網站隱私政策
1)目的和適用範圍
隱私政策(Privacy Policy)是以透明和易於理解的語言向用戶解釋的公共文檔:- 您收集哪些個人數據,
- 為什麼目的和根據什麼法律理由加以處理,
- 向誰以及如何傳輸數據(處理器、合作夥伴、提供商),
- 保存多久,如何保護以及如何實現數據主體的權利。
誰需要:任何網站/應用程序,特別是iGaming和fintech服務,包括KYC/AML,支付交易,反欺詐分析,分析和營銷。
2)關鍵定義
個人數據(PD):允許識別用戶的任何信息(姓名、電子郵件、IP、設備ID、付款詳細信息等)。
處理:與PDn的任何操作(收集,存儲,更改,傳輸,刪除)。
主計長/操作員:確定處理目的和手段的公司。
處理器:代表主計長處理PDn的個人/組織。
Cookie和像素:用於站點功能、分析和營銷的ID存儲和讀取技術。
特殊的數據類別:生物識別/醫療等(iGaming通常不處理;例外-通過單獨同意/基於第三方的KYC生物識別法)。
3)您通常在iGaming平臺上收集哪些數據
1.身份證明:姓名,出生日期,國籍,地址,文件(護照/ID),自拍/視頻聲明(如果授權提供商擁有KYC)。
2.聯系人:電子郵件,電話,信使。
3.帳戶:登錄,密碼哈希,帳戶設置,語言/貨幣偏好。
4.支付和交易:代幣卡,錢包詳細信息,支付歷史,收據,充電包/分銷。
5.技術:IP、用戶代理、設備ID、日誌記錄、會話事件、Cookie ID。
6.營銷/分析:流量來源,UTM,轉換,細分,A/B測試結果。
7.Antifrod/AML:行為模式,風險評分,地理/代理信號,制裁和PEP屏幕的結果(通過許可提供商)。
4)處理的法律依據(示例清單)
合同執行(登記、賬戶管理、費率/付款處理)。
法律責任(KYC/AML,稅收/財務報告,安全記錄)。
合法利益(假設,安全,改善服務),並進行利益平衡測試。
同意(如果當地法律要求,營銷郵件,可選Cookie,個別提供商的KYC生物識別)。
保護權利和法治(爭端解決、索賠保護)。
5)處理目的(示範措辭)
創建和管理帳戶,允許訪問遊戲/服務。
進行付款和結算,退款,Net Deposits結算,財務報告。
KYC/AML/制裁/PEP檢查,防止欺詐和濫用獎金。
客戶支持和執行PDn主體的請求。
分析和產品改進(轉換,UX,表演)。
有法律依據的營銷(電子郵件、推送、轉售)。
遵守監管機構的要求,並根據他們的合法要求提供數據。
6)Cookie,跟蹤和像素
分為以下幾類:- 嚴格要求:會議,安全,帳戶功能。
- 功能:語言、貨幣、界面偏好。
- 分析:考勤測量,漏鬥,UX度量。
- 市場營銷:流量歸屬,轉發,看似細分市場.
練習:單獨的橫幅/同意控制面板(CMP),可以隨時更改選擇。指定壽命、目標和提供商。
7)跨境傳輸和本地化
描述存儲和加工的地理位置(歐盟/歐洲經濟區、英國、加拿大、巴西、美國等)。
指定機制:標準合同條款(SCC)、等效工具、本地存儲/鏡像、必要時的DPIA。
對於特別敏感的流(KYC生物識別法)-單獨的措施和最小化。
8)數據收件人(類別)
提供商KYC/AML,制裁和PEP檢查。
支付提供商,發行人,銀行,處理網關。
Antifrod/風險評分提供商,托管/雲,CDN,郵件/短信服務。
分析/碰撞報告,營銷平臺(同意書)。
審計員,律師,監管機構和其他機構是合法的。
9)保留時間(最小化原則)
帳戶和運營數據-只要合同和監管期限有效(通常為5-10 年的財務文件/AML登錄)。
營銷配置文件-與CMP協商的時間表以及在撤銷同意之前。
除非法律另有要求,否則安全徽標是目標的倍數(例如12-24個月)。
截止日期-安全刪除/匿名。
10)安全和組織安排
靜止和傳輸加密,嚴格的網絡策略,WAF/防火墻。
訪問控制(RBAC/ABAC),日誌,定期審核和泡沫測試。
系統細分,最小權利原則,秘密管理。
持續監測,反欺詐規則,事件響應計劃的測試。
高風險處理的風險評估和DPIA。
11)用戶(數據主體)的權利)
數據訪問、修補、刪除、處理限制。
可移植性(機器可讀格式)。
反對處理(包括營銷)。
取消同意而不降低強制性功能。
向授權機構投訴(指定監管機構管轄範圍內的聯系人)。
12)兒童和年齡限制
根據當地法律,iGaming服務僅針對成年人。描述年齡驗證機制和錯誤註冊時刪除未成年人數據的程序。
13)自動化解決方案和分析
簡要描述防凍分析/風險評分/營銷。
指定結果是否影響具有法律意義的決策(凍結,KYC請求)。
在有爭議的案件中規定";人為復審";的權利。
14)聯系人和DPO
指定實體請求的電子郵件/通信表單,公司的郵件地址。如果分配了DPO-名稱/聯系人。回復時間(例如,最多30天,如果法律允許,可以延長)。
15)政策更新
