GH GambleHub

GDPR çərçivəsində rollar

1) Əsas təriflər və prinsiplər

Controller (Controller): Fərdi məlumatların (PD) emalının məqsədlərini və üsullarını müstəqil şəkildə müəyyənləşdirir. Qanuniliyə, şəffaflığa, subyektlərin hüquqlarına, security-TOM-lara, prosessorların seçilməsinə və nəzarətinə əsas məsuliyyət daşıyır.
Prosessor (CPU): PD-ni yalnız nəzarətçinin sənədli göstərişləri ilə emal edir, TOM-ları təmin edir, subyektlərin hüquqları və hadisələri ilə kömək edir, qeydlər aparır və auditlərə icazə verir.
Joint Controllers (Common Controllers): iki + şəxslər məqsədləri və yolları birlikdə müəyyən; subyektlər üçün şəffaf vəzifə bölgüsü və əlaqə nöqtəsi tələb olunur.
Sub-Processor (Subprosessor): prosessor tərəfindən cəlb olunan təchizatçı; yalnız nəzarətçinin əvvəlcədən yazılı icazəsi və ekvivalent öhdəlikləri ilə icazə verilir.

Qızıl qayda: kim nə üçün və necə emal etmək qərarına gəlir - bu nəzarətçi; yalnız «təlimata uyğun yerinə yetirən» - prosessor.

2) Praktikada rolu necə müəyyən etmək olar (ağac həllər)

1. Kim emal biznes məqsədlərini təyin edir?

→ Siz? Daha çox nəzarətçi.

2. Siz öz məqsədləriniz üçün məlumatları təkrar istifadə edə bilərsinizmi (analitika, marketinq)?

→ Bəli → nəzarətçi (və ya məqsədlər ortaq olduqda birgə nəzarət).

3. Sizə qarşı tərəf tərəfindən dəqiq vasitələr/məhdudiyyətlər göstərilir və məqsədləriniz törədilir?

→ Bəli → prosessor.

4. Hər iki tərəfin məqsədlərini müəyyən edən ümumi məhsul/birgə platforma varmı?

→ Bəli → joint controllers (art lazımdır. 26 arrangement).

5. Sizin tapşırığınıza görə bulud/satıcı cəlb edirsiniz?

→ Vendor - subprosessor; siz - nəzarətçi; əsas prosessor onun üçün icazə almaq lazımdır.

3) iGaming ekosistemində rollar - nümunələr matrisi

Qarşılıqlı əlaqəTipik rollarŞərh
iGaming OyunçuData SubyektiOperator hədəfləri müəyyənləşdirir (hesab, dərəcələr, RG, AML)
KUS/sanksiya operatoruProsessor nəzarətçisiDPA + təlimatları yazın, məlumatların yenidən istifadəsini qadağan edin
PSP/Bank operatoruDaha çox Ayrı-ayrı nəzarətçilərPSP öz tənzimləyici məqsədləri və saxlama var
Antifrod platforma operatoruAdətən prosessorXidmət öz məqsədləri üçün yığılmış insaytları «bölüşürsə» - birgə nəzarətçi və ya ayrıca nəzarətçi mümkündür
Operator Hosting/bulud/CDNProsessor/SubprosessorGüclü təhlükəsizlik və giriş qeydləri; ərazi
Analitik/Marketinq-SDK operatoruMix: Prosessor və ya Ayrıca ControllerProvayderin PD-ni öz məqsədləri üçün istifadə edə bilməsindən asılıdır
Affiliate operatoruTez-tez Ayrı-ayrı nəzarətçilərLidlər/kliklər affiliatın məqsədləri üzrə işlənir; PD transferi zamanı - DPA/müqavilə + minimallaşdırma
Prosessor SubprosessorProsessor SubprosessorBərabər səviyyəli öhdəliklər və nəzarətçi icazəsi lazımdır
Tərəfdaşla birgə promo kampaniyasıJoint Controllersart lazımdır. Vəzifə bölgüsü ilə 26 agreement

4) Rollar üzrə vəzifələr (yüksək səviyyəli RACI)

AktivlikNəzarətçiProsessorBirgə nəzarətçilər
Hüquqi əsaslar (lawful bases), bildirişA/RCA/R (совм.)
DSAR emalı (giriş, silmə və s.)A/RR (kömək)A/R (paylanmasına görə)
DPIA/DTIAA/RC/R (kömək)A/R (совм.)
Hadisələr/sızmalar (DPA/istifadəçi bildirişləri)A/RR (nəzarət bildirin, yardım)A/R (совм.)
Prosessorların/alt prosessorların seçilməsi və auditiA/RR (reyestr, bildiriş)A/R (hər biri öz zonasında)
Transsərhəd ötürmələr (SCCs/IDTA)A/RR (icra)A/R (совм.)
Retenshn/silməA/RR (göstərişlərin icrası)A/R (совм.)

