GH GambleHub

GDPR doirasidagi rollar

1) Bazaviy ta’riflar va prinsiplar

Controller (Nazoratchi): shaxsga doir ma’lumotlarga (PD) ishlov berish maqsadlari va usullarini mustaqil belgilaydi. Qonuniylik, shaffoflik, subʼektlarning huquqlari, security-TOMs, protsessorlarni tanlash va nazorat qilish uchun asosiy javobgardir.
Processor (Protsessor): PDni faqat nazorat qiluvchining hujjatlashtirilgan ko’rsatmalari bo’yicha qayta ishlaydi, TOMs ta’minlaydi, sub’ektlar huquqlari va hodisalar bilan yordam beradi, yozuvlarni yuritadi va auditlarga ruxsat beradi.
Joint Controllers: ikki + shaxs maqsadlar va usullarni birgalikda belgilaydi; subyektlar uchun majburiyatlar va aloqa nuqtasi shaffof taqsimlanishi talab etiladi.
Sub-Processor (Subprosessor): protsessor tomonidan jalb qilingan yetkazib beruvchi; faqat nazoratchining oldindan yozma ruxsatnomasi va ekvivalent majburiyatlar bilan ruxsat etiladi.

Oltin qoida: kim nima uchun va qanday ishlov berishni hal qilsa, u nazoratchidir; kim faqat «yo’riqnoma bo’yicha bajaradi» - protsessor.

2) Amaliyotdagi rolini qanday aniqlash (yechimlar daraxti)

1. Qayta ishlashning biznes maqsadlarini kim belgilaydi?

→ Siz? Ko’proq nazoratchi.

2. Maʼlumotlarni oʻz maqsadlaringiz uchun qayta ishlata olasizmi (tahlil, marketing)?

→ Ha → nazoratchi (yoki maqsadlar umumiy bo’lsa, qo’shma nazoratchi).

3. Boshqa tomon sizga aniq vositalar/cheklovlarni koʻrsatadimi, maqsadlaringiz esa hosiladimi?

→ Ha → protsessor.

4. Har ikki tomon maqsadlarini belgilaydigan umumiy mahsulot/qo’shma platforma bormi?

→ Ha → joint controllers (art. 26 arrangement).

5. Vazifangiz boʻyicha bulutni/sotuvchini jalb qilyapsizmi?

→ Vendor - subprotsessor; siz - nazoratchi; asosiy protsessoringiz unga ruxsatingizni olishi shart.

3) iGaming ekotizimidagi rollar - misollar matritsasi

O’zaro hamkorlikNamunaviy rollarLexUZ sharhi
iGaming operatoriNazoratchi Ma’lumotlar subyektiOperator maqsadlarni belgilaydi (akkaunt, stavkalar, RG, AML)
KTS/sanksiyalar provayderi operatoriNazorat qiluvchi ProtsessorDPA + ko’rsatmalar, ma’lumotlardan qayta foydalanishni taqiqlash
PSP/Bank operatoriKoʻproq Alohida nazoratchilarPSP o’z tartibga solish maqsadlariga va saqlashga ega
Antifrod-platforma operatoriOdatda protsessorAgar xizmat o’z maqsadlari uchun yig’ilgan insaytlarni «bo’lishsa» - qo’shma nazoratchi yoki alohida nazoratchi bo’lishi mumkin
Xost/bulut/CDN operatoriProtsessor/SubprosessorKuchli xavfsizlik va kirish loglari; hududiylik
Analitik/marketing-SDK operatoriMiks: Protsessor yoki individual nazoratchiProvayder PD’dan o’z maqsadlari uchun foydalanishi mumkinligiga bog’liq
Affiliat operatoriKoʻpincha Alohida boshqaruvchilarLid/kliklarga affiliatning maqsadlari bo’yicha ishlov beriladi; PD - DPA/shartnoma + minimallashtirish
Protsessor SubprosessorProtsessor SubprosessorDaraja jihatidan teng majburiyatlar va nazoratchining ruxsatnomasi kerak
Hamkor bilan qoʻshma promo-aksiyaJoint ControllersSan’at kerak. Vazifalarni taqsimlagan holda 26 agreement

