Personopplysningene dine fortjener samme redaksjonelle presisjon som enhver annen side på dette nettstedet. Nedenfor forklarer operatøren hvilke datapunkter SpinMacho faktisk trenger, hvorfor hvert punkt betyr noe, og hvordan filen holdes forseglet mot misbruk. Terdersoft B.V. drifter kasinoet under Curaçao Gaming Control Board-lisens OGL/2024/1126/0521 og fungerer som behandlingsansvarlig for norske spillere. Videre oppdateres denne erklæringen hver gang en behandlingsaktivitet endres, så en kvartalsvis gjennomlesning er en fornuftig vane for oppmerksomme medlemmer.
Rettslig grunnlag under GDPR
SpinMacho forankrer hver behandlingsaktivitet i et navngitt rettslig grunnlag fra GDPR artikkel 6. Med andre ord samles ingenting inn «for sikkerhets skyld» — hver oppføring i behandlingsregisteret har en reviderbar begrunnelse. Dessuten beholder norske beboere retten til å utfordre ethvert grunnlag de finner overdrevent, og personvernombudet behandler slike utfordringer innen én kalendermåned. Følgelig ligger balansen mellom operatørens plikter og medlemmets kontroll klart innenfor det europeiske regimet.
Mest daglig behandling hviler på tre grunnlag: kontraktsoppfyllelse, rettslig plikt og berettiget interesse. For eksempel ligger drift av kassen under kontrakt, mens AML-journalføring hviler på rettslig plikt. Videre bruker svindelkontroller berettiget interesse, og markedsføringssegmentering avhenger av eksplisitt samtykke du kan trekke tilbake når som helst. Faktisk skiller samtykkebanneret tydelig mellom disse variantene, slik at avslått markedsføringssamtykke aldri blokkerer grunnleggende kontofunksjonalitet.
Datafamilier vi behandler
SpinMacho samler inn fem datafamilier for å holde plattformen trygg, regelrett og personlig tilpasset. Hver familie respekterer dataminimeringsprinsippet i GDPR artikkel 5, slik at filen aldri vokser utover oppgitt formål. Tabellen nedenfor åpner det panoramiske bildet over hva som lander i kontojournalen.
| Familie | Eksempler | Rettslig grunnlag | Lagringstid |
|---|---|---|---|
| Identifikator-register | Juridisk navn, fødselsdato, bostedsadresse, ID-skanning | Kontrakt og rettslig plikt | 5 år etter stenging |
| Kasseregister | Kort-tokens, krypto-lommebok-adresser, transaksjons-ID | Kontrakt og AML-plikt | 7 år etter siste bevegelse |
| Enhetssignaler | IP, user agent, enhetsfingeravtrykk, samtykkecookies | Berettiget interesse | 12 måneder |
| Spillhistorikk | Spilløkter, innsatsstørrelse, innskuddstakt, bonus-krav | Kontrakt og rettslig plikt | 5 år etter stenging |
| Kontaktlogger | Chat-transkripsjoner, e-posttråder, telefonnotater | Berettiget interesse | 3 år fra ticket-lukking |
Inni hver familie
Identifikator-register driver registrering, obligatorisk alderskontroll og hver senere KYC-eskalering. Spesifikt inkluderer pakken juridisk navn, fødselsdato, bostedsadresse og en ID-skanning som binder profilen til en reell person. Dessuten styrer samme fil kritiske kontovarsler som verifikasjonsutfall, utbetalingsvarsler og sikkerhetsadvarsler. Markedsførings-e-post flyter aldri fra dette grunnlaget uten positivt samtykke, så å kreve en bonus forplikter deg ikke til reklamekontakt.
Kasseregister er tokenisert fra ende til ende, fordi PCI DSS-prosessoren returnerer en reversibel token i stedet for råkortnummeret. Derfor kan kortet ditt ikke brukes til å belaste tredjeparter selv i det usannsynlige tilfelle av et databrudd. Videre lagres krypto-lommebok-adresser og on-chain-transaksjons-ID-er slik at AML-kontroller kan avstemme kjedeflytting mot kontobok. Faktisk er denne transparensen en kjernebetingelse i Curaçao-lisensrammeverket.
Enhetssignaler ankommer automatisk via serverlogger under hver økt, mens spillhistorikk skrives av spillmotoren etter hver runde. For eksempel inkluderer enhetsdata IP, enhetsfingeravtrykk og nettleserstreng, mens spilldata dekker øktlengde, innsatsstørrelse og bonusstatus. Følgelig mater disse to familiene svindeldeteksjon og aktsomhetskontroller uten å drive til urelatert profilering. Sammenfattet holder begge settene seg innenfor oppgitt formål og mater aldri eksterne annonsenettverk.
