Denne Savaspin persondatapolitik forklarer, hvordan vi indsamler, behandler og beskytter personoplysninger på savaspin-denmark.com. Operatøren KoiRun N.V. ejer platformen under Curaçao eGaming-licens 152341 og optræder som dataansvarlig. Desuden følger vi GDPR-standarder i hele EU samt det supplerende danske databeskyttelsesregime, der administreres af Datatilsynet. Derfor omfatter teksten både formål, retsgrundlag, opbevaringstid og dine rettigheder som registreret. Vores databeskyttelsesrådgiver kan kontaktes døgnet rundt på [email protected].
Sådan beskytter vi dine oplysninger
Tekniske og organisatoriske foranstaltninger er fundamentet for hele vores persondatapolitik. Savaspin krypterer al trafik med TLS 1.3, mens lagrede data gemmes med AES-256. Desuden hashes autentifikationstokens med SHA-256, så selv stjålne databaser bliver praktisk talt ubrugelige. Således opnår vi et niveau, der opfylder både PCI DSS Level 1 og Curaçao eGaming-kravene til sikker drift.
- Segmenterede miljøer: produktion, test og analyse kører i helt adskilte netværk.
- Zero-trust-adgang: hver medarbejderforespørgsel gennemgår en kortlivet tokenbaseret autorisation.
- Hardware-sikkerhed: kritiske nøgler opbevares i HSM-moduler, som er FIPS 140-2 Level 3-certificeret.
- Kontinuerlig logning: uregelmæssig adfærd sendes til vores SIEM med øjeblikkelig alarm.
- Red-team-øvelser: eksterne sikkerhedseksperter simulerer angreb hvert halvår.
- Beredskabsplan: en hændelsesgruppe er på vagt 24/7 og dokumenterer alle brud i et officielt register.
Ingen sikkerhed er dog absolut, og vi anerkender, at udefrakommende trusler udvikler sig hurtigt. Hvis du opdager mistænkelig aktivitet, så skriv til [email protected], og reaktionen starter inden for to timer. Desuden underretter vi Datatilsynet senest 72 timer efter konstatering af et alvorligt brud, hvilket er kravet under GDPR. Imidlertid har vi i de sidste tre år ikke registreret hændelser af væsentlig karakter.
Hvilke oplysninger behandler vi
Vi indsamler udelukkende data, der er nødvendige for at drive casinoet lovligt og sikkert. Desuden minimerer vi datamængden gennem pseudonymisering og automatisk sletning. Følgende oversigt giver et hurtigt billede af de kategorier, vi arbejder med, samt retsgrundlaget under GDPR artikel 6.
| Datakategori | Eksempler | GDPR art. 6-grundlag | Oprindelse |
|---|---|---|---|
| Stamdata | Navn, fødselsdato, nationalitet | Kontrakt (b) | Registrering |
| Kontaktdata | E-mail, telefonnummer, postadresse | Kontrakt (b) | Profil |
| Verifikationsdata | Pas, kørekort, MitID-svar | Retlig forpligtelse (c) | KYC-upload |
| Finansdata | Kortreferencer, wallet-adresser, transaktions-ID | Kontrakt (b) og AML (c) | Betalingsudbydere |
| Adfærdsdata | Spilhistorik, sessionsmønstre, indsatsstørrelse | Legitim interesse (f) | Spilleplatform |
| Tekniske data | IP, enheds-ID, browser, OS-version | Legitim interesse (f) | Automatisk |
| Markedsdata | Kampagnerespons, nyhedsbrevvalg | Samtykke (a) | Kontoindstillinger |
Følsomme data og særlige kategorier
Følsomme oplysninger efter GDPR artikel 9 behandler vi kun i yderst begrænset omfang. For eksempel kan et pasbillede indeholde biometrisk information, som derfor krypteres særskilt og slettes, så snart verifikationen er afsluttet. Desuden registrerer vi aldrig CPR-numre i klartekst — hvis nummeret fremgår af et uploadet dokument, maskerer vi det automatisk inden lagring. Imidlertid arbejder vi løbende på at fjerne disse oplysninger helt gennem nyere identitetsmetoder som MitID-verifikation via banken.
Formål med behandlingen
Formålene er begrænsede, dokumenterede og afstemt med danske retsprincipper. Desuden foretager vi en balancetest, inden vi påberåber os legitim interesse, og resultatet ligger i vores interne register. Følgende punkter beskriver, hvorfor vi behandler dine oplysninger.
- Kontoadministration: oprette, vedligeholde og lukke spillerprofiler efter dit ønske.
