Integritetspolicy

1. Omfång och Vegazones status som personuppgiftsansvarig

Denna integritetspolicy reglerar vilka uppgifter vi samlar in när du använder vegazone.com.se för fjärrspel, hur vi behandlar dem och vilka grundläggande garantier du får. För ett nätcasino fyller ett dokument av typen integritetspolicy två funktioner samtidigt: det informerar spelaren och fungerar som bevis på efterlevnad av dataskyddsregler gentemot EUtillsynsmyndigheter. Vi agerar som personuppgiftsansvarig (den part som bestämmer ändamål och medel för behandlingen av personuppgifter) för alla åtgärder som rör ditt konto och dina betalningar.

Vi registrerar och dokumenterar systematiskt våra behandlingsaktiviteter, så att det är tydligt vilka kategorier av uppgifter som hör till ditt spelkonto, i vilka system de lagras och till vilka mottagare de kan lämnas ut enligt lag. Varje behandling av personuppgifter baseras på en laglig grund, till exempel fullgörande av avtal med spelaren. Samtidigt gäller principen om ändamålsbegränsning, vilket innebär att samma uppgiftsmängd inte används för oförenliga syften, och detta kontrolleras minst en gång var tolfte månad genom intern revision.

2. Rättsliga grunder för behandling och tillämplig svensk spellagstiftning

När vi behandlar spelarens uppgifter på vegazone.com.se följer vi kraven i dataskyddsförordningen (GDPR), vilket i denna policy benämns som efterlevnad av GDPR, samt bestämmelserna i svensk spellagstiftning för fjärrspel riktat till personer bosatta i Sverige. Tillsynen över efterlevnaden av reglerna sköts av Spelinspektionen, som inte bara granskar spel och utbetalningar utan även hur casinot hanterar personuppgifter. För varje åtgärd som rör personuppgifter fastställer vi i förväg en rättslig grund och blandar inte ihop den med andra syften, för att undvika oklara eller dolda behandlingar.

I de flesta fall stödjer vi oss på berättigat intresse (ett legitimt intresse för företaget eller en tredje part som inte väger tyngre än spelarens rättigheter och friheter) eller på nödvändigheten att fullgöra avtalet med spelaren. Om det gäller särskilda kategorier av personuppgifter, till exempel uppgifter som kan avslöja hälsa eller etniskt ursprung, aktiverar vi särskilda interna kontroller och registrerar besluten i en beslutslogg som ses över minst en gång var tolfte månad. För spelarens bekvämlighet kan de rättsliga grunderna delas in i fyra huvudgrupper:

  • fullgörande av avtalet om hantering av spelkontot
  • uppfyllande av krav enligt EUrätten och svensk lag
  • berättigat intresse, som i förväg har bedömts genom en intresseavvägning
  • spelarens samtycke för vissa typer av kommunikation.

3. Kategorier av behandlade spelaruppgifter och källor

Vi arbetar med flera grundläggande grupper av kundkännedomsuppgifter (KYCdata) som du lämnar vid registrering och senare aktiviteter på vegazone.com.se. Detta omfattar identifikationsuppgifter (fullständigt namn, födelsedatum, medborgarskap), kontaktuppgifter (epost, telefon), betalningsuppgifter och historik över din användning av webbplatsen. Denna uppsättning behövs för att uppfylla krav mot penningtvätt och finansiering av terrorism samt våra allmänna skyldigheter att kontrollera medlens ursprung och jämföra spelaren mot offentliga och sanktionslistor. Separat registreras alla verifieringskontroller som vi genomför vid insättningar, uttag och stickprovsvisa manuella granskningar.

Vissa uppgifter genereras automatiskt av våra system och matas inte in av dig direkt. Dit hör tekniska loggar som innehåller geolokaliseringsdata, IPadress, enhetsidentifierare, webbläsartyp och tidsstämplar för inloggningar. Dessa uppgifter kopplar vi till spelaktivitet och betalningar för att uppnå uppgiftsminimering i spelarprofilen, men ändå behålla tillräcklig information för transaktionsövervakning. För alla kategorier gäller principerna inbyggt dataskydd och dataskydd som standard, vilket innebär att endast de fält och loggar som verkligen behövs för att tillhandahålla tjänsterna är aktiverade som standard.

De huvudsakliga uppgiftskällorna kan delas in så här:

  • det du själv lämnar via formulär och kundsupport
  • det som skapas automatiskt genom kontots användning
  • det som inhämtas från betalnings och verifieringstjänster.

Begrepp: KYC (Know Your Customer) är ett formaliserat paket av rutiner och handlingar som gör det möjligt att identifiera spelaren och bedöma dennes riskprofil enligt kraven från finansiell tillsyn.

