Przekazywanie danych między państwami

1) Cel i obszar

Stworzenie możliwego do zarządzania i sprawdzonego modelu transgranicznego przekazywania danych osobowych (PII) i zestawów operacyjnych (KYC/AML, płatności, RG/SE, CRM/marketing, telemetria gier, logi/AWP, analityka/DWH), z uwzględnieniem wymogów iGamy licencje i przepisy o ochronie danych w różnych jurysdykcjach. Dokument uzupełnia sekcje: „Lokalizacja danych”, „Usuwanie i anonimizacja”, „RODO: zgoda”, „DSAR”.

2) Podstawowe pojęcia i zasady

Transmisja transgraniczna - wszelki dostęp/replika/przetwarzanie poza jurysdykcją podmiotu/danych „domu”.
Adekwatność/równoważność - decyzje organu regulacyjnego w sprawie wystarczalności ochrony kraju otrzymującego pomoc.
Ustalenia umowne - standardowe postanowienia umowne, lokalne odpowiedniki, umowy uzupełniające.

TIA - ocena wpływu transferu

Suwerenność/rezydencja - miejsce przechowywania i lokalna kontrola prawa.

1. Local-first: jeśli to możliwe, przetwarzać lokalnie; na zewnątrz - minimalnie i zgodnie z zasadami.

2. Minimalizacja: „tyle, ile trzeba”; najlepiej agregaty/pseudonimy.

3. Kryptografia i izolacja: szyfrowanie, klucze w regionie, separacja sterowania/płaszczyzny danych.

4. Wydajność: dziennik każdej transmisji, TIA i artefakty fundamentowe.

5. Uszkodzenie zamknięte: brak podłoża lub TIA - brak transmisji.

3) Role i RACI

DPO/Head of Compliance (właściciel) - polityka, tolerancje, TIA, wyjątki. A)

Prawo - wybór mechanizmu transferu, umowy, lokalne wymagania. (R)

Bezpieczeństwo/Infra - szyfrowanie, KMS/HSM, obwody sieci, audyt. (R)

Data Platform/Analytics - de-PII/anonimization, Federated/cohort reporting. (R)

Inżynieria/SRE - routing, tokenizacja, kontrola eksportu. (R)

Menedżer dostawcy - rejestr podwykonawców, potwierdzenia, offboarding. (R)

Audyt wewnętrzny - próbki artefaktu, CAPA. (C)

4) Mapa transferu danych

Źródło → nominacja (kraj/chmura/sprzedawca) → kategoria danych → cel → podstawa prawna → mechanizm transferu → ochrona (te) → okresy przechowywania → odpowiedzialność.
Graficznie ustalone dla: wsparcia/CS, analizy/raportowania, oszustw/wskaźników ryzyka, dostawców gier i dostawców usług płatniczych, podmiotów powiązanych.

5) Mechanizmy prawne (ramy)

1. Decyzja w sprawie adekwatności (w stosownych przypadkach): uproszczona droga, ale nadal potrzebna artefaktom TIA i umowom ze sprzedawcą.
2. Standardowe/standardowe postanowienia umowne i lokalne odpowiedniki: obejmują obowiązkowe dodatki (kategorie, cele, środki).
3. Wiążące/dodatkowe umowy: wyjaśnienie obowiązków podwykonawców, powiadomienia o wnioskach agencji rządowych.
4. Wyjątki prawa: punkt i rzadkość (istotne interesy, wymóg kontraktowy) - nie dla eksportu systemowego.
5. Zasady wewnątrzgrupowe: dla pakietów akcji - instrumenty korporacyjne z kontrolą.

6) Ocena wpływu transferu (TIA)

Powód: nowy sprzedawca/kraj, nowy cel, nowe kategorie (biometria, RG/SE), zmiana trybu kluczowego lub trasy.

