Քաղաքական քաղաքականությունը և GDPR

1) Նշանակումը և գործողությունների տարածքը

Նպատակը 'ապահովել անձնական տվյալների (PII) խաղացողների, գործընկերների և աշխատակիցների օրինական, թափանցիկ և անվտանգ մշակումը օպերատորի ներկայության բոլոր հատվածներում։

Մոսկվա: Վեբ/բջջային ծրագրեր, CRM/BI/MSH, հակաֆրոդ/AML/KYC, PMS/պրովայդերներ KUS/2019, sapport, մարքեթինգ, աֆֆիլիատներ, նախկին ստուդիաներ, հոստինգի և լոգիստիկ։

2) Դերերը և պատասխանատվությունը (RACI)

DirecTivicer (DPO) - A: RoPA, DPIA/DTIA, կարգավորողների պատասխանները։

Head of Compliant-A 'քաղաքականություն, ռիսկի ախորժակ, էսկալացիա և հաշվետվություններ։

Legal-C 'իրավական հիմքեր, DPA/SCCs պայմանագրեր, բանների և ծանուցումների տեքստեր։

Express/MSE-R: Տեխնոլոգիական և կազմակերպական միջոցներ (TOMS), հասանելիության ամսագիր, միջադեպեր։

System/BI-R: Տվյալների կատալոգ, նվազագույնի, դիմակավորում/կեղծանունացում։

Marketing/CRM-R 'համաձայնություն, նախընտրություններ, թաղումներ, տիկնիկներ։

Cort/Engineering-R: Privacy by Design/International-ը, պահպանումը և հեռացումը։

Supert/VIP-R 'սուբյեկտների հարցումները (DSAR), անհատականության հավատացումը։

3) Մշակման իրավական հիմքերը (Lawful Bases)

Consent (Համաձայնություն) - մարքեթինգը, վերլուծական/գովազդային կտորները, ոչ պարտադիր կերպարները։

Medract (Պայմանագիրը) - ռուսական, ինտեգրման/եզրակացության մշակումը, sapport։

Legal Obligation-ը KYC/AML/սանկցիաներ, հաշվապահություն և հաշվետվություններ։

Legitimate Interesport-ը հակաֆրոդ է, անվտանգությունը, ապրանքի բարելավումը (հետաքրքրությունների հավասարակշռման թեստով - LIA)։

Vital/Public Interest-ը հազվագյուտ RG/անվտանգություն է, եթե կիրառելի և թույլատրված է օրենքով։

4) Տվյալների սուբյեկտների իրավունքները (DSR/DSAR)

Հասանելիությունը (Art. 15), Ուղղումը (Art. 16), Հեռացում (Art. 17), Սահմանափակումը (Art. 18), Փոխանցելիությունը (Art. 20), Առարկություն (Art. 21), ոչ միայն ավտոմատացված լուծման օբյեկտ (Art. 22).

SLA վերամշակման DSAR: Հաստատումը 387 օր է, կատարումը 30 օր է (դեռ 60-ով, երբ առարկայի տեղեկացումը բարդանում է)։

Վերիֆիկացիան 'բազմաֆակտորային; բաց տեղեկատվության վրա զգայուն տվյալների բացահայտման արգելք։

Լոգի 'պահել հարցումը, ստուգել անհատականությունը, տրված տվյալների փաթեթը և պատասխանը։

5) Կառավարման վիրահատությունները (RoPA)

Նվազագույն դաշտերը 'նպատակը, առարկաների/տվյալների կատեգորիաները, իրավական հիմքը, պահեստավորման ժամանակը, ստացող/երրորդ երկրները, անվտանգության միջոցները, տվյալների աղբյուրը, ավտոմատացված լուծումները/ավելացումը, DPIA/DTIA, եթե կա։

6) DPIA/DTIA: Երբ և ինչպես։

DPIA-ն բարձր ռիսկի մեջ է 'լայնածավալ ավելացում, նոր հակաֆրոդ մոդելներ, գեոդեռնացված, RG-stugers, համակարգված դիտարկումներ։

