GH GambleHub

Veri İhlali Yasaları ve Bildirimleri

1) Giriş ve hedefler

Veri sızıntısı sadece teknik bir olay değil, aynı zamanda açık tarihler, adresler ve bildirimlerin içeriği için resmi gereklilikler içeren yasal bir prosedürdür. Erken saatlerdeki hatalar para cezası, sınıf eylemleri ve itibar kaybı riskini artırır. Bu materyal, senkronize hareket etmeye yardımcı olan B2C platformları (iGaming/fintech dahil) için pratik bir yol haritasıdır: güvenlik, avukatlar, PR, müşteri desteği ve uyumluluk.

2) "Kişisel veri sızıntısı'olarak kabul edilen şey

Kazara veya yasa dışı imha, kayıp, değişiklik, açıklanmayan erişim veya kişisel verilerin ifşa edilmesiyle sonuçlanan kişisel güvenlik olayı. Öznelerin hak ve özgürlükleri (gizlilik, mali zarar, ayrımcılık, kimlik avı vb.) açısından risk olgusu önemlidir.

3) Roller ve sorumluluklar

Denetçi (operatör) - hedefleri ve işleme araçlarını belirler; Bildirimler, muhasebe ve yasal zeminlerin seçimi için birincil sorumluluk taşır.
İşlemci (işlemci/yüklenici) - verileri adına işler; Kontrolörü gecikmeden bilgilendirmeli ve soruşturma ve bildirimlere yardımcı olmalıdır.
Ortak Denetçiler - Tek bir temas noktasını koordine edin ve anlaşmada sorumluluk alanları atayın.

4) Bildirim eşiği: üç risk seviyesi

1. Risk yok (örn. Güçlü anahtarlarla şifrelenmiş medya, anahtarlar tehlikeye girmez) - olay günlüğü, harici bildirim yok.
2. Risk (zarar olasılığı vardır) - regülatörün zamanında bildirilmesi.
3. Yüksek risk (önemli zarar olasıdır: finans, sağlık, çocuklar, büyük sızıntılar, savunmasız gruplar) - konuların anlaşılabilir bir dilde ve gecikmeden ek bildirimi.

5) Bildirim dönemleri (anahtar modlar için kriterler)

EU/EEA (GDPR): Denetleyici, sızıntıdan haberdar olduktan sonra 72 saat içinde düzenleyiciyi bilgilendirir; Denekler - risk yüksekse "gereksiz gecikme olmadan".
UK GDPR/ICO: 72 saat düzenleyicisine benzer; Olayların kaydını tut.
Kanada (PIPEDA): düzenleyici ve kuruluşlara - mümkün olan en kısa sürede "gerçek önemli zarar riski"; En az 24 ay boyunca bir kayıt tutun.
Singapur (PDPA): PDPC'de - mümkün olan en kısa sürede, değerlendirmenin tamamlanmasından en geç 3 gün sonra; Denekler - önemli zarar riski altında gecikmeden.
Brezilya (LGPD): düzenleyici ve kuruluşlara - "makul bir süre içinde"; dönüm noktası - onaylandıktan sonra mümkün olan en kısa sürede.
Birleşik Arap Emirlikleri (beslendi. PDPL )/ADGM/DIFC: Çoğu durumda - yüksek risk altında ~ 72 saat içinde regülatörün bildirilmesi.
Avustralya (NDB): 30 güne kadar değerlendirme; "Bildirilebilir" olayın onaylanmasından sonra "mümkün olan en kısa sürede" bildirim.
ABD (eyalet yasaları): son tarihler değişir (genellikle "gereksiz gecikme olmadan", bazen sabit bir 30-60 gün). Veri hacmi ve türleri için eşikler, büyük olaylar durumunda Başsavcı/ajansların bildirilmesi.
Hindistan (DPDP): düzenleyici/kuruluşlara bildirimler - düzenleyici tarafından belirlenen prosedüre uygun olarak; Kimlik tespitinden hemen sonra harekete geçin.

💡 Not: belirli son tarihler ve eşikler güncellenir; Bunları "Ülke Matrisi'nize kaydedin ve üç ayda bir gözden geçirin.

6) Bildirimlerde ne olmalı

Regülatöre:
  • Olayın kısa bir açıklaması ve zaman çizelgesi;
  • Kategoriler ve etkilenen verilerin ve konuların yaklaşık hacmi;
  • Olası sonuçları;
  • Alınan veya önerilen önlemler (hafifletme, tekrarlamanın önlenmesi);
  • DPO/Sorumlu Grup bağlantısı
  • Durum: sonraki ekleme hakkında bir not içeren ön mesaj (tüm gerçekler belirlenmemişse).
Veri konuları (kullanıcılar):
  • sade bir dille ne oldu ve ne zaman;
  • Verilerinin etkilendiği ve olası sonuçları;
  • Daha önce yapılanlar (kilitler, anahtar değişiklikleri, zorunlu şifre rotasyonu vb.);
  • Kullanıcının yapabilecekleri (2FA, şifre değiştirme, hesap/kredi izleme);
  • Destek kanalları, ücretsiz hizmetler (örneğin, finansal veri sızıntısı durumunda kredi izleme).