5) Sənədlər və sazişlər

DPA (Data Processing Agreement): sxem üçün məcburi nəzarətçi → prosessor.
Minimum: mövzu/PD kateqoriyalar, məqsədlər/təlimatlar, TOMs, məxfilik, DSAR/DPIA ilə kömək, hadisə bildirişləri, məlumatların silinməsi/qaytarılması, audit, alt prosessorlar (siyahı/razılıq mexanizmi).
Art. 26 Arrangement (Joint Controllers): şəffaf vəzifə bölgüsü (məlumatlandırma, DSAR, əlaqə nöqtəsi), ictimai siyasətdə rolların mahiyyəti.
SCCs/UK IDTA + DTIA: adekvatlıq olmadıqda AEA/UK xaricində ötürmələr üçün məcburidir.
RoPA: nəzarət və prosessor (öz dəsti) emal əməliyyatlarının reyestri.
Marketinq şərtləri/SDK: təkrar istifadənin qadağan edilməsi, aydın rollar və məqsədlər.

6) Kritik zonalar və tipik səhvlər

1. Rolların qarışması: «prosessor» öz məqsədləri üçün məlumatlardan istifadə edir → əslində bir nəzarətçi/birgə nəzarətçi.
2. Icazəsiz alt prosessorlar: prosessor sizin razılığınız olmadan təchizatçı əlavə edir.
3. «Boş» DPA: retention/silinmə/insident/audit üçün dəqiq təlimat yoxdur.
4. Qeyri-şəffaf birgə nəzarət: heç bir art. 26 - şikayət və cərimə riskləri.
5. Marketinq SDK: Provayderlər özləri üçün PD çəkirlər - açıqlama və qanuniliyə cavabdehsiniz.
6. PSP/Banklar: onları prosessor hesab etmək - səhv; daha çox ayrı-ayrı nəzarətçilərdir.

7) Mini DPA şablon (ifadə fraqmentləri)

Məqsədləri və emal xarakteri: «Prosessor yalnız KYC-yoxlama üçün PD emal Controller».
Təlimatlar: «Məqsədlərin hər hansı bir dəyişikliyi Nəzarətçinin yazılı razılığını tələb edir».
Subprosessorlar: "Prosessor əvvəlcədən yazılı icazə olmadan subprosessorları cəlb etmir; aktual reyestri aparır və dərc edir".
Təhlükəsizlik: «Prosessor A əlavəsində təsvir olunandan aşağı olmayan TOMs (şifrələmə, təxəllüs, giriş nəzarəti, jurnallaşdırma) dəstəkləyir».
İnsidentlər: «Prosessor Nəzarətçiyə əsassız gecikmə olmadan məlumat verir və tənzimləyicinin və subyektlərin bildirişləri üçün bütün məlumatları təqdim edir».
Silmə/geri qaytarma: «Xidmət başa çatdıqdan sonra prosessor PD-ni siler/geri qaytarır və qrafikə uyğun olaraq arxa planlarda nüsxələri siler».
Audit: «Nəzarətçi audit/sorğu vərəqələri/xarici hesabatlar (SOC2/ISO) aparmaq hüququna malikdir».

8) DPIA/DTIA və transsərhəd

DPIA: nəzarətçi çalışır; prosessor sistemlər, risklər, TOMs haqqında məlumat verir.
DTIA: SCCs/IDTA - alıcının hüquq-mühafizə mühitinin qiymətləndirilməsi, əlavə tədbirlər (E2EE, müştəri açarları, kvazianonimizasiya, açarların EC/UK-da saxlanması).

9) Paylanmış rollarda subyektlərin hüquqları ilə iş (DSAR)

Nəzarətçi: sorğunu qəbul edir, şəxsiyyəti yoxlayır, kolleksiyanı əlaqələndirir, vaxtında cavab verir (adətən 30 gündən ≤).
Prosessor: Operativ şəkildə boşaltma/silmə ilə təmin edir, subyektə birbaşa cavab vermir (başqa göstəriş verilmədikdə).
Birgə nəzarətçilər: müqavilədə «əlaqə nöqtəsi» və cavab üçün məlumat mübadiləsi göstərilir.

10) Təhlükəsizlik və hadisələr: kim nə edir

Nəzarətçi: hadisə siyasəti, DPA/istifadəçi bildiriş planı, CAPA rəhbərliyi.
Prosessor: Nəzarətçinin dərhal xəbərdarlığı, texniki forensika, konteynment, jurnallar, bildirişlərlə kömək.
Birgə nəzarətçilər: razılaşdırılmış bildiriş matrisi; vahid rabitə xətti.

11) Retenshn, silmə, test məlumatları

Nəzarətçi: Məqsədlərə/qanunlara (AML, mühasibat uçotu) uyğun saxlama müddətlərini təyin edir, siyasətdə dərc edir.
Prosessor: cədvəl üzrə silinmə/anonimləşdirmə, ayrıca - arxa planların təmizlənməsi həyata keçirir; maskalı/sintetik olmadan test mühitində PD istifadə qadağası.

