Как начать выстраивать систему защиты персональных данных в компании-разработчике мобильных игр?

Задача

Минимизировать возможные ошибки в обработке персональных данных пользователей приложений, размещенных на маркетплейсах.

Решение

С помощью аудита определили недостатки в процессах по защите персональных данных, дополнили список необходимыми мероприятиями в отношении детской возрастной категории и предусмотрели в политике приватности особенности привлечения пользователей в приложения с помощью размещения на различных маркетплейсах.

Результат

Внедрена комплексная система процессов по защите персональных данных.

Компания

Компания-разработчик мобильных игр, аудитория которых составляет 7 млн пользователей.

Масштаб бизнеса

51-200 человек

Фишка

Большая часть аудитории дети, грамотная обработка данных которых задача не из простых.

Мнение основателя Data Privacy Office

Построение системы защиты персональных данных в гейминговой компании может показаться достаточно затруднительным. К такому заблуждению приводят факторы, которые отличают эту индустрию от других. Во-первых, разработчики анализируют огромные объемы данных об использовании приложения, чтобы улучшать его в будущем. Во-вторых, для сбора такой информации привлекаются сторонние приложения — процессоры, не все из которых имеют прозрачную документацию, что может препятствовать полному отражению ситуации по обработке данных в политике. Кроме того, количество данных увеличивается за счет общего числа субъектов данных. Например, на момент нашего сотрудничества с клиентом, аудитория его разработанных продуктов составляла 7 млн пользователей. Также, дополнительные обязательства вытекают из обработки данных детей. Однако, эти сложности преодолимы, если грамотно выстроить систему защиты данных в компании, корректно определить, какие мероприятия по GDPR необходимо выполнить по каждой обработке.

Сергей Воронкевич

Этапы работы:

1
Экспресс-аудит
2
User Journey
3
Заполнение Реестра обработок персональных данных
4
Составление политики приватности
5
Реализация Action Plan
6
Оформление трансграничной передачи
7
Составление Data Processing Agreement
8
Куки-баннер
9
Cookie Policy
10
Построение процесса ответов на запросы субъектов данных

Аудит, User Journey и RoPA

Работу с нашими клиентами по выстраиванию системы защиты персональных данных мы всегда начинаем с инвентаризации процессов. Такой аудит помогает нам определить исходную точку, на основе которой будет выстраиваться работа в дальнейшем. В случае, если к нам обращаются компании-разработчики tech applications, мы также проводим User Journey мини-аудит, где консультант анализирует функционал приложения со стороны пользователя

В компании нашего клиента уже была хорошо налажена система по информационной безопасности. С нами поделились схемами движения данных и списком их получателей, что значительно ускорило процесс работы. На основе проведенных аудитов, мы дополнили схему и приступили к заполнению Реестра обработок персональных данных, включив в него новые обработки, правовые основания для каждой из них, не забыли об обязательных требованиях по GDPR и о рекомендациях по прозрачности и минимизации данных. По итогу данной работы, Реестр отражал состояние защиты данных на момент его заполнения.

В результате аудита, мы увидели пробелы и составили список рекомендаций (action plan) для достижения соответствия GDPR. Совместно с клиентом мы выбрали приоритетные мероприятия и начали работу по их выполнению.

Лайфхак

Как оформить политику приватности, если вы размещаете свое приложение на разных маркетплейсах

Приоритетной задачей в нашем action plan-е стало составление политики приватности. Основой которой стал обновленный Реестр, но, принимая во внимание тот факт, что доминирующая часть аудитории клиента  дети, мы сделали акцент на упрощении формулировок. 

Так как компания публикует свои игровые приложение на мировых маркетплейсах, обработки и категории данных немного отличаются. Для удобства пользователей в политике мы составили несколько разделов по категориям субъектов данных, чтобы была возможность сразу перейти к нужному разделу.

dpo

GDPR vs. дети

Защита персональных данных детей всегда задачка со звездочкой, потому что, согласно GDPR, дети — уязвимая группа. Подробнее об этом можно прочитать здесь. Именно поэтому мы составили отдельный список мероприятий, которые необходимы для выполнения требований по обработке данных детей. 

Что мы предложили?

Во-первых, спрашивать возраст пользователя при входе в приложение, чтобы потом отличить детей от взрослых. Это необходимо для того, чтобы не показывать ребенку таргетированную рекламу, так как GDPR это запрещает, а также запрашивать согласие родителя, где это необходимо. 

Во-вторых, мы рекомендовали упростить интерфейс самого приложения в детских аккаунтах, пересмотреть сроки хранения данных и подумать над анонимизаций, где это применимо.

Оформление договорных отношений

Офисы компании находятся в разных странах: в Европейском Союзе и за его пределами. Компания также привлекает разработчиков в Европе, которые имеют доступ к персональным данным. То есть, необходимо было оформление трансграничной передачи и составление Data Processing Agreement. Мы заполнили второй модуль SCC, утвержденных Еврокомиссией. В приложении подробно описали все обработки и категории персональных данных, чтобы документ в то же время являлся инструкцией контролера процессору. С разработчиками было принято решение не заключать отдельное соглашение, а включить положения по ст. 28 GDPR в более широкий договор.

Ваш сайт как лицо бренда

Основой всех работ по сайту стало соответствие GDPR и ePrivacy Directive.  Наш консультант подготовила техническое задание с подробным описанием, как должен выглядеть куки-баннер, какие должны быть опции у пользователей, а также что должна включать Cookie Policy с учетом требований ePrivacy Directive.

Внутренние процессы в компании как финальный этап

Мы начали с самого приоритетного — процесса ответов на запросы субъектов данных. У компании уже был описан процесс, по которому мы составили список рекомендаций к изменению. Например, какие данные разумно запрашивать на стадии идентификации субъекта данных, в какие сроки отвечать на запросы, в каких случаях, сроки могут быть продлены.

Какой результат?

Заполнен Реестр обработок персональных данных (RoPA) в системе Notion, который будет далее поддерживаться сотрудниками компании.

Разработана политика приватности для всех маркетплейсов и сайта компании.

Готов список требований к куки-баннеру и политике по обработке файлов кукис.

Оформлены отношения с компанией-процессором вне ЕС.

Оформлены отношения с подрядчиками в ЕС.

Подготовлен список рекомендаций по обработке данных детей.

Имплементирован процесс ответов на запросы субъектов данных.

Главное, компания может продолжать размещать игры на различных маркетплейсах и не бояться возможных ошибок в обработке персональных данных пользователей различных возрастов.

Мы готовы приступить к вашему кейсу прямо сейчас! Оставьте заявку в форме, и наш менеджер обязательно свяжется с вами.

Хотите получить кастомизированное решение для вашего бизнеса?