NV Casino
EN DE PL FR LT BG CS RO

Úvodní ustanovení a rozsah dokumentu

Tyto Zásady ochrany osobních údajů stanovují pravidla, podle nichž NV Casino zpracovává osobní údaje v souvislosti s provozem internetových služeb dostupných na adrese nv-spin.eu.com. Dokument vymezuje rozsah zpracování, účely, právní tituly, dobu uchování, okruh příjemců a práva subjektů údajů. Ustanovení se uplatní na návštěvníky webu, registrované uživatele, žadatele o podporu a další osoby, jejichž údaje mohou být v rámci služeb zpracovány. Pravidla se aplikují na zpracování prováděné správcem i na zpracování prováděné zpracovateli na základě písemných smluvních ujednání. Tato pravidla se vykládají v souladu s nařízením (EU) 2016/679 a relevantními předpisy platnými v Czechia.

Vymezení rolí, definice a kontaktní rámec

Pro účely tohoto dokumentu se správcem rozumí subjekt určující účely a prostředky zpracování osobních údajů souvisejících s poskytováním služeb. Zpracovatelem se rozumí smluvní partner, který zpracovává údaje jménem správce, typicky poskytovatel hostingu, analytických nástrojů, komunikačních služeb nebo ověřovacích procesů. Osobními údaji se rozumí veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě, přičemž identifikovatelnost může vyplývat i z kombinace více datových prvků. V rámci provozu může být část činností svěřena více zpracovatelům, přičemž správce vyžaduje dodržení zásad důvěrnosti a přiměřené úrovně ochrany. Pokud je zřízen pověřenec pro ochranu osobních údajů, komunikace probíhá prostřednictvím kontaktních údajů uvedených v části o postupech žádostí.

Kategorie zpracovávaných osobních údajů

Regulační rámec služeb v oblasti iGaming vyžaduje, aby byly zpracovávány určité identifikační a ověřovací údaje v rozsahu přiměřeném účelu a právnímu titulu. Zpracovávány mohou být identifikační údaje jako jméno, příjmení, datum narození a státní příslušnost, dále kontaktní údaje jako e mail, telefonní číslo a adresa bydliště. V návaznosti na ověřování mohou být zpracovány údaje z dokladů, údaje o věku a údaje o provedeném ověření, přičemž rozsah je omezen na nezbytné minimum a ukládání kopií je posuzováno podle rizika a zákonných požadavků. V souvislosti s platebními operacemi mohou být zpracovány údaje o transakcích, identifikátory platebních metod, částky a časové značky, přičemž správce typicky neuchovává úplné údaje o platebních kartách, jsou li zpracovávány specializovaným poskytovatelem. Součástí mohou být také technické údaje jako IP adresa, typ zařízení, identifikátory prohlížeče a protokolové záznamy, které slouží k bezpečnosti a provozní stabilitě.

Zvláštní kategorie údajů a omezení rozsahu

Zvláštní kategorie osobních údajů podle GDPR nejsou záměrně vyžadovány jako podmínka používání služeb. Pokud se takové údaje výjimečně objeví v komunikaci se zákaznickou podporou, jsou zpracovány pouze v rozsahu nezbytném k vyřízení požadavku a s přísným omezením přístupu. Správce uplatňuje zásadu minimalizace, aby nedocházelo k nadbytečnému sběru údajů, které nejsou potřebné k plnění smlouvy, právní povinnosti nebo ochraně oprávněných zájmů.

Způsoby získávání osobních údajů a Zásady ochrany osobních údajů

Osobní údaje jsou získávány primárně přímo od subjektu údajů při registraci účtu, při nastavení profilu, při komunikaci se zákaznickou podporou nebo při provádění transakcí. Dalším zdrojem jsou technické informace vytvářené automaticky při používání webu, zejména protokoly serveru, bezpečnostní záznamy a údaje o relaci, které napomáhají odhalování incidentů. V určitých případech mohou být údaje získány od ověřovacích a platebních partnerů, pokud je to nutné k ověření identity, prevenci podvodů nebo ke splnění regulatorních povinností. Správce může využívat také informace z interních systémů pro detekci rizik, kde jsou vytvářeny odvozené ukazatele, například skóre rizikovosti, avšak s omezením na legitimní bezpečnostní účely. Vždy platí, že rozsah sběru se řídí principy zákonnosti, korektnosti a transparentnosti.

