Как начать выстраивать систему защиты персональных данных в компании-разработчике мобильных игр?
С помощью аудита определили недостатки в процессах по защите персональных данных, дополнили список необходимыми мероприятиями в отношении детской возрастной категории и предусмотрели в политике приватности особенности привлечения пользователей в приложения с помощью размещения на различных маркетплейсах.
Задача
Минимизировать возможные ошибки в обработке персональных данных пользователей приложений, размещенных на маркетплейсах.
Решение
С помощью аудита определили недостатки в процессах по защите персональных данных, дополнили список необходимыми мероприятиями в отношении детской возрастной категории и предусмотрели в политике приватности особенности привлечения пользователей в приложения с помощью размещения на различных маркетплейсах.
Результат
Внедрена комплексная система процессов по защите персональных данных.
Компания
Компания-разработчик мобильных игр, аудитория которых составляет 7 млн пользователей.
Масштаб бизнеса
51-200 человек
Фишка
Большая часть аудитории — дети, грамотная обработка данных которых — задача не из простых.
Мнение основателя Data Privacy Office
Построение системы защиты персональных данных в гейминговой компании может показаться достаточно затруднительным. К такому заблуждению приводят факторы, которые отличают эту индустрию от других. Во-первых, разработчики анализируют огромные объемы данных об использовании приложения, чтобы улучшать его в будущем. Во-вторых, для сбора такой информации привлекаются сторонние приложения — процессоры, не все из которых имеют прозрачную документацию, что может препятствовать полному отражению ситуации по обработке данных в политике. Кроме того, количество данных увеличивается за счет общего числа субъектов данных. Например, на момент нашего сотрудничества с клиентом, аудитория его разработанных продуктов составляла 7 млн пользователей. Также, дополнительные обязательства вытекают из обработки данных детей. Однако, эти сложности преодолимы, если грамотно выстроить систему защиты данных в компании, корректно определить, какие мероприятия по GDPR необходимо выполнить по каждой обработке.
Этапы работы:
Шаг 1.
Проведение аудита
Шаг 2.
User Journey
Шаг 3.
Заполнение Реестра обработок персональных данных
Шаг 4.
Составление политики приватности
Шаг 5.
Реализация Action Plan
Шаг 6.
Оформление трансграничной передачи
Шаг 7.
Составление Data Processing Agreement
Шаг 8.
Куки-баннер
Шаг 9.
Cookie Policy
Шаг 10.
Построение процесса ответов на запросы субъектов данных
Аудит, User Journey и RoPA
Работу с нашими клиентами по выстраиванию системы защиты персональных данных мы всегда начинаем с инвентаризации процессов. Такой аудит помогает нам определить исходную точку, на основе которой будет выстраиваться работа в дальнейшем. В случае, если к нам обращаются компании-разработчики tech applications, мы также проводим User Journey — мини-аудит, где консультант анализирует функционал приложения со стороны пользователя.
В компании нашего клиента уже была хорошо налажена система по информационной безопасности. С нами поделились схемами движения данных и списком их получателей, что значительно ускорило процесс работы. На основе проведенных аудитов, мы дополнили схему и приступили к заполнению Реестра обработок персональных данных, включив в него новые обработки, правовые основания для каждой из них, не забыли об обязательных требованиях по GDPR и о рекомендациях по прозрачности и минимизации данных. По итогу данной работы, Реестр отражал состояние защиты данных на момент его заполнения.
Результат
В результате аудита, мы увидели пробелы и составили список рекомендаций (action plan) для достижения соответствия GDPR. Совместно с клиентом мы выбрали приоритетные мероприятия и начали работу по их выполнению.
Лайфхак
Как оформить политику приватности, если вы размещаете свое приложение на разных маркетплейсах
Приоритетной задачей в нашем action plan-е стало составление политики приватности. Основой которой стал обновленный Реестр, но, принимая во внимание тот факт, что доминирующая часть аудитории клиента — дети, мы сделали акцент на упрощении формулировок.
Так как компания публикует свои игровые приложение на мировых маркетплейсах, обработки и категории данных немного отличаются. Для удобства пользователей в политике мы составили несколько разделов по категориям субъектов данных, чтобы была возможность сразу перейти к нужному разделу.
GDPR vs. дети
Защита персональных данных детей — всегда задачка со звездочкой, потому что, согласно GDPR, дети — уязвимая группа. Подробнее об этом можно прочитать здесь. Именно поэтому мы составили отдельный список мероприятий, которые необходимы для выполнения требований по обработке данных детей.
Рекомендация 1.
Спрашивать возраст пользователя при входе в приложение, чтобы потом отличить детей от взрослых. Это необходимо для того, чтобы не показывать ребенку таргетированную рекламу, так как GDPR это запрещает, а также запрашивать согласие родителя, где это необходимо.
Рекомендация 2.
Мы рекомендовали упростить интерфейс самого приложения в детских аккаунтах, пересмотреть сроки хранения данных и подумать над анонимизаций, где это применимо.
Оформление договорных отношений
Офисы компании находятся в разных странах: в Европейском Союзе и за его пределами. Компания также привлекает разработчиков в Европе, которые имеют доступ к персональным данным. То есть, необходимо было оформление трансграничной передачи и составление Data Processing Agreement. Мы заполнили второй модуль SCC, утвержденных Еврокомиссией. В приложении подробно описали все обработки и категории персональных данных, чтобы документ в то же время являлся инструкцией контролера процессору. С разработчиками было принято решение не заключать отдельное соглашение, а включить положения по ст. 28 GDPR в более широкий договор.
Ваш сайт как лицо бренда
Основой всех работ по сайту стало соответствие GDPR и ePrivacy Directive. Наш консультант подготовила техническое задание с подробным описанием, как должен выглядеть куки-баннер, какие должны быть опции у пользователей, а также что должна включать Cookie Policy с учетом требований ePrivacy Directive.
Внутренние процессы в компании как финальный этап
Мы начали с самого приоритетного — процесса ответов на запросы субъектов данных. У компании уже был описан процесс, по которому мы составили список рекомендаций к изменению. Например, какие данные разумно запрашивать на стадии идентификации субъекта данных, в какие сроки отвечать на запросы, в каких случаях, сроки могут быть продлены.
Какой результат?
- Заполнен Реестр обработок персональных данных (RoPA) в системе Notion, который будет далее поддерживаться сотрудниками компании.
- Разработана политика приватности для всех маркетплейсов и сайта компании.
- Готов список требований к куки-баннеру и политике по обработке файлов кукис.
- Оформлены отношения с компанией-процессором вне ЕС.
- Оформлены отношения с подрядчиками в ЕС.
- Подготовлен список рекомендаций по обработке данных детей.
- Имплементирован процесс ответов на запросы субъектов данных.
И в итоге...
Компания может продолжать размещать игры на различных маркетплейсах и не бояться возможных ошибок в обработке персональных данных пользователей различных возрастов.
Хотите получить кастомизированное решение для вашего бизнеса?
- Внедрение GDPR
- Обучение GDPR
- Выстраивание системы защиты персональных данных
- Минимальный комплаенс для выхода на новые рынки
- Индивидуальные решения по вашим запросам
Мы готовы приступить к вашему кейсу прямо сейчас! Оставьте заявку в форме, и наш менеджер обязательно свяжется с вами.