DTIA/TIA-ը EEZ/Մեծ Բրիտանիայի սահմաններից դուրս հիբրիդային փոխանցումների ժամանակ է, պետական օրգանների տեղական հասանելիության գնահատումը, պայմանագրային/տեխնոլոգիական միջոցները։

Գործընթացը 'սկրինինգը բացատրում է ռիսկերների և միջոցառումների գնահատումը DPO/Legal-ի համար, որը նախատեսում է վերահսկել թույլատրությունների ամսագիրը։

7) Կուկի, պիքսել, MSK և համաձայնության բանան

Կատեգորիաները 'խիստ անհրաժեշտ, ֆունկցիոնալ, վերլուծական, մարքեթինգային։

Պահանջները

Մինչև համաձայնությունը, մենք միայն խիստ անհրաժեշտ ենք։

Գրանուլային համաձայնություն և առանձին մերժում; տարբերակների և ժամանակի շտամների ամսագիր։

CBS-ը IAB TCF-ի հետ (եթե կիրառելի է); Banner-ի Avto-նորարարությունը նպատակները փոխելիս/2019։

Հեշտ պատասխան/ընտրության փոփոխություն ցանկացած պահի։

8) Մշակողները և ենթահամակարգերը

DPA-ն յուրաքանչյուր պրովայդերի հետ 'առարկա, նպատակներ, տվյալների կատեգորիաներ, ժամկետներ, TOMS, ենթահամակարգեր, աուդիտներ։

Ենթահամակարգերի հանրային գրանցումը (տարբերակումը); ծանուցում փոփոխությունների և առարկության իրավունքի մասին։

Ստուգումներ ՝ due diligence (ISO/SOC2), թեստային պատահարներ, պենտեստ զեկույցներ, օֆբորդինգի պլան։

9) Հիբրիդային փոխանցումներ

SCCs/IDTA + DTIA; անհրաժեշտության դեպքում 'ավելացված միջոցներ' E2EE, հաճախորդի կոդավորում, քվասինանիմիզացիա, բանալիներ ԵՄ-ում։

Մենք արձանագրում ենք իրավական մեխանիզմը, երկրները և ինտեգրումները Քաղաքականության/2019-ում։

10) Պահեստավորում և հեռացում (Retention & Systetion)

Մատրիցա (օրինակ)

Կատեգորիա	Ժամկետը	Հիմքը
Ռուսական խաղացողի ձայնագրությունը	Մինչև հինգ տարի փակվելուց հետո	AML/ծովում մի շարք խմբակցություններում
KYC/AML փաստաթղթեր	5-10 տարի	Legal Obligation
PII հասանելիության լոգներ	1-3 տարի	Legitimate Interesport/անվտանգություն
Մարքեթինգային իրադարձություններ	24 ամիս	Consent/LI
Սապպորտի ձայնագրություններ	24-36 ամիս	Contract/LI

Մրցույթի քաղաքականությունը 'ավտոմատ առաջադրանքներ (job) MSH/պահեստներում; հեռացումը ցիկլի վրա։ ամրագրում ամսագրերում։ ID կեղծանունացումը վերլուծության համար։

11) Անվտանգություն (TOMS)

Տեխնիկական 'At Rest/Transit-ի կոդավորումը, ցանցերի հատվածները, իրավունքների նվազեցումը, KFC/ռոտացիան, DLP, EDR/IDS/WAF, SSO/MFA, գաղտնի մենեջեր, WORM։

Կազմակերպական 'հասանելիության քաղաքականություն, ուսուցում, NDA, clean desk, գողերի ստուգում, միջադեպերի կառավարում (SANS/NIST)։

Privacy by Design/Windows-ի գնահատումը change գործընթացներում, նվազագույն տվյալների հավաքածուները լռելյայն, թեստային տվյալները առանց PII։

12) Արտահոսքի և միջադեպերի մասին ծանուցումներ

Գնահատականը 'փաստի, ծավալի և ռիսկի ապացույց։

Ժամկետները (կենտրոններ) 'վերահսկող օրգանը տվյալների համաձայն մինչև 72 ժամ իրավունքների/ազատությունների ռիսկի ժամանակ։ Առանց անարդարության ձգձգման։

