クリプトカジノ
トレントギア
EUデータ保護法(GDPR)とカジノ
カジノは、支払い、KYCドキュメント、ゲーム履歴、行動分析、責任あるゲーム(RG)クエリなど、最も機密性の高いデータを処理します。EUおよびEEAでは、このような処理はGDPR (General Data Protection Regulation)によって規制されています。オペレーターにとって、これらは明確な責任とペナルティリスクです。プレイヤーのために-権利と透明性の強力なセット。
誰が誰であるか: 役割と責任
コントローラー:ほとんどの場合、B2Cカジノオペレーター。それは処理の目的と手段を決定し、主な責任を負います。
プロセッサ:KYCプロバイダ、PSP、クラウドホスティング、不正防止、電子メールサービス-処理契約(DPA)の下でコントローラーに代わって行動します。
ジョイントコントローラー:共通の目標(パートナーとの共同行動など)で可能-役割の透明な配布とプレイヤーへの通知が必要です。
処理のための法的根拠(Art。 6 GDPR)
1.契約:アカウントの作成、賭け/支払いの作成、サポート。
2.法的義務:KYC/AML、会計、RG要件、税務規則。
3.正当な利益:基本的な不正防止分析、セキュリティ、不正使用防止-利益の必須評価(LIA)およびプレーヤーの権利。
4.同意:電子メール/SMSマーケティング、オプションのクッキー、パーソナライズされた広告と行動プロファイリングのいくつかの種類。
5.重要な利益/公共のタスク-まれに適用されます。
特別なカテゴリと敏感なコンテキスト
特別なカテゴリー(アート。9):健康、生体認証など-通常は必要ありません。「生存」のための生体認証が使用されている場合、それは最小限に抑えられ、厳密な地面/手順で処理されるべきです。
少年データ:厳格な年齢管理;子供へのマーケティングは禁止されています。
RG/手頃な価格:問題のあるゲーム信号処理には、最小化、透明性、およびDPIAが必要です。
プレーヤー(データ主体)の権利
アクセス(アート。15):データのコピーと処理の説明。
修正(Art。 16)および削除(Art。 17)可能であれば、AML/会計保持期間と矛盾しません。
制限(Art。 18)と異議(Art。 21)-例えば、「正当な利益」に関するマーケティングに対する。
許容性(Art。 20):機械読み取り可能な形式のプロファイルデータ。
自動化された処理(Art。 22)のみに基づいたソリューションの対象ではありません。法的結果を伴うプロファイリングがある場合は、説明と人間の介入の権利が必要です。
オペレータは、単純なDSAR要求チャネルを提供し、不当な遅延なしに応答する義務があります(通常は1ヶ月まで)。
クッキー、トラッキング&マーケティング
厳密に必要なクッキー:同意なし。
分析/広告/パーソナライゼーション:同意による(バナー/環境設定ダッシュボード;「on/off」カテゴリー別)。
Eメール/SMSマーケティング:同意(オプトイン)+各メッセージの購読解除機能。
リターゲティングと類似したオーディエンス:明示的な通知と通常は同意が必要です。
自己除外/RG:無効アカウントと自己除外アカウントのプロモーションはありません。
リテンション
「もはや必要以上」のためのストア:- KYC/AML:年(法律、管轄)。
- ゲームログとトランザクション:ライセンス規則と監査に従って。
- マーケティングプロファイル:同意の撤回またはアクティビティの有効期限前;on recall-処理を停止し、削除/匿名化します。
保存ポリシー、自動削除/匿名化タスク、および操作のレジストリ(RoPA)が必要です。
国際的なデータ転送
データがEEA外の場合:- SCC(標準契約条項)が使用され、転送影響評価(TIA)が実施されます。受信者の国の法律と技術的措置(暗号化、匿名化)がチェックされます。
- 代替案:受領国の妥当性、拘束力のある企業規則など。
- オペレータは、データを受け取ったプレイヤーにどのような根拠に基づいて透過的に通知する義務があります。
処理の保証(Art。 32)
どこでもTLS/HTTPS、暗号化「ディスク上」(残りで)、支払いトークン化、アクセス分離、ログ(監査証跡)、DLP。
インシデント管理:監視、応答計画、定期的なテスト。
インパクトアセスメント(DPIA):高リスクシナリオ(例:大規模な行動分析、新しいバイオメトリックチェック)。
データ保護責任者(DPO):スケール/種類の処理が必要な場合は必須です(多くの場合、ライセンスを取得したオペレータはいます)。
