1. ВВЕДЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1. Назначение документа

Настоящая Политика конфиденциальности (далее — «Политика») регулирует порядок сбора, хранения, обработки и защиты персональных данных физических лиц, которые используют сайт, мобильные приложения, программное обеспечение и игровые сервисы Vodka Casino, управляемые Mamba Edge B.V. (далее — «Оператор»).

Политика разработана в соответствии с:
— Регламентом (ЕС) 2016/679 (GDPR);
— Директивой 2002/58/EC (ePrivacy Directive);
— Рекомендациями FATF в части AML/KYC обработки данных;
— Международными стандартами ISO/IEC 27001, ISO 29100 и отраслевыми нормативами iGaming.

1.2. Контролер данных

Контролером персональных данных является:

Mamba Edge B.V.
Юридическое лицо, действующее в соответствии с законодательством своей юрисдикции
(далее — «Контролер» или «Оператор»).

1.3. Область применения

Политика распространяется на:
— пользователей сайта;
— зарегистрированных игроков;
— лиц, проходящих KYC/AML-проверку;
— посетителей, использующих мобильные и веб-версии;
— участников бонусных программ и маркетинговых мероприятий.

1.4. Основные принципы обработки

Контролер обеспечивает соблюдение следующих принципов GDPR:

Законность — обработка основывается на законных основаниях.

Справедливость и прозрачность — Пользователь информируется о каждом процессе.

Целевое ограничение — данные собираются только с определёнными целями.

Минимизация данных — собирается только то, что действительно необходимо.

Точность — данные актуализируются по запросу.

Ограничение хранения — данные не хранятся дольше, чем требуется.

Целостность и конфиденциальность — внедрены меры защиты.

Подотчётность — Контролер документально подтверждает соответствие GDPR.

2. КАТЕГОРИИ СОБИРАЕМЫХ ДАННЫХ
2.1. Персональные идентификационные данные

Собираются при регистрации, верификации и использовании услуг:
— имя, фамилия;
— дата рождения;
— гражданство;
— адрес проживания;
— номер телефона;
— адрес электронной почты;
— документы KYC (паспорт, ID-карта, водительское удостоверение).

2.2. Финансовая информация

Для проведения платежей и проверок AML:
— номера платежных кошельков;
— криптовалютные адреса;
— данные банковских карт (в зашифрованном виде);
— транзакционные журналы;
— история депозитов и выводов;
— источники происхождения средств.

2.3. Техническая информация

Собирается автоматически:
— IP-адрес;
— тип и версия браузера;
— характеристики устройства;
— временные метки входов и действий;
— cookies;
— параметры сессий;
— geolocation data (если разрешено пользователем);
— device fingerprint (цифровой отпечаток устройства).

2.4. Игровая активность

В целях ответственности, аналитики и выполнения регуляторных требований:
— история ставок;
— данные о выигрышах и проигрышах;
— поведенческие шаблоны;
— участие в турнирах;
— использование бонусов;
— игровой баланс и лимиты.

2.5. Коммуникационные данные

Сохраняются в целях защиты прав и мониторинга:
— обращения в службу поддержки;
— электронные письма;
— чаты;
— голосовые записи (если пользователь звонит в поддержку);
— уведомления и маркетинговые рассылки.

3. ЦЕЛИ ОБРАБОТКИ И ПРАВОВЫЕ ОСНОВАНИЯ
3.1. Исполнение договора (Art. 6(1)(b) GDPR)

Для предоставления доступа к услугам:
— регистрация и управление аккаунтом;
— проведение платежей;
— доступ к играм;
— участие в бонусных предложениях.

3.2. Соблюдение законодательных требований (Art. 6(1)(c) GDPR)

Обязательная обработка включает:
— KYC/AML-процедуры;
— предотвращение мошенничества;
— учёт и финансовая отчётность;
— требования регулирующих органов;
— выполнение правил ПОД/ФТ.

3.3. Легитимные интересы Контролера (Art. 6(1)(f) GDPR)

Используются для:
— обеспечения кибербезопасности;
— улучшения качества услуг;
— статистического анализа;
— предотвращения злоупотреблений бонусами;
— защиты прав Оператора.

