GDPR के भीतर भूमिकाएँ
1) बुनियादी परिभाषाएँ और सिद्धांत
नियंत्रक: व्यक्तिगत डेटा (पीडी) प्रसंस्करण के उद्देश्यों और तरीकों को निर्धारित करता है। वैधता, पारदर्शिता, विषयों के अधिकारों, सुरक्षा-टीओएम, प्रोसेसर के चयन और नियंत्रण के लिए प्राथमिक जिम्मेदारी है।
प्रोसेसर: प्रोसेस पीडी केवल नियंत्रक द्वारा प्रलेखित के रूप में, टीओएम प्रदान करता है, इकाई अधिकारों और घटनाओं के साथ सहायता करता है, रिकॉर्ड बनाए रखता है, और ऑडिट की अनुमति देता है।
संयुक्त नियंत्रक: दो + व्यक्ति संयुक्त रूप से लक्ष्यों और विधियों को परिभाषित करते हैं; विषयों के लिए जिम्मेदारियों और संपर्क के बिंदु का पारदर्शी वितरण आवश्यक है।
उप-प्रोसेसर: प्रोसेसर द्वारा लगे विक्रेता को केवल नियंत्रक और समतुल्य दायित्वों के पूर्व लिखित अनुमोदन के साथ अनुमति दी जाती है।
सुनहरा नियम: कौन तय करता है कि नियंत्रक क्यों और कैसे प्रक्रिया करें; जो केवल "निर्देशों के अनुसार निष्पादित करता है" - प्रोसेसर।
2) व्यवहार में एक भूमिका को कैसे परिभाषित करें (निर्णय वृक्ष)
1. प्रसंस्करण के लिए व्यावसायिक लक्ष्य कौन निर्धा
→ क्या आप हैं? बल्कि एक नियंत्रक।
2. क्या आप अपने उद्देश्यों (एनालिटिक्स, मार्केटिंग) के लिए डेटा का पुन: उपयोग कर सकते हैं?
→ हाँ → नियंत्रक (या संयुक्त नियंत्रक यदि लक्ष्य सामान्य हैं)।
3. क्या दूसरा पक्ष आपको सटीक साधन/सीमाएं बताता है और आपके उद्देश्य प्राप्त होते हैं?
हाँ - प्रोसेसर।
4. क्या दोनों पक्षों द्वारा लक्ष्य निर्धारण के साथ कोई साझा उत्पाद/संयु
हाँ - संयुक्त नियंत्रक (कला की आवश्यकता है। 26 व्यवस्था)।
5. क्या आप अपने काम पर एक बादल/विक्रेता को शामिल करते हैं?
→ विक्रेता - उप-प्रोसेसर; तुम नियंत्रक हो। आपके प्राथमिक प्रोसेसर को इसके लिए आपकी अनुमति प्राप्त करनी चाहिए।
3) iGaming पारिस्थितिकी तंत्र में भूमिकाएँ - उदाहरणों का एक मैट्रिक्स
4) भूमिका जिम्मेदारियां (उच्च स्तरीय आरएसीआई)
5) दस्तावेज और समझौते
डेटा प्रोसेसिंग एग्रीमेंट (डीपीए) -स्कीमा द्वारा आवश्यक नियंत्रक → प्रोसेसर।
न्यूनतम: पीडी विषय/श्रेणियां, उद्देश्य/निर्देश, टीओएम, गोपनीयता, डीएसएआर/डीपीआईए के साथ सहायता, घटना सूचनाएं, डेटा विलोपन/वापसी, लेखा परीक्षा, उप-प्रक्रमक (सूची/सहमति तंत्र)।
आर्ट 26 व्यवस्था (संयुक्त नियंत्रक): जिम्मेदारियों का पारदर्शी वितरण (सूचित, डीएसएआर, संपर्क बिंदु), सार्वजनिक नीति में भूमिकाओं का सार।
SCCs/UK IDTA + DTIA: अपर्याप्त होने पर गैर-EEA/UK प्रसारण के लिए अनिवार्य।
RoPA: नियंत्रक और प्रोसेसर (अपने स्वयं के सेट) पर प्रसंस्करण संचालन का पंजीकरण।
विपणन/एसडीके शब्द: कोई रीसाइक्लिंग, स्पष्ट भूमिका और उद्देश्य नहीं।
6) महत्वपूर्ण क्षेत्र और विशिष्ट त्रुटियां
1. भूमिका मिश्रण: "प्रोसेसर" अपने स्वयं के उद्देश्यों के लिए डेटा का उपयोग करता है - वास्तव में यह एक नियंत्रक/संयुक्त नियंत्रक है।
2. बिना अनुमति के उप-प्रोसेसर: प्रोसेसर आपकी सहमति के बिना एक विक्रेता जोड़ ता है।
3. "खाली" डीपीए: कोई स्पष्ट प्रतिधारण/विलोपन/घटना/लेखा परीक्षा निर्देश नहीं।
4. अपारदर्शी संयुक्त नियंत्रण: कोई कला नहीं। 26 - शिकायत और दंड जोखिम।
5. विपणन एसडीके: प्रदाता अपने लिए पीडी खींचते हैं - आप प्रकटीकरण और वैधता के लिए जिम्मेदार हैं।
