GH GambleHub

نقش ها در GDPR

1) تعاریف و اصول اساسی

کنترل کننده: اهداف و روش های پردازش اطلاعات شخصی (PD) را تعیین می کند. مسئولیت اصلی قانونی بودن، شفافیت، حقوق افراد، امنیت، انتخاب و کنترل پردازنده ها را بر عهده دارد.
پردازنده: پردازش PD تنها به عنوان مستند شده توسط کنترل کننده، فراهم می کند TOMs، کمک با حقوق نهاد و حوادث، حفظ سوابق، و اجازه می دهد تا ممیزی.
کنترل کننده های مشترک: دو نفر به طور مشترک اهداف و روش ها را تعریف می کنند ؛ توزیع شفاف مسئولیت ها و نقطه تماس برای افراد مورد نیاز است.
زیر پردازنده: فروشنده درگیر شده توسط پردازنده تنها با تایید کتبی از کنترل کننده و تعهدات معادل مجاز است.

قانون طلایی: چه کسی تصمیم می گیرد که چرا و چگونه پردازش شود، کنترل کننده است ؛ که تنها «اجرا با توجه به دستورالعمل» - پردازنده.

2) چگونه یک نقش را در عمل تعریف کنیم (درخت تصمیم)

1. چه کسی اهداف کسب و کار را برای پردازش تعیین می کند ؟

تو هستی ؟ بلکه یک کنترل کننده است.

2. آیا می توانید داده ها را برای اهداف خود (تجزیه و تحلیل، بازاریابی) دوباره استفاده کنید ؟

→ بله → کنترل (یا کنترل مشترک اگر اهداف مشترک هستند).

3. آیا طرف دیگر به شما معنی دقیق/محدودیت ها و اهداف شما را نشان می دهد ؟

→ بله پردازنده.

4. آیا یک محصول مشترک/پلت فرم مشترک با هدف تعیین شده توسط هر دو طرف وجود دارد ؟

→ بله → کنترل کننده های مشترک (هنر مورد نیاز است. 26 ترتیب).

5. آیا شما درگیر ابر/فروشنده در انتساب خود را ؟

→ فروشنده - زیر پردازنده ؛ شما کنترل کننده هستید پردازنده اصلی شما باید مجوز شما را برای آن دریافت کند.

3) نقش در اکوسیستم iGaming - ماتریس نمونه

تعاملنقش های معمولنظر دادن
اپراتور iGaming ↔ پخش کنندهکنترل کننده ↔ موضوع دادهاپراتور اهداف (حساب، نرخ، RG، AML) را تعریف می کند
اپراتور ↔ ارائه دهنده CCM/تحریمسرپرست ↔ پردازندهما دستورالعمل های DPA + را می نویسیم، ممنوعیت استفاده مجدد از داده ها
اپراتور ↔ PSP/بانکاغلب سرپرستان فردیPSP اهداف نظارتی و ذخیره سازی خود را دارد
اپراتور ↔ پلت فرم ضد انفجاربه طور معمول پردازندهاگر سرویس «بینش های جمع آوری شده» را برای اهداف خود به اشتراک بگذارد، یک کنترل کننده مشترک یا یک کنترل کننده جداگانه امکان پذیر است
اپراتور ↔ میزبانی/ابر/CDNپردازنده/زیر پردازندهامنیت قوی و سیاهههای مربوط دسترسی ؛ سرزمینی بودن
اپراتور ↔ تجزیه و تحلیل ترافیک/بازاریابی-SDKمخلوط کردن: پردازنده یا کنترل کننده تنهابستگی به این دارد که آیا ارائه دهنده می تواند از PD برای اهداف خود استفاده کند
اپراتور ↔ وابستهاغلب سرپرستان فردیآگهی ها/کلیک ها توسط اهداف وابسته انجام می شود ؛ برای انتقال PD - DPA/قرارداد + به حداقل رساندن
پردازنده ↔ زیر پردازندهپردازنده ↔ زیر پردازندهما نیاز به تعهدات برابر و اجازه کنترل کننده داریم
ارتقاء مشترک با شریککنترل کننده های مشترکهنر لازم است. 26 توافق با مسئولیت ها