7) İzin verilen bildirim gecikmesi

Bazı rejimlerde, derhal açıklama yapılması soruşturmaya müdahale ederse, kolluk kuvvetlerinin talebi üzerine bildirim ertelenebilir. Sebep ve lütuf dönemini yazılı olarak kaydedin.

8) Şifreleme ve güvenli liman

Birçok yasa, verilerin güvenli bir şekilde şifrelenmesi ve anahtarların tehlikeye atılmaması durumunda kişileri bildirimden muaf tutar. Belge algoritmaları/anahtar yönetimi; Teknik gerekçeyi olay kaydına ekleyin.

9) Yanıt prosedürü: 'ilk 72 saat "zaman çizelgesi

T0-4 h.

IR planını etkinleştirin; Müşteri adayları atayın (SIRT, avukat, PR, DPO).
Saldırı vektörünün izolasyonu, eserlerin toplanması (günlükler, dökümler), sistem zamanının sabitlenmesi.
Birincil nitelik: kişisel veriler? Hangi kategoriler? Hacim mi? Coğrafya mı? Müteahhitler mi?

T4-24 h.

Risk değerlendirmesi: hak ve özgürlükler üzerindeki etkisi; Çocuk/finans/sağlık.
Çözüm: Regülatörü bilgilendirmek? (eğer evet ise, bir "ön bildirim" hazırlıyoruz).
Konulara taslak bildirimler + destek için SSS; PR mesajları.
Yüklenicilerin/işlemcilerin doğrulanması: rapor talebi, olay kayıtları.

T24-72 h.

Düzenleyiciye bir bildirim göndermek (gerekirse); Günlük kaydı gönderiliyor.
Bir dizi azaltma önleminin sonuçlandırılması (zorunlu şifre değişikliği, anahtar rotasyonu, operasyonlar için zaman sınırları, 2FA).
Genel bildiriyi hazırlayın (uygunsa), yardım hattını/botu başlatın.

72 saat sonra.

Açıklığa kavuşturuldukça düzenleyiciye ek raporlar; Otopsi sonrası; Politikaları ve kontrolleri güncellemek.

10) Yüklenicilerin ve işleme zincirinin yönetimi

Sözleşmeye bağlı DPA'lar/işlemci sorumlulukları: "Anında bildirim", 7/24 iletişim kanalları, ilk rapor başına SLA'lar (örn. 24 saat).
Kontrolörün koruma önlemlerini denetleme/kontrol etme hakkı.
Tüm yüklenici olaylarının ve alınan önlemlerin zorunlu kaydı.
Alt işlemcilere olan yükümlülüklerin genişletilmesi.

11) Özel kategoriler ve risk grupları

Çocuklar, sağlık, finans, biyometri, kimlik bilgileri - hemen hemen her zaman yüksek risk - konuların öncelikli bildirimi.
Kombine sızıntılar (PII + krediler/belirteçler) - anında zorunlu rotasyon ve belirteç sakatlığı.
Geo-specific: Bazı eyaletler/ülkeler büyük ölçeklerde kredi büroları/ombudsman bildirimi gerektirir.

12) İçerik ve iletişim şekli

Düz dil (B1), teknik jargon olmadan.
Mümkünse taleplerin kişiselleştirilmesi; Aksi takdirde - bir kamu duyurusu ve birlikte e-posta/push.
Kanallar: e-posta + SMS/push (kritik ise) + banner hesabınızda; Toplu davalar için - kamu postası ve SSS.
E-postalara kimlik avı benzeri bağlantılar eklemeyin; Resmi web sitesi/uygulama üzerinden bir yol önerin.

13) Kayıt belgeleri ve depolama

Olay Günlüğü: Tarih/Saat, Keşif, Sınıflandırma, Bildirim Kararı ve Gerekçesi, Bildirim Metinleri, Posta Listeleri, Gönderim Kanıtı, Düzenleyici Yanıtlar, İyileştirme Önlemleri.
Raf ömrü - rejime göre (örneğin, PIPEDA - en az 24 ay; Diğerleri için - 3-6 yıllık iç dönem).

14) Yaptırımlar ve sorumluluk

Düzenleyicilerin para cezaları (AB'de - sistemik ihlaller veya son teslim tarihlerinin göz ardı edilmesi durumunda önemlidir);

Konuların iddiaları, güvenlik uygulamalarını değiştirme emirleri;

Olay sonrası izleme ve raporlama yükümlülükleri.

