NV Casino
EN DE PL FR LT BG CS RO

Общи разпоредби и обхват

Настоящият документ представлява Политика за поверителност, приложима за уебсайта nv-casin.com и свързаните с него функционалности, чрез които се предоставят услуги, свързани с iGaming дейности. Тя урежда условията, при които се събират, използват, съхраняват и защитават лични данни при взаимодействие с платформата, включително при регистрация, идентификация и използване на потребителски профил. Политиката се прилага спрямо обработване, извършвано от администратора на лични данни във връзка с дейността на NV Casino, както и спрямо обработващи данни, които действат по възлагане. Документът следва принципите на законосъобразност, добросъвестност и прозрачност, ограничение на целите, свеждане на данните до минимум, точност, ограничение на съхранението, цялостност и поверителност. Настоящите правила се прилагат на територията на България и отразяват изискванията на Регламент (ЕС) 2016/679, както и относимото национално законодателство.

Регулаторна рамка и роли по защита на данните

Обработването на лични данни се извършва при спазване на приложимата рамка в България, включително общите изисквания за защита на данните и секторни задължения, свързани с предотвратяване на измами, изпълнение на финансови изисквания и мерки за отговорна игра. Администраторът определя целите и средствата за обработване и носи отчетност за съответствието, включително чрез вътрешни процедури, оценки на риска и документиране на дейностите по обработване. При определени операции могат да участват обработващи лични данни, които действат единствено по документирани указания и при договорни гаранции за поверителност и сигурност. Когато е приложимо, се прилагат мерки за ограничаване на достъпа на основа необходимост за изпълнение на служебни задължения и се поддържат логове за ключови административни действия. При възникване на инцидент, който може да доведе до риск за правата и свободите, се прилага процедура по уведомяване на компетентния надзорен орган в срок до 72 часа, както и уведомяване на засегнатите лица при наличие на висок риск.

Категории лични данни, които се обработват

В рамките на предоставяните услуги могат да се обработват идентификационни данни като имена, дата на раждане, гражданство и данни за документ за самоличност, доколкото това е необходимо за удостоверяване на възраст и изпълнение на законови задължения. Могат да се обработват данни за контакт като електронна поща, телефонен номер и адрес, включително за целите на комуникация, верификация и обслужване на профила. В зависимост от използваните платежни методи могат да се обработват финансови и транзакционни данни, като идентификатори на плащания, суми, валута, дата и час, като пълни данни за платежни карти по принцип не се съхраняват, когато обработването е възложено на лицензирани платежни доставчици. При използване на платформата се обработват технически данни като IP адрес, идентификатори на устройства, данни от логове, информация за браузър и операционна система, както и данни за сесии. Могат да се обработват и данни, свързани с предотвратяване на измами и злоупотреби, включително резултати от проверки, индикатори за риск и сведения за опити за неоторизиран достъп.

Методи за събиране на данни и източници

Събирането на лични данни се извършва чрез оперативни механизми, които са необходими за създаване и управление на потребителски профил, включително форми за регистрация, верификация и заявяване на услуги. Данни могат да се генерират автоматично при използване на уебсайта, например при логване на входове, действия в акаунта, настройване на предпочитания и управление на сесии. Допълнителни данни могат да бъдат предоставени при комуникация с екипа за поддръжка, включително при обработване на жалби, запитвания и искания за упражняване на права. При необходимост от спазване на законови задължения или за предотвратяване на измами могат да се използват източници от трети страни, като доставчици на KYC услуги и платежни оператори, при условие че съответните отношения са договорно уредени. Когато се използват автоматизирани средства за събиране, се прилагат принципи за минимизация, като се ограничават параметрите до това, което е релевантно за целите на обработването.

Правни основания за обработване

Политика за поверителност определя, че лични данни се обработват само при наличие на валидно правно основание по смисъла на приложимото право. Обработването може да се основава на изпълнение на договор или предприемане на стъпки преди сключването му, когато е необходимо за предоставяне на достъп до профил, обработване на депозити и тегления и управление на потребителски настройки. В определени случаи обработването се извършва за спазване на правно задължение, включително изисквания за идентификация, отчетност, данъчни и финансови задължения, както и за предотвратяване на незаконни дейности. Когато се прилагат легитимни интереси, те се преценяват спрямо правата и свободите на субектите на данни и се въвеждат гаранции, като ограничаване на достъпа и псевдонимизация при възможност. Съгласие се използва само когато това е приложимо и необходимо, като се осигурява възможност за оттегляне по всяко време без неблагоприятни последици извън невъзможността да се предостави съответната незадължителна функционалност.

