, îmbunătățirea produsului (cu test de echilibrare a interesului - LIA).
Vital/Interes Public - cazuri rare de RG/securitate, dacă este cazul și permisă de lege.

4) Drepturile persoanelor vizate (DSR/DSAR)

Acces (art. 15), Corecţie (art. 16), Ştergere (art. 17), Constrângere (art. 18), Tolerabilitate (art. 20), Obiecţie (art. 21), a nu face obiectul unei soluţii exclusiv automatizate (art. 22).
Procesare DSAR SLA: confirmare ≤ 7 zile, executare ≤ 30 de zile (prelungire pentru încă 60 dacă este dificil de notificat subiectul).
Verificare: multifactorial; interzicerea divulgării datelor sensibile pe canale deschise.
Jurnale: cerere magazin, verificarea identității, pachetul de date emise și timpul de răspuns.

5) Registrul operațiunilor de procesare (RoPA)

Domenii minime: țintă, subiect/categorii de date, temei juridic, perioade de păstrare, destinatari/țări terțe, măsuri de securitate, sursă de date, decizii automate/profilare, DPIA/DTIA, dacă există.

6) DPIA/DTIA: Când și cum

DPIA - cu risc ridicat: profilare pe scară largă, noi modele antifraudă, procesare geodată, declanșatoare RG, observare sistematică.
DTIA/AIT - pentru transmisii transfrontaliere în afara SEE/UK: evaluarea accesului local de către agențiile guvernamentale, măsuri contractuale/tehnice.
Proces: Examinarea → evaluarea riscurilor și a măsurilor → aprobarea DPO/Legal → implementarea jurnalului de controale → ipoteze.

7) Cookie-uri, pixeli, SDK și banner de consimțământ

Categorii: strict necesare, funcționale, analitice, de marketing.

Cerințe:
  • Până la consimțământ - încărcăm doar cele strict necesare.
  • Acord granular și refuz separat; un jurnal de versiuni și timbre de timp.
  • CMP cu IAB TCF (dacă este cazul); actualizarea automată a bannerului la schimbarea țintelor/furnizorilor.
  • Dezabonare ușoară/schimbare la alegere în orice moment.

8) Manipulatori și subprocesoare

DPA cu fiecare furnizor: subiect, obiective, categorii de date, termene limită, TOM-uri, sub-procesoare, audituri.
Registrul public al subprocesorilor (versioning); notificarea modificărilor și a dreptului de obiecție.
Verificări: due diligence (ISO/SOC2), incidente de testare, rapoarte pentest la cerere, plan de offboarding.

9) Transferuri transfrontaliere

SCC/IDTA + DTIA; dacă este necesar - măsuri suplimentare: E2EE, criptarea clienților, cvasi-anonimizare, chei în UE.
Stabilim mecanismul legal, țările și destinatarii în Politica/registru.

10) Retenție și ștergere

Matricea datei (exemplu):
CategorieTermenBază
Contul jucătoruluiPână la 5 ani de la închidereAML/contabilitate într-o serie de jurisdicții
Documente KYC/AML5-10 aniObligație legală
Jurnale de acces PII1-3 aniInterese legitime/Securitate
Evenimente de marketing24 luniConsimțământ/LI
Înregistrări de sprijin24-36 luniContract/LI

Politica de ștergere: sarcini automate (de locuri de muncă) în DWH/seifuri; Ștergerea în backup-uri prin logare ciclu. Aliasing ID pentru analiză.

11) Securitate (TOM)

Tehnic: La criptare Rest/Transit, segmentare rețea, minimizarea drepturilor, KMS/rotație cheie, DLP, EDR/IDS/WAF, SSO/MFA, manager secret, logare WORM.
Organizational: politici de acces, training, NDA, birou curat, verificarea furnizorilor, managementul incidentelor (SANS/NIST).
Confidențialitate prin design/implicit: evaluare în procesele de schimbare, seturi minime de date implicite, date de testare fără PII.

12) Scurgeri și notificări incidente

Evaluare: confirmarea faptului, volumului și riscului.
Termene (criterii de referință): către autoritatea de supraveghere în conformitate cu datele - până la 72 de ore cu riscul de drepturi/libertăți; utilizatori - fără întârzieri nejustificate.
Conținutul notificării: descrierea incidentului, categoriile și numărul estimat de înregistrări, contactul DPO, consecințele, măsurile luate, recomandările adresate subiecților.
Jurnale: cronologie, soluții, șabloane de scrisoare/răspuns, CAPA.

13) Marketing și comunicații

Separarea mesajelor tranzactionale (fara consimtamant) si a mesajelor de marketing (numai cu consimtamant).
Managementul preferințelor: centru de setări, abonamente după topic/canal, dublu-opt-in (acolo unde este necesar).
Afiliați și urmărire: restricții contractuale privind colectarea/transferul de PII, interzicerea transferului de identificatori fără motiv și consimțământ.

