Siirry sisältöön
Gamban
Pikalinkit

Tietosuojaa koskeva vaikutustenarviointi

Tämä asiakirja on käännös. Alkuperäiset, oikeudellisesti sitovat asiakirjat ovat englanniksi, ja ne ovat nähtävissä täällä.

1. Tietosuojaa koskevan vaikutustenarvioinnin tarve

Projektin nimi: Gamban

Arviointipäivä: 2.11.2024

Arvioija(t): Nick Michalopoulos

Tämä tietosuojaa koskeva vaikutustenarviointi on tarpeen tietojenkäsittelykäytäntöjen muutosten vuoksi, erityisesti siksi, että asiakastiedot luokitellaan erityisiin tietoryhmiin kuuluviksi tiedoiksi. Tämä luo tarpeen tehdä tietosuojaa koskeva vaikutustenarviointi kaikentyyppiselle sellaiselle käsittelylle, johon todennäköisesti sisältyy suuri riski.

2. Käsittelyn kuvaus

Mitä tietoja käsitellään?

  • Henkilöllisyystiedot: käyttäjätunnus
  • Yhteystiedot: käyttäjän sähköpostiosoite ja puhelinnumero
  • Laitetiedot: tiedot eri laitteista, joita estolisenssimme suojaa
  • Markkinointitiedot: uutiskirjeemme vastaanottamiseen liittyvät käyttäjän mieltymykset
  • Profiilitiedot: uhkapeliriippuvaisuuden tila, joka sisältää uhkapelaamisen tason, viimeisen uhkapeli-istunnon ajankohdan ja käyttäjätunnuksen
  • Tekniset tiedot: internetin protokollaosoite (IP-osoite), selaintyyppi ja -versio, aikavyöhykeasetus ja sijainti, selaimen laajennustyypit ja versiot, käyttöjärjestelmä ja alusta sekä muu teknologia laitteilla, joilla käyttäjät käyttävät Gambanin verkkosivustoa
  • Maksutiedot: tiedot maksuista käyttäjälle ja käyttäjältä sekä muut tiedot käyttäjän ostamista palveluista
  • Käyttötiedot: tietoja verkkosivustostamme ja tuotteiden käyttötrendeistä.

Tietojen käsittelyn tarkoitus:

  • ohjelmistopalvelut
  • tärkeät ilmoitukset tuotteesta, käyttötukitoiminnoista ja siitä, milloin tilaus on päättymässä
  • sisäisten tietueiden ylläpitäminen
  • tilastollinen analyysi tuotekehityssyistä.

Kenellä on pääsy tietoihin:

  • sääntelyelimet
  • lakisääteiset elimet
  • poliisi
  • mikä tahansa muu toimivaltainen viranomainen, jolla on laissa säädettyjä erityistehtäviä
  • kolmannet osapuolet, joille suorittamaamme henkilötietojensa jakamiseen käyttäjä on nimenomaisesti suostunut
  • liikekumppanit ja palveluntarjoajat.

Tietovirta:

  1. Tietojen kerääminen: käyttäjätietoja kerätään, kun henkilöt rekisteröityvät Gambanin verkkosivuston tai sovelluksen kautta.
  2. Tietojen siirto: Tiedot siirretään turvallisesti HTTPS-protokollan kautta Gambanin palvelimille. Laitekohtaiset tiedot välitetään käyttäjän laitteen ja Gambanin järjestelmän välillä estotoimintojen mahdollistamiseksi.
  3. Tietojen tallennus: kerätyt tiedot tallennetaan salattuihin tietokantoihin, joita isännöi Azure (Microsoft Corporation).
  4. Tietojen käyttö: tietoja käsitellään aiemmin esitetyllä tavalla.
  5. Tietojen jakaminen: tietoja ei jaeta kolmansille osapuolille, elleivät käyttäjät ole nimenomaisesti antaneet siihen suostumustaan tai ellei laki sitä edellytä.
  6. Tietojen poistaminen: Käyttäjät voivat pyytää tietojen poistamista sovelluksen tai tuen kautta. Poistetut tiedot poistetaan pysyvästi aktiivisilta palvelimilta ja varmuuskopioista 12 kuukauden kuluessa.

Missä tietoja käsitellään?

  • Ensisijaiset tietojen käsittelyn sijainnit: Tietoja käsitellään Azuren isännöimillä palvelimilla ja tallennetaan niille Yhdistyneessä kuningaskunnassa ja EU:ssa. Lokalisoitu tietojen käsittely tapahtuu käyttäjien laitteilla estotoiminnon mahdollistamiseksi.
  • Varmuuskopioiden ja palautuksen sijainnit: salattuja varmuuskopoita säilytetään Yhdistyneessä kuningaskunnassa ja EU:ssa.
  • Kolmannen osapuolen palvelut: luotetut kolmannen osapuolen palveluntarjoajat voivat käsitellä rajoitettuja tietoja (esim. sähköposti-ilmoituksia tai käyttäjätukea varten) tai alustakohtaisia tietoja:
    • Zendesk, Inc.
    • PayPal Braintree
    • Apple Inc.
    • Google LLC, jonka sijainti ja käsittelyehdot on lueteltu kussakin tietojenkäsittelysopimuksessa.

