जीडीपीआर और व्यक्तिगत डेटा प्रोसेसिंग
1) GDPR को क्या नियंत्रित करता है और विषय कौन है
जीडीपीआर अपने व्यक्तिगत डेटा (पीडी) को संसाधित करते समय यूरोपीय संघ/ईईए में व्यक्तियों के अधिकारों की रक्षा करता है। यह लागू होता है यदि:- आप ईयू/ईईए में संस्थापित हैं या यूरोपीय संघ में उपयोगकर्ताओं को लक्षित कर रहे हैं (माल/सेवाएं, व्यवहार निगरानी);
- आप एक नियंत्रक हैं (प्रसंस्करण के लक्ष्यों/साधनों को परिभाषित करें) या एक प्रोसेसर (नियंत्रक की ओर से पीडी की प्रक्रिया)।
- नियंत्रक: लक्ष्यों/साधनों का मालिक, वैधता और पारदर्शिता के लिए जिम्मेदार।
- प्रोसेसर: नियंत्रक के प्रलेखित निर्देशों पर कार्य करता है, डीपीए का समापन करता है।
- डीपीओ (डेटा प्रोटेक्शन ऑफिसर): स्वतंत्र ओवरसाइट, डीपीआईए/डीएसआर, परामर्श, ओवरसाइट के लिए संपर्क।
2) प्रसंस्करण सिद्धांत (अनुच्छेद 5)
1. वैधता, निष्पक्षता, पारदर्शिता।
2. लक्ष्य सीमा। स्पष्ट रूप से वर्णित, संगत लक्ष्य।
3. डेटा न्यूनतम करना। केवल आवश्यक है।
4. सटीकता। अद्यतन और सुधार।
5. भंडारण प्रतिबंध। प्रतिधारण और हटाना/गुमनामी।
6. अखंडता और गोपनीयता। डिफ़ॉल्ट सुरक्षा।
7. जवाबदेही। अनुपालन की उत्पादकता (नीतियां, लॉग, डीपीआईए)।
3) कानूनी आधार (st.6) - iGaming/fintech के लिए मैट्रिक्स
4) विशेष श्रेणियां और बायोमेट्रिक्स (कला। 9)
जब तक कोई अलग कारण न हो, विशेष श्रेणियों (स्वास्थ्य, विश्वास आदि) का प्रसंस्करण निषिद्ध है।
अद्वितीय पहचान के लिए बायोमेट्रिक्स (उदाहरण के लिए, लाइवनेस/फेस-मैच के लिए फेस-टेम्पलेट) को प्रत्यक्ष सहमति या अन्य संकीर्ण कानूनी ढांचे (देश के आधार पर) की आवश्यकता होती है। जहां संभव हो "कच्चे" छवियों के बजाय पैटर्न संग्रहीत करें।
5) प्रोफाइलिंग और स्वचालित समाधान (अनुच्छेद 22)
iGaming/fintech धोखाधड़ी, जिम्मेदार खेल (RG), जोखिम सीमा के लिए प्रोफाइलिंग का उपयोग करते हैं। आवश्यकताएं:- तर्क का पारदर्शी प्रकटीकरण (उचित सीमा के भीतर), महत्व और परिणाम;
- मानव हस्तक्षेप का अधिकार और निर्णय को चुनौती देना;
- अधिकारों/स्वतंत्रता (बड़ेपैमाने पर प्रोफाइलिंग) के जोखिम की उच्च संभावना के साथ डीपीआईए।
- सिफारिशें: कारण कोड, संस्करण मॉडल/नियम स्टोर करें, पूर्वाग्रह ऑडिट करें।
6) डीपीआईए/डीटीआईए: जब अनिवार्य हो
यदि जोखिम अधिक है तो डीपीआईए आचरण करता है: बड़े पैमाने पर प्रोफाइलिंग, बायोमेट्रिक्स, "व्यवस्थित अवलोकन", नए डेटा स्रोत।
डीपीआईए टेम्पलेट: उपचार का उद्देश्य और विवरण कानूनी आधार विषयों के जोखिम - शमन उपाय अवशिष्ट जोखिम योजना।
DTIA (सीमा पार संचरण का मूल्यांकन): प्राप्तकर्ता देश का कानूनी वातावरण + संविदात्मक/उन उपायों (SCC/समकक्ष, एन्क्रिप्शन, कुंजी पृथक्करण)।
7) सीमा पार प्रसारण (Ch. V)
