Gambiva Casino Personvernpolicy
Innledende bestemmelser og virkeområde
Denne Gambiva Casino Personvernpolicy fastsetter rammene for hvordan personvern og behandling av personopplysninger håndteres ved bruk av tjenestene på gambivacasinoo.com. Dokumentet gjelder for registrerte brukere, besøkende og andre personer hvis opplysninger behandles i tilknytning til nettstedets funksjonalitet. Retningslinjene er utformet i samsvar med personvernforordningen (GDPR) slik den gjelder i Norge gjennom personopplysningsloven, samt relevante føringer fra tilsynsmyndigheter. Formålet er å beskrive kategorier av data, metoder for databehandling, lagring, sikkerhet og rettigheter på en presis og etterprøvbar måte. Personvernet vurderes løpende for å sikre at behandlingen er nødvendig, forholdsmessig og dokumenterbar.
Behandlingsansvar og roller
Begrepet behandlingsansvarlig viser til den enhet som bestemmer formålene med og midlene for databehandling, og som bærer det primære ansvaret for etterlevelse. For tjenester under domenet gambivacasinoo.com vil behandlingsansvarlig identifiseres i kontaktseksjonen, sammen med nødvendige kontaktpunkter for henvendelser. Der eksterne leverandører utfører behandling på vegne av behandlingsansvarlig, anses disse som databehandlere, og forholdet reguleres gjennom databehandleravtaler. Slike avtaler skal blant annet fastsette krav til datasikkerhet, konfidensialitet, underleverandører og kontrolltiltak. Gambiva Kasino kan i visse scenarioer opptre som selvstendig behandlingsansvarlig for egne integrerte moduler, og rollefordelingen avklares da gjennom separate vilkår og dokumentasjon.
Kategorier av personopplysninger som behandles
Behandling kan omfatte identifikasjonsopplysninger som navn, fødselsdato og verifiseringsdata, der dette er nødvendig for å oppfylle rettslige forpliktelser. Registreringsopplysninger kan inkludere kontaktinformasjon, språkvalg, jurisdiksjonsrelaterte opplysninger og innstillinger knyttet til konto og preferanser. Påloggingsopplysninger som passordhash, autentiseringshendelser, tidsstempler og enhetsrelaterte indikatorer kan behandles for å etablere og beskytte tilgang til konto. Økonomiske opplysninger kan omfatte transaksjonsreferanser, betalingsstatus og inn- og uttakslogg, men betalingskortdata lagres som hovedregel ikke i klartekst når tredjeparts betalingsformidlere benyttes. Det kan også forekomme behandling av tekniske data fra filer og systemlogger når dette er nødvendig for sikkerhet, feilsøking og etterprøvbarhet.
Slik samles opplysninger inn og registreres
Datainnsamling skjer operasjonelt ved at brukere oppgir informasjon gjennom kontoetablering, identitetskontroll og løpende bruk av funksjoner på nettstedet. Systemene kan samtidig registrere hendelser automatisk, herunder IP adresse, nettlesertype, språkinnstillinger og tidspunkt, for å understøtte drift og datasikkerhet. Når informasjonskapsler er aktivert, kan disse bidra til å gjenkjenne enhet eller sesjon og knytte tekniske parametere til bruksmønstre, i den grad det er tillatt. Opplysninger kan også mottas fra autoriserte tredjepartsleverandører som identitetsverifiseringstjenester eller betalingsleverandører, der dette er nødvendig og forholdsmessig. Gambiva Casino Personvernpolicy legger til grunn at innsamling begrenses til det som er relevant for formålene, og at dataminimering ivaretas i alle registreringsledd.
Rettslig grunnlag for behandling
Behandling av personopplysninger skal forankres i et gyldig rettsgrunnlag etter GDPR artikkel 6, og vurderes konkret per behandlingsaktivitet. Avtaleforpliktelser kan gi grunnlag for behandling som er nødvendig for å levere konto, innlogging, transaksjoner og kundestøttefunksjoner, uten at formålene utvides utover det avtalemessige. Rettslige forpliktelser kan kreve behandling knyttet til identitetskontroll, regnskapsdokumentasjon og forebygging av misbruk, der kravene følger av gjeldende regelverk i Norge eller relevant tilsynspraksis. Berettiget interesse kan benyttes for sikkerhetsrelaterte tiltak, tjenesteforbedring og dokumentasjon, forutsatt at en interesseavveining viser at brukeres rettigheter ikke går foran. Samtykke kan benyttes for enkelte former for informasjonskapsler eller valgfrie funksjoner, og samtykke skal kunne trekkes tilbake uten unødige hindringer.
Formål med databehandling og interne kontrolltiltak
Personopplysninger behandles for å etablere, administrere og sikre konto, herunder å kunne autentisere brukere og opprettholde stabil drift. Behandlingen kan videre være nødvendig for å gjennomføre innskudd og uttak, føre transaksjonslogg, samt oppfylle krav til revisjonsspor og dokumentasjon. Sikkerhetsformål omfatter forebygging av uautorisert tilgang, misbruk av konto, og håndtering av tekniske hendelser som kan påvirke integritet og konfidensialitet. For å oppnå etterlevelse implementeres kontrolltiltak som tilgangsstyring, rollebaserte autorisasjoner og rutiner for periodisk gjennomgang minst hver 12 måned. Gambiva Kasino kan dessuten behandle aggregerte data for analyse og kapasitetsplanlegging, forutsatt at slike data ikke kan knyttes tilbake til enkeltbrukere uten supplerende informasjon.
