GH GambleHub

GDPR va shaxsiy ma’lumotlarni qayta ishlash

1) GDPR nimani tartibga soladi va subyekt kim

GDPR EI/EEAdagi jismoniy shaxslarning shaxsga doir ma’lumotlarini qayta ishlashda ularning huquqlarini himoya qiladi. Agar:
  • EI/EEAda o’rnatilgansiz yoki EIdagi foydalanuvchilarni nishonga olasiz (tovarlar/xizmatlar, xulq-atvor monitoringi);
  • siz nazoratchi (ishlov berish maqsadlari/vositalarini aniqlaysiz) yoki protsessor (nazoratchi nomidan PDni qayta ishlaysiz).
Asosiy rollar:
  • Nazoratchi: maqsadlar/vositalar egasi, qonuniylik va shaffoflik uchun javob beradi.
  • Protsessor: nazoratchining hujjatlashtirilgan ko’rsatmalari bo’yicha ish olib boradi, DPA tuzadi.
  • DPO (ma’lumotlarni himoya qilish ofitseri): mustaqil nazorat, DPIA/DSR, maslahatlar, nazorat bilan aloqa.

2) Ishlov berish prinsiplari (5-modda)

1. Qonuniylik, adolat, shaffoflik.
2. Maqsadni cheklash. Aniq tasvirlangan maqsadlar.
3. Maʼlumotlarni minimallashtirish. Faqat zarur narsalar.
4. Aniqlik. Dolzarblashtirish va tuzatish.
5. Saqlashni cheklash. Retenshn va olib tashlash/anonimlashtirish.
6. Yaxlitlik va maxfiylik. Andoza xavfsizlik.
7. Hisobdorlik. Muvofiqlikning isbotlanishi (policies, logi, DPIA).

3) Qonuniy asoslar (6-modda) - iGaming/fintech uchun matrisa

MaqsadMaʼlumot namunalariAsos
Akkaunt, tranzaksiya, to’lovlarni yaratishIdentifikatsiya, to’lovContract
KYC/AML/soliqlar, yoshga oid tekshiruvlarHujjatlar, biometriya (talab qilinadigan joylarda), tranzaksiyalar jurnaliLegal obligation
Antifrod, xavfsizlik, xizmat ko’rsatish sifatiDevice/IP, xulq-atvor signallariLegitimate interest (LIA)
Marketing (email/SMS/push), ixtiyoriy tahlillarAloqalar, cookie/IDConsent
RG (mas’uliyatli o’yin) - majburiy huquqiy talablarXulq-atvor/limitlarLegal obligation/LIA (yurisdiksiya bo’yicha)
💡 LIA uchun manfaatlar balansini o’tkazing; consent uchun - erkin, xabardor, aniq rozilik va oson opt-out.

4) Maxsus toifalar va biometriya (9-modda)

Maxsus toifalarga (sog’liq, e’tiqod va shu kabilarga) ishlov berish, agar alohida asos bo’lmasa, taqiqlanadi.
Noyob identifikatsiya uchun biometriya (masalan, face-template for liveness/face-match) to’g «ridan to’g» ri rozilik yoki boshqa tor huquqiy bazani talab qiladi (mamlakatga bog’liq). Iloji boricha xom rasmlarni emas, balki namunalarni saqlang.

5) Profillash va avtomatlashtirilgan yechimlar (22-modda)

iGaming/fintech frod, mas’uliyatli o’yin (RG), tavakkalchilik limitlari uchun profillashdan foydalanadi. Talablar:
  • mantiqni (oqilona doirada), ahamiyati va oqibatlarini shaffof ochib berish;
  • shaxsning aralashuvi va hal qiluv qaroriga e’tiroz bildirish huquqi;
  • DPIA huquqlar/erkinliklar xavfi yuqori bo’lganda (keng miqyosda profillash).
  • Tavsiyalar: reason codes saqlang, modellar/qoidalarni versiyalashtiring, bias-audit o’tkazing.

