GH GambleHub

Ρόλοι εντός του GDPR

1) Βασικοί ορισμοί και αρχές

Υπεύθυνος επεξεργασίας: καθορίζει τους σκοπούς και τις μεθόδους επεξεργασίας δεδομένων προσωπικού χαρακτήρα (PD). Φέρει την πρωταρχική ευθύνη για τη νομιμότητα, τη διαφάνεια, τα δικαιώματα των υποκειμένων, τους τομεακούς μηχανισμούς ασφαλείας, την επιλογή και τον έλεγχο των μεταποιητών.
Επεξεργαστής: Επεξεργάζεται PD μόνο όπως έχει τεκμηριωθεί από τον υπεύθυνο επεξεργασίας, παρέχει TOMs, βοηθά με δικαιώματα και περιστατικά οντότητας, διατηρεί αρχεία και επιτρέπει ελέγχους.
Κοινοί ελεγκτές: δύο + πρόσωπα καθορίζουν από κοινού τους στόχους και τις μεθόδους· απαιτείται διαφανής κατανομή αρμοδιοτήτων και σημείο επαφής για τα υποκείμενα.
Υποεπεξεργαστής: Ο πωλητής που προσλαμβάνεται από τον εκτελούντα την επεξεργασία επιτρέπεται μόνο με προηγούμενη γραπτή έγκριση του υπευθύνου επεξεργασίας και ισοδύναμες υποχρεώσεις.

Ο χρυσός κανόνας: ποιος αποφασίζει γιατί και πώς να επεξεργαστεί είναι ο ελεγκτής? ο οποίος «εκτελεί μόνο σύμφωνα με τις οδηγίες» - ο επεξεργαστής.

2) Τρόπος καθορισμού ενός ρόλου στην πράξη (δέντρο αποφάσεων)

1. Ποιος θέτει τους επιχειρηματικούς στόχους για την επεξεργασία

Είσαι Μάλλον ένας ελεγκτής.

2. Μπορείτε να επαναχρησιμοποιήσετε τα δεδομένα για τους σκοπούς σας (ανάλυση, μάρκετινγκ)

Ναι ελεγκτής (ή από κοινού ελεγκτής εάν οι στόχοι είναι κοινοί).

3. Το άλλο μέρος σας υποδεικνύει τα ακριβή μέσα/περιορισμούς και προκύπτουν οι στόχοι σας

Ναι επεξεργαστή.

4. Υπάρχει κοινό προϊόν/κοινή πλατφόρμα με τον καθορισμό στόχων και από τα δύο μέρη

Ναι κοινοί ελεγκτές (απαιτείται τέχνη. 26 ρύθμιση).

5. Εμπλέκετε ένα σύννεφο/πωλητή στην αποστολή σας

Προμηθευτής - υπο-επεξεργαστής· είστε ο υπεύθυνος επεξεργασίας· ο κύριος επεξεργαστής σας πρέπει να λάβει την άδειά σας για αυτό.

