隐私政策和GDPR
1)目的和范围
目标:确保运营商在场的所有辖区的参与者、合作伙伴和员工对个人数据(PII)进行合法、透明和安全的处理。
覆盖范围:Web/移动应用程序,CRM/BI/DWH,antifrod/AML/KYC,PSP/CUS/制裁提供商,sapport,市场营销,附属公司,实时工作室,托管和写作。
2)角色和责任(RACI)
数据保护官员(DPO)-A:合规监督,RoPA,DPIA/DTIA,对监管机构的回应。
合规之头-A:政策、风险偏好、升级和报告。
法律-C:法律依据,DPA/SCC条约,横幅和通知文本。
Security/SRE-R:技术和组织安排(TOMs),访问日志,事件。
Data/BI-R:数据目录、最小化、掩蔽/别名化。
Marketing/CRM-R:同意,偏好,退房,cookie。
产品/工程-R:通过设计/Default,存储和删除隐私。
支持/VIP-R:受试者查询(DSAR),身份验证。
3)处理的法律依据(Lawful Bases)
Consent(同意)-市场营销,分析/促销cookies,非强制性个性化.
合同(合同)-注册,费率/结算处理,札幌。
法律审查-KYC/AML/制裁,会计和报告。
Legitimate Interests-防冻、安全、产品改进(通过利益平衡测试-LIA)。
Vital/Public Interest是稀有的RG/安全案例,如果适用并且法律允许的话。
4)数据主体权利(DSR/DSAR)
访问(艺术。15),更正(艺术。16),删除(艺术。17),限制(艺术。18),可移植性(Art。20),异议(艺术。21),不是完全自动化的解决方案(Art。22).
DSAR处理SLA:确认≤ 7天,执行≤ 30天(延长60天,通知对象很困难)。
验证:多因素;禁止公开披露敏感数据。
Logs:存储请求、身份验证、签发的数据包和响应时间。
5)处理操作注册表(RoPA)
最低字段:目标,主体/数据类别,法律依据,保留时间,收件人/第三国,安全措施,数据源,自动化解决方案/分析,DPIA/DTIA(如果有)。
6)DPIA/DTIA: 何时以及如何
DPIA-具有高风险:大规模剖析,新型防冻模型,地理数据处理,RG触发器,系统观测。
DTIA/TIA-在欧洲经济区/英国以外的跨境传输中:评估政府机构的本地访问,合同/技术措施。
流程:风险和措施的筛查→评估→ DPO/Legal的协调→监测→假设记录。
7)Cookie,像素,SDK和同意横幅
类别: 严格需要,功能,分析,营销.
要求是:- 在达成协议之前-货物只有严格必要的。
- 颗粒同意和单独拒绝;版本和时间戳日志。
- 具有IAB TCF的CMP(如果适用);更改目标/供应商时自动更新横幅。
- 随时轻松退货/更改选择。
8)处理器和子处理器
每个提供商的DPA:主题,目标,数据类别,时限,TOM,子处理器,审核。
子处理器的公共注册表(忠诚度);修改通知和反对权。
检查:尽职调查(ISO/SOC2),测试事件,五点按需报告,离岸计划。
9)跨境转移
SCCs/IDTA + DTIA;如有必要-其他措施:E2EE,客户端加密,准匿名,欧盟密钥。
在政策/登记册中记录法律机制、国家和接受者。
10)存储和删除(Retention&Deletion)
时间表矩阵(示例):删除策略:DWH/存储中的自动任务(工作);按循环删除备份;记录在日志中。用于分析的ID化名。
11)安全(TOMs)
技术:加密At Rest/Transit,网络细分,权利最小化,KMS/密钥旋转,DLP,EDR/IDS/WAF,SSO/MFA,秘密管理器,WORM日志。
组织:访问策略,培训,NDA,清洁台,供应商验证,事件管理(SANS/NIST)。