Hvorfor vi bruker dataene dine
Filen din tjener seks konkrete formål, og hvert ett er knyttet til et definert rettslig grunnlag. Med andre ord samles ingenting inn spekulativt; hver behandlingsaktivitet har en dokumentert begrunnelse revisorer kan verifisere. Listen nedenfor oppsummerer bruksområdene norske beboere bør gjenkjenne inne på kontoen.
- Kontodrift: Registrere profilen, autentisere hver innlogging, drifte kassen og personalisere lobbyen.
- Regulatorisk plikt: Kjøre KYC, AML-screening og skatterapportering der lov eller lisens krever det.
- Svindelforsvar: Oppdage enhetsavvik, identitetstyveri-forsøk og bonusmisbruk-signaturer på tvers av medlemsskaren.
- Aktsomhetsplikt: Overvåke innskuddstakt og innsatstopper slik at ansvarlig-spill-teamet kan handle før skade oppstår.
- Support og tvister: Løse chat-tickets, eskaleringer til Curaçao GCB og klager levert til Forbrukertilsynet.
- Markedsføring: Sende opt-in-e-post, skreddersy bonusforslag og måle kampanjeløft, alltid på eksplisitt samtykke.
Lagringsvinduer forklart
Data beholdes bare så lenge hvert formål krever, deretter slettes eller anonymiseres journalen. Dessuten er lagringsvinduer kalibrert for å matche norske skattestatutter og EUs AML-direktiv. Følgelig varer bestemte filer — for eksempel kasse-journaler — i syv år etter siste transaksjon, mens kortlivede enhetssignaler forsvinner etter tolv måneder.
Spesifikt aldres identifikator- og spillhistorikk-filer ut fem år etter at kontoen lukkes, fordi dette er det lovpålagte minimum under det gjeldende AML-rammeverket. Videre holder kontaktlogger seg i tre år fra ticket-lukking, slik at et tilbakevendende medlems kontekst forblir hentbar innen det vinduet. I tillegg bevares samtykkemetadata — hva-når-hvor av et markedsføringssamtykke — over samme fem-års-horisont for å bevise lovlig kontakt.
Hvem berører filen din
En liten leverandørliste støtter den daglige plattformen, og hver partner er underlagt en signert databehandleravtale. Videre lister hver partnerkontrakt opp det tillatte formålet, datafeltene som deles og det geografiske vert-avtrykket. Følgelig kan ingen leverandør gjenbruke SpinMacho-journalen til urelaterte kommersielle mål. Listen nedenfor grupperer leverandørkartet i lesbare kategorier.
- Kasseprosessorer: Lisensierte betalingsleverandører som tokeniserer kortnumre og gjør opp fiatskinner under PCI DSS.
- Blockchain-analyse: On-chain-etterretningsfirmaer som verifiserer kryptoinnskudd mot sanksjonslister og mixer-aktivitet.
- KYC-leverandør: Identitetsverifikasjonspartnere som matcher ID-skanninger til selfies og utreder adressebevis.
- Skyverter: EØS-baserte datasentre som holder dashbord, kasse-API og support-ticketing online.
- E-postoperatør: Transaksjonell mail-leverandør som sender verifikasjonslenker, utbetalingsvarsler og opt-in-markedsføring.
Alle partnere sitter innenfor det europeiske økonomiske samarbeidsområdet der det er praktisk mulig. Når en overføring krysser utenfor EØS, gjelder standardavtaleklausuler pluss supplerende garantier. Derfor forblir en amerikansk betalingsprosessor eller en sveitsisk identitetsverifikasjonspartner bundet til GDPR-nivå. I tillegg holder operatøren et underbehandlerregister som norske medlemmer kan be om fra [email protected].
Cookie-register og enhetssporing
Cookie-banneret på første besøk skiller strengt nødvendige cookies fra analyse- og markedsføringscookies. Først kjører nødvendige cookies uten samtykke fordi de holder innloggingsøkten og kassekurven stabil. Deretter aktiveres analysecookies kun etter bekreftende samtykke, og de blandes aldri med markedsføringscookies uten et separat opt-in. Dessuten utløser en samtykkefornyelse hver tolvte måned slik at utløpte godkjenninger ikke henger igjen.
| Cookie-kategori | Formål | Eksempler på leverandør | Varighet |
|---|---|---|---|
| Strengt nødvendige | Innloggingsøkt, kassesikkerhet | Internt | Økt |
| Preferanse | Språk, valuta, UI-tema | Internt | 12 måneder |
| Analyse | Side-ytelse, trakt-studier | Google Analytics (IP-maskert) | 14 måneder |
| Markedsføring | Remarketing, kampanje-attribusjon | Meta Pixel, affiliate-tags | 180 dager |
| Anti-svindel | Enhetsfingeravtrykk, replay-forsvar | Spesialisert sikkerhetsleverandør | 30 dager |
Dine GDPR-rettigheter
Norske beboere nyter full liste over dataemne-rettigheter gitt av GDPR artikkel 15 til artikkel 22. Dessuten behandler personvernombudet hver forespørsel innen én kalendermåned, selv om komplekse saker kan utvides til nitti dager når det uttrykkelig kommuniseres. Følgelig lukkes de fleste forespørsler lenge før lovpålagt tak, og et skriftlig spor sporer hvert trinn i arbeidsflyten.
