GH GambleHub

ISO 27701: Zarządzanie prywatnością

1) Co to jest ISO 27701 i dlaczego jest operatorem iGaming

ISO 27701 jest dodatkiem do ISO 27001 i 27002, który rozszerza ISMS na PIMS (Privacy Information Management System).
W przypadku iGaming: udokumentowana zgodność z wymogami ochrony prywatności (RODO/UK RODO/ePrywatność itp.), przyspieszona praca z organami regulacyjnymi/bankami/partnerami KYC/PSP, zmniejszenie ryzyka grzywien i uproszczone zarządzanie sprzedawcami.

2) Zakres i kontekst PIMS

Zdefiniuj:
  • Role i granice: w których procesach jesteś Kontrolerem, gdzie jest Procesor; które marki/regiony/procesy są objęte zakresem.
  • Kategorie danych: rejestracja, płatności, KYC/AML/sankcje, zdarzenia behawioralne, sygnały RG, wsparcie, marketing/SDK.
  • Obowiązki prawne: lokalne przepisy dotyczące prywatności, warunki licencjonowania, umowy z partnerami.

Wyjście: PIMS Scope & Context document + mapa zainteresowanych stron.

3) Kluczowe role i obowiązki

RolaOdpowiedzialność w PIMS
Board/CEOZatwierdza politykę prywatności, zasoby i cele
Inspektor ochrony danych (inspektor ochrony danych)Niezależny nadzór nad prywatnością, konsultacje i DPIA, punkt kontaktowy
Ołów prywatności/właściciel PIMSZarządzanie operacyjne PIMS, mierniki, sprawozdawczość
Zgodność prawna/ZgodnośćPodstawa prawna, traktaty (DPA/SCC), transgraniczne
Bezpieczeństwo/ISMSŚrodki techniczne i organizacyjne (TOM), pozyskiwanie drewna
Właściciele domenyWłasność zbiorów danych i cele przetwarzania
Dane/BIMaskowanie, RLS/CLS, progi prywatności
Marketing/CRMCIW/zgoda, profilowanie, zatrzymywanie
TPRM/ZamówieniaSprzedawcy i podwykonawcy: due diligence, DPA, SLA

4) Pakiet ISO 27701 i ISO 27001

ISMS (27001/27002): baza zabezpieczeń (aktywa, ryzyka, kontrole).
PIMS (27701): dodaje politykę prywatności, legalność przetwarzania, prawa osób, cykl życia danych, mechanizmy umowne i transgraniczne.
SoA/Oświadczenie o stosowaniu: Rozszerzone o prywatne kontrole PIMS.

5) Rejestr przetwarzania (RoPA) i mapa danych

Dla każdego procesu: cel, podstawa prawna, kategorie podmiotów/danych, okres przydatności do spożycia, odbiorcy/podwykonawcy, geografia, TOM, flaga DPIA.

Wzór RoPA (fragment): 
yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) Uzasadniona podstawa i zgoda

Umowa/Obowiązek prawny: Płatności, KYC/AML, Zapobieganie nadużyciom finansowym.
Uzasadniony interes: podstawowa analiza/bezpieczeństwo (z punktacją ołowiu i opt-out, jeśli jest to wymagane).
Zgoda: marketing, pliki cookie/SDK do celów niepotrzebnych, niektóre rodzaje profilowania.
Kategorie specjalne: tylko z jasnymi podstawami i wzmocnionymi środkami.

Zarządzanie CIW/zgodą: rejestrowanie wersji polityki/banerów, granularność według celu, provability of recall.

7) DPIA/PIA - ocena wpływu na prywatność

Kiedy: nowa technologia, przetwarzanie na dużą skalę, dane wrażliwe, systematyczne profilowanie, transgraniczne.
Treść: opis przetwarzania, konieczności i proporcjonalności, ryzyko dla praw podmiotów, środki łagodzące.
Wyjście: decyzja (go/rework/reject) + plan CAPA i kontrola daty.

8) Prawa osób, których dotyczą dane (DSAR)

Prawa: dostęp, korekta, usunięcie, ograniczenie, przenoszenie, sprzeciw, odmowa profilowania/marketingu.
SLA: potwierdzenie żądania szybko i wykonanie w planowanym terminie.
Przepływ wykonania: odbiór → weryfikacja tożsamości → gromadzenie danych → odpowiedź/wykonanie → dziennik.

Zakaz „ślepego rozładunku”: tylko przez okna z kamuflażem i kłody; progi prywatności.

9) Minimalizacja, maskowanie i zatrzymywanie

Minimalizacja danych: przechowywać tylko to, czego potrzebujesz do swoich celów; regularnie usuwa/anonimizuje „martwe” pola.
Maskowanie/aliasing: domyślnie dla PII; demaskowanie - JIT + „cel” + audyt.
Macierz retencji: okres retencji na proces/kategorię, czynniki zatrzymania (prawne), automatyczne usuwanie/archiwum.

10) Transmisje transgraniczne i podwykonawcy

Ustalenia umowne: DPA, SCC/IDTA, DTIA (ocena transmisji).
Lokalizacja danych/kluczy: gdzie fizycznie dane/klucze (KMS/HSM), polityka VUOK/klucze regionalne.
Rejestr podwykonawców: zgłoszenie zmian, prawo do sprzeciwu, poziom TOM nie niższy niż nasz.

11) Prywatność według projektu/domyślnie

Na etapie projektowania: Wymagania dotyczące ochrony danych w PRD, szablon modelowania zagrożeń z prywatnymi zagrożeniami.
Zaimplementowane: RLS/CLS, tokenizacja, szyfrowanie, minimalne zakresy API, telemetria bez PII.
Domyślnie: opcjonalne trackery są wyłączone, poszczególne klucze/obszary nazw dla regionu/lokatora.

