Konsekvensanalyse av databeskyttelse

Prosjektnavn: Gamban

Vurderingsdato: 02.11.2024

Vurderer(e): Nick Michalopoulos

Denne konsekvensvurderingen for personvern er nødvendig på grunn av endringer i praksisen for informasjonshåndtering, nærmere bestemt at kundeinformasjon klassifiseres som "spesialkategori-informasjon". Dette skaper behov for en konsekvensvurdering for personvern ("Data Protection Impact Assessment" eller DPIA på engelsk) for enhver type behandling som det er sannsynlig at er å vurdere som høyrisiko.

Hvilken informasjon blir behandlet?

• Identitetsinformasjon: inkludert brukernavn
• Kontaktinformasjon: inkludert brukerens e-postadresse og telefonnummer
• Enhetsinformasjon: inkludert informasjon om de ulike enhetene som blokkeringslisensen vår dekker
• Markedsføringsinformasjon: brukerpreferanser med hensyn til å motta nyhetsbrevet vårt
• Profilinformasjon: inkludert gamblingavhengighetsstatus som inkluderer gamblingnivå, tidspunkt for siste gamblingøkt, brukernavnet ditt
• Teknisk informasjon: inkludert IP-adresse, nettlesertype og -versjon, tidssoneinnstilling og -plassering, nettlesertilleggstyper og -versjoner, operativsystem og plattform og annen teknologi på enhetene brukerne bruker til å få tilgang til Gambans nettsted
• Transaksjonsinformasjon: inkludert informasjon om betalinger til og fra brukeren og annen informasjon om tjenester som brukeren har kjøpt
• Bruksinformasjon: inkludert informasjon om brukstrender for nettstedet og produktene våre

Formålet med databehandlingen:

• Programvaretjenester
• Viktige varsler om produktet, helpdesk-funksjoner og om at abonnementet snart utløper
• Internt arkivvedlikehold
• Statistisk analyse av produktutviklingshensyn

Hvem har tilgang til informasjonen:

• Reguleringsorganer
• Lovbestemte organer
• Politiet
• Enhver annen kompetent myndighet som har spesifikke funksjoner fastsatt ved lov
• Tredjeparter som brukeren uttrykkelig har samtykket til at vi kan dele personopplysningene deres med
• Forretningspartnere og tjenesteleverandører

Informasjonsflyt:

1. Informasjonsinnsamling: Brukerinformasjon samles inn når enkeltpersoner registrerer seg via Gamban-nettstedet eller -appen.
2. Informasjonsoverføring: Informasjon overføres på en sikker måte over HTTPS til Gambans servere. Enhetsspesifikk informasjon kommuniseres mellom brukerens enhet og Gambans system for å aktivere blokkeringsfunksjonaliteten.
3. Informasjonslagring: Innsamlet informasjon lagres i krypterte databaser på Azure (Microsoft Corporation).
4. Informasjonsbruk: Informasjon behandles som tidligere beskrevet.
5. Informasjonsdeling: Informasjon deles ikke med tredjeparter med mindre det er uttrykkelig samtykket til av brukere, eller påkrevd ved lov.
6. Sletting av informasjon: Brukere kan be om sletting av informasjon via appen eller brukerstøtten. Slettet informasjon fjernes permanent fra aktive servere og sikkerhetskopier innen 12 måneder.

Hvor behandles informasjonen?

• Primært informasjonbehandlingssteder: Informasjon behandles og lagres på servere som driftes av Azure] i Storbritannia og EU. Lokalisert informasjonsbehandling skjer på brukerenheter for å aktivere blokkeringsfunksjonaliteten.
• Sikkerhetskopierings- og katastrofegjenopprettingssteder: Krypterte sikkerhetskopier lagres i Storbritannia og EU.
• Tredjepartstjenester: Begrenset informasjon (f.eks. for e-postvarsler eller brukerstøtte), eller plattformspesifikk informasjon kan behandles av pålitelige tredjepartsleverandører:
  • Zendesk, Inc.
  • Braintree (et PayPal-selskap)
  • Apple Inc.
  • Google LLC, med deres plassering og vilkår for behandling som oppført på hver av deres informasjonsbehandlingsavtaler.

Gamban baserer seg på følgende lovlige grunnlag for behandling av brukerinformasjon:

• Samtykke (artikkel 6(1)(a) og artikkel 9(2)(a)): Brukere gir uttrykkelig samtykke til behandling av personopplysninger og spesialkategori-informasjon når de registrerer seg for tjenesten.
• Oppfyllelse av en kontrakt (artikkel 6(1)(b)): Informasjonsbehandling er nødvendig for å oppfylle den kontraktsmessige forpliktelsen til å tilby en gamblingblokkerende tjeneste.
• Betydelig offentlig interesse (artikkel 9(2)(g)): Behandling av spesialkategori-informasjon underbygger det folkehelserelaterte målet om å redusere spillrelatert skade, i samsvar med nasjonal lovgivning.

Informasjonsbehandling er avgjørende for å kunne tilby Gambans kjernefunksjonalitet: blokkering av spillrelatert innhold på brukernes enheter. For eksempel:

• Personopplysninger: E-postadresser og enhetsidentifikatorer kreves for å godkjenne brukere, konfigurere enhetsspesifikk blokkering og tilby støtte.
• Spesialkategori-informasjon: Informasjon om atferd knyttet til selvekskludering fra gambling sikrer at tjenesten er tilpasset behandling av gamblingrelatert skade.