Údaje poskytnuté dobrovolně a důsledky neposkytnutí

Část údajů je poskytována dobrovolně, zejména údaje v rámci dotazů nebo stížností, a jejich neposkytnutí může vést pouze k omezení možnosti danou žádost vyřídit. Naopak údaje nezbytné pro uzavření a plnění smlouvy, včetně ověřovacích údajů, jsou podmínkou pro zřízení a udržení uživatelského účtu. Pokud nejsou tyto údaje poskytnuty, správce nemusí být schopen poskytnout služby v rozsahu vyžadovaném právními předpisy nebo smluvními podmínkami.

Právní základy zpracování

Zpracování je prováděno na základě více právních titulů podle GDPR, přičemž volba titulu odpovídá konkrétní operaci a jejímu účelu. Pro registraci, správu účtu a poskytování služeb je typicky relevantní plnění smlouvy, neboť bez nezbytných údajů nelze zajistit funkční přístup a evidenci transakcí. Pro splnění regulatorních a daňových povinností se uplatní plnění právní povinnosti, které může zahrnovat povinnosti související s ověřením věku a identity nebo s vedením účetních záznamů. Pro prevenci podvodů, ochranu systémů a vymáhání nároků se může uplatnit oprávněný zájem, který je posuzován testem proporcionality a dopadů na práva subjektů údajů. Souhlas se používá tam, kde není k dispozici vhodnější právní titul, typicky u některých typů cookies nebo volitelných preferencí.

Účely zpracování v prostředí casino NV

Operativní provoz služeb vyžaduje zpracování údajů za účelem zřízení a správy účtu, ověření identity, autentizace přístupu a poskytování zákaznické podpory. Pro casino NV je zásadní také zpracování údajů za účelem prevence zneužití, vyšetřování incidentů a zajištění integrity platebních operací, přičemž se uplatňují přiměřené kontrolní mechanismy. Další účely zahrnují plnění zákonných povinností, vedení evidence, interní audit a vyřizování podnětů, reklamací nebo sporů. Určité zpracování může probíhat za účelem měření výkonu webu a diagnostiky chyb, aby byla zachována dostupnost a stabilita služeb. Pokud je využito automatizované vyhodnocování rizik, je omezeno na bezpečnostní a compliance účely a nepředstavuje rozhodování založené výlučně na automatizovaném zpracování s právními účinky bez zavedení odpovídajících ochranných opatření.

Komunikace a provozní oznámení

Zpracování kontaktních údajů může být nezbytné pro zasílání provozních sdělení, například potvrzení registrace, bezpečnostních upozornění nebo informací o změnách podmínek. Tato sdělení jsou považována za součást poskytování služby a jejich zasílání se opírá o plnění smlouvy nebo právní povinnost, nikoli o marketingový souhlas. Záznamy o komunikaci mohou být uchovávány po omezenou dobu, aby bylo možné prokázat splnění povinností a zajistit kontinuitu podpory.

Doba uchování a Zásady ochrany osobních údajů

Zásady ochrany osobních údajů vyžadují, aby byly údaje uchovávány pouze po dobu nezbytně nutnou k dosažení účelu, pro který byly shromážděny, a následně byly vymazány nebo anonymizovány. Účetní a transakční záznamy mohou být uchovávány po dobu 10 let od konce příslušného účetního období, pokud to vyžadují relevantní právní předpisy. Ověřovací záznamy mohou být uchovávány po dobu 5 let od ukončení smluvního vztahu, pokud je to nezbytné k doložení splnění regulatorních povinností a obraně právních nároků. Protokolové a bezpečnostní záznamy jsou obvykle uchovávány po dobu 180 dní, ledaže je incident vyžaduje uchovat déle pro účely vyšetřování a uplatnění nároků. Záznamy týkající se vyřizování žádostí subjektů údajů mohou být uchovávány po dobu 3 let pro účely prokazatelnosti souladu.

Kritéria pro stanovení retenčních lhůt

Reteční lhůty jsou určovány s přihlédnutím k povaze údajů, míře rizika, zákonným povinnostem, promlčecím lhůtám a potřebě obhajoby proti nárokům. Správce pravidelně přezkoumává, zda je uchování stále nezbytné, a při zániku účelu provádí výmaz nebo anonymizaci. Tam, kde je možné uplatnit zkrácené uchování, je preferováno, aby byl dopad na soukromí minimalizován.