- Hvidvaskkontrol: gennemføre KYC- og AML-screeninger i henhold til hvidvask-lovgivningen.
- Transaktionsbehandling: gennemføre indskud, udbetalinger og bonuskrediteringer i euro.
- Svindelforebyggelse: opdage usædvanlige mønstre som chargebacks, bot-aktivitet eller stjålne kort.
- Spillerbeskyttelse: identificere adfærd, der indikerer problematisk spil, og tilbyde værktøjer.
- Forbedring af platform: analysere aggregerede data for at optimere stabilitet og ydelse.
- Direkte markedsføring: sende personlige tilbud alene på baggrund af aktivt samtykke.
Automatiserede beslutninger anvendes kun ved svindeldetektion og begrænset profilering mod problematisk spil. For eksempel kan systemet pausere et indskud, hvis IP-adressen afviger markant fra din sædvanlige profil. Desuden gennemgår en agent hver automatisk blokering manuelt inden for 24 timer, og du kan altid anmode om en menneskelig revurdering. Således lever vi op til GDPR artikel 22 om retten til at undgå udelukkende automatiserede afgørelser.
Cookies og tracking-teknologier
Cookies er små filer, som vi placerer i din browser for at opretholde sessionen og måle ydeevnen. Desuden anvender vi selv-hostet Matomo som analyseværktøj, hvilket betyder, at ingen data sendes til tredjeparter uden samtykke. Imidlertid kan marketingpixels fra Meta og Google Ads aktiveres, hvis du accepterer dem i samtykkebanneret. Således beholder du fuld kontrol over, hvem der modtager adfærdsoplysninger om dine besøg.
Aktive cookies og deres formål
Tabellen nedenfor viser de primære cookies, vi anvender på savaspin-denmark.com. Kategorierne spænder fra strengt nødvendige til valgfrie marketingfiler.
| Cookie | Type | Formål | Levetid |
|---|---|---|---|
| svd_session | Nødvendig | Opretholder login | Session |
| svd_consent | Nødvendig | Gemmer samtykkevalg | 12 måneder |
| svd_lang | Funktionel | Husker dansk sprogvalg | 12 måneder |
| matomo_id | Analyse | Måler sidevisninger i Matomo | 6 måneder |
| matomo_ref | Analyse | Registrerer trafikkilde | 6 måneder |
| _fbp | Marketing | Meta Pixel-målgruppe | 90 dage |
| _gcl_au | Marketing | Google Ads-konvertering | 90 dage |
Styring og tilbagekaldelse
Ved første besøg kan du acceptere eller afvise hver cookie-kategori enkeltvis. Desuden åbnes indstillingerne igen via et ikon i sidefoden, så ændringer kan foretages løbende. Imidlertid vil blokering af nødvendige cookies forhindre login, og vi anbefaler derfor kun at deaktivere analyse- eller marketingkategorier. Endelig respekterer vi GPC-signalet, når din browser sender det, hvilket stopper videresalg og marketingformidling automatisk.
Deling med leverandører og myndigheder
Vi sælger aldrig oplysninger til databrokere eller reklame-netværk. Derimod deler vi nødvendige oplysninger med certificerede partnere, der har skrevet under på databehandleraftaler efter GDPR artikel 28. Desuden kræver vi GDPR-ækvivalente garantier, når data forlader EU/EØS, hvilket typisk sker via SCC-klausuler.
- Betalingsudbydere: Nuvei, Paysafe og krypto-gateways med egne PCI-revisioner.
- KYC-partnere: SumSub og Jumio, der udfører biometrisk verifikation.
- Spilleverandører: NetEnt, Pragmatic Play og Hacksaw Gaming modtager kun anonyme sessions-ID’er.
- Hosting: AWS Frankfurt og Hetzner Nürnberg med ISO 27001-certificering.
- CRM og e-mail: Customer.io til transaktionelle beskeder med EU-datacenter.
- Myndigheder: Curaçao eGaming, Datatilsynet eller politi ved retligt pålæg.
Hver overførsel dokumenteres i vores interne fortegnelse og gennemgås årligt af DPO’en. Desuden kan vi midlertidigt dele oplysninger med advokater eller revisorer i forbindelse med en konkret tvist. Imidlertid kræver ethvert skift af leverandør en ny balancetest, så vi sikrer, at dine rettigheder fortsat beskyttes. Således udvider vi aldrig kredsen af modtagere, før vurderingen foreligger skriftligt.
