GH GambleHub

Політика конфіденційності сайту

1) Призначення та область застосування

Політика конфіденційності (Privacy Policy) - публічний документ, який прозорою і зрозумілою мовою пояснює користувачам:
  • які персональні дані ви збираєте,
  • для яких цілей і на яких правових підставах їх обробляєте,
  • кому і як передаєте дані (процесори, партнери, провайдери),
  • як довго зберігайте, як захищаєте і як реалізуєте права суб'єктів даних.

Кому потрібна: будь-якому сайту/додатку, особливо iGaming і фінтех-сервісам з KYC/AML, платіжними операціями, антифрод-аналізом, аналітикою і маркетингом.

2) Ключові визначення

Персональні дані (ПДн): будь-яка інформація, що дозволяє ідентифікувати користувача (ім'я, e-mail, IP, ідентифікатори пристроїв, платіжні реквізити та ін.).
Обробка: будь-які операції з ПДн (збір, зберігання, зміна, передача, видалення).
Контролер/Оператор: компанія, що визначає цілі і засоби обробки.
Процесор: особа/організація, що обробляє ПДн за дорученням контролера.
Файли cookie та пікселі: технології зберігання та зчитування ідентифікаторів для функціонування сайту, аналітики та маркетингу.
Спеціальні категорії даних: біометрія/медичні тощо (в iGaming зазвичай не обробляються; виняток - KYC-біометрія у третіх осіб за окремою згодою/підставою).

3) Які дані ви зазвичай збираєте на iGaming-платформі

1. Ідентифікаційні: ім'я, дата народження, громадянство, адреса, документ (паспорт/ID), селфі/відеоверифікація (якщо KYC у уповноваженого провайдера).
2. Контактні: e-mail, телефон, месенджери.
3. Облікові записи: логіни, хеші паролів, налаштування облікового запису, переваги мови/валюти.
4. Платіжні та транзакційні: токенізовані картки, реквізити гаманців, історія платежів, висновки, chargeback/диспути.
5. Технічні: IP, user-agent, ідентифікатори пристроїв, лог-записи, події сесій, cookie-ID.
6. Маркетингові/аналітичні: джерела трафіку, UTM, конверсії, сегменти, результати A/B-тестів.
7. Антифрод/AML: поведінкові патерни, скоринги ризиків, гео/проксі-сигнали, результат санкційних і PEP-скринів (через ліцензованих провайдерів).

4) Правові підстави обробки (приблизний перелік)

Виконання договору (реєстрація, ведення рахунку, обробка ставок/виплат).
Юридичний обов'язок (KYC/AML, податкова/фінансова звітність, журнали безпеки).
Законний інтерес (фрод-превенція, безпека, поліпшення сервісу), з тестом балансу інтересів.
Згода (маркетингові розсилки, необов'язкові cookie, біометрія KYC у окремих провайдерів, якщо потрібно місцевим правом).
Захист прав і правопорядку (врегулювання спорів, захист від претензій).

5) Цілі обробки (типові формулювання)

Створення та адміністрування облікового запису, надання доступу до ігор/сервісів.
Проведення платежів і висновків, повернення, розрахунок Net Deposits, фінансові звіти.
Перевірки KYC/AML/санкції/PEP, запобігання шахрайству та зловживанням бонусами.
Підтримка клієнтів і виконання запитів суб'єктів ПДн.
Аналітика і поліпшення продуктів (конверсії, UX, перформанс).
Маркетинг (e-mail, push, ретаргетинг) за наявності правової підстави.
Дотримання вимог регуляторів та надання даних щодо їх законних запитів.

6) Cookie, трекінг і пікселі

Поділяється на категорії:
  • Строго необхідні: сесії, безпека, функціональність акаунта.
  • Функціональні: мова, валюта, переваги інтерфейсу.
  • Аналітичні: вимірювання відвідуваності, воронок, UX-метрик.
  • Маркетингові: атрибуція трафіку, ретаргетинг, look-alike-сегменти.

Практика: окремий банер/панель управління згодою (CMP), можливість змінити вибір в будь-який момент. Вказувати терміни життя, цілі та провайдерів.

7) Транскордонні передачі та локалізація

Описати географію зберігання та обробки (ЄС/ЄЕЗ, Великобританія, Канада, Бразилія, США і т.д.).
Вказати механізми: стандартні договірні положення (SCC), еквівалентні інструменти, локальні зберігання/дзеркала, DPIA при необхідності.
Для особливо чутливих потоків (KYC-біометрія) - окремі заходи і мінімізація.