Předávání osobních údajů, příjemci a smluvní zpracovatelé

Osobní údaje mohou být sdíleny s poskytovateli technické infrastruktury, zákaznické podpory, bezpečnostních služeb, ověřovacích služeb a platebních služeb, pokud je to nezbytné pro poskytování služeb a splnění povinností. Příjemci mohou zahrnovat také orgány veřejné moci, pokud je předání vyžadováno právním předpisem nebo závazným rozhodnutím, přičemž rozsah předání je omezen na požadované minimum. Správce uzavírá se zpracovateli smlouvy o zpracování osobních údajů, které stanoví účel, dobu, povahu zpracování, kategorie údajů a bezpečnostní opatření. V rámci vnitřních procesů je přístup k údajům omezen podle rolí a přidělován pouze osobám, které jej potřebují k plnění pracovních nebo smluvních úkolů. U casino NV je standardem vyžadovat, aby zpracovatelé uplatňovali přiměřená technická a organizační opatření a podléhali povinnosti mlčenlivosti.

Mezinárodní předávání a přeshraniční zpracování

Regulační rámec umožňuje, aby některé technické nebo podpůrné činnosti byly zajišťovány poskytovateli usazenými mimo Czechia. Pokud dochází k předání osobních údajů mimo Evropský hospodářský prostor, je předání realizováno pouze při splnění podmínek kapitoly V GDPR, zejména na základě rozhodnutí o odpovídající ochraně nebo standardních smluvních doložek. Správce může požadovat doplňková opatření, například šifrování během přenosu a řízení přístupu, aby byla zajištěna srovnatelná úroveň ochrany. Informace o relevantních zárukách mohou být poskytnuty na vyžádání, pokud tím není dotčena ochrana obchodního tajemství nebo bezpečnostních mechanismů.

Cookies a sledovací technologie

Služba využívá cookies a obdobné technologie k zajištění základní funkčnosti webu, k ochraně před zneužitím a k uchování některých nastavení relace. Některé cookies jsou nezbytné pro provoz a jejich použití vychází z oprávněného zájmu na zajištění bezpečnosti a dostupnosti, případně z plnění smlouvy, pokud bez nich nelze službu poskytnout. Volitelné cookies mohou být používány pouze na základě souhlasu, který lze kdykoli změnit prostřednictvím nastavení prohlížeče nebo dostupného mechanismu správy preferencí. Doba platnosti cookies se liší podle typu a může být například 24 hodin pro relační prvky, 30 dní pro vybrané preference a 12 měsíců pro některé analytické identifikátory, pokud je udělen souhlas. Správce sleduje, aby uplatněné konfigurace odpovídaly principům minimalizace a aby nedocházelo k nepřiměřenému profilování.

Protokolování a technické identifikátory

Technické identifikátory, jako je IP adresa a identifikátory relace, mohou být zpracovávány za účelem detekce anomálií, ochrany proti automatizovaným útokům a zajištění integrity přihlášení. Takové zpracování je omezeno na dobu nezbytnou pro bezpečnostní účely a přístup k těmto záznamům je striktně omezen. Pokud jsou využívány nástroje třetích stran, správce posuzuje jejich roli a zajišťuje smluvní rámec odpovídající GDPR.

Bezpečnostní opatření a odpovědnost

Zpracování osobních údajů je zabezpečeno pomocí kombinace technických a organizačních opatření odpovídajících rizikům, povaze údajů a rozsahu zpracování. Mezi obvyklá opatření patří šifrování přenosu dat, správa přístupových oprávnění, vícefaktorová autentizace pro administrativní přístupy a pravidelné aktualizace systémů. Správce uplatňuje postupy řízení incidentů, včetně interní eskalace, analýzy dopadů a obnovy provozu, přičemž cílem je zkrátit dobu expozice a minimalizovat rizika pro subjekty údajů. V rámci interních kontrol může být prováděno periodické prověřování, například 2krát ročně, se zaměřením na přístupová oprávnění a konfigurace kritických služeb. Správce usiluje o zachování dostupnosti a integrity systémů s cílovou úrovní 99,9 % dostupnosti, pokud je to přiměřené a technicky dosažitelné v daném provozním kontextu.

Práva subjektů údajů v casino NV

Právní rámec GDPR přiznává subjektům údajů právo na přístup k osobním údajům, právo na opravu nepřesných údajů a právo na výmaz v případech stanovených právními předpisy. Dále se uplatní právo na omezení zpracování, právo vznést námitku proti zpracování prováděnému na základě oprávněného zájmu a právo na přenositelnost údajů, je li zpracování založeno na smlouvě nebo souhlasu a probíhá automatizovaně. Pokud je zpracování založeno na souhlasu, lze souhlas kdykoli odvolat, aniž by tím byla dotčena zákonnost zpracování před odvoláním. Správce poskytuje informace o přijatých opatřeních bez zbytečného odkladu, nejpozději do 30 dnů od obdržení žádosti, přičemž ve složitých případech může být lhůta prodloužena o další 60 dní. V casino NV se při vyřizování žádostí ověřuje identita žadatele, aby se zabránilo neoprávněnému zpřístupnění údajů.

