यूरोपीय संघ डेटा सुरक्षा कानून (GDPR) और ग्राहक गोपनीयता

1) मुख्य बात के बारे में संक्षेप में

GDPR व्यक्तिगत डेटा की सुरक्षा पर यूरोपीय संघ का मूल कानून है। यह किसी पर भी लागू होता है:

यूरोपीय संघ/ईईए के लोगों के डेटा को प्रक्रिया करता है, भले ही ऑपरेटर यूरोपीय संघ के बाहर हो;
उन्हें सेवाएं प्रदान करता है (ऑनलाइन कैसिनो सहित) या उनके व्यवहार की निगरानी करता है।

उल्लंघन के लिए - वैश्विक कारोबार का 20 मिलियन - या 4% तक का जुर्माना (जो अधिक है), प्रसंस्करण और प्रतिष्ठित नुकसान पर प्रतिबंध लगाता है।

2) प्रमुख सिद्धांत (आर्ट। 5 GDPR)

1. वैधता, निष्पक्षता, पारदर्शिता। समझने योग्य नीतियां, ईमानदार सूचनाएं।

2. लक्ष्य सीमा। केवल घोषित कार्यों (केवाईसी/एएमएल, जिम्मेदार जुआ, भुगतान, समर्थन, एनालिटिक्स, आदि) के लिए डेटा का उपयोग करें।

3. न्यूनतम करना। केवल वही इकट्ठा करें जो आपको आवश्यक है (उदाहरण के लिए, "कार्ड के साथ सेल्फी" स्टोर न करें यदि पर्याप्त है - और एक बैंक स्टेटमेंट)।

4. सटीकता। पता/दस्तावेज अद्यतन करें, डुप्लिकेट से बचें।

5. भंडारण प्रतिबंध। स्पष्ट प्रतिधारण अवधि (आमतौर पर वित्तीय दस्तावेजों के लिए 5-7 वर कम - से - कम टेलीमेट्री के लिए)।

6. अखंडता और गोपनीयता। एनक्रिप्शन, एक्सेस कंट्रोल, लॉगिंग।

7. जवाबदेही। अनुपालन साबित करें (नीतियां, डीपीआईए, प्रसंस्करण रिकॉर्ड)।

3) प्रसंस्करण के कानूनी आधार (आर्ट 6) - कैसीनो के अनुरूप क्या है

कानूनी दायित्व: केवाईसी/एएमएल/प्रतिबंधों की जांच, राजकोषीय रिपोर्टिंग, भुगतान लॉगिंग।

अनुबंध: खेल खाते का निर्माण और रखरखाव, पुनर्पूर्ति/वापसी, समर्थन।

वैध हित: धोखाधड़ी-विरोधी, सुरक्षा, बुनियादी उत्पाद एनालिटिक्स, जिम्मेदार जुआ संकेत (यदि स्थानीय नियमों के विपरीत नहीं)।

सहमति: ई-मेल/एसएमएस विपणन, विज्ञापन के लिए कुकीज़, गैर-मानक प्रोफाइलिंग।

महत्वपूर्ण हित/सार्वजनिक कार्य: दुर्लभ, इंगित।

💡 विशेष श्रेणियां (स्वास्थ्य, धर्म, आदि) आईगेमिंग में लगभग अनावश्यक हैं - उन्हें इकट्ठा करने से बचें। जीविका के लिए बायोमेट्रिक्स का उपयोग करें - डीपीआईए और न्यूनतम करने के साथ पहचान के रूप में सख्ती से।

4) भूमिकाएँ और जिम्मेदारियाँ

नियंत्रक: कैसीनो ऑपरेटर - लक्ष्य/साधन निर्धारित करता

प्रोसेसर: केवाईसी प्रदाता, पीएसपी, बादल, धोखाधड़ी विरोधी, ऑनलाइन एनालिटिक्स, मार्केटिंग प्लेटफॉर्म।

हमें स्पष्ट निर्देशों, उप-प्रोसेसर, सुरक्षा उपायों, लेखा परीक्षा अधिकारों और उल्लंघनों की सूचनाओं के साथ डीपीए (प्रसंस्करण अनुबंध) की आवश्यकता है।

5) डीपीआईए, डीपीओ और उपचार रिकॉर्ड

डीपीआईए (डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट) उच्च जोखिम पर अनिवार्य है: सीसीएम/बायोमेट्रिक्स, व्यवहार निगरानी आरजी, बड़ी रूपरेखा, सीमा पार प्रसारण।

यदि प्रसंस्करण का पैमाना बड़ा है या व्यवस्थित निगरानी है तो डीपीओ (डेटा संरक्षण अधिकारी) नियुक्त करें।

एक प्रसंस्करण गतिविधि रजिस्टर (RoPA) बनाए रखें: डेटा श्रेणियां, उद्देश्य, कानूनी आधार, प्रतिधारण अवधि, प्राप्तकर्ता, सुरक्षा उपाय।

