गोपनीयता नीति और जीडीपीआर
1) उद्देश्य और दायरा
उद्देश्य: ऑपरेटर की उपस्थिति के सभी न्यायालयों में खिलाड़ियों, भागीदारों और कर्मचारियों के व्यक्तिगत डेटा (पीआईआई) के कानूनी, पारदर्शी और सुरक्षित प्रसंस्करण को सुनिश्चित करना।
कवरेज: वेब/मोबाइल एप्लिकेशन, सीआरएम/बीआई/डीडब्ल्यूएच, एंटी-फ्रॉड/एएमएल/केवाईसी, पीएसपी/सीयूएस/प्रतिबंध प्रदाता, समर्थन, विपणन, सहयोगी, लाइव स्टूडियो, होस्टिंग और लॉगिंग।
2) भूमिकाएँ और जिम्मेदारियाँ (RACI)
डेटा संरक्षण अधिकारी (डीपीओ) - ए: अनुपालन निरीक्षण, आरओपीए, डीपीआईए/डीटीआईए, नियामकों की प्रतिक्रिया।
अनुपालन के प्रमुख - ए: नीति, जोखिम भूख, वृद्धि और रिपोर्टिंग।
कानूनी - सी: कानूनी आधार, डीपीए/एससीसी अनुबंध, बैनर और नोटिस ग्रंथ।
सुरक्षा/एसआरई - आर: तकनीकी और संगठनात्मक उपाय (टीओएम), एक्सेस लॉग, घटनाएं।
डेटा/द्वि - आर: डेटा निर्देशिका, न्यूनतम करना, मास्किंग/छद्म नामकरण।
विपणन/सीआरएम - आर: सहमति, वरीयता, सदस्यता, कुकीज़।
उत्पाद/इंजीनियरिंग - आर: डिजाइन/डिफ़ॉल्ट, प्रतिधारण और स्वभाव द्वारा गोपनीयता।
समर्थन/वीआईपी - आर: विषय पूछताछ (डीएसएआर), पहचान सत्यापन।
3) कानूनी आधार
सहमति - विपणन, विश्लेषणात्मक/विज्ञापन कुकीज़, गैर-अनिवार्य निजीकरण।
संविदा - पंजीकरण, दरों/निष्कर्षों की प्रक्रिया, समर्थन।
कानूनी दायित्व - केवाईसी/एएमएल/प्रतिबंध, लेखांकन और रिपोर्टिंग।
वैध हित - धोखाधड़ी-विरोधी, सुरक्षा, उत्पाद सुधार (ब्याज संतुलन परीक्षण के साथ - एलआईए)।
महत्वपूर्ण/सार्वजनिक हित - दुर्लभ आर जी मामले/सुरक्षा, यदि कानून द्वारा लागू और अनुमत है।
4) डेटा विषयों के अधिकार (डीएसआर/डीएसएआर)
एक्सेस (आर्ट 15), करेक्शन (आर्ट। 16), डिलेशन (आर्ट। 17), बाधा (आर्ट। 18), टॉलरेबिलिटी (आर्ट। 20), ऑब्जेक्शन (आर्ट। 21), विशेष रूप से स्वचालित समाधान (आर्ट 22) की वस्तु नहीं।
DSAR प्रसंस्करण SLA: पुष्टि ≤ 7 दिन, निष्पादन ≤ 30 दिन (एक और 60 के लिए लंबा होना यदि विषय को सूचित करना मुश्किल है)।
सत्यापन: बहुफलकीय; खुले चैनलों पर संवेदनशील डेटा के प्रकटीकरण को प्रतिबंधित कर
लॉग: संग्रहीत अनुरोध, पहचान जाँच, जारी किया डेटा पैकेज और प्रतिक्रिया
5) प्रसंस्करण संचालन रजिस्टर (RoPA)
न्यूनतम क्षेत्र: लक्ष्य, विषय/डेटा श्रेणियां, कानूनी आधार, प्रतिधारण अवधि, प्राप्तकर्ता/तीसरे देश, सुरक्षा उपाय, डेटा स्रोत, स्वचालित निर्णय/प्रोफाइलिंग, डीपीआईए/डीटीआईए, यदि।
