GH GambleHub

GDPR içindeki roller

1) Temel tanımlar ve ilkeler

Denetleyici: Kişisel verilerin (PD) işlenmesinin amaçlarını ve yöntemlerini belirler. Yasallık, şeffaflık, öznelerin hakları, güvenlik-TOMs, işlemcilerin seçimi ve kontrolü için birincil sorumluluk taşır.
İşlemci: PD'yi yalnızca denetleyici tarafından belgelendiği şekilde işler, TOM'lar sağlar, varlık haklarına ve olaylarına yardımcı olur, kayıtları tutar ve denetimlere izin verir.
Ortak Kontrolörler: Iki + kişi ortaklaşa amaç ve yöntemleri tanımlar; Sorumlulukların şeffaf dağılımı ve konular için temas noktası gereklidir.
Alt İşlemci: İşlemci tarafından görevlendirilen satıcıya yalnızca kontrolörün önceden yazılı onayı ve eşdeğer yükümlülükler ile izin verilir.

Altın kural: neden ve nasıl işleneceğine kimin karar vereceği denetleyicidir; Kim sadece "talimatlara göre çalışır" - işlemci.

2) Uygulamada bir rol nasıl tanımlanır (karar ağacı)

1. İşleme için iş hedeflerini kim belirler?

Öyle misin? Daha doğrusu kontrolcü.

2. Verileri amaçlarınız için yeniden kullanabilir misiniz (analitik, pazarlama)?

Evet - denetleyici (veya hedefler ortak ise ortak denetleyici).

3. Diğer taraf size kesin araçları/sınırlamaları ve hedeflerinizin türetildiğini gösteriyor mu?

Evet - işlemci.

4. Her iki tarafın da hedef belirlediği ortak bir ürün/ortak platform var mı?

Evet - ortak kontrolörler (sanat gerekli. 26 düzenleme).

5. Görevinize bir bulut/satıcı dahil ediyor musunuz?

Satıcı - alt işlemci; sen denetleyicisin; Birincil işlemciniz bunun için izninizi almalıdır.

3) iGaming ekosistemindeki roller - örneklerin bir matrisi

EtkileşimTipik rollerYorum yap
iGaming Operatörü ↔ OynatıcıDenetleyici ↔ Veri KonusuOperatör hedefleri tanımlar (hesap, oranlar, RG, AML)
Operatör ↔ CCM/Yaptırım SağlayıcısıDenetçi ↔ İşlemciDPA + talimatları, verilerin yeniden kullanılmasının yasaklanması
PSP ↔ Operatörü/BankaDaha sık Bireysel denetçilerPSP'nin kendi düzenleyici amaçları ve depolaması vardır
Operatör ↔ Antifraud platformuTipik olarak İşlemciHizmet, toplu bilgileri kendi amaçları için "paylaşırsa", ortak bir denetleyici veya ayrı bir denetleyici mümkündür
Operatör ↔ Hosting/Bulut/CDNİşlemci/Alt İşlemciGüçlü güvenlik ve erişim günlükleri; bölgesellik
Operatör ↔ Analitik/Pazarlama-SDKMix: İşlemci veya Tek DenetleyiciSağlayıcının PD'yi kendi amaçları için kullanıp kullanamayacağına bağlıdır
Operatör ↔ OrtaklıkGenellikle bireysel denetçilerMüşteri adayları/tıklamalar bağlı kuruluş hedefleri tarafından ele alınır; PD transferi için - DPA/sözleşme + minimizasyon
İşlemci ↔ Alt işlemciİşlemci ↔ Alt işlemciKontrolörün eşit yükümlülüklerine ve iznine ihtiyacımız var
Ortak ile ortak promosyonOrtak kontrolörlerSanat gereklidir. Sorumluluklarla 26 anlaşma

4) Rol Sorumlulukları (Yüksek Düzey RACI)

AktiviteDenetleyiciİşlemciOrtak denetçiler
Yasal dayanaklar, bildirimA/RCA/R (birleşik)
DSAR işleme (erişim, silme vb.)A/RR (yardım)A/R (dağıtıma göre)
DPIA/DTIAA/RC/R (yardım)A/R (birleşik)
Olaylar/sızıntılar (DPA/kullanıcı bildirimleri)A/RR (denetleyiciye bildir, yardım)A/R (birleşik)
İşlemcileri/alt işlemcileri seçme ve denetlemeA/RR (kayıt tutun, bilgilendirin)A/R (her biri kendi bölgesinde)
Sınır ötesi şanzımanlar (SCC'ler/IDTA)A/RR (yürütme)A/R (birleşik)
Tutma/KaldırmaA/RR (talimatların uygulanması)A/R (birleşik)

