سياسة الخصوصية واللائحة العامة لحماية البيانات
1) الغرض والنطاق
الغرض: ضمان المعالجة القانونية والشفافة والآمنة للبيانات الشخصية للاعبين والشركاء والموظفين في جميع الولايات القضائية لوجود المشغل.
التغطية: تطبيقات الويب/الهاتف المحمول، CRM/BI/DWH، مكافحة الاحتيال/AML/KYC، PSP/CUS/مزودي العقوبات، الدعم والتسويق والشركات التابعة والاستوديوهات الحية والاستضافة وقطع الأشجار.
2) الأدوار والمسؤوليات (RACI)
مسؤول حماية البيانات (DPO) - ألف: مراقبة الامتثال، RoPA، DPIA/DTIA، الردود على المنظمين.
رئيس الامتثال - أ: السياسة، والشهية من المخاطر، والتصعيد والإبلاغ.
القانون - جيم: الأسس القانونية، عقود DPA/SCCs، لافتة ونصوص إشعارات.
الأمن/SRE - R: التدابير التقنية والتنظيمية (TOMs)، سجل الدخول، الحوادث.
Data/BI - R: دليل البيانات، التقليل، الإخفاء/التسمية المستعارة.
التسويق/CRM - R: الموافقات، التفضيلات، إلغاء الاشتراك، ملفات تعريف الارتباط.
المنتج/الهندسة - R: الخصوصية حسب التصميم/الافتراضي والاحتفاظ والتصرف.
الدعم/VIP - R: استفسارات الموضوع (DSAR)، التحقق من الهوية.
3) الأسس القانونية
الموافقة - التسويق، الكعك التحليلي/الإعلاني، التخصيص غير الإلزامي.
العقد - التسجيل، تجهيز الأسعار/الاستنتاجات، الدعم.
الالتزام القانوني - KYC/AML/الجزاءات والمحاسبة والإبلاغ.
المصالح المشروعة - مكافحة الاحتيال، والأمن، وتحسين المنتج (مع اختبار موازنة الفائدة - LIA).
المصلحة الحيوية/العامة - حالات نادرة من النمو الحقيقي/الأمن، إذا كان ذلك منطبقا ويسمح به القانون.
4) حقوق مواضيع البيانات (DSR/DSAR)
() الوصول (المادة 15)، والتصحيح (المادة 16)، والحذف (المادة 17)، والقيود (المادة 18)، والقابلية للتحمل (المادة 20)، والاعتراض (المادة 21)، وألا يكون موضوع حل آلي حصري (المادة 22).
معالجة DSAR SLA: التأكيد ≤ 7 أيام، التنفيذ ≤ 30 يومًا (التمديد لمدة 60 يومًا أخرى إذا كان من الصعب إخطار الموضوع).
التحقق: متعدد العوامل ؛ يحظر الكشف عن البيانات الحساسة عبر القنوات المفتوحة.
السجلات: طلب التخزين، التحقق من الهوية، حزمة البيانات الصادرة ووقت الاستجابة.
5) سجل عمليات المعالجة (RoPA)
المجالات الدنيا: الهدف، فئات المواضيع/البيانات، الأساس القانوني، فترات الاستبقاء، المستفيدون/البلدان الثالثة، التدابير الأمنية، مصدر البيانات، القرارات/التوصيف الآلي، إدارة شؤون الإعلام/إدارة مكافحة الإرهاب، إن وجدت.
6) DPIA/DTIA: متى وكيف
DPIA - معرضة لخطر كبير: التنميط على نطاق واسع، نماذج جديدة لمكافحة الغش، معالجة البيانات الجيولوجية، محفزات النمو الحقيقي، المراقبة المنهجية.
DTIA/TIA - للبث عبر الحدود خارج المنطقة الاقتصادية الأوروبية/المملكة المتحدة: تقييم الوصول المحلي من قبل الوكالات الحكومية، التدابير التعاقدية/التقنية.
العملية: الفرز → تقييم المخاطر والتدابير → سجل الموافقة القانونية → الضوابط → الافتراضات.
7) ملفات تعريف الارتباط والبكسل و SDK ولافتة الموافقة
الفئات: ضرورية للغاية، وظيفية، وتحليلية، وتسويقية.
الاحتياجات:- حتى الموافقة - نحن نحمل فقط الأشياء الضرورية للغاية.
- الاتفاق الدقيق والرفض المنفصل ؛ سجل الإصدارات والطوابع الزمنية.
