1. ВВЕДЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1. Назначение Политики
Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, обработки, хранения и защиты персональных данных, предоставляемых Пользователями онлайн-казино Play Fortuna, управляемого компанией Globonet B.V. (далее — «Оператор»).
Политика разработана в соответствии с международными нормами:
- GDPR (Регламент ЕС 2016/679)
- ePrivacy Directive (2002/58/EC)
- ISO/IEC 27001:2022
- Кюрасао Gaming License Requirements и устанавливает правовые основания, цели обработки и права субъектов данных.
1.2. Область применения
Политика применяется ко всем Пользователям Платформы, включая:
- сайт Play Fortuna;
- мобильное приложение;
- мобильную версию сайта;
- связанные маркетинговые сервисы;
- платежные сервисы, используемые для депозитов и выводов средств.
1.3. Контролёр данных
Контакт для вопросов по защите данных: dpo@playfortuna.support
1.4. Принципы обработки данных
Оператор руководствуется следующими принципами GDPR (ст. 5):
- Законность, прозрачность, справедливость
- Ограничение цели
- Минимизация данных
- Точность данных
- Ограничение хранения
- Целостность и конфиденциальность
1.5. Законодательная база
Оператор соблюдает:
- GDPR
- AMLD5 / AMLD6
- FATF Recommendations
- Curaçao Gaming Regulations
2. КАТЕГОРИИ СОБИРАЕМЫХ ДАННЫХ
2.1. Персональные идентификационные данные
Сюда включаются:
- имя, фамилия;
- дата рождения;
- гражданство;
- адрес проживания;
- идентификационные документы (паспорт, ID-карта, водительские права);
- селфи и биометрические данные (при видео-верификации);
- данные о возрасте.
2.2. Финансовая информация
Для целей AML/KYC:
- данные банковских карт (только часть номера и exp-date);
- информация о транзакциях;
- данные электронных кошельков;
- подтверждение источника средств;
- история депозитов и выводов.
2.3. Техническая информация
Собирается автоматически:
- IP-адрес;
- MAC-адрес;
- данные устройства (OS, браузер, модель);
- лог-файлы;
- cookies;
- device fingerprint;
- геолокация (город / страна).
2.4. Данные игровой активности
- история ставок;
- результаты игр;
- использованные бонусы;
- данные о поведении в казино;
- риск-профиль для AML/Responsible Gaming.
2.5. Коммуникационные данные
- обращения в службу поддержки;
- электронная переписка;
- записи звонков (при наличии телефонной поддержки);
- сообщения в чате.
3. ЦЕЛИ ОБРАБОТКИ И ПРАВОВЫЕ ОСНОВАНИЯ
3.1. Исполнение договора (Art. 6(1)(b) GDPR)
Включает:
- регистрацию акканута;
- обеспечение доступа к играм;
- обработку платежей;
- управление бонусами;
- участие в акциях.
3.2. Соблюдение законодательных требований (Art. 6(1)(c))
Требования:
- AML/CFT (Anti-Money Laundering & Counter-Financing of Terrorism);
- KYC (Know Your Customer);
- обязательства по борьбе с мошенничеством;
- налоговая отчётность.
3.3. Легитимные интересы Оператора (Art. 6(1)(f))
Включают:
- предотвращение мошенничества;
- анализ пользовательской активности;
- обеспечение безопасности;
- улучшение качества услуг.
3.4. Согласие субъекта данных (Art. 6(1)(a))
Требуется для:
- маркетинговых рассылок;
- push-уведомлений;
- персонализированной рекламы;
- использования Cookie-файлов (кроме необходимых).
4. РАСКРЫТИЕ ИНФОРМАЦИИ ТРЕТЬИМ ЛИЦАМ
4.1. Процессоры платежей
Данные могут быть переданы:
- Visa / Mastercard;
- Skrill, Neteller, ecoPayz;
- крипто-обработчикам;
- банкам-эмитентам.
Третьи лица действуют на основании договора Data Processing Agreement (Art. 28 GDPR).
4.2. Регуляторные органы
Оператор обязан предоставлять данные:
- Gaming Control Board Curaçao;
- финансовому мониторингу;
- налоговым органам.
4.3. Провайдеры игр
Игровые провайдеры могут получать:
- уникальные ID игрока;
- историю ставок (обезличенно).
4.4. Маркетинговые партнёры
Информация может передаваться при наличии согласия Пользователя.
4.5. Правоохранительные органы
Передача возможна только по законным основаниям и официальному запросу.
5. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ
5.1. Механизмы защиты
При передаче данных в третьи страны используются:
- Standard Contractual Clauses (SCC);
- Binding Corporate Rules (BCR);
- дополнительные меры шифрования (GDPR Recital 108).
5.2. Страны-получатели
Персональные данные могут передаваться в:
- Нидерланды;
- Кюрасао;
- США (только при наличии SCC);
- страны ЕС и ЕЭЗ.
6. ХРАНЕНИЕ И БЕЗОПАСНОСТЬ ДАННЫХ
6.1. Сроки хранения
- Данные KYC — 5 лет согласно AMLD5.
- Данные транзакций — 5 лет.
- Маркетинговые данные — пока действует согласие.
- Игровая история — в соответствии с лицензионными требованиями.
6.2. Технические и организационные меры
Оператор применяет:
- шифрование AES-256;
- SSL/TLS 1.3;
- сегментацию данных;
- контроль доступа;
- журналирование действий;
- мультифакторную аутентификацию (MFA);
- периодический аудит безопасности.
6.3. Процедуры при утечке данных
В соответствии с Art. 33 GDPR:
- Уведомление DPA в течение 72 часов.
- Уведомление затронутых пользователей.
- Анализ причин инцидента.
- Принятие корректирующих мер.
7. ПРАВА СУБЪЕКТОВ ДАННЫХ
7.1. Право доступа (Art. 15 GDPR)
Пользователь может запросить:
- копию всех данных;
- цели и основания обработки.
7.2. Право на исправление (Art. 16)
Пользователь может исправить неточные данные.
7.3. Право на удаление (Art. 17)
Не применяется в случаях:
- AML-требований;
- финансового аудита;
- расследований мошенничества.
7.4. Право на ограничение обработки
В случаях:
- оспаривания точности данных;
- незаконной обработки.
7.5. Право на переносимость данных (Art. 20)
Предоставляется в структурированном, машиночитаемом формате.
7.6. Право на возражение (Art. 21)
Применяется к маркетинговой обработке.
8. КУКИ-ФАЙЛЫ И ТЕХНОЛОГИИ ОТСЛЕЖИВАНИЯ
8.1. Типы куки
Строго необходимые (не требуют согласия)
- Аналитические
- Маркетинговые
- Функциональные
8.2. Управление настройками
Пользователь может:
- отключить cookies в браузере;
- изменить настройки в Cookie Banner;
- отозвать согласие в любой момент.