5) Belgeler ve Anlaşmalar

Data Processing Agreement (DPA) - Şema tarafından istenen denetleyici - işlemci.
Minimum: PD konusu/kategorileri, hedefleri/talimatları, TOM'lar, gizlilik, DSAR/DPIA ile yardım, olay bildirimleri, veri silme/iade, denetim, alt işlemciler (liste/onay mekanizması).
Madde 26 Düzenleme (Ortak Kontrolörler): Sorumlulukların şeffaf dağılımı (bilgilendirme, DSAR, temas noktası), kamu politikasındaki rollerin özü.
SCCs/UK IDTA + DTIA: AEA/UK dışındaki yayınlar için zorunludur.
RoPA: Kontrolörde ve işlemcide (kendi setinde) işlem işlemlerinin kaydı.
Pazarlama/SDK terimleri: geri dönüşüm yok, net roller ve hedefler.

6) Kritik alanlar ve tipik hatalar

1. Rol karıştırma: "işlemci" verileri kendi amaçları için kullanır - aslında bir denetleyici/ortak denetleyicidir.
2. İzinsiz alt işlemciler: İşlemci sizin izniniz olmadan bir satıcı ekler.
3. "Boş" DPA: Net saklama/silme/olay/denetim talimatları yok.
4. Opak ortak kontrol: sanat yok. 26 - şikayetler ve ceza riskleri.
5. Pazarlama SDK'ları: Sağlayıcılar kendileri için PD'yi çeker - açıklama ve yasallıktan siz sorumlusunuz.
6. PSP/Bankalar: Bu işlemcileri dikkate almak bir hatadır; Bunlar daha çok bireysel kontrolörlerdir.

7) DPA mini şablonu (ifade parçaları)

İşlemenin hedefleri ve niteliği: "İşlemci PD'yi yalnızca Kontrolör tarafından yönlendirilen KYC doğrulaması için işler".
Talimatlar: "Herhangi bir hedef değişikliği, Kontrolörün yazılı onayını gerektirir".

Alt işlemciler: "İşlemci, önceden yazılı izin almadan alt işlemcileri çekmez; güncel bir kayıt tutar ve yayınlar"

Güvenlik: "İşlemci, Ek A'da açıklanandan daha düşük olmayan TOM'ları (şifreleme, takma ad, erişim kontrolü, günlük kaydı) destekler".
Olaylar: "İşlemci, Denetleyiciyi gereksiz gecikme olmadan bilgilendirir ve bildirimler için tüm bilgileri düzenleyiciye ve kuruluşlara sağlar".
Silme/iade: "Hizmetin sonunda, işlemci PD'yi siler/döndürür ve yedeklerdeki kopyaları zamanında siler".
Denetim: "Denetleyici, makul bir bildirimde bulunarak denetimler/anketler/dış raporlar (SOC2/ISO) yürütebilir".

8) DPIA/DTIA ve sınır ötesi

DPIA: denetleyici başlar; İşlemci, sistemler, riskler, TOM'lar hakkında bilgi sağlar.
DTIA: SCC'ler/IDTA ile - alıcının uygulama ortamının değerlendirilmesi, ek önlemler (E2EE, müşteri anahtarları, yarı anonimleştirme, EC/İngiltere'de anahtar depolama).

9) Dağıtılmış rollerde konu hakları (DSAR) ile çalışmak

Denetleyici: isteği kabul eder, kimliği doğrular, koleksiyonu koordine eder, (genellikle ≤30 gün) içinde yanıt verir.
İşlemci: Yönlendirildiği şekilde yüklemeleri/silmeleri derhal sağlar, konuya doğrudan yanıt vermez (aksi belirtilmedikçe).
Ortak Denetçiler: Anlaşmada, yanıt için "temas noktasını've veri alışverişini belirtin.

10) Güvenlik ve olaylar: kim ne yapar

Denetleyici: Olay Politikası, DPA/Kullanıcı Bildirim Planı, CAPA Yönetimi.
İşlemci: Kontrolörün derhal bildirilmesi, teknik adli tıp, muhafaza, günlükler, bildirimlerle ilgili yardım.
Ortak Denetçiler: kabul edilen bildirim matrisi; Tek bir iletişim hattı.

11) Saklama, silme, test verileri

Denetleyici: Saklama sürelerini hedeflere/yasalara göre ayarlar (AML, muhasebe), politikada yayınlar.
İşlemci: bir programda silme/anonimleştirme uygular, ayrı olarak - yedeklemeleri temizler; PD'nin test ortamında maskeleme/sentetikler olmadan kullanılmasının yasaklanması.

