1. Məlumat operatoru
Casino Decoded OÜ (qeydiyyat nömrəsi 16753428, Lõõtsa 5, Tallinn 11415, Estoniya) — casinodecoded.com saytının istifadəçi məlumatları üzrə məsul operatordur (data controller). Məxfiliklə bağlı bütün sorğular: privacy@casinodecoded.com.
Şirkət GDPR (EU 2016/679) və "Şəxsi məlumatlar haqqında" Azərbaycan Respublikasının 11 may 2010-cu il tarixli Qanununa (998-IIIQ) uyğun fəaliyyət göstərir. Estoniyada Andmekaitse Inspektsioon (AKI) — nəzarət orqanıdır.
Məsul şəxs (DPO funksiyası): Karol W., dpo@casinodecoded.com.
2. Hansı məlumatları toplayırıq
2.1 Avtomatik (razılıq tələb olunmur)
Bu məlumatlar veb-server log-larında saytın işləməsi üçün toplanılır:
| Məlumat növü | Məqsəd | Saxlama müddəti | Hüquqi əsas |
|---|---|---|---|
| IP ünvan | Geo-filtr, bot mudafiəsi | 30 gün | Qanuni maraq (GDPR Art. 6(1)(f)) |
| User-Agent | Brauzer uyğunluğu | 30 gün | Qanuni maraq |
| Referer | Trafik mənbəyi | 30 gün | Qanuni maraq |
| Vaxt damğası | Server log-u | 30 gün | Qanuni-tətbiq tələbi |
| Səhifə URL | Statistika | 30 gün | Qanuni maraq |
30 gündən sonra log-lar avtomatik olaraq silinir, yalnız aqreqat statistika qalır (məsələn, "AZ-dan 5,400 ziyarət") — bu, şəxsi məlumat sayılmır.
2.2 Razılıqla (cookie banner-də "Qəbul et")
Yalnız siz razılıq verdikdən sonra:
- Anonim baxış statistikası (Plausible Analytics, EU-da hosting)
- Referer və UTM parametrləri (kampaniya analizi)
- Səhifədə qaldığı vaxt
- Səhifələr arası keçidlər (sessiya)
- Ekran ölçüsü, dil seçimi (UX optimizasiyası üçün)
Saxlama müddəti: 14 ay. 14 aydan sonra avtomatik silinir.
Plausible Analytics seçilməsinin səbəbi: o cookie istifadə etmir, fingerprint çıxarmır, IP saxlamır (yalnız ölkə kodu). Google Analytics və ya Yandex Metrica işlətmirik məhz GDPR risklərinə görə.
2.3 İstifadəçi tərəfindən birbaşa təqdim edilmiş
E-mail vasitəsilə bizə yazırsınızsa (editor@, security@ və s.):
- E-mail ünvanınız
- Mesaj mətni
- Əlavə fayllar (əgər varsa)
Saxlama: aktiv yazışma + 6 ay arxiv. Sonra silinir, əgər hüquqi tələb yoxdursa (məsələn, vergi qanunvericiliyi əsasında saxlanması).
3. Nə toplamırıq
Bu məlumatları HEÇ VAXT toplamırıq, çünki sayt qeydiyyatsız işləyir:
- Ad, soyad, atanın adı
- Telefon nömrəsi
- Doğum tarixi (yalnız 18+ yaş təsdiqi var, tarix saxlanmır)
- Ödəniş kartı, hesab nömrəsi
- Bank kart məlumatları
- Şəxsi yazışma (chat/forum yoxdur)
- Bioloji verilənlər (parmak izi, üz tanıma)
- Geolocation GPS dəqiqliyində (yalnız ölkə səviyyəsində IP-dən)
4. Cookies və oxşar texnologiyalar
4.1 Zəruri cookies (həmişə yüklənir)
| Cookie | Məqsəd | Müddət |
|---|---|---|
cd_lang |
Seçilmiş dil (az, ru, en, pl) | 1 il |
cd_consent |
Cookie razılığı | 6 ay |
cd_session |
Sessiya identifikatoru | Sessiyanın sonu |
cf_bm |
Cloudflare bot mudafiəsi | 30 dəq |
Bu cookies olmadan sayt işləyə bilməz. GDPR Art. 6(1)(f) — qanuni maraq əsasında.
4.2 Analitik cookies (yalnız razılıqla)
Plausible özü cookie istifadə etmir, lakin gələcəkdə əlavə alətlər qoşulduqda burada şəffaf siyahı saxlanılır. Cookie panel həmişə saytın aşağı hissəsində, dəyişiklik etmək üçün.
4.3 Üçüncü tərəf cookies
YouTube embed videolarda Google öz cookie-lərini qoyur. Embed video — yalnız klik etdikdən sonra yüklənir (lazy embed), yoxsa Google üçün heç bir məlumat ötürülmür.
