سیاست حفظ حریم خصوصی و GDPR

1) هدف و محدوده

هدف: اطمینان از پردازش قانونی، شفاف و ایمن اطلاعات شخصی (PII) بازیکنان، شرکا و کارمندان در تمام حوزه های قضایی حضور اپراتور.
پوشش: برنامه های کاربردی وب/تلفن همراه، CRM/BI/DWH، ضد تقلب/AML/KYC، PSP/CUS/ارائه دهندگان تحریم، پشتیبانی، بازاریابی، وابسته، استودیوهای زنده، میزبانی و ورود به سیستم.

2) نقشها و مسئولیتها (RACI)

افسر حفاظت از داده ها (DPO) - A: نظارت بر انطباق، RoPA، DPIA/DTIA، پاسخ به تنظیم کننده ها.
رئیس انطباق - A: سیاست، ریسک پذیری، تشدید و گزارش.
حقوقی - C: زمینه های قانونی، قراردادهای DPA/SCC، متون بنر و اطلاع رسانی.
امنیت/SRE - R: اقدامات فنی و سازمانی (TOMs)، ورود به سیستم دسترسی، حوادث.
داده ها/BI - R: دایرکتوری داده ها، به حداقل رساندن، پوشش/pseudonymization.
بازاریابی/CRM - R: موافقت، ترجیحات، لغو اشتراک، کوکی ها.
محصول/مهندسی - R: حریم خصوصی توسط طراحی/پیش فرض، حفظ و استقرار.
پشتیبانی/VIP - R: سوالات موضوع (DSAR)، تأیید هویت.

3) مبانی حقوقی

رضایت - بازاریابی، کوکی های تحلیلی/تبلیغاتی، شخصی سازی غیر اجباری.
قرارداد - ثبت نام، پردازش نرخ/نتیجه گیری، پشتیبانی.
تعهد قانونی - KYC/AML/تحریمها، حسابداری و گزارشگری.
منافع مشروع - ضد تقلب، امنیت، بهبود محصول (با تست تعادل منافع - LIA).
Vital/Public Interest - موارد نادر RG/امنیت، در صورت لزوم و مجاز توسط قانون.

4) حقوق افراد داده (DSR/DSAR)

دسترسی (ماده 15)، اصلاح (ماده 16)، حذف (ماده 17)، محدودیت (ماده 18)، تحمل پذیری (ماده 20)، اعتراض (ماده 21)، نباید هدف یک راه حل منحصراً خودکار باشد (ماده 22).
DSAR پردازش SLA: تایید ≤ 7 روز، اعدام ≤ 30 روز (طولانی شدن برای 60 دیگر اگر آن را دشوار است به اطلاع موضوع).

تایید: چند عامل ؛ جلوگیری از افشای اطلاعات حساس از طریق کانالهای باز

سیاهههای مربوط: درخواست فروشگاه، بررسی هویت، بسته داده صادر شده و زمان پاسخ.

5) ثبت عملیات پردازش (RoPA)

حداقل زمینه ها: هدف، دسته بندی موضوع/داده ها، مبنای قانونی، دوره های نگهداری، گیرندگان/کشورهای ثالث، اقدامات امنیتی، منبع داده، تصمیمات خودکار/پروفایل، DPIA/DTIA، در صورت وجود.

6) DPIA/DTIA: چه زمانی و چگونه

DPIA - در معرض خطر بالا: پروفایل های بزرگ، مدل های ضد تقلب جدید، پردازش داده های جغرافیایی، محرک های RG، مشاهده سیستماتیک.
DTIA/TIA - برای انتقال مرزی خارج از EEA/UK: ارزیابی دسترسی محلی توسط سازمان های دولتی، اقدامات قراردادی/فنی.
فرآیند: غربالگری → ارزیابی خطرات و اقدامات → DPO/تصویب قانونی → اجرای کنترل → ورود به سیستم مفروضات.

7) کوکی ها، پیکسل ها، SDK و بنر رضایت

دسته بندی ها: به شدت لازم، کاربردی، تحلیلی، بازاریابی.