12) Operasyonel entegrasyon (uygulama)

CAB/Change: CAB ve DPA/SCC düzenlemeleri yoluyla herhangi bir rol/alt işlemci/bölge değişikliği.
Veri Haritası ve RoPA: Canlı Akış Haritası; Denetleyicinin hedefleri ve alıcıları vardır, işlemcinin kategorileri ve işlemleri vardır.
Satıcı yönetimi: işe başlamadan önce durum tespiti (ISO/SOC2, penetrasyon testi, olay politikası, veri coğrafyası).
Denetimler: kontrol listeleri, anketler, PII erişim örnek günlükleri, silme mantığı.

13) Kontrol listesi "Rolü tanımlama"

  • Hedefleri ve anahtar işleme parametrelerini kim belirler?

PD kendi amaçları için yeniden kullanılabilir mi?

  • İkinci tarafın ayrı yasal dayanakları var mı?
  • Varlığa (DSAR) karşı kim sorumludur?
  • DPA'lar gerekli midir (madde 28) veya düzenleme (madde 26)?
  • Herhangi bir alt işlemci ve eşleştirme mekanizması var mı?
  • Sınır ötesi yayınlar ve hangi mekanizma (SCC'ler/IDTA) olacak mı?

14) Sıkça Sorulan Sorular (SSS)

PSP - İşlemci mi, Denetleyici mi?
Genellikle ayrı bir denetleyici: kendi hedefleri (ödeme hizmetleri, dolandırıcılık önleme, düzenleyici raporlama).

KYC sağlayıcısı model eğitimi için fotoğrafları saklayabilir mi?
Sadece kontrolör statüsünde (ayrı bir temel ve açıklama ile) veya açık rızanız ve doğru yasal dayanağınızla. Aksi takdirde yasaktır.

Oyuncuyu getiren üye bir işlemci mi?
Daha sık ayrı bir denetleyici: PD'yi kendi amaçları için toplar. Ortak kampanyalar açık rol dağılımı gerektirir.

Bulut günlüğü sunucusu - kimin verileri?
Günlük işleme, güvenliği sağlamak için işlemcinin sorumluluğundadır; Kendi amaçları için yeniden kullanım ayrı bir zemin gerektirir (aksi takdirde mümkün değildir).

15) Mini Rol Politikası (dahili standart için snippet)

1. Varsayılan olarak, operatör oyuncuların/ortakların tüm PD akışları için bir denetleyici görevi görür.
2. PD'ye erişimi olan herhangi bir satıcı - bir işlemci (DPA) veya ayrı bir denetleyici olarak (kendi amaçları için) kaydedilir.
3. Bir alt işlemci eklemek, yazılı onay ve kayıt defteri güncellemeleri gerektirir.
4. Herhangi bir rol/bölge/hedef değişikliği - CAB, DPO ve Legal aracılığıyla.
5. DSAR ve olaylar - denetleyici tarafından koordine edilen işlemciler SLA'lara yanıt verir.

16) Uygulama Yol Haritası

1-2. Haftalar: Veri akışlarının ve rollerinin envanteri; Bir taslak'kim kimdir "matrisi; RoPA güncellemesi.
3-4. Haftalar: DPA'nın sonuçlanması/güncellenmesi, madde 26 (gerektiğinde), alt işlemci kayıt defteri; Denetim anketlerinin hazırlanması.
Ay 2: DTIA/SCCs/IDTA, kamu politikası güncellemesi, takım eğitimi.
Ay 3 +: düzenli satıcı denetimleri, DSAR testi, olaylar üzerine masa üstü, ürün/pazarlama değişiklikleri için rol denetimleri.

17) Kısa şablon "Rol Matrisi" (örnek)

AkışOperatör rolüKarşı taraf rolüBelgelerYorum yap
CCM/YaptırımlarDenetleyiciİşlemciDPA + talimatlarıYeniden kullanım yok
Ödemeler (PSP)Dep. denetleyiciDep. denetleyiciAnlaşma + Gizlilik BildirimiAyrı sorumluluk
Hosting/BulutDenetleyiciİşlemci/Alt İşlemciDPA, SCCs/IDTAVeri coğrafyası
Pazarlama-SDKDenetleyiciİşlemci veya Departman denetleyicisiDPA/Ortak/ToSYeniden kullanımı kontrol et
AnalyticsDenetleyiciİşlemciDPA, hedef sınırlamasıTakma ad

TL; DR

Rolü hedefler ve işleme yöntemleri ile belirleriz: "neden/nasıl" olduğuna siz karar verirsiniz - kontrolör; Belirtildiği gibi gerçekleştirmek - işlemci; Birlikte karar verirsiniz - ortak kontrolörler. Bunu DPA/sanatta resmileştirmek. 26, RoPA yürütüyoruz, alt işlemcileri kontrol ediyoruz, DPIA/DTIA, konu hakları ve güvenlik sağlıyoruz. Net rol matrisi = daha az düzenleyici risk, daha az anlaşmazlık alanı ve daha hızlı denetimler.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.