12) Rejestrowanie, sprawdzanie i audyt PIMS

Лова (WORM + бодбиса): „READ _ PII”, „EXPORT _ DATA”, „PII _ UNMASK”, „CONSENT _ UPDATE”, „DSAR _”, „BREACH _”.
Raportowanie: status RoPA, kampanie DPIA, DSAR SLA/zaległości, usunięcia retencji, zmiany sprzedawcy, naruszenia/incydenty.
Audyt: corocznie (lub ze zmianami), kontrola skuteczności projektowania/działania prywatnych kontroli.

13) Wskaźniki PIMS (KPI/KRI)

KPI:
  • DSAR w czasie ≥ 95%
  • Znaczenie RoPA ≥ 98%
  • Pokrycie DPIA według podmiotu ryzyka = 100%
  • Odsetek automatycznych przeprowadzek przez zatrzymanie ≥ 95%
  • Poziom włączenia CMP (zapisane zapisy zgody) = 100%
KRI:
  • Dostęp PII bez „celu” = 0
  • Nieautoryzowany eksport/transfer = 0
  • Incydenty/wycieki późno = 0
  • Brakujące DPA/SCC do aktywnej transmisji = 0

14) Integracja z istniejącymi kontrolami

IGA/RBAC/ABAC/JIT/PAM: minimalizacja praw i warunki dostępu kontekstowego.
Polityka dziennika i ścieżki audytu: dowód działań z PII.
TPRM i umowy: DPA/SCC/DTIA, prawa audytu, powiadomienia o SLA ≤ 72 h.
ISO 27001/ISMS: ogólny model ryzyka, SoA i audyty wewnętrzne.
Incydenty i przecieki: breach playbook, wspólny pokój wojenny ze sprzedawcami.

15) Wzory artefaktów (fragmenty)

15. 1 Polityka prywatności (wyciąg wewnętrzny)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 Polityka demaskowania

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 Proces DSAR

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Macierz retencyjna (fragment)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (procedury)

16. 1 Aktualizacja RoPA

1. Produkt/właściciel → Karta procesowa → Przegląd prawny/prywatność → Bezpieczeństwo TOM → Publikacja i wersja.

16. 2 DPIA

1. Kontrola ryzyka → Szablon DPIA → Konsultacje DPO → CAPA → Decyzja i harmonogram

16. 3 DSAR

1. Akceptuj → zweryfikować → zbierać i filtrować poprzez prezentacje → odpowiedź/wykonanie → rejestrowanie i zamykanie.

16. 4 Sprzedawcy/Transfery

1. Due diligence → DPA/SCCs/DTIA → rejestr sub-processor → zmiana monitorowania → offboarding i potwierdzenie usunięcia.

17) RACI (rozszerzony)

DziałalnośćBoard/CEODPOPrzewodnik prywatnościZgodność prawna/ZgodnośćBezpieczeństwoWłaściciele domenyDane/BITPRM
Polityka/cele PIMSACRCCCJAJA
RoPA/zatrzymanieJAA/RRA/RCRRJA
DPIA/PIAJAA/RRA/RCRCJA
DSARJAA/RRCCCRJA
Dostawcy/transferyJAARA/RCCJAR
Audyt/miernikiJAARCCJARC

18) Plan realizacji (8-10 tygodni)

Tygodnie 1-2: Zakres/kontekst, Role i RACI, Inwentaryzacja procesów/danych, Projekt RoPA i matryce retencyjne.
Tygodnie 3-4: polityka prywatności, przepływ CMP/zgody, proces DSAR, szablony DPIA, aktualizacja DPA/SCC/DTIA z dostawcami.
Tygodnie 5-6: wdrożenie TOM (maskowanie, RLS/CLS, JIT/PAM), prezentacje dla DSAR, dzienniki WORM, raportowanie KPI/KRI.
Tygodnie 7-8: DPIA na temat wysokiego ryzyka, zamknięcia CAPA, audytu wewnętrznego PIMS, przeglądu zarządzania (PIMS).
Tygodnie 9-10: korekty, uruchomienie regularnych sprawozdań, przygotowanie do oceny zewnętrznej (w razie potrzeby).

19) Częste błędy i sposób ich unikania

RoPA „do pokazania”: powiązanie każdego wpisu z celami, podstawami i zatrzymaniami; Zachowaj wersję na żywo.
DSAR poprzez „surowe” bazy danych: tylko poprzez prezentacje/eksport z maskowaniem i dziennikami.
Nie DTIA, gdy transgraniczny: wydanie z wyprzedzeniem, naprawić lokalizację danych/kluczy.
Inne niż CMP marketingowe SDK: zakaz stosowania do czasu włączenia CMP i umownych TOM.
Brak Pbd/PbD: Należy uwzględnić wymagania dotyczące prywatności w PRD i Definicji Wykonanej.

20) Uruchomione PIMS

Miesięcznie: raporty KPI/KRI, audyty zmian RoPA, monitorowanie podwykonawców, SLA DSAR.
Kwartał: przegląd zatrzymania/usunięcia, kontrole tematyczne (marketing, SDK, KYC).
Roczne: audyt wewnętrzny PIMS, aktualizacja kontekstu/ryzyka, szkolenie personelu, przegląd zarządzania.

TL; DR

ISO 27701 = PIMS over ISMS: RoPA + podstawy prawne/zgody + DPIA/DSAR + minimalizacja/zatrzymywanie + procesory transgraniczne i podwykonawcy + sprawdzalne TOM. Budujemy dzienniki i TPRM w istniejącym RBAC/ABAC/JIT/i uzyskujemy zarządzanie, wymierną prywatność, gotową do kontroli wewnętrznych i zewnętrznych.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.