Политика конфиденциальности

1. ВВЕДЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1. Цель документа

1.1.1. Настоящая Политика конфиденциальности (далее — «Политика») описывает, как мы собираем, используем, раскрываем, передаем и защищаем персональные данные Пользователей и посетителей Платформы, а также права субъектов данных и способы их реализации.

1.2. Нормативно-правовая база

1.2.1. Мы руководствуемся, в зависимости от применимости, Общим регламентом ЕС о защите данных (GDPR), UK GDPR и Законом о защите данных Великобритании 2018 г., ePrivacy-директивой 2002/58/EC и ее национальными имплементациями, а также локальными законами о защите данных.
1.2.2. В части процедур ПОД/ФТ применяем риск-ориентированный подход в соответствии с рекомендациями ФАТФ и директивами ЕС по AML/CTF (четвертая, пятая, шестая AMLD), а также соответствующим местным правом.
1.2.3. В случае коллизий приоритет имеют императивные нормы применимого права.

1.3. Сфера действия

1.3.1. Политика распространяется на все персональные данные, которые мы обрабатываем в связи с регистрацией, верификацией, пользованием игровыми услугами, платежами, маркетингом, поддержкой и обеспечением безопасности Платформы.
1.3.2. Отдельные продукты/акции могут иметь дополнительные уведомления о конфиденциальности — в случае расхождения приоритет имеет более конкретное уведомление.

2. ОПРЕДЕЛЕНИЯ
2.1. Базовые термины

2.1.1. Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
2.1.2. Обработка — любая операция с персональными данными (сбор, запись, систематизация, хранение, адаптация, извлечение, использование, раскрытие, передача, блокирование, удаление и т. д.).
2.1.3. Субъект данных — физическое лицо, к которому относятся персональные данные (Пользователь/посетитель Платформы).
2.1.4. Контролер — лицо, определяющее цели и средства обработки (Riotech N.V.).
2.1.5. Процессор — лицо, обрабатывающее данные по поручению контролера (платежные провайдеры, провайдеры игр, KYC-провайдеры и т. д.).
2.1.6. ЕЭЗ — Европейская экономическая зона.
2.1.7. Специальные категории данных — данные, требующие повышенной защиты (здоровье, биометрия и т. д.). Мы их не запрашиваем, за исключением ограниченных случаев, прямо описанных в разделе 5.4.
2.1.8. Куки-файлы — небольшие файлы, сохраняемые в браузере/устройстве; дополнительные трекеры — SDK, пиксели, локальное хранилище и пр.

3. ПРИНЦИПЫ ОБРАБОТКИ ДАННЫХ
3.1. Принципы GDPR

3.1.1. Законность, справедливость и прозрачность.
3.1.2. Ограничение цели: собираем только для конкретных, явных и законных целей.
3.1.3. Минимизация данных: обрабатываем ровно столько, сколько необходимо.
3.1.4. Точность: предпринимаем шаги для актуальности и исправления.
3.1.5. Ограничение хранения: храним не дольше, чем это необходимо (см. раздел 10).
3.1.6. Целостность и конфиденциальность: применяем соответствующие технические и организационные меры (см. раздел 11).
3.1.7. Подотчетность: документируем и подтверждаем соблюдение принципов.

4. КАТЕГОРИИ СОБИРАЕМЫХ ДАННЫХ
4.1. Идентификационные данные

4.1.1. Имя, фамилия, дата рождения, гражданство, пол, язык, страна/адрес проживания, номер телефона, e-mail, идентификаторы аккаунта.
4.1.2. Документы KYC: паспорт/ID/водительское удостоверение; данные о документе (номер, серия, орган/дата выдачи, срок действия), фото-селфи, видео-верификация (при необходимости).

4.2. Финансовая информация

4.2.1. Данные о транзакциях (депозиты, ставки, выигрыши, выводы, бонусы, кэшбэк), выбранная валюта.
4.2.2. Реквизиты платежей в ограниченном объеме (tokenized/маскированные значения), статусы платежей, результаты проверок AML/санкционного скрининга.

4.3. Техническая информация

4.3.1. IP-адрес, User-Agent, тип и версия браузера, ОС/модель устройства, язык системы, часовой пояс, идентификаторы SDK/рекламы (где применимо), диагностические логи, сведения о сбоях.
4.3.2. Куки-файлы и схожие технологии (см. раздел 13).

4.4. Игровая активность и поведение

4.4.1. История входов/сессий, выбор игр и ставки, результаты розыгрышей, участие в акциях/турнирах, статусы бонусов, параметры «Ответственной игры» (лимиты, самоисключение, проверки реальности).
4.4.2. Сигналы риска (PVI/PEP/санкции/поведенческие аномалии), результаты автоматических правил фрода/бонус-абьюза.

