GH GambleHub

როლები GDPR- ში

1) ძირითადი განმარტებები და პრინციპები

კონტროლერი (მაკონტროლებელი): დამოუკიდებლად განსაზღვრავს პერსონალური მონაცემების დამუშავების მიზნებსა და მეთოდებს (PD). ეს არის მთავარი პასუხისმგებლობა სუბიექტების კანონიერების, გამჭვირვალეობის, უფლებების, უსაფრთხოების და TOMs- ის, პროცესორების არჩევისა და კონტროლისთვის.
Processor (პროცესორი): ამუშავებს PD- ს მხოლოდ მაკონტროლებელი დოკუმენტირებული მითითებების შესაბამისად, უზრუნველყოფს TOMs- ს, ეხმარება საგნების უფლებებსა და ინციდენტებს, ატარებს ჩანაწერებს და იძლევა აუდიტს.
Joint Controllers (ერთობლივი მაკონტროლებლები): ორი + ადამიანი ერთობლივად განსაზღვრავს მიზნებსა და მეთოდებს; საჭიროა პასუხისმგებლობის გამჭვირვალე განაწილება და კონტაქტის წერტილი სუბიექტებისთვის.
Sub-Processor (სუბპროცესორი): პროცესორის მიერ მოზიდული მიმწოდებელი; ნებადართულია მხოლოდ მაკონტროლებელი წინასწარი წერილობითი ნებართვით და ეკვივალენტური ვალდებულებებით.

ოქროს წესი: ვინც გადაწყვეტს რატომ და როგორ უნდა დაამუშავოს, არის მაკონტროლებელი; ვინც მხოლოდ „ინსტრუქციის მიხედვით ასრულებს“ არის პროცესორი.

2) როგორ განვსაზღვროთ როლი პრაქტიკაში (გადაწყვეტილებების ხე)

1. ვინ განსაზღვრავს ბიზნესის დამუშავების მიზნებს?

ეჲბპვ ლთ ჟრვ? უფრო მეტიც, მაკონტროლებელი.

2. შეგიძლიათ გამოიყენოთ მონაცემები თქვენი მიზნებისათვის (ანალიტიკა, მარკეტინგი)?

• დიახ, მაკონტროლებელი (ან ერთობლივი კონტროლი, თუ მიზნები საერთოა).

3. მიუთითებთ თუ არა სხვა მხარის მიერ ზუსტი სახსრები/შეზღუდვები, ხოლო თქვენი მიზნები შესრულებულია?

დიახ, პროცესორი.

4. არსებობს საერთო პროდუქტი/ერთობლივი პლატფორმა ორივე მხარის მიზნების განსაზღვრით?

დიახ, joint Controllers (საჭიროა არტ. 26 arrangement).

5. იზიდავთ ღრუბელს/გამყიდველს თქვენი დავალების მიხედვით?

Wendor - ქვე-პროცესორი; თქვენ ხართ მაკონტროლებელი; თქვენი მთავარი პროცესორი ვალდებულია მიიღოთ თქვენი ნებართვა მასზე.

3) როლები iGaming ეკოსისტემაში - მაგალითების მატრიცა

ურთიერთქმედებატიპიური როლებიკომენტარი
IGaming ოპერატორიმაკონტროლებელი - მონაცემთა საგანიოპერატორი განსაზღვრავს მიზნებს (ანგარიში, განაკვეთები, RG, AML)
ოპერატორი - ICC პროვაიდერი/სანქციებიმაკონტროლებელი პროცესორიჩვენ ვწერთ DPA + ინსტრუქციებს, მონაცემთა გამოყენების აკრძალვას
ოპერატორი PSP/Bankუფრო ხშირად ცალკეული მაკონტროლებლებიPSP- ს აქვს საკუთარი მარეგულირებელი მიზნები და შენახვა
ოპერატორი - ანტიფროდული პლატფორმაჩვეულებრივ პროცესორითუ მომსახურება „იყოფა“ საერთო ინსაითებით საკუთარი მიზნებისათვის - შესაძლებელია ერთობლივი მაკონტროლებელი ან ცალკეული მაკონტროლებელი
ოპერატორი Hosting/Cloud/CDNპროცესორი/ქვე პროცესორიძლიერი უსაფრთხოება და წვდომის ლოგოები; ტერიტორიული
ოპერატორი - ანალიტიკა/მარკეტინგი-SDKმიქსი: პროცესორი ან ცალკეული მაკონტროლებელიეს დამოკიდებულია იმაზე, შეუძლია თუ არა პროვაიდერს PD- ს გამოყენება საკუთარი მიზნებისათვის
ოპერატორი Affiliatხშირად ცალკეული მაკონტროლებლებიფოთლები/კლიშეები დამუშავებულია აფილატის მიზნებზე; გადაცემისას PD - DPA/ხელშეკრულება + შემცირება
პროცესორიპროცესორისაჭიროა თანაბარი ვალდებულებები და მაკონტროლებელი ნებართვა
პარტნიორთან ერთობლივი სარეკლამო კამპანიაJoint Controllersსაჭიროა არტი. 26 გაანგარიშება მოვალეობების განაწილებით

