GDPR және дербес деректерді өңдеу

1) GDPR не реттейді және субъект кім

• сіз ЕО/ЕЭА-да орнатылдыңыз немесе ЕО-дағы пайдаланушыларға (тауарлар/қызметтер, мінез-құлық мониторингі);
• сіз бақылаушысыз (мақсаттарды/өңдеу құралдарын анықтайсыз) немесе процессорсыз (бақылаушы атынан ПД өңдейсіз).

• Бақылаушы: мақсаттардың/құралдардың иесі заңдылық пен ашықтыққа жауап береді.
• Процессор: бақылаушының құжатталған нұсқаулары бойынша әрекет етеді, DPA қорытындылайды.
• DPO (деректерді қорғау жөніндегі офицер): тәуелсіз қадағалау, DPIA/DSR, консультациялар, қадағалаумен байланыс.

2) Өңдеу қағидаттары (5-бап)

1. Заңдылық, әділдік, ашықтық.
2. Мақсатты шектеу. Нақты сипатталған, үйлесімді мақсаттар.
3. Деректерді барынша азайту. Тек қажетті нәрсе ғана.
4. Дәлдік. Өзектендіру және түзету.
5. Сақтауды шектеу. Ретеншн және жою/анонимдеу.
6. Тұтастық және құпиялылық. Әдепкі қауіпсіздік.
7. Есеп беру. Сәйкестіктің дәлелденуі (policies, логи, DPIA).

3) Заңды негіздер (6-бап) - iGaming/финтех үшін матрица

4) Арнайы санаттар және биометрия (9-бап)

Егер жеке негiз болмаса, арнайы санаттарды (денсаулығы, сенiмi және т.б.) өңдеуге тыйым салынады.
Бірегей сәйкестендіру үшін биометрия (мысалы, liveness/face-match үшін face-template) тікелей келісімді немесе өзге де тар құқықтық базаны (елге байланысты) талап етеді. Мүмкін болған жерде «дымқыл» суреттерді емес, үлгілерді сақтаңыз.

5) Бейіндеу және автоматтандырылған шешімдер (22-бап)

• логиканы (ақылға қонымды шектерде), маңыздылығы мен салдарын ашық ашу;
• адамның араласу және шешімге дау айту құқығы;
• DPIA құқықтар/бостандықтар тәуекелінің жоғары ықтималдығы кезінде (ауқымды бейіндеу).
• Ұсынымдар: reason codes сақтаңыз, модельдер/ережелерді нұсқалаңыз, bias-аудит жүргізіңіз.

6) DPIA/DTIA: міндетті

Егер тәуекел жоғары болса, DPIA жүргізіңіз: ауқымды профильдеу, биометрия, «жүйелі бақылау», жаңа деректер көздері.
DPIA үлгісі: өңдеудің мақсаты мен сипаттамасы → құқықтық негіздер → субъектілердің тәуекелдері → жұмсарту шаралары → қалдық тәуекел → жоспар.
DTIA (трансшекаралық беруді бағалау): алушы елдің құқықтық ортасы + келісімшарттық/техникалық шаралар (SCC/балама, шифрлау, кілттерді бөлу).

7) Трансшекаралық берілістер (V тарау)

Механизмдер: SCC, BCR, барабарлық туралы шешімдер, жергілікті ұқсастықтар.
Техникалық шаралар: end-to-end шифрлау, кілттерді бөлу, өрістерді азайту, берілгенге дейін псевдонимдеу.
Берілімдер тізілімін және DTIA нәтижелерін құжаттаңыз; қауіп-қатерлерді үнемі қайта қараңыз.

8) Субъектілердің құқықтары (DSR)

Маркетингке қол жеткізу, түзету, алып тастау, шектеу, төзімділік, қарсылық білдіру, бас тарту құқығы.
Мерзімі: әдетте 30 күнге дейін (ескертумен, күрделілігі кезінде тағы 60 күнге ұзартуға болады).
Өтініш берушінің жеке басын тексеріңіз (артық нәрсені ашпай).
Ерекшеліктер: AML/салық міндетіне байланысты сақтау және басқалар.

9) Cookie/SDK және маркетинг

Cookie-терді санаттарға бөліңіз: міндетті/функционалдық/аналитика/маркетинг.
ЕО/БЭЖ-дегі талдау/маркетинг үшін - opt-in (нақты таңдау), келісім журналы, егжей-тегжейлі сипаттамалар.
Do Not Track/Opt-out; серверлік талдауды және деректерді азайтуды пайдаланыңыз.
E-mail/SMS маркетинг - жеке келісім; келісім мен таймстемп пруфын сақтаңыз.

10) Қауіпсіздік және «privacy by design/default»

In transit және at rest шифрлау, төлем деректемелерін токенизациялау, деректер аймағын оқшаулау (PII, аналитика).
RBAC/ABAC, MFA, JIT-қатынауды бақылау, әрекеттер журналы, WORM-мұрағаты.
Түсірулер мен алмасуларды DLP-бақылау; dev/stage рұқсатсыз прод-деректер көшірмелеріне тыйым салу.
Өрістерді барынша азайтыңыз, сәйкестендіруді қажет етпейтін жерлерді біріктіріңіз және жасырын етіңіз.