6) DPIA/DTIA: qachon majburiy

Agar xavf yuqori bo’lsa, DPIA o’tkazing: keng ko’lamli profillash, biometriya, «tizimli kuzatuv», yangi ma’lumotlar manbalari.
DPIA shabloni: ishlov berishning maqsadi va tavsifi → huquqiy asoslar → subyektlarning xatarlari → yumshatish choralari → qoldiq xavf → reja.
DTIA (transchegaraviy uzatishni baholash): oluvchi mamlakatning huquqiy muhiti + kontrakt/texnik choralar (SCC/ekvivalent, shifrlash, kalitlarni ajratish).

7) Transchegaraviy uzatmalar (V guruh)

Mexanizmlar: SCC, BCR, adekvat qarorlar, mahalliy analoglar.
Texnik chora-tadbirlar: end-to-end shifrlash, kalitlarni ajratish, maydonlarni minimallashtirish, uzatishdan oldin taxallusini belgilash.
Uzatmalar reyestrini va DTIA natijalarini hujjatlashtiring; xavf - xatarlarni muntazam ravishda qayta koʻrib chiqing.

8) Subyektlarning huquqlari (DSR)

Marketingdan foydalanish, uni tuzatish, olib tashlash, cheklash, chidash, e’tiroz bildirish, uni rad etish huquqi.
Muddatlari: odatda 30 kungacha (murakkablikda yana 60 kunga uzaytirilishi mumkin).
Ariza beruvchining shaxsini tekshiring (ortiqcha narsani oshkor qilmasdan).
Istisnolar: AML/soliq majburiyati va boshqalar tufayli saqlash.

9) Cookie/SDK va marketing

Kukilarni toifalarga ajrating: majburiy/funksional/tahliliy/marketing.
YeI/YeI tahlillari/marketingi uchun - opt-in (haqiqiy tanlov), rozilik jurnali, batafsil tavsiflar.
Do Not Track/Opt-out; server tahlilidan va maʼlumotlarni minimallashtirishdan foydalaning.
E-mail/SMS marketing - alohida rozilik; rozilik va taymstemplarni saqlang.

10) Xavfsizlik va «privacy by design/default»

In transit va at rest shifrlash, to’lov rekvizitlarini tokenlashtirish, ma’lumotlar zonalarini izolyatsiya qilish (PII analitika).
RBAC/ABAC, MFA, JIT kirish, harakat jurnali, WORM arxivi.
tushirish va ayirboshlashni DLP-nazorat qilish; dev/stage uchun prod-ma’lumotlarning ruxsatsiz nusxalarini taqiqlash.
Identifikatsiyalashga ehtiyoj bo’lmagan joylarni minimallashtiring va anonimlashtiring.

11) Operatsiyalar reyestri (RoPA) va retenshn

RoPA: ma’lumotlar va subyektlarning maqsadi, asoslari, toifalari, oluvchilar, saqlash muddatlari, xavfsizlik choralari, chet elga o’tkazish.
Retenshn-matritsasi: PDning har bir toifasi uchun - muddat (masalan, AML/KYC ≥ munosabatlar tugaganidan keyin 5 yil), olib tashlash/anonimlashtirish usuli, mas’ul egasi.

12) Oqish va bildirishnomalar (33/34-modda)

Huquq va erkinliklar uchun xavfni baholang: zarar yetkazilishi ehtimoli bo’lgan taqdirda nazorat organini 72 soat mobaynida, xavf yuqori bo’lgan taqdirda esa subyektlarni asossiz kechiktirmasdan xabardor qiling.
Harakat qilish rejasi: izolyatsiya, forenzika, tuzatish, kommunikatsiyalar, post-dengiz; artefaktlar va yechimlarni saqlang.

13) Protsessorlar, DPA va vendorlarni boshqarish

Har bir protsessor bilan: fan, PD toifalari, subprosessorlar, xavfsizlik, DSR/hodisalar bilan yordam, audit, ma’lumotlarni o’chirish/qaytarish.
Due diligence: joylashuv, sertifikatlash (ISO/SOC), noxush hodisalar, xavfsizlik choralari, subprosessorlar.
Har yili va o’zgarishlarda qayta baholash (sanksiyalar, M&A, geografiya).