Ծանուցման բովանդակությունը 'կոդավորման նկարագրություն, կատեգորիաներ և ուղղակիորեն գրառումների քանակը, DPO կապը, հետևանքները, նպատակային միջոցները, սուբյեկտների առաջարկությունները։

Լոգներ ՝ թայմլայն, լուծումներ, նամակների/պատասխանների ձևանմուշներ, CAPA։

13) Մարքեթինգը և հաղորդակցությունը

Գործարքային հաղորդագրությունների բաժանումը (առանց համաձայնության) և մարքեթինգային (միայն համաձայնությամբ)։

Նախընտրությունների կառավարումը 'ինտեգրման կենտրոն, որը տեղադրված է/108, double-opt-in (որտեղ պահանջվում է)։

Աֆֆիլիատները և թրքինգը 'PII-ի հավաքման/փոխանցման պայմանագրային սահմանափակումները, լուծողների փոխանցման արգելքը առանց հիմքերի և համաձայնության։

14) Հանրային քաղաքական քաղաքականությունը կառուցվածք է

1. Ո՞ վ ենք մենք և DPO-ի կապերը։

2. Ի՞ նչ տվյալներ ենք հավաքում (կատեգորիաներով և աղբյուրներով)։

3. Նպատակներ/իրավական հիմքեր («նպատակներ հաստատող տվյալները վերջնական ժամանակահատվածի համար»)։

4. Cookies/MSK-ը և համաձայնության կառավարումը։

5. Ստացողները և հիբրիդային փոխանցումները (մեխանիզմներ և միջոցներ)։

6. Սուբյեկտների իրավունքները և ինչպես իրականացնել դրանք։

7. Տվյալների անվտանգությունը (բարձր մակարդակի TOMs)։

8. Պահեստավորման և չափանիշների ժամկետները։

9. Ավտոմատացված լուծումներ/ավելացում և տրամաբանություն ընդհանուր հատկություններում։

10. Քաղաքականության փոփոխությունները (տարբերակումը) և ինչպես ենք մենք տեղեկացնում։

11. Բողոքների համար շփումները (DPA միգրացիաների մասին, եթե անհրաժեշտ է)։

💡 Լեզուն պարզ և հասկանալի է։ խուսափել ժարգոնից և չափազանց տեխնոլոգիական մանրամասներից։

15) Ձևանմուշներ և ձևակերպման օրինակներ

15. 1 Նպատակներ/հիմքեր (հատված)

Նպատակը	Տվյալները	Հիմքը	Ժամկետը
Մոսկվան և հաշիվը	Միգրացիոն, կոնտակտային	Պայմանագիրը	հաշիվ + X-ի կյանքի տևողությունը + X է
KYC/AML	Փաստաթղթեր, լուսանկարներ, liveness, սանկցիա-հիթեր	Legal Obligation	5-10 տարի
Անտիֆրոդ/անվտանգություն	Device-ID, IP, վարքագծային	Legitimate Interests	24 մեզ
Մարքեթինգը	Email/Push/տիկնիկներ-ID	Consent	մինչև հետ կանչելը

15. 2 Թուղթ (նվազագույն)

"Մենք օգտագործում ենք cookie ֆայլերը։ Ձեռք բերելով «Ընդունել ամեն ինչ» դուք համաձայն եք վերլուծական և մարքեթինգային կոոկիի պահպանմանը։ Դուք կարող եք փոխել ընտրությունը կատեգորիաներով։ "Շեղումը" միայն խիստ անհրաժեշտ cookie" է։

15. 3 Ավելացման բաժին (օրինակ)

"Մենք օգտագործում ենք ավելցուկ խարդախությունները կանխելու և պատասխանատու խաղի համար (RG)։ Դա անհրաժեշտ է անվտանգության համար և համապատասխանում է մեր օրինական շահերին։ Դուք կարող եք պատկերացնել, եթե այլ բան օրենքով սահմանված չէ (օրինակ AML)"։

