GH GambleHub

תפקידים בתוך GDPR

1) הגדרות ועקרונות בסיסיים

בקר: קובע את המטרות והשיטות של עיבוד נתונים אישיים (PD). נושא באחריות העיקרית לחוקיות, שקיפות, זכויות הנבדקים, ביטחון-טומס, בחירה ושליטה של מעבדים.
Professions PD רק כפי שתועד על ידי הבקר, מספק TOMS, אסיסטים עם זכויות ישות ותקריות, שומר רשומות ומאפשר ביקורת.
בקרים משותפים: שני אנשים + מגדירים יחד מטרות ושיטות; נדרשת חלוקה שקופה של אחריות ונקודת המגע של הנבדקים.
Sub-Processor: Vendor העוסק על ידי המעבד מותר רק עם אישור בכתב קודם של הבקר ומחויבויות שקולות.

כלל הזהב: מי מחליט מדוע וכיצד לעבד הוא הבקר; שרק ”מבצע לפי ההוראות” - המעבד.

2) כיצד להגדיר תפקיד בפועל (עץ החלטה)

1. מי מציב לעצמו מטרות עסקיות לעיבוד?

□ האם אתה? ‏ די בקר.

2. האם תוכל להשתמש שוב בנתונים למטרות שלך (אנליטיקה, שיווק)?

□ כן, בקר (או בקר משותף אם מטרות נפוצות).

3. האם הצד השני מציין לך את האמצעים/המגבלות המדויקים והמטרות שלך נגזרות?

▪ כן, מעבד.

4. האם יש מוצר/פלטפורמה משותפת עם הגדרת יעדים על ידי שני הצדדים?

□ כן. בקרים משותפים (אמנות נחוצה. סידור 26).

5. האם אתה כרוך בענן/ספק במשימה שלך?

□ ספק - תת-מעבד; אתה הבקר; המעבד הראשי שלך חייב לקבל אישור לכך.

3) תפקידים במערכת האקולוגית iGaming - מטריצה של דוגמאות

אינטראקציהתפקידים אופיינייםהערה
מפעיל iGaming ↔ Playerנושא נתונים ↔ בקראופרטור מגדיר מטרות (חשבון, תעריפים, RG, AML)
מפעיל ↔ CCM/ספק סנקציהמעבד ↔ מפקחאנו כותבים הוראות DPA +, איסור על שימוש מחדש בנתונים
מפעיל ↔ PSP/Bankלעתים קרובות יותר מפקחים אישייםPSP יש מטרות רגולטוריות ואחסון משלה
מרכזייה ↔ פלטפורמת אנטי-פראודמעבד טיפוסיאם השירות ”חולק” תובנות מצורפות למטרותיו, בקר משותף או בקר נפרד אפשרי
מפעיל ↔ אירוח/ענן/CDNמעבד/תת מעבדאבטחה חזקה ויומני גישה; טריטוריאליות
מרכזייה ↔ אנליטיקה/שיווק-SDKמיקס: מעבד או בקר יחידתלוי אם הספק יכול להשתמש במשטרה למטרותיה
השתייכות ↔ מרכזNameלעתים קרובות מפקחים אישייםכיווני חקירה/קליקים מטופלים על ידי מטרות נלוות; להעברת PD - DPA/חוזה + מזעור
מעבד ↔ תת ־ מעבדמעבד ↔ תת ־ מעבדאנחנו צריכים התחייבויות שוות ואישור של הבקר
קידום משותף עם שותףבקרים משותפיםיש צורך באמנות. 26 הסכם עם אחריות

4) אחריות תפקידים (רמה גבוהה RACI)

פעילותבקרמעבדמפקחים משותפים
בסיסים משפטיים, שימו לבA/RCA/R (משולב)
עיבוד DSAR (גישה, מחיקה וכו ')A/RR (עזרה)A/R (על ידי הפצה)
DPIA/DTIAA/RC/R (עזרה)A/R (משולב)
תקריות/הדלפות (הודעות DPA/משתמש)A/Rר (הודע לבקר, סיוע)A/R (משולב)
בחר ומעבדי ביקורת/מעבדי משנהA/RR (לשמור על הרישום, להודיע)A/R (כל אחד באזור שלו)
שידורים חוצי גבולות (SCCs/IDTA)A/RR (ביצוע)A/R (משולב)
שימור/הסרהA/RR (ביצוע הוראות)A/R (משולב)

