Обхват и общи положения

Настоящата Политика за поверителност урежда правилата за обработване на лични данни при използване на nv-spin.eu.com и свързаните функционалности, предоставяни от NV Casino. Документът е изготвен с оглед приложимите изисквания на Регламент (ЕС) 2016/679 и относимото законодателство в България, включително принципите за законосъобразност, добросъвестност, прозрачност и минимизиране на данните. Политиката се прилага за посетители на уебсайта, регистрирани лица, както и за лица, които осъществяват контакт чрез наличните канали. При обработване на данни се поддържа отчетност и се прилагат вътрешни процедури за контрол, включително регистри на дейностите по обработване. Когато е приложимо, се вземат предвид указания на надзорния орган и добри практики за защита на информацията.

Определения и роли при обработване

За целите на документа „лични данни“ означава всяка информация, отнасяща се до идентифицирано или подлежащо на идентифициране физическо лице, включително идентификатори като име, онлайн идентификатор или фактори, специфични за идентичността. „Администратор“ е лицето, което самостоятелно определя целите и средствата за обработване, като в контекста на услугата това е NV Casino, доколкото организира предоставянето на функционалности на nv-spin.eu.com. „Обработващ“ е лице, което обработва данни от името на администратора по силата на договор и документируеми инструкции. „Надзорен орган“ за България е Комисията за защита на личните данни, която упражнява контрол и разглежда жалби, когато са налице предпоставки. При тълкуване на този документ се прилагат понятията и принципите на европейската и националната рамка за защита на данните.

Категории обработвани лични данни

При използване на услугите могат да се обработват идентификационни данни като имена, дата на раждане и данни за гражданство, когато това е необходимо за установяване на самоличност и за спазване на нормативни изисквания. Могат да се обработват данни за контакт като имейл адрес, телефонен номер и адрес за кореспонденция, доколкото са предоставени при регистрация или в процес на обслужване. Обработват се технически данни като IP адрес, идентификатори на устройство, данни за браузър, логове за достъп и приблизителна геолокация на ниво държава, които подпомагат сигурността и диагностицирането. В рамките на финансови операции могат да се обработват данни за транзакции, включително суми, валута, идентификатори на плащане и статус на операцията, като не се цели съхранение на пълни данни за платежни инструменти извън необходимото. При изпълнение на изисквания за съответствие може да се обработват данни от документи за идентификация, включително снимка и номер на документ, при прилагане на подходящи мерки за ограничаване на достъпа. Политика за поверителност не допуска обработване на специални категории лични данни, освен ако това не бъде изискано от закон или не възникне изключение при наличие на приложимо основание и допълнителни гаранции.

Данни, свързани с използването на услугата

Могат да се обработват данни за потребителски профил, предпочитания за настройки и история на действия, когато това е необходимо за предоставяне и поддържане на функционалностите. Съхраняват се записи за влизания, промени по профила и сигнали за риск, включително неуспешни опити за удостоверяване, с цел предотвратяване на злоупотреби. Когато се използват инструменти за откриване на измами, могат да се създават показатели за риск, които се основават на технически сигнали и поведенчески модели. Данните се обработват при принцип на минимизация и прилагане на ограничения по отношение на достъпа и сроковете за съхранение.

Данни за проверка и съответствие

При наличие на нормативно задължение могат да се изискват данни за проверка на възраст и самоличност, включително доказателства за адрес и документ за самоличност. В определени случаи могат да се обработват данни, свързани с източник на средства, когато това е необходимо за изпълнение на правни задължения и за управление на риска. Тези данни се използват само за конкретната цел по съответствие и не се използват за несъвместими цели. Достъпът до тях се предоставя по принцип на необходимост и прилагане на повишени организационни мерки.

Начини за събиране на данни

Събирането на данни се извършва оперативно чрез формуляри за регистрация, вход в профил, комуникация с обслужване и предоставяне на документи за проверка. Част от данните се генерират автоматично при използване на уебсайта, включително логове за достъп, диагностична информация и идентификатори, необходими за техническо функциониране. Данни могат да бъдат получени и от доставчици на платежни услуги или услуги по верификация, когато това е необходимо за изпълнение на договор или за спазване на законови изисквания. В определени случаи могат да се обработват данни от публични източници или от компетентни органи, когато това е необходимо за предотвратяване на измами или за изпълнение на задължение. Политика за поверителност изисква всяко събиране да бъде ограничено до данни, които са относими, необходими и пропорционални спрямо заявената цел.

