GH GambleHub

Gizlilik Politikası ve GDPR

1) Amaç ve kapsam

Amaç: Operatörün varlığının tüm yargı bölgelerinde oyuncuların, ortakların ve çalışanların kişisel verilerinin (PII) yasal, şeffaf ve güvenli bir şekilde işlenmesini sağlamak.
Kapsam: Web/mobil uygulamalar, CRM/BI/DWH, dolandırıcılıkla mücadele/AML/KYC, PSP/CUS/yaptırım sağlayıcıları, destek, pazarlama, bağlı kuruluşlar, canlı stüdyolar, barındırma ve günlüğe kaydetme.

2) Roller ve Sorumluluklar (RACI)

Veri Koruma Görevlisi (DPO) - A: uyumluluk gözetimi, RoPA, DPIA/DTIA, düzenleyicilere verilen yanıtlar.
Uyum Başkanı - A: Politika, Risk İştahı, Tırmanma ve Raporlama.
Yasal - C: yasal gerekçeler, DPA/SCC sözleşmeleri, afiş ve bildirim metinleri.
Güvenlik/SRE - R: teknik ve organizasyonel önlemler (TOM), erişim günlüğü, olaylar.
Veri/BI - R: veri dizini, küçültme, maskeleme/takma ad verme.
Pazarlama/CRM - R: onaylar, tercihler, abonelikten çıkma, çerezler.
Ürün/Mühendislik - R: Tasarıma Göre Gizlilik/Varsayılan, saklama ve elden çıkarma.
Destek/VIP - R: Konu Sorguları (DSAR), Kimlik Doğrulama.

3) Yasal dayanaklar

Onay - pazarlama, analitik/reklam çerezleri, zorunlu olmayan kişiselleştirme.
Sözleşme - kayıt, oranların/sonuçların işlenmesi, destek.
Yasal Yükümlülük - KYC/AML/yaptırımlar, muhasebe ve raporlama.
Meşru Menfaatler - dolandırıcılıkla mücadele, güvenlik, ürün geliştirme (faiz dengeleme testi ile - LIA).
Hayati/Kamu Yararı - nadir görülen RG vakaları/güvenliği, geçerli ve yasalarca izin verilirse.

4) Veri konularının hakları (DSR/DSAR)

Erişim (Madde 15), Düzeltme (Madde 16), Silme (Madde 17), Kısıtlama (Madde 18), Tolere Edilebilirlik (Madde 20), İtiraz (Madde 21), münhasıran otomatik bir çözümün nesnesi olmamak (Madde 22).
DSAR işleme SLA: 7 gün ≤ onay, 30 gün ≤ yürütme (konuyu bildirmek zorsa başka bir 60 için uzatma).
Doğrulama: çok faktörlü; Hassas verilerin açık kanallar üzerinden açıklanmasının yasaklanması.
Günlükler: mağaza isteği, kimlik kontrolü, verilen veri paketi ve yanıt süresi.

5) İşleme İşlemleri Kaydı (RoPA)

Minimum alanlar: hedef, konu/veri kategorileri, yasal dayanak, saklama süreleri, alıcılar/üçüncü ülkeler, güvenlik önlemleri, veri kaynağı, otomatik kararlar/profil oluşturma, varsa DPIA/DTIA.

6) DPIA/DTIA: Ne Zaman ve Nasıl

DPIA - yüksek risk altında: büyük ölçekli profilleme, yeni anti-dolandırıcılık modelleri, coğrafi veri işleme, RG tetikleyicileri, sistematik gözlem.
DTIA/TIA - AEA/İngiltere dışındaki sınır ötesi iletimler için: devlet kurumları tarafından yerel erişimin değerlendirilmesi, sözleşme/teknik önlemler.
Süreç: Tarama - risklerin ve önlemlerin değerlendirilmesi - DPO/Yasal onay - kontrollerin uygulanması - varsayımlar günlüğü.

7) Çerezler, pikseller, SDK ve onay afişi

Kategoriler: kesinlikle gerekli, işlevsel, analitik, pazarlama.

Gereksinimler:
  • Rızaya kadar - sadece kesinlikle gerekli olanları yüklüyoruz.
  • Granüler anlaşma ve ayrı reddetme; Sürümlerin ve zaman damgalarının bir günlüğü.
  • IAB TCF ile CMP (varsa); Hedefleri/sağlayıcıları değiştirirken banner'ı otomatik olarak güncelleyin.
  • Herhangi bir zamanda kolay abonelikten çıkma/seçim değişikliği.