6. PSP/बैंक: उन्हें प्रोसेसर पर विचार करना एक गलती है; अधिक बार ये व्यक्तिगत नियंत्रक होते हैं
7) डीपीए मिनी-टेम्पलेट (शब्द टुकड़े)
प्रसंस्करण के लक्ष्य और प्रकृति: "प्रोसेसर विशेष रूप से नियंत्रक द्वारा निर्देशित केवाईसी सत्यापन के लिए पीडी को संसाधित करता है।"
निर्देश: "उद्देश्यों के किसी भी परिवर्तन के लिए नियंत्रक की लिखित सहमति की आवश्यकता होती है।"
उप-प्रोसेसर: "प्रोसेसर पूर्व लिखित अनुमति के बिना उप-प्रोसेसर को आकर्षित नहीं करता है; एक अप-टू-डेट रजिस्टर बनाए रखता है और प्रकाशित करता है।"
सुरक्षा: "प्रोसेसर TOMs का समर्थन करता है (एन्क्रिप्शन, अलियासिंग, एक्सेस कंट्रोल, लॉगिंग) परिशिष्ट ए में वर्णित की तुलना में कम नहीं है।"
घटनाएं: "प्रोसेसर अनुचित देरी के बिना नियंत्रक को सूचित करता है और नियामक और संस्थाओं को सूचनाओं के लिए सभी जानकारी प्रदान करता है।"
विलोपन/वापसी: "सेवा के अंत में, प्रोसेसर पीडी को हटा देता है/लौटाता है और समय पर बैकअप में प्रतियों को हटा देता है।"
ऑडिट: "नियंत्रक उचित नोटिस के साथ ऑडिट/प्रश्नावली/बाहरी रिपोर्ट (SOC2/ISO) कर सकता है।"
8) डीपीआईए/डीटीआईए और सीमा पार
DPIA: नियंत्रक शुरू होता है; प्रोसेसर सिस्टम, जोखिम, टीओएम के बारे में जानकारी प्र
DTIA: SCCs/IDTA के साथ - प्राप्तकर्ता के प्रवर्तन वातावरण का मूल्यांकन, अतिरिक्त उपाय (E2EE, ग्राहक कुंजी, अर्ध-गुमनामी, ईसी/यूके में प्रमुख भंडारण)।
9) वितरित भूमिकाओं में विषय अधिकारों (डीएसएआर) के साथ काम करना
नियंत्रक: अनुरोध स्वीकार करता है, पहचान को सत्यापित करता है, संग्रह का समन्वय करता है, (आमतौर पर ≤30 दिनों) के भीतर जवाब देता है।
प्रोसेसर: तुरंत निर्देश के अनुसार अपलोड/डिलीट प्रदान करता है, सीधे विषय का जवाब नहीं देता है (जब तक कि अन्यथा निर्देश न दिया जा
संयुक्त पर्यवेक्षक: समझौते में, प्रतिक्रिया के लिए "संपर्क के बिंदु" और डेटा विनिमय को निर्दिष्ट करें।
10) सुरक्षा और घटनाएं: कौन करता है
नियंत्रक: हादसा नीति, डीपीए/उपयोगकर्ता अधिसूचना योजना, सीएपीए प्रबंधन।
प्रोसेसर: नियंत्रक, तकनीकी फोरेंसिक, नियंत्रण, लॉग, सूचनाओं के साथ सहायता की तत्काल अधिसूचना।
संयुक्त पर्यवेक्षक: सहमत अधिसूचना मैट्रिक्स; संचार की एक पंक्ति।
11) प्रतिधारण, विलोपन, परीक्षण डेटा
नियंत्रक: नीति में प्रकाशित लक्ष्यों/कानूनों (एएमएल, लेखांकन) के अनुसार भंडारण अवधि निर्धारित करता है।
प्रोसेसर: एक शेड्यूल पर विलोपन/गुमनामी को लागू करना, अलग से - सफाई बैकअप; मास्किंग/सिंथेटिक्स के बिना परीक्षण वातावरण में पीडी का उपयोग करने के लिए निषेध।
12) परिचालन एकीकरण (अभ्यास)
CAB/परिवर्तन: कोई भी भूमिका/उप-प्रोसेसर/क्षेत्र परिवर्तन - CAB और DPA/SCCs संपादन के माध्यम से।
डेटा मैप और RoPA: लाइव स्ट्रीम मैप; नियंत्रक के पास लक्ष्य और प्राप्तकर्ता हैं, प्रोसेसर में श्रेणियां और संचालन
विक्रेता प्रबंधन: ऑनबोर्डिंग से पहले परिश्रम (ISO/SOC2, प्रवेश परीक्षण, घटना नीति, डेटा भूगोल)।
ऑडिट: चेकलिस्ट, प्रश्नावली, पीआईआई एक्सेस सैंपल लॉग, डिलेशन लॉजिक।
13) चेकलिस्ट "भूमिका को परिभाषित करना"
- लक्ष्य और प्रमुख प्रसंस्करण मापदंड कौन निर्धारित करता
- क्या पीडी को अपने उद्देश्यों के लिए पुन: उपयोग किया जा सकता है?
