1. ВВЕДЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1. Политика применяется ко всем персональным данным, которые Оператор собирает и обрабатывает в рамках предоставления Услуг Платформы: регистрация аккаунта, предоставление игр, проведение платежей, маркетинговая коммуникация и выполнение регуляторных требований (KYC/AML).
1.2. Политика распространяется на данные, собираемые через веб-сайт, мобильную версию, API, электронную почту, телефонные обращения, а также посредством сторонних систем (платёжные провайдеры, провайдеры игр, аналитические сервисы и т.д.).
1.3. Использование Платформы или передача персональных данных предполагает согласие на их обработку в объёме, необходимом для целей, описанных в настоящей Политике, если иное не предусмотрено законом или соглашением сторон.
2. КОНТРОЛЁР ДАННЫХ И КОНТАКТНАЯ ИНФОРМАЦИЯ
2.1. Контролёр персональных данных:
JetTon Gaming Ltd.
Адрес: 12, Oceanview Avenue, H.N. Moroni, Anjouan, Коморские Острова
Email (общий): [email protected]
Email (защита данных / DPO): [email protected]
2.2. Уполномоченное лицо по защите данных (DPO):
В целях исполнения требований GDPR и местного законодательства Оператор назначил DPO. Контакты DPO указаны выше. Пользователи могут обращаться к DPO по вопросам обработки персональных данных и реализации прав.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Законность, справедливость и прозрачность: Обработка осуществляется на законных основаниях и предоставляет Пользователю чёткую информацию о целях обработки.
3.2. Ограничение целей: Данные собираются и используются исключительно для заранее заявленных и законных целей.
3.3. Минимизация данных: Сбираются только те данные, которые необходимы для достижения целей обработки.
3.4. Точность: Оператор обеспечивает корректность данных и предоставляет механизмы обновления.
3.5. Ограничение срока хранения: Данные хранятся не дольше, чем этого требуют цели их обработки и применимое законодательство.
3.6. Конфиденциальность и целостность: Обработка проводится с обеспечением безопасности данных и предотвращением несанкционированного доступа.
4. ЗАКОНОДАТЕЛЬНАЯ БАЗА ОБРАБОТКИ
4.1. В зависимости от целей обработки Оператор использует следующие правовые основания:
4.1.1. Исполнение договора (ст. 6(1)(b) GDPR): обработка необходима для предоставления услуг, выполнения обязательств перед Пользователем (регистрация, заключение сделки, выполнение платежей, предоставление выигрышей, обработка бонусов).
4.1.2. Соблюдение юридических обязательств (ст. 6(1)(c) GDPR): обработка требуется для соблюдения требований KYC/AML, передачи информации регуляторам и правоохранительным органам, налоговой отчётности.
4.1.3. Законный интерес (ст. 6(1)(f) GDPR): обработка в целях предотвращения мошенничества, обеспечения безопасности Платформы, аналитики и улучшения услуг — до тех пор, пока не нарушаются интересы или фундаментальные права субъектов данных.
4.1.4. Согласие субъекта данных (ст. 6(1)(a) GDPR): в отношении прямого маркетинга, использования cookies (необязательных), а также иных операций, где требуется явное согласие Пользователя.
4.1.5. Выполнение жизненно важных интересов или иные основания — где применимо в соответствии с местным правом.
5. КАТЕГОРИИ СОБИРАЕМЫХ ДАННЫХ
5.1. Персональные идентификационные данные:
— ФИО;
— дата рождения;
— пол;
— национальность;
— идентификационный номер паспорта/удостоверения;
— номер документа, дата выдачи, орган выдачи;
— фото/сканы удостоверяющих документов;
— данные контактной информации (адрес электронной почты, почтовый адрес, телефон).
5.2. Финансовая информация:
— платежные реквизиты (номер карты, банковский счёт — в зашифрованном виде или через платёжного провайдера);
— история транзакций (депозиты, выводы, вознаграждения);
— информация о провайдерах платежей и подтверждающие документы (банковские выписки, квитанции);
— данные о методе оплаты (карта, электронный кошелёк, криптокошелёк).
5.3. Техническая информация:
— IP-адреса;
— данные о браузере и устройстве (User-Agent);
— метаданные сессий;
— уникальные идентификаторы устройств;
— цифровые отпечатки (device fingerprinting), при использовании соответствующих технологий.
5.4. Игровая активность и поведенческие данные:
— история ставок;
— результаты игр;
— время активности;
— предпочтения в играх;
— данные о бонусах и участии в акциях.
5.5. Коммуникационные данные:
— журналы чата со службой поддержки;
— записи телефонных разговоров (при наличии уведомления и согласия либо в рамках правового основания, например, в целях качества обслуживания и предотвращения мошенничества);
— переписка по электронной почте.