11) Операциялар тізілімі (RoPA) және ретеншн

RoPA жүргізіңіз: мақсаты, негіздемесі, деректер мен субъектілердің санаттары, алушылар, сақтау мерзімі, қауіпсіздік шаралары, шетелге беру.
Ретеншн-матрица: ПД-ның әрбір санаты үшін - мерзімі (мысалы, AML/KYC ≥ қатынас аяқталғаннан кейін 5 жыл), жою/анонимдеу тәсілі, жауапты иесі.

12) Ағулар және хабарламалар (33/34-б)

Құқықтар мен бостандықтар үшін тәуекелді бағалаңыз: зиянның болу ықтималдығы кезінде қадағалау органына 72 сағат ішінде, ал жоғары тәуекел кезінде - субъектілерге негізсіз кідіріссіз хабарлаңыз.
Ден қою жоспары: оқшаулау, форензика, түзету, коммуникациялар, пост-теңіз; артефактілер мен шешімдерді сақтаңыз.

13) Процессорлар, DPA және вендорларды басқару

Әрбір процессормен DPA жасаңыз: пән, PD санаттары, субпроцессорлар, қауіпсіздік, DSR/инциденттермен көмек, аудит, деректерді жою/қайтару.
Due diligence: локация, сертификаттау (ISO/SOC), инциденттер, қауіпсіздік шаралары, субпроцессорлар.
Жыл сайын және өзгерістер кезінде қайта бағалау (санкциялар, M&A, география).

14) «Мақсаттар → Негіздер → Сақтау мерзімдері» матрицасы

15) Сіздің wiki үшін құжаттама (скелеттер)

1. Құпиялылық саясаты (қабатты): қысқаша нұсқасы + толық.
2. Cookie/консенс-менеджмент саясаты.
3. Өңдеулер тізілімі (RoPA).
4. DPIA/DTIA үлгісі + триггер өлшемдері.
5. DSR саясаты (SLA/рәсімдер/үлгілер).
6. Ретеншн және жою саясаты + job-пайплайн.
7. Инциденттер мен хабарламалар саясаты (RACI, нысандар).
8. DPA үлгісі және вендорлардың due diligence чек парағы.
9. Бейіндеу және автоматтандырылған шешімдер (explainability, апелляциялар) қағидалары.

16) Метрика және бақылау

DSR SLA: сұрау үлесі 30 күнге ≤ жабылды.
Consent Coverage: валидті opt-in/opt-out оқиғаларының үлесі.
Data Minimization Index: сандық орташа СД саны.
Access Violations/Exports: кіру және түсіру оқиғалары, тренд.
Encryption Coverage: шифрлаудағы кестелер/бакеттер/бэкаптар%.
Incident MTTR/MTTD және қайталануы.
Vendor Compliance Rate және аудит нәтижелері.
RoPA Completeness и Retention Adherence.

17) Чек парақтары

• DPIA/заңдылық негіздері DPO расталған.
• Мақсаттар/негіздер/ретеншн RoPA-ға енгізілген.
• Өрістерді барынша азайту/бүркеншік атау/деректер аймағын оқшаулау.
• Консенс баннері мен cookie санаттары теңшелген.
• DPA/вендорлар келісілген, субпроцессорлар аталған.
• Логи, алерта, аудит, жою/анонимдеу - қосылған.

• Қолжетімділік ревю (RBAC/ABAC), артық қайтарып алу.
• Бэкаптарды қалпына келтіру сынағы.
• DTIA/SCC және қосалқы процессорлар тізімін қайта қарау.
• Ретеншн аудиті (мерзімі бойынша жойылды) және DSR тізілімі.
• IR жоспарын жаттықтыру және ойнатқыштарды жаңарту.

• Өтініш берушінің верификациясы.
• RoPA жүйелерінен деректер жинау.
• Ерекшеліктердің негіздерін белгілей отырып, мерзімінде жауап беру.
• Жазбаларды жаңарту және тараптарға хабарлау (тасымалданғанда).

18) Енгізу жол картасы

1. ПД жүйелері мен ағындарын түгендеу; RoPA қалыптастыру.
2. DPO тағайындау, саясатты бекіту және RACI.
3. DPIA/DTIA контурын және консенс-менеджментті іске қосу.
4. Деректер аймағын бөлу, шифрлау, DLP, логи және WORM-мұрағаты.
5. Ретеншн-пайплайн және жою/анонимдеу.
6. Вендор-ревью, DPA, қосалқы процессорлар тізілімі.
7. Бейіндеу: reason codes, апелляциялар, explainability.
8. Тұрақты өлшемдер, Board есебі, сыртқы/ішкі аудит-сессиялар.

Жиынтық

GDPR-сәйкестік - бұл сайттағы саясат қана емес, ПД-ның өмірлік циклін басқару жүйесі: дұрыс негіздер, минимизация және әдепкі қауіпсіздік, DPIA/DTIA, субъектілердің құқықтарын құрметтеу, бақылаудағы вендорлар және өлшемді метриктер. Сәулет пен процестерге құпиялылықты кіріктіре отырып, сіз лицензияларды, серіктестіктерді және ойыншылардың сенімін сақтайсыз - өнім жылдамдығы мен конверсияға нұқсан келтірмей.