GDPR și prelucrarea datelor cu caracter personal

1) Ce reglementează GDPR și cine este subiectul

• sunteți instalat în UE/SEE sau utilizatori țintă în UE (bunuri/servicii, monitorizarea comportamentului);
• sunteți un operator (definiți obiectivele/mijloacele de procesare) sau un procesor (procesați PD în numele operatorului).

• Controlor: proprietarul obiectivelor/mijloacelor, responsabil pentru legalitate și transparență.
• Procesor: acționează asupra instrucțiunilor documentate ale operatorului, concluzionează DPA.
• DPO (responsabilul cu protecția datelor): supraveghere independentă, DPIA/DSR, consultare, legătură cu supravegherea.

2) Principii de prelucrare (articolul 5)

1. Legalitate, corectitudine, transparenţă.
2. Limitarea obiectivului. Obiective clar descrise, compatibile.
3. Minimizarea datelor. Numai necesar.
4. Precizie. Actualizarea și corectarea.
5. Restricție de stocare. Păstrarea și îndepărtarea/anonimizarea.
6. Integritate și confidențialitate. Securitate implicită.
7. Responsabilitate. Probabilitatea conformității (politici, jurnale, DPIA).

3) Temeiuri legale (st.6) - matrice pentru iGaming/fintech

4) Categorii speciale și biometrie (art. 9)

Prelucrarea categoriilor speciale (sănătate, convingeri etc.) este interzisă, cu excepția cazului în care există un motiv separat.
Datele biometrice pentru identificarea unică (de exemplu, șablonul feței pentru viață/potrivirea feței) necesită consimțământ direct sau alt cadru legal restrâns (în funcție de țară). Stoca modele, mai degrabă decât imagini „prime”, acolo unde este posibil.

5) Soluții de profilare și automatizate (articolul 22)

• dezvăluirea transparentă a logicii (în limite rezonabile), a semnificației și a consecințelor;
• dreptul la intervenția umană și contestarea deciziei;
• DPIA cu o mare probabilitate de risc de drepturi/libertăți (profilare pe scară largă).
• Recomandări: stocați codurile de motive, modelele/regulile versiunii, efectuați audituri părtinitoare.

6) DPIA/DTIA: atunci când este obligatoriu

DPIA efectuează în cazul în care riscul este ridicat: profilare pe scară largă, biometrie, „observare sistematică”, noi surse de date.
Modelul DPIA: scopul și descrierea tratamentului temeiurile legale riscurile subiecților măsurile de atenuare planul de risc rezidual.
DTIA (evaluarea transmiterii transfrontaliere): mediul juridic al țării beneficiare + măsurile contractuale/aceste măsuri (SCC/echivalent, criptare, separare cheie).

7) Transmisii transfrontaliere (Ch. V)

Mecanisme: SCC, BCR, decizii de adecvare, analogi locali.
Măsuri tehnice: criptare end-to-end, separare cheie, minimizarea câmpului, pseudonimizare înainte de transmitere.
Documentați registrul de transfer și rezultatele DTIA; revizuirea periodică a riscurilor.

8) Drepturile subiecților (DSR)

Dreptul de acces, corectare, ștergere, restricționare, portabilitate, obiecție, non-marketing.
Termene limită: de obicei până la 30 de zile (puteți prelungi cu încă 60 dacă este dificil, cu notificare).
Verificați identitatea solicitantului (fără a divulga prea mult).
Excepții: stocarea datorată taxei AML/taxei, etc.

9) Cookie/SDK și Marketing

Clasificați cookie-urile ca fiind obligatorii/funcționale/analytics/marketing.
Pentru EU/EEZ analytics/marketing - opt-in (alegere reală), jurnal de consimțământ, descrieri detaliate.
Respect Nu urmări/Opt-out; utilizați analiza server-side și minimizarea datelor.
E-mail/SMS marketing - consimțământ separat; păstrați dovada consimțământului și marcajele de timp.

10) Securitate și „confidențialitate prin design/implicit”

Criptarea în tranzit și în repaus, tokenizarea detaliilor de plată, izolarea zonelor de date (PII ↔ analytics).
Control acces RBAC/ABAC, MFA, acces JIT, jurnal activitate, arhiva WORM.
Controlul DLP al încărcărilor și schimburilor; interzice copiile neautorizate ale datelor de producție pe dev/etapă.
Minimizați câmpurile, agregați și anonimizați acolo unde nu este nevoie de identificare.