4) Rollar bo’yicha majburiyatlar (yuqori darajadagi RACI)

AktivlikNazoratchiProtsessorQoʻshma boshqaruvchilar
Huquqiy asoslar (lawful bases), xabarnomaA/RCA/R (so’m)
DSARni qayta ishlash (kirish, oʻchirish va boshqalar)A/RR (yordam)A/R (taqsimot bo’yicha)
DPIA/DTIAA/RC/R (yordam)A/R (so’m)
Hodisalar/oqishlar (DPA/foydalanuvchilar xabarnomalari)A/RR (nazoratchini xabardor qilish, yordam berish)A/R (so’m)
Protsessorlar/subprotsessorlarni tanlash va auditA/RR (reyestr yuritish, xabardor qilish)A/R (har biri o’z zonasida)
Transchegaraviy uzatmalar (SCCs/IDTA)A/RR (bajarish)A/R (so’m)
Retenshn/oʻchirishA/RR (ko’rsatmalarni bajarish)A/R (so’m)

5) Hujjatlar va bitimlar

DPA (Data Processing Agreement): sxema uchun majburiydir → protsessor.
Minimal: predmet/PD toifalari, maqsadlar/yo’riqnomalar, TOMs, maxfiylik, DSAR/DPIA bilan yordam, hodisalar to’g "risidagi xabarnomalar, ma’lumotlarni o’chirish/qaytarish, audit, subprotsessorlar (rozilik ro’yxati/mexanizmi).
Art. 26 Arrangement (Joint Controllers): vazifalarni shaffof taqsimlash (xabardor qilish, DSAR, aloqa nuqtasi), davlat siyosatidagi rollarning mohiyati.
SCCs/UK IDTA + DTIA: EEA/UK tashqarisida adekvat bo’lmaganda o’tkazishda majburiydir.
RoPA: nazoratchi va protsessorda qayta ishlash operatsiyalari reyestri (o’z to’plami).
Marketing/SDK shartlari: ikkilamchi foydalanishni taqiqlash, aniq rollar va maqsadlar.

6) Tanqidiy zonalar va namunaviy xatolar

1. Rollarni aralashtirish: «protsessor» ma’lumotlardan o’z maqsadlari uchun foydalanadi → aslida bu nazoratchi/qo’shma nazoratchi.
2. Subproessorlar ruxsatsiz: protsessor siz roziligisiz yetkazib beruvchini qoʻshadi.
3. «Boʻsh» DPA: retention/oʻchirish/hodisalar/audit boʻyicha aniq koʻrsatmalar yoʻq.
4. Shaffof boʻlmagan qoʻshma nazorat: art yoʻq. 26 - shikoyatlar va jarima tavakkalchiliklari.
5. Marketing SDK: provayderlar o’zlari uchun PDni tortishadi - siz oshkor qilish va qonuniylik uchun javobgarsiz.
6. PSP/Banklar: ularni protsessor deb hisoblash xatodir; ko’pincha bu alohida nazoratchilar.

7) DPA mini-shablon (formulalar parchalari)

Qayta ishlashning maqsadi va xususiyati: «Protsessor PDni faqat Nazoratchining ko’rsatmasi bo’yicha KYC-verifikatsiyasi uchun qayta ishlaydi».
Yo’riqnomalar: «Maqsadlarning har qanday o’zgarishi Nazoratchining yozma roziligini talab qiladi».
Subprotsessorlar: "Protsessor subprotsessorlarni oldindan yozma ruxsatsiz jalb etmaydi; dolzarb reyestrni yuritadi va e’lon qiladi".
Xavfsizlik: «Protsessor A ilovada tavsiflanganidan kam bo’lmagan TOMs (shifrlash, taxalluslashtirish, kirish nazorati, jurnallashtirish) ni qo’llab-quvvatlaydi».
Hodisalar: «Protsessor asossiz kechiktirmasdan Nazoratchini xabardor qiladi va regulyator va subyektlarning xabarnomalari uchun barcha ma’lumotlarni taqdim etadi».
Olib tashlash/qaytarish: «Xizmat tugagach, protsessor PDni olib tashlaydi/qaytaradi va jadvalga muvofiq bekaplardagi nusxalarni olib tashlaydi».
Audit: «Nazoratchi audit/so’rovnoma/tashqi hisobotlarni (SOC2/ISO) oqilona xabardor qilgan holda o’tkazishga haqli».