4) مسئولیت های نقش (RACI سطح بالا)

فعالیت هاکنترل کنندهپردازنده هاسرپرستان مشترک
مبانی حقوقی، اطلاعA/Rسی شارپA/R (ترکیبی)
پردازش DSAR (دسترسی، حذف، و غیره)A/RR (کمک)A/R (بر اساس توزیع)
DPIA/DTIAA/RC/R (کمک)A/R (ترکیبی)
حوادث/نشت (اطلاعیه های DPA/کاربر)A/RR (اطلاع کنترل، کمک)A/R (ترکیبی)
انتخاب و حسابرسی پردازنده/زیر پردازندهA/RR (حفظ ثبت نام، اطلاع)A/R (هر کدام در منطقه خود)
انتقال برون مرزی (SCCs/IDTA)A/RR (اجرا)A/R (ترکیبی)
نگهداری/حذفA/RR (اجرای دستورالعمل)A/R (ترکیبی)

5) اسناد و قراردادها

توافقنامه پردازش داده ها (DPA) - کنترل کننده → پردازنده مورد نیاز طرح.
حداقل: موضوع/دسته بندی PD، اهداف/دستورالعمل ها، TOM ها، محرمانه بودن، کمک با DSAR/DPIA، اطلاعیه های حادثه، حذف/بازگشت داده ها، ممیزی، زیر پردازنده ها (مکانیسم لیست/رضایت).
ماده 26 تنظیم (کنترل کننده های مشترک): توزیع شفاف مسئولیت ها (اطلاع رسانی، DSAR، نقطه تماس)، ماهیت نقش در سیاست عمومی.
SCCs/UK IDTA + DTIA: اجباری برای انتقال غیر EEA/UK اگر ناکافی باشد.
RoPA: ثبت عملیات پردازش در کنترل کننده و در پردازنده (از مجموعه خود).
اصطلاحات بازاریابی/SDK: بدون بازیافت، نقش و اهداف روشن.

6) مناطق بحرانی و خطاهای معمول

1. مخلوط کردن نقش: «پردازنده» از داده ها برای اهداف خود استفاده می کند ؛ در واقع این یک کنترل کننده/کنترل کننده مشترک است.
2. زیر پردازنده بدون اجازه: پردازنده یک فروشنده را بدون رضایت شما اضافه می کند.
3. «خالی» DPA: بدون نگهداری روشن/حذف/حادثه/دستورالعمل حسابرسی.
4. کنترل مشترک مات: بدون ماده 26 - شکایات و خطرات مجازات.
5. SDK های بازاریابی: ارائه دهندگان PD را برای خود می کشند - شما مسئول افشای و قانونی بودن هستید.
6. PSP/بانک ها: اشتباه است که آنها را پردازنده ها بدانیم ؛ اغلب این کنترل کننده های فردی هستند.

7) DPA مینی الگو (قطعات جمله بندی)

اهداف و ماهیت پردازش: «پردازنده PD را به طور انحصاری برای تأیید KYC پردازش می کند که توسط کنترل کننده هدایت می شود».
دستورالعمل: «هر گونه تغییر اهداف نیاز به رضایت کتبی از کنترل کننده».

زیر پردازنده: "پردازنده زیر پردازنده ها را بدون اجازه کتبی قبلی جذب نمی کند ؛ نگهداری و انتشار یک ثبت نام به روز"

امنیت: «پردازنده پشتیبانی از TOMs (رمزگذاری، aliasing، کنترل دسترسی، ورود به سیستم) نه کمتر از شرح داده شده در ضمیمه A».
حوادث: «پردازنده بدون تاخیر ناخواسته به کنترل کننده اطلاع می دهد و تمام اطلاعات را برای اطلاع رسانی به تنظیم کننده و اشخاص فراهم می کند».
حذف/بازگشت: «در پایان سرویس، پردازنده PD را حذف می کند/باز می گرداند و کپی ها را در پشتیبان گیری در برنامه حذف می کند».
حسابرسی: «کنترل کننده ممکن است ممیزی/پرسشنامه/گزارش های خارجی (SOC2/ISO) را با اطلاع منطقی انجام دهد».

