GH GambleHub

კონფიდენციალურობის პოლიტიკა და GDPR

1) დანიშნულება და მოქმედების სფერო

მიზანი: უზრუნველყოს მოთამაშეთა, პარტნიორებისა და თანამშრომლების პერსონალური მონაცემების (PII) იურიდიული, გამჭვირვალე და უსაფრთხო დამუშავება ოპერატორის ყველა იურისდიქციაში.
გაშუქება: ვებ/მობილური პროგრამები, CRM/BI/DWH, ანტიფროდი/AML/KYC, PSP/KUS/სანქციების პროვაიდერები, საფოსტო, მარკეტინგი, აფილიატები, ცოცხალი სტუდიები, ჰოსტინგი და ლოჯისტიკა.

2) როლები და პასუხისმგებლობა (RACI)

მონაცემთა დაცვა (DPO) - A: შესაბამისობის ზედამხედველობა, RoPA, DPIA/DTIA, რეგულატორების პასუხები.
Head of Compliance - A: პოლიტიკა, რისკის მადა, ესკალაცია და მოხსენებები.
ლეგალი - C: იურიდიული საფუძვლები, DPA/SCCs ხელშეკრულებები, ბანერების ტექსტები და შეტყობინებები.
უსაფრთხოება/SRE - R: ტექნიკური და ორგანიზაციული ზომები (TOMs), წვდომის ჟურნალი, ინციდენტები.
Data/BI - R: მონაცემთა კატალოგი, მინიმიზაცია, შენიღბვა/ფსევდონალიზაცია.
მარკეტინგი/CRM - R: თანხმობა, პრეფერენციები, პასუხები, ქუქი-ფაილები.
Product/Engineering - R: Privacy by Design/Default, შენახვა და მოცილება.
მხარდაჭერა/VIP - R: სუბიექტების მოთხოვნები (DSAR), პიროვნების გადამოწმება.

3) დამუშავების სამართლებრივი საფუძვლები (Lawful Bases)

თანხმობა (თანხმობა) - მარკეტინგი, ანალიტიკური/სარეკლამო ქუქი-ფაილები, არა სავალდებულო პერსონალიზაცია.
Contract (ხელშეკრულება) - რეგისტრაცია, განაკვეთების/დასკვნების დამუშავება, საფოსტო პორტი.
Legal Obligation - KYC/AML/სანქციები, ბუღალტრული აღრიცხვა და ანგარიშგებები.
იურიდიული ინტერესი - ანტიფროდიული, უსაფრთხოება, პროდუქტის გაუმჯობესება (ინტერესთა დაბალანსების ტესტით - LIA).
Vital/Public Interest არის RG/უსაფრთხოების იშვიათი შემთხვევები, თუ იგი გამოიყენება და ნებადართულია კანონით.

4) მონაცემთა სუბიექტების უფლებები (DSR/DSAR)

წვდომა (არტ. 15), კორექტირება (არტ. 16), მოცილება (არტ. 17), შეზღუდვა (არტ. 18), ტოლერანტობა (არტ. 20), წინააღმდეგობა (არტ. 21), არ იყოს ექსკლუზიურად ავტომატიზირებული გადაწყვეტილების ობიექტი (არტ. 22).
SLA DSAR დამუშავება: დადასტურება 7 დღის განმავლობაში, შესრულება 30 დღის განმავლობაში (გარღვევა კიდევ 60-ით, საგნის შეტყობინებასთან სირთულეებით).
გადამოწმება: მრავალ ფაქტორი; ღია არხებით მგრძნობიარე მონაცემების გამჟღავნების აკრძალვა.
ლოგიკა: შეინახეთ მოთხოვნა, პირადობის მოწმობა, გაცემული მონაცემთა პაკეტი და პასუხის ვადა.

5) დამუშავების ოპერაციების რეესტრი (RoPA)

მინიმალური ველები: მიზანი, საგნების/მონაცემების კატეგორიები, იურიდიული საფუძველი, შენახვის ვადა, მიმღები/მესამე ქვეყნები, უსაფრთხოების ზომები, მონაცემთა წყარო, ავტომატიზირებული გადაწყვეტილებები/პროფილირება, DPIA/DTIA, თუ არსებობს.

