GH GambleHub

GDPR中的角色

1)基本定義和原則

控制器(控制器):獨立定義處理個人數據(PD)的目標和方法。它主要負責合法性,透明度,主體權利,安全-TOM,處理器的選擇和控制。
處理器(Processor):僅在記錄的主計長指示下處理PD,提供TOMs,幫助處理主體權限和事件,維護記錄並允許審核。
聯合控制者(聯合控制者):兩個+個人共同定義目標和方法;對受試者需要透明的職責分配和聯系點。
子處理器(子處理器):處理器吸引的供應商;只允許事先獲得主計長的書面許可和同等義務。

黃金規則:誰決定為什麼以及如何處理-控制者;誰只是「按照指令執行」-處理器。

2)如何在實踐中定義角色(決策樹)

1.誰設定了處理業務目標?

→你嗎?而是控制者。

2.您能否為自己的目的(分析、營銷)重復使用數據?

→是→主計長(或聯合主計長,如果目標相同)。

3.確切的手段/限制是否指向另一方,目標是衍生的?

→是的→處理器。

4.是否有一個共同的產品/協作平臺來確定雙方的目標?

→是→聯合控制器(需要藝術。26 arrangement).

5.您是否根據您的任務吸引了雲/供應商?

→ Vendor是子處理器;你是主計長;您的主處理器必須獲得您的許可。

3)在iGaming生態系統中的作用-示例矩陣

相互作用典型角色評論意見
iGaming操作員↔玩家主計長↔數據主體操作員定義目標(帳戶、費率、RG、AML)
運營商↔ CUS/制裁提供商主計長↔處理器我們編寫DPA+說明,禁止重新使用數據
運營商↔ PSP/銀行更常見的是個別控制者PSP有自己的監管目標和存儲
運營商↔ Antifrod平臺通常是處理器如果服務「共享」其目標上的聚合洞察力,則可以共享聯合控制者或單獨的控制者
運營商↔ 托管/雲/CDN處理器/子處理器強大的安全性和訪問邏輯;屬地性
運營商↔分析/營銷-SDK混合:處理器或獨立控制器取決於提供商是否可以將PD用於其目的
運營商↔附屬公司通常,個人控制者線索/點擊是根據附屬機構的目標處理的;在PD傳輸中-DPA/合同+最小化
處理器↔子處理器處理器↔子處理器需要同等級別的承諾和主計長的許可
與合作夥伴聯合促銷活動Joint Controllers需要藝術。26項具有職責分配的協議

4)角色職責(高級RACI)

活動主計長處理器聯合監督員
法律依據(lawful bases),通知A/RCA/R(貓頭鷹)
DSAR處理(訪問、刪除等)A/RR(援助)A/R(按分配)
DPIA/DTIAA/RC/R(援助)A/R(貓頭鷹)
事件/泄漏(DPA/用戶通知)A/RR(通知主計長,協助)A/R(貓頭鷹)
選擇和審核處理器/子處理器A/RR(維護註冊表,通知)A/R(各自區域)
跨境轉移(SCCs/IDTA)A/RR(執行)A/R(貓頭鷹)
重建/刪除A/RR(指示執行)A/R(貓頭鷹)

5)文件和協議

DPA(數據處理協議):電路的必備控制器→處理器。
最低限度:PD主題/類別,目標/說明,TOMs,隱私,DSAR/DPIA幫助,事件通知,數據刪除/退回,審計,子處理器(列表/同意機制)。
Art.26 Arrangement(聯合控制器):透明的職責分配(信息、DSAR、聯系點),公共政策中角色的本質。
SCCs/UK IDTA+DTIA:在歐洲經濟區/UK之外進行傳輸時是強制性的,除非足夠。
RoPA:控制器和處理器(其撥號)的處理操作註冊表。
營銷條款/SDK:禁止二次使用,明確角色和目標。

6)關鍵區域和類型錯誤

1.角色混合:「處理器」將數據用於自己的目的→實際上是控制者/聯合控制者。
2.未經許可的子處理器:處理器在未經您同意的情況下添加供應商。
3.「空白」DPA:沒有關於撤回/刪除/事件/審計的明確說明。
4.不透明的聯合控制:沒有藝術。26-投訴和罰款風險。
5.營銷SDK:提供商為自己拉動PD-您負責披露和合法性。
6.PSP/Bank:算作處理器是一個錯誤;通常是單獨的控制器。

7)DPA迷你模板(措辭片段)

處理目的和性質: 「處理器僅在主計長的指導下處理KYC驗證的PD。」

指示: 「任何目的變更均須經主計長書面同意。」

子處理器: "未經事先書面許可,處理器不會吸引子處理器;維護和發布最新的登記冊。"