• تا رضایت - ما بار تنها آنهایی که به شدت لازم است.
• توافق دانه ای و امتناع جداگانه ؛ يه ليست از نسخهها و تمبرهای زماني.
• CMP با IAB TCF (در صورت لزوم) ؛ به روز رسانی خودکار بنر هنگام تغییر اهداف/ارائه دهندگان.
• لغو اشتراک آسان/تغییر انتخاب در هر زمان.

8) گردانندگان و زیر پردازنده ها

ثبت عمومی زیر پردازنده (نسخه) ؛ اطلاع از تغییرات و حق اعتراض

DPA با هر ارائه دهنده: موضوع، اهداف، دسته بندی داده ها، مهلت ها، TOM ها، زیر پردازنده ها، ممیزی ها.
چک: علت سعی و کوشش (ISO/SOC2)، حوادث آزمون، پنتست گزارش در درخواست، طرح offboarding.

9) نقل و انتقالات مرزی

SCCs/IDTA + DTIA ؛ در صورت لزوم - اقدامات اضافی: E2EE، رمزگذاری مشتری، شبه ناشناس، کلید در اتحادیه اروپا.
ما مکانیسم قانونی، کشورها و گیرندگان را در سیاست/ثبت نام ثابت می کنیم.

10) حفظ و حذف

سیاست حذف: وظایف خودکار (شغل) در DWH/vaults ؛ حذف در پشتیبان گیری توسط ورود به سیستم چرخه. شناسه مستعار برای تجزیه و تحلیل.

11) امنیت (TOMs)

فنی: در رمزگذاری استراحت/حمل و نقل، تقسیم بندی شبکه، به حداقل رساندن حقوق، KMS/چرخش کلید، DLP، EDR/IDS/WAF، SSO/MFA، مدیر مخفی، ورود به سیستم WORM.
سازمانی: سیاست های دسترسی، آموزش، NDA، میز تمیز، تأیید فروشنده، مدیریت حوادث (SANS/NIST).
حریم خصوصی توسط طراحی/پیش فرض: ارزیابی در فرآیندهای تغییر، حداقل مجموعه داده های پیش فرض، داده های تست بدون PII.

12) اطلاعیه نشت و حادثه

ارزیابی: تایید واقعیت، حجم و ریسک.
مهلت (معیار): به مقامات نظارتی با توجه به داده ها - تا 72 ساعت در معرض خطر حقوق/آزادی ؛ کاربران - بدون تاخیر غیر ضروری.
محتوای اطلاع رسانی: شرح حادثه، دسته ها و تعداد تخمینی سوابق، تماس DPO، عواقب، اقدامات انجام شده، توصیه هایی به افراد.
سیاهههای مربوط: جدول زمانی، راه حل ها، قالب نامه/پاسخ، CAPA.

13) بازاریابی و ارتباطات

جدا کردن پیام های معاملاتی (بدون رضایت) و پیام های بازاریابی (فقط با رضایت).
مدیریت اولویت: مرکز تنظیمات، اشتراک بر اساس موضوع/کانال، double-opt-in (در صورت لزوم).
شرکت های وابسته و ردیابی: محدودیت های قراردادی در جمع آوری/انتقال PII، ممنوعیت انتقال شناسه بدون دلیل و رضایت.

14) سیاست حفظ حریم خصوصی عمومی - ساختار

1. ما کی هستیم و رابط های DPO

2. اطلاعاتی که ما جمع آوری می کنیم (بر اساس طبقه بندی و منبع).
3. اهداف/زمینه های قانونی (جدول «هدف → داده → مدت»).
4. کوکی ها/SDK و مدیریت رضایت.
5. گیرندگان و انتقال های مرزی (مکانیسم ها و اقدامات).

6. حقوق افراد و چگونگی اجرای آنها

7. امنیت اطلاعات (TOMs سطح بالا)

8. دوره های نگهداری و معیارها.
9. راه حل های خودکار/پروفایل و منطق به طور کلی.
10. تغییرات سیاست (نسخه) و نحوه اطلاع رسانی ما.
11. تماس با ما برای شکایت (DPA توسط صلاحیت، در صورت لزوم).

