Rammen for databehandlingen
Rolling Slots Casino drives under en eGaming-licens udstedt af Curaçao Gaming Control Board. Platformen har ingen tilladelse fra den danske Spillemyndighed, og hele tilsynet med operatøren udføres fra Curaçao under den lov, licensen bygger på. For kontekst: dette betyder, at klager over spilaktiviteten primært afgøres af GCB, ikke af danske myndigheder.
Dataansvarlig er det selskab, der driver rollingslots.com under nævnte licens. Al kontakt om personoplysninger sendes til [email protected]. Den engelske version af dokumentet har juridisk forrang ved fortolkningstvister.
Hvilke data behandles
Ved kontooprettelse indsamles fornavn, efternavn, fødselsdato, statsborgerskab, bopælsadresse, e-mail og telefonnummer. Disse felter er ikke frivillige — GCB-licensen kræver entydig identifikation af spilleren, før kontoen kan aktiveres og bruges til rigtige indsatser. Uden komplette data oprettes kontoen ikke.
Betalingsrelaterede oplysninger dækker valgt betalingsmetode, indbetalingsbeløb, valuta og maskerede kortnumre. Fulde kortnumre passerer aldrig operatørens infrastruktur, da de håndteres direkte af den certificerede betalingsudbyder. Kort sagt: operatøren ser kun det nødvendige minimum.
Aktivitetsdata omfatter indsatshistorik, sessionsvarighed, IP-adresse, geolokation, enhedstype og browserversion. Disse logs bruges til svindeldetektion, kontrol af bonusmisbrug og overholdelse af licensvilkår om sporbarhed. Logging er obligatorisk, så længe kontoen er aktiv, og kan ikke slås fra efter anmodning.
Ved verifikation indsamles KYC-dokumentation: pas eller kørekort, dokumentation for bopæl og i visse tilfælde bevis for midlernes oprindelse. Dette er ikke en formalitet, men et krav under Curaçaos hvidvasklovgivning.
Retsgrundlag for behandlingen
Behandlingen sker på fire adskilte grundlag, og det er vigtigt at forstå hvilket der gælder hvornår. Aftalens opfyldelse dækker kontoadministration, indsatsafvikling og udbetalinger. Retlig forpligtelse dækker AML-kontrol, KYC-verifikation og indberetning af mistænkelige transaktioner. Legitim interesse dækker svindelforebyggelse, sikkerhedslogs og analyse af misbrugsmønstre. Samtykke dækker marketing og valgfri cookies — og kan tilbagekaldes når som helst.
For kontekst: tilbagetrækning af samtykke stopper marketingkommunikation, men ikke behandling under de tre øvrige grundlag. AML-forpligtelser fortsætter uanset spillerens ønske.
Opbevaringsperioder
Kontodata og verifikationsdokumenter opbevares i fem år efter kontolukning. Dette er ikke en operatørbeslutning — det er minimumsperioden under den relevante hvidvasklovgivning, som GCB-licensen forpligter operatøren til at overholde. Kortere opbevaring er ikke muligt.
Transaktionshistorik bevares i syv år af regnskabsmæssige hensyn. Sessionslogs og teknisk data opbevares typisk i tolv til fireogtyve måneder, afhængigt af logtype. Marketingdata slettes ved tilbagetrækning af samtykke eller efter fireogtyve måneders inaktivitet, alt efter hvad der indtræffer først.
Modtagere af data
Personoplysninger deles med tre kategorier af modtagere. Første kategori er tekniske underleverandører: spiludbydere, betalingsudbydere, KYC-verifikationstjenester, hostingpartnere. Anden kategori er tilsynsmyndigheder: primært GCB, og efter lovkrav også andre myndigheder ved formelle anmodninger. Tredje kategori er koncernforbundne selskaber under fælles licens, hvor dette er nødvendigt til fælles svindelforebyggelse.
Data sælges ikke til tredjeparter til deres egne markedsføringsformål. For kontekst: dette er en absolut linje, ikke en betinget lovning med undtagelser.
Overførsel til tredjelande
Data behandles delvist uden for EØS — herunder på Curaçao samt hos underleverandører i andre jurisdiktioner. Sådanne overførsler sker efter standardkontraktbestemmelser eller tilsvarende juridiske mekanismer, hvor det er relevant. Beskyttelsesniveauet svarer ikke altid til EU-standarden, og dette er vigtigt at være opmærksom på før kontooprettelse.
Spillerens rettigheder
Under GDPR har brugere i EU visse rettigheder over deres data: indsigt, berigtigelse, sletning inden for lovens rammer, begrænsning, indsigelse mod behandling baseret på legitim interesse, dataportabilitet og tilbagekaldelse af samtykke. Henvendelser sendes til [email protected] og besvares inden for tredive dage.
Retten til sletning er ikke absolut. Data omfattet af AML-lovgivning kan ikke slettes før udløbet af den lovpligtige opbevaringsperiode — heller ikke efter anmodning. Dette er ikke en teknisk begrænsning, men en juridisk forpligtelse.
Sikkerhed og databrud
Operatøren anvender TLS-kryptering af data under transport, adgangskontrol baseret på rollemodel og logning af privilegeret aktivitet. Ingen sikkerhedsforanstaltning giver hundrede procent beskyttelse, og det er ærligt sagt umuligt at love det modsatte. Ved et databrud med risiko for spillerens rettigheder underrettes brugeren uden unødigt ophold.
Klageadgang
Brugere kan klage direkte til operatøren eller til Curaçao Gaming Control Board, som er den kompetente tilsynsmyndighed for operatøren. Brugere i EU kan derudover kontakte deres nationale datatilsyn — i Danmark er dette Datatilsynet. For kontekst: Datatilsynet kan behandle klager om GDPR-overtrædelser, men det egentlige spilrelaterede tilsyn ligger hos GCB.
rollingslots.com | [email protected]