Zakres dokumentu i informacje ogólne
Polityka prywatności określa zasady przetwarzania danych osobowych związane z korzystaniem z serwisu nv-casin.com, w tym usług świadczonych w środowisku iGaming. Dokument ma charakter informacyjny w rozumieniu art. 12 - 14 RODO i opisuje, w jaki sposób administrator realizuje obowiązki w zakresie zgodności, rozliczalności oraz minimalizacji danych. Postanowienia niniejszego dokumentu znajdują zastosowanie do operacji przetwarzania wykonywanych w ramach rejestracji konta, obsługi płatności, weryfikacji tożsamości, komunikacji oraz zapewnienia bezpieczeństwa. W zakresie, w jakim poszczególne funkcjonalności są świadczone przez podmioty trzecie, zastosowanie może mieć również ich dokumentacja, przy czym niniejszy dokument reguluje relację dotyczącą przetwarzania danych w ramach serwisu. Informacje zostały przygotowane zgodnie z wymogami prawa polskiego oraz RODO, przy uwzględnieniu specyfiki usług hazardowych online.
Administrator danych i odpowiedzialność w ramach serwisu
Administratorem danych osobowych jest podmiot prowadzący serwis NV Casino, działający jako podmiot decydujący o celach i sposobach przetwarzania danych osobowych. W ramach serwisu casino NV administrator ustala środki techniczne i organizacyjne, wybiera dostawców usług przetwarzających dane oraz zarządza upoważnieniami dostępu. Administrator odpowiada za zapewnienie zgodności przetwarzania z zasadami legalności, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania oraz integralności i poufności. W przypadku powołania inspektora ochrony danych informacja o kanale kontaktu jest udostępniana w części kontaktowej serwisu lub w korespondencji zwrotnej w sprawach dotyczących danych. W relacjach z podmiotami przetwarzającymi administrator zawiera umowy powierzenia zgodnie z art. 28 RODO i weryfikuje adekwatność zastosowanych zabezpieczeń.
Definicje i podstawowe pojęcia przetwarzania
Danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności poprzez identyfikator taki jak imię i nazwisko, identyfikator internetowy lub dane o czynnikach określających tożsamość. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych, w tym zbieranie, utrwalanie, przechowywanie, modyfikowanie, przeglądanie, udostępnianie lub usuwanie. Podmiotem danych jest osoba, której dane dotyczą, niezależnie od sposobu wejścia w relację z serwisem, w tym poprzez rejestrację, kontakt lub wykorzystanie funkcji bezpieczeństwa. Odbiorcą danych jest podmiot, któremu ujawnia się dane osobowe, w tym dostawca usług płatniczych, audytor, dostawca hostingu lub podmiot świadczący wsparcie techniczne, o ile działa w granicach właściwej podstawy prawnej. Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu.
Kategorie danych osobowych przetwarzanych w serwisie
Polityka prywatności obejmuje kategorie danych gromadzonych w związku z założeniem i utrzymaniem konta oraz realizacją obowiązków w zakresie zgodności, w tym przeciwdziałania nadużyciom. W casino NV przetwarzane mogą być dane identyfikacyjne i kontaktowe, takie jak imię, nazwisko, data urodzenia, adres, adres e-mail oraz numer telefonu, jeśli są niezbędne do obsługi konta. Przetwarzane mogą być również dane dotyczące transakcji i rozliczeń, w tym identyfikatory płatności, kwoty, waluta, znaczniki czasu oraz informacje o statusie operacji, przy czym administrator ogranicza zakres do danych koniecznych. W zależności od obowiązków prawnych mogą być przetwarzane dane weryfikacyjne, w tym kopie dokumentów tożsamości lub ich wyciągi, dane o źródle środków, a także wyniki kontroli zgodności, o ile wymagają tego przepisy lub uzasadnione procedury bezpieczeństwa. Serwis może przetwarzać dane techniczne, takie jak adres IP, identyfikatory urządzenia, informacje o przeglądarce, logi systemowe oraz zdarzenia bezpieczeństwa, co służy stabilności i przeciwdziałaniu nadużyciom.
