GH GambleHub

P.I.A.: məxfiliyə təsirin qiymətləndirilməsi

1) Təyinatı və tətbiq sahəsi

Məqsəd: iGaming məhsulu/infrastrukturu dəyişdikdə məlumat subyektlərinin hüquq və azadlıqları üçün riskləri sistemli şəkildə müəyyən etmək və azaltmaqdır.
Əhatə: yeni/əhəmiyyətli dərəcədə dəyişdirilmiş fiş, antifrod və RG modelləri, SDK/PSP/KYC provayderlərinin tətbiqi, məlumat miqrasiyası, kişiselləşdirilmiş A/B testləri, transsərhəd ötürmələr, profilləşdirmə.

2) P.I.A./DPIA tələb olunduqda

DPIA bir və ya bir neçə şərt yerinə yetirildikdə həyata keçirilir:
  • Geniş miqyaslı profilləşdirmə/müşahidə (davranış analitikası, risk hesablaması, RG tetikleyiciləri).
  • Xüsusi kateqoriyaların emalı (liveness biometrik, sağlamlıq/zəiflik RG).
  • Yeni risklər yaradan məlumat dəsti kombinasiyası (marketinq və ödəniş məlumatlarının birləşməsi).
  • İctimai mövcud zonanın sistematik monitorinqi (məsələn, axın söhbətləri).
  • EEA/UK xaricində transsərhəd ötürmələr (DTIA ilə birlikdə).
  • Məqsədlərdə/əsaslarda əhəmiyyətli dəyişikliklər və ya yeni satıcıların/alt prosessorların yaranması.
  • Risk azdırsa, PIA skrininqi və RoPA-da qısa qeyd kifayətdir.

3) Rollar və məsuliyyət

DPO - metodologiyanın sahibi, müstəqil qiymətləndirmə, qalıq risklərin əlaqələndirilməsi, nəzarət ilə əlaqə.
Product/Engineering - təşəbbüskar, hədəfləri/axınları təsvir edir, tədbirlər həyata keçirir.
Security/SRE - TOMs: şifrələmə, girişlər, jurnallaşdırma, DLP, testlər.
Data/BI/ML - minimallaşdırma, anonimləşdirmə/təxəllüsləşdirmə, modellərin idarə edilməsi.
Legal/Compliance - hüquqi əsaslar, DPA/SCCs/IDTA, yerli qaydalara uyğunluq.
Marketing/CRM/RG/Payments - verilənlər və proseslərin domen sahibləri.

4) Proses P.I.A./DPIA (keçid)

1. Başlanğıc və skrininq (CAB/Change): "DPIA lazımdır? ».
2. Məlumat xəritəsi (Data Map): mənbələr → sahələr → məqsədlər → bazalar → alıcılar → saxlama vaxtı → coğrafiya → alt prosessorlar.
3. Qanuniliyin və zəruriliyin qiymətləndirilməsi: Legitimate Interests-də lawful basis (Contract/Legal Obligation/LI/Consent), LIA testi (maraq balansı) seçimi.
4. Risklərin identifikasiyası: məxfiliyə, bütövlüyə, əlçatanlığa, subyektlərin hüquqlarına təhdidlər (avtomatlaşdırılmış qərarlar, ayrı-seçkilik, təkrar istifadə).
5. Risk hesablaması: ehtimal (L 1-5) × təsir (I 1-5) → R (1-25); rəng zonaları (zel/sarı/orange/qırmızı).
6. Tədbirlər Planı (TOMs): qabaqlayıcı/detektiv/korrekter - sahibləri və şərtləri ilə.
7. Qalıq risk: tədbirlərdən sonra yenidən hesablama; go/conditioned go/no-go həlli; yüksək qalıq risk - nəzarət ilə məsləhətləşmə.
8. Fiksasiya və başlanğıc: DPIA hesabatı, RoPA/Siyasət/cookies/CMP yeniləmələri, müqavilə sənədləri.
9. Monitorinq: KRIs/KPIs, dəyişikliklər və ya hadisələr zamanı DPIA review.

5) Gizlilik riskləri matrisi (nümunə)

Ehtimal (L): 1 - nadir; 3 - dövri; 5 - tez-tez/daimi.
Təsir (I): PII həcmi, həssaslıq, coğrafiya, subyektlərin zəifliyi, zərərin geri qaytarılması, tənzimləyici nəticələr nəzərə alınır.

