क्रिप्टो कैसीनो
धार गियर
यूरोपीय संघ डेटा सुरक्षा कानून (GDPR) और कैसिनो
कैसिनो कुछ सबसे संवेदनशील डेटा की प्रक्रिया करता है: भुगतान, केवाईसी दस्तावेज, गेमिंग इतिहास, व्यवहार विश्लेषण, जिम्मेदार गेमिंग (आरजी) प्रश्न। यूरोपीय संघ और ईईए में, इस तरह के प्रसंस्करण को जीडीपीआर (सामान्य डेटा संरक्षण विनियमन) द्वारा विनियमित किया जाता है। ऑपरेटर के लिए, ये स्पष्ट जिम्मेदारियां और दंड जोखिम हैं; खिलाड़ी के लिए - अधिकारों और पारदर्शिता का एक मजबूत सेट।
कौन है: भूमिकाएँ और जिम्मेदारियाँ
नियंत्रक: सबसे अधिक बार एक बी 2 सी कैसीनो ऑपरेटर। यह प्रसंस्करण के लक्ष्यों और साधनों को निर्धारित करता है, मुख्य जिम्मेदारी व
प्रोसेसर: केवाईसी प्रदाता, पीएसपी, क्लाउड होस्टिंग, एंटी-फ्रॉड, ई-मेल सेवा - प्रसंस्करण समझौते (डीपीए) के तहत नियंत्रक की ओर से अधिनियम।
संयुक्त नियंत्रक: सामान्य लक्ष्यों के साथ संभव है (उदाहरण के लिए, एक साथी के साथ एक संयुक्त कार्रवाई) - भूमिकाओं के पारदर्शी वितरण और
प्रसंस्करण के लिए कानूनी आधार (आर्ट 6 जीडीपीआर)
1. अनुबंध: एक खाता बनाना, दांव/भुगतान करना, समर्थन करना।
2. कानूनी दायित्व: केवाईसी/एएमएल, लेखांकन, आरजी आवश्यकताएं, कर नियम।
3. वैध हित: बुनियादी धोखाधड़ी विरोधी विश्लेषण, सुरक्षा, दुरुपयोग-विरोधी - हितों के अनिवार्य मूल्यांकन (एलआईए) और खिलाड़ी अधिकारों के साथ।
4. सहमति: ई-मेल/एसएमएस विपणन, वैकल्पिक कुकीज़, कुछ प्रकार के व्यक्तिगत विज्ञापन और व्यवहार रूपरेखा।
5. महत्वपूर्ण हित/सार्वजनिक कार्य - शायद
विशेष श्रेणियां और संवेदनशील संदर्भ
विशेष श्रेणियां (आर्ट 9): स्वास्थ्य, बायोमेट्रिक्स, आदि - आमतौर पर आवश्यक नहीं हैं। यदि "लाइवनेस" के लिए बायोमेट्रिक्स का उपयोग किया जाता है, तो इसे न्यूनतम और सख्त जमीन/प्रक्रियाओं पर संभाला जाना चाहिए।
किशोर डेटा: सख्त आयु नियंत्रण; बच्चों के लिए विपणन निषिद्ध है
आरजी/सामर्थ्य: समस्या गेम सिग्नल प्रोसेसिंग के लिए न्यूनतम, पारदर्शिता और डीपीआईए की आवश्यकता होती है।
खिलाड़ी (डेटा विषय) अधिकार
अभिगम (आर्ट 15): डेटा की प्रति और प्रसंस्करण का विवरण।
सुधार (आर्ट 16) और निष्कासन (आर्ट। 17) जहां संभव हो और एएमएल/लेखांकन प्रतिधारण अवधि के साथ संघर्ष नहीं करता है।
प्रतिबंध (आर्ट 18) और आपत्ति (आर्ट 21) - उदाहरण के लिए, "वैध हित" पर विपणन के खिलाफ।
सहनशीलता (आर्ट। 20): मशीन-पढ़ने योग्य रूप में प्रोफाइल डेटा।
केवल स्वचालित प्रसंस्करण (आर्ट 22) पर आधारित समाधान का उद्देश्य न हो: यदि कानूनी परिणामों के साथ रूपरेखा है, तो स्पष्टीकरण और मानव हस्तक्षेप के अधिकार की आवश्यकता है।
ऑपरेटर एक साधारण डीएसएआर अनुरोध चैनल प्रदान करने और अनुचित देरी (आमतौर पर 1 महीने तक) के बिना प्रतिक्रिया देने के लिए बाध्य है।
कुकी, ट्रैकिंग और विपणन
कड़ाई से आवश्यक कुकीज़: बिना सहमति के।
एनालिटिक्स/विज्ञापन/निजीकरण: सहमति से (बैनर/प्राथमिकताएं डैशबोर्ड; "ऑन/ऑफ" श्रेणी द्वारा)।
ई-मेल/एसएमएस-मार्केटिंग: सहमति (ऑप्ट-इन) + प्रत्येक संदेश में सदस्यता लेने की क्षमता।
