GH GambleHub

Roluri în cadrul GDPR

1) Definiții și principii de bază

Operator: determină scopurile și metodele de prelucrare a datelor cu caracter personal (PD). Poartă responsabilitatea principală pentru legalitatea, transparența, drepturile subiecților, security-TOM, selectarea și controlul procesatorilor.
Procesor: Procesează PD numai așa cum este documentat de către operator, oferă TOM, asistă cu drepturi și incidente entitate, menține înregistrări, și permite audituri.
Controlori în comun: două + persoane definesc în comun scopurile și metodele; este necesară distribuirea transparentă a responsabilităților și a punctului de contact pentru subiecți.
Sub-procesor: Furnizorul angajat de procesator este permis numai cu aprobarea scrisă prealabilă a operatorului și cu obligații echivalente.

Regula de aur: cine decide de ce și cum să proceseze este controlorul; care „execută numai conform instrucțiunilor” - procesorul.

2) Cum de a defini un rol în practică (arbore de decizie)

1. Cine stabilește obiectivele de afaceri pentru prelucrare?

→ eşti? Mai degrabă un controlor.

2. Puteți reutiliza datele în scopurile dvs. (analiză, marketing)?

→ Da → controler (sau controler comun dacă obiectivele sunt comune).

3. Cealaltă parte vă indică exact mijloacele/limitările și obiectivele dvs. sunt derivate?

→ Da → procesor.

4. Există un produs comun/platformă comună cu stabilirea obiectivelor de către ambele părți?

→ Da → controlere comune (arta necesară. 26 aranjament).

5. Implici un nor/vânzător în misiunea ta?

→ Furnizor - sub-procesor; tu ești controlorul; procesorul primar trebuie să obțină permisiunea pentru ea.

3) Roluri în ecosistemul iGaming - o matrice de exemple

InteracţiuniRoluri tipiceComentariu
iGaming Operator ↔ JucătorOperator ↔ persoana vizatăOperatorul definește obiectivele (cont, rate, RG, AML)
Operator ↔ CCM/Furnizor de sancțiuniSupervizor ↔ ProcesorScriem instrucțiuni DPA +, interzicerea reutilizării datelor
Operator ↔ PSP/BancăMai des Supraveghetori individualiPSP are propriile scopuri de reglementare și stocare
Operator ↔ Platforma AntifraudăDe obicei procesorDacă serviciul „partajează” informații agregate în scopuri proprii, este posibil un controlor comun sau un controlor separat
Operator ↔ Hosting/Cloud/CDNProcesor/Sub-procesorBusteni puternici de securitate si acces; teritorialitate
Operator ↔ Analytics/Marketing-SDKMix: Procesor sau un singur controlerDepinde dacă furnizorul poate utiliza PD în scopuri proprii
Operator ↔ afiliatAdesea supraveghetori individualiLeadurile/clicurile sunt gestionate de obiectivele afiliate; pentru transfer PD - DPA/contract + minimizare
Procesor ↔ Sub-procesorProcesor ↔ Sub-procesorAvem nevoie de obligații egale și permisiunea controlorului
Promovarea în comun cu partenerulControlere comuneEste nevoie de artă. 26 acord cu responsabilitățile

4) Responsabilități de rol (RACI la nivel înalt)

ActivitateControlerProcesorSupraveghetori comuni
Temeiuri juridice, notificareA/RCA/R (combinat)
Procesare DSAR (acces, ștergere etc.)A/RR (ajutor)A/R (în funcție de distribuție)
DPIA/DTIAA/RC/R (ajutor)A/R (combinat)
Incidente/scurgeri (notificări DPA/utilizator)A/RR (notifică controlorul, asistența)A/R (combinat)
Selectați și auditați procesoarele/subprocesoareleA/RR (menține registrul, notifică)A/R (fiecare în zona sa)
Transmisii transfrontaliere (SCC/IDTA)A/RR (execuţie)A/R (combinat)
Retenţie/ÎndepărtareA/RR (executarea instrucțiunilor)A/R (combinat)