4) როლების პასუხისმგებლობა (მაღალი დონის RACI)

აქტივობამაკონტროლებელიპროცესორიერთობლივი მაკონტროლებლები
იურიდიული საფუძვლები (lawful ბაზები), შეტყობინებაA/RCA/R (თანამედროვე)
DSAR დამუშავება (წვდომა, მოცილება და ა.შ.)A/RR (დახმარება)A/R (განაწილებით)
DPIA/DTIAA/RC/R (დახმარება)A/R (თანამედროვე)
ინციდენტები/გაჟონვა (DPA/მომხმარებლების შეტყობინებები)A/RR (აცნობეთ მაკონტროლებელს, დახმარებას)A/R (თანამედროვე)
პროცესორების/ქვე-პროცესორების არჩევანი და აუდიტიA/RR (შეინარჩუნეთ რეესტრი, აცნობეთ)A/R (თითოეული თავის ზონაში)
ტრანსსასაზღვრო გადაცემები (SCCs/IDTA)A/RR (განხორციელება)A/R (თანამედროვე)
Retenshn/მოცილებაA/RR (ინსტრუქციების შესრულება)A/R (თანამედროვე)

5) დოკუმენტები და შეთანხმებები

DPA (მონაცემთა დამუშავების პროცესი): სავალდებულო კონტროლერი პროცესორი სქემისთვის.
მინიმალური: ობიექტი/PD კატეგორია, მიზნები/ინსტრუქციები, TOMs, კონფიდენციალურობა, DSAR/DPIA დახმარება, ინციდენტების შესახებ შეტყობინებები, მონაცემთა მოცილება/დაბრუნება, აუდიტი, სუბპროცესორები (თანხმობის სია/მექანიზმი).
Art. 26 არმიის კონტროლი: პასუხისმგებლობის გამჭვირვალე განაწილება (ინფორმირება, DSAR, საკონტაქტო წერტილი), როლების არსი საზოგადოებრივ პოლიტიკაში.
SCC/UK IDTA + DTIA: სავალდებულოა EEZ/UK- ის გარეთ გადაცემების დროს ადეკვატურობის არარსებობის შემთხვევაში.
RoPA: გადამამუშავებელი ოპერაციების რეესტრი მაკონტროლებელში და პროცესორში (მისი ნაკრები).
მარკეტინგის პირობები/SDK: მეორადი გამოყენების აკრძალვა, მკაფიო როლები და მიზნები.

6) კრიტიკული ზონები და ტიპიური შეცდომები

1. როლების ნაზავი: „პროცესორი“ იყენებს მონაცემებს საკუთარი მიზნებისათვის - სინამდვილეში, ეს არის მაკონტროლებელი/ერთობლივი მაკონტროლებელი.
2. სუბპროცესორები ნებართვის გარეშე: პროცესორი მატებს მომწოდებელს თქვენი თანხმობის გარეშე.
3. „ცარიელი“ DPA: არ არსებობს მკაფიო მითითებები განმეორების/მოცილების/ინციდენტების/აუდიტის შესახებ.
4. გაუმჭვირვალე ერთობლივი კონტროლი: არ არსებობს ხელოვნება. 26 - საჩივრები და ჯარიმები.
5. მარკეტინგული SDK: პროვაიდერები იჭერენ PD- ს თავისთვის - თქვენ პასუხისმგებელნი ხართ გამჟღავნებასა და კანონიერებაზე.
6. PSP/ბანკები: მათი პროცესორებად განხილვა შეცდომაა; უფრო ხშირად ესენი არიან ცალკეული მაკონტროლებლები.

7) DPA მინი შაბლონი (ფორმულირების ფრაგმენტები)

დამუშავების მიზნები და ბუნება: „პროცესორი ამუშავებს PD- ს ექსკლუზიურად KYC- ს გადამოწმებისთვის, კონტროლერის მითითებების შესაბამისად“.
ინსტრუქციები: „მიზნების ნებისმიერი ცვლილება მოითხოვს კონტროლერის წერილობითი თანხმობას“.

სუბპროცესორები: "პროცესორი არ იზიდავს სუბპროცესორებს წინასწარი წერილობითი ნებართვის გარეშე; ხელმძღვანელობს და აქვეყნებს შესაბამის რეესტრს."