4.5. Коммуникационные данные

4.5.1. Обращения в поддержку, переписка (чат/e-mail/телефон/соцсети), записи звонков (при наличии уведомления), жалобы/запросы субъектов данных.
4.5.2. Маркетинговые предпочтения (подписка/отписка, каналы, тематики).

4.6. Специальные категории (ограниченно)

4.6.1. Мы не собираем специальные категории данных целенаправленно. Однако ограниченные сведения о состоянии здоровья могут быть косвенно затронуты при представлении Пользователем документов/заявлений в рамках «Ответственной игры» (например, о зависимости). В таких случаях мы используем дополнительные правовые основания и меры защиты (см. 7.4 и 11).

5. ИСТОЧНИКИ ДАННЫХ
5.1. Непосредственно от субъекта

5.1.1. Через формы регистрации, кабинета, KYC, запросы поддержки, участие в акциях.

5.2. Автоматически

5.2.1. При посещении Платформы/использовании приложений — через куки/SDK/логи.

5.3. Третьи лица

5.3.1. Платежные провайдеры, провайдеры игр, KYC-агрегаторы, антифрод-сервисы, маркетинговые/аналитические платформы, аффилированные лица/партнеры, публичные реестры (санкции/PEP), открытые источники.

6. ЦЕЛИ ОБРАБОТКИ И ПРАВОВЫЕ ОСНОВАНИЯ
6.1. Исполнение договора (Art. 6(1)(b) GDPR)

6.1.1. Создание и администрирование аккаунта, предоставление доступа к играм и сервисам, обработка платежей, начисление и отыгрыш бонусов, участие в турнирах, предоставление поддержки.

6.2. Юридические обязательства (Art. 6(1)(c) GDPR)

6.2.1. Соблюдение требований ПОД/ФТ/KYC, санкционного скрининга, налогового/финансового учета, ведение логов операций, ответы на запросы регуляторов/правоохранительных органов.

6.3. Легитимные интересы (Art. 6(1)(f) GDPR)

6.3.1. Обеспечение безопасности Платформы, предотвращение фрода/злоупотреблений бонусами, защита прав/имущества, внутренняя аналитика продукта, улучшение качества сервиса, персонализация неинвазивного контента.
6.3.2. Маркетинг для существующих клиентов через e-mail/SMS/пуш (в пределах ePrivacy и прав на отказ), измерение эффективности кампаний.

6.4. Согласие (Art. 6(1)(a) GDPR)

6.4.1. Рассылки и реклама, требующие отдельного согласия; использование non-essential cookies/SDK; публикация отзывов/кейсов; обработка отдельных категорий данных для «Ответственной игры», если применимо.
6.4.2. Согласие может быть отозвано в любой момент (см. 12.6) без влияния на законность предшествующей обработки.

6.5. Защита жизненно важных интересов/общественный интерес (Art. 6(1)(d)/(e) GDPR)

6.5.1. Исключительные случаи — предотвращение тяжкого вреда, исполнение законных поручений.

7. ПРОФИЛИРОВАНИЕ И АВТОМАТИЗИРОВАННЫЕ РЕШЕНИЯ
7.1. Антифрод и AML/KYC

7.1.1. Мы используем автоматические правила и скоринг для выявления необычной активности, мультиаккаунтов, коллюзии, «каруселей» депозит/вывод, бонус-абьюза. Решения могут влиять на доступ к услугам, выплаты и требовать дополнительной проверки.

7.2. Персонализация

7.2.1. Неприменяющиеся к правам/свободам низкорисковые профили — рекомендации игр, сегментация аудитории для ненавязчивых предложений.

7.3. Право на оспаривание

7.3.1. При наличии юридически значимого автоматизированного решения вы вправе запросить вмешательство человека, выразить свою точку зрения и оспорить решение (см. 12.7).

7.4. Данные о «Ответственной игре»

7.4.1. Лимиты, самоисключение, тесты самооценки — могут учитываться в профилях для предотвращения вреда. При наличии чувствительных сведений — используется повышенная защита и, где необходимо, согласие.

8. РАСКРЫТИЕ ИНФОРМАЦИИ ТРЕТЬИМ ЛИЦАМ
8.1. Процессоры (по договорам обработки)

8.1.1. Платежные процессоры/банки; провайдеры игр/агрегаторы; KYC/AML-провайдеры; антифрод/санкционный скрининг; хостинг/CDN; аналитические и маркетинговые платформы; контакт-центры.