6) डीपीआईए/डीटीआईए: कब और कैसे
डीपीआईए - उच्च जोखिम पर: बड़े पैमाने पर प्रोफाइलिंग, नए एंटी-फ्रॉड मॉडल, जियोडेटा प्रोसेसिंग, आरजी ट्रिगर, व्यवस्थित अवलोकन।
डीटीआईए/टीआईए - ईईए/यूके के बाहर सीमा पार प्रसारण के लिए: सरकारी एजेंसियों द्वारा स्थानीय पहुंच का आकलन, संविदात्मक/तकनीकी उपाय।
प्रक्रिया: स्क्रीनिंग जोखिमों और उपायों का आकलन डीपीओ/कानूनी अनुमोदन - नियंत्रण का कार्यान्वयन मान्यताएं लॉग।
7) कुकीज़, पिक्सेल, एसडीके और सहमति बैनर
श्रेणी: कड़ाई से आवश्यक, कार्यात्मक, विश्लेषणात्मक, विपणन।
आवश्यकताएं:- सहमति तक - हम केवल कड़ाई से आवश्यक लोड करते हैं।
- दानेदार समझौता और अलग इनकार; संस्करणों और समय टिकटों का एक लॉग।
- आईएबी टीसीएफ के साथ सीएमपी (यदि लागू हो); लक्ष्य/प्रदाताओं को बदलते समय बैनर को ऑटो-अपडेट करना।
- किसी भी समय आसान सदस्यता/परिवर्तन।
8) हैंडलर और उप-प्रोसेसर
प्रत्येक प्रदाता के साथ डीपीए: विषय, लक्ष्य, डेटा श्रेणियां, समय सीमा, टीओएम, उप-प्रोसेसर, ऑडिट।
उप-प्रोसेसर (संस्करण) का सार्वजनिक रजिस्टर; परिवर्तन और आपत्ति के अधिकार की सूचना।
जाँच: कारण परिश्रम (आईएसओ/एसओसी 2), परीक्षण की घटनाएँ, अनुरोध पर पेन्टेस्ट रिपोर्ट, ऑफबोर्डिंग योजना।
9) सीमा पार स्थानांतरण
SCCs/IDTA + DTIA; यदि आवश्यक हो - अतिरिक्त उपाय: E2EE, ग्राहक एन्क्रिप्शन, अर्ध-गुमनामी, यूरोपीय संघ में कुंजी।
हम नीति/रजिस्टर में कानूनी तंत्र, देशों और प्राप्तकर्ताओं को निर्धारित करते
10) प्रतिधारण और विलोपन
दिनांक मैट्रिक्स (उदाहरण):विलोपन नीति: DWH/वाल्ट में स्वचालित कार्य (कार्य); चक्र लॉगिंग द्वारा बैकअप में विलोपन। एनालिटिक्स के लिए अलियासिंग आईडी।
11) सुरक्षा (TOMs)
तकनीकी: आराम/पारगमन एन्क्रिप्शन, नेटवर्क विभाजन, अधिकार न्यूनतम करना, केएमएस/कुंजी रोटेशन, डीएलपी, ईडीआर/आईडीएस/डब्ल्यूएएफ, एसएसओ/एमएफए, गुप्त प्रबंधक, वर्म लॉगिंग।
संगठनात्मक: अभिगम नीतियां, प्रशिक्षण, एनडीए, स्वच्छ डेस्क, विक्रेता सत्यापन, घटना प्रबंधन (एसएएनएस/एनआईएसटी)।
डिजाइन/डिफ़ॉल्ट द्वारा गोपनीयता: परिवर्तन प्रक्रियाओं में मूल्यांकन, न्यूनतम डिफ़ॉल्ट डेटा सेट, पीआईआई के बिना डेटा का परीक्षण।
12) रिसाव और घटना सूचनाएं
मूल्यांकन: तथ्य, मात्रा और जोखिम की पुष्टि।