უსაფრთხოება: „პროცესორი მხარს უჭერს TOMs- ს (დაშიფვრა, ფსევდონიმი, წვდომის კონტროლი, ჟურნალის კონტროლი), რომელიც აღწერილია დანართში A“.
ინციდენტები: „პროცესორი აცნობებს მაკონტროლებელს დაუსაბუთებელი შეფერხების გარეშე და უზრუნველყოფს ყველა ინფორმაციას მარეგულირებლისა და სუბიექტების შეტყობინებებისთვის“.
მოცილება/დაბრუნება: „სერვისის დასრულების შემდეგ, პროცესორი აშორებს/უბრუნებს PD- ს და ამოიღებს ასლებს ჩანართებში გრაფიკით“.
აუდიტი: „მაკონტროლებელს უფლება აქვს ჩაატაროს აუდიტი/კითხვარები/გარე მოხსენებები (SOC2/ISO), გონივრული შეტყობინებით“.

8) DPIA/DTIA და ტრანსსასაზღვრო

DPIA: მაკონტროლებელი იწყებს; უზრუნველყოფს ინფორმაციას სისტემების, რისკების შესახებ, TOMs.
DTIA: SCCs/IDTA- ში - მიმღების სამართალდამცავი გარემოს შეფასება, დამატებითი ზომები (E2EE, კლიენტის გასაღებები, კვაზი-ანონიმიზაცია, გასაღებების შენახვა EC/UK- ში).

9) განაწილებულ როლებში სუბიექტების უფლებებთან მუშაობა (DSAR)

მაკონტროლებელი: იღებს თხოვნას, ახდენს პიროვნების გადამოწმებას, კოორდინაციას უწევს შეკრებას, დროულად პასუხობს (ჩვეულებრივ, 30 დღე).
პროცესორი: დაუყოვნებლივ უზრუნველყოფს გადმოტვირთვას/წაშლას მიმართულებით, არ აკმაყოფილებს სუბიექტს პირდაპირ (თუ სხვა რამ არ არის დადგენილი).
ერთობლივი მაკონტროლებლები: ხელშეკრულებაში მიუთითეთ „კონტაქტის წერტილი“ და მონაცემების გაცვლა პასუხისთვის.

10) უსაფრთხოება და ინციდენტები: ვინ აკეთებს ამას

მაკონტროლებელი: ინციდენტების პოლიტიკა, DPA/მომხმარებლების შეტყობინებების გეგმა, CAPA მენეჯმენტი.
პროცესორი: მაკონტროლებელი დაუყოვნებლივი შეტყობინება, ტექნიკური გაერთიანება, შინაარსი, ჟურნალები, შეტყობინებების დახმარება.
ერთობლივი მაკონტროლებლები: შეთანხმებული შეტყობინებების მატრიცა; ერთიანი საკომუნიკაციო ხაზი.

11) Retenschn, მოცილება, ტესტის მონაცემები

მაკონტროლებელი: ადგენს სამიზნე/კანონების შენახვის ვადას (AML, ბუღალტრული აღრიცხვა), აქვეყნებს პოლიტიკაში.
პროცესორი: ახორციელებს გრაფიკის მოცილებას/ანონიმიზაციას, ცალკე - ზურგჩანთების გაწმენდას; აკრძალულია PD- ს გამოყენება ტესტის გარემოში შენიღბვის/სინთეზის გარეშე.

12) ოპერაციული ინტეგრაცია (პრაქტიკა)

CAB/Change: როლების/სუბპრესორების/ტერიტორიების ნებისმიერი ცვლილება CAB- ის საშუალებით და DPA/SCC- ის კორექტირებით.
Data Map & RoPA: ცოცხალი ნაკადის რუკა; მაკონტროლებელს აქვს მიზნები და მიმღები, პროცესორს აქვს კატეგორიები და ოპერაციები.
მოვაჭრე მენეჯმენტი: due diligence onboarding- ის წინ (ISO/SOC2, პენტესტი, ინციდენტების პოლიტიკა, მონაცემთა გეოგრაფია).
აუდიტი: შემოწმების ფურცლები, კითხვარები, PII წვდომის ნიმუშები, წაშლის ლოგიკა.

13) ჩეკის სია „განსაზღვრავს როლს“

ვინ განსაზღვრავს მიზნებსა და გადამუშავების ძირითად პარამეტრებს?
შესაძლებელია თუ არა PD- ს ხელახლა გამოყენება საკუთარი მიზნებისათვის?
არსებობს დამოუკიდებელი სამართლებრივი საფუძველი მეორე მხრივ?

  • ვინ არის პასუხისმგებელი საგნის წინაშე (DSAR)?
  • საჭიროა DPA (არტ. 28) ან arrangement (art. 26)?
  • არსებობს სუბპროცესორები და კოორდინაციის მექანიზმი?
  • იქნება ტრანსსასაზღვრო გადაცემები და რა მექანიზმი (SCCs/IDTA)?