安全性: 「處理器支持TOM(加密,別名,訪問控制,日誌),不低於附錄A中所述。」

事件: 「處理器在沒有不當延遲的情況下通知主計長,並提供所有信息以通知監管機構和實體。」

刪除/返回: 「在服務結束時,處理器會刪除/返回PD,並按計劃刪除備份中的副本。」

審計: 「主計長有權在合理通知下進行審計/問卷/外部報告(SOC2/ISO)。」

8) DPIA/DTIA和跨界性

DPIA:主計長啟動;處理器提供有關系統,風險,TOM的信息。
DTIA:在SCCs/IDTA中-評估接收者的執法環境,其他措施(E2EE,客戶端密鑰,準匿名,在EC/UK中存儲密鑰)。

9)在分布式角色中處理主體權利(DSAR)

主計長:接受請求,驗證身份,協調收集,按時響應(通常為≤30天)。
處理器:按指示快速提供卸載/卸載,不直接響應對象(除非另有規定)。
聯合主計長:在協議中指定「聯系點」和數據交換以進行響應。

10)安全與事件: 誰在做什麼

主計長:事件策略,DPA/用戶通知計劃,CAPA管理。
處理器:立即向控制器發出警報,技術力量,容器,日誌,通知協助。
聯合控制者:統一通知矩陣;一條通信線路。

11)重建,刪除,測試數據

主計長:根據目標/法律設定保留期限(AML,bukuchet),並在政策中發布。
處理器:實現按計劃刪除/匿名化,單獨清除bap;禁止在不偽裝/合成的情況下在測試環境中使用PD。

12)操作集成(實踐)

CAB/更改:通過CAB和DPA/SCC編輯來更改角色/子處理器/區域。
數據地圖和RoPA:實時線程圖;控制器有目標和收件人,處理器有類別和操作。
供應商管理:在登機之前進行盡職調查(ISO/SOC2,pentest,事件策略,數據地理)。
審計:支票單,問卷,選擇性PII訪問日誌,刪除邏輯。

13)「定義角色」支票清單"

  • 誰設定了處理目標和關鍵參數?
  • PD是否可用於其目的?
  • 第二方有獨立的法律依據嗎?
  • 誰對實體(DSAR)負責?
  • 是否需要DPA(藝術。28)或arrangement(藝術。26)?
  • 是否有子處理器和匹配機制?
  • 是否會有跨境轉移和什麼機制(SCCs/IDTA)?

14)常見問題(FAQ)

PSP-處理器還是控制器?

通常是一個單獨的控制者:自己的目標(支付服務,防止欺詐,監管報告)。

KYC提供商可以存儲照片來訓練模型嗎?

僅在主計長身份(有單獨的理由和披露)或您明確同意和正確的法律依據的情況下。否則-禁止。

引用玩家的關聯是處理器嗎?
通常是一個單獨的控制者:他為自己的目的收集PD。聯合運動需要明確的角色分配。

雲計算服務器-數據是誰?

處理日誌是處理器的安全責任;為其目的重新使用需要單獨的理由(否則不可行)。

15)迷你角色策略(內部標準的片段)

1.默認情況下,操作員充當所有玩家/合作夥伴的PD流的控制器。
2.任何具有PD訪問權限的供應商-都被設計為處理器(DPA)或單獨的控制器(出於自己的目的)。
3.添加子處理器需要獲得書面同意並更新註冊表。
4.角色/領土/目標的任何變化-通過CAB,DPO和Legal。
5.DSAR和事件-由控制器協調,處理器在SLA中響應。

16)實施路線圖

第一至第二周:數據流和角色清單;「誰是誰」矩陣草稿;RoPA更新。
第三至第四周:DPA的結論/更新,藝術。26(必要時),子處理器註冊表;準備審計問卷。
第二個月:DTIA/SCCs/IDTA,公共政策更新,團隊培訓。
3+月:定期供應商審核、DSAR測試、事件控制臺、產品更改/營銷角色審核。

17)簡短的「角色矩陣」模板(示例)

線程操作員的角色交易對手的作用二.文件評論意見
CUS/制裁主計長處理器DPA+指令不使用RE
付款(PSP)奧特。主計長奧特。主計長合同+隱私通知分離責任
托管/雲主計長處理器/子處理器DPA, SCCs/IDTA數據地理
市場營銷-SDK主計長處理器或電源。主計長DPA / Joint/ToS驗證重用
分析學主計長處理器DPA,目標限制化名

TL;DR

我們通過目標和處理方式定義角色:決定「為什麼/如何」-控制者;按照指示執行-處理器;共同決定-聯合控制器。我們將此形式化為DPA/art。26、領導RoPA、控制子處理器、確保DPIA/DTIA、主體權利和安全。清晰的角色矩陣=減少監管風險,減少爭議區域,並加快審核速度。

Contact

與我們聯繫

如有任何問題或支援需求,歡迎隨時聯絡我們。我們隨時樂意提供協助!

開始整合

Email 為 必填。Telegram 或 WhatsApp 為 選填

您的姓名 選填
Email 選填
主旨 選填
訊息內容 選填
Telegram 選填
@
若您填寫 Telegram,我們將在 Email 之外,同步於 Telegram 回覆您。
WhatsApp 選填
格式:國碼 + 電話號碼(例如:+886XXXXXXXXX)。

按下此按鈕即表示您同意我們處理您的資料。