Privacy Policy

1. Scope and Regulatory Framework

This Privacy and Data Protection Policy (“Policy”) sets out how Venture Lab Malta Limited (the “Company”, “we”, “our”, or “us”) processes Personal Data in accordance with applicable laws and regulatory requirements, including:

• The General Data Protection Regulation (GDPR, EU 2016/679)
• The Malta Data Protection Act (Chapter 586 of the Laws of Malta)
• Malta Gaming Authority (MGA) regulatory obligations regarding player protection, anti-money laundering (AML), responsible gaming, and reporting

This Policy applies to all users of the Company’s online platforms, websites, mobile applications, and related services (the “Services”). Compliance with this Policy is mandatory and forms part of the Company’s regulatory governance framework.

2. Data Controller and Governance Oversight

The Company is the Data Controller responsible for the lawful processing of Personal Data.

Registered Office: Quad Central, Q3, Level 1, Office 5, Triq l-Esportaturi, Birkirkara, Birkirkara, Malta

Company Registration Number: C 89206

Data Protection Officer (DPO): dpo@yo88.dad

The Company maintains an internal governance framework to ensure regulatory compliance, data integrity, and security. The DPO oversees Personal Data processing, audits, and training of staff in line with GDPR and MGA requirements.

3. Principles of Processing

Personal Data is processed under the following principles:

• Lawfulness, Fairness, and Transparency: All data processing is lawful, transparent, and justified.
• Purpose Limitation: Data is collected solely for defined operational, legal, and regulatory purposes.
• Data Minimization: Only data necessary for service provision and compliance is collected.
• Accuracy: Personal Data is regularly reviewed and updated.
• Storage Limitation: Data retention aligns with regulatory obligations and operational needs.
• Integrity and Confidentiality: Security measures protect data from unauthorized access or alteration.
• Accountability: The Company can demonstrate adherence to GDPR and MGA directives.

4. Categories of Personal Data Collected

The Company may collect and process the following categories of Personal Data:

• Identity Data: Full name, date of birth, nationality, gender
• Verification (KYC) Data: Government-issued ID, proof of address, source of funds documentation
• Contact Data: Email, telephone, residential address
• Account and Gaming Data: Account credentials, gaming and betting activity, account balances, and limits
• Financial Data: Payment methods, transaction history
• Technical Data: IP address, device identifiers, location, usage logs
• Communication Data: Customer support interactions, responsible gaming communications

Sensitive data is subject to enhanced security measures and oversight.

5. Lawful Basis for Processing

Processing is based on one or more of the following lawful bases:

• Contractual Necessity: To provide gaming services and manage accounts
• Legal Obligation: Compliance with MGA, AML/KYC, and responsible gaming obligations
• Legitimate Interests: Fraud detection, security monitoring, and operational improvement
• Consent: Where explicitly required, such as for marketing communications

6. Purpose of Processing

Personal Data is collected and used for:

• Verifying identity, age, and eligibility to participate in gaming activities
• Facilitating deposits, withdrawals, and account management
• Conducting AML/KYC and regulatory reporting to competent authorities
• Detecting and preventing fraudulent or suspicious activity
• Delivering responsible gaming tools and player protection measures
• Communicating regulatory and operational updates
• Maintaining operational and platform security

7. Data Sharing and Disclosure

Personal Data may be shared with:

• Payment service providers and financial institutions
• KYC/AML verification service providers
• IT infrastructure, hosting, and security providers
• Professional advisers including legal, audit, and compliance consultants
• Competent authorities including the MGA and FIAU, when legally required

The Company does not sell Personal Data.

8. International Transfers

Transfers outside the European Economic Area (EEA) are permitted only when appropriate safeguards are in place:

• Transfers to jurisdictions with EU adequacy decisions
• Standard Contractual Clauses (SCCs) or equivalent regulatory safeguards

9. Retention of Personal Data

Personal Data is retained for no longer than necessary to meet operational and regulatory purposes:

• KYC, AML, and regulatory reporting records are retained for a minimum of five (5) years as required by MGA directives.
• Other data is retained only as long as required for service provision or legal compliance.
• Data that is no longer required is securely deleted or anonymized.