6) DPIA/DTIA: როდის და როგორ

DPIA - მაღალი რისკით: ფართომასშტაბიანი პროფილირება, ახალი ანტიფროდიული მოდელები, გეოდების დამუშავება, RG გამომწვევები, სისტემატური დაკვირვება.
DTIA/TIA - EEZ/დიდი ბრიტანეთის გარეთ ტრანსსასაზღვრო გადაცემების დროს: სახელმწიფო ორგანოების ადგილობრივი წვდომის შეფასება, ხელშეკრულებები/ტექნიკური ზომები.
პროცესი: სკრინინგი - რისკებისა და ზომების შეფასება, DPO/Legal- ის კოორდინაცია - მაკონტროლებელი ჟურნალის დამტკიცება.

7) ქუქი-ფაილები, პიქსელები, SDK და თანხმობის ბანერი

კატეგორიები: მკაცრად აუცილებელი, ფუნქციური, ანალიტიკური, მარკეტინგული.

მოთხოვნები:
  • შეთანხმებამდე - ჩვენ მხოლოდ მკაცრად საჭირო ტვირთს ვატარებთ.
  • მარცვლოვანი თანხმობა და ცალკეული უარი; დროის ვერსიებისა და მარკების ჟურნალი.
  • CMP IAB TCF- ით (თუ გამოიყენება); ბანერის განახლება მიზნების/მომწოდებლების შეცვლისას.
  • მსუბუქი პასუხი/არჩევანის შეცვლა ნებისმიერ დროს.

8) დამუშავება და ქვე-პროცესორები

DPA თითოეული პროვაიდერით: საგანი, მიზნები, მონაცემთა კატეგორიები, ვადები, TOMs, სუბპროცესორები, აუდიტები.
სუბპროცესორების საზოგადოებრივი რეესტრი (ვერსია); შეტყობინება ცვლილებებისა და წინააღმდეგობის უფლების შესახებ.
შემოწმებები: due diligence (ISO/SOC2), ტესტის ინციდენტები, მოთხოვნის პენტესტის მოხსენებები, ოფშორული გეგმა.

9) ტრანსსასაზღვრო ტრანსფერები

SCCs/IDTA + DTIA; საჭიროების შემთხვევაში - დამატებითი ზომები: E2EE, კლიენტის დაშიფვრა, კვაზი-ანონიმიზაცია, გასაღებები ევროკავშირში.
ჩვენ ვაწარმოებთ იურიდიულ მექანიზმს, ქვეყნებს და მიმღებს პოლიტიკაში/რეესტრში.

10) შენახვა და მოცილება (Retention & Deletion)

ვადების მატრიცა (მაგალითი):
კატეგორიავადასაძირკველი
მოთამაშის ანგარიშიდახურვის შემდეგ 5 წლამდეAML/ბუღალტრული აღრიცხვა არაერთ იურისდიქციაში
KYC/AML დოკუმენტები5-10 წელიLegal Obligation
Lights წვდომა PII1-3 წელიიურიდიული ინტერესი/უსაფრთხოება
მარკეტინგული მოვლენები24 თვეConsent/LI
საფორტეპიანო ჩანაწერები24-36 თვეContract/LI

მოცილების პოლიტიკა: ავტომატური დავალებები (job) DWH/შენახვის ობიექტებში; მოცილება სარეზერვო ციკლში; ფიქსაცია ჟურნალებში. ID- ის ფსევდონიმიზაცია ანალიტიკოსებისთვის.

11) უსაფრთხოება

ტექნიკური: At Rest/Transit დაშიფვრა, ქსელების სეგმენტი, უფლებების შემცირება, KMS/გასაღების როტაცია, DLP, EDR/IDS/WAF, SSO/MFA, საიდუმლო მენეჯერი, WORM ჟურნალები.
ორგანიზაციული: წვდომის პოლიტიკოსები, ტრენინგი, NDA, წებოვანი desk, მოვაჭრეების შემოწმება, ინციდენტების მენეჯმენტი (SANS/NIST).
Privacy by Design/Default: change პროცესების შეფასება, მინიმალური ნაგულისხმევი მონაცემების ნაკრები, PII ტესტის მონაცემები.

12) გაჟონვისა და ინციდენტების შეტყობინებები

შეფასება: ფაქტის, მოცულობისა და რისკის დადასტურება.
ვადები (მითითებები): ზედამხედველი მონაცემების მიხედვით - 72 საათამდე უფლებების/თავისუფლებების რისკის ქვეშ; მომხმარებლები - გაუმართლებელი შეფერხების გარეშე.
შეტყობინების შინაარსი: ინციდენტის აღწერა, კატეგორიები და ჩანაწერების სავარაუდო რაოდენობა, DPO კონტაქტი, შედეგები, მიღებული ზომები, სუბიექტებისთვის რეკომენდაციები.
ლოგიკა: დრო, გადაწყვეტილებები, წერილების/პასუხების შაბლონები, CAPA.