Точност и актуалност на информацията

Поддържането на точност на данните е съществен елемент от съответствието, включително за правилно изпълнение на правни задължения и обслужване. При установяване на несъответствия могат да бъдат предприети действия за актуализация или за временно ограничаване на обработването до изясняване. Когато данни са предоставени от трета страна, администраторът предприема разумни мерки за проверка на надеждността им, доколкото това е възможно и необходимо. Използват се механизми за валидация и вътрешни контролни проверки, за да се ограничи въвеждането на очевидно неверни стойности.

Цели на обработването

Обработването се извършва за предоставяне на услуги, управление на регистрация, удостоверяване и поддържане на потребителски профил в рамките на nv-spin.eu.com. Данните се използват за обработване на депозити и изплащания, управление на плащания и счетоводна отчетност, както и за проследяване на транзакции при възникнали спорове. Обработването подпомага сигурността на системите, включително предотвратяване на неоторизиран достъп, мониторинг за аномалии и управление на инциденти, като се поддържат съответните записи. Данни се използват за изпълнение на правни задължения, включително мерки за идентификация и проверки, когато са приложими спрямо дейността. При получаване на запитвания или сигнали данните се използват за администриране на комуникацията и за предоставяне на отговор в законоустановени срокове. Политика за поверителност установява, че обработването за несъвместими цели не се допуска без налично приложимо основание и без допълнителна оценка за съвместимост.

Управление на риск и предотвратяване на злоупотреби

С цел защита на услугата и заинтересованите лица могат да се обработват сигнали за риск, включително данни за поведенчески модели и технически индикатори. Могат да се прилагат автоматизирани проверки за откриване на измами, като резултатите се използват за последващ човешки преглед при съмнения за неправомерни действия. При установяване на инциденти могат да се събират допълнителни логове, доколкото са необходими за анализ, ограничаване на въздействието и възстановяване. Приложимите вътрешни правила предвиждат контрол върху достъпа до такива данни и ограничени срокове за съхранение, съобразени с целта.

Правни основания за обработване

Обработването се основава на изпълнение на договор или предприемане на стъпки по искане на субекта на данните преди сключване на договор, доколкото това е необходимо за предоставяне на функционалности. Когато са налице правни задължения, обработването се извършва на основание приложимо законодателство, включително изисквания за отчетност, идентификация и сътрудничество с компетентни органи. В определени случаи обработването може да се основава на легитимен интерес, като например осигуряване на информационна сигурност, предотвратяване на измами и защита при правни претенции, след извършване на балансиращ тест. Когато се изисква съгласие, то се събира по начин, който позволява доказване, като оттеглянето му не засяга законосъобразността на обработването преди оттеглянето. Политика за поверителност уточнява, че при промяна в правното основание се прилагат принципи на прозрачност и минимизация, както и допълнителни оценки при повишен риск.

Автоматизирано вземане на решения

Прилагането на автоматизирани средства може да се използва за техническо филтриране на риск и за предотвратяване на злоупотреби, като не се цели вземане на решения със значителни правни последици без подходящи гаранции. Когато автоматизирана оценка допринесе за ограничаване на достъп или за задържане на операция, се предвижда възможност за човешка намеса и последваща проверка. При този режим се прилагат мерки за обяснимост в разумни граници, съобразени с необходимостта от защита на системите и предотвратяване на заобикаляне на контролите. Данните, използвани в такива процеси, се ограничават до необходимите категории и се подлагат на периодична оценка за точност и недискриминационност.

Срокове за съхранение и изтриване

Сроковете за съхранение се определят според целта и правното основание, като се прилагат принципите за ограничение на съхранението и минимизиране. Данни за профил и свързани настройки се съхраняват за периода на активност на профила и за допълнителен срок до 12 месеца след последното влизане, когато това е необходимо за сигурност и за управление на спорове. Транзакционни и счетоводни данни могат да се съхраняват за срок до 10 години, доколкото това се изисква от приложими правила за отчетност и защита при правни претенции. Логове за сигурност могат да се съхраняват обичайно до 180 дни, освен ако конкретен инцидент не налага по-дълъг период за разследване и доказване на факти. При получаване на искане за изтриване се извършва проверка за наличие на правно основание за продължаване на съхранението, включително законово задължение или легитимен интерес за защита на права. Политика за поверителност предвижда периодичен преглед на категориите данни и сроковете, както и процедури за сигурно изтриване или необратима анонимизация.

