GH GambleHub

Gizlilik Siyasəti və GDPR

1) Təyinatı və əhatə dairəsi

Məqsəd: Operatorun iştirakı ilə bütün yurisdiksiyalarda oyunçuların, tərəfdaşların və əməkdaşların şəxsi məlumatlarının (PII) qanuni, şəffaf və təhlükəsiz emalını təmin etmək.
əhatə: web/mobil proqramlar, CRM/BI/DWH, anti-frod/AML/KYC, PSP/KUS/sanksiyalar provayderləri, sapport, marketinq, affiliates, canlı studiyalar, hosting və log.

2) Rollar və məsuliyyət (RACI)

Data Protection Officer (DPO) - A: uyğunluq nəzarəti, RoPA, DPIA/DTIA, tənzimləyicilərə cavablar.
Head of Compliance - A: siyasət, risk-iştah, eskalasiya və hesabat.
Legal - C: hüquqi əsaslar, DPA/SCC müqavilələri, banner və bildiriş mətnləri.
Security/SRE - R: Texniki və təşkilati tədbirlər (TOMs), giriş jurnalı, hadisələr.
Data/BI - R: məlumat kataloqu, minimallaşdırma, maskalanma/təxəllüs.
Marketing/CRM - R: razılıq, üstünlüklər, abunələr, çerezlər.
Product/Engineering - R: Privacy by Design/Default, saxlama və silmə.
Support/VIP - R: subyektlərin sorğuları (DSAR), şəxsiyyətin yoxlanılması.

3) Hüquqi emal əsasları (Lawful Bases)

Consent (Razılıq) - marketinq, analitik/reklam çerezləri, məcburi olmayan personallaşdırma.
Contract (Müqavilə) - qeydiyyat, dərəcələrin/nəticələrin işlənməsi, sapport.
Legal Obligation - KYC/AML/sanksiyalar, mühasibat və hesabat.
Legitimate Interests - antifrod, təhlükəsizlik, məhsulun yaxşılaşdırılması (maraqların balanslaşdırılması testi ilə - LIA).
Vital/Public Interest - nadir RG/təhlükəsizlik halları, əgər tətbiq və qanunla icazə verilirsə.

4) Məlumat subyektlərinin hüquqları (DSR/DSAR)

Giriş (Art. 15), Düzəliş (Art. 16), Çıxarılması (Art. 17), Məhdudiyyət (Art. 18), Dözümlülük (Art. 20), Etiraz (Art. 21), yalnız avtomatlaşdırılmış həllin obyekti olmamaq (Art. 22).
SLA DSAR emalı: təsdiq ≤ 7 gün, icra ≤ 30 gün (subyekt bildiriş çətinliyi ilə daha 60 üçün uzadılması).
Verifikasiya: çox faktorlu; həssas məlumatların açıq kanallarda açıqlanmasının qadağan edilməsi.
Qeydlər: sorğu, şəxsiyyət yoxlaması, verilmiş məlumat paketi və cavab müddəti saxlayın.

5) Emal əməliyyatlarının reyestri (RoPA)

Minimum sahələr: məqsəd, subyektlərin/məlumatların kateqoriyaları, hüquqi əsas, saxlama müddəti, alıcılar/üçüncü ölkələr, təhlükəsizlik tədbirləri, məlumat mənbəyi, avtomatlaşdırılmış həllər/profil, DPIA/DTIA, varsa.

6) DPIA/DTIA: nə vaxt və necə

DPIA - yüksək risk altında: geniş miqyaslı profilləşdirmə, yeni antifrod modelləri, geodentlərin emalı, RG tetikləyiciləri, sistemli müşahidə.
DTIA/TIA - AEA/Böyük Britaniya xaricində transsərhəd ötürmələrdə: dövlət orqanlarının yerli çıxışının qiymətləndirilməsi, müqavilə/texniki tədbirlər.
Proses: skrininq → risklərin qiymətləndirilməsi → DPO/Legal razılaşdırılması → nəzarətin tətbiqi → fərziyyə jurnalı.

7) cookies, piksel, SDK və razılıq banner

Kateqoriyalar: ciddi zəruri, funksional, analitik, marketinq.

Tələblər:
  • Razılaşmadan əvvəl - yalnız ciddi tələb olunur.
  • Qranulyar razılıq və ayrıca imtina; versiyalar və vaxt möhürləri jurnalı.
  • IAB TCF ilə CMP (mümkünsə); məqsədləri/təchizatçıları dəyişdirdikdə banner avtomatik yeniləmə.
  • Hər zaman asan abunə/seçim dəyişikliyi.