• Opis transmisji (dane/objętość/częstotliwość/uczestnicy).
• Otoczenie prawne kraju odbiorcy (ryzyko dostępu agencji rządowych, środki prawne ochrony podmiotów).
• Środki techniczne: szyfrowanie, klucze (BYOK/HYOK), pseudonimizacja, przetwarzanie podzielone.
• Środki organizacyjne: NDA, szkolenia, need-to-know, logging, odpowiedzi na wnioski.
• Ryzyko rezydualne/decyzja: zezwalać/modyfikować/zaprzeczać; okres rewizji.

Wzór formularza TIA: patrz § 15C.

7) Środki techniczne i organizacyjne

7. 1 Kryptografia i klucze

W spoczynku: AES-256-GCM; w tranzycie: TLS 1. 2 +/mTLS; PFS.
KMS: BYOK (mamy klucze), najlepiej HYOK (klucze pozostają w regionie); segmentacja według rynku/najemcy; niezmienny audyt kluczowych operacji.
Crypto-shredding: dla kopii zapasowych i archiwów z terminami.

7. 2 Minimalizacja i odinstalowanie

Aliasing przed eksportem (token gateway), przechowywanie mapowania oddzielnie w regionie.
Kruszywa, k-anonimowość/data bining i geo, tłumienie rzadkich kategorii.
PII-free logs/AWS i server-side tagging z zerowaniem identyfikatorów bez zgody.

7. 3 Izolacja płaszczyzn

Globalna płaszczyzna sterowania bez PII; płaszczyzna danych z lokalnym PII.
Dostęp do PII poprzez warstwę proxy z uzasadnieniem żądania i dziennika.

7. 4 Wnioski agencji rządowych

Kontur reakcji: weryfikacja legalności, wyzwanie, minimalizacja objętości, powiadomienie (jeśli jest dozwolone), wpis do rejestru wniosków.

8) Kategorie danych i zasady transferu

9) Sprzedawcy i podwykonawcy przetwórcy

Rejestracja: osoba jurajska, kraje DC, podkontrolery, certyfikaty, mechanizmy transferu, tryb kluczowy.
Umowy: DPA + SCC/analogi, powiadomienia o zmianie lokalizacji/podwykonawców ≥ 30 dni, prawa audytu/kwestionariusza, zobowiązania do lokalizacji kopii zapasowych, incydentów SLA i DSAR.
Wejście na pokład/przegląd: TIA, pentest/attestation, test „sample transfer”.
Offboarding: eksport/usuń/krypto-shred + dowód.

10) Kopie zapasowe, dzienniki i analizy

Kopie zapasowe: w tym samym regionie; eksport za granicę - tylko w formie zaszyfrowanej + HYOK; po osiągnięciu terminu - crypto-shred.
Logs/AWS: domyślnie wolne od PII; jeśli nie, lokalne przechowywanie, krótkie zatrzymywanie.
Analityka/DWH: raporty globalne tylko agregaty/kohorty; zakazanie identyfikatorów surowych poza regionem.

11) Procesy i wydarzenia

Poprzez proces: badanie transferu → sprawdzenie profilu rynku → wybór mechanizmu → TIA → koordynacja → środki techniczne → start → monitorowanie → artefakty/audyt.

• "xborder _ transfer _ requested/approved/denied'
• „transfer _ executed” (tom/czas/sprzedawca)
• „key _ access _ for _ transfer” (audyt KMS)
• „gov _ request _ received/respondented”
• „sprzedawca _ location _ changed”
• „transfer _ review _ due”

12) Dane i artefakty (model)

transfer_record {
id, market_from, market_to, vendor, purpose, lawful_basis,
mechanism{adequacy    scc    local_clause    exception}, tia_id,
data_classes[], pii{yes/no}, deidentification{pseudo    anon    none},
encryption{at_rest, in_transit, keys{scope: BYOK    HYOK, kms_region}},
executed_at_utc, volume{rows, mb}, retention_days, backups{region, crypto_shred:true},
approvals{legal, dpo, security}, status, evidence_uri(WORM)
}

tia {
id, date, countries_involved[], legal_risk_summary, gov_access_risk,
technical_measures[], organizational_measures[], residual_risk{low    med    high},
decision{allow    modify    deny}, review_at
}