8.2. Совместные контролеры/независимые контролеры

8.2.1. Отдельные провайдеры игр/платежей могут выступать самостоятельными контролерами (или совместными). Информация о ролях и ключевых условиях доступна в реестре процессоров/совместных контролеров.

8.3. Регуляторы и правоохранительные органы

8.3.1. По закону/регуляторным требованиям предоставляем доступ к данным, включая логи транзакций/игровой активности, результаты проверок AML/KYC, при наличии надлежащей правовой основы.

8.4. Аффилированные компании/корпоративные события

8.4.1. Передача в рамках группы/реструктуризации при соблюдении эквивалентной защиты и законных оснований.

8.5. Маркетинговые партнеры/аффилиаты

8.5.1. Передаем ограниченные данные атрибуции (ID клика/реферала, конверсии) для расчета комиссий и аналитики; персональные данные не передаются без законного основания/согласия.

9. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ
9.1. Правовые механизмы

9.1.1. При передаче из ЕЭЗ/Великобритании в страны без адекватной защиты используем Стандартные договорные условия (EU SCCs/UK IDTA/UK Addendum), дополнительные меры (шифрование/псевдонимизация), DPIA/TIA, а также, при необходимости,Art. 49 GDPR (исключения) в строго ограниченных случаях.
9.1.2. Хранение и обработка могут осуществляться на серверах/через провайдеров в различных юрисдикциях при условии эквивалентного уровня защиты.

9.2. Категории получателей и страны

9.2.1. Перечень ключевых поставщиков и их местонахождение (ЕС/ЕЭЗ/Великобритания/США/иные) публикуется и обновляется в реестре процессоров на Платформе.

10. СРОКИ ХРАНЕНИЯ
10.1. Общие сроки

10.1.1. Храним данные ровно столько, сколько необходимо для целей, ради которых они были собраны, и для соблюдения правовых обязанностей.
10.1.2. Типичные сроки:
a) Аккаунт/игровая история — срок действия договора + до 5–10 лет для выполнения обязанностей по финансовому/налоговому/AML-учету (конкретный срок зависит от применимого права).
b) KYC/AML-документы — минимум 5 лет после окончания отношений (в ряде юрисдикций — дольше).
c) Логи безопасности — 6–24 месяца (по внутренней политике и законным интересам).
d) Маркетинговые предпочтения — до отзыва согласия/возражения.
e) Записи звонков/чаты — 1–3 года (в зависимости от целей качества/доказательств).

10.2. Критерии

10.2.1. Учитываем требования регуляторов, сроки исковой давности, необходимость защиты прав, наличие активных споров/проверок.

11. БЕЗОПАСНОСТЬ ДАННЫХ (TOMs)
11.1. Технические меры

11.1.1. Шифрование данных в транзите (TLS) и, где применимо, в покое; сегментация сетей; WAF/IDS/IPS; контроль уязвимостей/пентесты; MFA и принцип наименьших привилегий; мониторинг событий (SIEM), бэкапы и планы DR/BCP.
11.1.2. Псевдонимизация/хэширование чувствительных атрибутов, токенизация платежных идентификаторов.

11.2. Организационные меры

11.2.1. Политики доступа, обучения персонала по защите данных и ПОД/ФТ, NDA, аудит поставщиков (due-diligence/DPA/SCCs), процедуры управления инцидентами, DPIA для высокорисковых обработок.

11.3. Сертификации/стандарты (при наличии)

11.3.1. Мы можем опираться на отраслевые стандарты/сертификации наших провайдеров (например, ISO 27001, PCI-DSS у платежных партнеров), неся ответственность за выбор и надлежащую правовую основу сотрудничества.

12. ПРАВА СУБЪЕКТОВ ДАННЫХ
12.1. Право доступа (Art. 15)

12.1.1. Получение подтверждения факта обработки, копии данных и информации о способах/целях/категориях/получателях/сроках.

12.2. Право на исправление (Art. 16)

12.2.1. Внесение корректировок в неточные/устаревшие данные.

12.3. Право на удаление (Art. 17)

12.3.1. «Право быть забытым» при выполнении условий (например, отсутствуют законные основания для хранения); исключения: соблюдение закона, установление/осуществление/защита правовых требований, AML-обязанности.

12.4. Право на ограничение (Art. 18)

12.4.1. Временная приостановка обработки при обжаловании точности/законности или для защиты интересов субъекта.

12.5. Право на переносимость (Art. 20)

12.5.1. Получение данных в структурированном, машиночитаемом формате и/или их передача другому контролеру (в пределах применимости).

