1. ВВЕДЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1. Область применения

1.1.1. Политика применяется ко всем пользователям Платформы, включая посетителей сайта, зарегистрированных игроков, клиентов службы поддержки, участников бонусных и партнёрских программ, а также иных лиц, взаимодействующих с Платформой.
1.1.2. Политика распространяется на обработку персональных данных, осуществляемую Контролёром самостоятельно либо через привлекаемых обработчиков (Processors).

1.2. Определения

1.2.1. Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (ст. 4 GDPR).
1.2.2. Обработка — любая операция с данными, включая сбор, запись, систематизацию, хранение, изменение, передачу, удаление (ст. 4 GDPR).
1.2.3. Субъект данных — физическое лицо, чьи данные обрабатываются.
1.2.4. Обработчик (Processor) — лицо, обрабатывающее персональные данные по поручению Контролёра (ст. 4 GDPR).
1.2.5. Профилирование — автоматизированная обработка, используемая для оценки определённых аспектов, связанных с субъектом данных (ст. 4 GDPR).

1.3. Принципы обработки данных

Контролёр обрабатывает персональные данные в соответствии с принципами ст. 5 GDPR:
1.3.1. законность, справедливость и прозрачность;
1.3.2. ограничение целей;
1.3.3. минимизация данных;
1.3.4. точность;
1.3.5. ограничение срока хранения;
1.3.6. целостность и конфиденциальность;
1.3.7. подотчётность.

1.4. Законодательная база и стандарты

1.4.1. Основной нормативной базой является GDPR (Regulation (EU) 2016/679).
1.4.2. В части электронных коммуникаций и файлов cookie мы учитываем применимые нормы ePrivacy и национальные правила (в зависимости от локации пользователя).
1.4.3. В части противодействия отмыванию средств и проверки клиентов применяются AML/CTF стандарты, включая рекомендации FATF, директивы ЕС по ПОД/ФТ (в актуальных редакциях) и локальные требования юрисдикции Оператора, а также правила платёжных провайдеров.

2. КАТЕГОРИИ СОБИРАЕМЫХ ДАННЫХ
2.1. Данные, предоставляемые пользователем

2.1.1. Идентификационные данные: имя, фамилия, дата рождения, гражданство, пол, данные удостоверения личности (тип, номер, срок действия).
2.1.2. Контактные данные: адрес электронной почты, номер телефона, адрес проживания, страна/город, почтовый индекс.
2.1.3. Учётные данные: логин/никнейм, настройки профиля, предпочтения.
2.1.4. Коммуникационные данные: обращения в поддержку, записи чатов, переписка по email/мессенджерам, результаты рассмотрения жалоб, запросы на самоисключение.

2.2. Финансовые и платёжные данные

2.2.1. данные о депозитах и выводах (суммы, валюты, даты/время, статусы);
2.2.2. идентификаторы транзакций, данные платёжных методов (например, masked-данные карты, реквизиты кошельков/счетов), сведения о провайдерах платежей;
2.2.3. данные о возвратных платежах (chargeback), спорах и расследованиях мошенничества.
2.2.4. Важно: полный карточный номер и CVC/CVV не должны храниться Контролёром; такие данные, как правило, обрабатываются сертифицированными платёжными провайдерами.

2.3. Данные KYC/AML и проверок

2.3.1. копии документов, подтверждающих личность и возраст;
2.3.2. подтверждение адреса (utility bill, банковская выписка и т.п.);
2.3.3. сведения об источнике средств/богатства (если требуется при усиленной проверке);
2.3.4. результаты проверок по санкционным спискам и PEP-скринингу (если применимо);
2.3.5. внутренние оценки риска и результаты мониторинга транзакций.

2.4. Технические данные и данные устройства

2.4.1. IP-адрес, приблизительная геолокация (по IP), язык, часовой пояс;
2.4.2. данные браузера/ОС, модель устройства, идентификаторы, параметры сети;
2.4.3. журналы событий (лог-файлы), ошибки, диагностика;
2.4.4. цифровые отпечатки устройства (device fingerprint) и маркеры антифрода (в пределах минимизации данных).