13) KPI/KRI i deska rozdzielcza

X-Border Transfer Rate (według docelowego/sprzedawcy/kraju).
TIA Coverage (% transmisji z aktualnym TIA).
BYOK/HYOK Coverage.
Anonimowy udział eksportowy (% wywozu w kruszywach/pseudonimach).
Vendor Location Drift (incydenty związane ze zmianą lokalizacji).
Gov Request Count i średni czas odpowiedzi.
Wynik Auditability (% rekordów z pełnym pakietem artefaktów).

14) Listy kontrolne

A) Przed przeniesieniem

• Cel i uzasadniony cel potwierdzone.
• Wybrany mechanizm (adekwatność/kontrakt/analogowy), TIA wykonane.
• Aliasing/anonimizacja skonfigurowane; zminimalizowana objętość.
• KMS/Keys: BYOK/HYOK, logowanie włączone.
• Umowa z dostawcą: DPA + SCC/ekwiwalent, powiadomienia o zmianie DC/podwykonawcy.
• Rezydencja kopii zapasowych i krypto-shred w planie.

B) W operacjach

• Monitoring 'vendor _ location _ changed' i alerty.
• Okresowa rewizja TIA i mechanizmów.
• DSAR/usunięcia są prawidłowo stosowane na obwodzie odbiorcy (lub poprzez anonimizację).
• Dzienniki transferu i audyty KMS są dostępne dla audytu.

C) Audyt/Ulepszenia

• Kwartalne próbki „transfer _ record” dla kompletności.
• CAPA w sprawie incydentów/skarg/ustaleń regulacyjnych.
• Test „cofnij dostęp” dostawcy + potwierdzenie usunięcia.

15) Szablony (szybkie wkładki)

A) Klauzula „przeniesienie transgraniczne”

B) Powiadomienie o wniosku agencji rządowej

C) Krótki TIA (pager)

16) 30-dniowy plan realizacji

Tydzień 1

1. Zatwierdzanie transgranicznych polityk przesyłowych, RACI i szablonów TIA/DPA.
2. Zbuduj mapę bieżących przepływów i rejestr sprzedawców/lokalizacji/kluczy.
3. Konfigurować KMS według rynków (BYOK/HYOK), włączyć niezmienne audyt klucza.

Tydzień 2

4) Włącz aliasing przed eksportem i PII-free logs/AWS.
5) Uruchom rejestr „transfer _ record ”/„ tia” (artefakty WORM).
6) Aktualizacja umów z dostawcami krytycznymi: lokalizacje, powiadomienia, procedury offboarding.

Tydzień 3

7) Strumienie pilotażowe 2-3 (CS, raporty DWH): pomiar anonimowego udziału eksportowego, zasięg BYOK.
8) Produkt pociągu/CS/BI/Legal o procedurach i eskalacji żądań rządu.
9) Podłącz alerty 'vendor _ location _ changed'.

Tydzień 4

10) Pełne zwolnienie; Deska rozdzielcza KPI/KRI i kwartalne opinie TIA.
11) CAPA według ustaleń; plan v1. 1 - sfederowana analityka/diff. prywatność w raportach.
12) Test offboarding jednego sprzedawcy: usunięcie/krypto-shred, potwierdzenie.

17) Sekcje wzajemnie powiązane

Lokalizacja danych według jurysdykcji

Harmonogramy usuwania i anonimizacji danych/przechowywania i usuwania danych

RODO: Zarządzanie zgodami/pliki cookie i polityka CMP

Prywatność według projektu/DSAR

W czasie odpoczynku/tranzytu, szyfrowanie KMS/BYOK/HYOK

Zgodność Deska rozdzielcza i monitorowanie/audyt wewnętrzny i zewnętrzny