GDPR та обробка персональних даних

1) Що регулює GDPR і хто суб'єкт

• ви встановлені в ЄС/ЄЕЗ або цілитеся на користувачів в ЄС (товари/послуги, моніторинг поведінки);
• ви контролер (визначаєте цілі/засоби обробки) або процесор (обробляєте ПД від імені контролера).

• Контролер: власник цілей/засобів, відповідає за законність і прозорість.
• Процесор: діє за документованими інструкціями контролера, укладає DPA.
• DPO (офіцер із захисту даних): незалежний нагляд, DPIA/DSR, консультації, зв'язок з наглядом.

2) Принципи обробки (ст.5)

1. Законність, справедливість, прозорість.
2. Обмеження мети. Чітко описані, сумісні цілі.
3. Мінімізація даних. Тільки необхідне.
4. Точність. Актуалізація та виправлення.
5. Обмеження зберігання. Ретеншн і видалення/анонімізація.
6. Цілісність і конфіденційність. Безпека за замовчуванням.
7. Підзвітність. Доказовість відповідності (policies, логи, DPIA).

3) Законні підстави (ст.6) - матриця для iGaming/фінтех

4) Спеціальні категорії та біометрія (ст.9)

Обробка спеціальних категорій (здоров'я, переконання тощо) заборонена, якщо немає окремої підстави.
Біометрія для унікальної ідентифікації (наприклад, face-template для liveness/face-match) вимагає прямої згоди або іншої вузької правової бази (залежить від країни). Зберігайте шаблони, а не «сирі» зображення, де це можливо.

5) Профілювання та автоматизовані рішення (ст.22)

• прозоре розкриття логіки (в розумних межах), значущості і наслідків;
• право на втручання людини і оскарження рішення;
• DPIA при високій ймовірності ризику прав/свобод (масштабне профілювання).
• Рекомендації: зберігайте reason codes, версіонуйте моделі/правила, проводьте bias-аудит.

6) DPIA/DTIA: Коли обов'язкові

DPIA проводите, якщо ризик високий: масштабне профілювання, біометрія, «систематичне спостереження», нові джерела даних.
Шаблон DPIA: мета і опис обробки → правові підстави → ризики суб'єктів → заходи пом'якшення → залишковий ризик → план.
DTIA (оцінка транскордонної передачі): правове середовище країни-одержувача + контрактні/тих заходи (SCC/еквівалент, шифрування, поділ ключів).

7) Транскордонні передачі (гл.V)

Механізми: SCC, BCR, рішення про адекватність, локальні аналоги.
Техмери: end-to-end шифрування, розділення ключів, мінімізація полів, псевдонімізація до передачі.
Документуйте реєстр передач і результати DTIA; регулярно переглядайте ризики.

8) Права суб'єктів (DSR)

Право на доступ, виправлення, видалення, обмеження, переносимість, заперечення, відмова від маркетингу.
Терміни: зазвичай до 30 днів (можна продовжити ще на 60 при складності, з повідомленням).
Перевіряйте особу заявника (без розкриття зайвого).
Винятки: зберігання через AML/податкового обов'язку та ін документуйте.

9) Cookie/SDK і маркетинг

Поділяйте cookie за категоріями: обов'язкові/функціональні/аналітика/маркетинг.
Для аналітики/маркетингу в ЄС/ЄЕЗ - opt-in (реальний вибір), журнал згоди, детальні описи.
Поважайте Do Not Track/Opt-out; використовуйте серверну аналітику і мінімізацію даних.
E-mail/SMS маркетинг - окрема згода; зберігайте пруф згоди і таймстемпи.

10) Безпека та «privacy by design/default»

Шифрування in transit і at rest, токенізація платіжних реквізитів, ізоляція зон даних (PII ↔ аналітика).
Контроль доступу RBAC/ABAC, MFA, JIT-доступи, журнал дій, WORM-архів.
DLP-контроль вивантажень і обмінів; заборона несанкціонованих копій прод-даних на dev/stage.
Мінімізуйте поля, аггрегуйте та анонімізуйте там, де немає потреби в ідентифікації.

