GH GambleHub

Role w RODO

1) Podstawowe definicje i zasady

Administrator: określa cele i metody przetwarzania danych osobowych (PD). Ponosi główną odpowiedzialność za legalność, przejrzystość, prawa podmiotów, bezpieczeństwo-TOM, selekcję i kontrolę przetwórców.
Procesor: Przetwarza PD tylko w sposób udokumentowany przez kontrolera, zapewnia TOM, pomaga w prawach i incydentach jednostki, zachowuje zapisy i umożliwia audyty.
Wspólni kontrolerzy: dwie osoby + wspólnie określają cele i metody; wymagany jest przejrzysty podział obowiązków i punkt kontaktowy dla uczestników.
Sub-Processor: Sprzedawca zaangażowany przez procesora jest dozwolony tylko po uprzednim pisemnym zatwierdzeniu administratora i równoważnych obowiązków.

Złota zasada: kto decyduje, dlaczego i jak przetwarzać jest kontroler; który tylko „wykonuje zgodnie z instrukcjami” - procesor.

2) Jak zdefiniować rolę w praktyce (drzewo decyzji)

1. Kto wyznacza cele biznesowe dla przetwarzania?

→ Czy jesteś? Raczej kontroler.

2. Czy można ponownie wykorzystać dane do swoich celów (analityka, marketing)?

→ Tak → kontroler (lub wspólny kontroler, jeśli cele są wspólne).

3. Czy druga strona wskazuje Ci dokładne środki/ograniczenia i Twoje cele są wyprowadzane?

→ Tak → procesor.

4. Czy istnieje wspólna platforma produktowa/wspólna, której celem są obie strony?

→ Tak → sterowniki wspólne (sztuka potrzebna. 26 układ).

5. Czy zaangażowałeś chmurę/sprzedawcę na swoje zadanie?

→ Sprzedawca - podwykonawca; jesteś kontrolerem; Twój główny procesor musi uzyskać na to pozwolenie.

3) Role w ekosystemie iGaming - macierz przykładów

InterakcjeTypowe roleKomentarz
Operator iGamingPodmiot administrujący danymiOperator określa cele (konto, stawki, RG, AML)
Operator i dostawca sankcji/CCMPodmiot sprawujący nadzór i procesorPiszemy instrukcje DPA +, zakaz ponownego wykorzystywania danych
Operator/Bank PSPCzęściej Indywidualne organy nadzoruPSP ma własne cele regulacyjne i magazynowanie
Platforma operatorsko-antyfraudowaZazwyczaj procesorJeżeli usługa „akcje” zagregowane spostrzeżenia dla własnych celów, wspólny administrator lub oddzielny administrator jest możliwe
Hosting operatora/chmura/CDNProcesor/podwykonawcaSilne dzienniki bezpieczeństwa i dostępu; terytorialność
Operator i Analityka/Marketing-SDKMix: Procesor lub pojedynczy kontrolerZależy od tego, czy dostawca może używać PD do własnych celów
Podmiot pomocniczyCzęsto poszczególne organy nadzoruWskazówki/kliknięcia są obsługiwane przez cele afiliacyjne; do przeniesienia PD - DPA/umowa + minimalizacja
Procesor i podwykonawcaProcesor i podwykonawcaPotrzebujemy równych zobowiązań i zgody administratora
Wspólna promocja z partneremWspólni kontrolerzySztuka jest potrzebna. 26 porozumienie z obowiązkami

4) Odpowiedzialność za rolę (RACI wysokiego szczebla)

DziałalnośćKontrolerProcesorWspólne organy nadzoru
Podstawy prawne, zawiadomienieA/RCA/R (łącznie)
Przetwarzanie DSAR (dostęp, usunięcie itp.)A/RR (pomoc)A/R (według dystrybucji)
DPIA/DTIAA/RC/R (pomoc)A/R (łącznie)
Incydenty/przecieki (DPA/powiadomienia użytkowników)A/RR (administrator informacji, pomoc)A/R (łącznie)
Wybierz i audyt procesorów/podwykonawcówA/RR (prowadzić rejestr, powiadamiać)A/R (każdy we własnej strefie)
Transmisje transgraniczne (SCC/IDTA)A/RR (wykonanie)A/R (łącznie)
Zatrzymanie/usunięcieA/RR (wykonanie instrukcji)A/R (łącznie)