14) «Maqsadlar → Asoslar → Saqlash muddatlari» matritsasi

MaqsadAsosMuddat namunasi
Hisob/tranzaksiyalarContractShartnoma amalda bo’lsa + N oy.
AML/KYCLegal obligation≥ tugaganidan keyin 5 yil
Antifrod/xavfsizlikLIARolling-oyna 12-24 oy (taxalluslashtirish)
MarketingConsentRozilik amal qilganda yoki chaqirib olingunga qadar
RG/komplayensLegal obligation/LIAMahalliy huquq va siyosat bo’yicha

15) Sizning wiki uchun hujjatlar (skeletlar)

1. Maxfiylik siyosati (qatlamli): qisqacha versiyasi + to’liq.
2. Cookie/konsens menejment siyosati.
3. Qayta ishlash reyestri (RoPA).
4. DPIA/DTIA + trigger mezonlari.
5. DSR siyosati (SLA/protseduralar/shablonlar).
6. Retenshn va olib tashlash siyosati + job-paypline.
7. Hodisalar va xabarnomalar siyosati (RACI, shakllar).
8. DPA namunasi va vendorlarning due diligence chek varaqasi.
9. Profillash va avtomatlashtirilgan yechimlar (explainability, apellyatsiyalar) qoidalari.

16) Metrika va nazorat

DSR SLA: so’rovlar ulushi 30 kundan ≤ yopildi.
Consent Coverage: valid opt-in/opt-out.
Data Minimization Index: har bir fichu uchun oʻrtacha PD.
Access Violations/Exports: kirish va tushirish hodisalari, trend.
Encryption Coverage: shifrlangan jadvallar/baketlar/bekaplar%.
Incident MTTR/MTTD va takrorlanuvchanlik.
Vendor Compliance Rate va audit natijalari.
RoPA Completeness и Retention Adherence.

17) Chek-varaqlar

Fichni ishga tushirishdan oldin (Privacy by Design):
  • DPIA/qonuniylik asoslari DPO tomonidan tasdiqlangan.
  • RoPAga kiritilgan maqsadlar/asoslar/retenshn.
  • Ma’lumotlar maydonlarini minimallashtirish/taxalluslashtirish/izolyatsiya qilish.
  • Konsens banner va cookie toifalari sozlangan.
  • DPA/vendorlar kelishilgan, subprotsessorlar sanab o’tilgan.
  • Ro’yxatlar, alertlar, audit, olib tashlash/anonimlashtirish - kiritilgan.
Operatsiya (har chorakda):
  • Kirish ovozi (RBAC/ABAC), ortiqcha narsalarni chaqirib olish.
  • Orqaplarni tiklash testi.
  • DTIA/SCC va subprosessorlar ro’yxatini qayta ko’rib chiqish.
  • Retenshn auditi (muddati bo’yicha olib tashlangan) va DSR reyestri.
  • IR-rejani mashq qilish va pleybuklarni yangilash.
DSR jarayoni:
  • Ariza beruvchini tekshirish.
  • RoPA tizimlaridan ma’lumotlarni yig’ish.
  • Istisnolar asoslarini qayd etgan holda javob.
  • Yozuvlarni yangilash va tomonlarni xabardor qilish (agar ko’chirish mumkin bo’lsa).

18) Joriy etishning yo’l xaritasi

1. PD tizimlari va oqimlarini xatlovdan o’tkazish; RoPAni shakllantirish.
2. DPOni tayinlash, siyosatchilar va RACIni tasdiqlash.
3. DPIA/DTIA kontur va konsens-menejmentni ishga tushirish.
4. Maʼlumot zonalarini ajratish, shifrlash, DLP, loglar va WORM arxivi.
5. Retenshn-payplayn va olib tashlash/anonimlashtirish.
6. Vendor-revyu, DPA, subprotsessorlar reyestri.
7. Profillash: reason codes, apellyatsiya, explainability.
8. Muntazam metrika, Board hisoboti, tashqi/ichki audit sessiyalari.

Jami

GDPR - bu nafaqat veb-saytdagi siyosat, balki PDning hayot siklini boshqarish tizimi: to’g’ri asoslar, minimallashtirish va standart xavfsizlik, DPIA/DTIA, subyektlar huquqlarini hurmat qilish, nazorat ostidagi vendorlar va o’lchanadigan metriklar. Arxitektura va jarayonlarga maxfiylikni o’rnatish orqali siz litsenziyalarni, hamkorlikni va o’yinchilarning ishonchini saqlab qolasiz - mahsulot tezligi va konversiyaga zarar etkazmasdan.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.