Цели на обработването и функционална необходимост

Обработването на лични данни е насочено към предоставяне на услугите на NV Casino, включително създаване и поддържане на акаунт, идентификация, предотвратяване на неоторизиран достъп и управление на транзакции. Данните се използват за администриране на платформата, диагностика на технически проблеми, поддържане на сигурността и изпълнение на процедури за управление на риска. При наличие на законови изисквания се извършват проверки за възраст и идентичност, както и действия по противодействие на измами и злоупотреби, включително анализ на необичайни модели на активност. Данни могат да се използват за обработване на заявки и жалби, включително за проследяване на кореспонденция и качество на обслужването, когато това е необходимо за доказване на изпълнение или защита при спор. Когато се обработват данни за подобряване на услугата, се прилагат ограничения, така че обработването да бъде съвместимо с първоначалните цели и да не води до непропорционално въздействие върху субектите на данни.

Срокове за съхранение и изтриване на данни

Като принцип, личните данни се съхраняват за период, който не надвишава необходимото за постигане на целите, за които са събрани, и за изпълнение на приложими законови задължения. Политика за поверителност предвижда, че данните за профил и идентификация могат да се съхраняват през периода на активност на акаунта и допълнително за срок до 5 години след прекратяване, когато това е необходимо за отчетност, разрешаване на спорове или изпълнение на правни задължения. Транзакционни и счетоводни записи могат да се съхраняват до 10 години, доколкото е необходимо за финансово отчитане и доказване на операции, като достъпът до тях се ограничава и се прилага архивиране. Логове за сигурност и технически дневници могат да се съхраняват за период от 180 дни, освен ако не е необходимо по-дълго съхранение при разследване на инциденти или спорове. След изтичане на приложимите срокове данните се изтриват или се анонимизират по начин, който не позволява идентификация, като се поддържат контролни механизми за предотвратяване на случайно възстановяване.

Споделяне на данни и разкриване към трети лица

Лични данни могат да бъдат разкривани на доставчици на услуги, които подпомагат функционирането на платформата, включително хостинг, поддръжка, мониторинг на сигурността, KYC проверки и платежна обработка, при наличие на договорни клаузи за поверителност. NV Casino може да предоставя ограничени данни на професионални консултанти, като одитори и правни съветници, когато това е необходимо за изпълнение на правни задължения или защита на законни интереси. Разкриване към компетентни органи може да се извършва при наличие на правно основание, включително при законово искане или за съдействие при разследване, като се документира обхватът и основанието на разкриването. Когато е възможно, се прилага принципът на минимизация, така че да се предоставят само релевантни данни, например идентификатор на транзакция вместо пълен набор от профилни данни. В случай на преструктуриране, прехвърляне на активи или промяна на доставчик, се прилагат мерки за запазване на конфиденциалността и се оценяват рисковете преди осъществяване на прехвърляне.

Международни трансфери на лични данни

При определени технически и организационни операции може да се наложи трансфер на лични данни извън Европейското икономическо пространство, например при използване на облачни услуги или центрове за поддръжка. Политика за поверителност изисква подобни трансфери да се извършват само при наличие на подходящи гаранции, като решение за адекватност или стандартни договорни клаузи, допълнени с оценка на риска. При необходимост се прилагат допълнителни мерки като криптиране при пренос и ограничаване на достъпа чрез многофакторна автентикация, така че рискът от неоторизиран достъп да бъде намален. Когато трансферът включва обработващи лица, се изискват договорни задължения за уведомяване при искане от публичен орган, доколкото това е допустимо по право. Документацията относно основанията за трансфер се поддържа за целите на отчетност и може да бъде предоставена при надлежно искане от надзорен орган.

Мерки за информационна сигурност и управление на риска

Сигурността на обработваните данни се поддържа чрез съвкупност от технически и организационни мерки, предназначени да предотвратяват загуба, неправомерен достъп, изменение или разкриване. Прилага се криптиране при пренос посредством актуални протоколи и се използва сегментиране на средите, когато това е приложимо, с цел ограничаване на страничен достъп. Достъпът на служители и доставчици се предоставя по ролеви модел и се преглежда периодично, като се прилагат политики за пароли и многофакторна автентикация за чувствителни административни функции. Резервни копия се създават и съхраняват в защитени среди, като се тестват процедури за възстановяване с цел поддържане на наличност и устойчивост на системите. В рамките на управление на риска се цели поддържане на ниво на съответствие, при което критичните контроли покриват най-малко 95% от идентифицираните високорискови сценарии, като тази стойност се използва като вътрешен индикатор и не представлява абсолютна гаранция за липса на инциденти.

Бисквитки и сходни технологии за проследяване

Политика за поверителност урежда използването на бисквитки и сходни технологии, които подпомагат основната функционалност на уебсайта, сигурността на сесиите и предотвратяването на злоупотреби. Някои бисквитки са строго необходими за предоставяне на услугата, например за поддържане на автентикация и баланс на натоварване, поради което тяхното използване може да бъде обосновано с легитимен интерес и функционална необходимост. Други технологии могат да се използват за измерване на производителността и диагностика на грешки, като се прилагат настройки за ограничаване на събираните параметри и, когато е възможно, се използват агрегирани стойности. Срокът на съхранение на бисквитки може да варира, като сесийните обичайно се изтриват при затваряне на браузъра, а постоянните могат да се запазят до 12 месеца в зависимост от предназначението им и настройките. Управлението на предпочитанията може да се осъществява чрез настройките на браузъра и наличните механизми за избор, като се отчита, че блокирането на строго необходимите бисквитки може да доведе до ограничена функционалност.

