1. ВВЕДЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1. Назначение документа
1.1.1. Настоящая Политика конфиденциальности (далее — «Политика») описывает методы сбора, обработки, хранения, передачи и защиты персональных данных Пользователей онлайн-казино Riobet (далее — «Платформа»), управляемого Riotech N.V. (далее — «Оператор», «Контролёр данных»).
1.1.2. Политика составлена в соответствии с требованиями:
— Общего регламента ЕС по защите данных (GDPR 2016/679);
— Директивы 2002/58/EC (ePrivacy Directive);
— Рекомендаций Европейского совета по защите данных (EDPB);
— Curaçao eGaming Privacy & Data Handling Standards;
— международной практики Compliant Data Protection for iGaming Sector.
1.2. Сфера применения
1.2.1. Политика применяется ко всем лицам, использующим Платформу, включая:
— зарегистрированных Пользователей;
— посетителей сайта;
— лиц, взаимодействующих со службой поддержки;
— участников партнёрских и бонусных программ.
1.2.2. Политика не распространяется на сайты третьих лиц, ссылки на которые могут присутствовать на Платформе.
1.3. Контролёр данных
1.3.1. Контролёром персональных данных является:
Riotech N.V.
Юрисдикция: Нидерландские Антильские острова
Лицензионный надзор: Curaçao eGaming
1.3.2. Контакт для запросов по защите данных:
dpo@riobet.com
(Data Protection Officer)
1.4. Принципы обработки данных
Обработка данных осуществляется на основе следующих принципов GDPR:
1.4.1. Законность, справедливость и прозрачность — сбор данных осуществляется открыто и понятно.
1.4.2. Ограничение цели — данные используются только для целей, описанных в настоящей Политике.
1.4.3. Минимизация данных — Оператор собирает только необходимые данные.
1.4.4. Точность и актуальность — данные обновляются по мере необходимости.
1.4.5. Ограничение хранения — данные хранятся лишь в течение периода, необходимого для выполнения обязательств.
1.4.6. Целостность и конфиденциальность — применяются технические и организационные меры защиты.
1.5. Законодательная база обработки
Обработка данных осуществляется на основании:
— GDPR (ст. 6, 7, 13–22, 30–32, 44–50);
— AMLD4/AMLD5 (европейские стандарты финансового мониторинга);
— Curaçao AML Compliance Framework;
— национального законодательства о защите данных в юрисдикциях проживания Пользователя.
2. КАТЕГОРИИ СОБИРАЕМЫХ ДАННЫХ
2.1. Персональные идентификационные данные
2.1.1. Полное имя.
2.1.2. Дата рождения.
2.1.3. Гражданство.
2.1.4. Адрес проживания.
2.1.5. Документы для KYC (паспорт, ID-card, водительские права).
2.1.6. Фотографии/селфи при верификации.
2.2. Финансовая информация
2.2.1. Данные о методах оплаты (частично маскированные).
2.2.2. История депозитов и выводов.
2.2.3. Источник средств (в рамках AML проверки).
2.2.4. Статус транзакций.
2.3. Технические данные
2.3.1. IP-адреса и геолокация.
2.3.2. Уникальные идентификаторы устройства.
2.3.3. Информация о браузере, ОС, модели устройства.
2.3.4. Логи активности.
2.3.5. Cookies и tracking-файлы.
2.3.6. Fingerprinting-параметры при борьбе с мошенничеством.
2.4. Данные игровой активности
2.4.1. История ставок.
2.4.2. Результаты игр и сессий.
2.4.3. Отчёты о выигрышах/проигрышах.
2.4.4. Паттерны игровой активности.
2.5. Коммуникационные данные
2.5.1. История обращений в службу поддержки.
2.5.2. Записи чатов и звонков.
2.5.3. Электронная почта и уведомления.
2.5.4. Подписки на рассылки.
2.6. Маркетинговые данные
2.6.1. Предпочтения пользователя.
2.6.2. Поведенческие сегменты.
2.6.3. Участие в бонусных и партнёрских программах.
3. ЦЕЛИ ОБРАБОТКИ ДАННЫХ И ПРАВОВЫЕ ОСНОВАНИЯ
3.1. Исполнение договора
Ст. 6(1)(b) GDPR.
Оператор обрабатывает данные для:
3.1.1. Регистрации и управления аккаунтом.
3.1.2. Предоставления доступа к играм.
3.1.3. Проведения транзакций.
3.1.4. Выплаты выигрышей.
3.1.5. Предоставления технической поддержки.
3.2. Соблюдение законодательных требований
Ст. 6(1)(c) GDPR и международные нормы AML/CFT.
3.2.1. KYC-процедуры.
3.2.2. AML/CTF мониторинг.
3.2.3. Хранение финансовых данных.
3.2.4. Подготовка отчётности для регуляторов.
3.3. Легитимные интересы Оператора
Ст. 6(1)(f) GDPR.
3.3.1. Улучшение качества сервиса.
3.3.2. Предотвращение мошенничества.
