GDPR ve kişisel veri işleme

1) GDPR'yi düzenleyen ve konunun kim olduğu

• AB/AEA'da kurulu olmanız veya AB'deki kullanıcıları hedeflemeniz (mal/hizmetler, davranış izleme);
• Bir denetleyici (hedefleri/işleme araçlarını tanımlayın) veya bir işlemcisiniz (denetleyici adına PD'yi işleyin).

• Denetleyici: Yasallık ve şeffaflıktan sorumlu olan hedeflerin/araçların sahibi.
• İşlemci: denetleyicinin belgelenmiş talimatlarına göre hareket eder, DPA sonucuna varır.
• DPO (Veri Koruma Görevlisi): Bağımsız Gözetim, DPIA/DSR, Danışma, Gözetim ile İrtibat.

2) İşleme prensipleri (Madde 5)

1. Yasallık, adalet, şeffaflık.
2. Hedef sınırlaması. Açıkça tanımlanmış, uyumlu hedefler.
3. Veri minimizasyonu. Sadece gerekli.
4. Doğruluk. Güncelleme ve düzeltme.
5. Depolama kısıtlaması. Tutma ve kaldırma/anonimleştirme.
6. Bütünlük ve gizlilik. Varsayılan güvenlik.
7. Sorumluluk. Uyumluluğun kanıtlanabilirliği (politikalar, günlükler, DPIA).

3) Yasal gerekçeler (st.6) - iGaming/fintech için matris

4) Özel kategoriler ve biyometri (madde 9)

Özel kategorilerin (sağlık, inançlar, vb.) işlenmesi ayrı bir neden olmadıkça yasaktır.
Benzersiz tanımlama için biyometri (örneğin, canlılık/yüz eşleştirme için yüz şablonu) doğrudan onay veya diğer dar yasal çerçeve gerektirir (ülkeye bağlı olarak). Mümkünse "ham" görüntüler yerine desenleri saklayın.

5) Profilleme ve otomatik çözümler (Madde 22)

• Mantığın (makul sınırlar içinde), önemin ve sonuçların şeffaf bir şekilde açıklanması;
• İnsan müdahalesi ve karara itiraz hakkı;
• Hak/özgürlük riski yüksek olan DPIA (büyük ölçekli profilleme).
• Öneriler: depolama nedeni kodları, sürüm modelleri/kuralları, önyargı denetimleri yapmak.

6) DPIA/DTIA: zorunlu olduğunda

Risk yüksekse DPIA davranışı: Büyük ölçekli profilleme, biyometri, "sistematik gözlem", yeni veri kaynakları.
DPIA şablonu: Tedavinin amacı ve tanımı - yasal gerekçeler - konuların riskleri - hafifletme önlemleri - artık risk - plan.
DTIA (sınır ötesi iletimin değerlendirilmesi): alıcı ülkenin yasal ortamı + sözleşme/bu önlemler (SCC/eşdeğeri, şifreleme, anahtar ayrımı).

7) Sınır ötesi yayınlar (Ch. V)

Mekanizmalar: SCC, BCR, yeterlilik kararları, yerel analoglar.
Teknik önlemler: uçtan uca şifreleme, anahtar ayırma, alan küçültme, iletimden önce takma ad verme.
Transfer kaydını ve DTIA sonuçlarını belgelemek; Riskleri düzenli olarak gözden geçirin.

8) Özne Hakları (DSR)

Erişim hakkı, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz, pazarlamama.
Son tarihler: Genellikle 30 güne kadar (bildirimle birlikte zorsa 60 gün daha uzatabilirsiniz).
Başvuru sahibinin kimliğini doğrulayın (çok fazla açıklama yapmadan).
İstisnalar: AML/vergi vergisi vb. belge nedeniyle depolama.

9) Çerez/SDK ve Pazarlama

Çerezleri zorunlu/işlevsel/analitik/pazarlama olarak kategorize edin.
AB/EEZ analitik/pazarlama için - opt-in (gerçek seçim), onay günlüğü, ayrıntılı açıklamalar.
Saygı İzleme/Vazgeçme; Sunucu tarafı analizi ve veri minimizasyonu kullanın.
E-posta/SMS pazarlama - ayrı onay; Onay kanıtı ve zaman damgalarını saklayın.

10) Güvenlik ve "tasarım/varsayılan olarak gizlilik"

Transit ve dinlenme sırasında şifreleme, ödeme ayrıntılarının belirtilmesi, veri bölgelerinin izolasyonu (PII ↔ analitiği).
RBAC/ABAC erişim kontrolü, MFA, JIT erişimleri, etkinlik günlüğü, WORM arşivi.
Yüklemelerin ve borsaların DLP kontrolü; dev/stage üzerindeki üretim verilerinin yetkisiz kopyalarını yasaklar.
Alanları en aza indirin, tanımlamaya gerek olmayan yerlerde toplayın ve anonimleştirin.