3.4. Согласие субъекта данных (Art. 6(1)(a) GDPR)

Применяется для:
— маркетинговых рассылок;
— cookies категории Analytics и Advertising;
— геолокационных сервисов;
— обработки данных, не обязательных для предоставления услуг.

4. РАСКРЫТИЕ ИНФОРМАЦИИ ТРЕТЬИМ ЛИЦАМ
4.1. Платёжные провайдеры

Данные передаются операторам:
— процессинг платежей;
— предотвращение мошенничества;
— верификация транзакций.

4.2. Регуляторные органы

При необходимости данные предоставляются:
— регуляторам игорного рынка;
— финансовым надзорным структурам;
— налоговым органам.

4.3. Провайдеры игр

Передаются только технические данные, необходимые для работы игровых серверов.

4.4. Маркетинговые партнёры

Передаются только минимальные данные, основанные на согласии.

4.5. Правоохранительные органы

Передача осуществляется:
— при судебном запросе;
— при расследовании нарушений;
— при необходимости предотвращения преступлений.

5. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ
5.1. Механизмы защиты

Передача возможна только при наличии:
— Standard Contractual Clauses (SCC);
— adequacy decision Еврокомиссии;
— сертифицированных контрактов и технических гарантий.

5.2. Страны-получатели

Данные могут быть переданы в юрисдикции, где расположены:
— игровые провайдеры;
— облачные сервисы;
— процессинговые центры.

6. ХРАНЕНИЕ И БЕЗОПАСНОСТЬ ДАННЫХ
6.1. Сроки хранения

Данные хранятся:
— не менее 5 лет для целей AML/KYC (в соответствии с директивой ЕС 2015/849);
— до 10 лет для финансовой отчётности;
— до удаления по запросу — если нет юридических ограничений.

6.2. Технические меры защиты

Оператор использует:
— шифрование AES-256;
— HTTPS/TLS 1.3;
— двухфакторную аутентификацию;
— firewall и WAF;
— DDoS-защиту;
— резервное копирование;
— контроль SIEM и IDS/IPS.

6.3. Организационные меры

— доступ к данным предоставляется строго по ролям;
— сотрудники проходят обучение GDPR;
— ведётся регистрационный журнал обращений к данным;
— применяется политика минимального доступа (Least Privilege).

6.4. Процедуры при утечке данных

При инциденте Контролер обязуется:
— уведомить регулятора в течение 72 часов (Art. 33 GDPR);
— уведомить затронутых пользователей;
— провести расследование;
— внедрить корректирующие меры.

7. ПРАВА СУБЪЕКТОВ ДАННЫХ
7.1. Право доступа

Пользователь может запросить:
— перечень хранимых данных;
— цели обработки;
— категории получателей данных.

7.2. Право на исправление

Исправление неточных данных производится по запросу.

7.3. Право на удаление («право быть забытым»)

Возможность удаления данных доступна:
— при отсутствии юридической необходимости хранения;
— при отзыве согласия;
— при прекращении использования услуг.

7.4. Право на ограничение обработки

Вводится при:
— споре относительно точности данных;
— незаконной обработке;
— ожидании реакции на жалобу.

7.5. Право на переносимость данных

Данные предоставляются в машиночитаемом формате (CSV, JSON).

7.6. Право на возражение

Пользователь может возражать против:
— обработки на основании легитимного интереса;
— маркетинговой обработки.

8. КУКИ-ФАЙЛЫ И ТЕХНОЛОГИИ ОТСЛЕЖИВАНИЯ
8.1. Типы используемых cookies

Strictly Necessary — обязательные для работы сайта.

Functionality — сохраняют настройки.

Analytics — статистика (Google Analytics, Matomo).

Advertising — маркетинговые пиксели.

Security cookies — защита аккаунта.

8.2. Управление cookie-файлами

Пользователь может:
— изменить настройки в браузере;
— отказаться от необязательных cookies через баннер согласия;
— удалить существующие файлы в настройках устройства.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Изменения Политики

Оператор может вносить изменения. Дата последнего обновления публикуется внизу документа.

9.2. Контакты по вопросам обработки

Пользователь может отправить запрос:
— через службу поддержки;
— через email отдела по защите данных;
— через форму GDPR-запроса на сайте.