Integritetspolicy — ATG

Personuppgiftsansvarig är AB Trav och Galopp, org.nr 556180-4161, registrerad i Stockholm, Sverige. All behandling sker under Spelinspektionens licens 18Li7442 (giltig 2018-11-27 till 2028-12-31). Dataskyddsombud (DPO) kan kontaktas på dpo@atgapp.com.se eller via post: Dataskyddsombud, AB Trav och Galopp, 161 89 Stockholm. DPO är oberoende från den operativa verksamheten och rapporterar direkt till styrelsen.

Fem kategorier: (1) **Kontouppgifter** — namn, personnummer, adress, telefon, mejl, BankID-verifierad identitet; (2) **Betalningsuppgifter** — bankkonton/kortnummer (tokeniserade), transaktionshistorik, Swish-nr; (3) **Speldata** — insatser, vinster, spelbeteende, session-längd, favoritspel; (4) **Enhetsdata** — IP-adress, webbläsare, enhetstyp, operativsystem, geolocation (grov); (5) **Kommunikation** — support-chattar, samtalsinspelningar, mejl. All insamling sker antingen direkt från dig eller automatiskt vid användning av tjänsten.

Sex huvudsakliga ändamål: (a) **Tjänsteleverans** — hantera konto, behandla transaktioner, visa spelutbud; (b) **KYC & AML** — identitetsverifiering, penningtvättsgranskning (lagkrav); (c) **Spelarskydd** — monitorering av spelbeteende, Spelpaus-kontroller, förlustgräns-tillämpning; (d) **Säkerhet** — fraud-detection, konto-skydd, intrångsövervakning; (e) **Kommunikation** — service-meddelanden, kontoändringar, regelförändringar; (f) **Marketing** — personliga erbjudanden, bonuserbjudanden — endast om du uttryckligen samtyckt. Marketing opt-in kan när som helst dras tillbaka via Konto → Kommunikationsinställningar.

Varje databehandling vilar på en av fyra GDPR-grunder. **Avtal (art. 6.1.b):** allt som behövs för att leverera spelkontot du registrerat dig för — betalningar, spel, KYC. **Samtycke (art. 6.1.a):** marketing-kommunikation, icke-nödvändiga cookies, push-notiser. Kan dras tillbaka när som helst. **Berättigat intresse (art. 6.1.f):** fraud-prevention, produktförbättring, säkerhet — efter balanstest mot dina rättigheter. **Rättslig skyldighet (art. 6.1.c):** AML-rapportering till Finansinspektionen, skatteinformation till Skatteverket, licensrapportering till Spelinspektionen.

Vi delar data endast där det är nödvändigt: **Betalningsprocessorer** (Getswish AB för Swish, Trustly Group AB för Trustly, Worldpay för kortbetalningar); **KYC-leverantörer** (för förstärkt identitetsverifiering vid stora transaktioner); **Myndigheter** — Spelinspektionen (licensrapportering), Skatteverket (vinster över 100 000 kr/år), Finansinspektionen (AML suspicious activity reports), polisen vid brottsutredning; **Koncernbolag** — interna system inom AB Trav och Galopp-koncernen (ägs av svenska travsällskap); **Underleverantörer** — IT-drift, cloud-hosting (AWS EU-regioner), support-plattformar. Alla underleverantörer är bundna av databehandlaravtal (DPA) enligt GDPR art. 28.

Strikta retention-perioder: **Kontodata** — aktiv tid + 5 år efter stängning (penningtvättslag); **Transaktioner** — 7 år (bokföringslag); **KYC-dokument** — 5 år efter kontostängning; **Spelpaus-listningar** — 6 år efter utgångstid; **Marketing consent** — raderas inom 30 dagar efter återkallande; **IP-loggar** — 12 månader; **Support-kommunikation** — 3 år; **Sessionsdata** — 30 dagar. Data raderas säkert vid retention-periods slut via kryptografisk förstörelse. Ingen återställning möjlig.

I princip **inga dataöverföringar utanför EU/EES**. Vår infrastruktur är helt EU-baserad — primära serverar i Stockholm, backup i Dublin och Frankfurt. AWS EU-regioner (inte US eller andra). Underleverantörer är EU-registrerade företag. Om du reser utanför EU och loggar in kan IP-trafik tekniskt sett 'passera' utanför EU, men vi lagrar inte data där. Detta är en medveten arkitektur-beslut för att slippa komplicerade Standard Contractual Clauses (SCCs) och Schrems II-relaterade utmaningar.

GDPR ger dig åtta specifika rättigheter. Se detaljerad sektion nedan med actionable steps för varje. Alla utövas via Konto → Inställningar → Integritet. Vi svarar på alla begäran inom 30 dagar (kan förlängas med 60 dagar vid komplexa fall — meddelar i så fall inom första 30 dagarna). Ingen avgift för normala begäran; manifestly unfounded eller excessive requests kan avvisas eller debiteras.

Tekniska säkerhetsåtgärder: 256-bit SSL-kryptering för all datatrafik; betalkortsdata tokeniseras via PCI-DSS Level 1 acquirer (vi lagrar aldrig rådata); BankID som primär autentisering; segregerade databaser för känslig data (kontoinfo separerad från speldata); åtkomstloggning för alla medarbetar-queries till kund-data; regelbundna säkerhetsaudits av externa partners (Deloitte, KPMG); intrångstester två gånger per år; GDPR Data Protection Impact Assessment (DPIA) för alla nya system. Organisatoriska åtgärder: säkerhetsutbildning årligen för all personal; bakgrundskontroll av alla med accessbehörighet; incident response plan testad kvartalsvis.

Vi använder cookies och liknande spårningsteknologier. Detaljerad information finns på cookies-policy-sidan. Snabböversikt: **Essential cookies** (inloggning, session-hantering) — krävs, ej opt-out; **Functional cookies** (språkval, spelinställningar) — opt-in via consent banner; **Analytics cookies** (anonymiserad statistik) — opt-in; **Marketing cookies** (personliga erbjudanden) — strikt opt-in. Ändra inställningar när som helst via 'Cookie-inställningar' i footern.

ATG är strikt 18+. Svensk spellag kräver BankID-verifierad ålder innan kontoskapande. Om vi upptäcker att ett konto skapats av minderårig: (1) kontot stängs omedelbart, (2) alla medel återbetalas till källkontot (inga vinster utbetalas), (3) insatser återbetalas, (4) data raderas utöver det som krävs för rättsliga skäl. Rapportera misstänkt minderårig till abuse@atgapp.com.se.

Vid väsentliga ändringar (t.ex. nya datakategorier, nya syften, ändrade delningspartners) meddelar vi minst 30 dagar i förväg via mejl och notis vid inloggning. Icke-väsentliga ändringar (typo-korrigeringar, förtydliganden) görs utan förhandsmeddelande men signaleras via 'Senast uppdaterad'-datum. Om du fortsätter använda tjänsten efter ändringarnas ikraftträdande anses du ha accepterat den nya policyn. Historiska versioner tillgängliga på begäran från DPO.