डेडलाइन (बेंचमार्क): डेटा के अनुसार पर्यवेक्षी प्राधिकरण को - अधिकारों/स्वतंत्रता के जोखिम पर 72 घंटे तक; उपयोगकर्ता - अनुचित देरी के बिना।
अधिसूचना की सामग्री: घटना विवरण, श्रेणियां और रिकॉर्ड की अनुमानित संख्या, डीपीओ संपर्क, परिणाम, उपाय, विषयों की सिफारिशें।
लॉग: समयरेखा, समाधान, पत्र/प्रतिक्रिया टेम्पलेट, CAPA।
13) विपणन और संचार
लेनदेन संबंधी संदेशों का पृथक्करण (बिना सहमति के) और विपणन संदेश (केवल सहमति के साथ)।
वरीयता प्रबंधन: सेटिंग्स सेंटर, विषय/चैनल द्वारा सदस्यता, डबल-ऑप्ट-इन (जहां आवश्यक हो)।
सहयोगी और ट्रैकिंग: पीआईआई के संग्रह/हस्तांतरण पर संविदात्मक प्रतिबंध, बिना कारण और सहमति के पहचानकर्ताओं के हस्तांतरण पर प्रतिबंध।
14) सार्वजनिक गोपनीयता नीति - संरचना
1. हम और डीपीओ संपर्क कौन हैं।
2. हम क्या डेटा एकत्र करते हैं (श्रेणी और स्रोत द्वारा)।
3. उद्देश्य/कानूनी आधार (तालिका "उद्देश्य → डेटा → आधार → शब्द")।
4. कुकीज ़/एसडीके और सहमति प्रबंधन।
5. प्राप्तकर्ता और सीमा पार हस्तांतरण (तंत्र और उपाय)।
6. विषयों के अधिकार और उन्हें कैसे लागू किया जाए।
7. डेटा सुरक्षा (उच्च-स्तरीय TOMs)।
8. अवधारण अवधि और मानदंड।
9. सामान्य शब्दों में स्वचालित समाधान/प्रोफाइलिंग और तर्
10. नीति परिवर्तन (संस्करण) और हम कैसे सूचित करते हैं।
11. शिकायतों के लिए संपर्क (अधिकार क्षेत्र द्वारा डीपीए, यदि आवश्यक हो)।
15) साँचा और नमूना योगों
15. 1 लक्ष्य/आधार तालिका (टुकड़ा):
15. 2 कुकी बैनर (न्यूनतम):
"हम कुकीज़का उपयोग करते हैं। "सभी को स्वीकार करें" पर क्लिक करके, आप विश्लेषणात्मक और विपणन कुकीज़के भंडारण के लिए सहमत हैं। आप चयन को श्रेणी द्वारा बदल सकते हैं। "वैकल्पिक अस्वीकार करें" - केवल कड़ाई से आवश्यक कुकीज़"
15. 3 प्रोफाइलिंग सेक्शन (उदाहरण):
"हम धोखाधड़ी को रोकने और जिम्मेदार (आरजी) खेलने के लिए प्रोफाइलिंग का उपयोग करते हैं। यह सुरक्षा के लिए और हमारे वैध हितों के अनुरूप आवश्यक है। आप तब तक आपत्ति कर सकते हैं जब तक कि अन्यथा कानून द्वारा निर्धारित नहीं किया जाता है ( एएमएल) "
16) प्रक्रिया SOPs
SOP-1: नीति अद्यतन
ट्रिगर: नए लक्ष्य/विक्रेता/एसडीके/न्यायालय।
चरण: इन्वेंट्री → LIA/DPIA → टेक्स्ट अपडेट → स्थानीयकरण → CMP अपडेट → उपयोगकर्ताओं के लिए संचार → प्रविष्टि का संस्करण/तिथि।