12) Əməliyyat inteqrasiyası (təcrübə)

CAB/Change: CAB və DPA/SCCs düzəlişləri vasitəsilə hər hansı bir rol/alt prosessor/ərazi dəyişikliyi.
Data Map & RoPA: canlı axın xəritəsi; nəzarətçidə - hədəflər və alıcılar, prosessorda - kateqoriyalar və əməliyyatlar.
Vendor-menecment: onbordinqdən əvvəl due diligence (ISO/SOC2, pentest, hadisə siyasəti, məlumat coğrafiyası).
Auditlər: yoxlama vərəqləri, sorğu vərəqələri, seçmə PII giriş jurnalları, silinmə məntiqi.

13) «Rolu müəyyənləşdiririk» çek siyahısı

  • Kim hədəf və əsas emal parametrlərini təyin edir?
  • PD-ni öz məqsədləri üçün yenidən istifadə etmək mümkündürmü?
  • İkinci tərəfin müstəqil hüquqi əsasları varmı?
  • Subyekt qarşısında kim məsuliyyət daşıyır (DSAR)?
  • DPA (art. 28) və ya arrangement (art. 26)?
  • Subprosessorlar və koordinasiya mexanizmi varmı?
  • Transsərhəd ötürmələr və hansı mexanizm (SCCs/IDTA) olacaq?

14) Tez-tez verilən suallar (FAQ)

PSP - prosessor və ya nəzarətçi?
Adətən ayrıca nəzarətçi: öz məqsədləri (ödəniş xidməti, saxtakarlığın qarşısının alınması, normativ hesabat).

KYC provayderi modelləri öyrətmək üçün fotoşəkilləri saxlaya bilərmi?
Yalnız nəzarətçi statusunda (ayrıca əsas və açıqlama ilə) və ya sizin açıq razılığınız və düzgün hüquqi əsasınız ilə. Əks halda - qadağandır.

Oyunçunu gətirən affiliat prosessordur?
Daha çox ayrı bir nəzarətçi: öz məqsədləri üçün PD-ni toplayır. Birgə kampaniyalar rolların açıq şəkildə bölüşdürülməsini tələb edir.

Bulud Loging Server - kimin məlumatları?
Log emalı - təhlükəsizliyi təmin etmək üçün prosessor vəzifəsi; öz məqsədləri üçün təkrar istifadə ayrı bir əsas tələb edir (əks halda mümkün deyil).

15) Mini rol siyasəti (daxili standart üçün fraqment)

1. Default olaraq, operator oyunçuların/tərəfdaşların bütün PD axınlarında nəzarətçi kimi çıxış edir.
2. PD-yə çıxışı olan hər hansı bir satıcı - prosessor (DPA) və ya ayrıca nəzarətçi (öz məqsədləri üçün) kimi rəsmiləşdirilir.
3. Subprosessorun əlavə edilməsi yazılı razılıq və reyestrin yenilənməsini tələb edir.
4. Rolların/ərazilərin/hədəflərin hər hansı bir dəyişikliyi - CAB, DPO və Legal vasitəsilə.
5. DSAR və insidentlər - nəzarətçi tərəfindən əlaqələndirilir, prosessorlar SLA-da cavab verir.

16) Tətbiqi yol xəritəsi

1-2 həftələr: məlumat axınlarının və rolların inventarlaşdırılması; «kim kimdir» matrisinin layihəsi; RoPA yeniləmə.
Həftələr 3-4: DPA, art. 26 (lazım olduqda), subprosessorların reyestri; audit anketlərinin hazırlanması.
Ay 2: DTIA/SCCs/IDTA, ictimai siyasət yenilənməsi, komanda təlimi.
Ay 3 +: müntəzəm satıcı auditləri, DSAR testi, hadisə tabletop, məhsul/marketinq dəyişiklikləri zamanı rolların təftişi.

17) «Rol matrisi» qısa şablon (nümunə)

AxınOperator roluQarşı tərəfin roluSənədlərŞərh
KUS/sanksiyalarNəzarətçiProsessorDPA + təlimatTəkrar istifadə etmədən
Ödənişlər (PSP)Otd. nəzarətçiOtd. nəzarətçiMüqavilə + Privacy NoticeAyrı-ayrı məsuliyyət
Hostinq/buludNəzarətçiProsessor/alt prosessorDPA, SCCs/IDTAMəlumat coğrafiyası
Marketinq-SDKNəzarətçiProsessor və ya otd. nəzarətçiDPA / Joint/ToSTəkrar istifadəni yoxlayın
AnalitikaNəzarətçiProsessorDPA, hədəflərin məhdudlaşdırılmasıTəxəllüs

TL; DR

Rolu məqsədlər və emal üsulları ilə təyin edirik: «niyə/necə» - nəzarətçi; göstərişi yerinə yetirirsən - prosessor; birlikdə qərar - joint controllers. Bunu DPA/art-da rəsmiləşdiririk. 26, RoPA, subprosessor nəzarət, DPIA/DTIA, subyektlərin hüquqları və təhlükəsizlik təmin edir. Aydın rol matrisi = daha az tənzimləmə riskləri, daha az mübahisəli zonalar və daha sürətli audit.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.