5.6. Данные специальных категорий (в исключительных случаях):
— данные, касающиеся здоровья или уязвимости (например, информация о проблемах с зависимостью), обрабатываемые для целей защиты игрока и оказания помощи — только при явном согласии или в рамках соответствующих правовых оснований и с усиленными гарантиями.
5.7. Данные третьих лиц (например, сведения о платежах от третьих лиц) — обрабатываются только при наличии оснований и с соблюдением прав третьих лиц.
6. ЦЕЛИ ОБРАБОТКИ И ПРАВОВЫЕ ОСНОВАНИЯ
6.1. Исполнение договора и предоставление услуг:
— регистрация и управление аккаунтом;
— проведение платежей (депозит/вывод);
— предоставление доступа к играм и сервисам;
Правовая база: исполнение договора.
6.2. Соблюдение регуляторных и правовых обязательств:
— KYC/AML;
— отчётность перед регулятором и правоохранительными органами;
Правовая база: выполнение юридических обязательств.
6.3. Безопасность, предотвращение мошенничества и рисков:
— мониторинг транзакций;
— выявление подозрительной активности;
Правовая база: законный интерес Оператора и соблюдение законодательства.
6.4. Маркетинг и персонализация (при согласии):
— рассылки, персональные предложения, аналитика предпочтений;
Правовая база: согласие субъекта данных (для электронного маркетинга) или законный интерес при корректном балансе интересов (в пределах допустимого законодательства).
6.5. Аналитика и улучшение услуг:
— статистические исследования, улучшение интерфейса, A/B-тесты;
Правовая база: законный интерес.
6.6. Выполнение прав Пользователя:
— ответы на запросы, обработка жалоб, реализация прав доступа/удаления и т.д.;
Правовая база: исполнение договора и юридические обязательства.
7. РАСКРЫТИЕ ИНФОРМАЦИИ ТРЕТЬИМ ЛИЦАМ
7.1. Оператор может передавать персональные данные следующим категориям третьих лиц:
7.1.1. Платёжные провайдеры и банки — для обработки депозитов и выплат.
7.1.2. Провайдеры игр и софтверные партнёры — в объёме, необходимом для предоставления игровых услуг (например, счёт игрока, игровая активность, выигрыш).
7.1.3. Поставщики услуг KYC/ID-верификации — для проведения проверки личности.
7.1.4. Поставщики аналитических и маркетинговых сервисов — при наличии соответствующих соглашений и гарантий защиты данных.
7.1.5. Внешние юридические консультанты, аудиторы, коллекторские агентства — при необходимости в рамках правового сопровождения.
7.1.6. Регуляторы и правоохранительные органы — согласно требованиям законодательства и запросам.
7.1.7. Третьи лица в ходе корпоративных операций (слияния, приобретения) — см. раздел 15.
7.2. Передача данных сторонним обработчикам осуществляется на основании договоров об обработке персональных данных, которые содержат обязательства по обеспечению конфиденциальности, безопасности и соблюдению инструкций Оператора.
7.3. Оператор не передаёт и не продаёт персональные данные для целей сторонней монетизации без явного согласия Пользователя.
8. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ И МЕХАНИЗМЫ ЗАЩИТЫ
8.1. Учитывая международный характер платежных провайдеров и провайдеров игр, персональные данные могут передаваться и обрабатываться в странах, находящихся за пределами юрисдикции Острова Анжуан и/или Европейской экономической зоны (EEA).
8.2. В случае передачи персональных данных в страны без адекватного уровня защиты Оператор обеспечивает защиту данных посредством:
— использования стандартных договорных положений (Standard Contractual Clauses — SCCs), одобренных ЕС;
— реализации дополнительных технических и организационных мер;
— получения явного согласия субъекта данных, где это необходимо;
— использования других легитимных механизмов передачи (например, решение о соответствии, привилегии и т.д.), если они доступны.
8.3. Всякая международная передача осуществляется в строгом соответствии с применимым законодательством о защите данных.
9. ХРАНЕНИЕ ДАННЫХ, СРОКИ И КРИТЕРИИ ОПРЕДЕЛЕНИЯ СРОКОВ ХРАНЕНИЯ
9.1. Данные хранятся в течение срока, необходимого для исполнения целей, для которых они были собраны, включая выполнение договорных и регуляторных обязательств.
9.2. Примеры рекомендуемых ориентировочных сроков хранения (могут корректироваться в зависимости от юрисдикции и внутренней политики):
— KYC/AML документы и транзакционные журналы: минимум 5 лет с даты последней операции (или дольше, если требуется законом);
— данные, связанные с финансовыми операциями: согласно требованиям регуляторов/банков (обычно 5–7 лет);
— маркетинговые данные (при согласии): до отзыва согласия;
— анонимизированные или агрегированные данные для аналитики: без ограничения срока (при условии невозможности идентификации личности).