5) Documente și acorduri

Acordul de prelucrare a datelor (DPA) - Operatorul → persoana împuternicită de către schemă.
Minim: subiect/categorii PD, obiective/instrucțiuni, TOM, confidențialitate, asistență cu DSAR/DPIA, notificări incidente, ștergerea/returnarea datelor, audit, subprocesori (mecanism de listă/consimțământ).
Art. 26 Aranjament (Joint Controllers): distribuirea transparentă a responsabilităților (informare, DSAR, punct de contact), esența rolurilor în politica publică.
SCC/UK IDTA + DTIA: obligatoriu pentru transmisiile non-SEE/UK dacă nu sunt adecvate.
RoPA: registrul operațiunilor de procesare la operator și la procesator (din propriul set).
Termeni de marketing/SDK: fără reciclare, roluri și obiective clare.

6) Zone critice și erori tipice

1. Amestecarea rolului: „procesorul” utilizează datele în scopuri proprii → de fapt este un controlor/controlor comun.
2. Sub-procesoare fără permisiune: Procesorul adaugă un furnizor fără consimțământul dvs.
3. „Gol” DPA: Nu există instrucțiuni clare de păstrare/ștergere/incident/audit.
4. Control comun opac: fără art. 26 - reclamații și riscuri de penalizare.
5. SDK-uri de marketing: Furnizorii trag PD pentru ei înșiși - sunteți responsabil pentru dezvăluire și legalitate.
6. PSP/Bănci: este o greșeală să le considerăm procesoare; mai des, acestea sunt controlere individuale.

7) DPA mini-șablon (fragmente de formulare)

Scopurile și natura procesării: „Procesorul procesează PD exclusiv pentru verificarea KYC, așa cum este regizat de Controlor”.
Instrucțiuni: „Orice modificare a obiectivelor necesită acordul scris al Controlorului”.

Sub-procesoare: "Procesorul nu atrage subprocesori fără permisiunea scrisă prealabilă; menține și publică un registru actualizat"

Securitate: "Procesorul acceptă TOM-uri (criptare, aliasing, control acces, logare) care nu sunt mai mici decât cele descrise în apendicele A.
Incidente: „Procesorul notifică Controlorul fără întârzieri nejustificate și furnizează toate informațiile pentru notificări autorității de reglementare și entităților”.
Ștergere/returnare: „La sfârșitul serviciului, procesorul șterge/returnează PD și șterge copiile în copiile de rezervă din program”.
Audit: „Controlorul poate efectua audituri/chestionare/rapoarte externe (SOC2/ISO), cu o notificare rezonabilă”.

8) DPIA/DTIA și transfrontaliere

DPIA: începe controlerul; procesor oferă informații despre sisteme, riscuri, TOM.
DTIA: cu SCC/IDTA - evaluarea mediului de aplicare al destinatarului, măsuri suplimentare (E2EE, chei client, cvasi-anonimizare, cheie de stocare în CE/UK).

9) Lucrul cu drepturile subiectului (DSAR) în roluri distribuite

Controlor: acceptă cererea, verifică identitatea, coordonează colectarea, răspunde în termen (de obicei ≤30 zile).
Procesor: oferă cu promptitudine încărcări/ștergeri conform instrucțiunilor, nu răspunde direct la subiect (cu excepția cazului în care se instruiește altfel).
Supraveghetori comuni: În acord, specificați „punctul de contact” și schimbul de date pentru răspuns.

10) Securitate și incidente: cine ce face

Controlor: Politica privind incidentele, Planul de notificare DPA/utilizator, Managementul CAPA.
Procesor: notificare imediată a operatorului, criminalistică tehnică, izolare, jurnale, asistență cu notificări.
Supraveghetori comuni: matrice de notificare convenită; o singură linie de comunicare.

11) Păstrarea, ștergerea, datele de testare

Controler: stabilește perioade de stocare în conformitate cu obiectivele/legile (AML, contabilitate), publică în politica.
Procesor: implementează ștergerea/anonimizarea pe un program, separat - curățarea backup-urilor; interzicerea utilizării PD în mediul de testare fără mascare/sintetice.