16) Պրոցեսորային SOP-ը

SOP-1 ՝ Քաղաքականության նորարարություն

Ձգիչները 'նոր նպատակներ/վենդորներ/MSK/իրավասություն։

Քայլերը ՝ LIA/DPIA տեքստի լուծումը բացատրվում է CBS-նորարարության բանաձևի տեղայնացումով։

SOP-2: DSAR

Հարցման ալիքը ապացուցում է, որ տվյալների ծավալը գնահատվում է ռուսական (էքսպոզիցիոն համակարգերից) ռուսական իրավաբանական աուդիտը։

SOP-3: Նոր ենթահամակարգ

Due diligence www.DPA/SCCs www.DTIA-ը հաստատեց օգտագործողների հանրային գրանցումը (եթե անհրաժեշտ է)։

17) Ուսուցում և աուդիտ

Onbording + տարեկան մասնավոր ուսուցում բոլորի համար; լրացուցիչ դասընթացներ Supert/Marketing/Engineering համար։

Ներքին աուդիտը տարին մեկ անգամ ՝ RoPA, համապատասխանում է պահեստավորման ժամանակահատվածներին, DSAR-ի ընտրողական ստուգումը, SMR/տիկնիկներ, թեստային պարամետրեր, պենտեստ/մուտքի լոգարանների ֆորենզիա։

KPI 'ուսուցանվող աշխատողների տոկոսը։ SLA DSAR; միացված կեղծանունով համակարգերի մասնաբաժինը. պատրաստված CAPA-ն։

18) Տեղայնացումը և բազմապատկումը

GDPR/UK GDPR-ը որպես հիմնական պաշտպանիչ։ հաշվի առնել ePrivacy/PECR հաղորդակցությունների և կտորների համար։

Տեղական նրբությունները (օրինակ) 'երեխայի տվյալների մշակման համաձայնության տարիքը, KYC-ի պահպանման ժամանակը, ծանուցման ձևերը, փաստաթղթի լեզվի պահանջները։

Առաջնորդել տարաձայնությունների մատրիցը երկրներով և հղում կատարել կիրառական նորմերին/լիցենզիային։

19) Ճանապարհի քարտեզը (օրինակ)

Շաբաթներ 1-2: Տվյալների/համակարգերի, RoPA-ի, հոսքերի քարտեզը, Քաղաքականության չեռնովիկը։

Շաբաթներ 3-4: SMR/banner, ռուսական ենթահամակարգեր, DPA/SCCs, DPIA բարձր ռիսկային գործընթացների համար։

Մեկ ամիս 2 'նախասիրությունների կենտրոնի մեկնարկը, կոդավորման/անունիզացիայի ավտոմատացումը, աշխատողների ուսուցումը։

Մեկ ամիս 3 + 'պարբերական աուդիտներ, DSAR թեստեր, ավելացումների և տրամագծերի նորարարություններ։

20) Համառոտ չեկի թուղթ պատրաստակամության

Նշանակվել է DPO, շփումները հրապարակվել են
Իրական RoPA և տվյալների հոսքերի քարտեզը
Քաղաքականությունը հրատարակված է, տեղայնացված, տարբերակով
CBS-ն ապացուցված բաղաձայնների/ձախողումների օրինակներով
DPA/SCCS և հանրային ենթահամակարգերի ցուցակը
DPIA/DTIA ավարտված ռիսկի գործընթացների համար
Retention-jobs և կոդավորման/անունիզացիայի ընթացակարգերը
SOP DSAR-ում և պատահականներում, ուսուցանում են սեփականատերերը
Metriki/KPI և տարեկան գաղտնիության աուդիտ

TL; DR

Ուժեղ Քաղաքականությունը = հստակ նպատակներ և հիմքեր + DISAR/պատահականության համար +/կտոր, որը վերահսկում է + անվտանգ վճարային փոխանցումները + 105 սուզանավերի + հստակ պահեստավորման և հեռացման համար + վերապատրաստման DSAR/։ Սա նվազեցնում է իրավաբանական և հեղինակավոր ռիսկերը և ամրացնում խաղացողների վստահությունը։