Разкриване на данни и получатели

Данни могат да бъдат разкривани на обработващи, които предоставят услуги по хостинг, поддръжка, киберсигурност, верификация, комуникационни канали и обработване на плащания, при наличие на договорни гаранции и инструкции. При използване на доставчици се изискват мерки за поверителност, ограничение на достъпа и задължения за уведомяване при инциденти, като контролът върху съответствието се осъществява чрез оценки и прегледи. Данни могат да бъдат предоставени на компетентни органи, когато това се изисква по закон или при валидно разпореждане, като се спазва принципът на минимално разкриване. При възникване на правни претенции данни могат да бъдат разкривани на правни консултанти, одитори или застрахователи, доколкото това е необходимо за установяване, упражняване или защита на права. NV Casino не продава лични данни и не допуска предоставяне на данни на трети лица за несъвместими цели без приложимо основание. Политика за поверителност изисква водене на записи относно категориите получатели и основанията за разкриване, когато това е приложимо.

Съвместни администратори и независими администратори

Когато трета страна обработва данни като независим администратор, обработването се извършва съгласно собствените правила на тази страна и в рамките на приложимата рамка. В такива случаи се цели предоставяне на прозрачна информация относно ролите, доколкото това е възможно в отношенията по предоставяне на услуга. При наличие на съвместно администриране се определят по подходящ начин отговорностите, включително по отношение на предоставяне на информация и упражняване на права. При конфликт между договорни условия и задължителни нормативни изисквания, приоритет имат нормативните изисквания.

Международни трансфери

Когато обработващи или технически доставчици са установени извън Европейското икономическо пространство, прехвърлянето на данни се извършва само при наличие на приложими гаранции. Такива гаранции могат да включват решение за адекватност, стандартни договорни клаузи и допълнителни технически и организационни мерки, съобразени с оценката на риска. При трансфери се прилага принцип на ограничение до необходимото, включително минимизация на категориите данни и ограничаване на достъпа. Когато е необходимо, се извършва оценка на въздействието на трансфера, включително анализ на правната среда и практиките, които биха могли да засегнат нивото на защита. Политика за поверителност предвижда документируемост на решенията относно трансферите и периодичен преглед на използваните механизми.

Технически и организационни мерки за сигурност

Сигурността на обработването се поддържа чрез комбинация от технически и организационни мерки, които са съобразени с риска, естеството на данните и вероятните последици при инцидент. Прилагат се контрол на достъпа, сегментиране на права, регистриране на действия и криптографски механизми, когато това е приложимо за съответните системи. За част от критичните операции се използват механизми за силно удостоверяване, включително 2 факторна проверка, когато е налична като функционалност, като целта е да се ограничи рискът от неоторизиран достъп. Поддържа се вътрешен режим за управление на уязвимости, включително периодични тестове и актуализации, като целевото изпълнение на критични корекции се планира в рамките на 72 часа при повишен риск. При оценка на ефективността на мерките се използват показатели за покритие, като вътрешните контролни проверки целят минимум 95% съответствие с определените базови контроли в рамките на приложимите системи. Политика за поверителност изисква своевременно уведомяване и управление на инциденти, включително оценка за риск за правата и свободите и предприемане на мерки за ограничаване на въздействието.

Управление на инциденти и уведомяване

При установяване на пробив в сигурността се прилага процедура за класификация, ограничаване, разследване и възстановяване, като се поддържа документация за предприетите действия. Когато са налице условия за уведомяване на надзорния орган, уведомяването се извършва без ненужно забавяне и по възможност в рамките на 72 часа от узнаването. Когато пробивът е вероятно да породи висок риск за правата и свободите, се предприемат мерки за информиране на засегнатите лица, когато това е изискуемо и уместно. Процесът включва последващ преглед на причините и въвеждане на коригиращи мерки, за да се намали вероятността от повторение.

Бисквитки и технологии за проследяване

Уебсайтът може да използва бисквитки и сходни технологии за осигуряване на основна функционалност, сигурност, поддържане на сесия и предотвратяване на злоупотреби. Част от бисквитките са строго необходими за предоставяне на услугата, поради което могат да бъдат използвани без съгласие, доколкото това е допустимо съгласно приложимите правила. За всички останали категории, когато са приложими, се прилага механизъм за избор и управление на предпочитания, който позволява предоставяне или отказ на съгласие. Данни, събирани чрез бисквитки, могат да включват идентификатори на сесия, настройки, информация за устройство и обобщени сигнали за производителност, като се избягва събиране на излишни данни. casino NV прилага подход за ограничение на сроковете, като част от бисквитките могат да бъдат с продължителност до 13 месеца, а останалите да бъдат сесийни и да се изтриват при затваряне на браузъра.