5) מסמכים והסכמים

סכימת עיבוד נתונים (DPA) - מעבד ה ־ ac של הבקר הנדרש על ידי הסכימה.
מינימום: PD נושא/קטגוריות, מטרות/הוראות, TOMS, סודיות, סיוע עם DSAR/DPIA, הודעות תקרית, מחיקת נתונים/חזרה, ביקורת, מעבדי משנה (מנגנון רשימה/הסכמה).
סידור 26 (Joint Controllers): הפצה שקופה של תחומי אחריות (מידע, DSAR, נקודת מגע), תמצית התפקידים במדיניות ציבורית.
SCCs/UK IDTA + DTIA: חובה לשידורים שאינם EEA/UK אם אינם מספיקים.
ROPA: רשום פעולות עיבוד בבקר ובמעבד (של קבוצה משלו).
מונחי שיווק/SDK: ללא מיחזור, תפקידים ברורים ומטרות.

6) אזורים קריטיים וטעויות אופייניות

1. ערבוב תפקידים: ה ”מעבד” משתמש בנתונים למטרות שלו.
2. מעבדי משנה ללא רשות: המעבד מוסיף ספק ללא הסכמתך.
3. אין הוראות שימור/מחיקה/תקרית/ביקורת.
4. שליטה משותפת אטומה: אין אמנות. 26 - תלונות וסיכונים עונשיים.
5. SDKs שיווק: ספקים למשוך פ "ד לעצמם - אתה אחראי לגילוי וחוקיות.
6. PSP/Banks: זו טעות להחשיב אותם כמעבדים; לעתים קרובות יותר אלה הם בקרים בודדים.

7) תבנית מיני DPA (רסיסי ניסוח)

מטרות וטבע העיבוד: ”המעבד מעבד את PD באופן בלעדי לאימות KYC כפי שהונחה על ידי הבקר”.
הוראות: ”כל שינוי של מטרות דורש את הסכמתו הכתובה של הבקר”.

מעבדי משנה: "המעבד אינו מושך תת-מעבדים ללא אישור בכתב קודם; מתחזק ומפרסם רישום עדכני"

אבטחה: ”המעבד תומך ב ־ TOMS (הצפנה, זיהוי, בקרת גישה, רישום) לא נמוך ממה שתואר בנספח A.”

תקריות: ”המעבד מודיע לבקר ללא עיכוב מיותר ומספק את כל המידע להודעות לווסת ולישויות”.
מחיקה/חזרה: ”בסוף השירות, המעבד מוחק/מחזיר PD ומוחק עותקים בגיבויים לפי לוח הזמנים”.
ביקורת: ”הבקר רשאי לערוך ביקורות/שאלונים/דיווחים חיצוניים (SOC2/ISO) בהתראה סבירה”.

8) DPIA/DTIA וחציית גבול

בקר מתחיל; מעבד מספק מידע על מערכות, סיכונים, TOMs.
DTIA: עם SCCs/IDTA - הערכה של סביבת האכיפה של הנמען, אמצעים נוספים (E2EE, מפתחות לקוח, קוואזי-אנונימיזציה, אחסון מפתחות ב-EC/UK).

9) עבודה עם זכויות הנושא (DSAR) בתפקידים מבוזרים

בקר: מקבל את הבקשה, מאשר את הזהות, מתאם את האוסף, מגיב בתוך (בדרך כלל 30 יום).
מעבד: מייד מספק העלאות/מחיקות כפי שמכוונים, אינו מגיב ישירות לנבדק (אלא אם הורו לו אחרת).
מפקחים משותפים: בהסכם, ציין את ”נקודת המגע” ואת החלפת הנתונים עבור התגובה.

10) ביטחון ואירועים: מי עושה מה

בקר: מדיניות תקרית, DPA/User Notification Plan, CAPA Management.
הודעה מיידית של הבקר, זיהוי פלילי טכני, בלימה, יומנים, סיוע עם הודעות.
מפקחים משותפים: מטריצת הודעה מוסכמת; קו תקשורת אחד.

11) שימור, מחיקה, נתוני בדיקה

בקר: קובע תקופות אחסון בהתאם ליעדים/חוקים (AML, חשבונאות).
מעבד: מיישם מחיקה/אנונימיות בלוח זמנים, בנפרד - ניקוי גיבויים; איסור להשתמש PD בסביבת מבחן ללא מיסוך/סינתטי.