Lagringstid og sletting
Lagringstid fastsettes ut fra formål, rettslige forpliktelser og behovet for å kunne dokumentere etterlevelse, og skal ikke være lengre enn nødvendig. Konto og tilhørende registreringsopplysninger kan lagres så lenge kundeforholdet består, og deretter i en begrenset periode for å håndtere tvister, krav eller lovpålagte kontroller. Økonomiske opplysninger og transaksjonsrelaterte poster kan oppbevares i opptil 5 år når dette er nødvendig for regnskapsmessig dokumentasjon og kontrollformål, med mindre lengre oppbevaring kreves ved pågående sak. Systemlogger med påloggingsopplysninger kan som hovedregel lagres i 180 dager for sikkerhetsanalyse, hvoretter de slettes eller anonymiseres, med forbehold om at hendelser under etterforskning kan kreve forlenget oppbevaring. Der opplysninger ikke lenger er nødvendige, skal de slettes, anonymiseres eller sperres, og sletting gjennomføres med kontroller som gir sporbarhet for interne revisjoner.
Deling, utlevering og mottakere
Utlevering av personopplysninger skjer kun når det foreligger et saklig og dokumentert behov, og når det er et behandlingsgrunnlag som dekker delingen. Leverandører som tilbyr drift, kundestøtte, betalingsformidling, identitetskontroll eller sikkerhetsmonitorering kan motta relevante opplysninger som databehandlere, begrenset til det som er nødvendig. Kontraktsmessige krav skal fastsette at mottakere følger instruksjoner, ivaretar datasikkerhet og ikke benytter opplysningene til egne formål uten selvstendig grunnlag. Opplysninger kan utleveres til offentlige myndigheter når dette kreves etter lov, eller når gyldig pålegg foreligger, og omfanget av utleveringen begrenses til det pålagte. Gambiva Casino Personvernpolicy legger til grunn at interne vurderinger av forholdsmessighet dokumenteres, slik at deling kan etterprøves ved kontroll.
Overføringer til land utenfor EØS
Regulatorisk sett kan overføring av personopplysninger til land utenfor EØS bare skje når overføringsgrunnlag etter GDPR kapittel V er oppfylt. Dersom leverandører eller tekniske driftsmiljøer innebærer slik overføring, skal det benyttes mekanismer som EU standardavtalevilkår, supplerende tiltak og vurderinger av mottakerlandets rettssystem. Det skal også vurderes om data kan behandles innenfor EØS for å redusere risiko, særlig der behandling omfatter identifikasjonsopplysninger eller økonomiske opplysninger. Dokumentasjon av overføringsvurderinger skal oppdateres ved vesentlige endringer, og minimum hver 24 måned der overføringsmønsteret er stabilt. Gambiva Kasino skal sikre at brukere kan få informasjon om relevante overføringsgrunnlag gjennom forespørsel i samsvar med gjeldende rettigheter.
Informasjonskapsler og sporingsteknologier
Operasjonelt benyttes informasjonskapsler og tilsvarende teknologier for å få nettstedet til å fungere, beskytte innlogging og støtte stabil ytelse. Slike mekanismer kan lagre tekniske identifikatorer i filer i nettleseren, og kan være nødvendige for å opprettholde sesjon, hindre misbruk og sikre konsistente innstillinger. Der informasjonskapsler brukes til ikke-nødvendige formål, skal det foreligge et gyldig samtykke, og valg skal respekteres gjennom tekniske innstillinger. Lagringstid for informasjonskapsler varierer, og enkelte kan være sesjonsbaserte, mens andre kan ha varighet på inntil 13 måneder når dette er rettslig tillatt. Gambiva Casino Personvernpolicy forutsetter at datasikkerhet og personvern vurderes ved innføring av nye sporingsmekanismer, og at formålsbegrensning etterleves.
Informasjonssikkerhet og konfidensialitet
Sikkerhet forstås som et sett av organisatoriske og tekniske tiltak som skal beskytte personopplysninger mot utilsiktet tap, endring, uautorisert tilgang og ulovlig behandling. Kryptering kan benyttes for data i transitt og, der risikobildet tilsier det, for data i hvile, supplert med nøkkelhåndtering og tilgangskontroll. Tilgang gis etter prinsippet om minste privilegium, og administrative tilganger loggføres for å sikre etterprøvbarhet ved hendelser og interne revisjoner. Det gjennomføres risikovurderinger og sikkerhetstesting med frekvens tilpasset systemendringer, og det kan anvendes en terskel der tiltakene samlet skal redusere sannsynligheten for uautorisert tilgang med minst 70 prosent i identifiserte høyrisikoflyter. Ved brudd på personopplysningssikkerheten håndteres avvik gjennom etablerte prosedyrer, og varsling til relevant tilsynsmyndighet skjer innen 72 timer når vilkårene for meldeplikt er oppfylt.