तंत्र: एससीसी, बीसीआर, पर्याप्त निर्णय, स्थानीय एनालॉग।
तकनीकी उपाय: एंड-टू-एंड एन्क्रिप्शन, कुंजी पृथक्करण, क्षेत्र न्यूनतम करना, ट्रांसमिशन से पहले छद्म नाम।
हस्तांतरण रजिस्टर और डीटीआईए परिणाम का दस्तावेजीकरण; नियमित रूप से जोखिमों की
8) विषयों के अधिकार (डीएसआर)
पहुंच, सुधार, विलोपन, प्रतिबंध, पोर्टेबिलिटी, आपत्ति, गैर-विपणन का अधिकार।
समय सीमा: आमतौर पर 30 दिनों तक (आप अधिसूचना के साथ मुश्किल होने पर एक और 60 के लिए विस्तार कर सकते हैं)।
आवेदक की पहचान सत्यापित करें (बहुत अधिक खुलासा किए बिना)।
अपवाद: एएमएल/कर शुल्क आदि के कारण भंडारण।
9) कुकी/एसडीके और विपणन
कुकी को अनिवार्य/कार्यात्मक/एनालिटिक्स/विपणन के रूप में वर्गीकृत करें।
ईयू/ईईजेड एनालिटिक्स/मार्केटिंग के लिए - ऑप्ट-इन (वास्तविक पसंद), सहमति लॉग, विस्तृत विवरण।
ट्रैक/ऑप्ट-आउट का सम्मान न करें; सर्वर-साइड एनालिटिक्स और डेटा न्यूनतम का उपयोग करें।
ई-मेल/एसएमएस विपणन - अलग सहमति; सहमति प्रमाण और टाइमस्टैम्प रखें।
10) सुरक्षा और "डिजाइन/डिफ़ॉल्ट द्वारा गोपनीयता"
पारगमन में एन्क्रिप्शन और आराम पर, भुगतान विवरण का टोकन, डेटा क्षेत्रों का अलगाव (पीआईआई ↔ एनालिटिक्स)।
RBAC/ABAC एक्सेस कंट्रोल, MFA, JIT एक्सेस, एक्टिविटी लॉग, WORM आर्काइव।
अपलोड और एक्सचेंजों का डीएलपी नियंत्रण; देव/मंच पर उत्पादन डेटा की अनधिकृत प्रतियों को प्रतिबंधित करें।
जहां पहचान की कोई आवश्यकता नहीं है, वहां फ़ील्ड को कम से कम, कुल मिलाकर और गुमनाम करें।
11) संचालन रजिस्टर (RoPA) और प्रतिधारण
RoPA: उद्देश्य, आधार, डेटा और विषयों की श्रेणियां, प्राप्तकर्ता, प्रतिधारण अवधि, सुरक्षा उपाय, विदेशों में स्थानांतरण।
प्रतिधारण मैट्रिक्स: प्रत्येक पीडी श्रेणी के लिए (उदाहरण के लिए, एएमएल/केवाईसी ≥5 संबंध की समाप्ति के वर्ष बाद), विलोपन/गुमनामी की विधि, जिम्मेदार स्वामी।
12) लीक और सूचनाएं (Art.33/34)
अधिकारों और स्वतंत्रता के लिए जोखिम का आकलन करें: यदि नुकसान की संभावना है, तो 72 घंटे के भीतर पर्यवेक्षक को सूचित करें, और यदि जोखिम अधिक है, तो अनुचित देरी के बिना विषयों को सूचित करें।
प्रतिक्रिया योजना: अलगाव, फोरेंसिक, सुधार, संचार, समुद्र के बाद; स्टोर कलाकृतियों और समाधानों।
13) प्रोसेसर, डीपीए और विक्रेता प्रबंधन
प्रत्येक प्रोसेसर के साथ, डीपीए: विषय, पीडी श्रेणियां, उप-प्रोसेसर, सुरक्षा, डीएसआर/घटना सहायता, ऑडिट, डेटा विलोपन/रिटर्न का समापन करें।
उचित परिश्रम का संचालन करें: स्थान, प्रमाणपत्र (आईएसओ/एसओसी), घटनाएं, सुरक्षा उपाय, उप-प्रोसेसर।
पुनर्मूल्यांकन प्रतिवर्ष और परिवर्तन (प्रतिबंध, एम एंड ए, भूगोल) के मामले में।
14) मैट्रिक्स "उद्देश्य → मैदान → शेल्फ जीवन"
15) आपके विकी (कंकाल) के लिए प्रलेखन
1. गोपनीयता नीति (स्तरित): लघु संस्करण + पूर्ण।
