GH GambleHub

GDPR və fərdi məlumatların emalı

1) GDPR və subyekt kim tənzimləyir

GDPR fərdi məlumatların (PD) emalı zamanı AB/EEA-da fiziki şəxslərin hüquqlarını qoruyur. Aşağıdakı hallarda tətbiq olunur:
  • AB/EEA-da quraşdırılmış və ya AB-də istifadəçiləri hədəf alırsınız (mallar/xidmətlər, davranış monitorinqi);
  • siz nəzarətçi (hədəf/emal vasitələri müəyyən) və ya prosessor (nəzarətçi adından PD emal).
Əsas rollar:
  • Nəzarətçi: hədəflərin/vasitələrin sahibi, qanuniliyə və şəffaflığa cavabdehdir.
  • Prosessor: DPA yekunlaşdırır, nəzarətçinin sənədləşdirilmiş təlimatlarına uyğun hərəkət edir.
  • DPO (məlumatların qorunması üzrə zabit): müstəqil nəzarət, DPIA/DSR, məsləhətləşmələr, nəzarət ilə əlaqə.

2) Emal prinsipləri (5-ci maddə)

1. Qanunilik, ədalət, şəffaflıq.
2. Hədəfin məhdudlaşdırılması. Aydın təsvir, uyğun məqsədlər.
3. Məlumatların minimuma endirilməsi. Yalnız zəruri.
4. Dəqiqlik. Aktuallaşdırma və düzəltmə.
5. Saxlama məhdudiyyəti. Retenshn və silinməsi/anonimləşdirilməsi.
6. Bütövlük və məxfilik. Təhlükəsizlik default.
7. Məsuliyyət. Uyğunluğun sübuta yetirilməsi (policies, log, DPIA).

3) Qanuni əsaslar (Maddə 6) - iGaming/Fintech üçün matris

MəqsədMəlumat nümunələriƏsas
Hesabın yaradılması, əməliyyatlar, ödənişlərİdentifikasiya, ödənişContract
KYC/AML/vergilər, yaş yoxlamalarıSənədlər, biometriya (lazım olan yerlərdə), əməliyyatlar logLegal obligation
Antifrod, təhlükəsizlik, xidmət keyfiyyətiCihaz/IP, davranış siqnallarıLegitimate interest (LIA)
Marketinq (email/SMS/push), isteğe bağlı analitikaƏlaqə, cookie/IDConsent
RG (məsuliyyətli oyun) - məcburi hüquqi tələblərDavranış/LimitlərLegal obligation/LIA (yurisdiksiya üzrə)
💡 LIA üçün maraqlar balansını aparın; consent üçün - sərbəst, məlumatlı, birmənalı razılıq və yüngül opt-out təmin edin.

4) Xüsusi kateqoriyalar və biometriya (9-cu maddə)

Xüsusi kateqoriyaların (sağlamlıq, əqidə və s.) müalicəsi, ayrı bir səbəb olmadıqda qadağandır.
Unikal identifikasiya üçün biometrik (liveness/face-match üçün face-template kimi) birbaşa razılıq və ya digər dar hüquqi baza tələb edir (ölkədən asılıdır). Mümkün olan «xam» şəkilləri deyil, şablonları saxlayın.

5) Profil və avtomatlaşdırılmış həllər (maddə 22)

iGaming/fintech frod, məsuliyyətli oyun (RG), risk limitləri üçün profilləşdirmə istifadə edir. Tələblər:
  • məntiqin (ağlabatan həddə), əhəmiyyətin və nəticələrin şəffaf açıqlanması;
  • İnsan müdaxiləsi və qərarın mübahisəsi hüququ;
  • DPIA hüquq/azadlıqların yüksək risk ehtimalı ilə (geniş profil).
  • Tövsiyələr: reason codes saxlayın, modelləri/qaydaları verin, bias audit aparın.

6) DPIA/DTIA: məcburi olduqda

Risk yüksək olduqda DPIA aparın: geniş profil, biometrik, «sistemli müşahidə», yeni məlumat mənbələri.
DPIA şablon: emalın məqsədi və təsviri → hüquqi əsaslar → subyektlərin riskləri → yumşaltma tədbirləri → qalıq risk → plan.
DTIA (transsərhəd ötürmənin qiymətləndirilməsi): alıcı ölkənin hüquqi mühiti + müqavilə/həmin tədbirlər (SCC/ekvivalent, şifrələmə, açar ayrılması).