12.6. Право на возражение (Art. 21)

12.6.1. Против обработки на основании легитимного интереса и против маркетинга (включая профилирование для маркетинга) — мы прекратим, если не докажем приоритетность убедительных законных оснований.
12.6.2. Отзыв согласия — не влияет на прошлую законную обработку.

12.7. Права в отношении автоматизированных решений (Art. 22)

12.7.1. Право на человеческое вмешательство, выражение точки зрения и оспаривание решений.

12.8. Как реализовать права

12.8.1. Направьте запрос на [email protected] или через форму в кабинете. Мы ответим без необоснованной задержки, как правило в течение 30 дней (может быть продлено на 2 месяца при сложности/множественности запросов).
12.8.2. Мы можем запросить подтверждение личности (KYC-контроль для защиты данных).

12.9. Жалобы в надзорный орган

12.9.1. Субъекты данных в ЕЭЗ/Великобритании вправе подать жалобу в местный орган по защите данных. Реквизиты соответствующего органа доступны на сайте Европейского совета по защите данных/ICO.

13. КУКИ-ФАЙЛЫ И ТЕХНОЛОГИИ ОТСЛЕЖИВАНИЯ
13.1. Типы куки

13.1.1. Строго необходимые — обеспечение входа/безопасности/биллинга (без них сервис не работает).
13.1.2. Функциональные — запоминают настройки/предпочтения.
13.1.3. Аналитические — статистика использования, улучшение продукта.
13.1.4. Маркетинговые/таргетинг — персонализированная реклама/ограничение частоты показов.
13.1.5. SDK/пиксели в приложениях — аналогичные функции.

13.2. Правовая основа

13.2.1. Строго необходимые — легитимный интерес/необходимость для услуги.
13.2.2. Прочие — только на основании согласия (баннер согласия/панель настроек).

13.3. Управление

13.3.1. Изменить предпочтения можно через баннер/панель или настройки браузера/устройства. Отказ от non-essential куки не влияет на строго необходимые функции, но может ограничить персонализацию.

14. ДЕТИ И ЛИЦА МЛАДШЕ МИНИМАЛЬНОГО ВОЗРАСТА
14.1. Возрастные ограничения

14.1.1. Платформа предназначена только для совершеннолетних согласно закону страны проживания (обычно 18+/21+). Мы не собираем данные детей сознательно.
14.1.2. При выявлении несовершеннолетнего аккаунт блокируется, данные удаляются/анонимизируются по закону, транзакции аннулируются, регулятор уведомляется при необходимости.

15. МАРКЕТИНГ И КОММУНИКАЦИИ
15.1. Подписки

15.1.1. Электронные рассылки, SMS, пуш — на основе согласия или ePrivacy-исключений для существующих клиентов (soft opt-in).
15.1.2. Каждый канал содержит простой механизм отказа (unsubscribe/настройки профиля).

15.2. Партнерский маркетинг

15.2.1. В рамках атрибуции передаются только технические идентификаторы (клики/переходы/конверсии). Персональные данные для стороннего маркетинга — только с согласия/законного основания.

16. СОТРУДНИЧЕСТВО С ТРЕТЬИМИ ЛИЦАМИ И ССЫЛКИ
16.1. Сторонние сайты/приложения

16.1.1. Мы не контролируем практики конфиденциальности сторонних ресурсов, на которые ведут ссылки. Проверяйте их политики отдельно.

17. ПРОЦЕДУРЫ ПРИ ИНЦИДЕНТАХ (DATA BREACH)
17.1. Обнаружение и оценка

17.1.1. Используем процессы мониторинга/оповещения. Оцениваем масштаб, тип данных, риски для прав и свобод субъектов.

17.2. Уведомления

17.2.1. Если инцидент подпадает под ст. 33 GDPR, уведомим надзорный орган не позднее 72 часов после обнаружения.
17.2.2. Если существует высокий риск для прав и свобод, уведомим субъектов данных без необоснованной задержки (ст. 34 GDPR) доступным способом (e-mail/баннер/уведомление в аккаунте).

17.3. Документирование

17.3.1. Ведем реестр инцидентов, принятых мер и уроков (lessons learned).

18. ДОГОВОРЫ С ПРОЦЕССОРАМИ И ОЦЕНКА РИСКОВ
18.1. DPA и due-diligence

18.1.1. Заключаем договоры обработки (DPA) со всеми процессорами, включая условия конфиденциальности, безопасность, под-процессоры, помощь в обеспечении прав субъектов данных, уведомления об инцидентах, аудит.
18.1.2. Оцениваем риски поставщиков (TIA/DPIA при необходимости).