15) Tipik hatalar

"Mükemmeliyetçilik" nedeniyle gecikme: Zamanında önceden haber vermek yerine tam resmi beklemek.
Dolaylı risklerin hafife alınması (e-posta + tam isim sızıntısından sonra kimlik avı).
Takımlar arasında tutarlılık eksikliği (avukatlar/PR/güvenlik/destek).
Düzenleyicilerin alakasız temasları ve "Ülke Matrisi".
İşlemcilerin ve alt işlemcilerin sözleşme yükümlülüklerini göz ardı etmek.

16) Hazırlık kontrol listesi (olaydan önce)

1. 7/24 rolleri ve kanalları olan Olay Müdahale Politikasını onaylayın.
2. Düzenleyicilerle irtibat kurmak için DPO'lar/Sorumlu ve Proxy'ler atayın.
3. Ülke Matrisini Hazırlama: tarihler, hedefler, eşikler, formlar.
4. Hazır mektup şablonları: düzenleyiciye, konulara, medyaya, destek için SSS'ye.
5. İşleme kayıt defterini, veri haritasını ve işlemci/alt işlemci listesini güncelleyin.
6. Her 6-12 ayda bir masa üstü egzersizleri yapın.
7. DPA'ya dahil edin: "X saat içinde bildirim", zorunlu ilk rapor, denetim günlükleri.
8. Dinlenme ve taşıma sırasında şifrelemeyi etkinleştir, anahtar yönetimi, gizli rotasyon.
9. Veri erişim anomalilerinin ve otomatik uyarıların izlenmesini sağlayın.
10. PR oyun kitabı ve kamu beyanı politikası hazırlayın.

17) Yargı Alanlarının Mini Matrisi (Özet Kıyaslama)

Bölge/modRegülatörRegülatöre BildirimKonulara bildirimÖzel notlar
AB/AEA (GDPR)Ülkelere göre DPA72 saatYüksek risk altında gecikme yokTüm olayların kaydını tutmak
BIRLEŞIK KRALLIK GDPRICO72 saatYüksek risk altında gecikme yokGeç algılamada bile mesaj, açıklama ile
Kanada (PIPEDA)OPCCito citissimo hakkındaASAP "gerçek zarar riski"Kayıt ≥ 24 ay
Singapur (PDPA)PDPCDeğerlendirmeden ≤ 3 gün sonraDeğer riskinde gecikme yokEşik testleri "önemli zarar"
Brezilya (LGPD)ANPDMakul süreMakul süre risk altındaHızlı önceden bildirim önerilir
Avustralya (NDB)OAICDeğerlendirme sonrası ≤ 30 günCito citissimo hakkında"İsteğe bağlı veri ihlali" kriterleri
Amerika Birleşik Devletleri (states)AG/diğerDeğişir (30-60 gün. veya "gecikme yok")Evet, eşiklere bağlı olarakGenellikle kredi bürosu gereksinimleri
BAE/ADGM/DIFCTikhanovskaya. bedenlerGenellikle ~ 72 saatYüksek risk altındaYerel kuralları kontrol edin
Hindistan (DPDP)DP-bodyBelirlenen prosedüre göreBelirlenen prosedüre göreDüzenleyicinin kararnamelerini takip edin

(Matrix - referans noktası. Kullanmadan önce mevcut düzenlemeleri kontrol edin.)

18) Belge şablonları (depoda tutun)

Olay Müdahale Politikası + Runbook 72h

Veri İhlali Bildirimi - Düzenleyici (taslak/ön/nihai)

Veri İhlali Bildirimi - Bireyler (e- mail/SMS/баннер/FAQ)

Basın Açıklaması ve Soru-Cevap

İşlemci İhlali Rapor Formu (yükleniciler için)

Alınan Dersler/Post-mortem şablon

Ülke matrisi. xlsx (regülatör kontakları, son tarihler, eşikler)

19) Çekilme

Bir sızıntı durumunda "yasal koridor'un başarılı geçişi hız + dokümantasyon + şeffaf iletişimdir. İlke basittir: hızlı önceden bildirim, kullanıcılara açık talimatlar, düzenleyiciler ve yüklenicilerle açık koordinasyon ve daha sonra soruşturma ilerledikçe ayrıntıların daha da netleştirilmesi. Düzenli egzersizler ve güncel bir şablon seti, en kritik anda yasal ve itibar risklerini azaltır.

💡 Materyal genel bir niteliktedir ve yasal tavsiye değildir. Belirli bir yargı bölgesinde hareket etmeden önce, yerel düzenlemelere danışın ve bir profil sonucu alın.
Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.