रिटर्गेटिंग और लुक-एक जैसे दर्शकों: स्पष्ट अधिसूचना और आमतौर पर सहमति की आवश्यकता होती है।
स्व-बहिष्करण/आरजी: विकलांग और स्व-बहिष्कृत खातों के लिए कोई प्रोमो नहीं।
प्रतिधारण
के लिए "अब आवश्यक से अधिक नहीं" स्टोर करें:- KYC/AML: वर्ष (कानून द्वारा, अधिकार क्षेत्र द्वारा)।
- गेम लॉग और लेनदेन: लाइसेंस नियमों और ऑडिट के अनुसार।
- विपणन प्रोफाइल: सहमति वापस लेने या गतिविधि की समाप्ति से पहले; रिकॉल - स्टॉप प्रोसेसिंग और डिलीट/अनाम पर।
हमें प्रतिधारण नीतियों, स्वचालित विलोपन/गुमनामी कार्यों और संचालन की रजिस्ट्री (आरओपीए) की आवश्यकता है।
अंतर्राष्ट्रीय डेटा हस्तां
यदि डेटा ईईए के बाहर है:- एससीसी (मानक संविदात्मक प्रावधान) का उपयोग किया जाता है और अंतरण प्रभाव मूल्यांकन (टीआईए) किया जाता है; प्राप्तकर्ता के देश के कानूनों और तकनीकी उपायों (एन्क्रिप्शन, छद्म नाम) की जाँच की जाती है।
- विकल्प: प्राप्तकर्ता देश पर्याप्तता, बाइंडिंग कॉर्पोरेट नियम आदि।
- ऑपरेटर उस खिलाड़ी को पारदर्शी रूप से सूचित करने के लिए बाध्य होता है जो डेटा प्राप्त करता है और किस आधार पर
प्रसंस्करण सुरक्षा (आर्ट 32)
टीएलएस/एचटीटीपीएस हर जगह, एन्क्रिप्शन "ऑन डिस्क" (आराम पर), भुगतान टोकन, एक्सेस अलगाव, लॉग (ऑडिट ट्रेल), डीएलपी।
हादसा प्रबंधन: निगरानी, प्रतिक्रिया योजना, नियमित परीक्
प्रभाव मूल्यांकन (DPIA): उच्च जोखिम वाले परिदृश्यों के लिए (उदा। बड़े व्यवहार विश्लेषण, नए बायोमेट्रिक जांच)।
डेटा संरक्षण अधिकारी (डीपीओ): अनिवार्य है यदि पैमाने/प्रकार के प्रसंस्करण के लिए इसकी आवश्यकता होती है (अक्सर लाइसेंस प्राप्त ऑपरेटर के लिए हाँ)।
उल्लंघन और सूचनाएं (उल्लंघन)
लीक या सुरक्षा घटना की स्थिति में, ऑपरेटर:1. अधिकारों और स्वतंत्रता के लिए जोखिम का आकलन करता है, 2। 72 घंटे, 3 के भीतर पर्यवेक्षी प्राधिकरण को सूचित करता है। उच्च जोखिम में - खिलाड़ियों को समझने योग्य भाषा में सूचित करता है, 4। दस्तावेज सब कुछ और उपचारात्मक उपायों को लागू करता
केस स्टडी
KYC и AML:- मैदान: कानूनी शुल्क + सामान्य एएमएल/सीएफटी कार्य।
- न्यूनतम करना: CVV संग्रहीत न करें; दस्तावेज़ - केवल सुरक्षित भंडारण में, भूमिका द्
- शर्तें: कानून द्वारा; उनकी समाप्ति के बाद - विलोपन/गुमनामी।
- आधार: वैध ब्याज और/या कानूनी कर्तव्य; विस्तारित प्रोफाइलिंग के साथ LIA + DPIA।
- पारदर्शिता: संकेतों के प्रकार (वेग, उपकरण, आउटपुट रद्द), हस्तक्षेप तर्क और खिलाड़ी अधिकारों का वर्णन करें।
- केवल सहमति से; विस्तृत वरीयता केंद् तत्काल सदस्यता लेना; स्व-बहिष्कृत/प्रतिबंधित वीआईपी का बहिष्करण।
सामान्य ऑपरेटर त्रुटियाँ
वे कानूनी आधारों को मिलाते हैं (उदाहरण के लिए, एलआईए के बिना "वैध हित" की आड़ में विपणन)।
डेटा "हमेशा के लिए" रखें, कोई प्रतिधारण नीति नहीं।- वास्तविक इनकार के बिना "बहरा" कुकी बैनर।
- कोई RoPA, DPIA, DPO या वे "शो के लिए" नहीं हैं।
- टीआईए और तकनीकी उपायों के बिना ईईए के बाहर स्थानांतरण।
- खिलाड़ियों को डीएसएआर कहां भेजना है, प्रतिक्रियाओं में देरी होती है।
खिलाड़ी को जानना महत्वपूर्ण है (व्यवहार में अधिकार