11) Operasyon Kaydı (RoPA) ve Saklama

RoPA'yı koruyun: amaç, gerekçeler, veri kategorileri ve konular, alıcılar, saklama süreleri, güvenlik önlemleri, yurt dışına transferler.
Saklama matrisi: Her PD kategorisi için - dönem (örneğin, ilişkinin bitiminden ≥5 yıl sonra AML/KYC), silme/anonimleştirme yöntemi, sorumlu sahip.

12) Sızıntılar ve bildirimler (Art.33/34)

Haklara ve özgürlüklere yönelik riski değerlendirin: Hasar olasılığı varsa, 72 saat içinde denetçiyi bilgilendirin ve risk yüksekse, makul olmayan bir gecikme olmadan konuları bilgilendirin.
Yanıt planı: izolasyon, adli tıp, düzeltme, iletişim, deniz sonrası; Eserler ve çözümler saklayın.

13) İşlemciler, DPA ve Satıcı Yönetimi

Her işlemci ile DPA'yı sonuçlandırın: konu, PD kategorileri, alt işlemciler, güvenlik, DSR/olay yardımı, denetim, veri silme/iade.
Durum tespiti yapın: konum, sertifikalar (ISO/SOC), olaylar, güvenlik önlemleri, alt işlemciler.
Her yıl yeniden değerleme ve değişiklik durumunda (yaptırımlar, birleşme ve satın alma, coğrafya).

14) Matrix "Objectives - Grounds - Raf ömrü"

15) Wiki'niz için belgeler (iskeletler)

1. Gizlilik politikası (katmanlı): kısa sürüm + tam.
2. Çerez/konsensüs yönetimi politikası.

3. Tedavi Kayıt Defteri (RoPA)

4. DPIA/DTIA şablonu + tetikleme kriterleri.
5. DSR politikası (SLA'lar/prosedürler/şablonlar).
6. Saklama ve silme politikası + iş boru hattı.

7. Olay ve Bildirim Politikası (RACI, formlar)

8. DPA şablonu ve satıcı durum tespiti kontrol listesi.
9. Profilleme ve otomatik çözümler için kurallar (açıklanabilirlik, itirazlar).

16) Metrikler ve Kontrol

DSR SLA İstek oranı ≤30 gün kapatıldı.
İzin Kapsamı: Geçerli opt-in/opt-out olan etkinliklerin oranı.
Veri Minimizasyon Endeksi - özellik başına ortalama veri noktası sayısı.
Erişim İhlalleri/İhracat: erişim ve indirme olayları, trend.
Şifreleme Kapsamı: Şifrelemede tablo/kova/yedekleme yüzdesi.
Olay MTTR/MTTD ve tekrarlanabilirlik.
Satıcı Uyumluluk Oranı ve denetim sonuçları.
RoPA Bütünlük и Tutma Bağlılık.

17) Kontrol listeleri

• DPIA/yasallık temeli DPO tarafından onaylandı.
• Hedefler/üsler/retentions RoPA girilir.
• Veri bölgelerinin alan minimizasyonu/aliasing/izolasyonu.
• Consence Banner ve çerez kategorileri yapılandırılmıştır.
• DPA/satıcılar kabul etti, alt işlemciler listelendi.
• Günlükler, uyarılar, denetim, silme/anonimleştirme - etkin.

• Erişim İnceleme (RBAC/ABAC), aşırı hatırlama.
• Yedekleme kurtarma testi.
• DTIA/SCC ve alt işlemci listesinin gözden geçirilmesi.
• Tutma denetimi (son tarihe kadar silinir) ve DSR kaydı.
• IR planı eğitimi ve oyun kitabı güncellemeleri.

• Başvuru doğrulama.
• RoPA aracılığıyla sistemlerden veri toplayın.
• İstisnaların nedenlerini tespit ederek zamanında yanıt.
• Kayıtları güncelleyin ve tarafları bilgilendirin (taşınabilirse).

18) Uygulama Yol Haritası

1. Sistemlerin ve PD akışlarının envanteri; RoPA oluşumu.
2. DPO atama, politika onayı ve RACI.
3. DPIA/DTIA devresinin başlatılması ve yönetimi onaylar.
4. Veri bölgesi ayrımı, şifreleme, DLP, günlükler ve WORM arşivi.
5. Tutma boru hattı ve kaldırma/anonimleştirme.
6. Satıcı incelemesi, DPA, alt işlemci kayıt defteri.
7. Profilleme: akıl kodları, temyiz, açıklanabilirlik.
8. Düzenli ölçümler, Kurul raporu, dış/iç denetim oturumları.

Sonuç

GDPR uyumluluğu sadece sitede bir politika değil, aynı zamanda bir PD yaşam döngüsü yönetim sistemidir: doğru gerekçeler, varsayılan olarak en aza indirme ve güvenlik, DPIA/DTIA, öznelerin haklarına saygı, kontrollü satıcılar ve ölçülebilir metrikler. Gizliliği mimariye ve süreçlere dönüştürerek, ürün hızından ve dönüşümden ödün vermeden lisansları, ortaklıkları ve oyuncu güvenini korursunuz.