5) Dokumenty i umowy

Umowa o przetwarzaniu danych (DPA) - Administrator → procesor wymagany przez schemat.
Minimum: podmiot/kategorie PD, cele/instrukcje, TOM, poufność, pomoc z DSAR/DPIA, powiadomienia o incydentach, usunięcie/powrót danych, audyt, podwykonawcy (mechanizm listy/zgody).
Art. 26 Uzgodnienia (wspólni kontrolerzy): przejrzysty podział obowiązków (informowanie, DSAR, punkt kontaktowy), istota ról w porządku publicznym.
SCC/UK IDTA + DTIA: obowiązkowe dla transmisji spoza EOG/Wielkiej Brytanii, jeżeli jest to niewystarczające.
RoPA: rejestr operacji przetwarzania w kontrolerze i procesorze (z własnego zestawu).
Pojęcia marketingu/SDK: brak recyklingu, jasne role i cele.

6) Obszary krytyczne i typowe błędy

1. Mieszanie ról: „procesor” wykorzystuje dane do własnych celów → w rzeczywistości jest administratorem/wspólnym administratorem.
2. Sub-procesory bez uprawnień: Procesor dodaje dostawcę bez Twojej zgody.
3. „Puste” DPA: Brak jasnych instrukcji zatrzymywania/usuwania/incydentu/audytu.
4. Nieprzejrzysta wspólna kontrola: brak art. 26 - skargi i ryzyko kary.
5. Marketing SDK: Dostawcy wyciągają PD dla siebie - jesteś odpowiedzialny za ujawnianie i legalność.
6. PSP/Banki: błędem jest rozważyć ich przetwórców; częściej są to indywidualne kontrolery.

7) Mini-szablon DPA (fragmenty tekstu)

Cele i charakter przetwarzania: „Procesor przetwarza PD wyłącznie do weryfikacji KYC zgodnie z zaleceniami Kontrolera”.
Instrukcja: „Każda zmiana celów wymaga pisemnej zgody Administratora”.

Sub-procesory: "Procesor nie przyciąga podwykonawców bez uprzedniej pisemnej zgody; prowadzi i publikuje aktualny rejestr"

Bezpieczeństwo: „Procesor obsługuje TOM (szyfrowanie, aliasing, kontrola dostępu, rejestrowanie) nie niższe niż opisane w dodatku A.”

Incydenty: „Podmiot przetwarzający powiadamia Administratora bez zbędnej zwłoki i przekazuje wszelkie informacje do powiadomienia regulatora i podmiotów”.
Usunięcie/zwrot: „Po zakończeniu usługi procesor usuwa/zwraca PD i usuwa kopie kopii zapasowych w harmonogramie”.
Audyt: „Kontroler może przeprowadzać audyty/kwestionariusze/sprawozdania zewnętrzne (SOC2/ISO) z uzasadnionym powiadomieniem”.

8) DPIA/DTIA i transgraniczne

DPIA: uruchamia się kontroler; procesor dostarcza informacji o systemach, zagrożeniach, TOM.
DTIA: SCC/IDTA - ocena środowiska egzekwowania prawa przez odbiorcę, dodatkowe środki (E2EE, klucze klienta, quasi-anonimizacja, przechowywanie kluczy w EC/UK).

9) Praca z prawami przedmiotowymi (DSAR) w rolach rozproszonych

Kontroler: akceptuje żądanie, weryfikuje tożsamość, koordynuje zbiór, odpowiada w ciągu (zwykle ≤ 30 dni).
Procesor: bezzwłocznie dostarcza przesłanie/usunięcie zgodnie z kierunkiem, nie odpowiada bezpośrednio na temat (chyba że polecono inaczej).
Wspólne organy nadzoru: w umowie należy określić „punkt kontaktowy” i wymianę danych dla odpowiedzi.

10) Bezpieczeństwo i incydenty: kto robi co

Kontroler: Polityka incydentów, Plan powiadomień DPA/użytkownika, Zarządzanie CAPA.
Procesor: natychmiastowe powiadomienie kontrolera, techniczne badania sądowe, przechowywanie, rejestry, pomoc w powiadomieniach.
wspólne organy nadzoru: uzgodniona macierz zgłoszeniowa; pojedynczą linię komunikacji.

11) Zatrzymanie, usunięcie, dane testowe

Kontroler: ustawia okresy przechowywania zgodnie z celami/ustawami (AML, rachunkowość), publikuje w polisie.
Procesor: implementuje usuwanie/anonimizację w harmonogramie, oddzielnie - czyszczenie kopii zapasowych; zakaz stosowania PD w środowisku badawczym bez maskowania/syntetyki.

