Политика конфиденциальности

1. ВВЕДЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1. Цель документа

1.1.1. Настоящая Политика конфиденциальности (далее — «Политика») описывает, как Elsikora Group Limitada (далее — «Оператор», «мы») обрабатывает персональные данные физических лиц (далее — «Вы», «Пользователь») при доступе и использовании онлайн-платформы Selector Casino (веб-сайт, мобильные версии/приложения, API, виджеты, а также официальные аккаунты в социальных сетях; далее — «Платформа»).
1.1.2. Политика применяется ко всем категориям субъектов данных: зарегистрированные пользователи/игроки, посетители сайта (в том числе без регистрации), участники промоакций, партнёры, кандидаты на вакансии, лица, обратившиеся в поддержку.

1.2. Контролёр данных

1.2.1. Контролёром персональных данных является: Elsikora Group Limitada.
1.2.2. Контакт для вопросов о данных/правах: privacy@selector-casino.домен.
1.2.3. Если назначен уполномоченный представитель/ответственное лицо по защите данных (DPO), его актуальные контакты публикуются на Платформе.

1.3. Принципы обработки данных

1.3.1. Мы руководствуемся принципами ст. 5 Регламента (ЕС) 2016/679 (GDPR): законность, добросовестность и прозрачность; ограничение цели; минимизация данных; точность; ограничение хранения; целостность и конфиденциальность; подотчётность.
1.3.2. Мы применяем риск-ориентированный подход, проводим DPIA (оценки воздействия на защиту данных) для высокорисковых операций, ведём реестр операций по обработке (RoPA) и заключаем соглашения о поручении обработки (DPA) с процессорами.

1.4. Законодательная база

1.4.1. Обработка данных осуществляется в соответствии с применимым правом юрисдикции регистрации/лицензирования Оператора и (в отношении резидентов ЕЭЗ/Великобритании, где применимо) — GDPR, ePrivacy Directive 2002/58/EC, локальными актами о конфиденциальности и практиками EDPB.
1.4.2. При трансграничной передаче данных вне ЕЭЗ применяются стандартные договорные положения (SCC), привязки к BCR и иные механизмы ст. 45–49 GDPR.

2. КАТЕГОРИИ СОБИРАЕМЫХ ДАННЫХ
2.1. Персональные идентификационные данные

2.1.1. Имя, фамилия, отчество (при наличии), дата рождения, гражданство, пол (если предоставляется), язык, адрес проживания/регистрации.
2.1.2. Идентификаторы KYC: серия/номер документа, дата выдачи/истечения, орган выдачи; селфи/видео-идентификация (биометрия), где это разрешено законом и прямо согласовано.
2.1.3. Контакты: email, телефон, аккаунты мессенджеров (при общении), почтовый адрес (если требуется для verificaton/выплат).

2.2. Финансовая информация

2.2.1. Сведения о платежах: маскированные данные платёжной карты/кошелька, идентификаторы транзакций, используемые провайдеры, суммы, валюты, токены платёжных сессий.
2.2.2. Источник средств/благосостояния (SoF/SoW) в рамках AML/KYC (справки о доходах, выписки, подтверждения занятости/бизнеса).
2.2.3. История депозитов и выводов, начисления/списания бонусов, сведения о чарджбэках и возвратах.

2.3. Техническая информация и сетевые идентификаторы

2.3.1. IP-адрес(а), геолокационные приблизительные данные (по IP/GPS при разрешении), тип/модель устройства, ОС, версия браузера, язык интерфейса, часовой пояс, настройки «Do Not Track».
2.3.2. Уникальные идентификаторы устройств/сессий, cookie-файлы, пиксели, локальное хранилище, лог-файлы, отпечатки браузера/устройства (device fingerprinting) — в объёме, допустимом законом и при наличии правового основания.
2.3.3. Технические журналы безопасности (аутентификация, сбои, сетевые события, анти-бот).