8) Emalçılar və alt prosessorlar

Hər bir provayderlə DPA: mövzu, məqsədlər, məlumat kateqoriyaları, müddətlər, TOMs, alt prosessorlar, auditlər.
Subprosessorların ictimai reyestri (versiyası); dəyişiklik bildirişi və etiraz hüququ.
Yoxlamalar: due diligence (ISO/SOC2), test hadisələri, pentest hesabatları, offbordinq planı.

9) Transsərhəd ötürmələr

SCCs/IDTA + DTIA; lazım gələrsə - əlavə tədbirlər: E2EE, müştəri şifrələməsi, kvazianonimizasiya, AB-də açarlar.
Biz hüquqi mexanizmi, ölkə və alıcıları Siyasət/reyestrdə qeyd edirik.

10) Saxlama və çıxarılması (Retention & Deletion)

Vaxt matrisi (nümunə):
KateqoriyaSon tarixƏsas
Oyunçu hesabıBağlandıqdan sonra 5 ilə qədərBir sıra yurisdiksiyalarda AML/mühasibat uçotu
KYC/AML sənədləri5-10 ilLegal Obligation
PII giriş qeydləri1-3 ilLegitimate Interests/Təhlükəsizlik
Marketinq hadisələri24 ayConsent/LI
Sapport qeydləri24-36 ayContract/LI

Silinmə siyasəti: DWH/anbarlarda avtomatik tapşırıqlar (job); sikl üzrə ehtiyat nüsxələrin silinməsi; jurnallarda fiksasiya. Analitika üçün ID təxəllüsü.

11) Təhlükəsizlik (TOM)

Texniki: At Rest/Transit şifrələmə, şəbəkə seqmentasiyası, hüquqların minimallaşdırılması, KMS/açar rotasiyası, DLP, EDR/IDS/WAF, SSO/MFA, gizli menecer, WORM jurnallaşdırma.
Təşkilati: giriş siyasəti, təlim, NDA, clean desk, satıcıların yoxlanılması, hadisələrin idarə edilməsi (SANS/NIST).
Privacy by Design/Default: change proseslərində qiymətləndirmə, minimum default məlumat dəsti, PII olmayan test məlumatları.

12) Sızma və hadisə xəbərdarlıqları

Qiymətləndirmə: faktın, həcmin və riskin təsdiqi.
Şərtlər (göstərişlər): məlumatlara görə nəzarət orqanına - hüquq/azadlıqlar riski ilə 72 saata qədər; istifadəçilər - əsassız gecikmə olmadan.
Bildirişin məzmunu: hadisənin təsviri, kateqoriyalar və təxmini qeydlərin sayı, DPO əlaqə, nəticələr, görülən tədbirlər, subyektlərə tövsiyələr.
Log: time line, həllər, məktub/cavab şablonları, CAPA.

13) Marketinq və kommunikasiya

Əməliyyat mesajlarının (razılığı olmadan) və marketinqin (yalnız razılığı ilə) bölünməsi.
Üstünlüklərin idarə edilməsi: parametrlər mərkəzi, mövzular/kanallar üzrə abunələr, double-opt-in (lazım olduqda).
Affiliates və trekinq: PII-nin toplanması/ötürülməsi üçün müqavilə məhdudiyyətləri, heç bir əsas və razılıq olmadan identifikatorların ötürülməsinin qadağan edilməsi.

14) İctimai Məxfilik Siyasəti - struktur

1. Biz kimik və DPO əlaqə.
2. Hansı məlumatları toplayırıq (kateqoriyalar və mənbələr üzrə).
3. Məqsədlər/hüquqi əsaslar (cədvəl «məqsəd → məlumat → əsas → müddət»).
4. Cookies/SDK və razılıq idarəetmə.
5. Alıcılar və transsərhəd ötürmələr (mexanizmlər və tədbirlər).
6. Subyektlərin hüquqları və onların necə həyata keçirilməsi.
7. Məlumatların təhlükəsizliyi (yüksək səviyyəli TOMs).
8. Saxlama vaxtı və meyarları.
9. Avtomatlaşdırılmış həllər/profilləşdirmə və ümumi məntiq.
10. Siyasət dəyişikliyi (versiyası) və necə xəbərdar edirik.
11. Şikayətlər üçün əlaqə (tələb olunarsa, yurisdiksiyalar üzrə DPA).

💡 Dil - sadə və anlaşılır; jarqon və lazımsız texniki detallardan qaçınmaq.