RiskLIRTədbirlər (TOMs)Qalıq
SDK/piksel üzü (marketinq)3412Consent-banner, CMP, server-side tagging, təkrar istifadəyə qadağa ilə DPA6
RG profil səhvləri (saxta bayraqlar)2510Eşik validasiyaları, human-in-the-loop, şikayət hüququ, explainability6
KYC biometrik sızma2510Provayderdə saxlama, şifrələmə, təkrar istifadə qadağası, SLA-nın silinməsi6
Transsərhəd ötürmə (analitika)3412SCCs/IDTA + DTIA, kvazianonimizasiya, AB-də açarlar6

6) Texniki və təşkilati tədbirlər dəsti (TOMs)

Minimallaşdırma və bütövlük: yalnız lazımi sahələrin toplanması; identifikatorların və hadisələrin ayrılması; data vault/zonaları RAW → CURATED.
Təxəllüs/anonimləşdirmə: sabit psevdo-ID, tokenizasiya, k-anonimlik dla hesabatlar.
Təhlükəsizlik: şifrələmə at rest/in transit, KMS və açar rotasiyası, SSO/MFA, RBAC/ABAC, WORM, DLP, EDR, gizli menecer.
Satıcıların nəzarəti: DPA, alt prosessor reyestri, audit, hadisə testi, təkrar istifadənin qadağan edilməsi.
Subyektlərin hüquqları: DSAR prosedurları, etiraz mexanizmləri, mümkün olan yerlərdə «qeyri-trekinq», tənqidi qərarlar üçün human-review.
Şəffaflıq: Siyasət yenilənməsi, cookie banner, üstünlük mərkəzi, təchizatçı siyahılarının versiyası.
Modellərin keyfiyyəti və ədaləti: bias testləri, explainability, periodik kalibrləmə.

7) LIA və DTIA ilə əlaqə

LIA (Legitimate Interests Assessment): əsası LI olduqda həyata keçirilir; məqsəd, ehtiyac və balans test daxildir (zərər/fayda, istifadəçi gözləntiləri, yüngülləşdirici tədbirlər).
DTIA (Data Transfer Impact Assessment): SCCs/IDTA-da adekvatlığı olmayan ölkələr üçün məcburidir; hüquqi mühiti, səlahiyyətlilərin girişini, texniki tədbirləri (E2EE/müştəri açarları), açarların ərazisini qeyd edir.

8) DPIA hesabat şablonu (struktur)

1. Kontekst: təşəbbüskar, fiç/proses təsviri, məqsədlər, auditoriya, vaxt.
2. Hüquqi əsaslar: Contract/LO/LI/Consent; LIA CV.
3. Məlumat xəritəsi: kateqoriyalar, mənbələr, alıcılar, sub-prosessorlar, coğrafiya, saxlama müddəti, profilləşdirmə/avtomatlaşdırma.
4. Risklərin qiymətləndirilməsi: təhdidlərin siyahısı, L/I/R, təsirlənmiş hüquqlar, mümkün zərərlər.
5. Tədbirlər: TOMs, sahibləri, şərtləri, effektivlik meyarları (KPI).
6. Qalıq risk və həll (go/şərti/no-go); high - nəzarət ilə məsləhətləşmə planı.
7. Monitorinq planı: KRIs, yenidən baxılması üçün hadisələr, hadisə prosesi ilə əlaqə.
8. İmzalar və razılaşmalar: Product, Security, Legal, DPO (məcburi).

9) Relizlər və CAB ilə inteqrasiya

DPIA qapısı: riskli dəyişikliklər üçün - CAB-da məcburi artefakt.
Feature-flags/kanaryalar: məhdud auditoriya ilə phich daxil, xüsusi siqnalları toplamaq.
Change privacy log: Siyasət versiyası, satıcıların siyahısı/SDK, CMP yeniləmələri, giriş tarixi.
Geri çəkilmə planı: SDK/faylları söndürmək, məlumatları silmək/arxivləşdirmək, açarları/girişləri geri çağırmaq.

10) P.I.A./DPIA effektivlik metrikası

Coverage: PIA skrininqindən keçmiş buraxılışların% -i ≥ 95% -i; DPIA ilə riskli dəyişikliklərin% -i ≥ 95% -i.
Time-to-DPIA: X gün ≤ həll təşəbbüs orta vaxt.
Quality: ölçülə bilən KPI tədbirləri ilə DPIA payı ≥ 90%.
DSAR SLA: təsdiq ≤ 7 gün, icra ≤ 30; Yeni xüsusiyyətlər üçün DPIA ilə əlaqə.
Incidents: DPIA olmayan zonalarla bağlı sızma/şikayətlərin payı → 0; 72 saat ərzində bildirişlərin% -i - 100%.
Vendor readiness:% DPA/SCCs/DTIA ilə risk satıcıları - 100%.

11) Domen qutuları (iGaming)

A) Biometrik yeni KYC provayderi

Risklər: xüsusi kateqoriyalar, sevinc, şəkillərin təkrar istifadəsi.
Tədbirlər: provayderdə saxlama, ciddi DPA (məlumatların öyrənilməsinə qadağa), şifrələmə, SLA, fallback provayderi, DSAR kanalı.

