GDPR и обработка персональных данных

1) Что регулирует GDPR и кто субъект

• вы установлены в ЕС/ЕЭЗ или целитесь на пользователей в ЕС (товары/услуги, мониторинг поведения);
• вы контролер (определяете цели/средства обработки) либо процессор (обрабатываете ПД от имени контролера).

• Контролер: владелец целей/средств, отвечает за законность и прозрачность.
• Процессор: действует по документированным инструкциям контролера, заключает DPA.
• DPO (офицер по защите данных): независимый надзор, DPIA/DSR, консультации, связь с надзором.

2) Принципы обработки (ст.5)

1. Законность, справедливость, прозрачность.
2. Ограничение цели. Четко описанные, совместимые цели.
3. Минимизация данных. Только необходимое.
4. Точность. Актуализация и исправление.
5. Ограничение хранения. Ретеншн и удаление/анонимизация.
6. Целостность и конфиденциальность. Безопасность по умолчанию.
7. Подотчетность. Доказуемость соответствия (policies, логи, DPIA).

3) Законные основания (ст.6) — матрица для iGaming/финтех

4) Специальные категории и биометрия (ст.9)

Обработка специальных категорий (здоровье, убеждения и т. п.) запрещена, если нет отдельного основания.
Биометрия для уникальной идентификации (например, face-template для liveness/face-match) требует прямого согласия или иной узкой правовой базы (зависит от страны). Храните шаблоны, а не «сырые» изображения, где это возможно.

5) Профилирование и автоматизированные решения (ст.22)

• прозрачное раскрытие логики (в разумных пределах), значимости и последствий;
• право на вмешательство человека и оспаривание решения;
• DPIA при высокой вероятности риска прав/свобод (масштабное профилирование).
• Рекомендации: храните reason codes, версионируйте модели/правила, проводите bias-аудит.

6) DPIA/DTIA: когда обязательны

DPIA проводите, если риск высок: масштабное профилирование, биометрия, «систематическое наблюдение», новые источники данных.
Шаблон DPIA: цель и описание обработки → правовые основания → риски субъектов → меры смягчения → остаточный риск → план.
DTIA (оценка трансграничной передачи): правовая среда страны-получателя + контрактные/тех меры (SCC/эквивалент, шифрование, разделение ключей).

7) Трансграничные передачи (гл.V)

Механизмы: SCC, BCR, решения об адекватности, локальные аналоги.
Техмеры: end-to-end шифрование, разделение ключей, минимизация полей, псевдонимизация до передачи.
Документируйте реестр передач и результаты DTIA; регулярно пересматривайте риски.

8) Права субъектов (DSR)

Право на доступ, исправление, удаление, ограничение, переносимость, возражение, отказ от маркетинга.
Сроки: обычно до 30 дней (можно продлить еще на 60 при сложности, с уведомлением).
Проверяйте личность заявителя (без раскрытия лишнего).
Исключения: хранение из-за AML/налоговой обязанности и др. документируйте.

9) Cookie/SDK и маркетинг

Разделяйте cookie по категориям: обязательные/функциональные/аналитика/маркетинг.
Для аналитики/маркетинга в ЕС/ЕЕЗ — opt-in (реальный выбор), журнал согласий, детальные описания.
Уважайте Do Not Track/Opt-out; используйте серверную аналитику и минимизацию данных.
E-mail/SMS маркетинг — отдельное согласие; храните пруф согласия и таймстемпы.

10) Безопасность и «privacy by design/default»

Шифрование in transit и at rest, токенизация платежных реквизитов, изоляция зон данных (PII ↔ аналитика).
Контроль доступа RBAC/ABAC, MFA, JIT-доступы, журнал действий, WORM-архив.
DLP-контроль выгрузок и обменов; запрет несанкционированных копий прод-данных на dev/stage.
Минимизируйте поля, аггрегируйте и анонимизируйте там, где нет нужды в идентификации.