2.5. Игровая активность и поведенческие данные

2.5.1. история ставок, игр, раундов, результатов;
2.5.2. данные о бонусах, вейджере, ограничениях ставок;
2.5.3. поведенческие показатели, включая признаки проблемного гемблинга и злоупотреблений бонусами (в рамках легитимных интересов и обязательств по ответственной игре).

2.6. Файлы cookie и аналогичные технологии

2.6.1. cookie, local storage, пиксели, SDK и иные технологии, используемые для функционирования Платформы, аналитики, предотвращения мошенничества и маркетинга (с учётом ваших предпочтений и применимых требований).

3. ЦЕЛИ ОБРАБОТКИ И ПРАВОВЫЕ ОСНОВАНИЯ

Мы обрабатываем персональные данные только при наличии правового основания (ст. 6 GDPR) и, при необходимости, дополнительных условий для специальных категорий данных.

3.1. Исполнение договора (ст. 6(1)(b) GDPR)

3.1.1. создание и управление Аккаунтом;
3.1.2. предоставление игровых Услуг, расчёт ставок и выигрышей;
3.1.3. выполнение депозитов и выводов, управление транзакциями;
3.1.4. применение бонусов, контроль вейджера и ограничений;
3.1.5. обслуживание запросов пользователя и техническая поддержка.

3.2. Соблюдение юридических обязанностей (ст. 6(1)(c) GDPR)

3.2.1. выполнение AML/CTF и KYC-требований;
3.2.2. предотвращение и расследование мошенничества, финансовых злоупотреблений, нарушений условий;
3.2.3. ведение учёта операций и хранение данных по регуляторным требованиям;
3.2.4. ответы на законные запросы компетентных органов.

3.3. Легитимные интересы (ст. 6(1)(f) GDPR)

3.3.1. обеспечение информационной безопасности, защита инфраструктуры;
3.3.2. улучшение качества сервиса, тестирование, аналитика продукта;
3.3.3. профилактика мультиаккаунтинга и злоупотребления бонусами;
3.3.4. защита прав и законных интересов Контролёра в спорах;
3.3.5. обеспечение ответственной игры и предотвращение вреда пользователям.
3.3.6. В случаях, когда мы полагаемся на легитимный интерес, мы проводим внутреннюю оценку баланса интересов (LIA) и применяем меры минимизации воздействия на права субъектов.

3.4. Согласие (ст. 6(1)(a) GDPR)

3.4.1. маркетинговые рассылки, где требуется согласие;
3.4.2. использование необязательных cookie/трекеров в юрисдикциях, где это необходимо;
3.4.3. отдельные функции профилирования для персонализированных предложений, если это требует согласия.
3.4.4. Согласие может быть отозвано в любое время, при этом обработка до отзыва остаётся законной.

3.5. Профилирование и автоматизированные решения

3.5.1. Мы можем использовать автоматизированные средства для:
a) антифрод-мониторинга;
b) оценки риска AML;
c) выявления бонусного абьюза;
d) мер ответственной игры (например, предупреждения и лимиты).
3.5.2. Если автоматизированное решение оказывает существенное влияние (например, блокировка вывода), мы обеспечиваем возможность обращения, дополнительной проверки и участия человека в принятии решения в пределах применимых требований (ст. 22 GDPR).

4. РАСКРЫТИЕ ИНФОРМАЦИИ ТРЕТЬИМ ЛИЦАМ
4.1. Общий принцип

Мы не продаём персональные данные. Передача возможна только при наличии оснований и исключительно в объёме, необходимом для целей обработки.

4.2. Платёжные провайдеры и финансовые партнёры

4.2.1. обработчики платежей, банки, эмитенты и эквайеры;
4.2.2. провайдеры кошельков и крипто-платежей (если применимо);
4.2.3. системы предотвращения мошенничества и чарджбек-сервисы.

4.3. Провайдеры игр и технические поставщики

4.3.1. поставщики игрового контента и платформенных модулей (в части, необходимой для проведения игр и расчётов);
4.3.2. хостинг-провайдеры, CDN, облачные сервисы;
4.3.3. поставщики аналитики, мониторинга и кибербезопасности (с учётом настроек cookie/согласий).