12) Integracja operacyjna (praktyka)

CAB/Change: każda zmiana roli/podwykonawcy/terytorium - poprzez edycje CAB i DPA/SCC.
Mapa danych & RoPA: Mapa transmisji na żywo; kontroler ma cele i odbiorców, procesor ma kategorie i operacje.
Zarządzanie sprzedawcą: należyta staranność przed wejściem na pokład (ISO/SOC2, test penetracji, polityka incydentów, geografia danych).
Audyty: listy kontrolne, kwestionariusze, logi próbki dostępu PII, logika usuwania.

13) Lista kontrolna „Definiowanie roli”

  • Kto wyznacza cele i kluczowe parametry przetwarzania?
  • Czy PD można ponownie wykorzystać do własnych celów?
  • Czy druga strona ma odrębne podstawy prawne?
  • Kto odpowiada przed jednostką (DSAR)?
  • Czy DPA są potrzebne (art. 28) lub układ (art. 26)?
  • Czy istnieją podwykonawcy i mechanizm dopasowujący?
  • Czy będą transmisje transgraniczne i jaki mechanizm (SCC/IDTA)?

14) Często zadawane pytania (FAQ)

PSP - procesor lub kontroler?
Zazwyczaj osobny kontroler: cele własne (usługi płatnicze, zapobieganie nadużyciom finansowym, sprawozdawczość regulacyjna).

Dostawca KYC może przechowywać zdjęcia do szkolenia modelek?
Tylko ze statusem administratora (z odrębną podstawą i ujawnieniem) lub za wyraźną zgodą i poprawną podstawą prawną. W przeciwnym razie jest to zabronione.

Partnerem, który przyniósł gracza jest procesor?
Częściej osobny kontroler: zbiera PD dla własnych celów. Wspólne kampanie wymagają wyraźnego przydziału ról.

Serwer rejestrowania w chmurze - czyje dane?
Przetwarzanie kłód jest obowiązkiem procesora w celu zapewnienia bezpieczeństwa; ponowne wykorzystanie do własnych celów wymaga odrębnego gruntu (inaczej niemożliwe).

15) Mini Rola Policy (snippet dla standardu wewnętrznego)

1. Domyślnie operator działa jako kontroler dla wszystkich przepływów PD graczy/partnerów.
2. Każdy sprzedawca z dostępem do PD - jest zarejestrowany jako procesor (DPA) lub jako oddzielny kontroler (do własnych celów).
3. Dodanie podwykonawcy wymaga pisemnej zgody i aktualizacji rejestru.
4. Wszelkie zmiany ról/terytoriów/celów - poprzez CAB, DPO i Legal.
5. DSAR i incydenty - koordynowane przez kontrolera, procesory reagują na SLA.

16) Plan działania w zakresie wdrażania

Tygodnie 1-2: spis przepływów danych i ról; projekt macierzy „kto jest kim”; Aktualizacja RoPA.
Tygodnie 3-4: zawarcie/aktualizacja DPA, art. 26 (w razie potrzeby), rejestr podwykonawców; przygotowanie kwestionariuszy audytu.
Miesiąc 2: DTIA/SCCs/IDTA, aktualizacja polityki publicznej, szkolenie zespołu.
Miesiąc 3 +: regularne audyty sprzedawcy, test DSAR, tablop na incydenty, audyty ról dla zmian produktu/marketingu.

17) Krótki szablon „Role Matrix” (przykład)

StrumieńRola operatoraRola kontrahentaDokumentyKomentarz
CCM/sankcjeKontrolerProcesorInstrukcje DPA +Brak ponownego użycia
Płatności (PSP)Dep. kontrolerDep. kontrolerUmowa + Ogłoszenie o ochronie prywatnościOdrębna odpowiedzialność
Hosting/chmuraKontrolerProcesor/podwykonawcaDPA, SCC/IDTAGeografia danych
Marketing-SDKKontrolerKontroler procesora lub działuDPA/Joint/ToSSprawdź ponowne użycie
AnalitykaKontrolerProcesorDPA, ograniczenie celuPseudonimizacja

TL; DR

Określamy rolę poprzez cele i metody przetwarzania: decydujesz „dlaczego/jak” - kontroler; wykonywać jako kierowany - procesor; wspólnie decydujesz - wspólne kontrolery. Formalizowanie tego w DPA/art. 26, prowadzimy RoPA, kontrolujemy procesory, zapewniamy DPIA/DTIA, prawa podmiotowe i bezpieczeństwo. Jasna macierz roli = mniejsze ryzyko regulacyjne, mniejsza liczba obszarów spornych i szybsze audyty.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.