8) DPIA/DTIA va transchegaralik

DPIA: nazoratchi ishga tushiradi; protsessor tizimlar, xavflar, TOMs haqida ma’lumot beradi.
DTIA: SCCs/IDTAda - oluvchining huquqni qo’llash muhitini baholash, qo’shimcha chora-tadbirlar (E2EE, mijoz kalitlari, kvazianonimlashtirish, kalitlarni EC/UKda saqlash).

9) Taqsimlangan rollarda subyektlar huquqlari bilan ishlash (DSAR)

Nazoratchi: so’rovni qabul qiladi, shaxsini tekshiradi, yig’imni muvofiqlashtiradi, o’z vaqtida javob beradi (odatda 30 kundan ≤).
Protsessor: ko’rsatma bo’yicha yuklarni tezkorlik bilan taqdim etadi/olib tashlaydi, subyektga to’g «ridan to’g» ri javob bermaydi (agar boshqacha tartib belgilanmagan bo’lsa).
Qoʻshma nazoratchilar: kelishuvda «aloqa nuqtasi» va javob uchun maʼlumotlar almashinuvi koʻrsatiladi.

10) Xavfsizlik va hodisalar: kim nima qiladi

Nazoratchi: hodisalar siyosati, DPA/foydalanuvchi xabarnomalari rejasi, CAPA boshqaruvi.
Protsessor: nazoratchini darhol xabardor qilish, texnik forenzika, containment, jurnallar, bildirishnomalar bilan yordam berish.
Qo’shma nazoratchilar: kelishilgan bildirishnomalar matritsasi; yagona kommunikatsiya liniyasi.

11) Retenshn, o’chirish, test ma’lumotlari

Nazoratchi: maqsadlar/qonunlar (AML, buxgalteriya hisobi) bo’yicha saqlash muddatlarini belgilaydi, siyosatda e’lon qiladi.
Protsessor: jadval bo’yicha olib tashlash/anonimlashtirishni amalga oshiradi, alohida - bekaplarni tozalash; sinov muhitida PDdan niqobsiz/sintetikasiz foydalanishni taqiqlash.

12) Operatsion integratsiya (amaliyot)

CAB/Change: har qanday rollar/subprosessorlar/hududlar o’zgarishi - CAB va DPA/SCCs tahrirlari orqali.
Data Map & RoPA: jonli oqim xaritasi; nazoratchida - maqsadlar va oluvchilar, protsessorda - toifalar va operatsiyalar.
Vendor-menejment: onbording oldidan due diligence (ISO/SOC2, pentest, hodisalar siyosati, ma’lumotlar geografiyasi).
Auditlar: chek varaqalari, so’rovnomalar, PII ga kirish uchun tanlov jurnallari, olib tashlash mantig’i.

13) «Rolni belgilaymiz» chek-varaqasi

  • Qayta ishlashning maqsadlari va asosiy parametrlarini kim belgilaydi?
  • PD’dan maqsadingiz uchun qayta foydalanish mumkinmi?
  • Ikkinchi tomonning mustaqil huquqiy asoslari bormi?
  • Subyekt oldida kim javobgar (DSAR)?
  • DPA (art. 28) yoki arrangement (art. 26)?
  • Subprosessorlar va kelishuv mexanizmi bormi?
  • Transchegaraviy uzatmalar va qanday mexanizm (SCCs/IDTA) bo’ladi?