SOP-2: DSAR
अनुरोध चैनल पहचान सत्यापन डेटा वॉल्यूम अनुमान पैकेज संग्रह (सिस्टम से निर्यात) कानूनी ऑडिट जारी/औचित्य के साथ इनकार।
SOP-3: नया उप-प्रोसेसर
परिश्रम के कारण → DPA/SCCs → DTIA → घटना परीक्षण → सार्वजनिक रजिस्ट्री समावेश → उपयोगकर्ता अधिसूचना (यदि आवश्यक हो)।
17) प्रशिक्षण और लेखा परीक्षा
सभी के लिए ऑनबोर्डिंग + वार्षिक गोपनीयता प्रशिक्षण; सहायता/विपणन/इंजीनियरिंग के लिए अतिरिक्त प्
वर्ष में एक बार आंतरिक ऑडिट: RoPA, प्रतिधारण अनुपालन, चयनात्मक DSAR सत्यापन, CIW/कुकी समीक्षा, परीक्षण अनुप्रयोग, प्रवेश परीक्षण/लॉग फोरेंसिक।
केपीआई: प्रशिक्षित कर्मचारियों का%; एसएलए डीएसएआर; अलियासिंग सक्षम CAPA के साथ सिस्टम का अनुपात।
18) स्थानीयकरण और बहु-अधिकारिता
एक मूल मानक के रूप में GDPR/UK GDPR; संचार और कुकीज़के लिए eProvince/PECR पर विचार करें।
स्थानीय बारीकियां (उदाहरण): बाल डेटा, केवाईसी प्रतिधारण अवधि, अधिसूचना प्रपत्र, दस्तावेज़ भाषा आवश्यकताओं को संसाधित करने के लिए सहमति की आयु।
देश द्वारा विसंगति मैट्रिक्स और लागू कोड/लाइसेंस के संदर्भ बनाए रखना।
19) कार्यान्वयन रोडमैप (उदाहरण)
सप्ताह 1-2: डेटा/सिस्टम इन्वेंटरी, आरओपीए, फ्लो मैप, पॉलिसी ड्राफ्ट।
सप्ताह 3-4: उच्च जोखिम वाली प्रक्रियाओं के लिए CIW/बैनर, उप-प्रोसेसर रजिस्ट्री, DPA/SCCs, DPIA।
महीना 2: वरीयता केंद्र का शुभारंभ, विलोपन/गुमनामी का स्वचालन, कर्मचारी प्रशिक्षण।
महीना 3 +: आवधिक ऑडिट, डीएसएआर परीक्षण, स्थानीयकरण और रजिस्ट्री अपडेट।
20) लघु तत्परता चेकलिस्ट
- DPO सौंपा, संपर्क प्रकाशित
- अप-टू-डेट RoPA और डेटा फ्लो मैप
- नीति प्रकाशित, स्थानीयकृत, वर्तमान
- सिद्ध ऑप्ट-इन/ऑप्ट-आउट लॉग के साथ सीएमपी
- डीपीए/एससीसी और सार्वजनिक उप-प्रोसेसर रजिस्ट्री
- DPIA/DTIA जोखिम प्रक्रियाओं के लिए पूरा हुआ
- प्रतिधारण-नौकरियां और विलोपन/गुमनामी प्रक्रियाएं
- डीएसएआर और घटनाओं पर एसओपी, प्रशिक्षित मालिक
- मेट्रिक्स/केपीआई और वार्षिक गोपनीयता लेखा परीक्षा
टीएल; डीआर
मजबूत नीति = स्पष्ट लक्ष्य और औचित्य + इन्वेंट्री और RoPA + नियंत्रण + सुरक्षित क्रॉस-बॉर्डर ट्रांसफर + उप-प्रोसेसर रजिस्ट्री + स्पष्ट अवधारण और विलोपन + DSAR/घटनाएं। यह कानूनी और प्रतिष्ठित जोखिमों को कम करता है और खिलाड़ी का आत्मविश्वास बनाता है।