Opbevaringstid og sletning
Opbevaringstiden afhænger af datakategorien og bindende retslige krav i Danmark samt på Curaçao. Desuden slettes eller anonymiseres data automatisk, når perioden udløber, medmindre en igangværende tvist kræver videre opbevaring. For eksempel bevarer vi transaktionshistorik i syv år efter sidste bevægelse grundet hvidvaskloven, mens almindelige kontostamdata udgår efter fem år.
Markedsføringssamtykket kan tilbagekaldes øjeblikkeligt, og din e-mailadresse flyttes derefter til en suppression-liste i to år for at undgå gentilmeldingsfejl. Desuden slettes chatlogs efter tre år, hvis ingen ny sag er åben. Imidlertid kan en aktiv klage hos Datatilsynet eller et verserende søgsmål forlænge perioden efter konkret vurdering. Endelig arkiverer vi nødvendige data i krypteret form separat fra produktionsmiljøet for at minimere adgangen under opbevaringsfasen.
Dine rettigheder som registreret
GDPR giver dig stærke rettigheder, som vi implementerer direkte i dit kontopanel eller via kontakt til DPO. Desuden behandler vi anmodninger inden for 30 dage og bekræfter modtagelsen inden for 72 timer. Imidlertid kan komplicerede anmodninger forlænges med yderligere 60 dage efter GDPR artikel 12, hvor vi informerer dig om årsagen.
- Indsigt: modtage en kopi af alle oplysninger, vi behandler om dig.
- Berigtigelse: rette forældede eller ukorrekte data i din profil.
- Sletning: anmode om fjernelse af data, medmindre loven kræver fortsat opbevaring.
- Begrænsning: kræve en midlertidig pause i behandlingen under en tvist.
- Dataportabilitet: få oplysninger udleveret i et maskinlæsbart format som CSV eller JSON.
- Indsigelse: afvise behandling baseret på legitim interesse eller direkte markedsføring.
- Tilbagekaldelse: trække samtykke tilbage uden virkning for tidligere lovlig behandling.
Send anmodningen til [email protected] fra den registrerede e-mailadresse, så verifikationen går hurtigt. Desuden kan du klage direkte til Datatilsynet via datatilsynet.dk, hvis du vurderer, at behandlingen er ulovlig. Imidlertid anbefaler vi først at kontakte os, da de fleste sager kan løses internt på få dage. Endelig dokumenterer vi hver afgørelse skriftligt, så du modtager en tydelig begrundelse for resultatet.
Databrud og underretningspligt
Savaspin arbejder efter en nul-fejl-politik for sikkerhed, men anerkender at ingen platform er usårlig. Desuden dokumenterer vi procedurer for håndtering af hændelser i en intern beredskabsplan, som revideres hvert kvartal. Imidlertid er det afgørende, at du som bruger hurtigt får besked, hvis et brud påvirker din konto eller dine oplysninger. Derfor beskriver dette afsnit, hvordan vi handler i sådanne situationer.
Ved mistænkelig aktivitet starter vores SOC-team en analyse inden for 60 minutter. Desuden isoleres berørte servere fra produktionsmiljøet for at forhindre videre spredning. Således kan vi inddæmme problemet, før væsentlige skader opstår. Imidlertid underretter vi altid Datatilsynet inden for 72 timer efter konstatering, når der er risiko for rettighederne. Endelig modtager berørte brugere en individuel besked pr. e-mail med konkrete anbefalinger, herunder ændring af adgangskode og aktivering af tofaktor-login.
Sådan reagerer du selv
Som bruger kan du styrke din egen sikkerhed med få konkrete handlinger. Desuden står vores team klar til at hjælpe, hvis du bliver usikker på, om noget er galt.
- Tofaktor-login: aktivér totrinsbekræftelse i kontoindstillingerne for ekstra beskyttelse.
- Stærk adgangskode: brug mindst 12 tegn, der kombinerer bogstaver, tal og symboler.
- Unikke legitimationsoplysninger: undgå at genbruge samme kode som andre tjenester.
- Phishing-opmærksomhed: tjek afsender og undgå links fra ukendte kilder.
- Enhedshygiejne: hold browser og operativsystem opdateret med seneste sikkerhedspatches.
Savaspin persondatapolitik opdateres regelmæssigt, og registrerede brugere får besked mindst 14 dage før en væsentlig ændring. Således kan du altid vurdere, om du fortsat vil anvende savaspin-denmark.com på de nye vilkår. Desuden arkiverer vi tidligere udgaver af dokumentet i mindst fem år, så enhver bruger kan sammenligne versionerne på forespørgsel. Endelig holder vores DPO jævnlige orienteringsmøder med supportteamet, så alle medarbejdere bliver opdaterede på gældende praksis og danske særkrav.