8) İşleyiciler ve alt işlemciler

Her sağlayıcı ile DPA: konu, hedefler, veri kategorileri, son tarihler, TOM'lar, alt işlemciler, denetimler.
Alt işlemcilerin genel kaydı (sürüm oluşturma); Değişiklik bildirimi ve itiraz hakkı.
Kontroller: durum tespiti (ISO/SOC2), test olayları, talep üzerine pentest raporları, offboarding planı.

9) Sınır ötesi transferler

SCC'ler/IDTA + DTIA; Gerekirse - ek önlemler: E2EE, istemci şifreleme, yarı anonimleştirme, AB'de anahtarlar.
Yasal mekanizmayı, ülkeleri ve alıcıları Politika/kayıtta düzeltiyoruz.

10) Saklama ve Silme

Tarih matrisi (örnek):
KategoriTerimTemel
Oyuncu hesabıKapandıktan sonra 5 yıla kadarBir dizi yargı alanında AML/muhasebe
KYC/AML belgeleri5-10 yılYasal zorunluluk
PII Erişim Günlükleri1-3 yılMeşru Çıkarlar/Güvenlik
Pazarlama etkinlikleri24 ayOnay/LI
Destek kayıtları24-36 aySözleşme/LI

Silme politikası: DWH/kasalarda otomatik görevler (iş); Döngü günlüğü ile yedeklerde silme. Analizler için Aliasing ID.

11) Güvenlik (TOMs)

Teknik: Rest/Transit şifreleme, ağ segmentasyonu, hak minimizasyonu, KMS/anahtar rotasyonu, DLP, EDR/IDS/WAF, SSO/MFA, gizli yönetici, WORM günlüğü.
Organizasyonel: erişim politikaları, eğitim, NDA, temiz masa, satıcı doğrulaması, olay yönetimi (SANS/NIST).
Tasarıma Göre Gizlilik/Varsayılan: değişim süreçlerinde değerlendirme, minimum varsayılan veri setleri, PII olmadan test verileri.

12) Sızıntı ve olay bildirimleri

Değerlendirme: Gerçeğin, hacmin ve riskin doğrulanması.
Son tarihler (kriterler): Verilere göre denetim makamına - hak/özgürlükler riski altında 72 saate kadar; Kullanıcılar - gereksiz gecikme olmadan.
Bildirimin içeriği: olay açıklaması, kategoriler ve tahmini kayıt sayısı, DPO teması, sonuçları, alınan önlemler, konulara öneriler.
Günlükler: zaman çizelgesi, çözümler, mektup/yanıt şablonları, CAPA.

13) Pazarlama ve İletişim

İşlem mesajlarının (rıza olmadan) ve pazarlama mesajlarının ayrılması (yalnızca rıza ile).
Tercih yönetimi: ayarlar merkezi, konuya/kanala göre abonelikler, çift katılım (gerektiğinde).
İştirakler ve izleme: PII'nin toplanması/devredilmesi ile ilgili sözleşme kısıtlamaları, tanımlayıcıların sebep ve rıza olmaksızın devredilmesinin yasaklanması.

14) Kamu Gizlilik Politikası - Yapı

1. Biz kimiz ve DPO bağlantıları.
2. Hangi verileri topladığımız (kategoriye ve kaynağa göre).
3. Hedefler/yasal dayanaklar (tablo "Amaç - Veri - Temel - Terim").
4. Çerezler/SDK ve onay yönetimi.
5. Alıcılar ve sınır ötesi transferler (mekanizmalar ve önlemler).
6. Öznelerin hakları ve bunların nasıl uygulanacağı.
7. Veri güvenliği (üst düzey TOM'lar).
8. Tutma süreleri ve kriterleri.
9. Genel anlamda otomatik çözümler/profilleme ve mantık.
10. Politika değişiklikleri (sürüm oluşturma) ve nasıl bildirimde bulunduğumuzu.
11. Şikayetler için irtibat (gerekirse yargı yetkisine göre DPA).

💡 Dil - basit ve anlaşılır; jargon ve aşırı teknik detaylardan kaçının.