12) Integrarea operațională (practică)

CAB/Change: orice modificare a rolului/subprocesorului/teritoriului - prin intermediul editărilor CAB și DPA/SCC.
Harta datelor & RoPA: Live Stream Map; controlorul are obiective și destinatari, procesorul are categorii și operațiuni.
Managementul furnizorilor: due diligence înainte de îmbarcare (ISO/SOC2, test de penetrare, politică incidentă, geografie a datelor).
Audituri: liste de verificare, chestionare, jurnale de probă de acces PII, logica ștergerii.

13) Lista de verificare „Definirea rolului”

  • Cine stabilește obiectivele și parametrii cheie de procesare?
  • PD poate fi refolosit în scopuri proprii?
  • Are a doua parte au motive juridice separate?
  • Cine este responsabil față de entitate (DSAR)?
  • Sunt necesare DPA-uri (art. 28) sau aranjament (art. 26)?
  • Există subprocesoare și mecanisme de potrivire?
  • Vor exista transmisii transfrontaliere și ce mecanism (SCCs/IDTA)?

14) Întrebări frecvente (Întrebări frecvente)

PSP - Procesor sau controler?
De obicei, un controlor separat: obiective proprii (servicii de plată, prevenirea fraudei, raportare de reglementare).

Furnizorul KYC poate stoca fotografii pentru formarea modelului?
Numai cu statutul de controlor (cu bază separată și divulgare) sau cu consimțământul dvs. explicit și baza juridică corectă. În caz contrar, este interzisă.

Afiliatul care a adus jucătorul este un procesor?
Mai des un controler separat: el colectează PD pentru propriile sale scopuri. Campaniile comune necesită alocarea explicită a rolului.

Cloud logging server - ale cui date?
Procesarea jurnalului este responsabilitatea procesatorului de a asigura securitatea; reutilizarea în scopuri proprii necesită un teren separat (altfel nu este posibil).

15) Politica de rol Mini (fragment pentru standardul intern)

1. În mod implicit, operatorul acționează ca un controler pentru toate fluxurile PD de jucători/parteneri.
2. Orice furnizor cu acces la PD - este înregistrat ca procesor (DPA) sau ca controler separat (în scopuri proprii).
3. Adăugarea unui sub-procesor necesită consimțământ scris și actualizări de registry.
4. Orice schimbare de roluri/teritorii/obiective - prin CAB, DPO și Legal.
5. DSAR și incidente - coordonate de operator, procesoarele răspund la SLA.

16) Foaia de parcurs privind implementarea

Săptămânile 1-2: inventarierea fluxurilor și rolurilor de date; un proiect de matrice „cine e cine”; Actualizare RoPA.
Săptămânile 3-4: încheierea/actualizarea DPA, art. 26 (dacă este necesar), registrul sub-procesorului; pregătirea chestionarelor de audit.
Luna 2: DTIA/SCCs/IDTA, actualizarea politicilor publice, formarea echipei.
Luna 3 +: audituri regulate ale furnizorilor, test DSAR, tabletop privind incidentele, audituri de rol pentru schimbările de produs/marketing.

17) Șablon scurt „Matrice de rol” (exemplu)

StreamRolul operatoruluiRolul contrapărțiiDocumenteComentariu
CCM/SancţiuniControlerProcesorInstrucțiuni DPA +Nicio reutilizare
Plăți (PSP)Rep. controlerRep. controlerAcord + Notificare privind confidențialitateaResponsabilitate separată
Găzduire/CloudControlerProcesor/Sub-procesorDPA, SCC/IDTAGeografia datelor
Marketing-SDKControlerOperator de procesor sau departamentDPA/Joint/ToSVerifică reutilizarea
AnalyticsControlerProcesorDPA, limitarea obiectivuluiPseudonimizare

TL; DR

Determinăm rolul prin obiective și metode de prelucrare: decideți „de ce/cum” - controlorul; efectua ca regia - procesor; împreună decideți - controlori în comun. Formalizarea acestui lucru în DPA/art. 26, conducem RoPA, controlăm sub-procesoarele, furnizăm DPIA/DTIA, drepturile subiectului și securitatea. Matricea clară a rolului = mai puține riscuri de reglementare, mai puține domenii de dispută și audituri mai rapide.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.