7) Transsərhəd ötürmələr (g.V)

Mexanizmlər: SCC, BCR, adekvatlıq həlləri, yerli analoqlar.
Texniki tədbirlər: end-to-end şifrələmə, açarların ayrılması, sahələrin minimuma endirilməsi, ötürülmədən əvvəl təxəllüs.
Veriliş reyestrini və DTIA nəticələrini sənədləşdirin; riskləri mütəmadi olaraq nəzərdən keçirin.

8) Subyektlərin hüquqları (DSR)

Giriş hüququ, düzəliş, silmə, məhdudlaşdırma, dözümlülük, etiraz, marketinqdən imtina.
Vaxtlar: adətən 30 günə qədər (çətinliklə daha 60 gün uzadıla bilər, bildirişlə).
Ərizəçinin şəxsiyyətini yoxlayın (lazımsız açıqlamadan).
İstisnalar: AML/vergi öhdəliyi və s. üçün saxlama.

9) Cookie/SDK və marketinq

Çerezləri kateqoriyalara bölün: məcburi/funksional/analitik/marketinq.
AB/EEZ-də analitik/marketinq üçün - opt-in (real seçim), razılıq jurnalı, ətraflı təsvirlər.
Do Not Track/Opt-out; server analitikasından və məlumatların minimuma endirilməsindən istifadə edin.
E-mail/SMS marketinq - ayrıca razılıq; razılıq pruf və time stamps saxlayın.

10) Təhlükəsizlik və «privacy by design/default»

Transit və at rest şifrələmə, ödəniş rekvizitlərinin tokenlaşdırılması, məlumat zonalarının təcrid edilməsi (PII, analitika).
Access Control RBAC/ABAC, MFA, JIT Access, Fəaliyyət jurnalı, WORM arxivi.
DLP-boşaltma və mübadilə nəzarəti; dev/stage-də prod məlumatların icazəsiz surətlərinin qadağan edilməsi.
Sahələri minimuma endirin, identifikasiyaya ehtiyac olmayan yerlərdə anonimləşdirin.

11) Əməliyyatların reyestri (RoPA) və retenşn

RoPA-nı həyata keçirin: məqsəd, əsaslar, verilənlərin və subyektlərin kateqoriyaları, alıcılar, saxlama müddəti, təhlükəsizlik tədbirləri, xaricə köçürmələr.
Retenshn matrisi: PD-nin hər bir kateqoriyası üçün - müddət (məsələn, AML/KYC ≥ əlaqələr bitdikdən sonra 5 il), silinmə/anonimləşdirmə üsulu, məsuliyyətli sahibi.

12) Sızma və bildirişlər (maddə 33/34)

Hüquq və azadlıqlar üçün riski qiymətləndirin: zərər ehtimalı olduqda 72 saat ərzində nəzarət orqanına, yüksək risk olduqda isə əsassız gecikmədən subyektlərə məlumat verin.
Cavab planı: izolyasiya, forensika, düzəliş, rabitə, post-dəniz; artefaktları və həlləri saxlayın.

13) Prosessorlar, DPA və satıcıların idarə edilməsi

Hər bir prosessor ilə DPA bağlayın: mövzu, PD kateqoriyaları, alt prosessorlar, təhlükəsizlik, DSR/insidentlər, audit, məlumatların silinməsi/qaytarılması.
Due diligence: location, sertifikatlaşdırma (ISO/SOC), insidentlər, təhlükəsizlik tədbirləri, alt prosessorlar.
Hər il və dəyişikliklər zamanı yenidən qiymətləndirmə (sanksiyalar, M&A, coğrafiya).