Управление на предпочитанията

Настройките на браузъра позволяват ограничаване или изтриване на бисквитки, като ефектът може да доведе до ограничена функционалност на определени части на услугата. Когато се използва механизъм за управление на съгласието, предпочитанията се съхраняват за разумен период, за да не се изисква повторно задаване при всяко посещение. При промяна на категориите бисквитки или на целите на използването им се извършва актуализация на информационните съобщения и, когато е необходимо, се събира ново съгласие. Политика за поверителност разглежда използването на технологии за проследяване само в рамките на допустимите цели и при прилагане на пропорционални мерки за прозрачност.

Права на субектите на данни и упражняването им

Правата на субектите на данни включват право на информация, право на достъп, право на коригиране, право на изтриване, право на ограничаване на обработването, право на възражение и право на преносимост, когато са налице законовите предпоставки. При обработване на основание съгласие се признава правото на оттегляне по всяко време, без това да засяга законосъобразността на обработването преди оттеглянето. При възражение срещу обработване на основание легитимен интерес се извършва оценка на конкретните обстоятелства и, когато е приложимо, обработването се прекратява или се прилагат ограничителни мерки. При получаване на искане се извършва проверка на самоличността, като се използват разумни средства и се избягва събиране на излишни данни. Отговор се предоставя без ненужно забавяне и по правило в срок до 30 дни, като при сложност срокът може да бъде удължен с до 60 дни при уведомяване за причините. casino NV поддържа вътрешни процедури за регистриране на исканията и за осигуряване на последователно прилагане на правата.

Жалби и надзорен орган

Когато лице счита, че обработването нарушава приложимите правила, то има право да подаде жалба до Комисията за защита на личните данни в България. Паралелно с това се запазва възможността за търсене на съдебна защита по реда на приложимото законодателство. Преди подаване на жалба може да бъде отправено запитване по вътрешния канал, за да се даде възможност за проверка и коригиращи действия, без това да ограничава законовите права. Политика за поверителност предвижда добросъвестно съдействие при разглеждане на сигнали и предоставяне на относимата информация в рамките на допустимото.

Контакт, искания и процедури по защита на данните

Регулаторната рамка изисква прозрачни канали за контакт по въпроси, свързани със защита на данните, включително за упражняване на права и за получаване на разяснения по обработването. Исканията се приемат чрез контактните данни, публикувани на nv-spin.eu.com, като се препоръчва използване на имейл адрес за писмена следа и по-лесно удостоверяване на съдържанието на заявлението. Когато е необходимо, може да бъде изискана допълнителна информация за потвърждаване на самоличността, като обработването на тази информация се ограничава до целта по удостоверяване. При постъпване на искане се извършва вътрешна оценка за приложимото правно основание, възможните ограничения и необходимостта от запазване на данни за защита при правни претенции. В рамките на този процес се прилага принципът на пропорционалност, като се избягва предоставяне на данни, засягащи права и свободи на други лица. Политика за поверителност предвижда, че когато искането е явно неоснователно или прекомерно, може да бъде отказано изпълнение или да бъде начислена разумна такса, при спазване на изискванията за обосноваване.

Политика за поверителност, изменения и ангажимент за съответствие

Политика за поверителност се поддържа като жив документ, който отразява промени в законодателството, практиките по обработване и мерките за сигурност, приложими към услугите на nv-spin.eu.com. Процедурата по изменение включва вътрешен преглед на дейностите по обработване, оценка на влиянието върху правата и свободите и актуализация на текстовете, когато е налице необходимост от допълнителна прозрачност или от корекция на правните основания. При съществена промяна, която може да повлияе съществено на субектите на данни, се предвижда публикуване на обновена версия и осигуряване на разумен период за запознаване, като ориентировъчно се прилага срок от 14 дни преди влизане в сила, когато това е възможно без да се компрометира сигурността или изпълнение на законови изисквания. Документацията по измененията се съхранява за минимум 2 години с цел отчетност и възможност за проверка на развитието на мерките и практиките. casino NV потвърждава ангажимент за спазване на принципите за законосъобразност, добросъвестност и прозрачност, включително ограничаване на целите, минимизация на данните и ограничение на съхранението, както и поддържане на подходящи технически и организационни мерки. Политика за поверителност се прилага съгласно принципа на отчетност, като при необходимост се извършват периодични проверки, обучения и актуализации на вътрешните правила за достъп и обработване. При несъответствия се предвиждат коригиращи действия, включително ограничаване на обработването, преразглеждане на доставчици и допълнителни мерки за сигурност, за да се поддържа високо ниво на защита на данните в контекста на приложимите изисквания в България.