11) Реєстр операцій (RoPA) та ретеншн

Ведіть RoPA: мета, підстави, категорії даних і суб'єктів, одержувачі, терміни зберігання, заходи безпеки, передачі за кордон.
Ретеншн-матриця: для кожної категорії ПД - термін (наприклад, AML/KYC ≥5 років після закінчення відносин), спосіб видалення/анонімізації, відповідальний власник.

12) Витоки та повідомлення (ст.33/34)

Оцініть ризик для прав і свобод: при ймовірності збитку повідомляйте наглядовий орган протягом 72 годин, а при високому ризику - і суб'єктів без необгрунтованої затримки.
План реагування: ізоляція, форензика, виправлення, комунікації, пост-морем; зберігайте артефакти і рішення.

13) Процесори, DPA і управління вендорами

З кожним процесором укладайте DPA: предмет, категорії ПД, субпроцесори, безпека, допомога з DSR/інцидентами, аудит, видалення/повернення даних.
Проводьте due diligence: локація, сертифікації (ISO/SOC), інциденти, заходи безпеки, субпроцесори.
Переоцінка щорічно і при змінах (санкції, M&A, географія).

14) Матриця «Цілі → Підстави → Терміни зберігання»

15) Документація для вашої wiki (скелети)

1. Політика приватності (шарова): коротка версія + повна.
2. Політика cookie/консенс-менеджменту.
3. Реєстр обробок (RoPA).
4. Шаблон DPIA/DTIA + критерії тригерів.
5. Політика DSR (SLA/процедури/шаблони).
6. Політика ретеншну і видалення + job-пайплайн.
7. Політика інцидентів і повідомлень (RACI, форми).
8. Шаблон DPA і чек-лист due diligence вендорів.
9. Правила профілювання та автоматизованих рішень (explainability, апеляції).

16) Метрики та контроль

DSR SLA: частка запитів закрита ≤30 днів.
Consent Coverage: частка подій з валідним opt-in/opt-out.
Data Minimization Index: середнє число ПД на фічу.
Access Violations/Exports: інциденти доступу і вивантажень, тренд.
Encryption Coverage: % таблиць/бакетів/бекапів у шифруванні.
Incident MTTR/MTTD і повторюваність.
Vendor Compliance Rate і результати аудитів.
RoPA Completeness и Retention Adherence.

17) Чек-листи

• DPIA/основи законності підтверджені DPO.
• Цілі/підстави/ретеншн внесені в RoPA.
• Мінімізація полів/псевдонімізація/ізоляція зон даних.
• Консенс-банер і категорії cookie налаштовані.
• DPA/вендори узгоджені, субпроцесори перераховані.
• Логи, алерти, аудит, видалення/анонімізація - включені.

• Рев'ю доступів (RBAC/ABAC), відгук зайвих.
• Тест відновлення бекапів.
• Перегляд DTIA/SCC і списку субпроцесорів.
• Аудит ретеншну (видалено за терміном) і DSR-реєстр.
• Тренування IR-плану та оновлення плейбуків.

• Верифікація заявника.
• Збір даних з систем по RoPA.
• Відповідь в строк з фіксацією підстав винятків.
• Оновлення записів і повідомлення сторін (при переносимості).

18) Дорожня карта впровадження

1. Інвентаризація систем і потоків ПД; формування RoPA.
2. Призначення DPO, затвердження політик і RACI.
3. Запуск DPIA/DTIA-контуру і консенс-менеджменту.
4. Розділення зон даних, шифрування, DLP, логи і WORM-архів.
5. Ретеншн-пайплайн і видалення/анонімізація.
6. Вендор-рев'ю, DPA, реєстр субпроцесорів.
7. Профілювання: reason codes, апеляції, explainability.
8. Регулярні метрики, звіт Board, зовнішні/внутрішні аудит-сесії.

Підсумок

GDPR-відповідність - це не тільки політика на сайті, а система управління життєвим циклом ПД: коректні підстави, мінімізація і безпека за замовчуванням, DPIA/DTIA, повага прав суб'єктів, підконтрольні вендори і вимірювані метрики. Вбудувавши приватність в архітектуру і процеси, ви збережете ліцензії, партнерства і довіру гравців - без шкоди для швидкості продукту і конверсії.