GH GambleHub

Купуялык саясаты жана GDPR

1) Максаты жана иш чөйрөсү

Максаты: оператордун катышуусундагы бардык юрисдикцияларда оюнчулардын, өнөктөштөрдүн жана кызматкерлердин жеке маалыматтарын (PII) мыйзамдуу, ачык жана коопсуз иштетүүнү камсыз кылуу.
Камтуусу: веб/мобилдик тиркемелер, CRM/BI/DWH, антифрод/AML/KYC, PSP/KUS/санкциялар провайдерлери, саппорт, маркетинг, аффилиаттар, live-студиялар, хостинг жана логин.

2) Ролдору жана жоопкерчилиги (RACI)

Data Protection Officer (DPO) - A: шайкештикти көзөмөлдөө, RoPA, DPIA/DTIA, жөнгө салуучу жооп.
Head of Compliance - A: саясат, тобокелдик табити, эскалация жана отчеттуулук.
Legal - C: укуктук негиздер, DPA/SCCs келишимдери, баннерлердин жана билдирмелердин тексттери.
Security/SRE - R: техникалык жана уюштуруу чаралары (TOMs), кирүү журналы, окуялар.
Data/BI - R: маалымат каталогу, минималдаштыруу, жашыруу/псевдонимдештирүү.
Marketing/CRM - R: макулдук, артыкчылык, жооп, cookie.
Product/Engineering - R: Privacy by Design/Default, сактоо жана алып салуу.
Support/VIP - R: субъекттердин суроо-талаптары (DSAR), инсандыгын текшерүү.

3) Укуктук иштетүү негиздери (Lawful Bases)

Consent (Макулдук) - маркетинг, аналитикалык/жарнамалык кукилер, милдеттүү эмес жекелештирүү.
Contract (Келишим) - каттоо, коюмдарды/корутундуларды иштеп чыгуу, саппорт.
Мыйзамдуу облигация - KYC/AML/санкциялар, бухгалтердик эсеп жана отчеттуулук.
Legitimate Interests - антифрод, коопсуздук, продуктуну жакшыртуу (кызыкчылыктарды тең салмактоо сыноосу менен - LIA).
Vital/Public Interest - бул сейрек кездешүүчү RG/коопсуздук учурлары, эгерде колдонулса жана мыйзам тарабынан уруксат берилсе.

4) Маалымат субъекттеринин укуктары (DSR/DSAR)

Кирүү (Art. 15), түзөтүү (Art. 16), алып салуу (Art. 17), Чектөө (Art. 18), чыдамкайлык (Art. 20), каршылык (Art. 21), бир гана автоматташтырылган чечимдин объектиси болбоого (Art. 22).
SLA иштетүү DSAR: тастыктоо ≤ 7 күн, аткаруу ≤ 30 күн (дагы 60 субъектке билдирүү кыйынчылык менен узартуу).
Верификация: көп факторлуу; ачык каналдар аркылуу сезимтал маалыматтарды ачыкка чыгарууга тыюу салуу.
Логи: суроо-талапты, инсандыгын, берилген маалымат пакетин жана жооп берүү мөөнөтүн сактоо.

5) иштетүү иш реестри (RoPA)

Минималдуу талаалар: максат, субъекттердин категориялары/маалыматтар, укуктук негиздер, сактоо мөөнөттөрү, алуучулар/үчүнчү өлкөлөр, коопсуздук чаралары, маалымат булагы, автоматташтырылган чечимдер/профилдер, DPIA/DTIA, эгерде бар болсо.

6) DPIA/DTIA: качан жана кантип

DPIA - жогорку тобокелчиликте: масштабдуу профилдөө, жаңы антифрод-моделдер, геоданаларды иштетүү, RG-триггерлер, системалуу байкоо.
DTIA/TIA - ЕЭА/Улуу Британиядан тышкаркы чек ара аркылуу өтүүдө: мамлекеттик органдардын жергиликтүү жеткиликтүүлүгүн баалоо, контракттык/техникалык чаралар.
Процесс: скрининг → тобокелдиктерди баалоо жана чаралар → DPO/Legal макулдашуу → көзөмөлдү киргизүү → божомол журналы.

7) Cookie, пиксел, SDK жана макулдук баннер

Категориялар: катуу зарыл, функционалдык, аналитикалык, маркетингдик.

Талаптар:
  • макулдашууга чейин - гана катуу зарыл жүктөп.
  • Гранулярдык макулдук жана өзүнчө баш тартуу; версияларынын жана убакыт штамптарынын журналы.
  • IAB TCF менен CMP (колдонулса); максаттары/берүүчүлөрү өзгөргөндө баннерди автоматтык жаңыртуу.
  • Easy жооп/каалаган убакта тандоо өзгөртүү.