Źródła danych i sposoby ich pozyskiwania
Dane pozyskiwane są przede wszystkim bezpośrednio od osoby, której dane dotyczą, poprzez formularze rejestracyjne, ustawienia konta, zgłoszenia do wsparcia oraz przekazanie dokumentów weryfikacyjnych. W ramach serwisu mogą działać mechanizmy automatycznego zbierania danych technicznych, w tym dzienniki serwera i metadane połączeń, co jest standardem dla zapewnienia ciągłości usług. Polityka prywatności obejmuje także przypadki, w których dane są pozyskiwane od zaufanych podmiotów trzecich, takich jak dostawcy płatności, operatorzy narzędzi antyfraudowych lub dostawcy usług weryfikacyjnych, jeżeli jest to niezbędne dla realizacji umowy lub spełnienia obowiązku prawnego. W casino NV mogą być wykorzystywane dane pochodzące z publicznie dostępnych rejestrów jedynie w zakresie dopuszczalnym prawem i proporcjonalnym do celu, przykładowo dla weryfikacji danych identyfikacyjnych. Administrator nie pozyskuje danych w sposób ukryty w celu tworzenia profili marketingowych, a ewentualne profilowanie ryzyka ogranicza do funkcji bezpieczeństwa i zgodności.
Podstawy prawne przetwarzania danych
Przetwarzanie danych osobowych odbywa się na podstawach prawnych wskazanych w art. 6 RODO, a w przypadkach szczególnych również na podstawach z art. 9 RODO, o ile mają zastosowanie. W pierwszej kolejności podstawą może być wykonanie umowy lub podjęcie działań na żądanie osoby przed zawarciem umowy, obejmujące m.in. utworzenie konta, realizację transakcji i obsługę funkcjonalności serwisu. Kolejną podstawę stanowi wypełnienie obowiązku prawnego ciążącego na administratorze, w tym obowiązków związanych z bezpieczeństwem rozliczeń, dokumentacją operacji oraz wymaganiami w zakresie przeciwdziałania nadużyciom. Administrator może przetwarzać dane także w ramach prawnie uzasadnionego interesu, rozumianego jako zapewnienie bezpieczeństwa, wykrywanie incydentów, dochodzenie lub obrona roszczeń oraz utrzymanie integralności systemów. Zgoda może stanowić podstawę jedynie w sytuacjach, w których jest dobrowolna, konkretna, świadoma i możliwa do wycofania bez negatywnych konsekwencji dla podstawowej usługi, przy czym jej brak nie wpływa na zgodność przetwarzania opartego na innych podstawach.
Cele przetwarzania i zasady minimalizacji
Polityka prywatności opisuje cele przetwarzania w sposób ograniczony do tego, co niezbędne dla funkcjonowania serwisu oraz spełnienia wymogów prawnych i bezpieczeństwa. W casino NV dane są przetwarzane w celu świadczenia usług drogą elektroniczną, zarządzania kontem, realizacji wpłat i wypłat oraz zapewnienia wsparcia użytkownika w zakresie technicznym i rozliczeniowym. Dane techniczne i logi mogą być wykorzystywane do monitorowania dostępności, zapobiegania atakom, wykrywania nadużyć oraz zapewnienia ciągłości działania, przy czym zakres analiz jest ograniczony do celu i okresu niezbędnego. Dane weryfikacyjne mogą być przetwarzane w celu potwierdzenia tożsamości oraz spełnienia obowiązków zgodności, w tym weryfikacji wieku i ochrony przed wykorzystaniem serwisu w sposób sprzeczny z prawem. Administrator stosuje zasadę minimalizacji, co oznacza, że żąda i utrwala wyłącznie te dane, które są adekwatne i niezbędne, a w przypadku danych dodatkowych zapewnia możliwość ich niepodawania, o ile nie są wymagane dla celu.
Przechowywanie danych i okresy retencji
Okresy przechowywania danych są ustalane według kryterium niezbędności, zgodności prawnej oraz możliwości dochodzenia lub obrony roszczeń, a ich długość może się różnić w zależności od rodzaju danych. Dane związane z kontem i rozliczeniami mogą być przechowywane przez okres trwania umowy oraz dodatkowo przez 6 lat od końca roku kalendarzowego, w którym zakończono współpracę, jeżeli wynika to z terminów przedawnienia roszczeń lub obowiązków dokumentacyjnych. W przypadku dokumentów weryfikacyjnych okres może wynosić do 12 miesięcy od zakończenia weryfikacji, o ile nie wystąpi obowiązek dłuższego przechowywania wynikający z przepisów lub toczącego się postępowania wyjaśniającego. Dane z dzienników bezpieczeństwa mogą być przechowywane przez 90 dni, chyba że wykryto incydent, wówczas dane mogą być zachowane do czasu wyjaśnienia zdarzenia i zamknięcia sprawy. Po upływie właściwych okresów dane są usuwane albo poddawane anonimizacji, a proces obejmuje również kopie zapasowe w cyklu technicznym, który może wynosić do 30 dni.
