GDPR के भीतर भूमिकाएँ
1) बुनियादी परिभाषाएं और सिद्धांत
नियंत्रक: व्यक्तिगत डेटा (पीडी) प्रसंस्करण के उद्देश्यों और तरीकों को निर्धारित करता है। वैधता, पारदर्शिता, विषयों के अधिकारों, सुरक्षा-टीओएम, प्रोसेसर के चयन और नियंत्रण के लिए प्राथमिक जिम्मेदारी है।
प्रोसेसर: प्रोसेस पीडी केवल नियंत्रक द्वारा प्रलेखित के रूप में, टीओएम प्रदान करता है, इकाई अधिकारों और घटनाओं के साथ सहायता करता है, रिकॉर्ड बनाए रखता है, और ऑडिट की अनुमति देता है।
संयुक्त नियंत्रक: दो + व्यक्ति संयुक्त रूप से लक्ष्यों और विधियों को परिभाषित करते हैं; विषयों के लिए जिम्मेदारियों और संपर्क के बिंदु का पारदर्शी वितरण आवश्यक है।
उप-प्रोसेसर: प्रोसेसर द्वारा लगे विक्रेता को केवल नियंत्रक और समतुल्य दायित्वों के पूर्व लिखित अनुमोदन के साथ अनुमति दी जाती है।
सुनहरा नियम: कौन तय करता है कि नियंत्रक क्यों और कैसे प्रक्रिया करें; जो केवल "निर्देशों के अनुसार निष्पादित करता है" - प्रोसेसर।
2) व्यवहार में एक भूमिका को कैसे परिभाषित करें (निर्णय वृक्ष)
1. प्रसंस्करण के लिए व्यावसायिक लक्ष्य कौन निर्धा
→ क्या आप हैं? बल्कि एक नियंत्रक।
2. क्या आप अपने उद्देश्यों (एनालिटिक्स, मार्केटिंग) के लिए डेटा का पुन: उपयोग कर सकते हैं?
→ हाँ → नियंत्रक (या संयुक्त नियंत्रक यदि लक्ष्य सामान्य हैं)।
3. क्या दूसरा पक्ष आपको सटीक साधन/सीमाएं बताता है और आपके उद्देश्य प्राप्त होते हैं?
हाँ - प्रोसेसर।
4. क्या दोनों पक्षों द्वारा लक्ष्य निर्धारण के साथ कोई साझा उत्पाद/संयुक्
हाँ - संयुक्त नियंत्रक (कला की आवश्यकता है। 26 व्यवस्था)।
5. क्या आप अपने काम पर एक बादल/विक्रेता को शामिल करते हैं?
→ विक्रेता - उप-प्रोसेसर; तुम नियंत्रक हो। आपके प्राथमिक प्रोसेसर को इसके लिए आपकी अनुमति प्राप्त करनी चाहि
3) iGaming पारिस्थितिकी तंत्र में भूमिकाएँ - उदाहरणों का एक मैट्रिक्स
4) भूमिका जिम्मेदारियां (उच्च स्तरीय आरएसीआई)
5) दस्तावेज और समझौते
डेटा प्रोसेसिंग एग्रीमेंट (डीपीए) -स्कीमा द्वारा आवश्यक नियंत्रक → प्रोसेसर।
न्यूनतम: पीडी विषय/श्रेणियां, उद्देश्य/निर्देश, टीओएम, गोपनीयता, डीएसएआर/डीपीआईए के साथ सहायता, घटना सूचनाएं, डेटा विलोपन/वापसी, लेखा परीक्षा, उप-प्रक्रमक (सूची/सहमति तंत्र)।
आर्ट 26 व्यवस्था (संयुक्त नियंत्रक): जिम्मेदारियों का पारदर्शी वितरण (सूचित, डीएसएआर, संपर्क बिंदु), सार्वजनिक नीति में भूमिकाओं का सार।
SCCs/UK IDTA + DTIA: अपर्याप्त होने पर गैर-EEA/UK प्रसारण के लिए अनिवार्य।
RoPA: नियंत्रक और प्रोसेसर (अपने स्वयं के सेट) पर प्रसंस्करण संचालन का पंजीकरण।
विपणन/एसडीके शब्द: कोई रीसाइक्लिंग, स्पष्ट भूमिका और उद्देश्य नहीं।
6) महत्वपूर्ण क्षेत्र और विशिष्ट त्रुटियां
1. भूमिका मिश्रण: "प्रोसेसर" अपने स्वयं के उद्देश्यों के लिए डेटा का उपयोग करता है - वास्तव में यह एक नियंत्रक/संयुक्त नियंत्रक है।
2. बिना अनुमति के उप-प्रोसेसर: प्रोसेसर आपकी सहमति के बिना एक विक्रेता जोड़ ता है।
3. "खाली" डीपीए: कोई स्पष्ट प्रतिधारण/विलोपन/घटना/लेखा परीक्षा निर्देश नहीं।
4. अपारदर्शी संयुक्त नियंत्रण: कोई कला नहीं। 26 - शिकायत और दंड जोखिम।
5. विपणन एसडीके: प्रदाता अपने लिए पीडी खींचते हैं - आप प्रकटीकरण और वैधता के लिए जिम्मेदार हैं।
