GH GambleHub

Məlumat sızması və bildirişlər zamanı qanunlar

1) Giriş və məqsədlər

Məlumat sızması yalnız texniki hadisə deyil, həm də dəqiq tarixlər, ünvanlayanlar və bildirişlərin məzmunu üçün rəsmi tələblərlə hüquqi prosedurdur. İlk saatlarda səhvlər cərimələr, kollektiv iddialar və reputasiya riskini artırır. Bu material B2C platformaları üçün (iGaming/fintech daxil olmaqla) sinxron işləməyə kömək edən praktik bir yol xəritəsidir: təhlükəsizlik, hüquqşünaslar, PR, müştəri dəstəyi və uyğunluq.

2) «Şəxsi məlumatların sızması» hesab olunur

Şəxsi məlumatların təsadüfi və ya qanunsuz məhv edilməsinə, itirilməsinə, dəyişdirilməsinə, açıqlanmamış girişinə və ya açıqlanmasına səbəb olan fərdi təhlükəsizlik hadisəsi. Subyektlərin hüquq və azadlıqları üçün risk faktı vacibdir (məxfilik, maliyyə zərəri, ayrı-seçkilik, fişinq və s.).

3) Rollar və məsuliyyət

Nəzarətçi (operator) - emal məqsədlərini və vasitələrini müəyyənləşdirir; bildirişlər, uçot və hüquqi əsasların seçilməsi üzrə ilkin məsuliyyət daşıyır.
Prosessor (prosessor/podratçı) - tapşırıq üzrə məlumatları emal edir; nəzarətçiyə gecikmədən məlumat verməyə və istintaqa və notifikasiyaya kömək etməyə borcludur.
Birgə nəzarətçilər - vahid əlaqə nöqtəsini əlaqələndirir və müqavilədə məsuliyyət sahələrini bölüşdürür.

4) Bildiriş həddi: üç risk səviyyəsi

1. Risk yoxdur (məsələn, etibarlı açarları olan şifrələnmiş media, açarlar güzəştə getmir) → xarici bildirişlər olmadan jurnalda hadisənin uçotu.
2. Risk (zərər ehtimalı var) → vaxtında tənzimləyiciyə bildiriş.
3. Yüksək risk (əhəmiyyətli zərər ehtimalı: maliyyə, sağlamlıq, uşaqlar, kütləvi sızmalar, həssas qruplar) → subyektləri başa düşülən dildə və gecikmədən əlavə bildiriş.

5) Bildiriş müddətləri (əsas rejimlər üzrə göstəricilər)

EU/EEA (GDPR): nəzarətçi sızma məlum olduqdan sonra 72 saat ərzində tənzimləyicini xəbərdar edir; subyektlər - risk yüksək olduqda «əsassız gecikmə olmadan».
UK GDPR/ICO: 72 saat tənzimləyiciyə bənzər; hadisələrin reyestrini saxlamaq.
Kanada (PIPEDA): tənzimləyici və subyektlər - əgər «real zərər riski»; reyestri ən azı 24 ay aparmaq.
Sinqapur (PDPA): PDPC-də - qiymətləndirmə başa çatdıqdan sonra ən geci 3 gün; subyektlərə - əhəmiyyətli zərər riski ilə gecikmədən.
Braziliya (LGPD): tənzimləyici və subyektlər - «məqbul müddətdə»; istinad - təsdiqləndikdən sonra mümkün qədər tez.
BƏƏ (fed. PDPL )/ADGM/DIFC: əksər hallarda - yüksək risk altında ~ 72 saat ərzində tənzimləyiciyə bildiriş.
Avstraliya (NDB): 30 günə qədər qiymətləndirmə; «Bildirilən» hadisəni təsdiqlədikdən sonra «ən qısa zamanda» bildiriş.
ABŞ (ştat qanunları): vaxt dəyişir (çox vaxt «əsassız gecikmə olmadan», bəzən sabit 30-60 gün). Məlumatların həcmi və növlərinə görə hədlər, böyük hadisələrdə Baş Prokurorun/agentliklərin xəbərdarlığı.
Hindistan (DPDP): tənzimləyiciyə/subyektlərə bildirişlər - tənzimləyici tərəfindən müəyyən edilmiş qaydada; aşkar edildikdən sonra operativ hərəkət edin.

💡 Qeyd: xüsusi vaxt və həddi yenilənir; onları "Country Matrix 'inizə yazın və rüblük nəzərdən keçirin.