9.3. По окончании срока хранения личные данные либо удаляются, либо анонимизируются таким образом, чтобы субъекты данных не могли быть идентифицированы.
10. ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ БЕЗОПАСНОСТИ
10.1. Оператор применяет комплекс мер для защиты персональных данных от несанкционированного доступа, утраты, изменения или разглашения. Меры включают, но не ограничиваются:
— шифрование данных в состоянии покоя и при передаче (TLS/HTTPS, AES и т.д.);
— средств аутентификации и авторизации (включая многофакторную аутентификацию для сотрудников);
— разграничение доступа по ролям (RBAC);
— журналы доступа и мониторинг событий безопасности;
— регулярное тестирование на уязвимости и проведение пентестов;
— контроль поставщиков/процессоров данных и заключение соглашений об обработке;
— обучение персонала по вопросам защиты данных и политик безопасности;
— планы восстановления после инцидентов и резервное копирование.
10.2. Доступ к персональным данным ограничен сотрудниками и подрядчиками, которым эти данные необходимы для выполнения служебных обязанностей.
10.3. Для передачи платежных реквизитов используются сертифицированные платёжные провайдеры; хранение полных данных платежных карт на инфраструктуре Оператора не осуществляется без дополнительной защиты и привязки к требованиям стандартов безопасности платёжной индустрии (PCI DSS).
11. ПРАВА СУБЪЕКТОВ ДАННЫХ И ПОРЯДОК ИХ РЕАЛИЗАЦИИ
11.1. Субъекты данных имеют следующие права в отношении своих персональных данных (в объёме, предусмотренном применимым правом):
11.1.1. Право доступа: получить подтверждение факта обработки и копию данных.
11.1.2. Право на исправление: требовать исправления неточных или неполных данных.
11.1.3. Право на удаление («право быть забытым»): запрос на удаление персональных данных, если нет законных оснований для их дальнейшей обработки.
11.1.4. Право на ограничение обработки: при наличии спорного вопроса относительно точности данных или законности обработки.
11.1.5. Право на переносимость данных: в машиночитаемом формате передать данные другому контролёру (там, где это применимо).
11.1.6. Право возражать: возражать против обработки на основании законного интереса (особенно для прямого маркетинга).
11.1.7. Право отозвать согласие в любой момент: отзыв согласия не влияет на законность обработки до момента его отзыва.
11.1.8. Право подавать жалобу в надзорный орган (например, в соответствующий орган защиты данных в стране проживания или, при отношении к GDPR, в национальный орган защиты данных ЕС).
11.2. Реализация прав:
— Запрос направляется на [email protected]
или через форму на Сайте.
— Оператор подтверждает получение запроса в течение 5 рабочих дней.
— Оператор стремится ответить по существу не позднее чем через 30 календарных дней; в сложных случаях срок может быть продлён до 90 дней с уведомлением субъекта данных и указанием причин.
— Для предотвращения злоупотреблений Оператор вправе запросить документы, подтверждающие личность заявителя, прежде чем выполнить запрос.
12. АВТОМАТИЗИРОВАННЫЕ РЕШЕНИЯ И ПРОФИЛИРОВАНИЕ
12.1. Оператор может использовать автоматизированные средства анализа (включая машинное обучение) для оценки рисков, персонализации предложений, выявления мошенничества и совершенствования пользовательского опыта.
12.2. Если автоматизированное решение приводит к принятию решения, оказывающему значительное правовое или аналогичное влияние (например, блокировка аккаунта), Оператор обеспечивает:
— информирование затронутого субъекта данных о существовании автоматизированного принятия решений;
— возможность человеческого вмешательства и пересмотра решения;
— предоставление обоснований и информации о логике, значении и предполагаемых последствиях такого решения (в объёме, не нарушающем коммерческую тайну и безопасность).
13. ФАЙЛЫ COOKIE И ТЕХНОЛОГИИ ОТСЛЕЖИВАНИЯ
13.1. Оператор использует cookies и аналогичные технологии для обеспечения функциональности Сайта, аналитики и маркетинга. Типы используемых cookies:
13.1.1. Обязательные (строго необходимые) cookies — обеспечивают базовую работоспособность сайта и авторизацию. Без них часть функциональности недоступна.
13.1.2. Функциональные cookies — запоминают предпочтения пользователя (язык, настройки интерфейса).
13.1.3. Аналитические/производительные cookies — собирают агрегированные данные о посещениях и использовании для улучшения сервиса.
