GH GambleHub

Құпиялылық және GDPR саясаты

1) Мақсаты және қолданылу саласы

Мақсаты: оператордың барлық юрисдикцияларында ойыншылардың, әріптестердің және қызметкерлердің дербес деректерін (PII) заңды, ашық және қауіпсіз өңдеуді қамтамасыз ету.
Қамту: веб/мобильді қосымшалар, CRM/BI/DWH, антифрод/AML/KYC, PSP/КБК/санкциялар провайдерлері, саппорт, маркетинг, аффилиаттар, live-студиялар, хостинг және логинг.

2) Рөлдер және жауапкершілік (RACI)

Data Protection Officer (DPO) - A: сәйкестікті қадағалау, RoPA, DPIA/DTIA, реттеушілерге жауаптар.
Head of Compliance - A: саясат, тәуекел-тәбет, эскалация және есептілік.
Legal - C: құқықтық негіздер, DPA/SCCs шарттары, баннерлер мен хабарламалардың мәтіндері.
Security/SRE - R: техникалық және ұйымдастырушылық шаралар (TOMs), кіру журналы, инциденттер.
Data/BI - R: деректер каталогы, ең аз, бүркемелеу/бүркемелеу.
Marketing/CRM - R: келісім, артықшылық, жауап қайтару, куки.
Product/Engineering - R: Privacy by Design/Default, сақтау және жою.
Support/VIP - R: субъектілердің сұраныстары (DSAR), жеке басын тексеру.

3) Өңдеудің құқықтық негіздері (Lawful Bases)

Consent (Келісім) - маркетинг, аналитикалық/жарнамалық куки, міндетті емес дербестендіру.
Contract (Шарт) - мөлшерлемелерді/қорытындыларды тіркеу, өңдеу, саппорт.
Legal Obligation - KYC/AML/санкциялар, бухгалтерия және есептілік.
Legitimate Interests - антифрод, қауіпсіздік, өнімді жақсарту (мүдделерді теңестіру тестімен - LIA).
Vital/Public Interest - егер қолдануға болатын және заңмен рұқсат етілетін болса, RG/қауіпсіздіктің сирек кездесетін жағдайлары.

4) Деректер субъектілерінің құқықтары (DSR/DSAR)

Қатынау (Art. 15), Түзету (Art. 16), Жою (Art. 17), Шектеу (Art. 18), Төзімділік (Art. 20), Қарсылық (Art. 21), тек қана автоматтандырылған шешімнің объектісі болмау (Art. 22).
DSAR өңдеудің SLA: растау ≤ 7 күн, орындау ≤ 30 күн (субъектіні хабардар ету қиындығы кезінде тағы 60 күнге ұзарту).
Верификация: көпфакторлы; ашық арналар бойынша сезімтал деректерді ашуға тыйым салу.
Логи: сұрау салуды, жеке басын тексеруді, берілген деректер пакетін және жауап мерзімін сақтау.

5) Өңдеу операцияларының тізілімі (RoPA)

Ең аз өрістер: мақсаты, субъектілердің/деректердің санаттары, құқықтық негіздемесі, сақтау мерзімдері, алушылар/үшінші елдер, қауіпсіздік шаралары, деректер көзі, автоматтандырылған шешімдер/профильдеу, егер бар болса DPIA/DTIA.

6) DPIA/DTIA: қашан және қалай

DPIA - жоғары тәуекел кезінде: ауқымды профильдеу, жаңа антифрод-модельдер, геодеректерді өңдеу, RG-триггерлер, жүйелі бақылау.
DTIA/TIA - ЕЭА/Ұлыбританиядан тыс трансшекаралық беру кезінде: мемлекеттік органдардың жергілікті қолжетімділігін бағалау, келісімшарттық/техникалық шаралар.
Процесс: скрининг → тәуекелдерді және шараларды бағалау → DPO/Legal келісу → бақылауды енгізу → жол беру журналы.

7) Куки, пиксель, SDK және келісім баннері

Санаттар: қатаң қажетті, функционалдық, талдамалық, маркетингтік.

Талаптар:
  • Келісімге дейін - тек қатаң қажеттілерді ғана тиейміз.
  • Гранулярлық келісім және жеке бас тарту; уақыт нұсқалары мен мөртабандарының журналы.
  • IAB TCF бар CMP (егер қолданылатын болса); мақсаттар/жеткізушілер өзгерген кезде баннерді автоматты жаңарту.
  • Кез келген уақытта оңай жауап беру/таңдауды өзгерту.

