GDPR жана жеке маалыматтарды иштетүү

1) GDPR жөнгө салуучу жана субъект ким

• Сиз ЕБ/ЭЭАда орнотулган же ЕБдеги колдонуучуларды бутага (товарлар/кызмат көрсөтүүлөр, жүрүм-турум мониторинги);
• сиз контролеру (максаттарды/иштетүү каражаттарын аныктоо) же процессор (контролеру атынан PD иштетүү).

• Контролер: максаттардын/каражаттардын ээси, мыйзамдуулук жана ачыктык үчүн жооп берет.
• CPU: документтештирилген контролеру көрсөтмөлөрү боюнча иш-аракет, DPA аяктайт.
• DPO (маалыматтарды коргоо кызматкери): көз карандысыз көзөмөл, DPIA/DSR, консультациялар, көзөмөл менен байланыш.

2) Иштетүү принциптери (5-берене)

1. Мыйзамдуулук, адилеттүүлүк, ачык-айкындуулук.
2. Максатты чектөө. Так сүрөттөлгөн, шайкеш максаттар.
3. Маалыматтарды минималдаштыруу. гана зарыл.
4. тактык. Актуалдаштыруу жана оңдоо.
5. сактоо чектөө. Retenshn жана алып салуу/анонимдештирүү.
6. Бүтүндүк жана купуялуулук. демейки коопсуздук.
7. Жоопкерчилик. Шайкештикти далилдөө (policies, логи, DPIA).

3) Мыйзамдуу негиздер (6-берене) - iGaming/Fintech үчүн матрица

4) Атайын категориялар жана биометрия (9-берене)

Эгерде өзүнчө негиз жок болсо, атайын категорияларды (ден соолук, ишеним ж.б.) иштетүүгө тыюу салынат.
уникалдуу аныктоо үчүн биометрия (мисалы, жашоо үчүн face-template/face-match) түздөн-түз макулдук же башка тар укуктук базаны талап кылат (өлкөгө көз каранды). Мүмкүн болгон жерде "чийки" сүрөттөрдү эмес, үлгүлөрдү сактаңыз.

5) Профилдөө жана автоматташтырылган чечимдер (22-берене)

• логиканы (акылга сыярлык чектерде), маанисин жана кесепеттерин ачык-айкын ачып берүү;
• адамдын кийлигишүү жана чечим талашуу укугу;
• DPIA укуктардын/эркиндиктердин тобокелдигинин жогорку ыктымалдыгы менен (масштабдуу профилдөө).
• Сунуштар: reason коддорун сактоо, моделдерди/эрежелерди чыгаруу, bias-аудит жүргүзүү.

6) DPIA/DTIA: милдеттүү болгондо

DPIA тобокелдик жогору болсо өткөрөт: масштабдуу кароо, биометрия, "системалуу байкоо", жаңы маалымат булактары.
DPIA шаблон: иштетүү максаты жана сүрөттөлүшү → укуктук негиздер → субъекттердин тобокелдиктер → жумшартуу чаралары → калдык тобокелдик → план.
DTIA (чек ара өткөрүп баалоо): кабыл алуучу өлкөнүн укуктук чөйрө + келишимдик/ал чаралар (SCC/барабар, шифрлөө, ачкычтарды бөлүштүрүү).

7) Чек ара өткөрмөлөрү (V бөлүгү)

Механизмдери: SCC, BCR, адекваттуу чечимдер, жергиликтүү аналогдор.
Техникалык чаралар: end-to-end шифрлөө, ачкычтарды бөлүү, талааларды минималдаштыруу, которууга чейин псевдонимдештирүү.
Берүү реестрин жана DTIA натыйжаларын документтештирүү; тобокелдиктерди дайыма карап чыгыңыз.

8) Субъекттердин укуктары (DSR)

Кирүү, оңдоо, алып салуу, чектөө, сабырдуулук, каршылык көрсөтүү, маркетингден баш тартуу укугу.
Мөөнөттөрү: адатта 30 күнгө чейин (дагы 60 кыйынчылык менен узартылышы мүмкүн, билдирүү менен).
Арыз ээсинин ким экендигин текшериңиз (ашыкча ачыкка чыгарбастан).
Өзгөчөлүктөр: AML/салык милдеттерин сактоо ж.б. документтештирүү.

9) Cookie/SDK жана маркетинг

Куки категориялары боюнча бөлүшүү: милдеттүү/функционалдык/аналитика/маркетинг.
ЕБ/ЕЭБде аналитика/маркетинг үчүн - opt-in (реалдуу тандоо), макулдук журналы, деталдуу сүрөттөмөлөр.
Урматтоо Do Not Track/Opt-out; сервердик аналитиканы жана маалыматтарды минималдаштырууну колдонуңуз.
E-mail/SMS маркетинг - өзүнчө макулдук; макулдук жана таймстамптарды сактоо.

10) Коопсуздук жана "privacy by design/default"

in transit жана at rest шифрлөө, төлөм реквизиттерин белгилөө, маалымат зоналарын изоляциялоо (PII, аналитика).
Access Control RBAC/ABAC, MFA, JIT Access, иш-аракеттер журналы, WORM-Archive.
DLP-контролдоо жана алмашуу; dev/stage боюнча прод-маалыматтардын уруксатсыз көчүрмөлөрүнө тыюу салуу.
Талааларды минималдаштыруу, идентификациялоонун кереги жок жерде агрегациялоо жана анонимдештирүү.