4.4. Регуляторы и компетентные органы

4.4.1. регуляторные органы и уполномоченные структуры в рамках законных запросов;
4.4.2. правоохранительные органы, финансовые разведки и суды при наличии правовых оснований.

4.5. Маркетинговые партнёры

4.5.1. партнёры могут получать данные только при наличии правового основания и при условии договорных ограничений, включая запрет использования данных вне согласованных целей;
4.5.2. там, где требуется согласие, оно запрашивается до передачи.

4.6. Договорные гарантии

4.6.1. С обработчиками заключаются договоры обработки данных (DPA) с условиями о конфиденциальности, безопасности, субобработчиках и возврате/удалении данных (ст. 28 GDPR).
4.6.2. Доступ сотрудников и подрядчиков ограничивается принципом необходимости (need-to-know).

5. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ
5.1. Общие положения

5.1.1. Данные могут обрабатываться в странах, отличных от страны проживания пользователя, включая юрисдикцию регистрации Контролёра и страны размещения обработчиков.
5.1.2. При трансграничной передаче мы применяем надлежащие механизмы защиты в соответствии с главой V GDPR.

5.2. Механизмы защиты

5.2.1. стандартные договорные положения (SCC) Европейской комиссии, где применимо;
5.2.2. дополнительные организационные и технические меры (шифрование, псевдонимизация, ограничение доступа);
5.2.3. оценка рисков передачи (Transfer Impact Assessment), если это требуется контекстом передачи.

5.3. Страны-получатели

Конкретные страны зависят от используемых поставщиков и инфраструктуры. По запросу субъекта данных мы предоставляем информацию о применяемых механизмах защиты и категориях получателей в пределах, допустимых законом и без раскрытия информации, способной снизить уровень безопасности.

6. ХРАНЕНИЕ И БЕЗОПАСНОСТЬ ДАННЫХ
6.1. Сроки хранения (Retention)

6.1.1. Мы храним данные не дольше, чем это необходимо для целей обработки, исполнения договора и выполнения юридических обязанностей.
6.1.2. Типовые ориентиры хранения:
a) данные Аккаунта — на период активности + разумный срок для урегулирования споров;
b) финансовые и транзакционные записи — в сроки, необходимые для бухгалтерского учёта, AML/CTF и защиты прав;
c) KYC/AML-документы — в сроки, установленные применимыми AML/CTF требованиями и внутренними политиками, после чего данные удаляются или обезличиваются.
6.1.3. Если данные необходимы для установления, осуществления или защиты правовых требований, сроки хранения могут быть продлены на период спора.

6.2. Технические и организационные меры безопасности

6.2.1. шифрование данных при передаче (TLS) и, где применимо, при хранении;
6.2.2. сегментация доступа, многофакторная аутентификация для администраторов;
6.2.3. журналы аудита, мониторинг подозрительных событий;
6.2.4. регулярные обновления, тестирование уязвимостей, контроль поставщиков;
6.2.5. принцип минимизации данных и разграничение ролей;
6.2.6. резервное копирование и планы восстановления.

6.3. Процедуры при инцидентах и утечках

6.3.1. При выявлении нарушения безопасности мы проводим расследование, локализацию и оценку рисков для субъектов данных.
6.3.2. Если нарушение может привести к риску прав и свобод, уведомление надзорного органа осуществляется в сроки, предусмотренные ст. 33 GDPR, а при высоком риске — информирование субъектов данных в соответствии со ст. 34 GDPR, если не применимы исключения.

7. ПРАВА СУБЪЕКТОВ ДАННЫХ

В зависимости от применимого права и обстоятельств вы имеете права, предусмотренные GDPR.

7.1. Право на информирование и доступ (ст. 13–15 GDPR)

7.1.1. Вы можете запросить подтверждение факта обработки и получить копию данных.

7.2. Право на исправление (ст. 16 GDPR)

7.2.1. Вы можете потребовать исправления неточных или неполных данных.

7.3. Право на удаление («право быть забытым», ст. 17 GDPR)

7.3.1. Вы можете запросить удаление данных, если отсутствуют основания для дальнейшей обработки.
7.3.2. Удаление может быть ограничено, если данные должны храниться по AML/CTF, бухгалтерским или иным юридическим требованиям.