3) Ρόλοι στο οικοσύστημα iGaming - ένας πίνακας παραδειγμάτων

ΑλληλεπίδρασηΤυπικοί ρόλοιΣχόλιο
iGaming Operator ↔ PlayerΥπεύθυνος επεξεργασίας ↔ υποκείμενο των δεδομένωνΟ φορέας εκμετάλλευσης ορίζει στόχους (λογαριασμός, τιμές, RG, AML)
Φορέας εκμετάλλευσης ↔ CCM/πάροχος κυρώσεωνΕπόπτης επεξεργασίαςΓράφουμε οδηγίες DPA +, απαγόρευση επαναχρησιμοποίησης δεδομένων
PSP-Operator/BankΣυχνότερα μεμονωμένες εποπτικές αρχέςΟ πάροχος υπηρεσιών πληρωμών έχει τους δικούς του κανονιστικούς σκοπούς και αποθήκευση
Φορέας εκμετάλλευσης - Πλατφόρμα καταπολέμησης της απάτηςΤυπικός επεξεργαστήςΕάν η υπηρεσία «μοιράζεται» συγκεντρωτικά στοιχεία για τους δικούς της σκοπούς, είναι δυνατή η ύπαρξη κοινού υπευθύνου επεξεργασίας ή χωριστού υπευθύνου επεξεργασίας
Φορέας εκμετάλλευσης - Φιλοξενία/νέφος/CDNΜεταποιητής/Υπεργολάβος επεξεργασίαςΙσχυρά αρχεία καταγραφής της ασφάλειας και της πρόσβασης· εδαφικότητα
Φορέας εκμετάλλευσης ↔ Analytics/Marketing-SDKΜίξη: επεξεργαστής ή ενιαίος ελεγκτήςΕξαρτάται από το αν ο πάροχος μπορεί να χρησιμοποιήσει PD για δικούς του σκοπούς
Φορέας εκμετάλλευσης-συνεργάτηςΣυχνά μεμονωμένες εποπτικές αρχέςΟ χειρισμός των leads/clicks γίνεται με συναφείς στόχους. για μεταφορά PD - DPA/σύμβαση + ελαχιστοποίηση
Μεταποιητής ↔ ΥπεργολάβοςΜεταποιητής ↔ ΥπεργολάβοςΧρειαζόμαστε ίσες υποχρεώσεις και άδεια του ελεγκτή
Κοινή προώθηση με τον εταίροΚοινοί ελεγκτέςΗ τέχνη είναι απαραίτητη. 26 συμφωνία με τις αρμοδιότητες

4) Αρμοδιότητες ρόλων (RACI υψηλού επιπέδου)

ΔραστηριότηταΥπεύθυνος επεξεργασίαςΕπεξεργαστήςΚοινές εποπτικές αρχές
Νομικές βάσεις, ειδοποίησηA/RCA/R (συνδυασμός)
Επεξεργασία DSAR (πρόσβαση, διαγραφή κ.λπ.)A/RR (βοήθεια)A/R (ανά διανομή)
DPIA/DTIAA/RC/R (βοήθεια)A/R (συνδυασμός)
Περιστατικά/διαρροές (κοινοποιήσεις DPA/χρήστη)A/RR (ειδοποίηση ελεγκτή, συνδρομή)A/R (συνδυασμός)
Επιλογή και έλεγχος επεξεργαστών/υπεργολάβωνA/RR (τήρηση μητρώου, κοινοποίηση)A/R (καθένα στη δική του ζώνη)
Διασυνοριακές μεταδόσεις (ΕΕΚ/IDTA)A/RR (εκτέλεση)A/R (συνδυασμός)
Κατακράτηση/απομάκρυνσηA/RR (εκτέλεση εντολών)A/R (συνδυασμός)

5) Έγγραφα και συμφωνίες

Συμφωνία επεξεργασίας δεδομένων (DPA) -Ο υπεύθυνος επεξεργασίας → ο εκτελών την επεξεργασία που απαιτείται από το σχήμα.
Ελάχιστο: PD υποκείμενο/κατηγορίες, στόχοι/οδηγίες, TOMs, εμπιστευτικότητα, συνδρομή με DSAR/DPIA, κοινοποιήσεις συμβάντων, διαγραφή/επιστροφή δεδομένων, λογιστικός έλεγχος, υπεργολάβοι (κατάλογος/μηχανισμός συγκατάθεσης).
Άρθρο 26 Διακανονισμός (από κοινού ελεγκτές): διαφανής κατανομή αρμοδιοτήτων (ενημέρωση, DSAR, σημείο επαφής), η ουσία των ρόλων στη δημόσια πολιτική.
SCC/UK IDTA + DTIA: υποχρεωτική για μεταδόσεις εκτός ΕΟΧ/ΗΒ εάν είναι ανεπαρκής.
RoPA: μητρώο πράξεων επεξεργασίας στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία (του δικού του συνόλου).
Όροι μάρκετινγκ/SDK: καμία ανακύκλωση, σαφείς ρόλοι και στόχοι.