Права на субектите на данни и ограничения

Правата на субектите на данни произтичат от приложимата правна рамка и включват право на достъп, коригиране, изтриване, ограничаване на обработването, преносимост и възражение при наличие на законови предпоставки. NV Casino осигурява процедури за разглеждане на искания, като може да изисква допълнителна информация за установяване на самоличност с цел предотвратяване на неоторизирано разкриване. Политика за поверителност предвижда отговор на искане без неоправдано забавяне и по правило в срок до 30 дни, като срокът може да бъде удължен при сложност или множество искания при условията на приложимото право. Когато се обработват данни на основание съгласие, оттеглянето му не засяга законосъобразността на обработването преди оттеглянето, а се отразява за бъдещи операции. Определени права могат да бъдат ограничени, когато това е необходимо за спазване на законово задължение или за установяване, упражняване или защита на правни претенции, като подобни ограничения се прилагат пропорционално и подлежат на документация.

Право на жалба до надзорен орган

Субектът на данни разполага с право да подаде жалба до компетентния надзорен орган в България, когато счита, че обработването нарушава приложимите правила. Жалбата може да бъде подадена независимо от използваните вътрешни канали за контакт, като подаването ѝ не ограничава възможността за търсене на съдебна защита. Администраторът поддържа практики за съдействие при проверки и предоставяне на относимата документация при законосъобразно искане. При получаване на уведомление за жалба се предприемат вътрешни действия за проверка на фактите и оценка на рисковете, като се прилагат корективни мерки при необходимост.

Възражение и автоматизирани решения

Когато обработването се основава на легитимен интерес, субектът на данни може да възрази срещу обработването при наличие на основания, свързани с конкретната му ситуация. При получаване на възражение се извършва балансиращ тест и се оценява дали съществуват убедителни законни основания, които имат преимущество. В рамките на мерките за предотвратяване на измами могат да се използват автоматизирани средства за оценка на риск, като резултатите се използват за сигнализиране и допълнителни проверки. Когато е приложимо, се осигурява възможност за човешка намеса и преразглеждане, доколкото това е съвместимо със законовите задължения и необходимостта от защита на системите. Подходът цели пропорционалност и ограничаване на неправомерно неблагоприятни последици, като се използват контролни механизми срещу систематични грешки.

Процедури за контакт и искания относно данни

За искания, свързани с упражняване на права, корекции на профил или въпроси относно обработването, могат да се използват официалните канали за контакт, посочени на уебсайта nv-casin.com. Политика за поверителност изисква исканията да бъдат разглеждани при спазване на принципите на конфиденциалност и прилагане на минимизация на данните, включително при обмен на кореспонденция. С цел защита срещу измами администраторът може да поиска допълнителни сведения за идентификация, като такива сведения се използват само за проверка и не се обработват за несъвместими цели. Когато искането е свързано с предоставяне на копие от данни, форматът се определя с оглед сигурност и техническа осъществимост, включително чрез защитен канал или криптиран файл. В рамките на вътрешната организация се поддържа регистър на исканията, включително дата на получаване, предприети действия и дата на отговор, с цел отчетност и проверимост.

Изменения на документа и ангажимент за съответствие

Политика за поверителност се поддържа като жив документ, който може да бъде актуализиран при промени в приложимото право, регулаторни указания, технологични процеси, договорни отношения с доставчици или при внедряване на нови мерки за сигурност. Актуализациите се извършват при спазване на принципите на прозрачност и предвидимост, като се публикува актуална версия на страницата nv-casin.com/privacy-policy и се посочва дата на последна промяна. При съществени изменения, които променят характера на обработването или обхвата на правата, може да се приложи допълнителен механизъм за уведомяване чрез наличните комуникационни канали, когато това е подходящо и законосъобразно. NV Casino заявява ангажимент за спазване на изискванията за защита на личните данни в България и прилага вътрешни контроли за отчетност, включително периодични прегледи на достъпа, оценка на рисковете и обучение на персонал по конфиденциалност. В рамките на тези прегледи могат да се актуализират срокове за съхранение, мерки за сигурност или правни основания, като се избягва обработване, несъвместимо с първоначално заявените цели. При възникване на несъответствие се предвиждат корективни действия в конкретни срокове, включително техническо ограничаване на достъп в рамките на 24 часа при установяване на критичен риск и последващ анализ на причините. Настоящият документ следва да се тълкува систематично с общите условия на уебсайта, като при противоречие се прилага по-високият стандарт на защита на личните данни, доколкото това е допустимо от закона.