GH GambleHub

GDPR алкагындагы ролдор

1) Негизги аныктамалар жана принциптер

Контроллер: жеке маалыматтарды (PD) иштетүүнүн максаттарын жана ыкмаларын өз алдынча аныктайт. Мыйзамдуулук, ачыктык, субъекттердин укуктары, security-TOMs, процессорлорду тандоо жана көзөмөлдөө үчүн негизги жоопкерчиликти алат.
Processor (CPU): PD гана контролдоочу документтештирилген көрсөтмөлөрү боюнча иштетет, TOMs камсыз кылат, субъекттердин укуктары жана окуялар менен жардам берет, жазууларды жүргүзүү жана аудит жол берет.
Joint Controllers (Common Controllers): эки + адамдар биргелешип максаттарын жана жолдорун аныктоо; субъекттер үчүн милдеттерди жана байланыш чекитин ачык бөлүштүрүү талап кылынат.
Sub-Processor (Subprocessor): CPU жеткирүүчү тартылган; контролердин алдын ала жазуу жүзүндөгү уруксаты жана эквиваленттик милдеттенмелери менен гана жол берилет.

Алтын эреже: ким эмне үчүн жана кантип иштетүүнү чечет - ошол контролер; ким гана "көрсөтмө боюнча аткарат" - процессор.

2) иш жүзүндө ролун аныктоо үчүн кантип (дарак чечимдер)

1. Ким иштетүү бизнес максаттарын белгилейт?

→ Сиз? Тескерисинче, контролер.

2. Сиз өз максаттарыңыз үчүн маалыматтарды кайра колдоно аласызбы (аналитика, маркетинг)?

→ Ооба → контролер (же максаттары жалпы болсо, биргелешкен контролдоо).

3. Сизге так каражаттар/чектөөлөр башка тарап тарабынан көрсөтүлөбү жана сиздин максаттарыңыз өндүрүлгөн?

→ Ооба → процессор.

4. эки тарап максаттарын аныктоо менен жалпы продукт/биргелешкен платформа бар?

→ Ооба → joint controllers (art керек. 26 arrangement).

5. Сиздин тапшырма боюнча булутту/сатуучуну тартасызбы?

→ Vendor - субпроцессор; сиз - контролеру; сиздин негизги иштетүү ага уруксат алууга милдеттүү.

3) iGaming экосистемасында ролдору - мисалдардын матрицасы

Өз ара аракеттенүүТиптүү ролдоруКомментарий
iGaming оюнчу операторуКонтролер Маалымат субъектисиОператор максаттарды аныктайт (эсеп, коюмдар, RG, AML)
Оператор KUS/санкциялар провайдериКонтроллер ПроцессорDPA + көрсөтмөлөрдү жазуу, маалыматтарды кайра колдонууга тыюу салуу
PSP/Банк операторуКөбүрөөк жеке контроллерлорPSP өзүнүн жөнгө салуу максаттары жана сактоо бар
Антифрод-платформа операторуАдатта ПроцессорЭгерде сервис өз максаттары үчүн топтолгон инсайттарды "бөлүшсө" - биргелешкен контролер же өзүнчө контролер болушу мүмкүн
Оператор Хостинг/булут/CDNПроцессор/субпроцессорКүчтүү коопсуздук жана кирүү Логи; аймактуулук
Оператор аналитика/маркетинг-SDKMix: CPU же өзүнчө контроллерБул провайдер өз максаттары үчүн PD колдоно алабы же жокпу, көз каранды
Affiliate операторуКөп учурда жеке контроллерлорЛиддер/кликтер аффилиаттын максаттары боюнча иштетилет; PD которууда - DPA/келишим + минималдаштыруу
Процессор СубпроцессорПроцессор СубпроцессорДеңгээлине жараша бирдей милдеттенмелер жана контролердин уруксаты керек
Өнөктөш менен биргелешкен промо-акцияJoint ControllersИскусство керек. 26 милдеттерди бөлүштүрүү менен agreement

4) ролу милдеттери (жогорку даражалуу RACI)

АктивдүүлүкКонтроллерПроцессорБиргелешкен контроллер
Укуктук негиздер (lawful bases), билдирүүA/RCA/R (совм.)
DSAR иштетүү (кирүү, өчүрүү ж.б.)A/RR (жардам)A/R (бөлүштүрүү боюнча)
DPIA/DTIAA/RC/R (жардам)A/R (совм.)
Окуялар/агып (DPA/колдонуучулар билдирүүлөр)A/RR (контролеру билдирүүгө, жардам)A/R (совм.)
Процессорлорду/субпроцессорлорду тандоо жана аудитA/RR (реестрин жүргүзүү, кабарлоо)A/R (ар бир өз аймагында)
Чек ара берүү (SCCs/IDTA)A/RR (аткаруу)A/R (совм.)
Retenshn/алып салууA/RR (көрсөтмөлөрдү аткаруу)A/R (совм.)

