GH GambleHub

Maxfiylik va GDPR siyosati

1) Vazifasi va amal qilish sohasi

Maqsad: operator ishtirokidagi barcha yurisdiksiyalarda oʻyinchilar, sheriklar va xodimlarning shaxsiy maʼlumotlariga (PII) qonuniy, shaffof va xavfsiz ishlov berilishini taʼminlash.
Qamrov: veb/mobil ilovalar, CRM/BI/DWH, antifrod/AML/KYC, PSP/KSK/sanksiyalar provayderlari, sapport, marketing, affiliatlar, live-studiyalar, hosting va loging.

2) Rollar va javobgarlik (RACI)

Data Protection Officer (DPO) - A: muvofiqlik nazorati, RoPA, DPIA/DTIA, regulyatorlarga javoblar.
Head of Compliance - A: siyosat, tavakkalchilik-ishtaha, eskalatsiya va hisobot.
Legal - C: huquqiy asoslar, DPA/SCCs shartnomalari, bannerlar va bildirishnomalar matnlari.
Security/SRE - R: texnik va tashkiliy chora-tadbirlar (TOMs), kirish jurnali, hodisalar.
Data/BI - R: maʼlumotlar katalogi, minimallashtirish, yashirish/taxalluslashtirish.
Marketing/CRM - R: roziliklar, afzalliklar, javoblar, kukilar.
Product/Engineering - R: Privacy by Design/Default, saqlash va olib tashlash.
Support/VIP - R: subʼektlarning soʻrovlari (DSAR), shaxsni tekshirish.

3) Qayta ishlashning huquqiy asoslari (Lawful Bases)

Consent (Rozilik) - marketing, tahliliy/reklama cookie-lari, majburiy bo’lmagan shaxsiylashtirish.
Contract (Shartnoma) - stavkalar/xulosalarni ro’yxatdan o’tkazish, qayta ishlash, sapport.
Legal Obligation - KYC/AML/sanksiyalar, buxgalteriya va hisobot.
Legitimate Interests - antifrod, xavfsizlik, mahsulotni yaxshilash (manfaatlarni muvozanatlash testi bilan - LIA).
Vital/Public Interest - agar qo’llash mumkin bo’lsa va qonun bilan ruxsat etilgan bo’lsa, kamdan-kam uchraydigan RG/xavfsizlik holatlari.

4) Ma’lumotlar subyektlarining huquqlari (DSR/DSAR)

Kirish (Art. 15), Tuzatish (Art. 16), Olib tashlash (Art. 17), Cheklash (Art. 18), Chidamlilik (Art. 20), E’tiroz (Art. 21), faqat avtomatlashtirilgan hal qiluv qarorining obyekti bo’lmaslik (Art. 22).
DSARni qayta ishlash SLA: tasdiqlash ≤ 7 kun, bajarish ≤ 30 kun (yana 60 kunga uzaytirish, agar subyektni xabardor qilish qiyin bo’lsa).
Verifikatsiya: ko’p faktorli; ochiq kanallar orqali sezgir ma’lumotlarni oshkor qilishni taqiqlash.
Logi: so’rovni, shaxsini tekshirishni, berilgan ma’lumotlar paketini va javob muddatini saqlash.

5) Qayta ishlash operatsiyalari reyestri (RoPA)

Minimal maydonlar: maqsad, subyektlar/ma’lumotlar toifalari, huquqiy asos, saqlash muddatlari, oluvchilar/uchinchi mamlakatlar, xavfsizlik choralari, ma’lumotlar manbai, avtomatlashtirilgan yechimlar/profillash, DPIA/DTIA, agar mavjud bo’lsa.

6) DPIA/DTIA: qachon va qanday

DPIA - yuqori xavf ostida: keng miqyosli profillash, yangi antifrod-modellar, geodanalarni qayta ishlash, RG-triggerlar, muntazam kuzatuv.
DTIA/TIA - EIZ/Buyuk Britaniyadan tashqarida transchegaraviy o’tkazmalarda: davlat organlarining mahalliy foydalanishini baholash, kontrakt/texnik chora-tadbirlar.
Jarayon: skrining → xavf-xatarlarni baholash → DPO/Legal muvofiqlashtirish → nazoratlarni joriy etish → farazlar jurnali.

7) Kukilar, piksellar, SDK va rozilik banneri

Kategoriyalar: qat’iy zarur, funksional, tahliliy, marketing.

Talablar:
  • Rozilik bo’lmaguncha, faqat qat’iy zarur narsalarni yuklaymiz.
  • Granulyar rozilik va alohida rad etish; vaqtning versiyalari va shtamplari jurnali.
  • IAB TCF bilan CMP (agar qo’llanilsa); maqsadlar/yetkazib beruvchilar o’zgarganda bannerni avto-yangilash.
  • Istalgan vaqtda oson javob/tanlashni oʻzgartirish.