3. Tarpeellisuus ja suhteellisuus

Gamban nojautuu seuraaviin oikeusperusteisiin käyttäjätietojen käsittelyssä:

  • Suostumus (6 artiklan 1 kohdan a alakohta ja 9 artiklan 2 kohdan a alakohta): Käyttäjät antavat nimenomaisen suostumuksensa henkilötietojensa ja erityisiin tietoryhmiin kuuluvien tietojensa käsittelyyn rekisteröityessään palveluun.
  • Sopimuksen täytäntöön paneminen (6 artiklan 1 kohdan b alakohta): Tietojen käsittely on tarpeen uhkapelaamisen estopalvelun tarjoamista koskevan sopimusvelvoitteen täyttämiseksi.
  • Tärkeä yleinen etu (9 artiklan 2 kohdan g alakohta): Erityisiin tietoryhmiin kuuluvien tietojen käsittely tukee kansanterveystavoitetta, joka on uhkapelaamisen liittyvien haittojen vähentäminen kansallisten lakien mukaisesti.

Tietojen käsittely on välttämätöntä, jotta voidaan tarjota Gambanin ydintoiminto eli uhkapelaamisen liittyvän sisällön estäminen käyttäjien laitteilla. Esimerkiksi:

  • Henkilötiedot: sähköpostiosoitteita ja laitetunnisteita tarvitaan käyttäjien todentamiseen, laitekohtaisen eston määrittämiseen ja tuen tarjoamiseen.
  • Erityisiin tietoryhmiin kuuluvat tiedot: Itsensä poissulkemiseen uhkapelaamisesta liittyvät käyttäytymistiedot varmistavat, että palvelu on räätälöity uhkapelaamiseen liittyvien haittojen käsittelemiseksi.

Ilman tätä Gamban ei voi tarjota palvelujaan tehokkaasti tai tukea tehtäväänsä vähentää uhkapelaamiseen liittyviä haittoja. Kerättyjen tietojen määrä minimoidaan määrään, joka on tarpeen palvelun tarkoituksen saavuttamiseksi. Toimenpiteitä ovat seuraavat:

  • Vain olennaiset tiedot: Gamban ei kerää liikaa henkilötietoja tai arkaluonteisia tietoja.
  • Anonymisointi: Yhdistettyjä ja anonymisoituja tietoja käytetään analytiikkaan aina, kun se on mahdollista.

Gamban varmistaa Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen noudattamisen toteuttamalla tehokkaita toimenpiteitä rekisteröidyn oikeuksien, mukaan lukien seuraavien, puolustamiseksi:

Oikeus saada pääsy henkilötietoihin (15 artikla):

  • Käyttäjät voivat pyytää pääsyä henkilötietoihinsa sähköpostitse tai sovelluksen kautta.
  • Gamban toimittaa kopion tiedoista yleensä kuukauden kuluessa ja varmistaa, että tiedot ovat selkeässä ja yleisesti käytetyssä muodossa.

Oikeus oikaista tietoja (16 artikla):

  • Käyttäjät voivat pyytää korjauksia virheellisiin tai puutteellisiin henkilötietoihin.
  • Muutokset toteutetaan viipymättä, ja käyttäjille ilmoitetaan, kun korjaus on valmis.

Oikeus poistaa tiedot (17 artikla):

  • Käyttäjät voivat pyytää tietojensa poistamista, kun niitä ei enää tarvita siihen tarkoitukseen, johon ne kerättiin, tai jos he peruuttavat suostumuksensa.
  • Kun kelvollinen pyyntö on vastaanotettu, tiedot poistetaan pysyvästi aktiivisista järjestelmistä ja varmuuskopioista (määritetyn ajan, esim. 30 päivän, kuluessa).

Oikeus rajoittaa tietojen käsittelyä (18 artikla):

  • Käyttäjät voivat pyytää Gambania rajoittamaan väliaikaisesti tietojensa käsittelyä, kun ratkaistaan esimerkiksi tietojen paikkansapitävyyteen tai oikeudellisiin vaateisiin liittyviä asioita.
  • Tietoja säilytetään, mutta niitä ei käsitellä aktiivisesti, ennen kuin rajoitus poistetaan.

