GH GambleHub

DPO rolu

1) Təyinat və hüquqi mandat

Məqsəd: Gizlilik tələblərinə (GDPR/UK GDPR/ePrivacy və yerli qaydalar) uyğunluğu təmin etmək, tənzimləyicilər/məlumat subyektləri üçün müstəqil nəzarət nöqtəsi və əlaqə nöqtəsi kimi çıxış etmək.

DPO tələb olunduqda (standart əsaslar):
  • subyektlərin sistemli və geniş miqyaslı monitorinqi (profilləşdirmə, antifrod, RG-triggers);
  • məlumatların xüsusi kateqoriyalarının geniş miqyaslı emalı (məsələn, KYC-də liveness biometrikası);
  • «ictimai maraqlar üçün emal edən təşkilat» statusu (nadir hallarda iGaming üçün, lakin əlaqəli layihələrdə rast gəlinir).
💡 İsteğe bağlı olsa belə, DPO funksiyası «daxili» nəzarət və vicdan sübutu kimi faydalıdır.

2) Müstəqillik və hesabatlılıq prinsipləri

Müstəqillik: DPO rəylərin məzmunu ilə bağlı göstəriş almır; maraqların toqquşması yolverilməzdir (DPO eyni zamanda toxunulan proseslər üçün Baş of Security, CTO, CMO, Product Owner olmamalıdır).
Tabe olmaq: C-level/İdarə Heyəti ilə birbaşa hesabatlılıq; Bütün məlumatlara/sistemlərə/müqavilələrə giriş.
Resurslar: büdcə, hüquqşünaslar, analitiklər, alətlər (RoPA, DSAR, DLP/log).
Sanksiyalardan qorunma: DPO vəzifələrinin yerinə yetirilməsinə görə cərimələrin/işdən çıxarılmasının qadağan edilməsi.

3) Rolu, məsuliyyət sahəsi və sərhədləri

DPO aşağıdakılara cavabdehdir:
  • Privacy by Design/Default;
  • RoPA-nın aparılması/kurasiyası, DPIA/DTIA-da iştirak;
  • kadr hazırlığı, gizlilik siyasətlərinin inkişafı/cookie/DSAR;
  • saxlama və silmə müddətlərinə nəzarət, hüquqların məşqçiliyi testləri;
  • nəzarət orqanları və məlumat subyektləri ilə qarşılıqlı əlaqə;
  • gizlilik hadisələrinin monitorinqi və bildirişlərin yoxlanılması (o cümlədən 72 saatlıq pəncərələrdə);
  • müstəqil nəticələr və tövsiyələr (advice & challenge).

DPO risklərin əməliyyat sahibliyi üçün məsuliyyət daşımır (bu proses sahibləri zonasıdır: Product, Security, Compliance, Data). DPO - nəzarətin «ikinci dövrəsi».

4) RACI (böyük)

AktivlikDPOLegalComplianceSecurity/SREData/BIProduct/EngMarketingSupport
Gizlilik Siyasəti/CookieA/RCCCCCCI
RoPA (reyestr)A/RCRCRRCI
DPIA/DTIAA/RCCCRRCI
DSARA (nəzarət)CRCRCCR (cəbhə)
Hadisələr/sızmalarA (qiymətləndirmə, bildirişlər)CRRCCCI
TəhsilA/RCCCCCCC
Satıcıların auditi (privacy)A/RCRCCRCI
Şuraya/tənzimləyicilərə hesabatA/RCCCCCCI

5) Metrika və KPI DPO rolu

SLA DSAR: təsdiq ≤ 7 gün, icra ≤ 30 (95% -dən ≥).
DPIA coverage:% DPIA ilə yüksək riskli dəyişikliklər ≥ 95%.
Retention compliance: silinmiş/anonimləşdirilmiş avtomatik öhdəlikləri olan sistemlərin payı ≥ 90%.
Privacy incidents: MTTD/MTTR privacy insidents, 72 saat ərzində bildirişlərin payı - 100%.
Training: Şəxsi təlim keçmiş işçilərin% -i ≥ 98% (hər il).
Vendor privacy score: aktual DPA/SCCs/DTIA ilə satıcıların payı - 100%.