10. Data Security and Oversight

The Company applies robust technical and organisational measures to secure Personal Data:

• Encryption of sensitive information
• Access controls with defined authorizations
• Monitoring of IT systems and networks
• Staff training and internal procedures to ensure compliance

11. Data Subject Rights

Users have the following rights under GDPR:

• Access and obtain a copy of Personal Data
• Rectify inaccuracies in Personal Data
• Request erasure where legally permitted
• Restrict or object to processing
• Data portability
• Withdraw consent for marketing communications

Requests should be submitted to the DPO. Users may also lodge complaints with the Office of the Information and Data Protection Commissioner, Malta.

12. Data Breach Management

In the event of a Personal Data breach:

• Containment and remediation actions are immediately initiated
• MGA and other supervisory authorities are notified within 72 hours, where required
• Affected individuals are notified if there is a high risk to their rights or freedoms
• Breach records are maintained for regulatory audit purposes

13. Minors and Age Verification

The Services are strictly for persons aged 18 or over. Accounts or data of minors are immediately deleted, and access is blocked.

14. Cookies and Tracking

Cookies and similar technologies are used to enable core functionality, analyze usage patterns, and enhance performance. Consent is obtained and recorded where required.

15. Policy Review, Governance and Governing Law

This Policy is reviewed periodically to ensure alignment with regulatory changes, MGA directives, and internal operational requirements. The latest version is published on the website.

This Policy is governed by the laws of Malta and interpreted in accordance with GDPR and Maltese data protection legislation.

CHÍNH SÁCH BẢO MẬT

1. Phạm Vi Và Khung Pháp Lý

Chính Sách Quyền Riêng Tư Và Bảo Vệ Dữ Liệu (“Chính sách”) này quy định cách Venture Lab Malta Limited (“Công ty”, “chúng tôi”, “của chúng tôi”, hoặc “chúng tôi”) xử lý Dữ Liệu Cá Nhân theo các luật hiện hành và yêu cầu pháp lý, bao gồm:

• General Data Protection Regulation (GDPR, EU 2016/679)
• Malta Data Protection Act (Chapter 586 of the Laws of Malta)
• Các nghĩa vụ pháp lý của Malta Gaming Authority (MGA) liên quan đến bảo vệ người chơi, chống rửa tiền (AML), chơi có trách nhiệm và báo cáo

Chính sách này áp dụng cho tất cả người dùng các nền tảng trực tuyến, website, ứng dụng di động và các dịch vụ liên quan của Công ty (“Dịch vụ”). Việc tuân thủ Chính sách này là bắt buộc và là một phần trong khung quản trị pháp lý của Công ty.

2. Bên Kiểm Soát Dữ Liệu Và Giám Sát Quản Trị

Công ty là Bên Kiểm Soát Dữ Liệu chịu trách nhiệm xử lý hợp pháp Dữ Liệu Cá Nhân.

Văn phòng đăng ký: Quad Central, Q3, Level 1, Office 5, Triq l-Esportaturi, Birkirkara, Birkirkara, Malta

Số đăng ký công ty: C 89206

Nhân Viên Bảo Vệ Dữ Liệu (DPO): dpo@yo88.dad

Công ty duy trì khung quản trị nội bộ nhằm đảm bảo tuân thủ pháp lý, tính toàn vẹn dữ liệu và bảo mật. DPO giám sát việc xử lý Dữ Liệu Cá Nhân, kiểm toán và đào tạo nhân viên phù hợp với yêu cầu của GDPR và MGA.