- क्या दूसरे पक्ष के पास अलग कानूनी आधार हैं?
- इकाई (DSAR) के लिए कौन जिम्मेदार है?
- क्या डीपीए की आवश्यकता है (कला। 28) या व्यवस्था (कला। 26)?
- क्या कोई उप-प्रोसेसर और मिलान तंत्र है?
- क्या सीमा पार प्रसारण होगा और क्या तंत्र (एससीसी/आईडीटीए) होगा?
14) अक्सर पूछे जाने वाले प्रश्न (FAQ)
पीएसपी - प्रोसेसर या नियंत्रक?
आमतौर पर एक अलग नियंत्रक: अपने लक्ष्य (भुगतान सेवाएं, धोखाधड़ी की रोकथाम, नियामक रिपोर
केवाईसी प्रदाता मॉडल प्रशिक्षण के लिए फोटो संग्रहीत कर
केवल नियंत्रक की स्थिति के साथ (अलग आधार और प्रकटीकरण के साथ) या आपकी स्पष्ट सहमति और सही कानूनी आधार के साथ। अन्यथा, यह निषिद्ध है।
खिलाड़ी को लाने वाला सहयोगी एक प्रोसेसर है?
अधिक बार एक अलग नियंत्रक: वह अपने उद्देश्यों के लिए पीडी एकत्र करता है। संयुक्त अभियानों के लिए स्पष्ट भूमिका आवंटन की आवश्यकता होती
क्लाउड लॉगिंग सर्वर - किसका डेटा?
सुरक्षा सुनिश्चित करने के लिए लॉग प्रोसेसिंग प्रोसेसर की जिम्मेदारी है अपने स्वयं के उद्देश्यों के लिए पुन: उपयोग के लिए एक अलग जमीन की आवश्यकता होती है
15) मिनी रोल पॉलिसी (आंतरिक मानक के लिए स्निपेट)
1. डिफ़ॉल्ट रूप से, ऑपरेटर खिलाड़ियों/भागीदारों के सभी पीडी प्रवाह के लिए एक नियंत्रक के रूप में कार्य करता है।
2. पीडी तक पहुंच वाला कोई भी विक्रेता - एक प्रोसेसर (डीपीए) के रूप में या एक अलग नियंत्रक (अपने स्वयं के उद्देश्यों के लिए) के रूप में पंजीकृत है।
3. उप-प्रोसेसर जोड़ ने के लिए लिखित सहमति और रजिस्ट्री अपडेट की आवश्यकता
4. सीएबी, डीपीओ और कानूनी के माध्यम से भूमिकाओं/क्षेत्रों/उद्देश्यों का कोई भी परिवर्तन।
5. डीएसएआर और घटनाएं - नियंत्रक द्वारा समन्वित, प्रोसेसर एसएलए को जवाब देते हैं।
16) कार्यान्वयन रोडमैप
सप्ताह 1-2: डेटा प्रवाह और भूमिकाओं की सूची; एक मसौदा "कौन है" मैट्रिक्स; RoPA अपडेट।
सप्ताह 3-4: डीपीए, कला का निष्कर्ष/अद्यतन। 26 (जहां आवश्यक हो), उप-प्रोसेसर रजिस्ट्री; ऑडिट प्रश्नावली की तैयारी।
महीना 2: DTIA/SCCs/IDTA, सार्वजनिक नीति अद्यतन, टीम प्रशिक्षण।
महीना 3 +: नियमित विक्रेता ऑडिट, डीएसएआर परीक्षण, घटनाओं पर टेबलटॉप, उत्पाद/विपणन परिवर्तनों के लिए भूमिका ऑडिट।
17) लघु टेम्पलेट "रोल मैट्रिक्स" (उदाहरण)
टीएल; डीआर
हम प्रसंस्करण के लक्ष्यों और तरीकों के माध्यम से भूमिका निर्धारित करते हैं: आप निर्णय लेते हैं "क्यों/कैसे" - नियंत्रक; निर्देशित - प्रोसेसर के रूप में प्रदर्शन; साथ में आप निर्णय लेते हैं - संयुक्त नियंत डीपीए/कला में इसे औपचारिक रूप देना। 26, हम आरओपीए का संचालन करते हैं, उप-प्रोसेसर को नियंत्रित करते हैं, डीपीआईए/डीटीआईए, विषय अधिकार और सुरक्षा प्रदान करते हैं। स्पष्ट भूमिका मैट्रिक्स = कम नियामक जोखिम, विवाद के कम क्षेत्र और तेजी से ऑडिट।