8) Одержувачі даних (категорії)

Провайдери KYC/AML, санкційних та PEP-перевірок.
Платіжні провайдери, емітенти, банки, процесингові шлюзи.
Постачальники антифроду/ризик-скорингу, хостинг/хмари, CDN, поштові/смс-сервіси.
Аналітика/краш-репортинг, маркетингові платформи (за згодою).
Аудитори, юристи, регулятори та інші органи - на законних підставах.

9) Терміни зберігання (принцип мінімізації)

Акаунт і операційні дані - поки діє договір і нормативні терміни (часто 5-10 років для фіндокументів/AML-логів).
Маркетингові профілі - за термінами, погодженими з CMP, і до відкликання згоди.
Логи безпеки - кратно цілям (наприклад, 12-24 міс.), якщо інше не вимагає закон.
Після закінчення термінів - безпечне видалення/анонімізація.

10) Безпека та організаційні заходи

Шифрування в спокої і при передачі, суворі мережеві політики, WAF/брандмауери.
Контроль доступів (RBAC/ABAC), журналювання, регулярні аудити та пен-тести.
Сегментація систем, принцип найменших прав, секрет-менеджмент.
Безперервний моніторинг, антифрод-правила, тестування планів реагування на інциденти.
Оцінки ризиків і DPIA для високоризикових обробок.

11) Права користувачів (суб'єктів даних)

Доступ до даних, виправлення, видалення, обмеження обробки.
Переносимість (machine-readable формат).
Заперечення проти обробки (в т.ч. на маркетинг).
Відкликання згоди без погіршення обов'язкових функцій.
Скарга до уповноваженого органу (вказати контакти регулятора щодо юрисдикції).

12) Діти та вікові обмеження

iGaming-сервіси призначені тільки для повнолітніх згідно з місцевими законами. Описати механізми верифікації віку та порядок видалення даних неповнолітніх при помилковій реєстрації.

13) Автоматизовані рішення та профілювання

Коротко описати профілювання для антифроду/ризик-скорингу/маркетингу.
Вказати, чи впливає результат на юридично значущі рішення (заморожування, запит KYC).
Передбачити право на «людський перегляд» у спірних випадках.

14) Контакти та DPO

Вказати e-mail/форму зв'язку для запитів суб'єктів, поштову адресу компанії. Якщо призначено DPO - ім'я/контакти. Терміни відповідей (наприклад, до 30 днів, з можливим продовженням, якщо допускається законом).

15) Оновлення політики

Фіксувати дату набрання чинності та ревізії.
Прозоро повідомляти про суттєві зміни (банер/лист/внутрішнє повідомлення).

16) Юрисдикційні примітки (зразкова матриця)

ЄС/ЄЕЗ (GDPR): основи, DPIA, DPA з процесорами, SCC для транскордонних передач, реєстрація інтересів, регістр обробок.
Велика Британія (UK GDPR): аналогічно, з урахуванням місцевих органів.
Бразилія (LGPD): правові підстави, омбудсмен LGPD, локальні терміни.
Каліфорнія (CCPA/CPRA): право на відмову від «продажу/обміну» даних, «Do Not Sell or Share», категорії персональних даних.
Канада (PIPEDA/провінції): згода і цільове обмеження.
Австралія (Privacy Act): APPs, транскордонні розкриття.
Додавайте локальні розділи під країни, де працюєте.

17) Практичний чек-лист перед публікацією

  • Карта даних (що, де, навіщо, як довго, хто має доступ).
  • Реєстр обробок і DPA з ключовими процесорами.
  • CMP і таблиця cookie з термінами і цілями.
  • Процедура відповідей на запити суб'єктів (SLA, шаблони листів).
  • Процедура повідомлення про інциденти (кому, коли, як).
  • Версіонування політики і журнал змін.

18) Готовий шаблон Політики (скопіюйте і адаптуйте)

Політика конфіденційності

Набуття чинності: [дата] Версія: [vX. Y]

1. Хто ми

[Повне найменування компанії], [юридична адреса], [реєстраційні дані].

Контакти: [support @домен], [поштова адреса].

2. Застосування

Ця Політика застосовується до сайту (ам) і додатків: [домени/додатки], а також до пов'язаних сервісів підтримки.

3. Дані, які ми обробляємо

Ідентифікаційні та контактні (ім'я, дата народження, e-mail, телефон, адреса).
Облікові (логін, хеш пароля, налаштування).
Платіжні/транзакційні (токени карток, історія операцій).
Технічні (IP, пристрої, логи, cookie-ID).
Антифрод/AML (поведінкові сигнали, результати перевірок у провайдерів).
Маркетингові/аналітичні (UTM, конверсії) - за наявності згоди, якщо потрібно.