आप अपने डेटा और प्रोसेसिंग इतिहास की एक प्रति का अनुरोध कर सकते हैं।
आप विपणन पर आपत्ति कर सकते हैं और सहमति वापस ले सकते हैं - प्रोमो को रोका जाना चाहिए।
आप अशुद्धियों को ठीक कर सकते हैं, विलोपन की आवश्यकता होती है (यदि रखने के लिए कोई कानूनी बाध्यता नहीं है)।
उच्च जोखिम वाले रिसाव में, आपको समझने योग्य तरीके से सूचित किया जाना चाहिए।
साइट पर देखें: गोपनीयता नीति, डीपीओ संपर्क, कुकी केंद्र।
ऑपरेटर की चेकलिस्ट (छोटी)
कानूनी और प्रलेखन
- प्रोसेसर के साथ RoPA, LIA, DPIA, DPA।
- डीपीओ को सौंपा गया; DSAR चैनल परिचालन और प्रलेखित (SLA) हैं।
- पारदर्शी गोपनीयता नीति, अलग आरजी/एएमएल औचित्य पृष्ठ।
प्रक्रिया और सुरक्षा
- टीएलएस 1। 2/1. 3, आराम पर एन्क्रिप्शन, पैन टोकन, रोल एक्सेस, लॉग।
- प्रतिधारण नीतियां और स्वचालित विलोपन/गुमनामी।
- हादसा योजना, परीक्षण, 72 घंटे की अधिसूचना।
कुकी/विपणन
- यह सीएमपी: ऑप्ट-इन/ऑप्ट-आउट श्रेणी द्वारा, ऑप्ट-आउट तर्क निष्पादित किया जाता है।
- ऑप्ट-इन से ई-मेल/एसएमएस, त्वरित सदस्यता; स्व-बहिष्कृत को छोड़ कर।
अंतर्राष्ट्रीय प
- एससीसी + टीआईए, तकनीकी उपाय; तीसरे देशों और प्रोसेसर का रजिस्टर।
खिलाड़ी चेकलिस्ट
- गोपनीयता नीति पढ़ें; मैं समझता हूं कि वे क्या डेटा, क्यों और कितना संग्रहीत करते हैं
- कुकी वरीयताओं को सेट करें, अनावश्यक विपणन से सदस्यता प्राप्त।
- मुझे पता है कि डीएसएआर कैसे जमा करना है और डीपीओ से संपर्क करना है।
- सक्षम 2FA/Passkeys और लॉगिन/परिवर्तन सूचनाएं (खाता सुरक्षा भी डेटा सुरक्षा है)।
- आधिकारिक डोमेन पर केवल https ://का उपयोग करें; मैं अंतर्निहित पोर्टल के माध्यम से केवाईसी दस्तावेज अपलोड करता हूं।
FAQ (छोटा)
क्या कोई ऑपरेटर डेटा मिटाने से इनकार कर सकता है?
हां, अगर रखने के लिए कोई कानूनी कर्तव्य है (उदा। एएमएल/लेखा)। समाप्ति के बाद - विलोपन/अनाम होना अनिवार्य है।
क्या मुझे बुनियादी धोखाधड़ी रोधी एनालिटिक्स के लिए एक अलग सहमति की आवश्यक
आमतौर पर (वैध सुरक्षा हित/कर्तव्य) नहीं, लेकिन एलआईए, पारदर्शिता और आपत्ति करने की क्षमता की आवश्यकता होती है यदि यह सुरक्षा को कमजोर नहीं करता है।
सहमति के बिना ईमेल विपणन - क्या यह संभव है?
यूरोपीय संघ में, एक नियम के रूप में, ऑप्ट-इन की आवश्यकता होती है (ग्राहकों के लिए "सॉफ्ट" ऑप्ट-इन की बारीकियां हैं - स्थानीय कानून और आनुपातिक अभ्यास के अनुसार कार्य करें)।
यदि अधिकारों का उल्लंघन किया जाता है तो शिकायत कहां क- डीपीओ के समर्थन में/फिर राष्ट्रीय डेटा सुरक्षा प्रहरी (डीपीए) को।
जुए में जीडीपीआर एक कागज की औपचारिकता नहीं है। यह न्यूनतम, पारदर्शिता, सुरक्षा, शेल्फ जीवन और खिलाड़ी अधिकारों के बारे में है। एक ऑपरेटर जो सक्षम रूप से कानूनी आधार को औपचारिक रूप से बनाता है, ने प्रक्रियाओं का निर्माण किया है (डीपीआईए, डीपीओ, डीएसएआर, टीआईए) और तकनीकी रूप से डेटा की रक्षा करता है, एक स्थिर लाइसेंस और भुगतान भागीदारों का विश्वास प्राप्त करता है। खिलाड़ी - अपने डेटा को नियंत्रित करता है और एक अनुमानित, सुरक्षित अ