8) Иштеп чыгуучулар жана субпроцессорлор

Ар бир провайдер менен DPA: предмет, максаттар, маалымат категориялары, мөөнөттөр, TOMs, субпроцессорлор, аудиттер.
Субпроцессорлордун коомдук реестри (версиялуулугу); өзгөртүүлөр жөнүндө билдирме жана каршы чыгуу укугу.
Текшерүүлөр: due diligence (ISO/SOC2), тесттик окуялар, пентест-отчеттор, оффбординг планы.

9) Чек ара өткөрмөлөрү

SCCs/IDTA + DTIA; зарыл болгон учурда - кошумча чаралар: E2EE, кардарлардын шифрлөө, квази-нондоштуруу, ЕБдеги ачкычтар.
Саясатта/реестрде укуктук механизмди, өлкөнү жана алуучуларды бекитебиз.

10) Сактоо жана алып салуу (Retention & Deletion)

Убакыт матрицасы (мисал):
КатегорияМөөнөтүНегиз
Оюнчу эсебиЖабылгандан кийин 5 жылга чейинБир катар юрисдикцияларда AML/бухгалтердик эсеп
KYC/AML документтер5-10 жылLegal Obligation
PII кирүү Логи1-3 жылМыйзамдуу кызыкчылыктар/коопсуздук
Маркетинг окуялары24 айConsent/LI
Саппорт жазуулары24-36 айContract/LI

Алып салуу саясаты: автоматтык тапшырмалар (job) DWH/сактоо; цикл боюнча резервдик көчүрмөлөрдө алып салуу; журналдарда бекитүү. Аналитика үчүн ID псевдонимизациясы.

11) Коопсуздук (TOMs)

Техникалык: On Rest/Transit шифрлөө, тармактарды сегменттөө, укуктарды минималдаштыруу, KMS/ачкычтарды айлантуу, DLP, EDR/IDS/WAF, SSO/MFA, жашыруун менеджер, WORM журналы.
Уюштуруу: кирүү саясаты, окутуу, NDA, тазалоо desk, сатуучу текшерүү, окуя башкаруу (SANS/NIST).
Privacy by Design/Default: өзгөрүү процесстеринде баа берүү, минималдуу демейки маалымат топтомдору, PIIсиз тест маалыматтары.

12) Агып кетүү жана инциденттер жөнүндө билдирүүлөр

Баалоо: фактыны, көлөмдү жана тобокелдикти тастыктоо.
Мөөнөттөр (ориентирлер): маалыматтар боюнча көзөмөл органына - укуктар/эркиндиктер тобокелдигинде 72 саатка чейин; колдонуучуларга - негизсиз кечигүү жок.
Билдирүүнүн мазмуну: окуянын сүрөттөлүшү, категориялары жана жазуулардын болжолдуу саны, DPO байланыштары, кесепеттери, кабыл алынган чаралар, субъекттерге сунуштар.
Логи: таймлайн, чечимдер, кат/жооп үлгүлөрү, CAPA.

13) Маркетинг жана байланыш

Транзакциялык билдирүүлөрдү (макулдугусуз) жана маркетингди (макулдугу менен гана) бөлүштүрүү.
Артыкчылыктарды башкаруу: жөндөө борбору, темалар/каналдар боюнча жазылуу, double-opt-in (талап кылынган жерде).
Аффилиаттар жана трекинг: PII чогултууга/өткөрүп берүүгө келишимдик чектөөлөр, идентификаторлорду негизсиз жана макулдугусуз өткөрүп берүүгө тыюу салуу.

14) Коомдук Купуялык саясаты - түзүмү

1. Биз ким жана байланыштар DPO.
2. Кандай маалыматтарды чогултабыз (категориялар жана булактар боюнча).
3. Максаттар/укуктук негиздер (таблица "максаты → маалыматтар → негиз → мөөнөтү").
4. Cookies/SDK жана макулдук башкаруу.
5. Алуучулар жана трансчек аралык берүүлөр (механизмдер жана чаралар).
6. Субъекттердин укуктары жана аларды кантип ишке ашыруу керек.
7. Маалымат коопсуздугу (жогорку баскычтуу TOMs).
8. Сактоо мөөнөттөрү жана критерийлери.
9. Автоматташтырылган чечимдер/кароо жана жалпы логика.
10. Саясатты өзгөртүү (версиясы) жана биз кантип кабарлайбыз.
11. Даттануулар үчүн байланыштар (талап кылынса, юрисдикциялар боюнча DPA).

💡 Тил - жөнөкөй жана түшүнүктүү; жаргондорду жана ашыкча техникалык деталдарды болтурбоо.

