GH GambleHub

الأدوار داخل اللائحة العامة لحماية البيانات

1) التعاريف والمبادئ الأساسية

المراقب: يحدد أغراض وأساليب تجهيز البيانات الشخصية. يتحمل المسؤولية الرئيسية عن الشرعية والشفافية وحقوق الأشخاص والضمانات واختيار ومراقبة المعالجات.
المعالج: معالجة PD فقط كما هو موثق من قبل وحدة التحكم، وتوفير TOMs، والمساعدة في حقوق الكيان والحوادث، والاحتفاظ بالسجلات، والسماح بالتدقيق.
المراقبون المشتركون: يشترك شخصان + في تحديد الأهداف والأساليب ؛ ويلزم التوزيع الشفاف للمسؤوليات ونقاط الاتصال بالنسبة للمواضيع.
المعالج الفرعي: لا يسمح للبائع الذي يستخدمه المعالج إلا بموافقة خطية مسبقة على وحدة التحكم وما يعادلها من التزامات.

القاعدة الذهبية: من يقرر لماذا وكيفية المعالجة هو المراقب ؛ الذي «ينفذ فقط وفقًا للتعليمات» - المعالج.

2) كيفية تحديد دور في الممارسة (شجرة القرار)

1. من يحدد أهداف العمل للمعالجة ؟

→ أنت ؟ بالأحرى وحدة تحكم

2. هل يمكنك إعادة استخدام البيانات لأغراضك (التحليلات والتسويق) ؟

→ نعم → وحدة تحكم (أو وحدة تحكم مشتركة إذا كانت الأهداف شائعة).

3. هل يوضح لك الطرف الآخر الوسائل/القيود الدقيقة وأهدافك مستمدة ؟

→ نعم → المعالج.

4. هل هناك منتج مشترك/منصة مشتركة مع تحديد الأهداف من قبل كلا الطرفين ؟

→ نعم → المراقبون المشتركون (الفن مطلوب. 26 ترتيبا).

5. هل تشرك سحابة/بائع في مهمتك ؟

→ البائع - المعالج الفرعي ؛ أنت المتحكم ؛ يجب أن يحصل معالجك الأساسي على إذنك لذلك.

3) الأدوار في نظام iGaming البيئي - مصفوفة من الأمثلة

التفاعلالأدوار النموذجيةتعليق
مشغل ↔ iGamingالمراقب ↔ موضوع البياناتيحدد المشغل الأهداف (الحساب، الأسعار، النمو الحقيقي، مكافحة غسل الأموال)
المشغل ↔ CCM/مزود العقوباتالمشرف ↔ المعالجنكتب تعليمات DPA +، حظر إعادة استخدام البيانات
PSP ↔ المشغل/البنكفي أغلب الأحيان المشرفون الأفرادPSP لها أغراضها التنظيمية وتخزينها
المشغل ↔ منصة Antifraudالمعالج عادةإذا كانت الخدمة «تشارك» رؤى مجمعة لأغراضها الخاصة، فمن الممكن وجود مراقب مشترك أو مراقب منفصل
المشغل ↔ الاستضافة/السحابة/CDNمعالج/معالج فرعيالأمن القوي وسجلات الدخول ؛ الإقليمية
المشغل ↔ التحليلات/التسويق-SDKالمزيج: معالج أو وحدة تحكم واحدةيعتمد على ما إذا كان بإمكان المزود استخدام PD لأغراضه الخاصة
المشغل ↔ المنتسبغالبًا ما يكون المشرفون الفرديونيتم التعامل مع الخيوط/النقرات حسب أهداف الشركة المنتسبة ؛ لنقل PD - DPA/contract + التقليل
معالج ↔ معالج فرعيمعالج ↔ معالج فرعينحن بحاجة إلى التزامات متساوية وإذن من المراقب
الترويج المشترك مع الشركاءالمراقبون المشتركونالفن مطلوب. 26 اتفاقا مع المسؤوليات

4) مسؤوليات الدور (RACI رفيع المستوى)

النشاطوحدة تحكممعالجالمشرفون المشتركون
الأسس القانونية، الإشعارA/RجيمA/R (مجتمعة)
معالجة DSAR (الوصول والحذف وما إلى ذلك)A/RR (مساعدة)A/R (حسب التوزيع)
DPIA/DTIAA/RC/R (مساعدة)A/R (مجتمعة)
الحوادث/التسريبات (إشعارات إدارة الشؤون السياسية/المستعملين)A/RR (إشعار المتحكم، المساعدة)A/R (مجتمعة)
معالجات/معالجات فرعية مختارة ومراجعة حساباتA/RR (الاحتفاظ بالسجل والإخطار)A/R (كل في منطقته)
الإرسال عبر الحدود (SCCs/IDTA)A/RR (التنفيذ)A/R (مجتمعة)
الاحتفاظ/الإبعادA/RR (تنفيذ التعليمات)A/R (مجتمعة)