6) Κρίσιμα πεδία και τυπικά σφάλματα

1. Ανάμειξη ρόλων: ο «εκτελών την επεξεργασία» χρησιμοποιεί τα δεδομένα για τους δικούς του σκοπούς → στην πραγματικότητα είναι υπεύθυνος επεξεργασίας/από κοινού υπεύθυνος επεξεργασίας.
2. Υπεργολάβοι χωρίς άδεια: Ο επεξεργαστής προσθέτει έναν πωλητή χωρίς τη συγκατάθεσή σας.
3. «Κενό» DPA: Δεν υπάρχουν σαφείς οδηγίες διατήρησης/διαγραφής/συμβάντος/ελέγχου.
4. Αδιαφανής κοινός έλεγχος: δεν υπάρχει άρθρο 26 - καταγγελίες και κίνδυνοι επιβολής κυρώσεων.
5. Μάρκετινγκ SDK: Οι πάροχοι τραβούν PD για τον εαυτό τους - είστε υπεύθυνοι για τη γνωστοποίηση και τη νομιμότητα.
6. PSP/Τράπεζες: είναι λάθος να τους θεωρούμε μεταποιητές· πιο συχνά πρόκειται για μεμονωμένους ελεγκτές.

7) Μίνι υπόδειγμα DPA (θραύσματα διατύπωσης)

Στόχοι και φύση της επεξεργασίας: «Ο εκτελών την επεξεργασία επεξεργάζεται PD αποκλειστικά για επαλήθευση KYC σύμφωνα με τις οδηγίες του ελεγκτή».
Οδηγίες: «Κάθε αλλαγή στόχων απαιτεί τη γραπτή συγκατάθεση του ελεγκτή».

Υπεργολάβοι: "Ο μεταποιητής δεν προσελκύει υπεργολάβους χωρίς προηγούμενη γραπτή άδεια. τηρεί και δημοσιεύει ενημερωμένο μητρώο"

Ασφάλεια: «Ο επεξεργαστής υποστηρίζει TOMs (κρυπτογράφηση, ψευδαίσθηση, έλεγχος πρόσβασης, καταγραφή) όχι χαμηλότερα από αυτά που περιγράφονται στο προσάρτημα Α».
Περιστατικά: «Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση και παρέχει όλες τις πληροφορίες για τις κοινοποιήσεις προς τη ρυθμιστική αρχή και τις οντότητες».
Διαγραφή/επιστροφή: «Στο τέλος της υπηρεσίας, ο επεξεργαστής διαγράφει/επιστρέφει PD και διαγράφει αντίγραφα σε backups στο πρόγραμμα».
Έλεγχος: «Ο ελεγκτής μπορεί να διενεργεί ελέγχους/ερωτηματολόγια/εξωτερικές εκθέσεις (SOC2/ISO), με εύλογη προειδοποίηση».

8) DPIA/DTIA και διασυνοριακά

DPIA: εκκίνηση του ελεγκτή· Ο επεξεργαστής παρέχει πληροφορίες σχετικά με τα συστήματα, τους κινδύνους, τους TOMs.
DTIA: με SCC/IDTA - αξιολόγηση του περιβάλλοντος επιβολής του νόμου του αποδέκτη, πρόσθετα μέτρα (E2EE, κλειδιά πελατών, οιονεί ανωνυμοποίηση, αποθήκευση κλειδιών στην ΕΚ/ΗΒ).

9) Συνεργασία με τα θεματικά δικαιώματα (DSAR) σε κατανεμημένους ρόλους

Υπεύθυνος επεξεργασίας: αποδέχεται το αίτημα, επαληθεύει την ταυτότητα, συντονίζει τη συλλογή, απαντά εντός (συνήθως ≤30 ημερών).
Επεξεργαστής: παρέχει αμέσως φορτία/διαγραφές σύμφωνα με τις κατευθύνσεις, δεν ανταποκρίνεται άμεσα στο υποκείμενο (εκτός εάν έχει δοθεί διαφορετική εντολή).
Κοινές εποπτικές αρχές: Στη συμφωνία προσδιορίζεται το «σημείο επαφής» και η ανταλλαγή δεδομένων για την απάντηση.