11) Операциялар реестри (RoPA) жана retenshn

RoPA жүргүзгүлө: максаттары, негиздери, берилиштердин жана субъекттердин категориялары, алуучулар, сактоо мөөнөттөрү, коопсуздук чаралары, чет өлкөгө которуулар.
Retenshn матрица: PD ар бир категориясы үчүн - мөөнөтү (мисалы, AML/KYC ≥ мамилелер аяктагандан кийин 5 жыл), алып салуу/анонимизациялоо ыкмасы, жооптуу ээси.

12) Агып кетүү жана билдирүүлөр (33/34-берене)

Укуктар жана эркиндиктер үчүн тобокелдикке баа бериңиз: зыян келтирүү ыктымалдыгы болгон учурда көзөмөл органына 72 сааттын ичинде, ал эми жогорку тобокелчиликте - субъекттерге негизсиз кечиктирбестен кабарлаңыз.
Жооп планы: изоляция, форензия, оңдоо, байланыш, пост-деңиз; артефакттарды жана чечимдерди сактаңыз.

13) Процессорлор, DPA жана сатуучу башкаруу

Ар бир процессор менен DPA корутундусу: предмет, PD категориялары, субпроцессорлор, коопсуздук, DSR/инциденттер менен жардам, аудит, маалыматтарды өчүрүү/кайтаруу.
Double diligence: жайгашкан жери, күбөлөндүрүү (ISO/SOC), окуялар, коопсуздук чаралары, субпроцессорлор.
Жыл сайын жана өзгөрүүлөргө карата кайра баалоо (санкциялар, M&A, география).

14) Матрица "Максаттары → негиздери → сактоо мөөнөтү"

15) Сиздин wiki үчүн документтер (скелеттер)

1. Купуялык саясаты (катмар): кыска версия + толук.
2. Cookie/консенсус-менеджмент саясаты.
3. Дарылоо реестри (RoPA).
4. DPIA шаблон/DTIA + триггер критерийлери.
5. DSR саясаты (SLA/жол-жоболору/үлгүлөрү).
6. Retenshn жана алып салуу саясаты + job-paypline.
7. Инциденттер жана билдирүүлөр саясаты (RACI, формалар).
8. DPA шаблон жана чек тизмеси due diligence сатуучулар.
9. Профилдөөнүн жана автоматташтырылган чечимдердин эрежелери (explainability, даттануулар).

16) Метрика жана контролдоо

DSR SLA: суроо-талаптардын үлүшү 30 күн ≤ жабылат.
Consent Coverage: valid opt-in/opt-out менен окуялардын үлүшү.
Data Minimization Index: PD Fich орточо саны.
Access Violations/Exports: кирүү жана түшүрүү инциденттери, тенденция.
Encryption Coverage: шифрлөөдө% таблицалар/backaps/backaps.
Incident MTTR/MTTD жана кайталануу.
Vendor Compliance Rate жана аудит натыйжалары.
RoPA Completeness и Retention Adherence.

17) Чек-баракчалар

• DPIA/мыйзамдуулуктун негиздери DPO тарабынан тастыкталган.
• Максаттар/негиздер/retenshn RoPA киргизилген.
• Талааларды минималдаштыруу/псевдонимизациялоо/маалымат зоналарын изоляциялоо.
• Консенс баннер жана cookie категориялары орнотулган.
• DPA/сатуучулар макулдашылган, субпроцессорлор тизмеленген.
• Логи, Алерт, аудит, алып салуу/атын атагысы келбеген - кирет.

• Review Access (RBAC/ABAC), ашыкча чакыртып алуу.
• Backup калыбына келтирүү сыноо.
• DTIA/SCC жана субпроцессорлордун тизмесин кайра карап чыгуу.
• Аудит retenshna (мөөнөтү боюнча алынып салынды) жана DSR реестри.
• IR планын окутуу жана playbook жаңыртуу.

• Арыз ээсин текшерүү.
• RoPA системаларынан маалыматтарды чогултуу.
• Четтетүүлөрдүн негиздери белгиленген мөөнөттө жооп.
• Жазууларды жаңыртуу жана тараптарга кабарлоо (чыдамдуулук менен).

18) Ишке ашыруунун жол картасы

1. PD системаларын жана агымдарын инвентаризациялоо; RoPA түзүү.
2. DPO дайындоо, саясат бекитүү жана RACI.
3. DPIA/DTIA контурун жана консенсус менеджментин ишке киргизүү.
4. Маалымат зоналарын бөлүү, шифрлөө, DLP, Логи жана WORM архиви.
5. Retenshn-paypline жана алып салуу/анонимдештирүү.
6. Сатуучу-ревю, DPA, субпроцессорлордун реестри.
7. Profile: reason коддору, даттануу, explainability.
8. Үзгүлтүксүз метрика, отчет Board, тышкы/ички аудит сессиялар.

Жыйынтык

GDPR шайкештиги сайттагы саясат гана эмес, PD жашоо циклин башкаруу системасы: туура негиздер, минималдаштыруу жана демейки коопсуздук, DPIA/DTIA, субъекттердин укуктарын урматтоо, көзөмөлгө алынган сатуучулар жана өлчөнүүчү метриктер. Архитектура жана жараяндарга купуялуулукту киргизүү менен, сиз лицензияларды, өнөктөштүктөрдү жана оюнчулардын ишенимин сактайсыз - продукттун ылдамдыгына жана конверсиясына зыян келтирбестен.