GH GambleHub

GDPR шеңберіндегі рөлдер

1) Базалық анықтамалар мен қағидаттар

Controller (Бақылаушы): дербес деректерді (PD) өңдеудің мақсаттары мен тәсілдерін дербес анықтайды. Заңдылық, ашықтық, субъектілердің құқықтары, security-TOMs, процессорларды таңдау және бақылау үшін негізгі жауапкершілікте болады.
Processor (Процессор): Бақылаушының құжатталған нұсқаулары бойынша ғана PD өңдейді, TOMs қамтамасыз етеді, субъектілер құқықтарымен және инциденттермен көмектеседі, жазбалар жүргізеді және аудитке жол береді.
Joint Controllers (Бірлескен бақылаушылар): екі + адам мақсаттары мен тәсілдерін бірлесіп анықтайды; субъектілер үшін міндеттерді және байланыс нүктесін ашық бөлу талап етіледі.
Sub-Processor (Субпроцессор): процессормен тартылған жеткізуші; бақылаушының алдын ала жазбаша рұқсатымен және баламалы міндеттемелермен ғана жол беріледі.

Алтын ереже: кім неге және қалай өңдеуді шешеді - бақылаушы; тек «нұсқаулық бойынша орындайтын» процессор.

2) Практикадағы рөлді қалай анықтау керек (шешімдер ағашы)

1. Өңдеудің бизнес-мақсаттарын кім қояды?

→ Сіз? Көбінесе бақылаушы.

2. Деректерді өз мақсаттарыңыз үшін қайта пайдалана аласыз ба (талдау, маркетинг)?

→ Иә → бақылаушы (немесе мақсаттары ортақ болса, бірлескен бақылау).

3. Сізге басқа тараптың нақты құралдары/шектеулері көрсетіле ме, ал сіздің мақсаттарыңыз туындайды ма?

→ Иә → процессор.

4. Екі тараптың мақсаттарын анықтайтын ортақ өнім/ортақ платформа бар ма?

→ Иә → joint controllers (art. 26 arrangement).

5. Тапсырма бойынша бұлтты/вендорды тартасыз ба?

→ Вендор - субпроцессор; сіз - бақылаушы; сіздің негізгі процессорыңыз оған сіздің рұқсатыңызды алуға міндетті.

3) iGaming экожүйесіндегі рөлдер - мысалдар матрицасы

Өзара әрекеттесуҮлгі рөлдерТүсініктеме
iGaming операторы ОйыншыБақылаушы Деректер субъектісіОператор мақсаттарды анықтайды (аккаунт, мөлшерлемелер, RG, AML)
СЖК/санкциялар Провайдері операторыПроцессор контроллеріDPA + нұсқауларын жазамыз, деректерді қайта пайдалануға тыйым салу
PSP/Банк операторыЖиі Жеке бақылаушыларPSP өзінің реттеуші мақсаттары мен сақтауы бар
Антифрод-платформа операторыӘдетте процессорЕгер сервис өз мақсаттары үшін біріктірілген инсайттармен «бөлісетін» болса - бірлескен бақылаушы немесе жеке бақылаушы болуы мүмкін
Хостинг/бұлт/CDN операторыПроцессор/субпроцессорКүшті қауіпсіздік және қол жетімділік логтары; аумақтылық
Аналитика/маркетинг-SDK операторыМикс: Процессор немесе жеке контроллерПровайдер өз мақсаттары үшін PD пайдалана алатындығына байланысты
Аффилиат операторыЖиі Жеке бақылаушыларЛидтер/кликтер аффилиаттың мақсаттары бойынша өңделеді; PD беру кезінде - DPA/шарт + барынша азайту
Процессор СубпроцессорПроцессор СубпроцессорДеңгей бойынша тең міндеттемелер мен бақылаушының рұқсаты қажет
Серіктеспен бірлескен промо-акцияJoint ControllersArt керек. Міндеттерді бөлумен 26 agreement

4) Рөлдер бойынша міндеттер (жоғары деңгейдегі RACI)

БелсенділікБақылаушыПроцессорБірлескен бақылаушылар
Құқықтық негіздер (lawful bases), хабарламаA/RCA/R (жиынтық)
DSAR өңдеу (кіру, жою және т.б.)A/RR (көмек)A/R (бөлу бойынша)
DPIA/DTIAA/RC/R (көмек)A/R (жиынтық)
Инциденттер/ағулар (DPA/юзерлер хабарламалары)A/RR (бақылаушыға хабарлау, көмек көрсету)A/R (жиынтық)
Процессорларды/субпроцессорларды таңдау және олардың аудитіA/RR (тізілім жүргізу, хабарлау)A/R (әрқайсысы өз аймағында)
Трансшекаралық берілістер (SCCs/IDTA)A/RR (орындау)A/R (жиынтық)
Ретеншн/жоюA/RR (нұсқауларды орындау)A/R (жиынтық)