5) الوثائق والاتفاقات

اتفاق معالجة البيانات - معالج → التحكم المطلوب بموجب المخطط.
الحد الأدنى: مواضيع/فئات PD، الأهداف/التعليمات، TOMs، السرية، المساعدة في DSAR/DPIA، الإخطارات بالحوادث، حذف/إرجاع البيانات، مراجعة الحسابات، المعالجات الفرعية (القائمة/آلية الموافقة).
المادة 26 الترتيب (المراقبون الماليون المشتركون): التوزيع الشفاف للمسؤوليات (تقديم المعلومات، منطقة DSAR، جهة الاتصال)، جوهر الأدوار في السياسة العامة.
SCCs/UK IDTA + DTIA: إلزامي للإرسال من خارج المنطقة الاقتصادية الأوروبية/المملكة المتحدة إذا كان غير كافٍ.
RoPA: سجل عمليات المعالجة في وحدة التحكم وفي المعالج (من مجموعته الخاصة).
مصطلحات التسويق/SDK: لا إعادة تدوير، أدوار وأهداف واضحة.

6) المجالات الحرجة والأخطاء النموذجية

1. مزج الأدوار: يستخدم «المعالج» البيانات لأغراضه الخاصة → في الواقع هو وحدة تحكم/وحدة تحكم مشتركة.
2. المعالجات الفرعية دون إذن: يضيف المعالج بائعًا دون موافقتك.
3. إدارة الشؤون السياسية: لا توجد تعليمات واضحة بشأن الاحتفاظ/الحذف/الحوادث/مراجعة الحسابات.
4. الرقابة المشتركة غير الشفافة: لا المادة 26 - الشكاوى ومخاطر العقوبات.
5. تسويق SDKs: يسحب مقدمو الخدمة PD لأنفسهم - فأنت مسؤول عن الإفصاح والشرعية.
6. PSP/Banks: من الخطأ اعتبارهم معالجين ؛ وغالبا ما تكون هذه وحدات تحكم فردية.

7) قالب DPA المصغر (شظايا الصياغة)

أهداف وطبيعة المعالجة: «يقوم المعالج بمعالجة PD حصريًا للتحقق من KYC وفقًا لتوجيهات المراقب المالي».
التعليمات: «يتطلب أي تغيير في الأهداف موافقة خطية من المراقب المالي».

المعالجات الفرعية: "لا يجذب المعالج المعالجات الفرعية دون إذن كتابي مسبق ؛ يحتفظ بسجل مستكمل وينشره"

الأمان: «يدعم المعالج TOMs (التشفير، التسمية، التحكم في الوصول، تسجيل الأشجار) ليس أقل مما هو موصوف في الملحق أ».
الحوادث: «يقوم المعالج بإخطار المراقب المالي دون تأخير لا داعي له ويقدم جميع المعلومات للإخطارات إلى المنظم والكيانات».
حذف/إرجاع: «في نهاية الخدمة، يحذف المعالج/يعيد PD ويحذف النسخ الاحتياطية في الموعد المحدد».
مراجعة الحسابات: «يجوز للمراقب المالي إجراء عمليات مراجعة الحسابات/الاستبيانات/التقارير الخارجية (SOC2/ISO)، مع إشعار معقول».

8) DPIA/DTIA وعبر الحدود

DPIA: تبدأ وحدة التحكم ؛ يوفر المعالج معلومات عن الأنظمة والمخاطر و TOMs.
DTIA: مع SCCs/IDTA - تقييم بيئة إنفاذ المتلقي، تدابير إضافية (E2EE، مفاتيح العميل، شبه إخفاء الهوية، تخزين المفاتيح في المفوضية الأوروبية/المملكة المتحدة).

9) العمل مع الحقوق الموضوعية (DSAR) في الأدوار الموزعة

المراقب: يقبل الطلب، ويتحقق من الهوية، وينسق المجموعة، ويستجيب في غضون (عادة ≤30 أيام).
المعالج: يقدم على الفور التحميلات/الحذف حسب التوجيه، ولا يستجيب للموضوع مباشرة (ما لم يُطلب خلاف ذلك).
المشرفون المشتركون: يحددون في الاتفاق «نقطة الاتصال» وتبادل البيانات للرد.

10) الأمن والحوادث: من يفعل ماذا

المراقب: سياسة الحوادث، إدارة الشؤون السياسية/خطة إخطار المستخدم، إدارة CAPA.
المعالج: الإخطار الفوري للمراقب، والأدلة الجنائية التقنية، والاحتواء، والسجلات، والمساعدة في الإخطارات.
المشرفون المشتركون: مصفوفة الإخطار المتفق عليها ؛ خط اتصال واحد.

11) الاحتفاظ، والحذف، وبيانات الاختبار

المراقب المالي: يحدد فترات التخزين وفقًا للأهداف/القوانين (AML، المحاسبة)، وينشر في السياسة.
المعالج: ينفذ الحذف/إخفاء الهوية في جدول زمني، بشكل منفصل - تنظيف النسخ الاحتياطية ؛ حظر استخدام PD في بيئة الاختبار بدون إخفاء/مواد تركيبية.