- CMP مع IAB TCF (عند الاقتضاء) ؛ تحديث اللافتة تلقائيا عند تغيير الأهداف/مقدمي الخدمات.
- سهل إلغاء الاشتراك/تغيير الاختيار في أي وقت.
8) المعالجات والمعالجات الفرعية
إدارة الشؤون السياسية مع كل مزود: الموضوع، الأهداف، فئات البيانات، المواعيد النهائية، TOMs، المعالجات الفرعية، عمليات التدقيق.
) أ (السجل العام للمجهزين الفرعيين) إصدار الوثائق (؛ الإشعار بالتغييرات وحق الاعتراض.
الشيكات: العناية الواجبة (ISO/SOC2)، حوادث الاختبار، تقارير الخمسة عند الطلب، خطة الإقلاع.
9) عمليات النقل عبر الحدود
SCCs/IDTA + DTIA ؛ إذا لزم الأمر - تدابير إضافية: E2EE، وتشفير العملاء، وشبه إخفاء الهوية، والمفاتيح في الاتحاد الأوروبي.
نقوم بإصلاح الآلية القانونية والبلدان والمستفيدين في السياسة/السجل.
10) الاحتفاظ والحذف
مصفوفة التاريخ (مثال):سياسة الحذف: المهام التلقائية (الوظيفة) في DWH/الخزائن ؛ الحذف في النسخ الاحتياطية عن طريق تسجيل الدخول بالدراجات. بطاقة التعريف للتحليلات.
11) الأمن (TOMs)
تقني: تشفير الراحة/العبور، تجزئة الشبكة، تقليل الحقوق، KMS/تناوب المفتاح، DLP، EDR/IDS/WAF، SSO/MFA، المدير السري، تسجيل WORM.
المنظمة: سياسات الوصول، التدريب، اتفاقية عدم الإفشاء، المكتب النظيف، التحقق من البائعين، إدارة الحوادث (SANS/NIST).
الخصوصية حسب التصميم/الافتراضي: التقييم في عمليات التغيير، الحد الأدنى من مجموعات البيانات الافتراضية، بيانات الاختبار بدون PII.
12) إخطارات التسرب والحوادث
التقييم: تأكيد الوقائع والحجم والمخاطر.
المواعيد النهائية (المعايير): إلى السلطة الإشرافية وفقاً للبيانات - حتى 72 ساعة معرضة لخطر الحقوق/الحريات ؛ المستخدمين - دون تأخير لا داعي له.
محتوى الإخطار: وصف الحوادث، والفئات والعدد التقديري للسجلات، والاتصال بالمكتب المعني بالأشخاص ذوي الإعاقة، والعواقب، والتدابير المتخذة، والتوصيات المقدمة إلى الأشخاص المعنيين.
Logs: timeline, solutions, letter/response complates, CAPA.
13) التسويق والاتصالات
الفصل بين رسائل المعاملات (دون موافقة) والرسائل التسويقية (بموافقة فقط).
إدارة الأفضليات: مركز الإعدادات، الاشتراكات حسب الموضوع/القناة، الاختيار المزدوج (عند الاقتضاء).
الشركات المنتسبة والتتبع: القيود التعاقدية المفروضة على جمع/نقل بيانات تحديد الهوية، وحظر نقل محددات الهوية دون سبب أو موافقة.
14) سياسة الخصوصية العامة - الهيكل
1. من نحن واتصالات DPO.
2. ما هي البيانات التي نجمعها (حسب الفئة والمصدر).
3. الأهداف/الأسس القانونية (الجدول «الغرض → البيانات → الأساس → المصطلح»).
4. ملفات تعريف الارتباط/SDK وإدارة الموافقة.
5. المستفيدون وعمليات النقل عبر الحدود (الآليات والتدابير).
6. حقوق المواضيع وكيفية تنفيذها.
7. أمن البيانات (TOMs رفيعة المستوى).
8. فترات الاستبقاء والمعايير.
9. الحلول/التوصيف الآلي والمنطق بشكل عام.
10. تغييرات السياسة (الإصدار) وكيف نخطر.
11. الاتصالات لتقديم الشكاوى (إدارة الشؤون السياسية حسب الولاية القضائية، إذا لزم الأمر).