5. Üçüncü tərəflər və məlumat ötürülməsi
Casino Decoded sizin məlumatlarınızı satmır, icarəyə vermir, paylaşmır.
İstifadə olunan provayderlər:
- Cloudflare (CDN, DDoS mudafiəsi) — IP, User-Agent ötürülür, log-lar 24 saatlıq saxlanır
- Plausible Analytics (analitika, EU hosting, Almaniya) — anonim trafik məlumatı
- Hetzner (server hosting, Almaniya) — server fayllarında məlumat saxlanır
- Postmark (transaksional e-mail) — sorğu cavabları üçün
Bütün provayderlər GDPR-uyumlu və DPA (Data Processing Agreement) imzalanıb. Heç biri sizin məlumatlarınızı öz məqsədləri üçün istifadə edə bilməz.
EU-dan kənara məlumat ötürülməsi: yoxdur. Bütün serverlər Almaniya və Estoniyada yerləşir.
6. Affiliate linklər və 3-cü tərəf saytlar
/go/{slug} linkinə kliklədikdə kazino operatoruna yönləndirilirsiniz. Bu kliki qeyd edirik (komissiya hesablanması üçün) — yalnız anonim klik faktı, IP-niz və ya digər identifikatorlar ötürülmür.
Kazino operatorunun saytında siz onun məxfilik siyasətinin tabeçiliyinə keçirsiniz. Casino Decoded operator saytında baş verənlərə cavabdeh deyil.
7. Hüquqlarınız
GDPR Art. 15-22 və Azərbaycan qanununun 11-ci maddəsi əsasında sizin aşağıdakı hüquqlarınız var:
| Hüquq | İzah | Necə istifadə etmək |
|---|---|---|
| Məlumat (Art. 15) | Hansı məlumatlar saxlanır | privacy@ ünvanına yazın |
| Düzəliş (Art. 16) | Səhv məlumatları düzəltmək | privacy@ ünvanına yazın |
| Silinmə (Art. 17) | "Unutulmaq hüququ" | privacy@ ünvanına yazın |
| Məhdudlaşdırma (Art. 18) | İşlənmənin dayandırılması | privacy@ ünvanına yazın |
| Daşına bilmə (Art. 20) | JSON formatında məlumat | privacy@ ünvanına yazın |
| İtiraz (Art. 21) | Qanuni maraqa qarşı | privacy@ ünvanına yazın |
Sorğunuza 30 gün ərzində cavab veririk (sizin şəxsiyyətinizi yoxladıqdan sonra). Mürəkkəb sorğularda müddət 60 günə qədər uzadıla bilər — bu halda 30-cu gündə xəbərdarlıq göndərilir.
Şikayət hüququ:
- Estoniya: Andmekaitse Inspektsioon — info@aki.ee, +372 627 4135
- Azərbaycan: Rabitə və Yüksək Texnologiyalar Nazirliyi — info@mincom.gov.az
- EU oyunçuları: öz ölkənizdə DPA (məsələn, CNIL Fransada, BfDI Almaniyada)
8. Yaş məhdudiyyəti
Sayt 18 yaşdan yuxarı (bəzi GEO-lar üçün 21+) auditoriya üçün nəzərdə tutulub. Yaş gate-i hər səhifədə var, lakin yalnız bunlardan keçidi sürətləndirir — texniki yaş yoxlaması yoxdur.
13 yaşa qədər uşaqların məlumatları toplanmır (COPPA uyğunluğu). 13-18 yaş arası məlumatların aşkar edilməsi halında dərhal silirik.
9. Təhlükəsizlik tədbirləri
- TLS 1.3 hər bağlantı üçün
- HSTS preload siyahıda
- CSP, X-Frame-Options, Referrer-Policy həddləri
- Server log-ları şifrələnir (LUKS)
- E-mail arxivi 256-bit AES ilə şifrələnir
- Kadrların məlumatlara çıxışı — yalnız need-to-know prinsipi
- 2FA bütün admin hesablar üçün
- Hər kvartal penetrasiya testi (kənar şirkət)
10. Dəyişikliklər
Bu siyasətdə dəyişikliklər /privacy/changelog səhifəsində 30 gün öncədən elan olunur. Material dəyişikliklər (yeni məlumat tipi, üçüncü tərəf, məqsəd dəyişikliyi) — yenidən razılıq tələb olunur.
Son yenilənmə: 30 aprel 2026 Növbəti baxış: 30 oktyabr 2026 Versiya: 3.2
Tam dəyişiklik tarixçəsi: casinodecoded.com/privacy/changelog.