14) ხშირად დასმული კითხვები (FAQ)

PSP არის პროცესორი ან მაკონტროლებელი?
როგორც წესი, ცალკეული მაკონტროლებელი: საკუთარი მიზნები (გადახდის მომსახურება, თაღლითობის პრევენცია, მარეგულირებელი ანგარიშები).

KYC პროვაიდერს შეუძლია შეინახოს ფოტო მოდელების მომზადებისთვის?
მხოლოდ მაკონტროლებლის სტატუსით (ცალკეული ფუძით და გამჟღავნებით) ან თქვენი აშკარა თანხმობით და სწორი სამართლებრივი საფუძველზე. წინააღმდეგ შემთხვევაში, აკრძალულია.

Affiliat, რომელიც მოთამაშემ მიიყვანა, პროცესორია?
უფრო ხშირად, ვიდრე ცალკეული მაკონტროლებელი: ის აგროვებს PD- ს საკუთარი მიზნებისათვის. ერთობლივი კამპანიები მოითხოვს როლების აშკარა განაწილებას.

ღრუბლის ლოგიკური სერვერი - ვისი მონაცემებია?
ლოგების დამუშავება - პროცესორის ვალდებულება უსაფრთხოების უზრუნველსაყოფად; მისი მიზნებისათვის ხელახალი გამოყენება მოითხოვს ცალკეულ საფუძველს (სხვაგვარად შეუძლებელია).

15) როლების მინი პოლიტიკა (ფრაგმენტი შიდა სტანდარტისთვის)

1. სტანდარტულად, ოპერატორი მოქმედებს როგორც მოთამაშეთა/პარტნიორების ყველა PD ნაკადის მაკონტროლებელი.
2. ნებისმიერი გამყიდველი PD- ზე წვდომით - შედგენილია როგორც პროცესორი (DPA) ან როგორც ცალკეული მაკონტროლებელი (საკუთარი მიზნებისათვის).
3. სუბპროცესორის დამატება მოითხოვს წერილობით თანხმობას და რეესტრის განახლებას.
4. როლების/ტერიტორიების/მიზნების ნებისმიერი ცვლილება არის CAB, DPO და Legal.
5. DSAR და ინციდენტები - კოორდინირებულია მაკონტროლებელი, პროცესორები აკმაყოფილებენ SLA- ს.

16) გზის განხორციელების რუკა

კვირები 1-2: მონაცემთა და როლების ნაკადების ინვენტარიზაცია; მატრიქსის პროექტი „ვინ არის ვინ“; RoPA განახლება.
არგუმენტები 3-4: დასკვნა/განახლება DPA, art. 26 (სადაც საჭიროა), სუბპროცესორების რეესტრი; აუდიტის კითხვარების მომზადება.
თვე 2: DTIA/SCCs/IDTA, საზოგადოებრივი პოლიტიკის განახლება, გუნდების სწავლება.
თვე 3 +: მოვაჭრეების რეგულარული აუდიტი, DSAR ტესტი, ინციდენტების შესახებ ტაბლეტოპი, როლების აუდიტი პროდუქტის/მარკეტინგის ცვლილებებში.

17) მოკლე შაბლონი „როლების მატრიცა“ (მაგალითი)

ნაკადიოპერატორის როლიკონტრაგენტის როლიდოკუმენტებიკომენტარი
KUS/სანქციებიმაკონტროლებელიპროცესორიDPA + ინსტრუქციებიპროექციის გამოყენების გარეშე
გადახდები (PSP)ოტ. მაკონტროლებელიოტ. მაკონტროლებელიPrivacy Noticeცალკეული პასუხისმგებლობა
მასპინძელი/ღრუბელიმაკონტროლებელიპროცესორი/ქვე-პროცესორიDPA, SCCs/IDTAმონაცემთა გეოგრაფია
მარკეტინგის SDKმაკონტროლებელიპროცესორი ან od. მაკონტროლებელიDPA / Joint/ToSხელახალი გამოყენების შემოწმება
ანალიტიკამაკონტროლებელიპროცესორიDPA, მიზნის შეზღუდვაფსევდონიმიზაცია

TL; DR

ჩვენ ვადგენთ როლს დამუშავების მიზნებითა და მეთოდებით: თქვენ გადაწყვეტთ „რატომ/როგორ“ - მაკონტროლებელი; თქვენ ასრულებთ მითითებას - პროცესორი; ერთად გადაწყვიტეთ - joint Controllers. ჩვენ ფორმალიზაციას ვაძლევთ DPA/art- ში. 26, ჩვენ ვატარებთ RoPA- ს, ვაკონტროლებთ სუბპროცესორებს, ვაძლევთ DPIA/DTIA- ს, სუბიექტების უფლებებსა და უსაფრთხოებას. როლების მკაფიო მატრიცა = ნაკლები მარეგულირებელი რისკები, ნაკლები საკამათო ზონა და უფრო სწრაფი აუდიტი.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.