Odbiorcy danych i zasady udostępniania
Dane osobowe mogą być ujawniane wyłącznie odbiorcom uprawnionym na podstawie przepisów prawa lub umów zapewniających zgodność z RODO oraz poufność. W ramach casino NV odbiorcami mogą być dostawcy usług płatniczych, banki, operatorzy narzędzi do zapobiegania nadużyciom, dostawcy hostingu i utrzymania infrastruktury, a także podmioty świadczące usługi audytu, księgowości lub obsługi prawnej. Udostępnienie następuje w minimalnym zakresie, jaki jest konieczny do realizacji celu, przy czym administrator weryfikuje, czy odbiorca zapewnia odpowiedni poziom ochrony oraz czy istnieje właściwa podstawa prawna. Dane mogą być ujawnione organom publicznym, w tym organom ścigania, sądom lub organom nadzoru, wyłącznie w granicach wiążącego żądania oraz obowiązujących przepisów. Administrator nie sprzedaje danych osobowych ani nie udostępnia ich w celu niezależnego marketingu podmiotów trzecich.
Przekazywanie danych poza Europejski Obszar Gospodarczy
Przekazywanie danych poza Europejski Obszar Gospodarczy może wystąpić, gdy dostawcy technologiczni lub podwykonawcy utrzymują infrastrukturę w państwach trzecich albo korzystają z zasobów wsparcia globalnego. Polityka prywatności przewiduje, że w takich sytuacjach administrator stosuje mechanizmy legalizujące transfer, w szczególności decyzje stwierdzające odpowiedni stopień ochrony lub standardowe klauzule umowne zatwierdzone przez Komisję Europejską. W casino NV transfery są oceniane pod kątem ryzyka, a w razie potrzeby wdrażane są dodatkowe środki, takie jak szyfrowanie w tranzycie i w spoczynku, pseudonimizacja lub ograniczenia dostępu oparte na rolach. Administrator prowadzi dokumentację oceny transferu i weryfikuje, czy w praktyce możliwe jest utrzymanie poziomu ochrony równoważnego z RODO. Informacje o aktualnych kategoriach odbiorców oraz podstawach transferu mogą zostać udostępnione na wniosek w zakresie dopuszczalnym prawem i bez naruszania tajemnic prawnie chronionych.
Środki bezpieczeństwa i zarządzanie incydentami
Z perspektywy regulacyjnej ochrona danych osobowych wymaga zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku, zgodnie z art. 32 RODO. Administrator wdraża kontrolę dostępu, separację środowisk, rejestrowanie zdarzeń oraz procedury nadawania i odbierania uprawnień, a dostęp do danych jest ograniczany do osób upoważnionych. W casino NV stosuje się szyfrowanie transmisji oraz mechanizmy ochrony konta, a systemy są monitorowane pod kątem prób nieautoryzowanego dostępu i nadużyć. Celem ograniczania ryzyka administrator utrzymuje program testów i przeglądów bezpieczeństwa, przy czym audyty techniczne mogą obejmować co najmniej 2 przeglądy rocznie w zależności od zmian w infrastrukturze. Skuteczność wybranych środków jest cyklicznie oceniana, a w przypadku incydentu podejmowane są działania ograniczające skutki, dokumentowane w rejestrze, przy założeniu utrzymania wskaźnika zgodności procedur na poziomie co najmniej 99% w ujęciu operacyjnym. W razie naruszenia ochrony danych osobowych administrator dokonuje oceny ryzyka i, gdy jest to wymagane, zgłasza naruszenie do organu nadzorczego oraz zawiadamia osoby, których dane dotyczą, w ustawowych terminach.
Prawa osób, których dane dotyczą
Zgodnie z RODO osobom, których dane dotyczą, przysługują określone prawa, a administrator zapewnia procedury ich realizacji w sposób przejrzysty i niedyskryminujący. Polityka prywatności przewiduje możliwość uzyskania dostępu do danych, żądania ich sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia danych oraz wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie. W casino NV realizacja praw może podlegać ograniczeniom wynikającym z obowiązków prawnych, w szczególności gdy zachodzi konieczność przechowywania danych dla celów rozliczeń, bezpieczeństwa lub przeciwdziałania nadużyciom. Administrator udziela odpowiedzi na żądania bez zbędnej zwłoki, nie później niż w terminie 30 dni, przy czym termin może zostać przedłużony o kolejne 60 dni w razie złożoności lub liczby żądań. W przypadku wątpliwości co do tożsamości wnioskodawcy administrator może żądać dodatkowych informacji w zakresie niezbędnym do weryfikacji, co ma na celu ochronę danych przed nieuprawnionym ujawnieniem. Osobie, której dane dotyczą, przysługuje również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uzna, że przetwarzanie narusza przepisy.