6) Bildirişlərdə nə olmalıdır

Tənzimləyici:
  • hadisənin qısa təsviri və vaxt miqdarı;
  • təsirə məruz qalan məlumatların və subyektlərin kateqoriyaları və təxmini həcmi;
  • ehtimal olunan nəticələr;
  • görülən və ya təklif olunan tədbirlər (yumşaltma, təkrarlanmanın qarşısının alınması);
  • DPO/məsul qrup əlaqə;
  • status: sonrakı əlavə qeyd ilə əvvəlcədən mesaj (bütün faktlar müəyyən deyil).
Məlumat subyektləri (istifadəçilər):
  • sadə dildə nə baş verdi və nə vaxt;
  • onların məlumatları hansı təsir və mümkün nəticələr;
  • artıq nə edilib (kilidləmə, açarların dəyişdirilməsi, şifrələrin məcburi rotasiyası və s.);
  • istifadəçi nə edə bilər (2FA, şifrə dəyişikliyi, hesab/kredit tarixçəsi monitorinqi);
  • dəstək kanalları, pulsuz xidmətlər (məsələn, maliyyə məlumatlarının sızması zamanı kredit monitorinqi).

7) Xəbərdarlığın icazə verilən gecikməsi

Bir sıra rejimlərdə dərhal açıqlama istintaqa mane olarsa, hüquq-mühafizə orqanlarının tələbi ilə bildiriş gecikdirilə bilər. Əsasını və təxirə salınma müddətini yazılı şəkildə qeyd edin.

8) Şifrələmə və «təhlükəsiz liman»

Bir çox qanunlar məlumatların etibarlı şifrələnməsi və açarların pozulmaması halında subyektləri xəbərdar etməkdən azad edir. Alqoritmləri/açar idarəetməsini sənədləşdirin; texniki tətbiq edin. hadisənin reyestrinə əsaslandırma.

9) Cavab proseduru: «ilk 72 saat» taymline

T0-4 saat.

IR planını aktivləşdirin; lidləri təyin etmək (SIRT, hüquqşünas, PR, DPO).
Hücum vektorunun izolyasiyası, artefaktların (lojalar, dampalar) toplanması, sistem vaxtının fiksasiyası.
İlkin ixtisas: şəxsi məlumatlar? hansı kateqoriyalar? həcm? Coğrafiya? podratçılar?

T4-24 saat.

Risk qiymətləndirilməsi: hüquq və azadlıqlara təsir; uşaqlar/maliyyə/sağlamlıq.
Həll: tənzimləyiciyə bildiriş? (əgər belədirsə - «preliminary notice» hazırlayın).
Subyektlərə bildiriş layihəsi + sapport üçün FAQ; PR mesajları.
Podratçıların/prosessorların yoxlanılması: hesabat sorğusu, hadisə jurnalları.

T24-72 saat.

Tənzimləyiciyə bildiriş göndərmək (lazım olduqda); göndərmə loqosu.
Yüngülləşdirmə tədbirləri (şifrələrin məcburi dəyişdirilməsi, açarların rotasiyası, əməliyyatların müvəqqəti limitləri, 2FA).
İctimai bəyanatın hazırlanması (uyğun olarsa), qaynar xətt/botun işə salınması.

72 saatdan sonra.

Tənzimləyiciyə aydınlaşdıqca əlavə hesabatlar; post-mortem; siyasət və nəzarət yeniləmə.

10) Podratçıların və emal zəncirinin idarə edilməsi

Müqavilə DPA/prosessor vəzifələri: «dərhal bildiriş», 24/7 əlaqə kanalları, ilkin hesabata SLA (məsələn, 24 saat).
Təhlükəsizlik tədbirlərinin auditinə/yoxlanılmasına nəzarət etmək hüququ.
Podratçının bütün hadisələrinin və görülən tədbirlərin məcburi reyestr qeydiyyatı.
Subpressorlara öhdəliklərin yayılması.

11) Xüsusi kateqoriyalar və risk qrupları

Uşaqlar, sağlamlıq, maliyyə, biometriya, mühasibat uçotu - demək olar ki, həmişə yüksək risk → subyektlərin prioritet bildirişi.
Kombine sızmalar (PII + kredtlər/tokenlər) → dərhal məcburi rotasiya və token əlilliyi.
Geo-spesifiklik: bəzi dövlətlər/ölkələr böyük miqyasda kredit bürolarına/ombudsmana məlumat verməyi tələb edir.

12) Kommunikasiyaların məzmunu və forması

Aydın dil (B1), texniki jarqon olmadan.
Mümkünsə müraciətlərin personallaşdırılması; əks - ictimai elan və e-mail/push birləşməsi.
Kanallar: e-mail + SMS/push (kritik olduqda) + hesabda banner; kütləvi hallar üçün - ictimai yazı və FAQ.
Fişinq kimi linkləri məktublara daxil etməyin; rəsmi site/app vasitəsilə yol təklif.

13) Qeydlərin sənədləşdirilməsi və saxlanması

Hadisə jurnalı: tarix/vaxt, aşkarlama, təsnifat, notifikasiya qərarı və onun əsaslandırılması, bildiriş mətnləri, poçt siyahıları, göndərmə sübutları, tənzimləyicilərin cavabları, remediation tədbirləri.
Saxlama müddəti - rejimə uyğun olaraq (məsələn, PIPEDA - ən azı 24 ay; digərləri üçün - daxili müddət 3-6 il).