Privacy by Design/Default:变更流程中的评分、最低默认数据集、非PII测试数据。
12)泄漏和事件通知
评估:确认事实、范围和风险。
时间(基准):数据监督机构----最多72小时,有权利/自由风险;用户-没有不合理的延迟。
通知内容:事件的描述,记录的类别和指示数量,DPO联系,后果,所采取的措施,对实体的建议。
Logs:时间线、解决方桉、信件/回复模板、CAPA。
13)营销和沟通
分离事务消息(未经同意)和营销消息(仅限于同意)。
首选项管理:首选项中心、主题/渠道订阅、双opt-in(需要时)。
附属关系和跟踪:对PII收集/传输的合同限制,禁止未经理由和同意而转让标识符。
14)公共隐私政策-结构
1.我们是谁和DPO联系人。
2.我们收集哪些数据(按类别和来源)。
3.目标/法律依据(表";目标→数据→依据→时限";)。
4.Cookie/SDK和同意管理。
5.接收方和跨境转让(机制和措施)。
6.主体的权利以及如何实现它们。
7.数据安全(高级TOM)。
8.保留时间和标准。
9.通用自动化解决方桉/分析和逻辑。
10.策略更改(忠诚度)以及我们如何通知。
11.投诉联系人(如果需要,按司法管辖区划分DPA)。
15)模板和示例措辞
15.1目标/基础表(片段):
15.2 Cookie横幅(最低限度):
"我们使用cookies。通过点击"接受一切",您同意保留分析和营销cookie。您可以按类别更改选择。"拒绝可选"-仅严格要求的cookie"
15.3描述部分(示例):
"我们使用分析来防止欺诈和负责任的游戏(RG)。这是安全所必需的,符合我们的合法利益。除非法律另有规定(例如AML),否则可以反对"
16)处理器SOP
SOP-1: 更新政策
触发因素:新目标/供应商/SDK/司法管辖区。
步骤:清单→ LIA/DPIA →文本更新→本地化→ CMP更新→用户通信→版本/入门日期。
SOP-2: DSAR
请求渠道→身份验证→数据量评估→数据包收集(从系统导出)→法律审计→签发/拒绝→日志。
SOP-3: 新子处理器
尽职调查→ DPA/SCCs → DTIA →事件测试→列入公共登记册→通知用户(如果需要)。
17)培训与审计
Onbording+所有人的年度隐私培训;支持/营销/工程的其他培训。
每年进行一次内部审计:RoPA,保留合规性,DSAR抽查,SMR/Cookie审查,测试申请,pentest/forenzics访问日志。
KPI:接受培训的员工百分比;SLA DSAR;启用别名的系统的比例;由CAPA执行。
18)本地化和多司法性
GDPR/UK GDPR作为基本标准;考虑用于通信和cookie的ePrivacy/PECR。
局部细微差别(示例):儿童数据处理同意年龄、KYC保留时间、通知表格、文档语言要求。
维持国家差异汇总表,并提及适用的规则/许可。
19)实施路线图(示例)
第一至第二周:数据/系统清单,RoPA,线程图,政策草案。
3-4周:SMR/横幅,子处理器注册表,DPA/SCCs,高风险流程的DPIA。
第二个月:启动偏好中心,自动删除/匿名,员工培训。
月3+:定期审计,DSAR测试,本地化和注册表更新。
20)准备就绪简短支票
- 指定DPO,联系人发布
- 当前RoPA和数据流图
- 该政策已发布,本地化,具有忠诚度
- 具有可证明的同意/拒绝日志的CMP
- DPA/SCCs和公共子处理器注册表
- DPIA/DTIA已完成风险流程
- Retention-jobs和删除/匿名程序
- SOP在DSAR和事件,业主培训
- 度量/KPI和年度隐私审计
TL;DR
强大的政策=明确的目标和基础+清点和RoPA+同意/控制cookie+安全的跨境传输+子处理器注册表+明确的保留和删除+培训DSAR/事件。这降低了法律和声誉风险,并增强了玩家的信心。