5) Документтер жана макулдашуулар

DPA (Data Processing Agreement): схема контролеру үчүн милдеттүү → процессор.
Минимум: предмет/PD категориялары, максаттар/көрсөтмөлөр, TOMs, купуялык, DSAR/DPIA менен жардам, инцидент билдирүүлөрү, маалыматтарды өчүрүү/кайтаруу, аудит, субпроцессорлор (тизме/макулдук механизми).
Art. 26 Arrangement (Joint Controllers): милдеттерди ачык бөлүштүрүү (маалымат, DSAR, байланыш пункту), коомдук саясаттагы ролдордун маңызы.
SCCs/UK IDTA + DTIA: EEA/UK чегинен тышкаркы өткөрүп берүү үчүн зарыл болгон шайкештик жок.
RoPA: контролдордо жана процессордо (өзүнүн топтомунда) иштетүү операцияларынын реестри.
Маркетинг шарттары/SDK: кайра колдонууга тыюу салуу, так ролдору жана максаттары.

6) Критикалык зоналар жана типтүү каталар

1. Ролдорду аралаштыруу: "процессор" өз максаттары үчүн маалыматтарды колдонот → чындыгында бул контролер/биргелешкен контроллер.
2. Суб-процессорлор уруксатсыз: процессор жеткирүүчүнү сиздин макулдугусуз кошот.
3. "Бош" DPA: retention/алып салуу/инциденттер/аудит боюнча так көрсөтмөлөр жок.
4. Ачык эмес биргелешкен контролдоо: жок art. 26 - даттануулар жана айыптык тобокелдиктер.
5. Маркетинг SDK: провайдерлер өздөрү үчүн PD тартат - сиз ачыкка чыгаруу жана мыйзамдуулук үчүн жооп бересиз.
6. PSP/Банктар: аларды процессорлор катары кароо - ката; көп учурда бул өзүнчө контролерлор.

7) Mini DPA шаблон (сөз үзүндүлөрү)

Максаттары жана иштетүү мүнөзү: "Процессор контролеру көрсөтмөлөрү боюнча KYC-текшерүү үчүн гана PD иштетет".
Көрсөтмөлөр: "Максаттарды ар кандай өзгөртүү Контролердин жазуу жүзүндөгү макулдугун талап кылат".
Субпроцессорлор: "Процессор субпроцессорлорду алдын ала жазуу жүзүндөгү уруксатсыз тартпайт; актуалдуу реестрин жүргүзөт жана жарыялайт".
Коопсуздук: "CPU TOMs (шифрлөө, псевдонимдештирүү, жеткиликтүүлүктү көзөмөлдөө, журнал жүргүзүү) колдойт, A тиркемесинде баяндалгандан төмөн эмес".
Инциденттер: "Процессор Контролерге негизсиз кечиктирбестен кабарлайт жана жөнгө салуучу жана субъекттердин билдирүүлөрү үчүн бардык маалыматтарды берет".
Алып салуу/кайтаруу: "Кызмат аяктагандан кийин, процессор PDди алып салат/кайтарып берет жана график боюнча backup көчүрмөлөрүн алып салат".
Аудит: "Контролер аудитти/сурамжылоолорду/тышкы отчетторду (SOC2/ISO) акылга сыярлык билдирүү менен жүргүзүүгө укуктуу".

8) DPIA/DTIA жана чек ара

DPIA: контроллер башталат; процессор системалар, тобокелдиктер, TOMs жөнүндө маалымат берет.
DTIA: SCCs/IDTA - алуучунун укук колдонуу чөйрөсүн баалоо, кошумча чаралар (E2EE, кардар ачкычтары, квазианонимизациялоо, ачкычтарды EC/UKда сактоо).

9) Субъекттердин укуктары менен иштөө (DSAR) бөлүштүрүлгөн ролдордо

Контролер: суроо-талапты кабыл алат, инсандыгын текшерет, жыйымдарды координациялайт, өз убагында жооп берет (адатта 30 күнгө ≤).
CPU: тез жүктөрдү камсыз кылат/көрсөтмөсү боюнча алып салат, субъектке түздөн-түз жооп бербейт (эгерде башкасы көрсөтүлбөсө).
Биргелешкен контролерлор: келишимде "байланыш чекитин" жана жооп берүү үчүн маалымат алмашууну көрсөтүү.

10) Коопсуздук жана окуялар: ким эмне кылат

Контроллер: окуя саясаты, DPA/колдонуучулардын эскертүү планы, CAPA башкаруу.
CPU: токтоосуз эскертүү контролеру, техникалык forensics, containment, журналдар, билдирүүлөр менен жардам берүү.
Биргелешкен контроллерлор: макулдашылган билдирме матрицасы; бир байланыш линиясы.

11) Retenshn, алып салуу, тесттик маалыматтар

Контролер: максаттары/мыйзамдары боюнча сактоо мөөнөтүн белгилейт (AML, бухгалтердик эсеп), саясатта жарыялайт.
Процессор: график боюнча алып салууну/анонимдештирүүнү ишке ашырат, өзүнчө - backaps тазалоо; PDны камуфляжсыз/синтетикасыз сыноо чөйрөсүндө колдонууга тыюу салуу.