11) Реестр операций (RoPA) и ретеншн

Ведите RoPA: цель, основания, категории данных и субъектов, получатели, сроки хранения, меры безопасности, передачи за рубеж.
Ретеншн-матрица: для каждой категории ПД — срок (например, AML/KYC ≥5 лет после окончания отношений), способ удаления/анонимизации, ответственный владелец.

12) Утечки и уведомления (ст.33/34)

Оцените риск для прав и свобод: при вероятности ущерба уведомляйте надзорный орган в течение 72 часов, а при высоком риске — и субъектов без необоснованной задержки.
План реагирования: изоляция, форензика, исправление, коммуникации, пост-морем; храните артефакты и решения.

13) Процессоры, DPA и управление вендорами

С каждым процессором заключайте DPA: предмет, категории ПД, субпроцессоры, безопасность, помощь с DSR/инцидентами, аудит, удаления/возврат данных.
Проводите due diligence: локация, сертификации (ISO/SOC), инциденты, меры безопасности, субпроцессоры.
Переоценка ежегодно и при изменениях (санкции, M&A, география).

14) Матрица «Цели → Основания → Сроки хранения»

15) Документация для вашей wiki (скелеты)

1. Политика приватности (слойная): краткая версия + полная.
2. Политика cookie/консенс-менеджмента.
3. Реестр обработок (RoPA).
4. Шаблон DPIA/DTIA + критерии триггеров.
5. Политика DSR (SLA/процедуры/шаблоны).
6. Политика ретеншна и удаления + job-пайплайн.
7. Политика инцидентов и уведомлений (RACI, формы).
8. Шаблон DPA и чек-лист due diligence вендоров.
9. Правила профилирования и автоматизированных решений (explainability, апелляции).

16) Метрики и контроль

DSR SLA: доля запросов закрыта ≤30 дней.
Consent Coverage: доля событий с валидным opt-in/opt-out.
Data Minimization Index: среднее число ПД на фичу.
Access Violations/Exports: инциденты доступа и выгрузок, тренд.
Encryption Coverage: % таблиц/бакетов/бэкапов в шифровании.
Incident MTTR/MTTD и повторяемость.
Vendor Compliance Rate и результаты аудитов.
RoPA Completeness и Retention Adherence.

17) Чек-листы

• DPIA/основы законности подтверждены DPO.
• Цели/основания/ретеншн внесены в RoPA.
• Минимизация полей/псевдонимизация/изоляция зон данных.
• Консенс-баннер и категории cookie настроены.
• DPA/вендоры согласованы, субпроцессоры перечислены.
• Логи, алерты, аудит, удаление/анонимизация — включены.

• Ревью доступов (RBAC/ABAC), отзыв лишних.
• Тест восстановления бэкапов.
• Пересмотр DTIA/SCC и списка субпроцессоров.
• Аудит ретеншна (удалено по сроку) и DSR-реестр.
• Тренировка IR-плана и обновление плейбуков.

• Верификация заявителя.
• Сбор данных из систем по RoPA.
• Ответ в срок с фиксацией оснований исключений.
• Обновление записей и уведомление сторон (при переносимости).

18) Дорожная карта внедрения

1. Инвентаризация систем и потоков ПД; формирование RoPA.
2. Назначение DPO, утверждение политик и RACI.
3. Запуск DPIA/DTIA-контура и консенс-менеджмента.
4. Разделение зон данных, шифрование, DLP, логи и WORM-архив.
5. Ретеншн-пайплайн и удаление/анонимизация.
6. Вендор-ревью, DPA, реестр субпроцессоров.
7. Профилирование: reason codes, апелляции, explainability.
8. Регулярные метрики, отчет Board, внешние/внутренние аудит-сессии.

Итог

GDPR-соответствие — это не только политика на сайте, а система управления жизненным циклом ПД: корректные основания, минимизация и безопасность по умолчанию, DPIA/DTIA, уважение прав субъектов, подконтрольные вендоры и измеримые метрики. Встроив приватность в архитектуру и процессы, вы сохраните лицензии, партнерства и доверие игроков — без ущерба для скорости продукта и конверсии.