8) DPIA/DTIA و مرزی

DPIA: کنترل شروع می شود ؛ پردازنده اطلاعات مربوط به سیستم ها، خطرات، TOM ها را فراهم می کند.
DTIA: با SCCs/IDTA - ارزیابی محیط اجرای گیرنده، اقدامات اضافی (E2EE، کلید های مشتری، شبه ناشناس، ذخیره سازی کلیدی در EC/UK).

9) کار با حقوق موضوع (DSAR) در نقش های توزیع شده

کنترل کننده: درخواست را می پذیرد، هویت را تأیید می کند، مجموعه را هماهنگ می کند، در عرض (معمولا ≤30 روز) پاسخ می دهد.
پردازنده: به سرعت فراهم می کند آپلود/حذف به عنوان کارگردان، به طور مستقیم به موضوع پاسخ نمی دهد (مگر اینکه در غیر این صورت دستور داده شود).
سرپرستان مشترک: در این توافقنامه، «نقطه تماس» و تبادل اطلاعات برای پاسخ را مشخص کنید.

10) امنیت و حوادث: چه کسی چه کاری انجام می دهد

کنترل کننده: سیاست حادثه، برنامه اطلاع رسانی DPA/کاربر، مدیریت CAPA.
پردازنده: اطلاع رسانی فوری از کنترل کننده، پزشکی قانونی فنی، مهار، سیاهههای مربوط، کمک با اطلاعیه ها.

سرپرستان مشترک: ماتریس اطلاع رسانی توافق شده ؛ یک خط ارتباطی

11) حفظ، حذف، داده های آزمون

کنترل کننده: دوره های ذخیره سازی را با توجه به اهداف/قوانین (AML، حسابداری) تنظیم می کند، در سیاست منتشر می شود.
پردازنده: پیاده سازی حذف/ناشناس در یک برنامه، به طور جداگانه - تمیز کردن پشتیبان گیری ؛ ممنوعیت استفاده از PD در محیط آزمایش بدون ماسک/مصنوعی.

12) ادغام عملیاتی (تمرین)

CAB/Change: هرگونه تغییر نقش/زیر پردازنده/قلمرو - از طریق ویرایش CAB و DPA/SCC.
نقشه داده و RoPA: نقشه جریان زنده ؛ کنترل کننده دارای اهداف و گیرندگان است، پردازنده دارای دسته ها و عملیات است.
مدیریت فروشنده: علت سعی و کوشش قبل از ورود (ISO/SOC2، آزمون نفوذ، سیاست حادثه، جغرافیای داده).
ممیزی: چک لیست، پرسشنامه، PII دسترسی به سیاهههای مربوط به نمونه، منطق حذف.

13) چک لیست «تعریف نقش»

  • چه کسی اهداف و پارامترهای پردازش کلیدی را تعیین می کند ؟
  • می تواند PD برای اهداف خود استفاده مجدد شود ؟
  • آیا طرف دوم دارای دلایل قانونی جداگانه است ؟
  • چه کسی مسئول به نهاد است (DSAR)?
  • آیا DPA ها مورد نیاز هستند (ماده 28) یا ترتیب (ماده 26) ؟
  • آیا زیر پردازنده و مکانیزم تطبیق وجود دارد ؟
  • آیا انتقال مرزی و مکانیسم (SCCs/IDTA) وجود خواهد داشت ؟

14) سوالات متداول (FAQ)

PSP - پردازنده یا کنترل کننده ؟

معمولا یک کنترل کننده جداگانه: اهداف خود (خدمات پرداخت، پیشگیری از تقلب، گزارش نظارتی).