8) Өңдеушілер және субпроцессорлар

DPA әрбір провайдермен: пән, мақсаттар, деректер санаттары, мерзімдер, TOMs, субпроцессорлар, аудиттер.
Қосалқы процессорлардың жария тізілімі (нұсқалылығы); өзгерістер туралы хабарлама және қарсылық білдіру құқығы.
Тексерулер: due diligence (ISO/SOC2), тестілік оқиғалар, сұрау бойынша пентест-есептер, оффбординг жоспары.

9) Трансшекаралық беру

SCCs/IDTA + DTIA; қажет болған жағдайда - қосымша шаралар: E2EE, клиенттік шифрлау, квазианонимизациялау, ЕО-дағы кілттер.
Құқықтық тетікті, елдер мен алушыларды Саясат/тізілімде бекітеміз.

10) Сақтау және жою (Retention & Deletion)

Мерзімдер матрицасы (мысал):
СанатМерзіміНегізі
Ойыншы тіркелгісіЖабылғаннан кейін 5 жылға дейінAML/бірқатар юрисдикциялардағы бухгалтерлік есеп
KYC/AML құжаттары5-10 жылLegal Obligation
PII қатынау логтары1-3 жылLegitimate Interests/қауіпсіздік
Маркетингтік оқиғалар24 айConsent/LI
Саппорт жазбалары24-36 айContract/LI

Жою саясаты: DWH/қоймалардағы автоматты тапсырмалар (job); цикл бойынша резервтік көшірмелерде жою; журналдарда тіркеу. Талдау үшін ID бүркеншік атау.

11) Қауіпсіздік (TOMs)

Техникалық: At Rest/Transit шифрлау, желілерді сегменттеу, құқықтарды азайту, KMS/кілттерді ротациялау, DLP, EDR/IDS/WAF, SSO/MFA, құпия менеджер, WORM журналдау.
Ұйымдастыру: қолжетімділік саясаты, оқыту, NDA, clean desk, вендорларды тексеру, инциденттерді басқару (SANS/NIST).
Privacy by Design/Default: change процестерінде бағалау, әдепкі ең аз деректер жиыны, PII-сіз тест деректері.

12) Ағулар мен инциденттер туралы хабарламалар

Бағалау: фактіні, көлемді және тәуекелді растау.
Мерзімдер (бағдарлар): деректер бойынша қадағалау органына - құқықтар/бостандықтар тәуекелі кезінде 72 сағатқа дейін; пайдаланушыларға - негізсіз кідіріссіз.
Хабарламаның мазмұны: оқыс оқиғаның сипаттамасы, жазбалардың санаттары мен болжамды саны, DPO байланысы, салдары, қабылданған шаралар, субъектілерге ұсынымдар.
Логи: таймлайн, шешімдер, хаттар/жауаптар үлгілері, CAPA.

13) Маркетинг және коммуникация

Транзакциялық хабарламаларды (келісімсіз) және маркетингтік хабарламаларды (келісіммен ғана) бөлу.
Артықшылықтарды басқару: теңшелімдер орталығы, тақырыптар/арналар бойынша жазылымдар, double-opt-in (қажет болған жерде).
Аффилиаттар және трекинг: PII жинауға/беруге шарттық шектеулер, сәйкестендіргіштерді негізсіз және келісімсіз беруге тыйым салу.

14) Жария Құпиялылық саясаты - құрылым

1. Біз кім және DPO байланыстары.
2. Қандай деректерді жинаймыз (санаттар мен көздер бойынша).
3. Мақсаттар/құқықтық негіздер («мақсат → деректер → негіз → мерзім» кестесі).
4. Cookies/SDK және келісімді басқару.
5. Алушылар және трансшекаралық берілімдер (тетіктер мен шаралар).
6. Субъектілердің құқықтары және оларды қалай іске асыру керек.
7. Деректер қауіпсіздігі (жоғары деңгейлі TOMs).
8. Сақтау мерзімдері мен өлшемдері.
9. Автоматтандырылған шешімдер/бейіндеу және жалпы сипаттағы логика.
10. Саясат өзгерістері (нұсқалығы) және біз қалай хабарлаймыз.
11. Шағымдарға арналған контактілер (егер талап етілсе, юрисдикциялар бойынша DPA).

💡 Тіл - қарапайым және түсінікті; жаргонды және артық техникалық нақтылауды болдырмау.