14) Politica de confidențialitate publică - Structura

1. Cine suntem noi și contactele DPO.
2. Ce date colectăm (după categorie și sursă).
3. Obiective/temeiuri juridice (tabelul „scop → date → bază → termen”).
4. Cookie-uri/SDK și managementul consimțământului.
5. Destinatarii și transferurile transfrontaliere (mecanisme și măsuri).
6. Drepturile subiecților și modul de implementare a acestora.
7. Securitatea datelor (TOM la nivel înalt).
8. Perioade de păstrare și criterii.
9. Soluții automate/profilare și logică în termeni generali.
10. Modificări de politică (versioning) și cum notificăm.
11. Contacte pentru reclamații (DPA pe jurisdicție, dacă este necesar).

💡 Limba - simplă și ușor de înțeles; evitați jargonul și detaliile tehnice excesive.

15) Șabloane și formulări de probă

15. 1 Tabel obiective/baze (fragment):

ScopDateBazăTermen
Înregistrare și contIdentificare, contactContractdurata de viață a contului + X
KYC/AMLDocumente, fotografii, liveness, sankz hit-uriObligație legală5-10 ani
Antifraudă/siguranțăID-ul dispozitivului, IP, comportamentalInterese legitime24 luni
MarketingEmail/Push/Cookie-IDConsimțământulînainte de rechemare

15. 2 Banner cookie (minim):

"Folosim cookie-uri. Făcând clic pe "Accept All', sunteți de acord cu stocarea cookie-urilor analitice și de marketing. Puteți modifica selecția în funcție de categorie. "Respinge opțional" - numai cookie-urile strict necesare"

15. 3 Secțiunea profilare (exemplu):

"Folosim profilarea pentru a preveni frauda și pentru a juca responsabil (RG). Acest lucru este necesar pentru siguranță și în conformitate cu interesele noastre legitime. Puteți obiecta, cu excepția cazului în care se prevede altfel prin lege (ex. AML) "

16) SOP-uri de proces

SOP-1: Actualizare politică

Declanșatoare: noi obiective/furnizori/SDK/jurisdicții.
Pași: inventar LIA/DPIA actualizare text localizare actualizare CMP comunicare utilizatorilor versiune/data intrării.

SOP-2: DSAR

Cerere canal verificarea identității estimarea volumului de date colectarea pachetului (export din sisteme) audit legal emiterea/refuzul cu justificare jurnal.

SOP-3: Subprocesor nou

Due diligence → DPA/SCC → DTIA → testul incidentului → includerea registrului public → notificarea utilizatorului (dacă este necesar).

17) Instruire și audit

Onboarding + training anual de confidențialitate pentru toți; formare suplimentară pentru Suport/Marketing/Inginerie.
Audit intern o dată pe an: RoPA, conformitatea cu păstrarea, verificarea DSAR selectivă, revizuirea CIW/cookie, aplicații de testare, testul de penetrare/criminalistica jurnalului de acces.
KPI:% dintre angajații instruiți; SLA DSAR; Proporția de sisteme cu CAPA-uri capabile să fie completate.

18) Localizare și multi-jurisdicționalitate

GDPR/UK GDPR ca standard de bază; ia în considerare ePrivacy/PECR pentru comunicații și cookie-uri.
Nuanțe locale (exemplu): vârsta consimțământului pentru prelucrarea datelor copilului, perioadele de păstrare a KYC, formularele de notificare, cerințele lingvistice ale documentului.
Mențineți matricea discrepanței în funcție de țară și trimiterile la codurile/licențele aplicabile.

19) Foaia de parcurs privind implementarea (exemplu)

Săptămânile 1-2: Inventarul datelor/sistemelor, RoPA, Flow Map, Policy Draft.
Săptămânile 3-4: CIW/banner, registru sub-procesor, DPA/SCC, DPIA pentru procese cu risc ridicat.
Luna 2: lansarea centrului de preferințe, automatizarea ștergerii/anonimizării, instruirea angajaților.
Luna 3 +: audituri periodice, teste DSAR, localizare și actualizări de registry.

20) Lista de verificare a disponibilității scurte

  • DPO atribuit, contacte publicate
  • Harta actualizată a RoPA și a fluxului de date
  • Politica publicată, localizată, versionată
  • CMP cu jurnale de opt-in/opt-out dovedibile
  • DPA/SCCs și registru public sub-procesor
  • DPIA/DTIA finalizat pentru procesele de risc
  • Lucrări de retenție și proceduri de ștergere/anonimizare
  • SOP privind DSAR și incidente, proprietari instruiți
  • Metrici/KPI-uri și audit anual de confidențialitate

TL; DR

Politică puternică = obiective clare și motive + inventar și consimțământul RoPA +/cookie-uri sub control + transferuri transfrontaliere sigure + registru sub-procesor + păstrare și ștergere clară + instruire DSAR/incidente. Acest lucru reduce riscurile legale și de reputație și construiește încrederea jucătorilor.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.