5) Құжаттар мен келісімдер

DPA (Data Processing Agreement): сызба үшін міндетті контроллер → процессор.
Минимум: пән/PD санаттары, мақсаттар/нұсқаулықтар, TOMs, құпиялылық, DSAR/DPIA-мен көмек, инциденттер туралы хабарламалар, деректерді жою/қайтару, аудит, қосалқы процессорлар (келісім тізімі/тетігі).
Art. 26 Arrangement (Joint Controllers): міндеттерді ашық бөлу (ақпараттандыру, DSAR, байланыс нүктесі), жария саясаттағы рөлдердің мәні.
SCCs/UK IDTA + DTIA: барабарлығы болмаған кезде ЕЭА/UK тыс беру кезінде міндетті.
RoPA: бақылаушыда және процессорда (өз жиынтығында) өңдеу операцияларының тізілімі.
Маркетинг/SDK шарттары: қайталама пайдалануға тыйым салу, айқын рөлдер мен мақсаттар.

6) Сыни аймақтар және типтік қателер

1. Рөлдерді араластыру: «процессор» деректерді өз мақсаттары үшін пайдаланады → шын мәнінде бұл бақылаушы/бірлескен бақылаушы.
2. Рұқсатсыз субпроцессорлар: процессор жеткізушіні сіздің келісіміңізсіз қосады.
3. «Бос» DPA: retention/жою/инциденттер/аудит бойынша нақты нұсқаулар жоқ.
4. Мөлдір емес бірлескен бақылау: жоқ art. 26 - шағымдар мен айыппұл тәуекелдері.
5. Маркетингтік SDK: провайдерлер өздері үшін PD тартады - сіз ашылу мен заңдылыққа жауап бересіз.
6. PSP/Банктер: оларды процессорлар деп санау - қате; көбінесе бұл жеке бақылаушылар.

7) DPA шағын үлгісі (тұжырым фрагменттері)

Өңдеу мақсаты мен сипаты: «Процессор Бақылаушының нұсқауы бойынша тек KYC-верификация үшін ғана PD өңдейді».
Нұсқаулықтар: «Мақсаттарды кез келген өзгерту Бақылаушының жазбаша келісімін талап етеді».
Субпроцессорлар: "Процессор алдын ала жазбаша рұқсатсыз субпроцессорларды тартпайды; өзекті тізілімді жүргізеді және жариялайды".
Қауіпсіздік: «Процессор А қосымшасында сипатталғаннан төмен емес TOMs (шифрлау, псевдонимдеу, кіруді бақылау, журналдау) қолдайды».
Инциденттер: «Процессор негізсіз кідіріссіз Бақылаушыны хабардар етеді және реттеуші мен субъектілердің хабарламалары үшін барлық ақпаратты ұсынады».
Жою/қайтару: «Қызмет аяқталғаннан кейін процессор PD-ді жояды/қайтарады және кесте бойынша бэкап көшірмелерін жояды».
Аудит: «Бақылаушы орынды хабарлай отырып, аудит/сауалнамалар/сыртқы есептер (SOC2/ISO) жүргізуге құқылы».

8) DPIA/DTIA және трансшекаралық

DPIA: бақылаушы іске қосады; процессор жүйелер, тәуекелдер, TOMs туралы мәліметтерді ұсынады.
DTIA: SCCs/IDTA кезінде - алушының құқық қолдану ортасын бағалау, қосымша шаралар (E2EE, клиенттік кілттер, квазианонимизация, кілттерді EC/UK-да сақтау).

9) Бөлінген рөлдерде субъектілердің құқықтарымен жұмыс (DSAR)

Бақылаушы: сұрау салуды қабылдайды, жеке басын тексереді, жинауды үйлестіреді, мерзімінде жауап береді (әдетте 30 күнге ≤).
Процессор: нұсқау бойынша түсірулерді жедел ұсынады/алып тастайды, субъектіге тікелей жауап бермейді (егер өзгеше ұйғарылмаса).
Бірлескен бақылаушылар: келісімде «байланыс нүктесін» көрсету және жауап беру үшін деректер алмасу.

10) Security және инциденттер: кім не істейді

Бақылаушы: тосын оқиғалар саясаты, DPA/пайдаланушылардың хабарламалар жоспары, CAPA басқару.
Процессор: бақылаушыға дереу хабарлау, техникалық форензия, containment, журналдар, хабарламаларға көмектесу.
Бірлескен бақылаушылар: келісілген хабарламалар матрицасы; коммуникацияның бірыңғай желісі.

11) Ретеншн, жою, тестілік деректер

Бақылаушы: мақсаттар/заңдар бойынша сақтау мерзімдерін белгілейді (AML, бухгалтерлік есеп), саясатта жариялайды.
Процессор: кесте бойынша жою/анонимдеуді іске асырады, жеке - бэкаптарды тазарту; тестілік ортада PD-ны бүркемелеусіз/синтетикасыз пайдалануға тыйым салу.