11) Registrul Operatiunilor (RoPA) si Retentie

Menținerea RoPA: scop, motive, categorii de date și subiecți, destinatari, perioade de păstrare, măsuri de securitate, transferuri în străinătate.
Matricea de retenție: pentru fiecare categorie PD - termen (de exemplu, AML/KYC la ≥5 ani după încheierea relației), metodă de ștergere/anonimizare, proprietar responsabil.

12) Scurgeri și notificări (Art.33/34)

Evaluați riscul pentru drepturi și libertăți: dacă prejudiciul este probabil, notificați supraveghetorul în termen de 72 de ore și, dacă riscul este ridicat, notificați subiecții fără întârzieri nerezonabile.
Planul de răspuns: izolare, criminalistică, corecție, comunicații, post-mare; stoca artefacte și soluții.

13) Procesoare, DPA și gestionarea furnizorilor

Cu fiecare procesor, se încheie DPA: subiect, categorii PD, sub-procesoare, securitate, asistență DSR/incident, audit, ștergeri/returnări de date.
Efectuați due diligence: locație, certificări (ISO/SOC), incidente, măsuri de securitate, subprocesoare.
Reevaluare anuală și în caz de modificări (sancțiuni, M&A, geografie).

14) Matrice „Obiective → motive → Perioada de valabilitate”

15) Documentație pentru wiki (schelete)

1. Politica de confidențialitate (stratificată): versiune scurtă + completă.
2. Politica de gestionare cookie/consens.
3. Registrul de tratament (RoPA).
4. DPIA/DTIA șablon + criterii de declanșare.
5. Politica DSR (SLA/proceduri/șabloane).
6. Politica de păstrare și ștergere + job-pipeline.
7. Politica privind incidentele și notificările (RACI, formulare).
8. Șablonul DPA și lista de verificare a diligenței furnizorului.
9. Reguli pentru soluții de profilare și automatizate (explicabilitate, contestații).

16) Măsurători și control

Rata de solicitare DSR SLA a fost închisă ≤30 zile.
Acoperirea consimțământului: proporția evenimentelor cu opt-in/opt-out valabil.
Indicele de minimizare a datelor - numărul mediu de puncte de date per caracteristică.
Acces Încălcări/Exporturi: acces și descărcare incidente, tendință.
Acoperire de criptare:% din tabele/găleți/copii de rezervă în criptare.
Incident MTTR/MTTD și repetabilitate.
Rata de conformitate a furnizorului și rezultatele auditului.
RoPA Completeness и Retention Aderence.

17) Liste de verificare

• DPIA/baza de legalitate confirmată de DPO.
• Obiectivele/bazele/retențiile sunt înscrise în RoPA.
• Minimizarea câmpului/aliasing/izolarea zonelor de date.
• Categoriile Consence Banner și cookie sunt configurate.
• DPA/furnizorii au fost de acord, sub-procesoare enumerate.
• Jurnale, alerte, audit, ștergere/anonimizare - activat.

• Access Review (RBAC/ABAC), rechemare exces.
• Testul de recuperare de rezervă.
• Revizuirea DTIA/SCC și lista sub-procesorului.
• Audit de retenție (șters până la termen) și registru DSR.
• IR plan de formare și actualizări playbook.

• Verificarea solicitantului.
• Colecta date de la sisteme prin RoPA.
• Răspuns la timp cu stabilirea motivelor excepțiilor.
• Actualizați înregistrările și anunțați părțile (dacă este portabil).

18) Foaia de parcurs privind implementarea

1. Inventarierea sistemelor și fluxurilor PD; Formarea RoPA.
2. Atribuirea DPO, aprobarea politicilor și RACI.
3. Lansarea circuitului DPIA/DTIA și consens de management.
4. Separarea zonei de date, criptarea, DLP, jurnalele și arhiva WORM.
5. Conducta de retenție și îndepărtarea/anonimizarea.
6. Recenzie furnizor, DPA, registru sub-procesor.
7. Profilare: coduri de motive, recursuri, explicabilitate.
8. Măsurători regulate, raport al consiliului, sesiuni de audit extern/intern.

Rezultat

Respectarea GDPR nu este doar o politică pe site, ci un sistem de management al ciclului de viață al PD: motive corecte, minimizare și securitate în mod implicit, DPIA/DTIA, respectarea drepturilor subiecților, furnizorilor controlați și metrici măsurabili. Prin construirea confidențialității în arhitectură și procese, păstrați licențele, parteneriatele și încrederea jucătorilor - fără a sacrifica viteza și conversia produselor.