3.3.3. Поддержание безопасности Платформы.
3.3.4. Персонализация предложений.
3.3.5. Юридическая защита интересов Оператора.
3.4. Согласие Пользователя
Ст. 6(1)(a) GDPR.
Используется для:
3.4.1. Маркетинговых рассылок.
3.4.2. Cookie-технологий.
3.4.3. Участия в исследованиях удовлетворённости.
3.4.4. Получения персонализированной рекламы.
Пользователь вправе в любой момент отозвать согласие.
4. РАСКРЫТИЕ ИНФОРМАЦИИ ТРЕТЬИМ ЛИЦАМ
4.1. Категории получателей
4.1.1. Платёжные процессоры — банкинг, e-wallets, криптопровайдеры.
4.1.2. Игровые провайдеры — поставщики контента (Pragmatic Play, NetEnt, BGaming и др.).
4.1.3. Службы AML/KYC — поставщики верификации.
4.1.4. Маркетинговые партнёры — при явном согласии Пользователя.
4.1.5. Регуляторные органы — в пределах юридических обязанностей.
4.1.6. Правоохранительные органы — по решению суда или законному запросу.
4.2. Ограничение и основания раскрытия
4.2.1. Раскрытие происходит только при наличии правового основания.
4.2.2. Оператор требует от третьих лиц соблюдения стандартов безопасности данных.
4.2.3. Передача данных осуществляется по договорам Data Processing Agreements (DPA).
5. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ
5.1. Механизмы защиты
5.1.1. Передача данных за пределы ЕЭЗ осуществляется согласно ст. 46–49 GDPR.
5.1.2. Используются механизмы:
— Standard Contractual Clauses (SCC);
— эквивалентные правовые гарантии;
— технические меры (шифрование, токенизация).
5.2. Третьи страны-получатели
Данные могут быть переданы в:
— Кюрасао;
— США (только при наличных договорах SCC);
— страны, где расположены игровые провайдеры.
5.3. Принципы минимизации
Передаются только данные, необходимые для выполнения обязательств.
6. ХРАНЕНИЕ И БЕЗОПАСНОСТЬ ДАННЫХ
6.1. Сроки хранения
6.1.1. KYC/AML документы — не менее 5 лет после закрытия аккаунта.
6.1.2. Транзакции — 10 лет в рамках финансового контроля.
6.1.3. Игровая активность — не менее 5 лет.
6.1.4. Коммуникации — до 3 лет.
6.1.5. Маркетинговые данные — до отзыва согласия.
6.2. Технические и организационные меры
6.2.1. Шифрование данных (AES-256, TLS 1.3).
6.2.2. Token-based access.
6.2.3. DDoS-защита.
6.2.4. Разделение баз данных.
6.2.5. Логи аудита.
6.2.6. Политики доступа Zero Trust.
6.3. Процедуры при утечке данных
6.3.1. Инцидент классифицируется и расследуется в течение 72 часов.
6.3.2. Пользователи уведомляются при угрозе их прав.
6.3.3. Оператор сообщает регулятору согласно ст. 33 GDPR.
7. ПРАВА СУБЪЕКТОВ ДАННЫХ
Права регулируются ст. 15–22 GDPR.
7.1. Право доступа
Пользователь вправе запросить копию всех персональных данных.
7.2. Право на исправление
Пользователь может исправить неточные данные.
7.3. Право на удаление
Применяется при:
— отзыве согласия;
— отсутствии необходимости дальнейшей обработки;
— незаконной обработке.
7.4. Право на ограничение обработки
7.4.1. Временно приостановить обработку можно при оспаривании точности данных.
7.5. Право на переносимость данных
7.5.1. Данные предоставляются в машиночитаемом формате.
7.6. Право на возражение
7.6.1. Пользователь может запретить использование данных для маркетинга.
8. КУКИ-ФАЙЛЫ И ТЕХНОЛОГИИ ОТСЛЕЖИВАНИЯ
8.1. Типы используемых cookies
8.1.1. Строго необходимые — авторизация, безопасность.
8.1.2. Функциональные — сохранение предпочтений.
8.1.3. Аналитические — оценка статистики.
8.1.4. Маркетинговые — персонализированная реклама.
8.1.5. Anti-fraud cookies — предотвращение мошенничества.
8.2. Управление файлами cookies
Пользователь может:
— отключить cookies в браузере;
— изменить настройки на странице «Cookie Preferences»;
— отозвать согласие в любой момент.
8.3. Последствия отключения cookies
Некоторые функции Платформы могут работать некорректно.
9. ДОПОЛНИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Обновления Политики
9.1.1. Оператор может изменять Политику при необходимости.
9.1.2. Новая версия вступает в силу после публикации.
9.1.3. Пользователь обязан самостоятельно отслеживать изменения.
9.2. Связь по вопросам защиты данных
Запросы направлять:
dpo@riobet.com
9.3. Юрисдикция и применимое право
9.3.1. Споры рассматриваются в рамках законодательства Кюрасао.
9.3.2. Приоритет имеет английская версия документа.