11. Affiliate kliklərin emalı və kazinolara keçid
/go/{slug}/ formatında CTA linkinə kliklədikdə klik faktı ümumi sayğacda qeyd olunur. Bu sayğac IP ünvanınıza bağlanmır — yalnız konkret slug üzrə ümumi klik sayı saxlanır. Bu, biznes-modelimizin saxlanması üçün lazım olan minimum statistikadır və partnyor şəbəkəsinin komissiyasını izləməyə imkan verir.
Yönləndirmə anından etibarən saytımız sizin məlumatlarınızı kontrol etmir. Operator saytında siz onun şəxsi məxfilik siyasətinə tabe olursunuz. Hər operatorun məxfilik siyasətinin URL-i bizim rəy səhifəsinin altında verilir — qeydiyyatdan əvvəl onu mütləq oxuyun.
12. Saxlama müddətləri (retention schedule) — ətraflı
| Məlumat növü | Saxlama müddəti | Hüquqi əsas |
|---|---|---|
| Ümumi server logları | 30 gün | Hücumdan müdafiə, debugging |
| Cookie razılıq seçimi | 365 gün | Təkrar soruşmamaq üçün |
| Anonim analitika | 14 ay | Mövsümi statistikalar |
| Email yazışmaları (privacy@) | 3 il | İddia müddəti, GDPR Art. 30 audit |
| Hüquqi sorğular | 7 il | Vergi və hüquqi qeyd saxlama |
| Hadisə (incident) hesabatları | 5 il | Təhlükəsizlik analizi |
| Backup arxivləri | 90 gün | Məlumatın bərpası |
Müddət bitdikdən sonra məlumat avtomatik silinir və ya anonimləşdirilir. Anonimləşdirmə geri dönüşlü olmayan kriptoqrafik hash istifadə edir — orijinal məlumat heç kim tərəfindən bərpa oluna bilməz.
13. Sənədin elektron versiyasına dair qeydlər
Bu siyasətin elektron versiyası kağız sənəd kimi hüquqi gücə malikdir (e-imza qaydaları və elektron ticarət qanunvericiliyinə uyğun). Bütün dil versiyaları (RU, EN, PL, AZ) bərabər sənədlər sayılır, lakin hüquqi mübahisələrdə üstünlük ingilis variantına verilir, çünki şirkət registrasiya sənədləri ingilis dilindədir.
14. İncident planı (data breach)
Məlumat sızması (breach) baş verərsə tətbiq edirik:
- 0-4 saat: problemin lokallaşdırılması, pozulmuş sistemin izolyasiyası.
- 4-24 saat: zərərin qiymətləndirilməsi, hansı məlumatların və neçə istifadəçinin təsirləndiyinin müəyyənləşdirilməsi.
- 24-72 saat: GDPR Art. 33 üzrə məcburi xəbərdarlıq Estoniya nəzarət orqanına (Andmekaitse Inspektsioon).
- 72 saatdan sonra: Art. 34 üzrə təsirlənmiş istifadəçilərə birbaşa xəbərdarlıq, əgər təhlükə yüksək olarsa.
- 30 gün ərzində: publik post-mortem hesabatı saytın transparency bölməsində.
Hadisə təlimi və hər il keçirilən simulyasiya sayəsində bu plan formal olaraq sənədləşdirilib və komandanın hər üzvü öz rolunu bilir.
15. Şəxsi məlumatların müdafiəsi siyasətinin auditi
Bu siyasət hər il yenidən nəzərdən keçirilir, əlavə olaraq:
- Yeni hüquqi tələblər ortaya çıxdıqda (məsələn, GDPR-ə dəyişiklik, yeni Azərbaycan qanunu)
- Yeni prosessor qoşulduqda və ya köhnə kəsildikdə
- Cookie inventarı dəyişdikdə
- İstifadəçi və ya nəzarət orqanı vasitəsilə bildirilən boşluq aşkar edildikdə
Audit jurnalı /privacy/changelog ünvanında tutulur. Hər versiya tarixlə qeyd olunur, dəyişikliklərin xülasəsi göstərilir.
16. Şəxsi məlumatların minimallaşdırılması prinsipi
Biz GDPR Art. 5(1)(c) üzrə "data minimisation" prinsipinə əməl edirik — yalnız konkret məqsəd üçün lazım olan minimum məlumatı toplayırıq. Praktikada bu o deməkdir ki:
- Saytda heç bir qeydiyyat tələbi yoxdur, çünki obyektiv ehtiyac yoxdur
- Cookie banner default olaraq "imtina" mövqeyindədir
- Analitika anonim və EAA daxilindədir
- Saytın server logu — istənildiyi miqdarda deyil, tam dəqiq 30 gündən sonra avtomatik silinir
Bu yanaşma bizim tələblərimizdir, çünki "məlumat olmaması" — ən təhlükəsiz məlumatdır.