13) მარკეტინგი და კომუნიკაცია

გარიგების შეტყობინებების გამიჯვნა (თანხმობის გარეშე) და მარკეტინგული (მხოლოდ თანხმობით).
პრეფერენციების მენეჯმენტი: პარამეტრების ცენტრი, გამოწერა თემებზე/არხებზე, ორმაგი-opt-in (სადაც საჭიროა).
Affiliates და tracking: PII- ის შეგროვების/გადაცემის სახელშეკრულებო შეზღუდვები, იდენტიფიკატორების გადაცემის აკრძალვა საფუძველი და თანხმობის გარეშე.

14) საჯარო კონფიდენციალურობის პოლიტიკა - სტრუქტურა

1. ვინ ვართ და DPO კონტაქტები.
2. რა მონაცემებს ვაგროვებთ (კატეგორიებისა და წყაროების მიხედვით).
3. მიზნები/იურიდიული საფუძვლები (ცხრილი „მიზანი - მონაცემები - საფუძველი - ვადა“).
4. Cookies/SDK და თანხმობის მენეჯმენტი.
5. მიმღები და ტრანსსასაზღვრო ტრანსფერები (მექანიზმები და ზომები).
6. სუბიექტების უფლებები და როგორ გავაცნობიეროთ ისინი.
7. მონაცემთა უსაფრთხოება (მაღალი დონის TOMs).
8. შენახვის ვადა და კრიტერიუმები.
9. ავტომატური გადაწყვეტილებები/პროფილირება და ლოგიკა ზოგადად.
10. პოლიტიკის ცვლილებები (ვერსია) და როგორ ვაცნობებთ.
11. კონტაქტები საჩივრებისთვის (საჭიროების შემთხვევაში).

💡 ენა მარტივი და გასაგებია; ჟარგონის თავიდან აცილება და გადაჭარბებული ტექნიკური დეტალიზაცია.

15) შაბლონები და ფორმულირების მაგალითები

15. 1 მიზნების/ბაზების ცხრილი (ფრაგმენტი):

მიზანიმონაცემებისაძირკველივადა
რეგისტრაცია და ანგარიშისაიდენტიფიკაციო, საკონტაქტოხელშეკრულებაანგარიშის სიცოცხლის ხანგრძლივობა + X
KYC/AMLდოკუმენტები, ფოტო, liveness, სანქცირებული ჰიტებიLegal Obligation5-10 წელი
ანტიფროდი/უსაფრთხოებაDevice-ID, IP, ქცევითიLegitimate Interests24 თვე
მარკეტინგიEmail/Push/Cuky-IDConsentსანამ გამოეხმაურებოდა

15. 2 ბანერი კუკი (მინიმალური):

"ჩვენ ვიყენებთ cookie ფაილებს. შეძენილი „ყველაფრის მიღება“, თქვენ ეთანხმებით ანალიტიკური და მარკეტინგული ქუქი-ფაილების შენახვას. თქვენ შეგიძლიათ შეცვალოთ არჩევანი კატეგორიებად. "არჩევითი გადახრა" მხოლოდ მკაცრად აუცილებელი ქუქი-ფაილია"

15. 3 პროფილის განყოფილება (მაგალითი):

"ჩვენ ვიყენებთ პროფილს თაღლითობის თავიდან ასაცილებლად და პასუხისმგებლობის თამაშისთვის (RG). ეს აუცილებელია უსაფრთხოებისთვის და შეესაბამება ჩვენს იურიდიულ ინტერესებს. თქვენ შეგიძლიათ წინააღმდეგობა გაუწიოთ, თუ სხვა რამ არ არის დადგენილი კანონით (მაგალითად, AML)"

16) პროცესორი SOP

SOP-1: პოლიტიკის განახლება

გამომწვევი: ახალი მიზნები/გამყიდველები/SDK/იურისდიქციები.
ნაბიჯები: LIA/DPIA ინვენტარიზაცია - ტექსტის განახლება, CMP განახლების ლოკალიზაცია, მომხმარებლებთან კომუნიკაცია, ვერსია/შესვლის თარიღი.