10) Ασφάλεια και συμβάντα: ποιος κάνει τι

Υπεύθυνος επεξεργασίας: Πολιτική περιστατικών, σχέδιο κοινοποίησης DPA/χρήστη, διαχείριση CAPA.
Εκτελών την επεξεργασία: άμεση κοινοποίηση στον υπεύθυνο επεξεργασίας, τεχνική εγκληματολογία, περιορισμός, αρχεία καταγραφής, συνδρομή στις κοινοποιήσεις.
Κοινές εποπτικές αρχές: συμφωνημένος πίνακας κοινοποίησης· μία μόνο γραμμή επικοινωνίας.

11) Διατήρηση, διαγραφή, δεδομένα δοκιμών

Ελεγκτής: ορίζει περιόδους αποθήκευσης σύμφωνα με τους στόχους/νόμους (ΚΕΠΔ, λογιστική), δημοσιεύεται στην πολιτική.
Επεξεργαστής: εφαρμόζει τη διαγραφή/ανωνυμοποίηση σε ένα χρονοδιάγραμμα, χωριστά - αντίγραφα ασφαλείας καθαρισμού. απαγόρευση χρήσης PD σε περιβάλλον δοκιμής χωρίς συγκάλυψη/συνθετικά.

12) Επιχειρησιακή ολοκλήρωση (πρακτική)

CAB/Αλλαγή: οποιαδήποτε αλλαγή ρόλου/υπο-επεξεργαστή/εδάφους - μέσω επεξεργαστών CAB και DPA/SCC.
Χάρτης δεδομένων & RoPA: Χάρτης ζωντανής ροής ο υπεύθυνος επεξεργασίας έχει στόχους και αποδέκτες, ο εκτελών την επεξεργασία έχει κατηγορίες και λειτουργίες.
Διαχείριση προμηθευτών: δέουσα επιμέλεια πριν από την επιβίβαση (ISO/SOC2, δοκιμή διείσδυσης, πολιτική συμβάντων, γεωγραφία δεδομένων).
Έλεγχοι: κατάλογοι ελέγχου, ερωτηματολόγια, αρχεία καταγραφής δειγμάτων πρόσβασης PII, λογική διαγραφής.

13) Κατάλογος ελέγχου «Καθορισμός του ρόλου»

  • Ποιος θέτει τους στόχους και τις βασικές παραμέτρους επεξεργασίας
  • Μπορεί το PD να επαναχρησιμοποιηθεί για δικούς του σκοπούς
  • Το δεύτερο μέρος έχει χωριστούς νομικούς λόγους
  • Ποιος είναι υπεύθυνος έναντι της οντότητας (DSAR)
  • Χρειάζονται ΑΠΔ (άρθρο 28) ή ρύθμιση (άρθρο 26)
  • Υπάρχουν υπεργολάβοι και μηχανισμοί αντιστοίχισης
  • Θα υπάρξουν διασυνοριακές μεταδόσεις και ποιος μηχανισμός (ΕΑΚ/IDTA)

14) Συχνές ερωτήσεις (συχνές ερωτήσεις)

PSP - Επεξεργαστής ή ελεγκτής

Συνήθως χωριστός ελεγκτής: ίδιοι στόχοι (υπηρεσίες πληρωμών, πρόληψη της απάτης, υποβολή ρυθμιστικών εκθέσεων).

Ο πάροχος KYC μπορεί να αποθηκεύσει φωτογραφίες για εκπαίδευση μοντέλου

Μόνο με την ιδιότητα του υπευθύνου επεξεργασίας (με χωριστή βάση και γνωστοποίηση) ή με τη ρητή συγκατάθεσή σας και τη σωστή νομική βάση. Διαφορετικά, απαγορεύεται.

Η θυγατρική που έφερε τον παίκτη είναι επεξεργαστής

Πιο συχνά ένας ξεχωριστός ελεγκτής: συλλέγει PD για δικούς του σκοπούς. Οι κοινές εκστρατείες απαιτούν ρητή κατανομή ρόλων.