12) Операциялык интеграция (практика)

CAB/өзгөртүү: ролдорду/субпроцессорлорду/аймактарды өзгөртүү - CAB жана DPA/SCCs түзөтүүлөр аркылуу.
Data Map & RoPA: Live агым картасы; контролёрдо - максаттар жана алуучулар, процессордо - категориялар жана операциялар.
Вендор-менеджмент: онбординг алдында due diligence (ISO/SOC2, пентест, окуя саясаты, маалымат географиясы).
Аудиттер: чек баракчалары, сурамжылоо баракчалары, PII кирүү журналдары, алып салуу логикасы.

13) "Ролду аныктайбыз" чек-тизмеси

  • Ким максаттарды жана негизги иштетүү параметрлерин белгилейт?
  • PD өз максаттары үчүн кайра колдонулушу мүмкүнбү?
  • Экинчи тараптын өз алдынча укуктук негиздери барбы?
  • Субъекттин алдында ким жооптуу (DSAR)?
  • DPA (art. 28) же arrangement (art. 26)?
  • Субпроцессорлор жана макулдашуу механизми барбы?
  • Чек ара өткөрүп берүү жана кандай механизм (SCCs/IDTA) болот?

14) Көп берилүүчү суроолор (FAQ)

PSP - процессор же контроллер?
Адатта, өзүнчө контролер: өз максаттары (төлөм кызматы, алдамчылык алдын алуу, ченемдик отчеттуулук).

KYC провайдери моделдерди окутуу үчүн сүрөттөрдү сактай алабы?
Контролер статусунда гана (өзүнчө негиз жана ачыкка чыгаруу менен) же сиздин так макулдугуңузда жана туура укуктук негизде. Болбосо - тыюу салынат.

Оюнчуну алып келген аффилиат - процессор?
Көбүнчө өзүнчө контролер: ал өз максаттары үчүн PD чогултат. Биргелешкен кампаниялар ролдорду ачык бөлүштүрүүнү талап кылат.

Булуттарды логирлөө сервери - кимдин маалыматтары?
Логторду иштетүү - коопсуздукту камсыз кылуу үчүн процессордун милдети; өз максаттары үчүн кайра пайдалануу өзүнчө негизди талап кылат (антпесе мүмкүн эмес).

15) Мини-ролдор саясаты (ички стандарт үчүн үзүндү)

1. Демейки боюнча, оператор бардык PD оюнчулар/өнөктөштөр агымдарынын контролеру катары иш-аракет кылат.
2. PD жеткиликтүүлүгү менен ар кандай сатуучу - процессор катары (DPA) же өзүнчө контроллер катары (өз максаттары боюнча) иштелип чыккан.
3. Субпроцессорду кошуу жазуу жүзүндөгү макулдукту жана реестрди жаңылоону талап кылат.
4. Ролдорду/аймактарды/максаттарды ар кандай өзгөртүү - CAB, DPO жана Legal аркылуу.
5. DSAR жана инциденттер - контроллер тарабынан координацияланган, процессорлор SLAда жооп беришет.

16) Ишке ашыруунун жол картасы

Жумалар 1-2: маалыматтардын агымын жана ролдорду инвентаризациялоо; "ким ким" матрицасынын долбоору; RoPA жаңыртуу.
Жумалар 3-4: DPA корутундусу/жаңыртуу, art. 26 (зарыл болгон жерде), субпроцессорлордун реестри; аудитордук сурамжылоолорду даярдоо.
2-ай: DTIA/SCCs/IDTA, коомдук саясатты жаңыртуу, командаларды окутуу.
Ай 3 +: үзгүлтүксүз Vendor аудит, DSAR сыноо, окуя tabletop, продукт/маркетинг өзгөрүүлөргө ролду текшерүү.

17) Кыска үлгү "Ролдор Matrix" (мисал)

АгымОператордун ролуКонтрагенттин ролуДокументтерКомментарий
KUS/санкцияларКонтроллерПроцессорDPA + көрсөтмөлөркайра пайдалануу жок
Төлөмдөр (PSP)Отд. контроллерОтд. контроллерКелишим + Privacy NoticeӨзүнчө жоопкерчилик
Хостинг/булутКонтроллерПроцессор/субпроцессорDPA, SCCs/IDTAМаалымат географиясы
Маркетинг-SDKКонтроллерПроцессор же otd. контроллерDPA / Joint/ToSКайра колдонууну текшерүү
АналитикаКонтроллерПроцессорDPA, максаттарды чектөөПсевдоним

TL; DR

Ролду иштеп чыгуунун максаттары жана ыкмалары аркылуу аныктайбыз: "эмне үчүн/кантип" чечесиң - контролер; сиз көрсөтмө боюнча аткарасыз - процессор; чогуу чечет - joint controllers. Биз аны DPA/art менен тариздөөгө. 26, RoPA жүргүзүү, субпроцессорлорду көзөмөлдөө, DPIA/DTIA, субъекттердин укуктарын жана коопсуздугун камсыз кылуу. Так ролдор матрицасы = азыраак жөнгө салуучу тобокелдиктер, азыраак талаштуу зоналар жана тезирээк аудит.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.