6) DPO-nun nəzarəti altında proseslər (SOP)

6. 1 DSAR (subyektlərin hüquqları)

1. Sorğunun qəbulu (portal/poçt) → 2) Şəxsiyyətin yoxlanılması → 3) Həcmin qiymətləndirilməsi → 4) Sistemlərdən/satıcılardan məlumatların toplanması → 5) Məhdudiyyətlərə hüquqi baxış → 6) Cavab/imtina (əsaslandırma ilə) → 7) Loging və təkmilləşdirmə.
Nəzarət: iki faktorlu yoxlama; qırmızı xətlər - üçüncü tərəflərin PII, antifrod sirləri açmaq deyil.

6. 2 DPIA/DTIA

Dəyişikliklərin skrininqi (CAB-da feature flag) → risk təsnifatı → DPIA (risklər/tədbirlər) → DPO/Legal razılaşdırılması → backlog ölçü fiksasiyası (CAPA) → post-daxil yoxlama.
Transsərhəd DTIA: mexanizm (SCCs/IDTA), texniki tədbirlər (E2EE/müştəri açarları), məlumat coğrafiyası.

6. 3 Hadisələrin/sızmaların idarə edilməsi

Subyektlərə "şəxsi risk 'in qiymətləndirilməsi; tənzimləyiciyə/istifadəçilərə bildirişlər hazırlamaq; mətnlərin uyğunlaşdırılması; time line jurnalı; gizlilik post-mortem.

6. 4 RoPA və məlumat kartı

Canlı axınlar reyestri: məqsədlər, əsaslar, alıcılar, şərtlər, TOMs, avtomatlaşdırılmış həllər/profilləşdirmə.
Memarlıq/ETL ilə rüblük review və paket.

6. 5 Cookies/SMR və Marketinq

Qranulyar razılıqlar (TCF/ekvivalentlər), versiya loqasiyası; üstünlük mərkəzləri; bölünmə əməliyyat vs marketinq kommunikasiya; affiliates nəzarət/SDK.

7) Tənzimləyicilərlə və subyektlərlə qarşılıqlı əlaqə

Vahid əlaqə nöqtəsi: ictimai email DPO və poçt ünvanı.
Komm prinsipləri: faktlar, tədbirlər, şərtlər; hipotezlər və marketinq formulaları qarşısını almaq.
Tənzimləyici əlaqə dosyesi: sorğuların, cavabların, vaxtların, tətbiqlərin uçotu.

8) Maraq toqquşmaları və icazə verilən birləşmə

Məqsədləri/emal vasitələrini (CTO/Head of Security/Head of Marketing/Product Owner) müəyyən edən rollarla birləşdirmək qadağandır.
Müstəqillik və «veto» hüququ qorunursa və rəsmiləşdirilirsə, komplayens müşaviri ilə birləşməyə icazə verilir.

9) Satıcılar və transsərhəd ötürmələr (DPO nəzarəti altında)

Sondan əvvəl: due diligence (ISO/SOC2, hadisələr, coğrafiya, subprosessorlar, TOMs), DPA, transsərhəd mexanizmi (SCCs/IDTA), DTIA.
Istismarda: subprosessor reyestri, dəyişiklik bildirişləri, hadisə testi, dövri sorğu vərəqələri və PII giriş loqlarının seçici auditləri.
Offboarding: giriş geri çağırılması, məlumatların silinməsi/geri qaytarılması, bağlanma aktı.

10) Privacy by Design/Default - Gömülü

CAB-da çek siyahısı: məqsəd/əsas, minimallaşdırma, təxəllüs, saxlama müddəti, cookie/SDK, DPIA-skrininq, razılıq/etiraz mexanizmi, «canlı» PII olmadan test mühiti.
«Default məlumat qapalıdır» siyasəti; ən kiçik hüquqlar prinsipi; sistem rolları və gizli menecment.