2.4. Игровая активность и поведенческие данные

2.4.1. История игр/раундов, ставки, выигрыши/проигрыши, использование функций (демо/реальные деньги), участие в турнирах/лидерах, ограничения ответственной игры (лимиты, самоисключение).
2.4.2. События внутри продукта (нажатия, переходы, A/B-тесты), агрегированная аналитика и сегменты для персонализации UX (при наличии законного основания).

2.5. Коммуникационные данные

2.5.1. Переписка с поддержкой, записи телефонных/VoIP-разговоров (с уведомлением), обращения по email/чат-ботам, жалобы/заявления и сопутствующие доказательства.
2.5.2. Настройки маркетинговых предпочтений, статусы согласий/отказов (opt-in/opt-out), подтверждения выбора каналов.

3. ЦЕЛИ ОБРАБОТКИ И ПРАВОВЫЕ ОСНОВАНИЯ
3.1. Исполнение договора (ст. 6(1)(b) GDPR)

3.1.1. Регистрация и обслуживание аккаунта; предоставление доступа к играм/турнирам; расчёт и зачисление выигрышей; обеспечение совместимости с провайдерами игр; техподдержка.
3.1.2. Обеспечение работы «Кассы»: проведение депозитов/выводов, разбирательства по ошибкам и отменам, информирование о статусе операций.

3.2. Соблюдение законодательных требований (ст. 6(1)(c) GDPR)

3.2.1. Выполнение норм лицензирования азартных игр, AML/CFT и KYC: проверка личности/адреса/источника средств, ведение учётных записей, ответ на запросы регуляторов/правоохранительных органов, исполнение санкционных режимов.
3.2.2. Соблюдение налоговых/бухгалтерских обязанностей, правил ответственной игры, механизмов самоисключения.

3.3. Законные интересы (ст. 6(1)(f) GDPR)

3.3.1. Предотвращение мошенничества, защита целостности игр и Платформы, кибербезопасность, контроль качества сервиса, внутренние статистические и аналитические цели (с минимизацией и псевдонимизацией).
3.3.2. Персонализация интерфейса/контента, улучшение UX, недирективные (непрофилирующие) рекомендации по продуктам в пределах разумных ожиданий Пользователя.
3.3.3. Урегулирование споров, защита правопритязаний, доказывание и защита в суде/арбитраже.

3.4. Согласие субъекта данных (ст. 6(1)(a) GDPR)

3.4.1. Маркетинговые коммуникации по электронным каналам; аналитические/маркетинговые cookie; публикация отзывов/кейсов; обработка специальных категорий (напр., биометрия для KYC) — только при отдельном явном согласии, где это требуется законом.
3.4.2. Согласие может быть отозвано в любой момент без ущерба для законности обработки до отзыва.

4. РАСКРЫТИЕ ИНФОРМАЦИИ ТРЕТЬИМ ЛИЦАМ
4.1. Категории получателей

4.1.1. Платёжные процессоры/банки/эмитенты — эквайринг, анти-фрод, возвраты/чарджбэки.
4.1.2. Провайдеры игровых решений (студии/агрегаторы, RNG-сертификаторы) — предоставление контента и верификация результатов.
4.1.3. Поставщики KYC/AML и анти-фрод — верификация личности, санкционный/PEP-скрининг, мониторинг транзакций.
4.1.4. Маркетинговые и аналитические провайдеры — при наличии правового основания/согласия.
4.1.5. Регуляторные/правоохранительные органы, суды/арбитраж — на основании закона/судебных запросов.
4.1.6. Аффилированные лица/подрядчики Оператора — в объёме, необходимом для оказания услуг и при наличии DPA/обязательств конфиденциальности.

4.2. Передача по договорам и гарантии

4.2.1. Все процессоры обязаны обеспечивать уровень защиты не ниже требований GDPR/ISO 27001, обрабатывать данные по документированным инструкциям и проходить периодические аудиты.
4.2.2. Конкретный перечень ключевых третьих лиц, вовлечённых в обработку, публикуется в реестре провайдеров на Платформе (при наличии).

5. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ
5.1. Страны-получатели

5.1.1. Передача данных может происходить в государства вне ЕЭЗ, включая юрисдикцию регистрации/лицензирования Оператора, а также страны расположения дата-центров и провайдеров (например, облачные провайдеры/коммуникационные сервисы).

5.2. Механизмы защиты

5.2.1. Используются SCC (постановление ЕС 2021/914), BCR, оценка правоприменительной практики в стране назначения (TIA), дополнительные меры (сквозное шифрование, псевдонимизация, минимизация).
5.2.2. В исключительных случаях — дерогации ст. 49 GDPR (необходимость исполнения договора, явное согласие, важные основания общественного интереса).

6. ХРАНЕНИЕ И БЕЗОПАСНОСТЬ ДАННЫХ
6.1. Сроки хранения

6.1.1. Учётные/игровые данные — на период действия договора и до 5–10 лет после закрытия аккаунта (AML/налоговый учёт; точный срок определяется применимым правом/лицензией).
6.1.2. KYC-досье и транзакционные журналы — не менее 5 лет после окончания отношений (стандарты AMLD/FATF).
6.1.3. Маркетинговые данные — до отзыва согласия или возражения на обработку.
6.1.4. Логи безопасности — в пределах принципа минимизации и оправданной безопасности (обычно 6–24 месяца).

6.2. Технические и организационные меры (TOMs)

6.2.1. Шифрование данных «в полёте» (TLS 1.2+/1.3) и «на хранении» (AES-256), строгая сегментация сетей, контроль доступа по принципу наименьших привилегий (RBAC), MFA для админ-доступов, управление уязвимостями и патч-менеджмент.
6.2.2. Регулярные тесты на проникновение, баг-баунти (при наличии), мониторинг SIEM/SOC, DDoS-защита, WAF, EDR/ анти-malware.
6.2.3. Обучение персонала (Security & Privacy Awareness), NDA, журналирование операций с ПДн, бэкапы/DRP, план обеспеченности непрерывности (BCP).

6.3. Процедуры при утечке данных (ст. 33–34 GDPR)

6.3.1. Обнаружение/классификация инцидента, оперативное сдерживание, анализ первопричин (RCA), уведомление надзорного органа в течение 72 часов при наличии риска, информирование субъектов данных при высоком риске, документирование.
6.3.2. Взаимодействие с регуляторами/платёжными системами/провайдерами при инцидентах, влияющих на финоперации/игровую целостность.

7. ПРАВА СУБЪЕКТОВ ДАННЫХ
7.1. Перечень прав

7.1.1. Доступ к данным (ст. 15), исправление (ст. 16), удаление (ст. 17), ограничение (ст. 18), переносимость (ст. 20), возражение (ст. 21), право не быть объектом исключительно автоматизированного решения, включая профилирование, имеющее юридические последствия (ст. 22) — с оговорками AML/лицензионных обязанностей и правовой сохранности.

7.2. Порядок реализации

7.2.1. Запрос направляется на privacy@selector-casino.домен либо через интерфейс Платформы (раздел «Конфиденциальность»).
7.2.2. Срок ответа — до 1 месяца, с возможным продлением ещё до 2 месяцев при сложности/объёме (с уведомлением).
7.2.3. Перед исполнением запроса проводится верификация личности. В отдельных случаях взимается разумная плата (напр., за повторные/чрезмерные запросы), в пределах закона.

7.3. Жалобы надзорному органу

7.3.1. Вы вправе подать жалобу в компетентный орган по защите данных Вашей страны/региона или в надзорный орган юрисдикции Оператора. Контакты актуальных органов указываются на сайте EDPB/национальных регуляторов.