15) قالب ها و فرمولاسیون نمونه

15. 1 جدول اهداف/پایه (قطعه):

15. 2 بنر کوکی (حداقل):

"ما از کوکی ها استفاده می کنیم. با کلیک روی «پذیرش همه»، شما با ذخیره سازی کوکی های تحلیلی و بازاریابی موافقت می کنید. شما می توانید انتخاب بر اساس طبقه بندی را تغییر دهید. "رد اختیاری" - فقط کوکی ها به شدت مورد نیاز"

15. 3 بخش پروفایل (به عنوان مثال):

ما از پروفایل سازی برای جلوگیری از کلاهبرداری و مسئولیت پذیری (RG) استفاده می کنیم. این برای امنیت و در راستای منافع قانونی ما ضروری است. شما ممکن است اعتراض مگر اینکه در غیر این صورت توسط قانون تجویز (به عنوان مثال،. AML))

16) SOP های فرآیند

SOP-1: به روز رسانی سیاست

محرک ها: اهداف جدید/فروشندگان/SDK ها/حوزه های قضایی.
مراحل: موجودی → LIA/DPIA → به روز رسانی متن → محلی سازی → به روز رسانی CMP → ارتباط با کاربران → نسخه/تاریخ ورود.

SOP-2: DSAR

کانال درخواست → تأیید هویت → برآورد حجم داده → جمع آوری بسته (صادرات از سیستم) → حسابرسی قانونی → شماره/امتناع با توجیه → ورود.

SOP-3: زیر پردازنده جدید

Due diligence → DPA/SCC → DTIA → تست حادثه → ورود به رجیستری عمومی → اطلاع رسانی کاربر (در صورت لزوم).

17) آموزش و حسابرسی

آموزش حریم خصوصی سالانه برای همه ؛ آموزش های اضافی برای پشتیبانی/بازاریابی/مهندسی.
حسابرسی داخلی یک بار در سال: RoPA، انطباق حفظ، تایید DSAR انتخابی، بررسی CIW/کوکی، برنامه های کاربردی آزمون، آزمون نفوذ/ورود به سیستم دسترسی پزشکی قانونی.
KPI: درصد کارکنان آموزش دیده SLA DSAR ؛ نسبت سیستم های با نام مستعار فعال CAPAs تکمیل شده است.

18) محلی سازی و چند صلاحیت

GDPR/UK GDPR به عنوان یک استاندارد اساسی ؛ ePrivacy/PECR را برای ارتباطات و کوکی ها در نظر بگیرید.
تفاوت های ظریف محلی (به عنوان مثال): سن رضایت برای پردازش داده های کودک، دوره های نگهداری KYC، فرم های اطلاع رسانی، الزامات زبان سند.
حفظ ماتریس اختلاف توسط کشور و مراجع به کدهای قابل اجرا/مجوز.

19) نقشه راه پیاده سازی (مثال)

هفته 1-2: داده ها/سیستم های موجودی، RoPA، نقشه جریان، پیش نویس سیاست.
هفته 3-4: CIW/بنر، رجیستری زیر پردازنده، DPA/SCCs، DPIA برای فرآیندهای پر خطر.
ماه 2: راه اندازی مرکز اولویت، اتوماسیون حذف/ناشناس، آموزش کارکنان.
ماه 3 +: ممیزی های دوره ای، آزمون DSAR، محلی سازی و به روز رسانی رجیستری.

20) چک لیست آمادگی کوتاه

• DPO اختصاص داده شده، مخاطبین منتشر شده است
• RoPA به روز و نقشه جریان داده
• سیاست منتشر شده، محلی، نسخه
• CMP با اثبات انتخاب کردن در/انتخاب کردن سیاهههای مربوط
• DPA/SCCs و عمومی زیر پردازنده رجیستری
• DPIA/DTIA برای فرآیندهای ریسک تکمیل شده است
• حفظ شغل و روش حذف/ناشناس
• SOP در DSAR و حوادث، صاحبان آموزش دیده
• معیارها/KPI ها و حسابرسی حریم خصوصی سالانه

TL ؛ دکتر متخصص

سیاست قوی = اهداف روشن و منطق + موجودی و RoPA + رضایت/کوکی ها تحت کنترل + انتقال امن مرزی + رجیستری زیر پردازنده + نگهداری روشن و حذف + آموزش DSAR/حوادث. این باعث کاهش خطرات قانونی و اعتباری و ایجاد اعتماد به نفس بازیکن می شود.