ارائه دهنده KYC می تواند عکس ها را برای آموزش مدل ذخیره کند ؟

فقط با وضعیت کنترل کننده (با اساس و افشای جداگانه) یا با رضایت صریح شما و مبنای قانونی صحیح. در غیر این صورت ممنوع است.

وابسته که بازیکن را به ارمغان آورد یک پردازنده است ؟

اغلب یک کنترل کننده جداگانه: او PD را برای اهداف خود جمع آوری می کند. کمپین های مشترک نیاز به تخصیص نقش صریح دارند.

سرور ورود به سیستم ابر - داده های چه کسی ؟

پردازش ورود به سیستم مسئولیت پردازنده برای اطمینان از امنیت است. استفاده مجدد برای اهداف خود نیاز به یک زمین جداگانه دارد (در غیر این صورت امکان پذیر نیست).

15) خط مشی مینی نقش (قطعه برای استاندارد داخلی)

1. به طور پیش فرض، اپراتور به عنوان یک کنترل کننده برای تمام جریان های PD بازیکنان/شرکا عمل می کند.
2. هر فروشنده با دسترسی به PD - به عنوان یک پردازنده (DPA) یا به عنوان یک کنترل کننده جداگانه (برای اهداف خود) ثبت شده است.
3. اضافه کردن یک زیر پردازنده نیاز به رضایت کتبی و به روز رسانی رجیستری.
4. هر گونه تغییر نقش/قلمرو/اهداف - از طریق CAB، DPO و حقوقی.
5. DSAR و حوادث - هماهنگ شده توسط کنترل کننده، پردازنده ها به SLA پاسخ می دهند.

16) نقشه راه پیاده سازی

هفته 1-2: موجودی جریان داده ها و نقش ؛ پیش نویس ماتریس «چه کسی چه کسی است» ؛ به روز رسانی RoPA

هفته 3-4: نتیجه گیری/به روز رسانی DPA، هنر. 26 (در صورت لزوم)، رجیستری زیر پردازنده ؛ تهیه پرسشنامه های حسابرسی

ماه 2: DTIA/SCCs/IDTA، به روز رسانی سیاست های عمومی، آموزش تیم.
ماه 3 +: ممیزی فروشنده به طور منظم، آزمون DSAR، tabletop در حوادث، ممیزی نقش برای تغییرات محصول/بازاریابی.

17) قالب کوتاه «ماتریس نقش» (مثال)

جریان آبنقش اپراتورنقش طرف مقابلاسناد و مدارکنظر دادن
CCM/تحریم هاکنترل کنندهپردازنده هادستورالعمل DPA +بدون استفاده مجدد
پرداخت (PSP)مدیر مدرسه. کنترل کنندهمدیر مدرسه. کنترل کنندهتوافقنامه + اطلاعیه حریم خصوصیمسئولیت های جداگانه
میزبانی وب/ابرکنترل کنندهپردازنده/زیر پردازندهDPA، SCCs/IDTAجغرافیای داده
SDK بازاریابیکنترل کنندهپردازنده یا کنترل کننده گروهDPA/مشترک/به هااستفادۀ مجدد را بررسی کنید
تجزیه و تحلیلکنترل کنندهپردازنده هاDPA، محدودیت هدفنام مستعار

TL ؛ دکتر متخصص

ما نقش را از طریق اهداف و روش های پردازش تعیین می کنیم: شما تصمیم می گیرید «چرا/چگونه» - کنترل کننده ؛ انجام به عنوان کارگردان - پردازنده ؛ با هم شما تصمیم می گیرید - کنترل کننده های مشترک. این کار را در DPA/Art انجام دهید. 26، ما RoPA را انجام می دهیم، زیر پردازنده های کنترل، DPIA/DTIA، حقوق و امنیت موضوع را فراهم می کنیم. ماتریس نقش روشن = خطرات نظارتی کمتر، زمینه های اختلاف کمتر و حسابرسی سریع تر.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.