違反と通知(違反)
漏洩またはセキュリティインシデントが発生した場合、オペレータ:1.2。権利と自由に対するリスクを評価する。72時間以内に監督当局に通知します、3。高いリスクで-理解可能な言語でプレイヤーに通知します、4。すべてを文書化し、改善措置を実施します。
ケーススタディ
KYC AML:- 根拠:法的義務+一般的なAML/CFTタスク。
- 最小化:CVVを保存しないでください。ドキュメント-セキュリティで保護されたストレージでのみ、役割ごとにアクセスできます。
- 条件:法律によって;その有効期限の後-削除/匿名化。
- 基礎:正当な利益および/または法的義務。拡張プロファイリングを備えたLIA+DPIA。
- 透明性:信号の種類(速度、デバイス、出力キャンセル)、介入ロジック、プレーヤーの権利を説明します。
- 同意のみによるものとします。詳細なプリファレンスセンター;即刻の購読解除;自己除外/制限されたVIPの除外。
一般的なオペレータエラー
彼らは法的根拠(例えば、LIAなしで「正当な利益」を装ったマーケティング)を混在させます。
データを「永久に」保ち、保持ポリシーはありません。
「耳が聞こえない」クッキーバナー本物の拒否なし。
RoPA、 DPIA、 DPOはありません。
TIAおよび技術的措置なしにEEA外への転送。
プレイヤーはDSARを送信する場所を見つけられず、応答が遅延します。
プレイヤーを知るために重要なこと(実際には権利)
データのコピーと処理履歴をリクエストできます。
あなたはマーケティングに反対し、同意を撤回することができます-プロモーションを停止する必要があります。
あなたは不正確さを修正することができます、削除を必要とします(保持する法的義務がない場合)。
リスクの高いリークでは、わかりやすい方法で通知する必要があります。
サイトを見る:プライバシーポリシー、DPOの連絡先、クッキーセンター。
オペレータのチェックリスト(短い)
法的およびドキュメント
- RoPA、 LIA、 DPIA、プロセッサ付きDPA。
- 割り当てられたDPO;DSARチャンネルは運用および文書化されています(SLA)。
- 透明なプライバシーポリシー、別のRG/AMLの正当化ページ。
プロセスと安全性
- TLS 1。2/1.3、安静時の暗号化、PANトークン化、ロールアクセス、ログ。
- 保存ポリシーと自動削除/匿名化。
- インシデントプラン、テスト、72時間通知。
クッキー/マーケティング
- このCMP:カテゴリー別オプトイン/オプトアウト、オプトアウトロジックが実行されます。
- 電子メール/SMSへのオプトイン、即刻の退会;自己除外を除いて。
インターナショナル・トランスミッション
- SCC+TIAの技術的な手段;第三国およびプロセッサの登録。
プレーヤーのチェックリスト
- プライバシーポリシーを読む。どのようなデータ、なぜ、どのくらい保存されているかを理解しています。
- Cookieの設定、不要なマーケティングの解除。
- 私はDSARを提出し、DPOに連絡する方法を知っています。
- 有効な2FA/Passkeysとログイン/変更通知(アカウント保護もデータ保護です)。
- 公式ドメインでhttps://のみ使用します。内蔵ポータルからKYCドキュメントをアップロードします。
FAQ(短い)
オペレータはデータの削除を拒否できますか?
はい、保持する法的義務がある場合(例:AML/accounting)。有効期限が切れた後-削除/匿名化は必須です。
基本的な不正防止分析には別途同意が必要ですか?
通常(正当なセキュリティ利益/義務)ではありませんが、セキュリティを損なわない場合は、LIA、透明性、異議を唱える能力が必要です。
同意なしのメールマーケティング-それは可能ですか?
EUでは、原則としてオプトインが必要です(顧客には「ソフト」オプトインのニュアンスがあります-現地の法律と比例した慣行に従って行動します)。
権利が侵害された場合、どこに文句を言うのですか?
DPO、国家データ保護監視局(DPA)を支援します。
ギャンブルにおけるGDPRは、紙の形式ではありません。これは、最小化、透明性、セキュリティ、保存期間、プレーヤーの権利についてです。法的根拠を適切に形式化したオペレーターは、プロセス(DPIA、 DPO、 DSAR、 TIA)を構築し、技術的にデータを保護し、支払いパートナーの安定したライセンスと信頼を受け取ります。プレーヤー-データを制御し、予測可能で安全な体験を得る。