15) Формулировкалардың үлгілері мен мысалдары

15. 1 Мақсаттар/негіздер кестесі (фрагмент):

МақсатыДеректерНегізіМерзімі
Тіркелу және аккаунтСәйкестендіру, байланысШартаккаунттың өмір сүру мерзімі + X
KYC/AMLҚұжаттар, фото, ливенесс, санкц-хитLegal Obligation5-10 жыл
Антифрод/ҚауіпсіздікDevice-ID, IP, мінез-құлықLegitimate Interests24 ай
МаркетингEmail/Push/cookie-IDConsentқайтарып алғанға дейін

15. 2 Куки баннері (минимум):

"Біз cookie файлдарын пайдаланамыз. «Бәрін қабылдау» түймешігін басу арқылы сіз аналитикалық және маркетингтік кукилерді сақтауға келісесіз. Санаттар бойынша таңдауды өзгертуге болады. "Міндетті еместерді қабылдамау" - тек қатаң қажетті cookie"

15. 3 Бейіндеу туралы бөлім (мысал):

"Біз профильдеуді алаяқтықтың алдын алу және жауапты ойын (RG) үшін пайдаланамыз. Бұл қауіпсіздік үшін қажет және біздің заңды мүдделерімізге сәйкес келеді. Егер заңда өзгеше көзделмесе, сіз қарсылық білдіре аласыз (мысалы, AML)"

16) Процестік SOP

SOP-1: Саясатты жаңарту

Триггерлер: жаңа мақсаттар/вендорлар/SDK/юрисдикциялар.
Қадамдар: түгендеу → LIA/DPIA → update мәтін → локализация → CMP-жаңарту → пайдаланушыларға коммуникация → нұсқа/кіру күні.

SOP-2: DSAR

Сұрау арнасы → жеке басын тексеру → деректер көлемін бағалау → пакетті жинау (жүйелерден экспорт) → заңды аудит → негіздемесі бар беру/бас тарту → журнал.

SOP-3: Жаңа субпроцессор

Due diligence → DPA/SCCs → DTIA → оқиға тесті → қоғамдық тізілімге қосылу → пайдаланушыларға хабарлау (егер қажет болса).

17) Оқыту және аудит

Онбординг + барлық адамдар үшін жыл сайынғы құпиялылық бойынша оқыту; Support/Marketing/Engineering үшін қосымша тренингтер.
Ішкі аудит жылына бір рет: RoPA, сақтау мерзімдеріне сәйкестігі, DSAR ішінара тексеру, СМР/куки ревьі, тест-өтінім, пентест/қол жеткізу логының форензиясы.
KPI: оқудан өткен қызметкерлер%; SLA DSAR; псевдонимделуі қосылған жүйелердің үлесі; орындалған CAPA.

18) Оқшаулау және мультиюрисдикциялану

GDPR/UK GDPR базалық стандарт ретінде; ePrivacy/PECR коммуникация және кукилерді есепке алу.
Жергілікті нюанстар (мысал): баланың деректерін өңдеуге келісімнің жасы, KYC сақтау мерзімі, хабарлама нысандары, құжат тіліне қойылатын талаптар.
Елдер бойынша алшақтық матрицасын және қолданылатын нормаларға/лицензияларға сілтемелерді жүргізу.

19) Енгізудің жол картасы (мысал)

1-2 апталар: деректер/жүйелерді түгендеу, RoPA, ағындар картасы, Саясаттың жоба нұсқасы.
3-4 апталар: жоғары тәуекелді процестер үшін СМР/баннер, субпроцессорлар тізілімі, DPA/SCCs, DPIA.
2-ай: артықшылық орталығын іске қосу, жою/анонимдеуді автоматтандыру, қызметкерлерді оқыту.
3 + айы: мерзімді аудиттер, DSAR тестілері, локализациялар мен тізілімдерді жаңарту.

20) Дайындықтың қысқаша чек-парағы

  • DPO тағайындалды, контактілер жарияланды
  • Өзекті RoPA және деректер ағындарының картасы
  • Саясат жарияланған, оқшауланған, нұсқасымен
  • Дәлелденген келісім/бас тарту логтары бар CMP
  • DPA/SCCs және көпшілік субпроцессорлар тізілімі
  • DPIA/DTIA тәуекелді процестер үшін аяқталды
  • Retention-jobs және жою/анонимдеу рәсімдері
  • DSAR SOP және оқыс оқиғалар, иелері оқытылған
  • Метрика/KPI және жыл сайынғы құпиялылық аудиті

TL; DR

Күшті Саясат = айқын мақсаттар мен негіздер + түгендеу және RoPA + келісім/бақылаудағы куки + қауіпсіз трансшекаралық берілістер + субпроцессорлар тізілімі + нақты сақтау мерзімдері және жою + жаттығу DSAR/инциденттер. Бұл заңдық және беделді тәуекелдерді төмендетеді және ойыншылардың сенімін нығайтады.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.