6. PSP/बैंक: उन्हें प्रोसेसर पर विचार करना एक गलती है; अधिक बार ये व्यक्तिगत नियंत्रक होते हैं
7) डीपीए मिनी-टेम्पलेट (शब्द टुकड़े)
प्रसंस्करण के लक्ष्य और प्रकृति: "प्रोसेसर विशेष रूप से नियंत्रक द्वारा निर्देशित केवाईसी सत्यापन के लिए पीडी को संसाधित करता है।"
निर्देश: "उद्देश्यों के किसी भी परिवर्तन के लिए नियंत्रक की लिखित सहमति की आवश्यकता होती है।"
उप-प्रोसेसर: "प्रोसेसर पूर्व लिखित अनुमति के बिना उप-प्रोसेसर को आकर्षित नहीं करता है; एक अप-टू-डेट रजिस्टर बनाए रखता है और प्रकाशित करता है।"
सुरक्षा: "प्रोसेसर TOMs का समर्थन करता है (एन्क्रिप्शन, अलियासिंग, एक्सेस कंट्रोल, लॉगिंग) परिशिष्ट ए में वर्णित की तुलना में कम नहीं है।"
घटनाएं: "प्रोसेसर अनुचित देरी के बिना नियंत्रक को सूचित करता है और नियामक और संस्थाओं को सूचनाओं के लिए सभी जानकारी प्रदान करता है।"
विलोपन/वापसी: "सेवा के अंत में, प्रोसेसर पीडी को हटा देता है/लौटाता है और समय पर बैकअप में प्रतियों को हटा देता है।"
ऑडिट: "नियंत्रक उचित नोटिस के साथ ऑडिट/प्रश्नावली/बाहरी रिपोर्ट (SOC2/ISO) कर सकता है।"
8) डीपीआईए/डीटीआईए और सीमा पार
DPIA: नियंत्रक शुरू होता है; प्रोसेसर सिस्टम, जोखिम, टीओएम के बारे में जानकारी प्रदान
DTIA: SCCs/IDTA के साथ - प्राप्तकर्ता के प्रवर्तन वातावरण का मूल्यांकन, अतिरिक्त उपाय (E2EE, ग्राहक कुंजी, अर्ध-गुमनामी, ईसी/यूके में प्रमुख भंडारण)।
9) वितरित भूमिकाओं में विषय अधिकारों (डीएसएआर) के साथ काम करना
नियंत्रक: अनुरोध स्वीकार करता है, पहचान को सत्यापित करता है, संग्रह का समन्वय करता है, (आमतौर पर ≤30 दिनों) के भीतर जवाब देता है।
प्रोसेसर: तुरंत निर्देश के अनुसार अपलोड/डिलीट प्रदान करता है, सीधे विषय का जवाब नहीं देता है (जब तक कि अन्यथा निर्देश न दिया जा
संयुक्त पर्यवेक्षक: समझौते में, प्रतिक्रिया के लिए "संपर्क के बिंदु" और डेटा विनिमय को निर्दिष्ट करें।
10) सुरक्षा और घटनाएं: कौन करता है
नियंत्रक: हादसा नीति, डीपीए/उपयोगकर्ता अधिसूचना योजना, सीएपीए प्रबंधन।
प्रोसेसर: नियंत्रक, तकनीकी फोरेंसिक, नियंत्रण, लॉग, सूचनाओं के साथ सहायता की तत्काल अधिसूचना।
संयुक्त पर्यवेक्षक: सहमत अधिसूचना मैट्रिक्स; संचार की एक पंक्ति।
11) प्रतिधारण, विलोपन, परीक्षण डेटा
नियंत्रक: नीति में प्रकाशित लक्ष्यों/कानूनों (एएमएल, लेखांकन) के अनुसार भंडारण अवधि निर्धारित करता है।
प्रोसेसर: एक शेड्यूल पर विलोपन/गुमनामी को लागू करना, अलग से - सफाई बैकअप; मास्किंग/सिंथेटिक्स के बिना परीक्षण वातावरण में पीडी का उपयोग करने के लिए निषेध।
12) परिचालन एकीकरण (अभ्यास)
CAB/परिवर्तन: कोई भी भूमिका/उप-प्रोसेसर/क्षेत्र परिवर्तन - CAB और DPA/SCCs संपादन के माध्यम से।
डेटा मैप और RoPA: लाइव स्ट्रीम मैप; नियंत्रक के पास लक्ष्य और प्राप्तकर्ता हैं, प्रोसेसर में श्रेणियां और संचालन
विक्रेता प्रबंधन: ऑनबोर्डिंग से पहले परिश्रम (ISO/SOC2, प्रवेश परीक्षण, घटना नीति, डेटा भूगोल)।
ऑडिट: चेकलिस्ट, प्रश्नावली, पीआईआई एक्सेस सैंपल लॉग, डिलेशन लॉजिक।
13) चेकलिस्ट "भूमिका को परिभाषित करना"
- लक्ष्य और प्रमुख प्रसंस्करण मापदंड कौन निर्धा
- क्या पीडी को अपने उद्देश्यों के लिए पुन: उपयोग किया जा सकता है?