- Innsyn: Be om kopi av hele filen din i maskinlesbart format.
- Retting: Korrigere en unøyaktig eller utdatert oppføring, vanligvis gjennom selve dashbordet.
- Sletting: Be om fjerning der ingen AML-lagringsplikt gjelder; statutte-unntak forblir dokumentert.
- Begrensning: Sette behandling på pause under en pågående tvist eller rettingssyklus.
- Innsigelse: Nekte berettiget-interesse-behandling som atferdsanalyse når som helst.
- Portabilitet: Motta en elektronisk kopi som kan videresendes til en annen behandlingsansvarlig.
Forespørsler reiser til [email protected], og en unik ticket-identifikator returnerer innen tre virkedager. Videre står Datatilsynet på datatilsynet.no klar som ekstern tilsynsmyndighet når et svar skuffer deg. I tillegg støtter det europeiske personvernrådet grenseoverskridende klager når behandlingen spenner over flere medlemsstater. Derfor forblir minst to eskaleringsruter åpne selv etter at intern prosess lukkes.
Mindreårige og familievern
SpinMacho samler aldri bevisst inn informasjon fra noen under atten år. Først håndhever registreringsskjemaet aldersporten, og KYC utløser en andre kontroll før første uttak. Dessuten kan foreldre som mistenker mindreårig eksponering skrive direkte til [email protected] for prioritet-takedown og data-sletting. Følgelig behandler plattformen mindreårig data som en compliance-svikt heller enn en lavprioritets-ticket.
Videre kan husstander legge ekstra filtre oppå in-site-beskyttelsen. For eksempel stoler norske familier på Altibox- eller Telia-foreldrekontroller, pluss nettleser-utvidelser som Gamban og BetBlocker. I tillegg blokkerer skjermtid-verktøy på iOS og Android hele spillkategorier.
Sikkerhetskontroller bak filen
Operatøren pakker medlemsfilen inn i flere forsvarslag, og TLS-1.3 på hver forespørsel utgjør startlinjen. Videre sitter passord som saltede hashverdier, og kasse-kortnumre reiser bare som tokeniserte erstatninger. Dessuten hindrer rollebasert tilgang inne hos operatøren at supportagenter leser rå ID-skanninger med mindre en leder godkjenner elevert tillatelse. Følgelig etterlater selv interne forespørsler et revisjonsspor compliance-teamet kan granske når som helst.
Kryptering i hvile beskytter hver databaseskjerv, og periodiske penetrasjonstester holder flåten ærlig mot nye angrepsvektorer. Spesifikt bestiller operatøren en årlig ekstern revisjon som dekker web-, mobil- og kasse-endepunkter. I tillegg belønner et bug-bounty-program ansvarlig offentliggjøring, noe som oppmuntrer sikkerhetsforskere til å rapportere heller enn å utnytte. Derfor utvikler sikkerhetsholdningen seg i takt med trussellandskapet i stedet for å drive bakover.
Databrudd og varsling
I det usannsynlige tilfelle av et personopplysningsbrudd aktiverer operatøren en testet hendelsesresponsplan innen en time etter oppdagelse. Først begrenser det tekniske teamet bruddet og bevarer bevis. Deretter vurderer personvernombudet omfanget og risikoen for medlemmer. Dessuten mottar Datatilsynet varsel innen det lovpålagte syttito-timers-vinduet når et høyrisiko-brudd rammer norske beboere.
Rammede medlemmer mottar direkte e-postvarsel som forklarer hendelsen, datafeltene som er involvert og konkrete tiltak for selvbeskyttelse. Videre lander en post-incident-rapport på nettstedet når inneslutningen lukkes.
Å holde erklæringen oppdatert
Denne erklæringen oppdateres når en dataflyt endres eller en partner kommer inn eller forlater leverandørlisten. Videre utløser vesentlige revisjoner dedikert e-post og et dashboard-banner, begge publisert minst fjorten dager før ikrafttredelse. Spørsmål reiser til [email protected], mens bekymringer eskalerer til Datatilsynet.