4. Ändamål med användning av uppgifter och interna behandlingsflöden

Vi använder spelarens uppgifter för att konfigurera kontot, beräkna insatser, tillhandahålla teknisk support samt driva interna bedrägeriskyddssystem som jämför transaktioner och beteendemönster. I vissa situationer används profilering (automatiserad analys av aktivitetspattern) och begränsade automatiserade beslut, men endast med fasta tröskelvärden och dokumenterade regler.

5. Marknadsföringsutskick, samtyckesinställningar och kontakt

Vi skickar marknadsföringsmeddelanden endast till de spelare som i kontoinställningarna har aktiverat samtycke till sådana utskick. Det kan handla om epost, SMS eller pushnotiser, där kontaktkanalen alltid anges tydligt och meddelandenas innehåll kopplas till specifika erbjudandekategorier. För spelare i Sverige skickas särskilda aviseringar om gränser och verktyg för ansvarsfullt spelande, samordnade med Spelpaus och våra interna verktyg för ansvarsfullt spel. Du kan när som helst gå in i profilinställningarna och stänga av varje typ av utskick separat utan att det påverkar övriga funktioner på kontot.

Systemet för hantering av samtycken registrerar datum, kanal och version av den text som låg till grund för ditt samtycke till marknadsföring. Vi för centraliserade kundsupportregister, så en begäran om avregistrering via supporten och ändringar av kryssrutor i din personliga profil behandlas i ett och samma register. I genomsnitt återspeglas den uppdaterade samtyckesstatusen i våra operativa system inom 15 minuter.

För frågor om reklam kan du kontakta oss på [email protected] och tydligt ange vilka kategorier av meddelanden du vill fortsätta få eller avstå från. Supporten hanterar sådana ärenden i turordning, med en prioritet som inte är lägre än för vanliga kontorelaterade ärenden.

6. Överföring av uppgifter till mottagare och externa personuppgiftsbiträden

För driften av vegazone.com.se anlitar vi externa personuppgiftsbiträden som tekniskt behandlar vissa uppgiftsdelar, men som inte bestämmer ändamål eller medel för behandlingen. Dit hör betalningstjänstleverantörer för insättningar och uttag, samt specialiserade spelleverantörer för slots och bordsspel. Varje sådan mottagare genomgår juridisk och teknisk granskning, och mängden uppgifter som överförs begränsas till vad som är nödvändigt för den specifika åtgärden. I genomsnitt har en aktiv spelare inte mer än cirka 3–5 externa mottagare av sina uppgifter.

Relationerna med dessa organisationer regleras genom personuppgiftsbiträdesavtal, där det i detalj anges vilka uppgifter som behandlas av uppdragstagaren och hur de skyddas. I vissa fall agerar vi som gemensamt personuppgiftsansvariga tillsammans med betalnings eller spelleverantörer, och då delas informationsskyldigheter och ansvar för svar på rättighetsbegäranden enligt avtalet. De huvudsakliga kategorierna av mottagare är:

  • leverantörer av betaltjänster
  • leverantörer av spelinnehåll
  • tekniska leverantörer för hosting och driftstöd.

7. Internationella överföringar, gränsöverskridande dataöverföringar och skyddsåtgärder

Vissa tekniska system som används för driften av vegazone.com.se är placerade utanför Europeiska ekonomiska samarbetsområdet. Det innebär att vissa delar av uppgifterna, inklusive tekniska loggar och loggar över IPadresser, kan kopieras eller behandlas i andra jurisdiktioner. I sådana fall dokumenteras varje gränsöverskridande överföring i förväg och kopplas till en konkret tjänst, inte till en allmän global behandling. Vi registrerar länder, leverantörer och uppgiftstyper i ett särskilt register och jämför det regelbundet med den faktiska systemarkitekturen för att undvika dolda dataflöden.
Om mottagarlandet inte bedöms ha en adekvat skyddsnivå använder vi avtalsbaserade lösningar. För de flesta leverantörer tillämpar vi standardavtalsklausuler från EU, som ålägger mottagaren att säkerställa en skyddsnivå som är jämförbar med den europeiska, kompletterade med ytterligare tekniska åtgärder. Uppgifter får endast överföras efter riskbedömning och införande av kryptering. Enligt våra interna regler ska sådana avtal ses över minst en gång var 24:e månad, och vid förändringar i infrastrukturen genomförs en extra granskning.

Tekniskt sett utgör internationella dataförflyttningar ett vidare begrepp som även omfattar säkerhetskopiering, fjärrsupport och molnbaserade loggtjänster. Samtidigt minimerar vi innehållet i loggarna och använder loggfiler med förkortade identifierare där det är möjligt. För tydlighetens skull kan de vanligaste överföringsscenarierna beskrivas så här:

  • hosting och säkerhetskopiering av systemen
  • fjärrbaserad teknisk support och övervakning
  • analys av prestanda och driftsäkerhet.

Varje sådant scenario är kopplat till en specifik rättslig grund och en uppsättning skyddsåtgärder, och spelaren kan på begäran få en översiktlig beskrivning av de aktuella överföringsvägarna och tillämpliga garantier.