6) डेटा विषय और एसएलए प्रतिक्रियाओं के अधिकार

खिलाड़ी का अधिकार है: पहुंच, सुधार, निष्कासन ("भूलने का अधिकार"), प्रतिबंध, पोर्टेबिलिटी, आपत्तियां, साथ ही स्वचालित निर्णयों/प्रोफाइलिंग (उदाहरण के लिए, धोखाधड़ी विरोधी ब्लॉक)।

प्रतिक्रिया समय आमतौर पर 1 महीने तक होता है (आप मुश्किल होने पर एक और 2 के लिए विस्तार कर सकते हैं)।

हमें समर्थन/सीआरएम में प्रक्रियाओं की आवश्यकता है, अनुरोधक और WORM समाधान लॉग की पहचान का सत्यापन।

7) कुकीज़, ई प्राइवेसी और ऑनलाइन मार्केटिंग

सहमति बैनर: एनालिटिक्स/विज्ञापन के लिए स्पष्ट ऑप्ट-इन, अलग स्विच, "महत्व में समान" बटन (स्वीकार/अस्वीकार)।

कड़ाई से आवश्यक कुकीज़ - बिना सहमति के, लेकिन नीति में एक विवरण के साथ।

ई-मेल/एसएमएस विपणन: केवल सहमति के साथ (या कुछ देशों में मौजूदा ग्राहकों के लिए "सॉफ्ट ऑप्ट-इन") + आसान ऑप्ट-आउट।

उल्लेखनीय और समान रूप से - केवल वैध सहमति के साथ; स्व-बहिष्कृत और कमजोर समूहों की सूचियों को छोड़ दें।

8) अंतर्राष्ट्रीय डेटा संचरण (अध्याय V)

गैर-ईईजेड संचरण संभव है जब:

पर्याप्तता, या
एससीसी (मानक संविदात्मक प्रावधान) + टीआईए (संचरण प्रभाव मूल्यांकन), या
कंपनियों के समूहों के लिए बाध्यकारी कॉर्पोरेट नियम।
बादल, विरोधी धोखाधड़ी, ऑन-चेन एनालिटिक्स, हेल्पडेस्क - जहां डेटा शारीरिक रूप से संग्रहीत और संसाधित है।

9) सुरक्षा (आर्ट 32) और घटनाएं (आर्ट। 33/34)

न्यूनतम "प्रबलित कंक्रीट":

एन्क्रिप्शन "आराम पर" और "पारगमन में", कुंजी प्रबंधन।
आरबीएसी/एबीएसी, प्रशासन के लिए एमएफए, शून्य खाता साझाकरण।
मीडिया अलगाव, गतिविधि लॉग (व्यवस्थापक/समर्थन), विसंगति निगरानी।
टेलीमेट्री और एनालिटिक्स के लिए टोकेनाइजेशन/छद्म नाम।
हादसा प्रतिक्रिया योजना, ड्रिल, बुगबाउंटी।

सुरक्षा उल्लंघन: 72 घंटे के भीतर पर्यवेक्षक को सूचित करें, और विषयों - यदि नुकसान का जोखिम अधिक है। घटनाओं का रजिस्टर बनाए रखें।

10) आईगेमिंग पतली जगहें और उन्हें कैसे बंद करें

1. बायोमेट्रिक्स और लाइवनेस। डीपीआईए, टेम्पलेट का स्थानीय भंडारण (या सत्यापन के बाद उनकी अनुपस्थिति), विलोपन के लिए पारदर्शी समय सीमा।

2. Onchain डेटा। एक क्रिप्टो पता व्यक्तिगत डेटा बन सकता है यदि हम किसी व्यक्ति से जुड़ ते हैं - एक टीआईए का संचालन करें, खिलाड़ी के पते प्रकाशित न करें, रिपोर्ट को कम से कम स्टोर करें।

3. जिम्मेदार जुआ और प्रोफाइलिंग। व्याख्यात्मक मॉडल (XAI), कठिन उपायों के लिए "मानव-इन-द-लूप", चुनौती का अधिकार।

4. VIP и SoF/SoW। केवल वही इकट्ठा करें जो आपको आवश्यक है, समय सीमा से हटाएं, बैंक स्टेटमेंट की रक्

5. सहयोगी और पिक्सेल। संयुक्त नियंत्रण? अनुबंधों में ठीक करें, स्व-बहिष्कृत, सहमति का कानूनी संग्रह का एक सिंक्रनाइज़प्रतिबंध सुनिश्चित करें।

6. नियामक/एलईए अनुरोध। प्रलेखित प्रकटीकरण प्रक्रियाएं, न्यूनतम करना, कानूनी ढांचा (आर्ट। 6 (1) (सी )/( ई))।

11) रिटेंशन: स्मार्ट डेडलाइन कैसे तय करें

CCM/वित्तीय दस्तावेज़: 5-7 साल (राष्ट्रीय वित्तीय मानक)।

सत्र/उपकरण लॉग: 12-24 महीने (पहचानकर्ताओं के बिना लंबा)।

आरजी संकेत और मामले: जबकि सीमा + ऑडिट अवधि प्रभावी है।

विपणन डेटा: सहमति वापस लेने से पहले या बिना गतिविधि के 24 महीने।

बायोमेट्रिक्स: सत्यापन के तुरंत बाद हटा दें, जब तक कि कानून द्वारा अन्यथा आवश्यक न हो।