15) النماذج وصياغات العينات
15. 1 جدول الأهداف/القواعد (الجزء):
15. 2 راية ملفات تعريف الارتباط (الحد الأدنى):
"نحن نستخدم ملفات تعريف الارتباط. بالنقر فوق «قبل الجميع»، فإنك توافق على تخزين ملفات تعريف الارتباط التحليلية والتسويقية. يمكنك تغيير الاختيار حسب الفئة. "رفض اختياري" - ملفات تعريف الارتباط المطلوبة بشدة فقط"
15. قسم التنميط 3 (مثال):
"نحن نستخدم التنميط لمنع الاحتيال ولعب المسؤولية (RG). هذا ضروري للسلامة وبما يتماشى مع مصالحنا المشروعة. يجوز لك الاعتراض ما لم ينص القانون على خلاف ذلك (على سبيل المثال AML) "
16) إجراءات التشغيل الموحدة للعمليات
SOP-1: تحديث السياسة
المحفزات: أهداف/بائعون/معاملات خاصة/ولايات قضائية جديدة.
الخطوات: جرد → LIA/DPIA → تحديث النص → التوطين → تحديث CMP → الاتصال للمستخدمين → النسخة/تاريخ الإدخال.
SOP-2: DSAR
طلب توجيه → التحقق من الهوية → تقدير حجم البيانات → جمع الطرود (التصدير من النظم) → المراجعة القانونية → إصدار/رفض مع تبرير → سجل.
SOP-3: معالج فرعي جديد
العناية الواجبة → DPA/SCCs → DTIA → اختبار الحوادث → إدراج السجل العام → إشعار المستخدم (إذا لزم الأمر).
17) التدريب ومراجعة الحسابات
الإعداد + التدريب السنوي على الخصوصية للجميع ؛ تدريب إضافي للدعم/التسويق/الهندسة.
التدقيق الداخلي مرة واحدة في السنة: RoPA، الامتثال للاحتفاظ، التحقق الانتقائي DSAR، مراجعة CIW/ملفات تعريف الارتباط، تطبيقات الاختبار، اختبار الاختراق/سجل الوصول الطب الشرعي.
مؤشر الأداء الكوري: النسبة المئوية من الموظفين المدربين ؛ وجيش تحرير السودان ؛ نسبة الأنظمة التي تم تمكين CAPAs منها.
18) التوطين وتعدد الولايات القضائية
اللائحة العامة لحماية البيانات/اللائحة العامة لحماية البيانات في المملكة المتحدة كمعيار أساسي ؛ ضع في اعتبارك ePrivacy/PECR للاتصالات وملفات تعريف الارتباط.
الفروق الدقيقة المحلية (على سبيل المثال): سن الموافقة على معالجة بيانات الطفل، وفترات الاحتفاظ بمركز KYC، ونماذج الإخطار، ومتطلبات لغة التوثيق.
الاحتفاظ بمصفوفة التباين حسب البلد والإشارات إلى الرموز/التراخيص المنطبقة.
19) خارطة طريق التنفيذ (مثال)
الأسابيع 1-2: مخزون البيانات/الأنظمة، RoPA، خريطة التدفق، مسودة السياسة.
الأسابيع من 3 إلى 4: CIW/لافتة، سجل المعالجات الفرعية، DPA/SCCs، DPIA للعمليات عالية الخطورة.
الشهر 2: إطلاق مركز التفضيل، أتمتة الحذف/إخفاء الهوية، تدريب الموظفين.
الشهر 3 +: عمليات التدقيق الدورية، واختبارات DSAR، وتحديث الموقع والسجل.
20) قائمة مراجعة قصيرة للاستعداد
- تم تعيين DPO، تم نشر الاتصالات
- تحديث RoPA وخريطة تدفق البيانات
- السياسة المنشورة، المحلية، المتحررة
- CMP مع سجلات اختيار الاشتراك/إلغاء الاشتراك القابلة للإثبات
- DPA/SCCs وسجل المعالج الفرعي العام
- تم الانتهاء من DPIA/DTIA لعمليات المخاطر
- إجراءات الاحتفاظ بالوظائف والحذف/إخفاء الهوية
- SOP على DSAR والحوادث والمالكين المدربين
- المقاييس/مؤشرات الأداء الرئيسية والتدقيق السنوي للخصوصية
TL; د
سياسة قوية = أهداف واضحة وأساس منطقي + جرد و RoPA + موافقات/ملفات تعريف الارتباط تحت السيطرة + عمليات نقل آمنة عبر الحدود + سجل المعالج الفرعي + الاحتفاظ الواضح والحذف + تدريب DSAR/الحوادث. هذا يقلل من المخاطر القانونية والسمعة ويبني ثقة اللاعب.