3. Nguyên Tắc Xử Lý

Dữ Liệu Cá Nhân được xử lý theo các nguyên tắc sau:

• Tính Hợp Pháp, Công Bằng Và Minh Bạch: Mọi hoạt động xử lý dữ liệu đều hợp pháp, minh bạch và có cơ sở chính đáng.
• Giới Hạn Mục Đích: Dữ liệu chỉ được thu thập cho các mục đích vận hành, pháp lý và quản lý đã được xác định.
• Giảm Thiểu Dữ Liệu: Chỉ thu thập dữ liệu cần thiết cho việc cung cấp dịch vụ và tuân thủ.
• Tính Chính Xác: Dữ Liệu Cá Nhân được rà soát và cập nhật thường xuyên.
• Giới Hạn Lưu Trữ: Việc lưu trữ dữ liệu phù hợp với nghĩa vụ pháp lý và nhu cầu vận hành.
• Tính Toàn Vẹn Và Bảo Mật: Các biện pháp bảo mật bảo vệ dữ liệu khỏi truy cập hoặc chỉnh sửa trái phép.
• Trách Nhiệm Giải Trình: Công ty có thể chứng minh việc tuân thủ các chỉ thị của GDPR và MGA.

4. Các Loại Dữ Liệu Cá Nhân Được Thu Thập

Công ty có thể thu thập và xử lý các loại Dữ Liệu Cá Nhân sau:

• Dữ Liệu Nhận Dạng: Họ tên đầy đủ, ngày sinh, quốc tịch, giới tính
• Dữ Liệu Xác Minh (KYC): Giấy tờ tùy thân do chính phủ cấp, bằng chứng địa chỉ, tài liệu chứng minh nguồn tiền
• Dữ Liệu Liên Hệ: Email, số điện thoại, địa chỉ cư trú
• Dữ Liệu Tài Khoản Và Trò Chơi: Thông tin đăng nhập tài khoản, hoạt động chơi game và cá cược, số dư tài khoản và giới hạn
• Dữ Liệu Tài Chính: Phương thức thanh toán, lịch sử giao dịch
• Dữ Liệu Kỹ Thuật: Địa chỉ IP, mã định danh thiết bị, vị trí, nhật ký sử dụng
• Dữ Liệu Liên Lạc: Tương tác với hỗ trợ khách hàng, liên lạc về chơi có trách nhiệm

Dữ liệu nhạy cảm chịu các biện pháp bảo mật và giám sát nâng cao.

5. Cơ Sở Hợp Pháp Cho Việc Xử Lý

Việc xử lý dựa trên một hoặc nhiều cơ sở pháp lý sau:

• Sự Cần Thiết Theo Hợp Đồng: Để cung cấp dịch vụ trò chơi và quản lý tài khoản
• Nghĩa Vụ Pháp Lý: Tuân thủ MGA, AML/KYC và các nghĩa vụ chơi có trách nhiệm
• Lợi Ích Hợp Pháp: Phát hiện gian lận, giám sát bảo mật và cải thiện vận hành
• Sự Đồng Ý: Khi được yêu cầu rõ ràng, chẳng hạn như đối với thông tin tiếp thị

6. Mục Đích Xử Lý

Dữ Liệu Cá Nhân được thu thập và sử dụng cho:

• Xác minh danh tính, độ tuổi và tính đủ điều kiện tham gia hoạt động trò chơi
• Hỗ trợ nạp tiền, rút tiền và quản lý tài khoản
• Thực hiện AML/KYC và báo cáo pháp lý cho các cơ quan có thẩm quyền
• Phát hiện và ngăn chặn hoạt động gian lận hoặc đáng ngờ
• Cung cấp công cụ chơi có trách nhiệm và biện pháp bảo vệ người chơi
• Truyền đạt các cập nhật pháp lý và vận hành
• Duy trì an ninh vận hành và nền tảng

7. Chia Sẻ Và Tiết Lộ Dữ Liệu

Dữ Liệu Cá Nhân có thể được chia sẻ với:

• Nhà cung cấp dịch vụ thanh toán và tổ chức tài chính
• Nhà cung cấp dịch vụ xác minh KYC/AML
• Nhà cung cấp hạ tầng CNTT, lưu trữ và bảo mật
• Các cố vấn chuyên môn bao gồm tư vấn pháp lý, kiểm toán và tuân thủ
• Các cơ quan có thẩm quyền bao gồm MGA và FIAU khi có yêu cầu pháp lý

Công ty không bán Dữ Liệu Cá Nhân.