Registrertes rettigheter og hvordan de utøves
Rettighetsmessig har registrerte krav på innsyn i hvilke personopplysninger som behandles, og kan anmode om kopi der vilkårene er oppfylt. Det foreligger også rett til retting av uriktige opplysninger og rett til sletting når behandlingen ikke lenger er nødvendig eller når annet rettsgrunnlag ikke opprettholder videre lagring. Rett til begrensning av databehandling kan aktualiseres ved uenighet om riktighet, ulovlig behandling eller ved vurdering av innsigelser, og innebærer at opplysninger i større grad sperres. Rett til dataportabilitet kan gjelde for opplysninger som er gitt som ledd i et avtaleforhold eller basert på samtykke, og som behandles automatisk, forutsatt at tekniske forutsetninger foreligger. Forespørsler skal som hovedregel besvares innen 30 dager, og ved særlig kompleksitet kan fristen forlenges med 60 dager når dette er saklig begrunnet og kommunisert.
Innsigelse og klageadgang
Registrerte kan fremsette innsigelse mot behandling som bygger på berettiget interesse, dersom særlige forhold knyttet til den konkrete situasjonen tilsier at behandlingen bør opphøre. Det skal i slike tilfeller foretas en dokumentert vurdering av om tvingende berettigede grunner likevel tilsier fortsatt behandling, eller om opplysningene skal sperres eller slettes. Der behandling bygger på samtykke, kan samtykke trekkes tilbake med virkning for fremtidig databehandling, uten at tidligere behandling nødvendigvis blir ulovlig. Klage kan rettes til Datatilsynet i Norge dersom registrerte mener at behandlingen strider mot gjeldende personvernregler, og det skal gis informasjon som gjør det praktisk mulig å benytte klageadgangen. Gambiva Kasino skal tilrettelegge for at rettigheter kan utøves uten urimelig forsinkelse og uten diskriminerende vilkår.
Identitetskontroll ved forespørsler
For å beskytte personopplysninger mot uautorisert utlevering kan det kreves rimelig identitetsverifisering ved forespørsler om rett til innsyn eller dataportabilitet. Verifikasjon skal begrenses til det som er nødvendig, og det skal tas hensyn til risikoen ved den aktuelle typen opplysninger, herunder økonomiske opplysninger og påloggingsopplysninger. Dersom forespørselen fremmes fra en kanal som ikke er tilstrekkelig sikret, kan behandlingsansvarlig be om supplerende informasjon for å bekrefte identitet. Avslag på forespørsler kan forekomme der vilkårene ikke er oppfylt, eller der rettigheter kolliderer med rettslige forpliktelser, og begrunnelse skal gis i den grad regelverket tillater. Dokumentasjon av prosessen skal oppbevares i 2 år for å kunne demonstrere etterlevelse ved kontroll.
Kontakt, forespørsler og endringer i Gambiva Casino Personvernpolicy
Gambiva Casino Personvernpolicy forutsetter at alle henvendelser om personvern, databehandling og rettigheter behandles gjennom etablerte kontaktpunkter knyttet til behandlingsansvarlig. Forespørsler kan gjelde rett til innsyn, rett til retting, begrensning, sletting, dataportabilitet eller innsigelse, og de skal registreres på en måte som ivaretar konfidensialitet og sporbarhet. Dersom en forespørsel berører informasjonskapsler, filer eller sikkerhetslogger, skal det foretas en konkret vurdering av teknisk gjennomførbarhet og nødvendige avgrensninger for å ivareta datasikkerhet. Behandlingsansvarlig skal besvare henvendelser innen 30 dager når regelverket krever dette, og eventuelle fristforlengelser skal begrunnes skriftlig med henvisning til sakens kompleksitet. Endringer i denne policyen kan foretas ved oppdateringer i regelverk, praksis fra Datatilsynet, teknologiske endringer eller endrede behandlingsformål, og endringene skal være konsistente med prinsippene om formålsbegrensning og dataminimering. Ved vesentlige endringer skal det gis tydelig informasjon om oppdateringstidspunkt og innholdets karakter, og tidligere versjoner kan arkiveres for dokumentasjon i minst 12 måneder. Gambiva Casino Personvernpolicy bekrefter en vedvarende forpliktelse til etterlevelse av GDPR prinsipper, herunder lovlighet, rettferdighet, åpenhet, integritet og konfidensialitet, samt ansvarlighet gjennom dokumenterbare rutiner. For å sikre korrekt behandling av anmodninger kan behandlingsansvarlig be om tilleggsopplysninger for identitetsbekreftelse, men slike opplysninger skal kun brukes til verifikasjon og deretter slettes innen 45 dager når formålet er oppfylt. Oppdateringer av policyen trer i kraft fra publisering på gambivacasinoo.com/privacy-policy, og videre bruk av tjenestene innebærer ikke fraskrivelse av rettigheter etter gjeldende personvernregler i Norge.