SOP-2: DSAR

მოთხოვნის არხი - პიროვნების გადამოწმება - მონაცემების მოცულობის შეფასება, პაკეტის შეგროვება (სისტემებიდან ექსპორტი) - იურიდიული აუდიტი - ჟურნალის დასაბუთების/უარის თქმა.

SOP-3: ახალი ქვე-პროცესორი

Due diligence (DPA/SCCs - DTIA) - ინციდენტის ტესტი, რომელიც შედის საჯარო რეესტრში მომხმარებლების შეტყობინებაში (საჭიროების შემთხვევაში).

17) ტრენინგი და აუდიტი

Onboarding + ყოველწლიური კონფიდენციალურობის ტრენინგი ყველასთვის; დამატებითი ტრენინგები Sport/Marketing/Engineering.
შიდა აუდიტი წელიწადში ერთხელ: RoPA, შენახვის ვადების შესაბამისობა, DSAR შერჩევის შემოწმება, SMR/ქუქი-ფაილების რეპროდუქცია, ტესტის განაცხადები, პენტესტი/წვდომის ლოგოების წინსვლა.
KPI: დასაქმებულთა%, რომლებმაც გაიარეს ტრენინგი; SLA DSAR; ფსევდონიმიზაციასთან დაკავშირებული სისტემების წილი; დამზადებულია CAPA- ს მიერ.

18) ლოკალიზაცია და მრავალფეროვნება

GDPR/UK GDPR, როგორც ძირითადი სტანდარტი; გაითვალისწინეთ ePrivacy/PECR კომუნიკაციებისა და ქუქი-ფაილებისთვის.
ადგილობრივი ნიუანსი (მაგალითი): ბავშვის მონაცემების დამუშავებაზე თანხმობის ასაკი, KYC- ს შენახვის დრო, შეტყობინებების ფორმები, დოკუმენტის ენის მოთხოვნები.
ქვეყნის მასშტაბით შეუსაბამობის მატრიცის შენარჩუნება და გამოყენებული სტანდარტების/ლიცენზიის ბმულები.

19) განხორციელების გზის რუკა (მაგალითი)

კვირები 1-2: მონაცემთა/სისტემების ინვენტარიზაცია, RoPA, ნაკადის რუკა, პოლიტიკის პროექტი.
კვირები 3-4: SMR/ბანერი, სუბპროცესორების რეესტრი, DPA/SCCs, DPIA მაღალი რისკის პროცესებისთვის.
თვე 2: პრეფერენციების ცენტრის ამოქმედება, მოცილების/ანონიმიზაციის ავტომატიზაცია, თანამშრომლების ტრენინგი.
თვე 3 +: პერიოდული აუდიტი, DSAR ტესტები, ლოკალიზაციის განახლებები და რეესტრები.

20) მზადყოფნის მოკლე შემოწმება

  • დაინიშნა DPO, გამოქვეყნდა კონტაქტები
  • მიმდინარე RoPA და მონაცემთა ნაკადის რუკა
  • პოლიტიკა გამოქვეყნდა, ლოკალიზებულია, ვერსიით
  • CMP თანხმობის/უარყოფის დადასტურებული ლოგოებით
  • DPA/SCCs და სუბპროცესორების საჯარო რეესტრი
  • DPIA/DTIA დასრულებულია სარისკო პროცესებისთვის
  • Retention-jobs და წაშლის/ანონიმიზაციის პროცედურები
  • SOP DSAR და ინციდენტები მომზადებულია მფლობელების მიერ
  • მეტრიკი/KPI და კონფიდენციალურობის ყოველწლიური აუდიტი

TL; DR

ძლიერი პოლიტიკა = მკაფიო მიზნები და საფუძვლები + ინვენტარი და RoPA + თანხმობა/ქუქი-ფაილები კონტროლირებადი + უსაფრთხო ტრანსსასაზღვრო ტრანსსასაზღვრო ტრანსსასაზღვრო ტრანსსასაზღვრო ტრანსსასაზღვრო ტრანსსასაზღვრო ტრანსსასაზღვრო + ქვესადგურების რეესტრი + მკაფიო შენახვის დრო და მოცილება + ტრენინგი DSAR/ინციდენტები. ეს ამცირებს იურიდიულ და რეპუტაციის რისკებს და აძლიერებს მოთამაშეთა ნდობას.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.