8. Chuyển Dữ Liệu Quốc Tế

Việc chuyển dữ liệu ra ngoài European Economic Area (EEA) chỉ được phép khi có các biện pháp bảo vệ phù hợp:

• Chuyển tới các khu vực pháp lý có quyết định đầy đủ của EU
• Standard Contractual Clauses (SCCs) hoặc các biện pháp bảo vệ pháp lý tương đương

9. Lưu Trữ Dữ Liệu Cá Nhân

Dữ Liệu Cá Nhân được lưu giữ không lâu hơn mức cần thiết để đáp ứng mục đích vận hành và pháp lý:

• Hồ sơ KYC, AML và báo cáo pháp lý được lưu giữ tối thiểu năm (5) năm theo yêu cầu của các chỉ thị MGA.
• Dữ liệu khác chỉ được lưu giữ trong thời gian cần thiết để cung cấp dịch vụ hoặc tuân thủ pháp lý.
• Dữ liệu không còn cần thiết sẽ được xóa hoặc ẩn danh một cách an toàn.

10. Bảo Mật Dữ Liệu Và Giám Sát

Công ty áp dụng các biện pháp kỹ thuật và tổ chức mạnh mẽ để bảo mật Dữ Liệu Cá Nhân:

• Mã hóa thông tin nhạy cảm
• Kiểm soát truy cập với phân quyền xác định
• Giám sát hệ thống CNTT và mạng
• Đào tạo nhân viên và quy trình nội bộ để đảm bảo tuân thủ

11. Quyền Của Chủ Thể Dữ Liệu

Người dùng có các quyền sau theo GDPR:

• Truy cập và nhận bản sao Dữ Liệu Cá Nhân
• Chỉnh sửa thông tin không chính xác trong Dữ Liệu Cá Nhân
• Yêu cầu xóa dữ liệu khi được pháp luật cho phép
• Hạn chế hoặc phản đối việc xử lý
• Quyền di chuyển dữ liệu
• Rút lại sự đồng ý đối với thông tin tiếp thị

Các yêu cầu nên được gửi tới DPO. Người dùng cũng có thể gửi khiếu nại tới Office of the Information and Data Protection Commissioner, Malta.

12. Quản Lý Vi Phạm Dữ Liệu

Trong trường hợp xảy ra vi phạm Dữ Liệu Cá Nhân:

• Các hành động ngăn chặn và khắc phục sẽ được triển khai ngay lập tức
• MGA và các cơ quan giám sát khác sẽ được thông báo trong vòng 72 giờ khi có yêu cầu
• Các cá nhân bị ảnh hưởng sẽ được thông báo nếu có rủi ro cao đối với quyền hoặc tự do của họ
• Hồ sơ vi phạm được lưu giữ cho mục đích kiểm toán pháp lý

13. Người Chưa Thành Niên Và Xác Minh Độ Tuổi

Dịch vụ chỉ dành riêng cho người từ 18 tuổi trở lên. Tài khoản hoặc dữ liệu của người chưa thành niên sẽ bị xóa ngay lập tức và quyền truy cập bị chặn.

14. Cookies Và Theo Dõi

Cookies và các công nghệ tương tự được sử dụng để kích hoạt chức năng cốt lõi, phân tích mô hình sử dụng và nâng cao hiệu suất. Sự đồng ý sẽ được thu thập và ghi nhận khi có yêu cầu.

15. Rà Soát Chính Sách, Quản Trị Và Luật Điều Chỉnh

Chính sách này được rà soát định kỳ nhằm đảm bảo phù hợp với các thay đổi pháp lý, chỉ thị MGA và yêu cầu vận hành nội bộ. Phiên bản mới nhất được công bố trên website.

Chính sách này được điều chỉnh bởi luật pháp Malta và được diễn giải phù hợp với GDPR và pháp luật bảo vệ dữ liệu của Malta.