B) Davranış skorunun antifrod modeli

Risklər: avtomatlaşdırılmış həllər, ayrı-seçkilik, açıqlanabilirlik.
Tədbirlər: high-impact həllər üçün human-review, explainability, bias-auditlər, səbəblər jurnalı, fiqurların minimuma endirilməsi.

C) Marketinq-SDK/yenidən hədəfləmə

Risklər: razılıq olmadan izləmə, identifikatorların gizli ötürülməsi.
Tədbirlər: CMP (granular consent), server-side tagging, anon-IP rejimi, ikinci dərəcəli məqsədlərin müqavilə qadağası, Siyasətdə şəffaflıq.

D) Responsible Gaming (RG) alertlər

Risklər: məlumatların həssaslığı, səhv bayraqlar → istifadəçiyə zərər.
Tədbirlər: yumşaq müdaxilələr, şikayət hüququ, məhdud giriş, qərar jurnalı, sapport təlimi.

E) Bulud/yeni bölgəyə məlumat miqrasiyası

Risklər: transsərhəd, yeni alt prosessor.
Tədbirlər: SCCs/IDTA + DTIA, AB açarları, mühit seqmentasiyası, hadisə testi, alt prosessor reyestrinin yenilənməsi.

12) Çek vərəqləri

12. 1 PIA (sürətli)

  • Həllərin profilləşdirilməsi/avtomatlaşdırılması varmı?
  • Xüsusi kateqoriyalar/uşaq məlumatları emal olunur?
  • Yeni satıcılar/subprosessorlar/ölkələr?
  • Emal məqsədləri/əsasları dəyişir?
  • Böyük həcmli/həssas qruplar cəlb?

→ Əgər «bəli» ≥ 1-2 bənd - DPIA-nı işə salırıq.

12. 2 DPIA hesabatının hazırlığı

  • Məlumat kartı və RoPA yeniləndi
  • LIA/DTIA (mümkünsə) tamamlandı
  • Tədbirlər (TOMs) təyin və ölçülə bilər
  • Qalıq risk DPO tərəfindən qiymətləndirilir və razılaşdırılır
  • Siyasət/cookies/SMR yenilənib
  • Dock track və versiyaları saxlanılır

13) Şablonlar (fraqmentlər)

13. 1 Məqsədin ifadəsi (nümunə):

«Qanuni maraqla davranış skorundan istifadə edərək vəsaitlərə girişi məhdudlaşdıran həllər üçün məlumatların minimuma endirilməsi və human-review vasitəsilə saxtakarlığın qarşısının alınmasını təmin etmək.»

13. 2 KPI tədbirləri (nümunə):

FNR modelinin FPR artımı olmadan P95 azaldılması> 2 pp

DSAR-ın yeni fişlərə cavab müddəti ≤ 20 gündür.
Yoxlamadan 24 saat sonra biometrikanın çıxarılması, təsdiq jurnalı - 100%.

13. 3 RoPA sahəsində (əlavə):

`automated_decision: truelegal_basis: LILIA_ref: LIA-2025-07dpia_ref: DPIA-2025-19dpo_sign: 2025-11-01`

14) Artefaktların saxlanması və audit

DPIA/LIA/DTIA, həllər, Siyasət/Banner versiyası, DPA/SCCs/alt prosessor reyestri, CMP razılıq qeydləri - mərkəzləşdirilmiş saxlamaq (WORM/version).
Audit ildə bir dəfə: DPIA nümunəsi, həyata keçirilən tədbirlərin yoxlanılması, metrik nəzarət, DSAR testi.

15) Tətbiqi yol xəritəsi

Həftələr 1-2: CAB-də PIA skrininqini həyata keçirmək, DPIA şablonunu təsdiqləmək, sahiblərini öyrətmək.
Həftələr 3-4: Data Map/RoPA, SMR/banner, satıcıların reyestrlərini işə salın, DPA/SCCs/DTIA hazırlayın.
Ay 2: Yüksək risk axınlarında ilk DPIA-nı keçirmək (KGS/antifrod/marketinq), KPI-ləri bağlamaq.
Ay 3 +: rüblük review DPIA, bias-audit modelləri, sızma test təlimləri, davamlı təkmilləşdirmələr.

TL; DR

PIA/DPIA = erkən skrininq + məlumat kartı + qanunilik (LIA/DTIA) + risk və tədbirlərin qiymətləndirilməsi (TOMs) + DPO nəzarəti altında razılaşdırılmış qalıq risk + metrik monitorinq. Biz CAB və buraxılışlara daxil edirik - və gizliliyi «yanğın işlərinə» deyil, idarə olunan, yoxlanılan prosesə çeviririk.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.