12) التكامل التشغيلي (الممارسة)

CAB/Change: أي دور/معالج فرعي/تغيير الإقليم - عبر تعديلات CAB و DPA/SCCs.
خريطة البيانات و RoPA: خريطة البث المباشر ؛ لدى وحدة التحكم أهداف ومتلقون، ولدى المعالج فئات وعمليات.
إدارة شؤون البائعين: بذل العناية الواجبة قبل الدخول (ISO/SOC2، اختبار الاختراق، سياسة الحوادث، جغرافيا البيانات).
عمليات المراجعة: قوائم مرجعية، واستبيانات، وسجلات عينات الوصول إلى مؤشر الاستثمار الدولي، ومنطق الحذف.

13) قائمة مرجعية «تعريف الدور»

  • من يحدد الأهداف وبارامترات المعالجة الرئيسية ؟
  • هل يمكن إعادة استخدام PD لأغراضه الخاصة ؟
  • هل للطرف الثاني أسباب قانونية منفصلة ؟
  • من المسؤول أمام الكيان (DSAR) ؟
  • هل هناك حاجة لاتفاقات سلام ديمقراطية (المادة 28) أم ترتيب (المادة 26) ؟
  • هل هناك أي معالجات فرعية وآلية مطابقة ؟
  • هل ستكون هناك عمليات إرسال عبر الحدود وما هي الآلية (SCCs/IDTA) ؟

14) الأسئلة المتكررة (الأسئلة الشائعة)

PSP - معالج أم وحدة تحكم ؟

عادة ما يكون مراقب منفصل: أهداف خاصة (خدمات الدفع، منع الاحتيال، الإبلاغ التنظيمي).

يمكن لمزود KYC تخزين الصور لتدريب النماذج ؟

فقط مع وضع المراقب (مع أساس منفصل وكشف) أو بموافقتك الصريحة والأساس القانوني الصحيح. خلاف ذلك، فهو محظور.

الشركة التابعة التي جلبت اللاعب هي معالج ؟

في كثير من الأحيان وحدة تحكم منفصلة: يجمع PD لأغراضه الخاصة. تتطلب الحملات المشتركة تخصيص دور واضح.

خادم تسجيل السحابة - بيانات من ؟

معالجة السجلات هي مسؤولية المعالج لضمان الأمن ؛ ويقتضي إعادة الاستخدام لأغراض خاصة به وجود سبب منفصل (وإلا لم يكن ممكنا).

15) سياسة الدور المصغر (مقتطف للمعيار الداخلي)

1. بشكل افتراضي، يعمل المشغل كوحدة تحكم لجميع تدفقات PD من اللاعبين/الشركاء.
2. أي بائع لديه إمكانية الوصول إلى PD - يتم تسجيله كمعالج (DPA) أو كمراقب منفصل (لأغراضه الخاصة).
3. تتطلب إضافة معالج فرعي موافقة خطية وتحديثات التسجيل.
4. أي تغيير في الأدوار/الأقاليم/الأهداف - من خلال CAB و DPO و Legal.
5. منطقة DSAR والحوادث - بتنسيق من المراقب، يستجيب المعالجون لاتفاقات SLAs.

16) خارطة طريق التنفيذ

الأسابيع 1-2: جرد تدفقات البيانات والأدوار ؛ ومسودة مصفوفة «من هو» ؛ تحديث RoPA.
الأسابيع من 3 إلى 4: استنتاج/تحديث اتفاق سلام دارفور، المادة 26 (عند الاقتضاء)، سجل المعالجات الفرعية ؛ وإعداد استبيانات مراجعة الحسابات.
الشهر 2: DTIA/SCCs/IDTA، تحديث السياسة العامة، تدريب الفريق.
الشهر 3 +: عمليات تدقيق منتظمة للبائعين، واختبار DSAR، والطاولة على الحوادث، وتدقيق الأدوار لتغييرات المنتج/التسويق.

17) نموذج قصير «مصفوفة الدور» (مثال)

دفقدور المشغلدور الطرف المقابلالوثائقتعليق
CCM/الجزاءاتوحدة تحكممعالجتعليمات DPA +لا إعادة استخدام
المدفوعات (PSP)ديب. وحدة تحكمديب. وحدة تحكماتفاقية + إشعار الخصوصيةمسؤولية منفصلة
الاستضافة/السحابةوحدة تحكممعالج/معالج فرعيDPA, SCCs/IDTAجغرافيا البيانات
تسويق SDKوحدة تحكممعالج أو مراقب إدارةDPA/Joint/ToSتحقق من إعادة الاستخدام
التحليلاتوحدة تحكممعالجDPA، الحد من الأهدافالاسم المستعار

TL; د

نحن نحدد الدور من خلال أهداف وأساليب المعالجة: أنت تقرر «لماذا/كيف» - المراقب ؛ الأداء حسب التوجيهات - المعالج ؛ معًا تقررون - مراقبون مشتركون. إضفاء الطابع الرسمي على ذلك في DPA/art. 26، نجري RoPA، ونراقب المعالجات الفرعية، ونوفر DPIA/DTIA، وحقوق الموضوع والأمن. مصفوفة الأدوار الواضحة = مخاطر تنظيمية أقل، ومجالات نزاع أقل، وعمليات تدقيق أسرع.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.