8) Ishlov beruvchilar va subprotsessorlar

DPA har bir provayder bilan: predmeti, maqsadlari, ma’lumotlar toifalari, muddatlari, TOMs, subprotsessorlar, auditlar.
Subprotsessorlarning ommaviy reyestri (versiyaligi); o’zgarishlar to’g "risidagi bildirishnoma va e’tiroz bildirish huquqi.
Tekshiruvlar: due diligence (ISO/SOC2), test hodisalari, pentest-hisobotlar, offbording rejasi.

9) Transchegaraviy o’tkazmalar

SCCs/IDTA + DTIA; zarurat bo’lganda - qo’shimcha chora-tadbirlar: E2EE, mijozlarni shifrlash, kvazianonimlashtirish, Yevropa Ittifoqidagi kalitlar.
Huquqiy mexanizmni, mamlakat va oluvchilarni Siyosat/reyestrda qayd etamiz.

10) Saqlash va olib tashlash (Retention & Deletion)

Muddatlar matritsasi (misol):
KategoriyaMuddatAsos
Oʻyinchi hisobiYopilgandan keyin 5 yilgachaBir qator yurisdiksiyalardagi AML/buxgalteriya hisobi
KYC/AML hujjatlari5-10 yilLegal Obligation
PII kirish loglari1-3 yilLegitimate Interests/xavfsizlik
Marketing tadbirlari24 oyConsent/LI
Sapport yozuvlari24-36 oyContract/LI

Olib tashlash siyosati: DWH/saqlash joylarida avtomatik vazifalar (job); sikl bo’yicha zaxira nusxalardagi o’chirish; jurnallarda qayd etish. Tahlil uchun ID taxallusi.

11) Xavfsizlik (TOMs)

Texnik: At Rest/Transit shifrlash, tarmoqlarni segmentlash, huquqlarni minimallashtirish, KMS/kalitlarni rotatsiya qilish, DLP, EDR/IDS/WAF, SSO/MFA, maxfiy menejer, WORM jurnallash.
Tashkiliy: kirish siyosati, o’qitish, NDA, clean desk, vendorlarni tekshirish, hodisalarni boshqarish (SANS/NIST).
Privacy by Design/Default: change jarayonlarida baholash, minimal andoza maʼlumotlar toʻplami, PIIsiz test maʼlumotlari.

12) Oqish va noxush hodisalar to’g "risida bildirishnomalar

Baholash: fakt, hajm va tavakkalchilikni tasdiqlash.
Muddatlar (mo’ljallar): ma’lumotlar bo’yicha nazorat organiga - huquq/erkinliklar xavfi bo’lganda 72 soatgacha; foydalanuvchilarga - asossiz kechiktirmasdan.
Xabarnomaning mazmuni: hodisaning tavsifi, yozuvlarning toifalari va taxminiy soni, DPO aloqasi, oqibatlari, ko’rilgan choralar, subyektlarga tavsiyalar.
Logi: taymline, yechimlar, xat/javob namunalari, CAPA.

13) Marketing va kommunikatsiyalar

Tranzaksion (roziligisiz) va marketing (faqat roziligi bilan) xabarlarini ajratish.
Preferentsiyalarni boshqarish: sozlash markazi, mavzu/kanal obunalari, double-opt-in (talab qilinadigan joylarda).
Affiliatlar va treking: PII yig’ish/topshirishga shartnomaviy cheklovlar, identifikatorlarni asossiz va roziligisiz topshirishni taqiqlash.

14) Ommaviy Maxfiylik siyosati - tuzilma

1. Biz kimmiz va DPO aloqalari.
2. Qanday ma’lumotlarni to’playmiz (toifalar va manbalar bo’yicha).
3. Maqsad/huquqiy asoslar («maqsad → ma’lumotlar → asos → muddat» jadvali).
4. Cookies/SDK va rozilikni boshqarish.
5. Oluvchilar va transchegaraviy uzatmalar (mexanizmlar va chora-tadbirlar).
6. Subyektlarning huquqlari va ularni qanday amalga oshirish.
7. Maʼlumotlar xavfsizligi (yuqori darajali TOMs).
8. Saqlash muddatlari va mezonlari.
9. Avtomatlashtirilgan yechimlar/profillash va umumiy mantiq.
10. Siyosat o’zgarishi (versiya) va biz qanday xabardor qilamiz.
11. Shikoyatlar uchun aloqalar (agar talab qilinsa, yurisdiksiyalar bo’yicha DPA).

💡 Til - oddiy va tushunarli; jargondan va ortiqcha texnik tafsilotlardan qochish.