Uten dette kan ikke Gamban levere sine tjenester på effektiv måte eller bidra til målet om å redusere gamblingrelatert skade. Informasjonen som samles inn, minimeres i den grad det er nødvendig for å oppnå tjenestens formål. Tiltakene inkluderer:

• Bare essensiell informasjon: Gamban samler ikke inn overdreven personlig eller sensitiv informasjon.
• Anonymisering: Aggregert og anonymisert informasjon brukes til analyse der det er mulig.

Gamban sikrer overholdelse av den britiske personvernlovgivningen ved å implementere robuste tiltak for å opprettholde de registrertes rettigheter, inkludert:

Rett til innsyn (artikkel 15):

• Brukere kan be om tilgang til personopplysningene sine via e-post eller appen.
• Gamban gir deg en kopi av disse opplysningene, vanligvis innen én måned, og passer på at de overleveres i et tydelig og vanlig format.

Rett til korrigering (artikkel 16):

• Brukere kan be om korrigering av unøyaktige eller ufullstendige personopplysninger.
• Endringer implementeres omgående, og brukere varsles når korrigeringen er fullført.

Rett til sletting (artikkel 17):

• Brukere kan be om sletting av personopplysninger når de ikke lenger er nødvendige for formålet de ble samlet inn for, eller hvis de trekker tilbake samtykket.
• Ved mottak av en gyldig forespørsel slettes opplysningene permanent fra aktive systemer og sikkerhetskopier innen [spesifisert tidsramme, f.eks. 30 dager].

Rett til begrensning av behandlingen (artikkel 18):

• Brukere kan be om at Gamban midlertidig begrenser behandlingen av personopplysningene sine mens de løser problemer som nøyaktighet eller juridiske krav.
• Opplysningene forblir lagret, men behandles ikke aktivt før begrensningen er opphevet.

Rett til opplysningsportabilitet (artikkel 20):

• Brukere kan be om en kopi av opplysningene sine i et strukturert, maskinlesbart format for overføring til en annen tjeneste.

Rett til innsigelse (artikkel 21):

• Brukere kan motsette seg behandling basert på legitime interesser eller direkte markedsføring.
• Ved innsigelse opphører Gamban behandlingen, med mindre det foreligger overordnede legitime grunner til ikke å gjøre det.

Rett til å trekke tilbake samtykke (artikkel 7(3)):

• Brukere kan trekke tilbake samtykket når som helst via kontoinnstillingene eller ved å kontakte kundestøtten.

Automatisert beslutningstaking (artikkel 22):

• Gamban deltar ikke i automatisert beslutningstaking eller profilering som gir juridiske eller lignende betydelige effekter.

For å fasilitere disse rettighetene har Gamban implementert:

• Personvernerklæring og retningslinjer for informasjonskapsler: Tydelige instruksjoner om hvordan brukere kan utøve sine rettigheter.
• Brukerstøtte: Et dedikert kundestøtteteam hjelper deg med rettighetsforespørsler og -spørsmål.
• Personvernerklæring: Interne prosesser sikrer rettidig og samsvarende håndtering av forespørsler.

• Ble interessenter konsultert under DPIA? Ja
• Hvem ble konsultert?
  • Jack Symons: Medgrunnlegger
  • Matt Zarb-Cousin: Medgrunnlegger
  • Nick Michalopoulos: Personvernansvarlig
• Konsultasjonssammendrag: Under DPIA-prosessen ble Jack Symons, Matt Zarb-Cousin og Nick Michalopoulos konsultert for å gi innsikt i Gambans databehandlingsaktiviteter og hvordan disse prosessene justeres slik at de passer til selskapets mål om å redusere spillrelatert skade. Tilbakemeldingene deres hjalp:
  • Identifisere betydelig risiko forbundet med håndtering av spesialkategori-informasjon.
  • Validere behovet for informasjonsinnsamling og -behandling for å kunne levere kjernetjenester.
  • Gjennomgå eksisterende informasjonsbeskyttelsestiltak og foreslå forbedringer der det er nødvendig.
  • Sikre at konsekvensvurderingen for personvern gjenspeiler Gambans forpliktelse til brukernes personvern og overholdelse av kravene i den britiske personvernforordningen.

Innspillene deres har vært medvirkende til å forme en omfattende og effektiv konsekvensvurdering for personvern.

Konsekvensvurderingen for personvern vurderes som akseptabel med de foreslåtte risikoreduksjonene, og er godkjent av ledelsen. Per nå finnes det ingen høy risiko som ikke kan reduseres gjennom de foreslåtte tiltakene. Hvis det skulle oppstå andre risikoer i fremtiden, vil følgende trinn bli tatt for å løse eller redusere dem:

• Forbedrede sikkerhetstiltak: Implementere ekstra kryptering eller hyppigere sårbarhetsskanninger.
• Regelmessige gjennomganger: Gjennomføre regelmessige gjennomganger av informasjonsbehandlingspraksis, spesielt når nye tjenester eller funksjoner introduseres.
• Brukervarsling: Hvis en høyrisikosituasjon identifiseres, varsles brukerne omgående, og passende utbedring utføres.

Fullføringsdato: 14.11.2024

Gjennomgått av (ledelsen): Jack Symons

Registrering: Nick Michalopoulos

• www.gamban.com/privacy
• www.gamban.com/privacy/cookies
• www.gamban.com/terms
• www.gamban.com/eula