14) Matris «Məqsədlər → Əsaslar → Saxlama şərtləri»

MəqsədƏsasMüddət nümunəsi
Hesab/əməliyyatlarContractMüqavilə qüvvədə olarkən + N ay.
AML/KYCLegal obligation≥ bitdikdən sonra 5 il
Antifrod/TəhlükəsizlikLIARolling pəncərə 12-24 ay (təxəllüs)
MarketinqConsentRazılıq qüvvədə olarkən və ya geri çağırılmadan əvvəl
RG/komplayensLegal obligation/LIAYerli hüquq və siyasət

15) Sizin wiki üçün sənədləşdirmə (skelet)

1. Gizlilik siyasəti (qat): qısa versiyası + tam.
2. Cookie/konsensus idarəetmə siyasəti.
3. Müalicə reyestri (RoPA).
4. DPIA/DTIA şablon + trigger meyarları.
5. DSR siyasəti (SLA/prosedurlar/şablonlar).
6. Retenshn və silinmə siyasəti + job-paypline.
7. Hadisə və Bildiriş Siyasəti (RACI, Formalar).
8. DPA şablon və çek siyahısı due diligence satıcıları.
9. Profil qaydaları və avtomatlaşdırılmış həllər (explainability, apellyasiya).

16) Metrika və nəzarət

DSR SLA: Sorğuların payı 30 gün ≤ bağlanır.
Consent Coverage: valid opt-in/opt-out ilə hadisələrin payı.
Data Minimization Index: Fich başına orta PD.
Access Violations/Exports: giriş və boşaltma hadisələri, trend.
Encryption Coverage: şifrələmədə% cədvəllər/backets/backaps.
Incident MTTR/MTTD və təkrarlanabilirlik.
Vendor Compliance Rate və audit nəticələri.
RoPA Completeness и Retention Adherence.

17) Çek vərəqləri

Başlamazdan əvvəl (Privacy by Design):
  • DPIA/qanuniliyin əsasları DPO tərəfindən təsdiqlənir.
  • Məqsədlər/əsaslar/retrenshn RoPA daxil edilmişdir.
  • Sahələrin minimuma endirilməsi/təxəllüs/məlumat zonalarının təcrid edilməsi.
  • Konsens banner və cookie kateqoriyaları konfiqurasiya edilmişdir.
  • DPA/satıcılar razılaşdırılmış, alt prosessorlar sadalanır.
  • Qeydlər, risklər, audit, silmə/anonimləşdirmə - daxildir.
Əməliyyat (rüblük):
  • Giriş review (RBAC/ABAC), lazımsız geri çağırış.
  • Backup Recovery Test.
  • DTIA/SCC və alt prosessor siyahısına yenidən baxın.
  • Retrenshna auditi (vaxtında silindi) və DSR reyestri.
  • IR planı təlim və playbook yeniləmə.
DSR prosesi:
  • Ərizəçinin yoxlanılması.
  • RoPA sistemlərindən məlumatların toplanması.
  • istisnaların əsasları ilə vaxtında cavab.
  • Qeydlərin yenilənməsi və tərəflərin xəbərdarlığı (daşıma qabiliyyəti olduqda).

18) Tətbiqi yol xəritəsi

1. PD sistemlərinin və axınlarının inventarlaşdırılması; RoPA formalaşması.
2. DPO-nun təyinatı, siyasətçilərin təsdiqi və RACI.
3. DPIA/DTIA konturunun və konsensus menecmentinin işə salınması.
4. Məlumat bölgüsü, şifrələmə, DLP, log və WORM arxivi.
5. Retenshn-paypline və silinməsi/anonimləşdirilməsi.
6. Satıcı-review, DPA, alt prosessor reyestri.
7. Profil: reason codes, apellyasiya, explainability.
8. Müntəzəm metriklər, Board hesabatı, xarici/daxili audit sessiyaları.

Yekun

GDPR uyğunluğu yalnız saytdakı siyasət deyil, PD həyat dövrünün idarə edilməsi sistemidir: düzgün əsaslar, minimallaşdırma və standart təhlükəsizlik, DPIA/DTIA, subyektlərin hüquqlarına hörmət, nəzarətdə olan satıcılar və ölçülə bilən metriklər. Memarlıq və proseslərə məxfiliyi inteqrasiya edərək, siz lisenziyaları, tərəfdaşlıqları və oyunçuların etibarını saxlayacaqsınız - məhsulun sürətinə və dönüşümünə zərər vermədən.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.