15) Formulların nümunələri və nümunələri

15. 1 Məqsədlər/əsaslar cədvəli (fraqment):

MəqsədMəlumatlarƏsasSon tarix
Qeydiyyat və hesabIdentifikasiya, əlaqəMüqaviləhesab ömrü + X
KYC/AMLSənədlər, fotolar, liveness, sanks-hitlərLegal Obligation5-10 il
Antifrod/TəhlükəsizlikDevice-ID, IP, davranışLegitimate Interests24 ay
MarketinqEmail/Push/cookie-IDConsentgeri çağırılmadan əvvəl

15. 2 cookies banner (minimum):

"Biz çerezlərdən istifadə edirik. «Hər şeyi qəbul et» düyməsini basaraq analitik və marketinq çerezlərinin saxlanmasına razılıq verirsiniz. Kateqoriya seçiminizi dəyişdirə bilərsiniz. "İsteğe bağlı rədd etmək" - yalnız ciddi zəruri cookie"

15. 3 Profil bölməsi (nümunə):

"Biz fırıldaqçılığın qarşısını almaq və məsuliyyətli oyun (RG) üçün profilləşdirmədən istifadə edirik. Bu təhlükəsizlik üçün zəruridir və bizim qanuni maraqlarımıza uyğundur. Qanunla başqa bir şey göstərilmədikdə (məsələn, AML) etiraz edə bilərsiniz"

16) Proses SOP

SOP-1: Yeniləmə Siyasəti

Triggers: yeni hədəflər/satıcılar/SDK/yurisdiksiyalar.
Addımlar: inventar → LIA/DPIA → mətn update → lokalizasiya → CMP-update → istifadəçilər üçün rabitə → versiya/giriş tarixi.

SOP-2: DSAR

Sorğu kanalı → şəxsiyyətin yoxlanılması → məlumatların həcminin qiymətləndirilməsi → paketin toplanması (sistemlərdən ixrac) → hüquqi audit → əsaslandırılmış ekstradisiya/imtinası → jurnal.

SOP-3: Yeni alt prosessor

Due diligence → DPA/SCCs → DTIA → hadisə test → ictimai reyestr daxil → istifadəçi bildiriş (lazım olduqda).

17) Təlim və audit

Onbording + hər kəs üçün illik gizlilik təlimi; Support/Marketing/Engineering üçün əlavə təlimlər.
Ildə bir dəfə daxili audit: RoPA, saxlama müddətinə uyğunluq, DSAR seçici yoxlama, SMR/cookie review, test ərizələri, pentest/giriş log forensikası.
KPI: təlim keçmiş işçilərin% -i; SLA DSAR; psevdonimizasiya daxil olan sistemlərin payı; CAPA tərəfindən.

18) Lokalizasiya və multiyurisdiksiya

GDPR/UK GDPR əsas standart kimi; ePrivacy/PECR rabitə və cookies üçün nəzərə.
Yerli nüanslar (nümunə): uşağın məlumatlarının işlənməsinə razılıq yaşı, KYC saxlama müddəti, bildiriş formaları, sənəd dili tələbləri.
Ölkələr üzrə uyğunsuzluq matrisini və tətbiq olunan normalara/lisenziyalara istinadları saxlayın.

19) Tətbiqi yol xəritəsi (nümunə)

Həftələr 1-2: verilənlərin/sistemlərin inventarlaşdırılması, RoPA, axın xəritəsi, Siyasət layihəsi.
Həftələr 3-4: SMR/banner, subprosessor reyestri, DPA/SCCs, yüksək riskli proseslər üçün DPIA.
Ay 2: üstünlük mərkəzinin işə salınması, silmə/anonimləşdirmənin avtomatlaşdırılması, işçilərin hazırlanması.
Ay 3 +: dövri auditlər, DSAR testləri, lokalizasiya və reyestr yeniləmələri.

20) Qısa hazırlıq yoxlama siyahısı

  • DPO təyin, əlaqə dərc
  • Aktual RoPA və məlumat axını xəritəsi
  • Siyasət dərc, lokallaşdırılmış, versiyası ilə
  • Sübut edilə bilən razılıq/uğursuzluq loqları ilə CMP
  • DPA/SCCs və ictimai alt prosessor reyestri
  • DPIA/DTIA riskli proseslər üçün tamamlandı
  • Retention-jobs və silmə/anonimləşdirmə prosedurları
  • DSAR və hadisələr SOP, sahibləri təlim
  • Metrika/KPI və illik məxfilik auditi

TL; DR

Güclü Siyasət = aydın məqsədlər və əsaslar + inventar və RoPA + razılıq/nəzarət cookies + təhlükəsiz transsərhəd ötürmələr + subprosessor reyestr + dəqiq saxlama və aradan qaldırılması vaxt + təlim DSAR/hadisələr. Bu, hüquqi və reputasiya risklərini azaldır və oyunçuların etibarını gücləndirir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.