12) व्यावहारिक अनुपालन चेकलिस्ट (लघु)

कानूनी आधार और प्रलेखन

गोपनीयता नीति और कुकीज़, सादी भाषा।
उपचार रजिस्ट्री (RoPA), KYC/बायोमेट्रिक्स/RG/onchain पर DPIA।
DPO सौंपा/आउटसोर्स, संपर्क प्रकाशित।
सभी प्रोसेसर के साथ डीपीए, उप-प्रोसेसर की सूची।

विषयों के अधिकार

प्रक्रियाएं और एसएलए (≤1 महीने), प्रतिक्रिया टेम्पलेट, पहचान सत्यापन।
आसान ऑप्ट-आउट/डिलीट/फिक्स तंत्र।

प्रौद्योगिकी और सुरक्

एन्क्रिप्शन, एमएफए, अलगाव, WORM लॉग।
अलियासिंग एनालिटिक्स, बीआई को निर्यात को कम करना।
हादसा योजना, "72 घंटे", ड्रिल।

विपणन/ई गोपनीयता

अलग-अलग टॉगल स्विच के साथ सहमति बैनर; पत्रिका की सहमति।
स्व-बहिष्करण में अलग विपणन और उपयोगकर्ता आधार।

डेटा हस्तांतरण

सभी सीमा पार प्रवाह के लिए SCCs/BCR/TIA।
प्रदाता (KYC, PSP, क्लाउड, एंटी-फ्रॉड) द्वारा डेटा मैप।

13) बार-बार गलतियाँ और उनसे कैसे बचें

रिजर्व में "एकत्र करें। "अनावश्यक दस्तावेज/स्क्रीनशॉट - रिसाव का जोखिम। समाधान: स्वीकार्य कलाकृतियों का न्यूनतम + श्वेतलिस्ट।

"डार्क पैटर्न के साथ कुकी बैनर। "समतुल्य बटन बनाएं" स्वीकार करें/अस्वीकार करें।

डीपीआईए और डीपीए की कमी। उनके बिना, प्रोफाइलिंग को सही ठहराना और भागीदारों को डेटा हस्तांतरित करना मुश्किल है।

एकल पहुंच "सुपरडमिन। "साझा भूमिकाएं, JIT एक्सेस कनेक्ट करें।

क्लाउड/एनालिटिक्स द्वारा कोई टीआईए नहीं। सर्वर के स्थान और तृतीय-पक्ष कानून की प्रयोज्यता का आकलन करें।

14) मिनी-एफएक्यू

हम यूरोपीय संघ में नहीं हैं। क्या हम जीडीपीआर द्वारा कवर किए गए हैं?

हां, यदि आप यूरोपीय संघ/ईईए के लोगों को सेवाएं प्रदान करते हैं या उनके व्यवहार (कुकीज ़/एनालिटिक्स) की निगरानी करते हैं।

क्या आपको हमेशा धोखाधड़ी विरोधी और आरजी के लिए सहमति की आवश्यकता है?

हमेशा नहीं: आमतौर पर एक वैध हित/कानूनी कर्तव्य। लेकिन यदि लागू हो तो डीपीआईए और पारदर्शिता + आपत्ति क्षमता की आवश्यकता होती है।

क्या केवाईसी दस्तावेज अनिश्चित काल के लिए संग्रहीत किए जा

नहीं, यह नहीं है। उचित समय सीमा दर्ज करें और समाप्त होने पर मिटाएँ/गुमनाम करें।

क्या स्वचालित आउटपुट इकाई "स्वचालित निर्णय लेने" है?

हाँ, संभावित रूप से। "मानव-इन-द-लूप" सुनिश्चित करें, स्पष्टीकरण और पुनर्विचार करने का अधिकार।

बटुआ पता - व्यक्तिगत डेटा?

ऐसा हो सकता है यदि किसी पहचाने गए व्यक्ति के साथ जुड़ा हुआ हो। ऑनबोर्डिंग करते समय पीआईआई की तरह व्यवहार करें।

15) नीचे की रेखा

जीडीपीआर को "पेपर टिक" की आवश्यकता नहीं है, लेकिन डेटा प्रबंधन प्रणाली: स्पष्ट लक्ष्य और कानूनी आधार, न्यूनतम करना, सुरक्षित वास्तुकला, विक्रेता नियंत्रण और खिलाड़ियों के अधिकारों के लिए सम्मान। एक ऑपरेटर जो गोपनीयता-दर-डिजाइन का निर्माण करता है और जवाबदेही बनाए रखता है (RoPA, DPA, DPA, DPO, घटना-योजना) कानूनी और भुगतान जोखिमों को कम करता है, ऑडिट को गति देता है और ग्राहक को बढ़ाता है।