Pliki cookies oraz technologie śledzące
Pliki cookies i podobne technologie mogą być wykorzystywane w celu zapewnienia prawidłowego działania serwisu, utrzymania sesji, zapobiegania nadużyciom oraz zapamiętywania preferencji, o ile jest to technicznie uzasadnione. W ramach serwisu mogą występować cookies niezbędne, funkcjonalne oraz analityczne, przy czym zakres ich zastosowania zależy od ustawień i konfiguracji środowiska użytkownika. Polityka prywatności wskazuje, że w casino NV stosowanie cookies innych niż niezbędne odbywa się zgodnie z właściwymi wymogami prawa telekomunikacyjnego i zasadami zgody, jeżeli są wymagane w danym przypadku. Dane zbierane za pomocą cookies mogą obejmować identyfikatory online, parametry urządzenia i zdarzenia na stronie, jednak administrator dąży do ograniczania ich do celów bezpieczeństwa i jakości usług. Ustawienia przeglądarki mogą umożliwiać kontrolę cookies, przy czym ograniczenie cookies niezbędnych może wpływać na dostępność części funkcji, co wynika z architektury technicznej. Informacje o czasie przechowywania cookies zależą od ich rodzaju, przy czym cookies sesyjne są usuwane po zamknięciu przeglądarki, a cookies trwałe mogą być przechowywane do 180 dni, o ile nie zostaną usunięte wcześniej.
Procedury kontaktowe i realizacja wniosków dotyczących danych
Wnioski dotyczące przetwarzania danych osobowych, w tym wnioski o realizację praw, należy składać kanałami kontaktu udostępnionymi w serwisie nv-casin.com, w sposób umożliwiający identyfikację sprawy. Polityka prywatności zakłada, że korespondencja jest rejestrowana w zakresie niezbędnym do obsługi wniosku, a dane z korespondencji są przechowywane przez 24 miesiące w celu zapewnienia ciągłości sprawy i możliwości wykazania rozliczalności. W casino NV administrator może wymagać doprecyzowania żądania, jeżeli jego zakres jest niejednoznaczny, co ma na celu sprawną realizację oraz ograniczenie ryzyka ujawnienia danych osobom nieuprawnionym. Odpowiedzi są udzielane w sposób odpowiadający charakterowi żądania, w tym poprzez przekazanie kopii danych lub informacji o podstawach prawnych i kryteriach retencji, z zachowaniem tajemnic prawnie chronionych. Jeżeli wniosek jest oczywiście nieuzasadniony lub nadmierny, administrator może pobrać rozsądną opłatę lub odmówić podjęcia działań, zgodnie z art. 12 ust. 5 RODO, każdorazowo uzasadniając decyzję. W zakresie usług realizowanych przez dostawców zewnętrznych administrator koordynuje wykonanie żądania, nie przenosząc odpowiedzialności informacyjnej na podmioty przetwarzające.
Zmiany dokumentu i Polityka prywatności
Polityka prywatności podlega okresowym przeglądom w celu utrzymania zgodności z prawem polskim, RODO oraz zmianami technologicznymi dotyczącymi sposobów przetwarzania danych w serwisie. Zmiany mogą wynikać w szczególności z modyfikacji funkcjonalności, wdrożenia nowych dostawców, aktualizacji środków bezpieczeństwa, zmiany podstaw prawnych przetwarzania albo zmian w praktyce organów nadzorczych. W casino NV obowiązuje zasada, zgodnie z którą istotne zmiany są komunikowane w sposób odpowiedni do ich charakteru, na przykład poprzez komunikat w serwisie lub wiadomość e-mail, z zachowaniem przejrzystości i umożliwieniem zapoznania się z treścią przed wejściem zmian w życie. Administrator utrzymuje wersjonowanie dokumentu oraz wskazuje datę ostatniej aktualizacji, przy czym archiwalne wersje mogą być przechowywane przez 5 lat dla celów dowodowych i audytowych. Polityka prywatności potwierdza zobowiązanie administratora do stosowania zasad ochrony danych przez projekt i domyślnie, a także do dokumentowania oceny ryzyka oraz doboru środków adekwatnych do zagrożeń. W przypadku rozbieżności między wcześniejszymi informacjami a zaktualizowaną treścią wiążąca jest aktualna wersja dokumentu, a wnioski dotyczące danych pozostają rozpatrywane według terminów wskazanych w niniejszym dokumencie, w tym 30 dni, chyba że prawo dopuszcza przedłużenie. Administrator deklaruje utrzymanie zgodności procesów, w tym w zakresie transferów i zabezpieczeń, oraz zobowiązuje się do wdrażania zmian w sposób ograniczający wpływ na prywatność, zgodnie z zasadą minimalizacji i ograniczenia celu.