Právo podat stížnost a dozorový orgán

Subjekt údajů má právo podat stížnost u dozorového orgánu, pokud se domnívá, že došlo k porušení GDPR nebo souvisejících právních předpisů. V Czechia je příslušným dozorovým orgánem Úřad pro ochranu osobních údajů. Správce doporučuje využít nejprve interní kontaktní kanály, aby mohla být věc posouzena a případně napravena, aniž by bylo dotčeno právo obrátit se na dozorový orgán kdykoli.

Postupy pro uplatnění žádostí a ověřování totožnosti

Žádosti týkající se osobních údajů se přijímají prostřednictvím kontaktních údajů uvedených v této zásadě nebo prostřednictvím dostupného komunikačního kanálu v uživatelském rozhraní. Správce může požadovat doplňující informace k ověření totožnosti, zejména pokud existují důvodné pochybnosti o identitě žadatele, přičemž rozsah ověření je přiměřený riziku. V odůvodněných případech může být vyžadováno ověření nejméně 2 nezávislými prvky, například potvrzení z registrované e mailové adresy a doplňkový bezpečnostní údaj. Pokud je žádost zjevně nedůvodná nebo nepřiměřená, může správce podle GDPR požadovat přiměřený poplatek nebo odmítnout jednat, přičemž o důvodech informuje. Evidence vyřízení žádosti je vedena tak, aby byla zajištěna prokazatelnost a aby byla dodržena omezení uchování.

Změny dokumentu a Zásady ochrany osobních údajů

Zásady ochrany osobních údajů mohou být aktualizovány v návaznosti na změny právních předpisů, regulatorních požadavků, technického řešení nebo interních procesů správy dat. Aktualizace se provádí tak, aby byla zachována transparentnost, a správce zveřejní aktuální znění na nv-spin.eu.com/privacy-policy, přičemž uvede datum účinnosti změny. Pokud změna podstatně ovlivní povahu zpracování nebo rozsah práv subjektů údajů, správce zajistí přiměřené oznámení prostřednictvím účtu nebo kontaktních údajů, jsou li k dispozici, a to zpravidla nejméně 14 dní před nabytím účinnosti. Tento dokument vychází z principů zákonnosti, korektnosti, transparentnosti, minimalizace, omezení uložení, integrity a důvěrnosti a současně zohledňuje odpovědnost správce za prokázání souladu. Správce průběžně hodnotí dopady na soukromí a v relevantních případech provádí posouzení vlivu na ochranu osobních údajů, pokud by rizika mohla dosáhnout vysoké úrovně. V rámci compliance režimu jsou prováděny interní revize a případné nápravné kroky, přičemž cílem je udržet účinnost kontrol a snížit pravděpodobnost incidentu pod stanovené toleranční prahy. Zásady ochrany osobních údajů tak představují závazný referenční rámec pro nakládání s údaji a současně vymezují postup, jak bude správce postupovat při změnách, aby byla zachována právní jistota, předvídatelnost a ochrana práv subjektů údajů.

Kontaktní údaje a podání žádostí

Pro uplatnění práv, podání dotazu nebo oznámení incidentu lze správce kontaktovat prostřednictvím kontaktního formuláře dostupného na webu nebo prostřednictvím e mailové adresy uvedené v sekci kontaktů na nv-spin.eu.com. Správce posoudí každé podání individuálně a vede komunikaci způsobem, který přiměřeně chrání důvěrnost a bezpečnost informací. V případě požadavků týkajících se Zásady ochrany osobních údajů může správce požádat o upřesnění, aby bylo možné vyhledat relevantní záznamy a poskytnout odpověď v zákonné lhůtě. Pokud je žádost spojena s účtem, může být pro urychlení vyřízení vyžadováno uvedení identifikátoru účtu nebo přibližného data relevantní události, například transakce, aby se zamezilo chybnému přiřazení. Správce potvrzuje závazek dodržovat GDPR a související předpisy v Czechia, uplatňovat přiměřená technická a organizační opatření a průběžně přezkoumávat soulad s tímto dokumentem. Jakákoli změna postupu bude promítnuta do aktualizace dokumentu, přičemž zachování transparentnosti, prokazatelnosti a řádného vyřízení žádostí zůstává prioritou v rámci Zásady ochrany osobních údajů.