Oikeus siirtää tiedot järjestelmästä toiseen (20 artikla):

  • Käyttäjät voivat pyytää kopiota tiedoistaan jäsennellyssä ja koneellisesti luettavassa muodossa siirtääkseen ne toiseen palveluun.

Oikeus vastustaa tietojen käsittelyä (21 artikla):

  • Käyttäjät voivat vastustaa käsittelyä oikeutettujen etujen tai suoramarkkinoinnin perusteella.
  • Vastustamistapauksissa Gamban lopettaa käsittelyn, ellei käsittelylle ole pakottavia perusteltuja syitä.

Oikeus peruuttaa suostumus (7 artiklan 3 kohta):

  • Käyttäjät voivat peruuttaa suostumuksensa milloin tahansa tiliasetusten kautta tai ottamalla yhteyttä tukeen.

Automaattinen päätöksenteko (22 artikla):

  • Gamban ei harjoita automaattista päätöksentekoa tai profilointia, jolla on oikeudellisia tai vastaavia merkittäviä vaikutuksia.

Näiden oikeuksien helpottamiseksi Gamban on ottanut seuraavat käyttöön:

  • Tietosuojakäytäntö ja evästekäytäntö: selkeät ohjeet siitä, miten käyttäjät voivat käyttää oikeuksiaan.
  • Käyttäjätuki: erityinen tukitiimi auttaa oikeuksiin liittyvien pyyntöjen ja kyselyjen kanssa.
  • Tietosuojakäytäntö: sisäiset prosessit varmistavat pyyntöjen oikea-aikaisen ja vaatimustenmukaisen käsittelyn.

4. Riskien tunnistaminen ja arviointi

RiskiTodennäköisyysVaikutusKuvaus
Luvaton pääsy tietoihinKeskisuuriSuuriHaitallisten toimijoiden luvaton pääsy arkaluonteisiin käyttäjätietoihin voi johtaa luottamuksellisuuden rikkoutumiseen, maineen vahingoittumiseen ja lakisääteisiin sakkoihin.
TietoturvaloukkausPieniSuuriTietoturvaloukkaus, joka paljastaa erityisiin tietoryhmiin kuuluvia tietoja (esim. uhkapelaamiseen liittyvät käyttäytymistiedot), voi aiheuttaa huomattavaa haittaa käyttäjille ja lainsäädännöllisiä seuraamuksia.
Riittämättömät suostumusmekanismitPieniKeskisuuriKelvollisen suostumuksen saamatta jääminen voi tehdä käsittelystä laitonta, mikä johtaa sakkoihin ja käyttäjän luottamuksen menettämiseen.
Riittämätön tietojen määrän minimointiPieniKeskisuuriTarvittavaa suuremman tietomäärän kerääminen voi lisätä altistumista riskeille ja rikkoa tietosuoja-asetuksen periaatteita.
Henkilötietoihin liittyvien oikeuksien noudattamatta jättäminenPieniKeskisuuriRekisteröidyn oikeuksien (esim. oikeus päästä tietoihin, oikeus oikaista tietoja ja oikeus poistaa tietoja) noudattamatta jättäminen voi johtaa sääntelyyn liittyviin toimiin tai käyttäjän valituksiin.
Kolmannen osapuolen suorittama tietojen väärinkäyttöPieniSuuriKolmannen osapuolen käsittelijöiden suorittama tietojen väärinkäyttö voi vahingoittaa käyttäjiä ja johtaa Gambanin vastuuseen.
Palvelun keskeytyksetKeskisuuriKeskisuuriKatkokset tai häiriöt voivat estää käyttäjiä pääsemästä Gambanin palveluun, heikentää luottamusta ja lisätä tukipyyntöjä.