2. कुकी/सर्वसम्मति प्रबंधन नीति।
3. उपचार रजिस्ट्री (RoPA)।
4. DPIA/DTIA टेम्पलेट + ट्रिगर मानदंड।
5. डीएसआर नीति (एसएलए/प्रक्रिया/टेम्पलेट)।
6. प्रतिधारण और विलोपन नीति + नौकरी-पाइपलाइन।
7. हादसा और अधिसूचना नीति (आरएसीआई, प्रपत्र)।
8. डीपीए टेम्पलेट और विक्रेता कारण परिश्रम चेकलिस्ट।
9. प्रोफाइलिंग और स्वचालित समाधान (व्याख्याता, अपील) के लिए नियम।
16) मेट्रिक्स एंड कंट्रोल
DSR SLA अनुरोध दर ≤30 दिन बंद हो गया।
सहमति कवरेज: वैध ऑप्ट-इन/ऑप्ट-आउट के साथ घटनाओं का अनुपात।
डेटा न्यूनतम सूचकांक - प्रति फीचर डेटा बिंदुओं की औसत संख्या।
पहुंच उल्लंघन/निर्यात: घटनाओं, प्रवृत्ति तक पहुंच और डाउनलोड करें।
एन्क्रिप्शन कवरेज: % टेबल/बाल्टी/बैकअप एन्क्रिप्शन में।
हादसा MTTR/MTTD और दोहराव।
विक्रेता अनुपालन दर और लेखा परीक्षा परिणाम।
RoPA पूर्णता - प्रतिधारण पालन।
17) चेकलिस्ट
सुविधा शुरू करने से पहले (डिजाइन द्वारा गोपनीयता):- DPIA/वैधता आधार DPO द्वारा पुष्टि की गई।
- RoPA में लक्ष्य/आधार/प्रतिधारण दर्ज किए जाते हैं।
- डेटा क्षेत्रों का क्षेत्र न्यूनतम/अलियासिंग/अलगाव।
- कंसेंस बैनर और कुकी श्रेणियों को कॉन्फ़िगर किया गया है।
- डीपीए/विक्रेताओं ने सहमति व्यक्त की, उप-प्रोसेसर सूचीबद्ध।
- लॉग, अलर्ट, ऑडिटिंग, विलोपन/गुमनामी - सक्षम।
- एक्सेस रिव्यू (RBAC/ABAC), अतिरिक्त को याद करें।
- बैकअप रिकवरी टेस्ट।
- DTIA/SCC और उप-प्रोसेसर सूची का संशोधन।
- प्रतिधारण लेखा परीक्षा (समय सीमा द्वारा हटा दी गई) और डीएसआर रजिस्ट्री।
- आईआर प्लान प्रशिक्षण और प्लेबुक अपडेट।
- आवेदक सत्यापन।
- RoPA के माध्यम से सिस्टम से डेटा एकत्र करें।
- अपवादों के कारणों को ठीक करने के साथ समय पर प्रतिक्रिया।
- रिकॉर्ड अपडेट करें और पार्टियों को सूचित करें (यदि पोर्टेबल हो)।
18) कार्यान्वयन रोडमैप
1. सिस्टम और पीडी प्रवाह की सूची; RoPA गठन।
2. डीपीओ असाइनमेंट, नीति अनुमोदन और आरएसीआई।
3. DPIA/DTIA सर्किट का लॉन्च और प्रबंधन को सहमति।
4. डेटा ज़ोन पृथक्करण, एन्क्रिप्शन, डीएलपी, लॉग और वर्म संग्रह।
5. प्रतिधारण पाइपलाइन और हटाने/गुमनामी।
6. विक्रेता समीक्षा, डीपीए, उप-प्रोसेसर रजिस्ट्री।
7. प्रोफाइलिंग: कारण कोड, अपील, व्याख्या।
8. नियमित मैट्रिक्स, बोर्ड रिपोर्ट, बाहरी/आंतरिक लेखा परीक्षा
परिणाम
जीडीपीआर अनुपालन न केवल साइट पर एक नीति है, बल्कि एक पीडी जीवनचक्र प्रबंधन प्रणाली है: डिफ़ॉल्ट रूप से सही आधार, न्यूनतम और सुरक्षा, डीपीआईए/डीटीआईए, विषयों के अधिकारों का सम्मान, नियंत्रित विक्रेताओं और औसत मीट्रिक। वास्तुकला और प्रक्रियाओं में गोपनीयता का निर्माण करके, आप उत्पाद की गति और रूपांतरण का त्याग किए बिना लाइसेंस, साझेदारी और खिलाड़ी विश्वास बनाए रखते हैं।