4. Цілі та правові підстави

Обробляємо дані для: надання сервісу, платежів та висновків, KYC/AML, безпеки та антифроду, підтримки, аналітики, маркетингу (за згодою), дотримання закону. Підстави: виконання договору, юридичний обов'язок, законний інтерес, згода.

5. Cookie та аналогічні технології

Ми використовуємо:
  • строго необхідні (сесії, безпека),
  • функціональні (налаштування),
  • аналітичні,
  • маркетингові.
  • Керування доступне через [панель згоди/СМР-посилання]. Таблиця cookie див. у Додатку А.

6. З ким ми ділимося даними

Категорії одержувачів: KYC/AML-провайдери, платіжні організації, хостинг/CDN, антифрод і аналітика, підтримка (e-mail/SMS), аудитори, регулятори за законом. Передача - на підставі договорів і заходів безпеки.

7. Міжнародні передачі

Дані можуть оброблятися поза межами вашої країни. Ми застосовуємо правові механізми (наприклад, стандартні договірні положення) і технічні/організаційні заходи для захисту.

8. Терміни зберігання

Зберігаємо стільки, скільки необхідно для цілей і в терміни, встановлені законом (наприклад, фінансові/AML записи - не менше [X] років). Після закінчення - видалення/анонімізація.

9. Безпека

Шифрування, контроль доступів, моніторинг, сегментація, аудит, пен-тести. Незважаючи на заходи, абсолютна безпека не гарантується; ми діємо відповідно до застосовних норм повідомлення про інциденти.

10. Ваші права

Ви можете запросити доступ, виправлення, видалення, обмеження, переносимість, заперечення, а також відкликати згоду (для обробки на згоді). Контакти для запитів: [privacy @домен]. Ви також маєте право подати скаргу в [назва наглядового органу/юрисдикція].

11. Автоматизовані рішення та профілювання

Ми використовуємо автоматизовані системи для антифроду та ризик-оцінки. У разі значущого рішення ви можете запросити перегляд за участю людини.

12. Діти

Сервіс призначений для осіб [18 +] або старше згідно з місцевим правом. При виявленні аккаунта неповнолітнього - блокування і видалення даних.

13. Контакти DPO/відповідального

[DPO ПІБ/посада], e-mail: [dpo @домен], адреса: [адреса].

14. Оновлення цієї Політики

Ми періодично оновлюємо Політику. Суттєві зміни будуть доведені через сайт/повідомлення. Поточна версія завжди доступна за адресою: [посилання].

Додаток А. Таблиця cookie (приклад)

НазваТипМетаТермін життяПровайдер
_session_idСтрого необхідніСесія користувачаСеансВласні locale
_analytics_idАналітичніВимірювання трафіку/конверсій24 міс[Провайдер]
_ad_tagМаркетинговіРетаргетинг6 міс[Провайдер]

Додаток B. контрагенти (категорії)

Провайдери KYC/AML: [назва/юрисдикція/роль].
Платіжні процесори/банки: [категорії].
Хостинг/хмари/CDN: [категорії].
Маркетинг/розсилки/аналітика: [категорії].
Підтримка (тікети/SMS/e-mail): [категорії].

(Точні найменування можна розкривати в DPA/реєстрі обробок, а в Політиці - категорії.)

Додаток C. юрисдикційні доп. умови (шаблон)

ЄС/ЄЕЗ (GDPR): права, механізми передач, контакти наглядового органу: [посилання/назва].
Каліфорнія (CCPA/CPRA): посилання «Do Not Sell or Share My Personal Information», опис категорій і прав споживачів.
Бразилія (LGPD): контакт відповідального, права titulares.
Великобританія: UK GDPR и ICO.
Канада/Австралія: локальні права і контакти регуляторів.

19) Поради з підтримки актуальності

Раз на квартал звіряйте Політику з реальним дата-флоу і DPIA.
При додаванні нового провайдера/SDK оновлюйте реєстр обробок і CMP.
Логуйте та документуйте відповіді на запити суб'єктів (SLA, шаблони, метрики).
Ведіть журнал версій з коротким changelog.

Як використовувати цю статтю

1. Пройдіться по чек-листу і зберіть факти про ваші дані і потоки.
2. Скопіюйте шаблон і вставте свої реквізити/терміни/юрисдикції.
3. Узгодьте з юристом і DPO, потім опублікуйте на сайті і підключіть CMP.
4. Налаштуйте процес приймання запитів суб'єктів даних і оновлюйте Політику при змінах.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.