記錄生效日期和審計日期。
透明地通知重大變化(橫幅/信函/內部通知)。
16)管轄權說明(示例矩陣)
EU/EEA(GDPR):基礎,DPIA,具有處理器的DPA,用於跨境傳輸的SCC,利益註冊,處理註冊。
英國(UK GDPR):類似地,考慮到地方當局。
巴西(LGPD):法律依據,LGPD監察員,地方時間表。
加利福尼亞州(CCPA/CPRA):拒絕個人數據類別「Do Not Sell or Share」的「銷售/交換」數據的權利。
加拿大(PIPEDA/省):同意和目標限制。
澳大利亞(隱私法):APPs,跨境披露。
在您工作的國家/地區添加本地分區。
17)公布前的實用支票清單
- 數據卡(哪個,哪裏,為什麼,多久,誰可以訪問)。
- 具有關鍵處理器的處理和DPA註冊表。
- CMP和Cookie表具有時間和目標。
- 響應受試者查詢的程序(SLA、信件模板)。
- 事件通知程序(如何、何時、何時)。
- 政策驗證和變更日誌。
18)完成策略模板(復制和修改)
隱私政策
生效: [日期]版本:[vX.Y]
1.我們是誰
[公司全名]、[法律地址]、[登記數據]。
聯系人:[support@domane],[郵寄地址]。
2.適用性
本政策適用於站點(am)和應用程序[域/應用程序]以及相關支持服務。
3.我們處理的數據
識別和聯系人(姓名、出生日期、電子郵件、電話、地址)。
憑據(登錄,密碼哈希,首選項)。
付款/交易(卡代幣,交易歷史)。
技術(IP、設備、日誌、cookie-ID)。
Antifrod/AML(行為信號,提供者的檢查結果)。
營銷/分析(UTM,轉換)-如果需要,如果同意。
4.目標和法律依據
我們處理以下方面的數據:提供服務、付款和提款、KYC/AML、安全和反欺詐、支持、分析、營銷(經同意)、遵守法律。理由:合同的執行,法律義務,合法利益,同意。
5.Cookie和類似技術
我們使用:- 嚴格需要(會議、安全)
- 功能(設置),
- 分析性的,
- 營銷。
- 可通過[同意小組/CMR鏈接]進行控制。Cookie表請參見附錄A。
6.我們與誰共享數據
收件人的類別包括:KYC/AML提供商,支付組織,托管/CDN,反欺詐和分析師,支持(電子郵件/SMS),審計師,法律監管機構。轉讓是根據條約和安全措施進行的。
7.國際轉讓
數據可在貴國境外處理。我們采用法律機制(例如標準合同條款)和技術/組織措施來保護。
8.保留時間
根據法律規定的目的和期限(例如,金融/AML記錄-至少[X]年),我們保留盡可能多的時間。過期後-刪除/匿名。
9.安全性
加密,訪問控制,監視,細分,審計,泡沫測試。盡管采取了措施,但絕對安全並未得到保證;我們按照適用的事件通知規則行事。
10.你的權利
您可以請求訪問、修補、刪除、限制、可移植性、異議,以及撤消同意(用於同意處理)。查詢聯系人:[privacy@domain]。您還有權向[監管機構的名稱/管轄權]提出申訴。
11.自動化解決方案和分析
我們使用自動化系統進行防凍和風險評估。如果有意義的決定,您可以要求進行人員審核。
12.兒童
根據當地法律,該服務適用於[18+]或以上的人。如果發現未成年人的帳戶-阻止和刪除數據。
13.DPO聯系人/負責人
[DPO FIO/職位],電子郵件:[dpo@域],地址:[地址]。
14.本政策的更新
我們定期更新政策。將通過網站/通知進行重大更改。當前版本始終可從[鏈接]訪問。
附錄A Cookie表(示例)
附錄B交易對手(類別)
KYC/AML提供商:[名稱/管轄權/角色]。
支付處理器/銀行:[類別]。
托管/雲/CDN:[類別]。
營銷/通訊/分析:[類別]。
支持(tikets/SMS/E-mail):[類別]。
(確切的名稱可以在DPA/處理註冊表中披露,在Policy中可以披露。)
附錄C管轄性附加條件(模板)
歐盟/歐洲經濟區(GDPR):權利、轉讓機制、監督機構的聯系:[參考/名稱]。
加利福尼亞州(CCPA/CPRA):「不選擇或分享我的個人信息」鏈接,消費者類別和權利的描述。
巴西(LGPD):負責人的聯系,titulares權利。
英國:英國GDPR和ICO。
加拿大/澳大利亞:地方權利和監管機構聯系。
19)保持相關性的建議
每季度一次將政策與真實的數據流和DPIA核對。
添加新的ISP/SDK時,請更新處理和CMP註冊表。
編寫和記錄對受試者請求(SLA、模板、指標)的響應。
使用簡短的changelog維護版本日誌。
如何使用這篇文章
1.通過支票單,收集有關您的數據和流量的事實。
2.復制模板並粘貼您的詳細信息/時限/管轄區。
3.與律師和DPO保持一致,然後在網站上發布並連接CMP。
4.配置接收數據對象請求的過程,並在更改時更新「策略」。