15) Formulalar namunalari va namunalari

15. 1 Maqsadlar/asoslar jadvali (parcha):

MaqsadMaʼlumotlarAsosMuddat
Ro’yxatdan o’tish va hisobIdentifikatsiya, aloqaShartnomaakkauntning umr ko’rish muddati + X
KYC/AMLHujjatlar, fotosuratlar, liveness, sanks-xitlarLegal Obligation5-10 yil
Antifrod/xavfsizlikDevice-ID, IP, xulq-atvorLegitimate Interests24 oy
MarketingEmail/Push/cookie-IDConsentchaqirib olingunga qadar

15. 2 Kukining banneri (minimal):

"Biz kukidan foydalanamiz. «Hamma narsani qabul qilish» tugmasini bosish orqali siz tahliliy va marketing kukilarini saqlashga rozi bo’lasiz. Tanlashni kategoriyalar boʻyicha oʻzgartirishingiz mumkin. "Majburiy bo’lmagan kukilarni rad etish" - faqat qat’iy zarur kukilardir"

15. 3 Profillash to’g "risidagi bo’lim (misol):

"Biz profillashdan firibgarlikning oldini olish va masʼuliyatli oʻyin (RG) uchun foydalanamiz. Bu xavfsizlik uchun zarur va qonuniy manfaatlarimizga mos keladi. Agar qonunda boshqacha tartib belgilanmagan bo’lsa, siz e’tiroz bildirishingiz mumkin (masalan, AML)"

16) Protsessual SOP

SOP-1: Siyosatni yangilash

Triggerlar: yangi maqsadlar/vendorlar/SDK/yurisdiksiyalar.
Qadamlar: inventarizatsiya → LIA/DPIA → matnni yangilash → lokalizatsiya → CMP-yangilash → foydalanuvchilar uchun aloqa → versiya/kirish sanasi.

SOP-2: DSAR

So’rov kanali → shaxsni tekshirish → ma’lumotlar hajmini baholash → paketni yig’ish (tizimdan eksport qilish) → yuridik audit → asosli ravishda berish/rad etish → jurnal.

SOP-3: Yangi subprosessor

Due diligence → DPA/SCCs → DTIA → hodisa testi → ommaviy reyestrga kiritish → foydalanuvchilarni xabardor qilish (agar talab qilinsa).

17) O’qitish va audit

Onbording + har yili hamma uchun maxfiylik bo’yicha o’qitish; Support/Marketing/Engineering uchun qo’shimcha treninglar.
Ichki audit yiliga bir marta: RoPA, saqlash muddatlariga muvofiqlik, DSARni tanlab tekshirish, SMR/kukilarni, test-buyurtmanomalarni, pentest/kirish loglarining forenzikasi.
KPI: o’qitilgan xodimlar%; SLA DSAR; taxallusini o’z ichiga olgan tizimlar ulushi; bajarilgan CAPA.

18) Mahalliylashtirish va multiyurisdiksiya

GDPR/UK GDPR bazaviy standart sifatida; kommunikatsiyalar va kukilar uchun ePrivacy/PECRni hisobga olish.
Lokal nuanslar (misol): bolaning ma’lumotlarini qayta ishlashga rozilik yoshi, KYC saqlash muddatlari, bildirishnoma shakllari, hujjat tiliga qo’yiladigan talablar.
Mamlakatlar bo’yicha tafovutlar matritsasini va qo’llaniladigan normalar/litsenziyalarga havolalarni yuritish.

19) Joriy etish yo’l xaritasi (misol)

1-2 haftalar: ma’lumotlar/tizimlarni xatlovdan o’tkazish, RoPA, oqim xaritasi, Siyosat loyihasi.
3-4 haftalar: yuqori xavfli jarayonlar uchun SMR/banner, subprotsessorlar reyestri, DPA/SCCs, DPIA.
2-oy: imtiyozlar markazini ishga tushirish, olib tashlash/anonimlashtirishni avtomatlashtirish, xodimlarni o’qitish.
3 + oy: davriy auditlar, DSAR testlari, mahalliylashtirish va reyestrlarni yangilash.

20) Tayyorgarlikning qisqacha chek-varaqasi

  • DPO tayinlandi, aloqalar e’lon qilindi
  • Aktual RoPA va maʼlumotlar oqimi xaritasi
  • Siyosat nashr etilgan, mahalliylashtirilgan, versiyasi bilan
  • Tasdiqlangan rozilik/rad etish loglari bilan CMP
  • DPA/SCCs va subprosessorlarning ommaviy reyestri
  • DPIA/DTIA xavfli jarayonlar uchun tugallangan
  • Retention-jobs va olib tashlash/anonimlashtirish tartib-taomillari
  • DSAR SOP va hodisalar, egalari o’qitilgan
  • Metrika/KPI va yillik maxfiylik auditi

TL; DR

Kuchli Siyosat = aniq maqsadlar va asoslar + inventarizatsiya va RoPA + rozilik/nazorat ostida cookie + xavfsiz transchegaraviy uzatmalar + subprotsessorlar reyestri + aniq saqlash muddatlari va olib tashlash + mashq DSAR/hodisalar. Bu yuridik va obro "-e’tiborni kamaytiradi hamda o’yinchilarning ishonchini mustahkamlaydi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.