19. ОТВЕТСТВЕННАЯ ИГРА И КОНФИДЕНЦИАЛЬНОСТЬ
19.1. Инструменты контроля

19.1.1. Лимиты депозитов/проигрышей, тайм-ауты, самоисключение — требуют обработки соответствующих настроек и статусов.
19.1.2. Материалы самооценки и обращения за помощью — обрабатываются конфиденциально, доступны ограниченному персоналу по принципу необходимости.

20. СОВМЕСТИМОСТЬ С ПОД/ФТ И KYC
20.1. Минимизация и законность

20.1.1. Объем данных KYC/AML ограничивается тем, что требуется регуляторами/законами и нашими риск-оценками.
20.1.2. Результаты проверок и санкционного скрининга хранятся согласно срокам из раздела 10.

21. МЕЖДУНАРОДНЫЕ ПОЛЬЗОВАТЕЛИ
21.1. Конфликты норм

21.1.1. Если локальный закон субъекта данных предоставляет более высокий уровень защиты, мы его соблюдаем в пределах применимости. Возможны локальные приложения/дополнения к настоящей Политике.

22. ИЗМЕНЕНИЯ ПОЛИТИКИ
22.1. Порядок обновления

22.1.1. Мы можем обновлять Политику для отражения изменений законодательства/практик. Существенные изменения — с уведомлением на Платформе и/или e-mail до вступления в силу, если требуется.
22.1.2. Дата последнего обновления указана в начале документа. История версий доступна по запросу/в соответствующем разделе.

23. КОНТАКТЫ И ОБРАЩЕНИЯ
23.1. Как связаться

23.1.1. По вопросам конфиденциальности и реализации прав: [email protected].
23.1.2. DPO (если назначен): [email protected].
23.1.3. Жалобы в надзорный орган: см. раздел 12.9.

24. ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ ДЛЯ СУБЪЕКТОВ ДАННЫХ ЕЭЗ/ВЕЛИКОБРИТАНИИ
24.1. Правовые основания по категориям

24.1.1. Регистрация/аккаунт/игры — договор.
24.1.2. KYC/AML/санкции — юридическая обязанность/общественный интерес в предотвращении финансовых преступлений.
24.1.3. Безопасность/антифрод — легитимный интерес.
24.1.4. Маркетинг/аналитика cookie — согласие (если требуется).
24.1.5. Ответственная игра — легитимный интерес/согласие (для чувствительных случаев).

24.2. Обязательность предоставления

24.2.1. Непредоставление обязательных данных (например, KYC) делает невозможным предоставление услуг и/или проведение выплат.

24.3. Автоматизированные решения

24.3.1. Описаны в разделе 7; механизм обжалования — раздел 12.7.

25. ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ ДЛЯ ПРОЧИХ ЮРИСДИКЦИЙ
25.1. Локальные оговорки

25.1.1. Там, где необходимы локальные уведомления (например, Канада, Латинская Америка, Азия), мы предоставляем их в отдельных приложениях/разделах Платформы.

26. РЕЕСТР ОПЕРАЦИЙ ОБРАБОТКИ (Art. 30 GDPR)
26.1. Назначение

26.1.1. Мы ведем внутренний реестр операций, включающий цели, категории субъектов/данных, получателей, передачи в третьи страны, сроки хранения, TOMs и основания.

27. СОВМЕСТИМОСТЬ С ПРАВИЛАМИ ePRIVACY
27.1. Коммуникации и директ-маркетинг

27.1.1. Соблюдаем режим opt-in/soft opt-in и право на отказ в любое время; ведем журнал согласий/отказов.

28. ПРИЛОЖЕНИЯ (ИНФОРМАТИВНО)
28.1. Категории процессоров и типовые DPA-условия

28.1.1. Перечень (пример):
a) Платежные PSP (эквайринг/отслеживание мошенничества/токенизация).
b) KYC/AML-агрегаторы (документы, биометрия, PEP/санкции).
c) Провайдеры игр/контента.
d) Хостинг/CDN/резервирование/мониторинг.
e) Аналитика/маркетинг/рассылки.
f) Support-платформы/телефония/записи звонков.

28.2. Регистры санкций/PEP (как источники)

28.2.1. ООН/ЕС/OFAC, государственные/коммерческие агрегаторы — для скрининга, где правомерно.

29. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
29.1. Язык и приоритет версий

29.1.1. Рабочая версия Политики — русская; при наличии официальной англоязычной версии приоритет может быть за ней, если прямо указано на Платформе.

29.2. Применимое право

29.2.1. Материальное право Кюрасао — в части статуса контролера, при этом для субъектов ЕЭЗ/Великобритании применяются соответствующие нормы GDPR/UK GDPR, ePrivacy и местные законы.