11) Şablonlar və artefaktlar

İctimai Gizlilik Siyasəti (versiya, DPO kontaktları).
Cookies və CMP banner siyasəti (kateqoriyalar, təchizatçı reyestri, razılıq jurnalı).
DSAR proseduru (formalar, SLA, yoxlama, FAQ).
DPIA/DTIA şablon (risk matrisi, tədbirlər, qalıq risk, go/no-go həlli).
RoPA reyestri (tablo şablonu).
Gizlilik hadisələrinə cavab planı (72 saat, ünvanlar, bildiriş şablonları).
DPA/SCCs/IDTA (tətbiq şablonları, alt prosessorların siyahısı).

12) Təlim və gizlilik mədəniyyəti

Hər kəs üçün + illik yeniləmə; Support/Marketing/Engineering üçün xüsusi kurslar.
DSAR və «tabletop» sızma təlimləri; mənimsəmə nəzarəti (kvizalar, metriklər).
Reliz sprintlərində «privacy moments» kommunikasiyaları.

13) DPO funksiyasının tətbiqinin yol xəritəsi

1-2 həftələr: müstəqillik təyinatı/auditi, məlumat xəritəsi və RoPA, satıcıların reyestri, siyasətlərin inventarlaşdırılması.
Həftələr 3-4: CMP və üstünlük mərkəzinin işə salınması, Siyasət yenilənməsi, DSAR/DPIA/hadisə şablonları, təlim.
Ay 2: satıcıların auditi (DPA/SCCs/DTIA), pilot DPIA, retenshn-jobs avtomatlaşdırılması, DSAR testi.
Ay 3 +: Şuraya rüblük hesabatlar, sızma təlimləri, hədlərin təftişi, təkmilləşdirmə planı.

14) DPO-nun Şuraya hesabatı (rüblük - minimum tərkib)

KPI/insidentlər/DSAR; DPIA/DTIA statusu; kritik risklər və tövsiyələr; CAPA tərəqqi; satıcılar və transsərhəd; yetkinliyi artırmaq üçün roadmap.

15) DPO funksiyası yetkinlik çek siyahısı

  • Müstəqillik rəsmiləşdirilmişdir (mandat, tabeçilik axını, münaqişənin olmaması).
  • DPO əlaqə dərc; tənzimləyici qarşılıqlı əlaqələrin reyestri var.
  • RoPA aktualdır, məlumat axını xəritəsi dəstəklənir.
  • DPIA/DTIA CAB inteqrasiya; həllər jurnalı aparılır.
  • SLA və log ilə DSAR prosesi; test sorğuları keçirilmişdir.
  • Privacy/cookies/retenshn siyasəti aktualdır və lokallaşdırılmışdır.
  • Subprosessor reyestri açıq/mövcuddur; DPA/SCCs/IDTA aktualdır.
  • Personal təlim ≥ 98% əhatə; tabletop-təlimlər keçdi.
  • Metrik/KPI izlənilir; rüblük hesabat Şuraya həyata keçirilir.

16) JD nümunəsi (Job Description) - sıxma

Vəzifələr: gizlilik, DPIA/DTIA, DSAR, insidentlər, təlim, tənzimləyici əlaqə, hesabat, satıcı audit.
Tələblər: 5 + il privacy/complayance təcrübəsi, GDPR/UK GDPR/ePrivacy biliyi, nəzarət təcrübəsi, texniki. savadlılıq (buludlar, şifrələmə, loging).
Soft-skills: «veto hüququ» ilə müstəqillik, rabitə, maraqlar qarşıdurmalarının fasilitasiyası.

TL; DR

DPO - müstəqil «ikinci konturlu» gizlilik: məsləhət verir, nəzarət edir, RoPA/DPIA/DSAR-ı idarə edir, tənzimləyicilərlə bildirişlər və qarşılıqlı əlaqəyə cavabdehdir, Şuraya təlim və hesabat verir. Güclü DPO = məhsulda daxili məxfilik, idarə edilə bilən risklər və bütün yurisdiksiyalarda sübut edilə bilən vicdan.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.