14) Sanksiyalar və məsuliyyət

Tənzimləyicilərin cərimələri (AB-də - sistemli pozuntular və ya şərtlərə məhəl qoymamaqla);

Subyektlərin iddiaları, təhlükəsizlik təcrübələrinin dəyişdirilməsi haqqında göstərişlər;

Hadisədən sonra monitorinq və reportinq öhdəlikləri.

15) Tipik səhvlər

«Mükəmməllik» səbəbindən gecikmə: vaxtında bildiriş əvəzinə tam mənzərəni gözləmək.
Dolayı risklərin qiymətləndirilməməsi (e-mail + tam adının sızmasından sonra fişinq).
Komandalar arasında uyğunluq yoxdur (hüquqşünaslar/PR/təhlükəsizlik/dəstək).
Tənzimləyicilər və «Country Matrix» əlaqələri.
Prosessorların və alt prosessorların müqavilə öhdəliklərinə məhəl qoymamaq.

16) Hazırlıq yoxlama siyahısı (hadisədən əvvəl)

1. 24/7 rolları və kanalları ilə Incident Response Policy təsdiq.
2. Tənzimləyicilərlə əlaqə saxlamaq üçün DPO/məsul və etibarlı şəxs təyin edin.
3. Country Matrix hazırlayın: şərtlər, adreslər, eşiklər, formalar.
4. Hazır məktub şablonları: tənzimləyici, subyektlər, media, sapport üçün FAQ.
5. Emal reyestrini, məlumat xəritəsini və prosessorların/alt prosessorların siyahısını yeniləyin.
6. Hər 6-12 ayda bir table-top təlimləri.
7. DPA daxil edin: «X saat ərzində bildiriş», məcburi ilkin hesabat, log auditi.
8. Sülh və tranzit şifrələməni, açar idarəetməsini, gizli rotasiyanı işə salın.
9. Məlumatlara giriş anomaliyalarının monitorinqini və avtomatik xəbərdarlıqları təşkil edin.
10. PR-playbook və ictimai bəyanat siyasətini hazırlayın.

17) Yurisdiksiyaların mini matrisi

Region/rejimTənzimləyiciTənzimləyiciyə bildirişSubyektlərə bildirişXüsusi qeydlər
EU/EEA (GDPR)Ölkə üzrə DPA72 saatYüksək riskli gecikmədənBütün hadisələrin reyestrini saxla
UK GDPRICO72 saatYüksək riskli gecikmədənPost hətta gec aşkar, izahat ilə
Kanada (PIPEDA)OPCƏn qısa zamanda«Real zərər riski» ilə mümkün qədər tezReyestr ≥ 24 ay.
Sinqapur (PDPA)PDPC≤ 3 gün sonraGecikmədən. risk«significant harm» eşik testləri
Braziliya (LGPD)ANPDAğlabatan müddətRisk altında ağlabatan müddətTez xəbərdarlıq tövsiyə olunur
Avstraliya (NDB)OAICQiymətləndirmədən sonra ≤ 30 günƏn qısa zamanda«Eligible data breach» meyarları
ABŞ (ştatlar)AG/digərFərqlənir (30-60 gün. və ya «gecikmədən»)Bəli, həddindən asılı olaraqKredit bürolarına tez-tez tələblər
BƏƏ/ADGM/DIFCI. orqanlarTez-tez ~ 72 saatYüksək risk altındaYerli qaydaları yoxla
Hindistan (DPDP)DP-orqanMüəyyən edilmiş prosedura əsasənMüəyyən edilmiş prosedura əsasənTənzimləyicinin fərmanlarını izləyin

(Matrix - istinad. Tətbiq etməzdən əvvəl mövcud qaydaları yoxlayın.)

18) Sənəd şablonları (anbarda saxlamaq)

Incident Response Policy + Runbook 72h

Data Breach Notification — Regulator (draft/preliminary/final)

Data Breach Notification — Individuals (e-mail/SMS/баннер/FAQ)

Press Statement & Q&A

Processor Breach Report Form (podratçılar üçün)

Lessons Learned / Post-mortem template

Country Matrix. xlsx (tənzimləyicilərin kontaktları, şərtlər, eşiklər)

19) Nəticə

Sızma zamanı "hüquqi dəhliz 'in uğurla keçməsi sürət + sənədləşdirmə + şəffaf kommunikasiyadır. Prinsip sadədir: sürətli əvvəlcədən bildiriş, istifadəçilərə başa düşülən təlimatlar, tənzimləyicilər və podratçılar ilə aydın koordinasiya, sonra isə istintaq zamanı detalların dəqiqləşdirilməsi. Müntəzəm təlimlər və aktual şablon dəsti ən kritik anda hüquqi və reputasiya risklərini azaldır.

💡 Material icmal xarakterlidir və hüquqi məsləhət deyil. Xüsusi yurisdiksiyada fəaliyyət göstərməzdən əvvəl yerli normaları yoxlayın və xüsusi rəy alın.
Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.