15) Şablonlar ve örnek formülasyonlar

15. 1 Hedefler/üsler tablosu (parça):

AmaçVeriTemelTerim
Kayıt ve hesapKimlik, iletişimSözleşmehesap ömrü + X
KYC/AMLBelgeler, fotoğraflar, canlılık, sankz hitYasal zorunluluk5-10 yıl
Antifraud/güvenlikCihaz kimliği, IP, davranışsalMeşru menfaatler24 ay
PazarlamaE-posta/Push/Cookie-IDRızahatırlamadan önce

15. 2 Çerez afişi (minimum):

"Biz kurabiye kullanıyoruz. "Tümünü Kabul Et'e tıklayarak, analitik ve pazarlama çerezlerinin depolanmasını kabul etmiş olursunuz. Seçimi kategoriye göre değiştirebilirsiniz. "İsteğe bağlı reddetme" - sadece kesinlikle gerekli çerezler"

15. 3 Profilleme bölümü (örnek):

"Sahtekarlığı önlemek ve sorumlu (RG) oynamak için profil oluşturmayı kullanıyoruz. Bu, güvenlik için ve meşru çıkarlarımız doğrultusunda gereklidir. Yasa tarafından aksi belirtilmedikçe itiraz edebilirsiniz (örn. AML) "

16) Proses SOP'ları

SOP-1: Politika Güncellemesi

Tetikleyiciler: yeni hedefler/satıcılar/SDK'lar/yetki alanları.
Adımlar: envanter ^ LIA/DPIA ^ metin güncellemesi ^ yerelleştirme ^ CMP güncellemesi ^ kullanıcılara iletişim ^ sürüm/giriş tarihi.

SOP-2: DSAR

Kanal isteyin - kimlik doğrulama - veri hacmi tahmini - paket toplama (sistemlerden ihracat) - yasal denetim - gerekçe ile sorun/reddetme - günlük.

SOP-3: Yeni alt işlemci

Durum tespiti - DPA/SCC'ler - DTIA - olay testi - kamu kayıt defteri dahil - kullanıcı bildirimi (gerekirse).

17) Eğitim ve denetim

Herkes için onboarding + yıllık gizlilik eğitimi; Destek/Pazarlama/Mühendislik için ek eğitim.
Yılda bir kez iç denetim: RoPA, tutma uyumu, seçici DSAR doğrulaması, CIW/çerez incelemesi, test uygulamaları, penetrasyon testi/erişim günlüğü adli tıp.
KPI: Çalışanların %'si eğitildi; SLA DSAR; Aliasing etkinleştirilmiş tamamlanmış CAPA'lara sahip sistemlerin oranı.

18) Yerelleşme ve çoklu yargı alanı

Temel bir standart olarak GDPR/UK GDPR; İletişim ve çerezler için ePrivacy/PECR'yi düşünün.
Yerel nüanslar (örnek): çocuk verilerini işlemek için izin yaşı, KYC saklama süreleri, bildirim formları, belge dili gereksinimleri.
Ülkeye göre tutarsızlık matrisini ve geçerli kodlara/lisanslara yapılan referansları koruyun.

19) Uygulama Yol Haritası (örnek)

Hafta 1-2: Veri/Sistem Envanteri, RoPA, Akış Haritası, Politika Taslağı.
3-4. Haftalar: CIW/banner, alt işlemci kayıt defteri, DPA/SCC'ler, yüksek riskli işlemler için DPIA.
2. Ay: Tercih merkezinin başlatılması, silme/anonimleştirme otomasyonu, çalışan eğitimi.
3. Ay +: periyodik denetimler, DSAR testleri, lokalizasyon ve kayıt defteri güncellemeleri.

20) Kısa hazırlık kontrol listesi

  • DPO atandı, kişiler yayınlandı
  • Güncel RoPA ve veri akışı haritası
  • Politika yayınlandı, yerelleştirildi, sürümlendirildi
  • Kanıtlanabilir opt-in/opt-out günlükleri ile CMP
  • DPA/SCC'ler ve Genel Alt İşlemci Kayıt Defteri
  • Risk süreçleri için DPIA/DTIA tamamlandı
  • Saklama-işleri ve silme/anonimleştirme prosedürleri
  • DSAR ve olaylarda SOP, eğitimli sahipleri
  • Metrikler/KPI'lar ve Yıllık Gizlilik Denetimi

TL; DR

Güçlü Politika = açık hedefler ve mantık + envanter ve RoPA + kontrol altında çerezleri onaylar/onaylar + güvenli sınır ötesi transferler + alt işlemci kayıt defteri + net saklama ve silme + eğitim DSAR/olayları. Bu yasal ve itibar risklerini azaltır ve oyuncu güvenini oluşturur.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.