8. Lagringstider och schema för bevarande av personuppgifter

Vi lagrar inte uppgifter utan tidsgräns, utan följer ett i förväg fastställt schema för bevarande av personuppgifter, där det anges hur länge olika kategorier av uppgifter lagras och i vilka system. För finansiella transaktioner är utgångspunkten minst fem år från datumet för den senaste transaktionen, men den exakta tiden för vissa loggar och tillhörande dokument kan avvika. Parallellt anges en övergripande lagringshorisont som kopplas till den totala lagringstiden, så att uppgifter inte finns kvar i systemen längre än nödvändigt.

Den utsedda dataskyddsombudspersonen säkerställer att faktisk radering och arkivering sker i enlighet med de fastställda tidsfristerna och inte skjuts upp på obestämd tid. Om vissa loggar eller säkerhetskopior har längre lagringstid motiveras detta med krav i EUrätten eller lokala bestämmelser och dokumenteras separat. I situationer där det finns risk för bristande efterlevnad av lagringsrutinerna aktiverar vi rutinen för anmälan av personuppgiftsincidenter och kontrollerar om uppgifter har raderats för tidigt eller, tvärtom, bevarats längre än nödvändigt.

9. Spelarens rättigheter och hur de utövas

Du kan begära en kopia av dina uppgifter, rättelse, radering samt tillfällig begränsning av behandlingen. För detta räcker det att kontakta supporten och beskriva vilka åtgärder som rör ditt konto, inklusive inställningar för självavstängning och gränser via verktyg för självexkludering. Vi besvarar sådana begäranden normalt inom 30 dagar.

Särskilt gäller rätten att begränsa behandlingen, det vill säga möjligheten att tillfälligt pausa vissa behandlingar utan att kontot raderas, och rätten till dataportabilitet, som gör det möjligt att få ut huvudsakliga uppgifter i ett strukturerat format och överföra dem till en annan speloperatör, om detta är tekniskt genomförbart. Våra interna register dokumenterar vilka begäranden du redan har lämnat och vilka beslut som fattats, så att du inte behöver upprepa samma åtgärder.

10. Säkerhet, krypteringsprotokoll och plan för incidenthantering

Vi använder tekniska och organisatoriska säkerhetsåtgärder som är indelade i flera skyddsnivåer. Grundnivån utgörs av krypteringsprotokoll vid överföring och lagring av uppgifter, med moderna krypteringsalgoritmer och nycklar på minst 256 bitar. Systemåtkomst är rollbaserad, och alla åtgärder i administrativa gränssnitt och lagringssystem loggas. Allt detta ingår i ett övergripande paket av datasäkerhetsåtgärder som ses över minst en gång var tolfte månad och efter alla väsentliga förändringar i infrastrukturen.

I våra operativa system använder vi pseudonymisering, det vill säga att direkta identifierare ersätts med tekniska koder så att uppgifterna inte kan kopplas till en specifik person utan separat nyckel, när fullständig identifiering inte är nödvändig. Detta minskar mängden uppgifter som faktiskt är tillgängliga för anställda och leverantörer. Åtkomstkontroller definieras både på gruppnivå och för enskilda konton, och minimala behörighetsnivåer kontrolleras genom automatiska och manuella revisioner.

För att säkerställa en samordnad hantering av incidenter finns en formaliserad plan för incidentrespons som omfattar både tekniska och kommunikativa steg. Den innefattar:

  • registrering av händelsen och en första teknisk bedömning
  • isolering av berörda system
  • kontroll av dataintegritet och loggar
  • beslut om huruvida användare och tillsynsmyndigheter behöver informeras.

Dessa procedurer testas minst en gång per år genom övningsscenarier, med dokumentation av resultaten och justering av åtkomst och övervakningsinställningar.

11. Cookies, spårningsverktyg och cookiepolicy

När du besöker vegazone.com.se registrerar vi tekniska sessionsegenskaper och webbläsarens funktion genom cookies och liknande spårningsmekanismer. Här gäller en cookiepolicy som beskriver vilka kategorier av filer som används, hur länge de lagras och vilka inställningar som står till ditt förfogande. Tillsynen över efterlevnaden av dataskyddsregler, även när det gäller cookies, utövas i EU och Sverige av behörig tillsynsmyndighet.

Villkorsmässigt delas cookies in i tre grupper, som var och en har en tydlig funktion:

  • strikt nödvändiga för att användarkonto och session ska fungera
  • funktionella, som kommer ihåg språkval och grundläggande inställningar
  • analytiska och mätande, som gör det möjligt att se hur webbplatsen används utan att direkt identifiera spelaren.

Begrepp: Cookies är små textfiler som webbläsaren lagrar på enheten så att webbplatsen kan känna igen vissa inställningar och händelser vid återkommande besök.