Εξυπηρετητής καταγραφής νεφών - του οποίου τα δεδομένα

η επεξεργασία ημερολογίου αποτελεί ευθύνη του μεταποιητή για τη διασφάλιση της ασφάλειας· η επαναχρησιμοποίηση για δικούς της σκοπούς απαιτεί χωριστό λόγο (διαφορετικά δεν είναι δυνατόν).

15) Mini Role Policy (snippet για το εσωτερικό πρότυπο)

1. Εξ ορισμού, ο φορέας εκμετάλλευσης ενεργεί ως ελεγκτής για όλες τις ροές PD των παικτών/εταίρων.
2. Κάθε πωλητής με πρόσβαση σε PD - καταχωρίζεται ως εκτελών την επεξεργασία (DPA) ή ως χωριστός ελεγκτής (για τους δικούς του σκοπούς).
3. Η προσθήκη ενός υπεργολάβου απαιτεί γραπτή συγκατάθεση και επικαιροποιήσεις μητρώου.
4. Οποιαδήποτε αλλαγή ρόλων/εδαφών/στόχων - μέσω CAB, DPO και Legal.
5. DSAR και περιστατικά - συντονισμένα από τον υπεύθυνο επεξεργασίας, οι εκτελούντες την επεξεργασία ανταποκρίνονται στις SLA.

16) Χάρτης πορείας για την εφαρμογή

Εβδομάδες 1-2: απογραφή των ροών και των ρόλων των δεδομένων· σχέδιο πίνακα «ποιος είναι ποιος»· Ενημέρωση RoPA.
Εβδομάδες 3-4: σύναψη/επικαιροποίηση DPA, άρθρο 26 (κατά περίπτωση), μητρώο υπεργολάβων επεξεργασίας· κατάρτιση ερωτηματολογίων ελέγχου.
Μήνας 2: DTIA/SCC/IDTA, επικαιροποίηση δημόσιας πολιτικής, ομαδική κατάρτιση.
Μήνας 3 +: τακτικοί έλεγχοι πωλητών, δοκιμή DSAR, ταμπλέτα για περιστατικά, έλεγχοι ρόλων για αλλαγές προϊόντος/μάρκετινγκ.

17) Σύντομο υπόδειγμα «Πίνακας ρόλων» (παράδειγμα)

ΡοήΡόλος του φορέα εκμετάλλευσηςΡόλος αντισυμβαλλομένουΈγγραφαΣχόλιο
CCM/ΚυρώσειςΥπεύθυνος επεξεργασίαςΕπεξεργαστήςΟδηγίες DPA +Μη επαναχρησιμοποίηση
Πληρωμές (ΠΥΠ)Dep. υπεύθυνος επεξεργασίαςDep. υπεύθυνος επεξεργασίαςΣυμφωνία + Ανακοίνωση περί απορρήτουΧωριστή ευθύνη
Φιλοξενία/ΝέφοςΥπεύθυνος επεξεργασίαςΜεταποιητής/Υπεργολάβος επεξεργασίαςDPA, SCC/IDTAΓεωγραφία δεδομένων
Μάρκετινγκ-SDKΥπεύθυνος επεξεργασίαςΕκτελών την επεξεργασία ή τον ελεγκτή τμήματοςDPA/Joint/TOSΈλεγχος επαναχρησιμοποίησης
ΑναλυτικήΥπεύθυνος επεξεργασίαςΕπεξεργαστήςDPA, περιορισμός στόχουΨευδωνυμοποίηση

TL· DR

Καθορίζουμε το ρόλο μέσω στόχων και μεθόδων επεξεργασίας: αποφασίζετε «γιατί/πώς» - ο ελεγκτής? εκτελεί ως διευθυνόμενος - μεταποιητής· από κοινού αποφασίζετε - τους κοινούς ελεγκτές. Επισημοποιώντας αυτό σε DPA/τέχνη. 26, διεξάγουμε RoPA, ελέγχουμε υπο-επεξεργαστές, παρέχουμε DPIA/DTIA, υποκείμενα δικαιώματα και ασφάλεια. Σαφής πίνακας ρόλων = λιγότεροι ρυθμιστικοί κίνδυνοι, λιγότεροι τομείς διαφορών και γρηγορότεροι έλεγχοι.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.