8. КУКИ-ФАЙЛЫ И ТЕХНОЛОГИИ ОТСЛЕЖИВАНИЯ
8.1. Типы cookie

8.1.1. Строго необходимые (аутентификация, безопасность, функциональность «Кассы») — не требуют согласия.
8.1.2. Функциональные (запоминание настроек, язык, локация) — на основании законного интереса/согласия (в зависимости от юрисдикции).
8.1.3. Аналитические (метрики посещаемости, UX-поведение) — при согласии, с псевдонимизацией.
8.1.4. Маркетинговые/ретаргетинг — только при отдельном согласии (opt-in), с возможностью opt-out в любой момент.

8.2. Управление предпочтениями

8.2.1. Баннер согласия, центр настроек cookie, настройки браузера/устройства (включая блокировку сторонних cookie, очистку истории).
8.2.2. Отзыв согласия не влияет на законность прошлой обработки, но прекращает будущую обработку соответствующей категории.

9. ОСОБЫЕ КАТЕГОРИИ И ПРОФИЛИРОВАНИЕ
9.1. Специальные категории данных

9.1.1. Мы не запрашиваем и не обрабатываем чувствительные категории данных (раса, здоровье, религия и т. п.), за исключением биометрии в рамках KYC — строго при наличии законного основания и явного согласия/законного требования.
9.1.2. Биометрические шаблоны хранятся в зашифрованном виде у сертифицированного провайдера KYC и удаляются по истечении сроков, установленных AML/KYC.

9.2. Профилирование и автоматизированные решения

9.2.1. Мы можем использовать профилирование для предотвращения мошенничества, обеспечения целостности игр, соблюдения лимитов ответственной игры и AML-мониторинга — на основании законных интересов/обязанностей.
9.2.2. Маркетинговое профилирование — только при согласии (где требуется). Вы вправе возразить или отказаться.

10. ДЕТИ И НЕСОВЕРШЕННОЛЕТНИЕ
10.1. Возрастные ограничения

10.1.1. Платформа предназначена для лиц 18+ (или 21+, если так установлено местным правом). Регистрация несовершеннолетних запрещена.
10.1.2. При выявлении несовершеннолетнего аккаунта он блокируется, данные удаляются/анонимизируются, депозиты возвращаются владельцу платёжного средства (если это возможно и не противоречит закону).

11. СВЯЗЬ С ДРУГИМИ ДОКУМЕНТАМИ
11.1. Комплекс нормативов Платформы

11.1.1. Настоящая Политика является частью единого свода: Пользовательское соглашение, Политика AML/CFT, Политика KYC, Политика бонусной программы, Политика ответственной игры, Политика самоисключения, Условия партнёрской программы, Партнёрское соглашение.
11.1.2. В случае расхождений приоритет определяется императивными нормами закона и условиями лицензии.

12. ПЕРЕДАЧА БИЗНЕСА И АФФИЛИРОВАННЫЕ ЛИЦА
12.1. Корпоративные изменения

12.1.1. В случае реорганизации/слияния/продажи активов данные могут быть переданы правопреемнику при соблюдении гарантий конфиденциальности и уведомлении субъектов данных, если это требуется законом.

13. ОБНОВЛЕНИЕ ПОЛИТИКИ
13.1. Порядок внесения изменений

13.1.1. Мы можем обновлять Политику для отражения изменений в праве/процессах/технологиях.
13.1.2. Существенные изменения доводятся через Платформу/электронную почту. Дата последней редакции указывается ниже.

14. КОНТАКТЫ И ОБРАЩЕНИЯ
14.1. Каналы связи

14.1.1. Вопросы/запросы по правам субъектов данных: privacy@selector-casino.домен.
14.1.2. Жалобы — в адрес надзорного органа по защите данных Вашей юрисдикции или регулятора юрисдикции Оператора.

15. СВОДНАЯ ТАБЛИЦА «ЦЕЛЬ — ДАННЫЕ — ОСНОВАНИЕ — СРОК»