7.4. Право на ограничение обработки (ст. 18 GDPR)

7.4.1. Вы можете потребовать ограничить обработку, например, на период проверки точности данных.

7.5. Право на переносимость (ст. 20 GDPR)

7.5.1. Вы можете получить данные в структурированном формате и передать их другому контролёру, где это применимо.

7.6. Право на возражение (ст. 21 GDPR)

7.6.1. Вы можете возражать против обработки на основании легитимного интереса, включая маркетинг.

7.7. Право отозвать согласие (ст. 7 GDPR)

7.7.1. Отзыв согласия не влияет на законность обработки до отзыва.

7.8. Право подать жалобу

7.8.1. Вы вправе обратиться к Контролёру с жалобой и/или подать жалобу в компетентный надзорный орган по защите данных, где это применимо.

7.9. Порядок реализации прав

7.9.1. Для реализации прав вы направляете запрос через службу поддержки Riobet или иным официальным каналом, указанным на Платформе.
7.9.2. Мы можем запросить дополнительную информацию для подтверждения личности, чтобы защитить данные от несанкционированного доступа.
7.9.3. Ответ предоставляется в разумные сроки, предусмотренные GDPR, с учётом сложности и объёма запросов.

8. COOKIE-ФАЙЛЫ И ТЕХНОЛОГИИ ОТСЛЕЖИВАНИЯ
8.1. Типы cookie

8.1.1. Строго необходимые — обеспечивают работу сайта, безопасность, вход в Аккаунт.
8.1.2. Функциональные — сохраняют настройки, язык, предпочтения.
8.1.3. Аналитические — помогают понимать, как используется Платформа, и улучшать её.
8.1.4. Маркетинговые — используются для персонализации предложений и измерения эффективности рекламы (при необходимости — на основании согласия).

8.2. Управление предпочтениями

8.2.1. Пользователь может управлять cookie через настройки браузера и/или модуль согласий на Платформе (если доступен).
8.2.2. Отключение строго необходимых cookie может привести к некорректной работе Платформы.

8.3. Антифрод и безопасность

8.3.1. Некоторые технологии используются для предотвращения мошенничества и обеспечения безопасности. Они могут применяться как строго необходимые для защиты сервиса и пользователей.

9. ДЕТИ И НЕСОВЕРШЕННОЛЕТНИЕ

9.1. Платформа предназначена только для лиц, достигших совершеннолетия (18+ либо выше, если требуется местным правом).
9.2. Мы не осуществляем намеренный сбор данных несовершеннолетних. При выявлении такого факта данные подлежат удалению или блокировке, а Аккаунт — закрытию, если это допустимо с учётом обязательств по хранению записей.

10. ИЗМЕНЕНИЯ ПОЛИТИКИ

10.1. Контролёр вправе изменять настоящую Политику.
10.2. Новая редакция вступает в силу с момента публикации на Платформе, если иное не указано в тексте.
10.3. При существенных изменениях мы можем дополнительно уведомлять пользователей через интерфейс Платформы или email.

11. КОНТАКТЫ КОНТРОЛЁРА И ЗАПРОСЫ

11.1. Контролёр: Riotech N.V. (Нидерландские Антильские острова).
11.2. Для вопросов по обработке данных и реализации прав субъектов используйте официальные каналы связи службы поддержки, указанные на Платформе.
11.3. В обращении укажите:
11.3.1. идентификатор Аккаунта (если есть);
11.3.2. суть запроса;
11.3.3. подтверждение личности (по запросу и в объёме, необходимом для верификации).

12. ВЗАИМОСВЯЗЬ С ДРУГИМИ ДОКУМЕНТАМИ

12.1. Настоящая Политика применяется совместно с:
12.1.1. Пользовательским соглашением Riobet;
12.1.2. Политикой AML/CTF;
12.1.3. Политикой KYC;
12.1.4. Политикой Ответственной игры и Самоисключения;
12.1.5. Правилами бонусной программы.
12.2. В случае противоречий приоритет имеют положения, прямо регулирующие соответствующую область (например, AML/CTF в части обязательного хранения).