12) Операциялық интеграция (практика)

CAB/Change: кез келген рөлдерді/субпроцессорларды/аумақтарды ауыстыру - CAB және DPA/SCCs түзетулері арқылы.
Data Map & RoPA: ағындардың тірі картасы; бақылаушыда - мақсаттар мен алушылар, процессорда - санаттар мен операциялар.
Вендор-менеджмент: онбординг алдындағы due diligence (ISO/SOC2, пентест, инциденттер саясаты, деректер географиясы).
Аудиттер: чек-парақтар, сауалнамалар, PII-ге қол жеткізудің іріктемелі журналдары, жою логикасы.

13) «Рөлді анықтаймыз» чек-парағы

  • Өңдеудің мақсаттары мен негізгі параметрлерін кім орнатады?
  • Өз мақсаттарыңыз үшін PD қайта пайдалануға бола ма?
  • Екінші тараптың дербес құқықтық негіздері бар ма?
  • Субъект алдында кім жауапты (DSAR)?
  • DPA (art. 28) немесе arrangement (art. 26)?
  • Субпроцессорлар мен келісу тетігі бар ма?
  • Трансшекаралық берілістер және қандай механизм (SCCs/IDTA) болады?

14) Жиі қойылатын сұрақтар (FAQ)

PSP - процессор немесе контроллер?
Әдетте жеке бақылаушы: өз мақсаттары (төлем қызметі, алаяқтықты болдырмау, нормативтік есептілік).

KYC провайдері модельді оқыту үшін фотосуреттерді сақтай ала ма?
Бақылаушы мәртебесі кезінде ғана (жеке негіздемемен және ашумен) немесе сіздің айқын келісіміңіз және дұрыс құқықтық негіздемеңіз болғанда ғана. Басқаша - тыйым салынады.

Ойыншыны әкелген аффилиат - процессор?
Көбінесе жеке бақылаушы: ол өз мақсаттары үшін PD жинайды. Бірлескен науқандар рөлдерді айқын бөлуді талап етеді.

Бұлтты логирлеу сервері - кімнің деректері?
Логтарды өңдеу - қауіпсіздікті қамтамасыз ету үшін процессордың міндеті; өз мақсаттары үшін қайта пайдалану жеке негіздемені талап етеді (басқаша болмайды).

15) Рөлдердің шағын саясаты (ішкі стандартқа арналған фрагмент)

1. Әдепкі оператор барлық PD ойыншылар/серіктестер ағындары бойынша бақылаушы ретінде әрекет етеді.
2. PD қолжетімділігі бар кез келген вендор - процессор (DPA) немесе жеке бақылаушы ретінде (өз мақсаттары кезінде) ресімделеді.
3. Қосалқы процессорды қосу жазбаша келісімді және тізілімді жаңартуды талап етеді.
4. Рөлдердің/аумақтардың/мақсаттардың кез келген ауысуы - CAB, DPO және Legal арқылы.
5. DSAR және инциденттер - бақылаушы үйлестіреді, процессорлар SLA жауап береді.

16) Енгізу жол картасы

1-2 апталар: деректер ағыны мен рөлдерді түгендеу; «кім кім кім» матрицасының жоба нұсқасы; RoPA жаңартуы.
3-4 апталар: қорытынды/DPA, art. 26 (қажет болған жерде), қосалқы процессорлардың тізілімі; аудит сауалнамаларын дайындау.
2 ай: DTIA/SCCs/IDTA, қоғамдық саясатты жаңарту, командаларды оқыту.
3 + айы: вендорлардың тұрақты аудиттері, DSAR тесті, инциденттер бойынша tabletop, өнім/маркетинг өзгерістері кезінде рөлдерді тексеру.

17) «Рөлдер матрицасы» қысқа үлгісі (мысал)

АғынОператордың рөліҚарсы агенттің рөліҚұжаттарТүсініктеме
КБК/санкцияларБақылаушыПроцессорDPA + нұсқауларҚайта пайдаланусыз
Төлемдер (PSP)Отд. бақылаушыОтд. бақылаушыШарт + Privacy NoticeЖеке жауапкершілік
Хостинг/бұлтБақылаушыПроцессор/субпроцессорDPA, SCCs/IDTAДеректер географиясы
Маркетинг-SDKБақылаушыПроцессор немесе отд. бақылаушыDPA / Joint/ToSҚайта пайдалануды тексеру
ТалдауБақылаушыПроцессорDPA, мақсаттарды шектеуБүркеншік атау

TL; DR

Рөлді мақсаттар мен өңдеу тәсілдері арқылы анықтаймыз: «неліктен/қалай» - бақылаушы; нұсқау бойынша орындайсың - процессор; бірге шешесіз - joint controllers. Мұны DPA/art-та ресімдейміз. 26. RoPA жүргіземіз, субпроцессорларды бақылаймыз, DPIA/DTIA-ны, субъектілердің құқықтарын және қауіпсіздігін қамтамасыз етеміз. Рөлдердің нақты матрицасы = реттеуші тәуекелдерден аз, даулы аймақтардан аз және тез аудит.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.