14) Tez-tez beriladigan savollar (SSS)

PSP - protsessor yoki boshqaruvchi?
Odatda alohida nazoratchi: o’z maqsadlari (to’lov xizmati, firibgarlikning oldini olish, normativ hisobot).

KYC provayderi modellarni oʻqish uchun fotosuratlarni saqlay oladimi?
Faqat nazoratchi maqomida (alohida asos va oshkor etish bilan) yoki sizning aniq roziligingiz va to’g "ri huquqiy asosingiz bilan. Aks holda - taqiqlangan.

O’yinchini olib kelgan affiliat protsessormi?
Ko’pincha alohida nazoratchi: u o’z maqsadlari uchun PD yig’adi. Qoʻshma kampaniyalar rollarni aniq taqsimlashni taqozo etadi.

Bulutni kodlash serveri - kimning ma’lumotlari?
Loglarni qayta ishlash - xavfsizlikni ta’minlash uchun protsessorning majburiyati; o’z maqsadlari uchun qayta foydalanish alohida asosni talab qiladi (aks holda mumkin emas).

15) Rollarning mini-siyosati (ichki standart uchun parcha)

1. Andoza ravishda operator barcha PD oʻyinchilar/hamkorlar oqimlari boʻyicha boshqaruvchi vazifasini bajaradi.
2. PDga ulangan har qanday vendor - protsessor (DPA) yoki alohida nazoratchi sifatida (o’z maqsadlarida) rasmiylashtiriladi.
3. Subprotsessorni qo’shish yozma rozilikni va reyestrni yangilashni talab qiladi.
4. Rollar/hududlar/maqsadlarning har qanday o’zgarishi - CAB, DPO va Legal orqali.
5. DSAR va hodisalar - nazoratchi tomonidan muvofiqlashtiriladi, protsessorlar SLAda javob beradi.

16) Joriy etish yo’l xaritasi

1-2 haftalar: ma’lumotlar oqimi va rollarni xatlovdan o’tkazish; «kim kim kim» matritsasining loyihasini; RoPAni yangilash.
3-4 hafta: DPA, art. 26 (kerak bo’lganda), subprotsessorlar reyestri; audit so’rovnomalarini tayyorlash.
2-oy: DTIA/SCCs/IDTA, ommaviy siyosatni yangilash, jamoalarni o’qitish.
3 + oy: vendorlarning muntazam auditlari, DSAR testi, noxush hodisalar bo’yicha tabletop, mahsulot/marketing o’zgarishlarida rollarni taftish qilish.

17) «Rollar matritsasi» qisqa shablon (misol)

OqimOperator roliKontragent roliHujjatlarLexUZ sharhi
MSK/sanksiyalarNazoratchiProtsessorDPA + koʻrsatmalarQayta ishlatilmasdan
To’lovlar (PSP)Otd. nazoratchiOtd. nazoratchiShartnoma + Privacy NoticeAlohida javobgarlik
Xosting/bulutNazoratchiProtsessor/subprosessorDPA, SCCs/IDTAMaʼlumotlar geografiyasi
Marketing-SDKNazoratchiProtsessor yoki otd. nazoratchiDPA / Joint/ToSQayta foydalanishni tekshirish
AnalitikaNazoratchiProtsessorDPA, maqsadlarni cheklashTaxalluslashtirish

TL; DR

Rolni ishlov berish maqsadlari va usullari orqali aniqlaymiz: «nima uchun/qanday» - nazoratchi; ko’rsatma bo’yicha bajarasiz - protsessor; joint controllers. Buni DPA/art bilan rasmiylashtiramiz. 26, RoPA yuritamiz, subprotsessorlarni nazorat qilamiz, DPIA/DTIA, sub’ektlarning huquqlari va xavfsizligini ta’minlaymiz. Aniq rol matritsasi = kamroq tartibga solish xavfi, kamroq bahsli zonalar va tezroq audit.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.