15) Формулировкалардын үлгүлөрү жана мисалдары

15. 1 Максаттар/негиздер таблицасы (фрагмент):

МаксатыМаалыматтарНегизМөөнөтү
Каттоо жана эсепИдентификациялык, байланышКелишимэсеп өмүр + X
KYC/AMLДокументтер, сүрөттөр, liveness, санкц-хиттерLegal Obligation5-10 жыл
Антифрод/коопсуздукDevice-ID, IP, жүрүм-турумLegitimate Interests24 ай
МаркетингEmail/Push/cookie IDConsentчакыртып алганга чейин

15. 2 Баннер cookie (минималдуу):

"Биз кукилерди колдонобуз. "Баарын кабыл алуу" чыкылдатуу менен сиз аналитикалык жана маркетингдик кукилерди сактоого макулсуз. Сиз категориялары боюнча тандоо өзгөртө аласыз. "Милдеттүү эмес четке кагуу" - жөн гана катуу кукилер"

15. 3 Кароо бөлүмү (мисал):

"Биз алдамчылык жана жоопкерчиликтүү оюн (RG) алдын алуу үчүн кароо колдонот. Бул коопсуздук үчүн зарыл жана биздин мыйзамдуу кызыкчылыктарыбызга жооп берет. Эгер мыйзамда башкасы көрсөтүлбөсө, каршы чыга аласыз (мисалы, AML)"

16) Processing SOP

SOP-1: Саясатты жаңыртуу

Триггерлер: жаңы максаттар/сатуучулар/SDK/юрисдикциялар.
Кадамдар: инвентаризация → LIA/DPIA → текст update → локализация → CMP-жаңыртуу → колдонуучулар үчүн байланыш → версия/кирүү күнү.

SOP-2: DSAR

Суроо-канал → инсандыгын текшерүү → маалыматтардын көлөмүн баалоо → пакетин чогултуу (системалардан экспорт) → юридикалык аудит → берүү/негиздемеси менен баш тартуу → журнал.

SOP-3: Жаңы субпроцессор

Due diligence → DPA/SCCs → DTIA → окуя тест → коомдук реестрине киргизүү → колдонуучуларга эскертүү (зарыл болсо).

17) Окутуу жана аудит

Onbording + бардык үчүн жылдык купуялык окутуу; Support/Marketing/Engineering үчүн кошумча тренингдер.
Жылына бир жолу ички аудит: RoPA, сактоо шарттарына шайкештик, DSAR тандап текшерүү, SMR/cookie ревю, тест-арыздар, пентест/кирүү логиндеринин форензиясы.
KPI: окуудан өткөн кызматкерлердин%; SLA DSAR; псевдонимдештирүү киргизилген системалардын үлүшү; аткарылган CAPA.

18) Локализация жана мультиюрисдикция

GDPR/UK GDPR негизги стандарт катары; ePrivacy/PECR байланыш жана кукилерди эске алуу.
Жергиликтүү нюанстар (мисал): баланын маалыматтарын иштетүүгө макулдук жашы, KYC сактоо мөөнөтү, билдирүүлөрдүн формалары, документтин тилине талаптар.
Өлкөлөр боюнча айырмачылыктардын матрицасын жана колдонулуучу ченемдерге/лицензияларга шилтемелерди жүргүзүү.

19) Ишке ашыруунун жол картасы (мисал)

Жумалар 1-2: маалыматтарды/системаларды инвентаризациялоо, RoPA, агым картасы, Саясат долбоору.
Жумалар 3-4: SMR/баннер, субпроцессорлордун реестри, DPA/SCCs, DPIA жогорку тобокелдик процесстери үчүн.
2-ай: артыкчылык борборун ишке киргизүү, өчүрүүнү/анонимдештирүүнү автоматташтыруу, кызматкерлерди окутуу.
Ай 3 +: мезгилдүү аудиттер, DSAR тесттер, локализацияларды жана реестрлерди жаңыртуу.

20) Даярдыктын кыскача чек-тизмеси

  • дайындалган DPO, байланыш жарыяланган
  • Учурдагы RoPA жана маалыматтар агымынын картасы
  • саясат жарыяланган, жергиликтүү, нускасы менен
  • Далилденген макулдук/баш тартуу логдору менен CMP
  • DPA/SCCs жана коомдук субпроцессорлор реестри
  • DPIA/DTIA тобокелдик жараяндар үчүн аяктады
  • Retention-jobs жана алып салуу/атын атагысы келбеген жол-жоболору
  • DSAR жана окуялар боюнча SOP, үйрөтүлгөн ээлери
  • Метрика/KPI жана жылдык купуялык аудит

TL; DR

Күчтүү Саясат = так максаттар жана негиздер + инвентаризация жана RoPA + макулдук/cookies + коопсуз трансчек которуулар + субпроцессорлордун реестри + так сактоо мөөнөттөрү жана алып салуу + машыгуу DSAR/окуялар. Бул юридикалык жана абройлуу тобокелдиктерди азайтат жана оюнчулардын ишенимин бекемдейт.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.