歐盟數據保護法（GDPR）和客戶隱私

1）簡而言之

GDPR是歐盟保護個人數據的基本法律。它適用於以下任何人：

• 處理來自歐盟/歐洲經濟區人員的數據，即使運營商不在歐盟；
• 向他們提供服務（包括在線賭場）或跟蹤他們的行為。

違規行為可處以高達2000萬歐元或4％的全球營業額（更高）的罰款，以及處理禁令和聲譽損失。

---

2）關鍵原則（GDPR第5條）

1.合法性，正義，透明度。可以理解的政客，誠實的通知。

2.目標限制。僅將數據用於已聲明的任務（KYC/AML，響應賭博，付款，支持，分析等）。

3.最小化。僅收集所需的內容（例如，如果有足夠的3-DS和銀行對賬單，則不存儲「卡自拍照」）。

4.準確性。更新地址/文檔,避免重復。

5.存儲限制。明確的回避期限（財務文件通常為5-7年；更短-用於遙測）。

6.完整性和隱私。加密，訪問控制，日誌記錄。

7.亞序。證明合規性（策略，DPIA，處理記錄）。

---

3）處理的法律依據（第6條）-賭場適合什麼

法律義務：KYC/AML/制裁篩查，財政報告，付款記錄。

合同：遊戲帳戶的創建和維護，補充/撤回，sapport。

合法利益：防凍,安全,基本產品分析,響應賭博信號（如果不違反當地規範）。

同意：電子郵件/短信營銷，廣告Cookie，非標準配置文件。

重要利益/公共任務：罕見，點點。

---

4）角色和責任界限

Controller （controller）：賭場運營商-定義目標/設施。

處理器（處理器）：KYC提供商，PSP，雲，防凍劑，骨幹分析，營銷平臺。

需要具有清晰說明、子處理器、安全措施、審核權限和違規通知的DPA（處理合同）。

---

5） DPIA、DPO和處理記錄

DPIA（數據保護影響評估）在高風險下是強制性的：CUS/生物識別，RG行為監測，大型貌相，跨境傳播。

如果處理規模大或系統監控,請指定DPO（數據保護官）。

維護處理操作註冊表（RoPA）：數據類別、目標、法律依據、保留時間、接收者、安全措施。

---

6）數據主體和SLA應答的權利

玩家有權：訪問，更正，刪除（「正確到被遺忘」），限制，可移植性，異議以及在自動決策/剖析（例如防凍塊）中進行解釋。

響應時間通常長達1個月（困難時可以再延長2個月）。

需要在Sapport/CRM中進行流程，驗證請求者的身份和WORM決策日誌。

---

7）Cookie，ePrivacy和在線營銷

同意橫幅：對分析/廣告的明確選擇,單獨的開關,「等同於」按鈕（接受/拒絕）。

嚴格要求的cookie-未經同意，但有政策說明。

電子郵件/SMS營銷：僅經同意（或某些國家/地區現有客戶的「軟操作」）+輕操作。

重新營銷和外觀-僅在有效同意的情況下；排除自我排斥和弱勢群體的名單。

---

8）國際數據傳輸（第五章）

EEZ以外的傳輸在以下情況下是可能的：

• Adequacy（被認為足夠的國家），或
• SCC（標準合同條款）+TIA（轉讓影響評估），或
• 針對公司集團的Binding Corporate Rules。
• 檢查雲,反欺詐,鏈分析,helpdesk-數據的物理存儲和處理的位置。

---

9）安全（第32條）和事件（第33/34條）

「鋼筋混凝土」的最小值是：

• 加密「靜止」和「中轉」，密鑰控制。
• RBAC/ABAC，admins的MFA，零解開帳戶。
• 環境隔離，活動記錄（管理/支持），異常監測。
• 遙測和分析的Tokenization/Pseudonymization。
• 事件響應計劃，演習，bagbounty。

安全漏洞：在72小時內通知監管人員，如果存在高傷害風險，則通知受試者。維護事件登記冊。

---

10）iGaming的瘦點以及如何關閉

1.生物識別和生活。DPIA，模式的本地存儲（或驗證後不存在），清晰的刪除時間。

2.Onchein數據。如果我們與某人聯系-進行TIA，不發布玩家地址，以最小化方式存儲報告，則加密地址可能會成為個人數據。

3.響應性賭博和性能分析。可解釋模型（XAI），強硬措施的「人類循環」，有爭議的權利。

4.VIP и SoF/SoW.只收集必需品，按時刪除，保護銀行對賬單。

5.附屬關系和像素。聯合控制?在條約中固定，確保自我監禁者的同步，合法的同意收集。

6.監管機構/LEA查詢。記錄在案的披露程序、最小化、法律框架（第6（1） （c）/（e）條）。

---

11） Retentia： 如何設置「智能」時機

CUS/財務文件：5-7歲（國家金融公司）。

會議/設備日誌：12-24個月（沒有標識符,時間更長）。

RG信號和案例：到目前為止，限制+審核期限有效。

營銷數據：在撤銷同意之前或24個月沒有活動。

生物鑒別法：除非法律另有規定，核實後立即予以處置。

---

12）實用合規性支票清單（簡稱）

法律依據和文件

• 隱私和Cookie政策，簡單語言。
• KYC/生物識別/RG/骨幹的 DPIA處理註冊表（RoPA）。
• DPO已指定/外包,已發布聯系人。
• 具有所有處理器的DPA，子處理器列表。

主體權利

• 程序和SLA（≤1月），響應模式，個性驗證。
• 輕型機制opt-out/刪除/修正。

技術和安全

• 加密，MFA，隔離，WORM邏輯。
• 分析假名，最大限度地減少對BI的出口。
• 事件計劃，「72小時」，演習。

市場營銷/ePrivacy

• 與單個撥號器達成協議的橫幅；consents日誌。
• 分開營銷和用戶在自我體驗。

數據傳輸

• SCCs/BCR/TIA適用於所有跨境流。
• 提供商數據卡（KYC、PSP、雲、防凍）。

---

13）頻繁的錯誤以及如何避免錯誤

收集「關於股票」。多余的文件/截圖→泄漏風險。解決方案：最小化+有效工件白名單。

Cookie橫幅帶有「深色模式」。做同等的「接受/拒絕」按鈕。

缺乏DPIA和DPA。沒有它們，很難證明對合作夥伴進行剖析和數據傳輸是合理的。

單一訪問「superadmin」。共享角色,連接JIT訪問。

沒有雲/分析的TIA。評估服務器的位置和第三國法律的適用性。

---

14）迷你常見問題

我們不在歐盟。GDPR是否適用於我們?

是的，如果您向歐盟/歐洲經濟區的人提供服務或跟蹤他們的行為（cookie/分析）。

防凍劑和RG是否總是需要同意？

並非總是：通常是合法利益/法律義務。但需要DPIA和透明度+提出異議的可能性（如果適用）。

可以無限期保存KYC文件嗎?

沒有。記錄合理的截止日期,並在到期時刪除/匿名。

自動輸出單元是「自動接受解決方案」嗎?

是的，可能。確保「人間循環」，解釋和審查權。

錢包地址-個人數據?

如果與已識別的人有關，則可能成為這種情況。在onbording中被視為PII。

---

15）結果

GDPR不需要「紙面打勾」，而是需要數據管理系統：明確目標和法律依據，最小化，安全架構，供應商控制和尊重玩家權利。一個運營商，它構建了按設計隱私並保持了細分關系（RoPA，DPIA，DPA，DPO，事件計劃），降低了法律和支付風險，加快了審計並提高了客戶信心-這意味著贏得了漫長的勝利。