12) שילוב מבצעי (תרגול)

CAB/Change: כל תפקיד/תת מעבד/שינוי טריטוריה - באמצעות CAB ועריכת DPA/SCCs.
מפת נתונים & ROPA: Live Stream Map; לבקר יש מטרות ומקבלים, למעבד יש קטגוריות ופעולות.
ניהול ספקים: בדיקת נאותות לפני העלייה למטוס (ISO/SOC2, מבחן חדירה, מדיניות תקרית, גאוגרפיה של נתונים).
ביקורת: רשימות צ 'קים, שאלונים, רישומי גישת מח "ש, היגיון מחיקה.

13) רשימת ”הגדרת התפקיד”

[ ] מי מציב לעצמו מטרות ופרמטרים מרכזיים לעיבוד? ‏
[ ] האם ניתן להשתמש שוב במשטרה למטרותיה? ‏
[ ] האם לצד השני יש בסיס משפטי נפרד? ‏
[ ] מי אחראי לישות (DSAR)? ‏
[ ] דרושים DPAs (אומנות. 28) או סידור (אמנות. 26)? ‏
[ ] האם יש כל תת-מעבדים ומנגנון התאמה?
[ ] האם יהיו שידורים חוצי גבולות ואיזה מנגנון (SCCs/IDTA)?

14) שאלות נפוצות (FAQ)

PSP - מעבד או בקר?
בדרך כלל בקר נפרד: מטרות משלו (שירותי תשלום, מניעת הונאה, דיווח רגולטורי).

ספק KYC יכול לאחסן תמונות להכשרת דוגמניות?
רק עם מעמד של בקר (עם בסיס וגילוי נפרדים) או בהסכמה מפורשת שלך ובבסיס משפטי נכון. אחרת, זה אסור.

השותפות שהביאה את השחקן היא מעבד?
לעתים קרובות יותר בקר נפרד: הוא אוסף פ "ד למטרותיו שלו. קמפיינים משותפים דורשים הקצאת תפקידים מפורשת.

שרת כריתת הענן - של מי הנתונים?
עיבוד יומן הוא באחריותו של המעבד להבטיח ביטחון; שימוש חוזר למטרותיו דורש קרקע נפרדת (אחרת לא יהיה אפשרי).

15) מדיניות תפקידים מיני (קטע לסטנדרט פנימי)

1. כברירת מחדל, האופרטור משמש כבקר לכל זרימת PD של שחקנים/שותפים.
2. כל ספק עם גישה ל-PD - רשום כמעבד (DPA) או כבקר נפרד (למטרותיו).
3. הוספת תת-מעבד דורשת הסכמה בכתב ועדכוני רישום.
4. כל שינוי בתפקידים/טריטוריות/מטרות - באמצעות CAB, DPO ו משפטי.
5. DSAR ואירועים - מתואמים על ידי הבקר, מעבדים להגיב SLA.

16) מימוש מפת דרכים

שבועות 1-2: מלאי של זרימת נתונים ותפקידים; מטריצת ”מי הוא מי”; עדכון רופא.
שבועות 3-4: מסקנה/עדכון DPA, אמנות. 26 (היכן שצריך), רישום תת-מעבד; הכנת שאלוני ביקורת.
חודש 2: DTIA/SCCs/IDTA, עדכון מדיניות ציבורית, אימוני צוות.
חודש 3 +: ביקורת ספקים רגילה, מבחן DSAR, לוח זמנים, ביקורת תפקידים לשינויי מוצר/שיווק.

17) תבנית קצרה ”מטריקס תפקידים” (דוגמה)

זרםתפקיד מרכזNameתפקיד מקבילמסמכיםהערה
CCM/סנקציותבקרמעבדהוראות DPA +אין שימוש מחדש
תשלומים (PSP)דיפ. בקרדיפ. בקרהסכם + הודעת פרטיותאחריות נפרדת
אירוח/ענןבקרמעבד/תת מעבדDPA, SCCs/IDTAגיאוגרפיה של נתונים
שיווק ־ SDKבקרמעבד או בקר מחלקהDPA/Joint/TOSבדוק שימוש חוזר
אנליטיקהבקרמעבדDPA, הגבלת מטרהפסאודונימיזציה

TL; DR

אנו קובעים את התפקיד באמצעות מטרות ושיטות עיבוד: אתה מחליט ”למה/איך” - הבקר; ביצוע כפי מכוון - מעבד; יחד אתה מחליט - בקרים משותפים. מעצבת את זה ב DPA/art. 26, אנחנו מנהלים את ROPA, שולטים בתת-מעבדים, מספקים DPIA/DTIA, זכויות נושא וביטחון. מטריצת תפקידים ברורה = פחות סיכונים רגולטוריים, פחות תחומי מחלוקת, וביקורות מהירות יותר.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.