- क्या दूसरे पक्ष के पास अलग कानूनी आधार हैं?
- इकाई (DSAR) के लिए कौन जिम्मेदार है?
- क्या डीपीए की आवश्यकता है (कला। 28) या व्यवस्था (कला। 26)?
- क्या कोई उप-प्रोसेसर और मिलान तंत्र है?
- क्या सीमा पार प्रसारण होगा और क्या तंत्र (एससीसी/आईडीटीए) होगा?
14) अक्सर पूछे जाने वाले प्रश्न (FAQ)
पीएसपी - प्रोसेसर या नियंत्रक?
आमतौर पर एक अलग नियंत्रक: अपने लक्ष्य (भुगतान सेवाएं, धोखाधड़ी की रोकथाम, नियामक रिपोर्टिंग)।
केवाईसी प्रदाता मॉडल प्रशिक्षण के लिए फोटो संग्रहीत कर
केवल नियंत्रक की स्थिति के साथ (अलग आधार और प्रकटीकरण के साथ) या आपकी स्पष्ट सहमति और सही कानूनी आधार के साथ। अन्यथा, यह निषिद्ध है।
खिलाड़ी को लाने वाला सहयोगी एक प्रोसेसर है?
अधिक बार एक अलग नियंत्रक: वह अपने उद्देश्यों के लिए पीडी एकत्र करता है। संयुक्त अभियानों के लिए स्पष्ट भूमिका आवंटन की आवश्
क्लाउड लॉगिंग सर्वर - किसका डेटा?
सुरक्षा सुनिश्चित करने के लिए लॉग प्रोसेसिंग प्रोसेसर की जिम्मेदारी है; अपने स्वयं के उद्देश्यों के लिए पुन: उपयोग के लिए एक अलग जमीन की आवश्यकता होती है (अन्यथा संभव
15) मिनी रोल पॉलिसी (आंतरिक मानक के लिए स्निपेट)
1. डिफ़ॉल्ट रूप से, ऑपरेटर खिलाड़ियों/भागीदारों के सभी पीडी प्रवाह के लिए एक नियंत्रक के रूप में कार्य करता है।
2. पीडी तक पहुंच वाला कोई भी विक्रेता - एक प्रोसेसर (डीपीए) के रूप में या एक अलग नियंत्रक (अपने स्वयं के उद्देश्यों के लिए) के रूप में पंजीकृत है।
3. उप-प्रोसेसर जोड़ ने के लिए लिखित सहमति और रजिस्ट्री अपडेट की आवश्यकता होती है।
4. सीएबी, डीपीओ और कानूनी के माध्यम से भूमिकाओं/क्षेत्रों/उद्देश्यों का कोई भी परिवर्तन।
5. डीएसएआर और घटनाएं - नियंत्रक द्वारा समन्वित, प्रोसेसर एसएलए को जवाब देते हैं।
16) कार्यान्वयन रोडमैप
सप्ताह 1-2: डेटा प्रवाह और भूमिकाओं की सूची; एक मसौदा "कौन है" मैट्रिक्स; RoPA अपडेट।
सप्ताह 3-4: डीपीए, कला का निष्कर्ष/अद्यतन। 26 (जहां आवश्यक हो), उप-प्रोसेसर रजिस्ट्री; ऑडिट प्रश्नावली की तैयारी।
महीना 2: DTIA/SCCs/IDTA, सार्वजनिक नीति अद्यतन, टीम प्रशिक्षण।
महीना 3 +: नियमित विक्रेता ऑडिट, डीएसएआर परीक्षण, घटनाओं पर टेबलटॉप, उत्पाद/विपणन परिवर्तनों के लिए भूमिका ऑडिट।
17) लघु टेम्पलेट "रोल मैट्रिक्स" (उदाहरण)
टीएल; डीआर
हम प्रसंस्करण के लक्ष्यों और तरीकों के माध्यम से भूमिका निर्धारित करते हैं: आप निर्णय लेते हैं "क्यों/कैसे" - नियंत्रक; निर्देशित - प्रोसेसर के रूप में प्रदर साथ में आप निर्णय लेते हैं - संयुक्त नियंत डीपीए/कला में इसे औपचारिक रूप देना। 26, हम आरओपीए का संचालन करते हैं, उप-प्रोसेसर को नियंत्रित करते हैं, डीपीआईए/डीटीआईए, विषय अधिकार और सुरक्षा प्रदान करते हैं। स्पष्ट भूमिका मैट्रिक्स = कम नियामक जोखिम, विवाद के कम क्षेत्र और तेजी से ऑडिट।