5. Riskien vähentäminen

RiskiVähentämistoimenpideVastuullinen
Luvaton pääsy tietoihin– Ota käyttöön monivaiheinen todennus järjestelmän käyttöä varten.Tietoturvatiimi
– Salaa tiedot niiden ollessa lepotilassa ja kuljetuksessa alan vakioprotokollien avulla.Tietoturvatiimi
– Suorita säännöllisiä tunkeutumistestejä ja haavoittuvuusarviointeja.Tietoturvatiimi
Tietoturvaloukkaus– Ylläpidä kattavaa häiriötilanteisiin liittyvää reagointisuunnitelmaa.Tietosuojavastaava, IT-tiimi
– Järjestä säännöllistä koulutusta työntekijöille tietoturvaloukkausten ehkäisemiseksi ja niihin reagoimiseksi.Tietosuojavastaava, henkilöstöhallinto
Riittämättömät suostumusmekanismit– Käytä tietosuoja-asetuksen mukaista suostumuksenhallinta-alustaa, jonka avulla kerätään, tallennetaan ja hallinnoidaan käyttäjien suostumuksia.Tuotetiimi, oikeudellinen tiimi
– Tarkista suostumuslomakkeet säännöllisesti selkeyden ja vaatimustenmukaisuuden varmistamiseksi.Oikeudellinen tiimi
Riittämätön tietojen määrän minimointi– Suorita tietosuojaa koskevat vaikutustenarvioinnit kaikille uusille tietojenkäsittelytoimille.Tietosuojavastaava
– Tarkista tietojenkeruukäytännöt säännöllisesti sen varmistamiseksi, että tietojen määrän minimoinnin periaatetta noudatetaan.Tietosuojavastaava, tuotetiimi
Henkilötietoihin liittyvien oikeuksien noudattamatta jättäminen– Luo sisäiset työnkulut, jotta tietoihin pääsyyn liittyviä pyyntöjä sekä tietojen oikaisu- ja poistopyyntöjä voidaan käsitellä nopeasti.Tukitiimi, tietosuojavastaava
– Ota käyttöön käyttäjäystävällisiä työkaluja, joiden avulla käyttäjät voivat hallinnoida tietoihin liittyviä mieltymyksiään ja oikeuksiaan.Tuotetiimi
Kolmannen osapuolen suorittama tietojen väärinkäyttö– Varmista, että kaikki kolmansien osapuolten käsittelijät allekirjoittavat tietojenkäsittelysopimukset.Oikeudellinen tiimi, tietosuojavastaava
– Suorita säännöllisiä tarkastuksia sen varmistamiseksi, että kolmannet osapuolet noudattavat sopimuksellisia ja sääntelyyn liittyviä vaatimuksia.Tietosuojavastaava, hankintatiimi
Palvelun keskeytykset– Määritä varajärjestelmät ja palautussuunnitelmat palvelun seisokkien minimoimiseksi.IT-tiimi
– Testaa säännöllisesti järjestelmän sieto- ja reagointikykyä.IT-tiimi

6. Kuulemisprosessi

  • Kuultiinko sidosryhmiä tietosuojaa koskevan vaikutustenarvioinnin aikana? Kyllä
  • Ketä kuultiin?
    • Jack Symons: perustajajäsen
    • Matt Zarb-Cousin: perustajajäsen
    • Nick Michalopoulos: tietosuojavastaava
  • Kuulemisen yhteenveto: Tietosuojaa koskevan vaikutustenarviointiprosessin aikana kuultiin Jack Symonsia, Matt Zarb-Cousinia ja Nick Michalopoulosia näkemysten saamiseksi Gambanin tietojenkäsittelytoimista ja näiden prosessien yhdenmukaistamisesta yrityksen tehtävän vähentää uhkapelaamiseen liittyviä haittoja kanssa. Heidän palautteensa auttoi
    • tunnistamaan erityisiin tietoryhmiin kuuluvien tietojen käsittelyyn liittyvät keskeiset riskit
    • vahvistamaan tietojen keruun ja käsittelyn tarpeellisuuden keskeisten palvelujen toimittamista varten
    • tarkastelemaan nykyisiä tietosuojatoimenpiteitä ja ehdottamaan tarvittaessa parannuksia
    • varmistamaan, että tietosuojaa koskeva vaikutustenarviointi kuvastaa Gambanin sitoutumista käyttäjien yksityisyyteen ja Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen vaatimusten noudattamiseen.

Heidän panoksensa on ollut keskeisessä asemassa kattavan ja tehokkaan tietosuojaa koskevan vaikutustenarvioinnin laatimisessa.

7. Tietosuojaa koskevan vaikutustenarvioinnin tulos

Tietosuojaa koskeva vaikutustenarviointi on katsottu hyväksyttäväksi ehdotettujen riskin vähennysten kanssa, ja johto on hyväksynyt sen. Tällä hetkellä ei ole jäljellä suuria riskejä, joita ei voida vähentää ehdotetuilla toimenpiteillä. Jos tulevaisuudessa kuitenkin ilmenee riskejä, ryhdytään seuraaviin toimiin niiden ratkaisemiseksi tai vähentämiseksi:

  • Tehostetut suojaustoimenpiteet: lisäsalauksen tai useammin toistuvien haavoittuvuustarkistusten toteuttaminen.
  • Säännölliset tarkistukset: tietojenkäsittelykäytäntöjen säännölliset tarkistukset, erityisesti kun uusia palveluja tai ominaisuuksia otetaan käyttöön.
  • Käyttäjille tehtävä ilmoitus: jos havaitaan suuren riskin tilanne, käyttäjille ilmoitetaan viipymättä ja suoritetaan asianmukaiset korjaukset.

8. Tietosuojaa koskevan vaikutustenarvioinnin tietue

Valmistumispäivä: 14.11.2024

Tarkistanut (johto): Jack Symons

Tietueen säilyttäminen: Nick Michalopoulos

Liite: tukiasiakirjat