13.1.4. Рекламные/таргетинговые cookies — используются для показа релевантной рекламы и персонализации предложений (требуют согласия пользователя).
13.2. Управление cookie: Пользователь может изменить настройки cookie через баннер/панель управления cookie на Сайте, а также через настройки браузера (отключение/блокировка cookies), при этом некоторый функционал Сайта может быть нарушен.
13.3. Третие лица, предоставляющие аналитические и рекламные сервисы (например, провайдеры аналитики и рекламные сети), могут также устанавливать свои cookies в соответствии со своими политиками конфиденциальности.
14. ПРОЦЕДУРЫ ПРИ УТЕЧКЕ ДАННЫХ (ИНЦИДЕНТ-МЕНЕДЖМЕНТ)
14.1. Политика реагирования на инциденты включает следующие этапы:
14.1.1. Обнаружение и локализация инцидента.
14.1.2. Первичная оценка и ограничение ущерба.
14.1.3. Уведомление DPO и ответственных лиц.
14.1.4. Оценка рисков для субъектов данных и подготовка корректирующих мер.
14.1.5. Уведомление надзорного органа (в течение 72 часов при необходимости в соответствии с GDPR) и затронутых субъектов данных, если инцидент представляет высокий риск для их прав и свобод.
14.1.6. Документирование инцидента, причин и принятых мер; последующий аудит и внедрение превентивных мер.
14.2. Контакты для сообщений о подозрительных событиях/утечках: [email protected].
15. ПЕРЕДАЧА ДАННЫХ В РАМКАХ СДЕЛОК И РЕОРГАНИЗАЦИЙ
15.1. В случае слияния, приобретения или продажи части бизнеса персональные данные клиентов могут передаваться новому владельцу / правопреемнику в объёме, необходимом для продолжения предоставления услуг. В таких случаях вступает в силу новое юридическое обоснование обработки; Пользователи будут уведомлены надлежащим образом.
15.2. Если субъект данных не согласен с передачей своих данных в таком контексте, он может обратиться к DPO с требованием о реализации прав (ограничение обработки, удаление и др.), при условии, что это не противоречит обязательствам Оператора и применимому законодательству.
16. ИЗМЕНЕНИЯ ПОЛИТИКИ И УВЕДОМЛЕНИЯ
16.1. Оператор оставляет за собой право вносить изменения в настоящую Политику. В случае существенных изменений (влияющих на права и свободы субъектов данных или требующих нового согласия) Оператор оповестит Пользователей посредством всплывающих уведомлений, электронной почты и/или публикации на Сайте с указанием даты вступления изменений в силу.
16.2. Текущая редакция Политики и дата её изменения доступны на Сайте в разделе «Политика конфиденциальности».
17. КОНТАКТЫ ДЛЯ ВОПРОСОВ И ЖАЛОБ
17.1. Для реализации прав субъекта данных, подачи жалоб, запросов на доступ или удаления, обращения по вопросам защиты данных — свяжитесь с нами:
JetTon Gaming Ltd.
Адрес: 12, Oceanview Avenue, H.N. Moroni, Anjouan, Коморские Острова
Email DPO: [email protected]
Email юридического отдела: [email protected]
Служба поддержки: [email protected]
17.2. Если Вы считаете, что обработка данных нарушает требования применимого законодательства (включая GDPR), Вы также имеете право подать жалобу в соответствующий надзорный орган по защите данных в Вашей стране проживания или в орган, уполномоченный для рассмотрения соответствующих жалоб в рамках GDPR (в случае граждан ЕС).
18. ПРИЛОЖЕНИЯ: ФОРМЫ СОГЛАСИЯ И ПРИМЕРЫ ЗАПРОСОВ
18.1. Образец формы согласия на обработку персональных данных для маркетинга: (встраивается в страницу регистрации/подписки) — пользователь явно ставит галочку и подтверждает, что ознакомлен с Политикой; указывается право отзыва согласия.
18.2. Пример запроса субъекта данных:
— «Прошу предоставить копию всех персональных данных, относящихся к моему аккаунту, а также информацию о получателях данных и основаниях их передачи» — направляется на [email protected].
Дополнительные положения и заверения
— Оператор подтверждает, что при обработке персональных данных руководствуется принципами минимизации и уважения прав субъектов данных.
— В случаях, когда Пользователь предоставляет данные третьих лиц (например, данные лица, от имени которого проводится платеж), Пользователь обязуется получить согласие такого лица на передачу и обработку данных.
— Настоящая Политика носит информативный характер; в случае противоречий между положениями Политики и применимым законодательством преимущество имеет законодательство.
Контакт для оперативных вопросов: [email protected]
Юридические и регуляторные запросы: [email protected]