Как начать выстраивать систему защиты персональных данных в компании-разработчике мобильных игр?

С помощью аудита определили недостатки в процессах по защите персональных данных, дополнили список необходимыми мероприятиями в отношении детской возрастной категории и предусмотрели в политике приватности особенности привлечения пользователей в приложения с помощью размещения на различных маркетплейсах.

Срок

1 месяц

Компания

Компания-разработчик мобильных игр, аудитория которых составляет 7 млн пользователей.

Размер бизнеса

51 — 200 человек

Фишка

Большая часть аудитории — дети, грамотная обработка данных которых — задача не из простых.

Задача

Минимизировать возможные ошибки в обработке персональных данных пользователей приложений, размещенных на маркетплейсах.

Результат

Внедрена комплексная система процессов по защите персональных данных.

С помощью аудита определили недостатки в процессах по защите персональных данных и предусмотрели в политике приватности особенности привлечения пользователей в приложения.

Тренер и ведущий консультант.

Основатель Data Privacy Office в Германии, ОАЭ, Беларуси и США. Консультирует по европейскому GDPR и эмиратскому PDPL. Автор курсов по защите персональных данных GDPR DPP, Global DPM и UAE DPP. Удостоен почетного звания FIP международной ассоциации IAPP. Главный редактор GDPR-Text.com - справочника по Общему регламенту защиты данных.
Читать подробнее
Сергей Воронкевич

CIPP/E, CIPM, CIPT, MBA, FIP

Мнение основателя Data Privacy Office

Построение системы защиты персональных данных в гейминговой компании может показаться достаточно затруднительным. К такому заблуждению приводят факторы, которые отличают эту индустрию от других. Во-первых, разработчики анализируют огромные объемы данных об использовании приложения, чтобы улучшать его в будущем. Во-вторых, для сбора такой информации привлекаются сторонние приложения — процессоры, не все из которых имеют прозрачную документацию, что может препятствовать полному отражению ситуации по обработке данных в политике. Кроме того, количество данных увеличивается за счет общего числа субъектов данных. Например, на момент нашего сотрудничества с клиентом, аудитория его разработанных продуктов составляла 7 млн пользователей. Также, дополнительные обязательства вытекают из обработки данных детей. Однако, эти сложности преодолимы, если грамотно выстроить систему защиты данных в компании, корректно определить, какие мероприятия по GDPR необходимо выполнить по каждой обработке.

Этапы работы:

01

Проведение аудита

02

User Journey

03

Заполнение Реестра обработок персональных данных

04

Составление политики приватности

05

Правовые основания обработки.

06

Оформление трансграничной передачи

07

Составление Data Processing Agreement

08

Куки-баннер

09

Cookie Policy

10

Построение процесса ответов на запросы субъектов данных

Аудит, User Journey и RoPA

Работу с нашими клиентами по выстраиванию системы защиты персональных данных мы всегда начинаем с инвентаризации процессов. Такой аудит помогает нам определить исходную точку, на основе которой будет выстраиваться работа в дальнейшем. В случае, если к нам обращаются компании-разработчики tech applications, мы также проводим User Journey — мини-аудит, где консультант анализирует функционал приложения со стороны пользователя

В компании нашего клиента уже была хорошо налажена система по информационной безопасности. С нами поделились схемами движения данных и списком их получателей, что значительно ускорило процесс работы. На основе проведенных аудитов, мы дополнили схему и приступили к заполнению Реестра обработок персональных данных, включив в него новые обработки, правовые основания для каждой из них, не забыли об обязательных требованиях по GDPR и о рекомендациях по прозрачности и минимизации данных. По итогу данной работы, Реестр отражал состояние защиты данных на момент его заполнения.

Результат

В результате аудита, мы увидели пробелы и составили список рекомендаций (action plan) для достижения соответствия GDPR. Совместно с клиентом мы выбрали приоритетные мероприятия и начали работу по их выполнению.

gdpr-compliance

Лайфхак

Приоритетной задачей в нашем action plan-е стало составление политики приватности. Основой которой стал обновленный Реестр, но, принимая во внимание тот факт, что доминирующая часть аудитории клиента — дети, мы сделали акцент на упрощении формулировок. 

Так как компания публикует свои игровые приложение на мировых маркетплейсах, обработки и категории данных немного отличаются. Для удобства пользователей в политике мы составили несколько разделов по категориям субъектов данных, чтобы была возможность сразу перейти к нужному разделу.

GDPR vs дети

Защита персональных данных детей — всегда задачка со звездочкой, потому что, согласно GDPR, дети — уязвимая группа. Подробнее об этом можно прочитать здесь. Именно поэтому мы составили отдельный список мероприятий, которые необходимы для выполнения требований по обработке данных детей. 

Рекомендация 1

Спрашивать возраст пользователя при входе в приложение, чтобы потом отличить детей от взрослых. Это необходимо для того, чтобы не показывать ребенку таргетированную рекламу, так как GDPR это запрещает, а также запрашивать согласие родителя, где это необходимо. 

Рекомендация 2

Мы рекомендовали упростить интерфейс самого приложения в детских аккаунтах, пересмотреть сроки хранения данных и подумать над анонимизаций, где это применимо.

Оформление договорных отношений

Офисы компании находятся в разных странах: в Европейском Союзе и за его пределами. Компания также привлекает разработчиков в Европе, которые имеют доступ к персональным данным. То есть, необходимо было оформление трансграничной передачи и составление Data Processing Agreement. Мы заполнили второй модуль SCC, утвержденных Еврокомиссией. В приложении подробно описали все обработки и категории персональных данных, чтобы документ в то же время являлся инструкцией контролера процессору. С разработчиками было принято решение не заключать отдельное соглашение, а включить положения по ст. 28 GDPR в более широкий договор.

Ваш сайт как лицо бренда

Основой всех работ по сайту стало соответствие GDPR и ePrivacy Directive. Наш консультант подготовила техническое задание с подробным описанием, как должен выглядеть куки-баннер, какие должны быть опции у пользователей, а также что должна включать Cookie Policy с учетом требований ePrivacy Directive.

Внутренние процессы в компании как финальный этап

Мы начали с самого приоритетного — процесса ответов на запросы субъектов данных. У компании уже был описан процесс, по которому мы составили список рекомендаций к изменению. Например, какие данные разумно запрашивать на стадии идентификации субъекта данных, в какие сроки отвечать на запросы, в каких случаях, сроки могут быть продлены.

Какой результат?

И в итоге...

Компания может продолжать размещать игры на различных маркетплейсах и не бояться возможных ошибок в обработке персональных данных пользователей различных возрастов.

data-protection-officer-training

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.