Как начать выстраивать систему защиты персональных данных в компании-разработчике мобильных игр?
С помощью аудита определили недостатки в процессах по защите персональных данных, дополнили список необходимыми мероприятиями в отношении детской возрастной категории и предусмотрели в политике приватности особенности привлечения пользователей в приложения с помощью размещения на различных маркетплейсах.
Срок
1 месяц
Компания
Компания-разработчик мобильных игр, аудитория которых составляет 7 млн пользователей.
Размер бизнеса
51 — 200 человек
Фишка
Большая часть аудитории — дети, грамотная обработка данных которых — задача не из простых.
Задача
Минимизировать возможные ошибки в обработке персональных данных пользователей приложений, размещенных на маркетплейсах.
Результат
Внедрена комплексная система процессов по защите персональных данных.
С помощью аудита определили недостатки в процессах по защите персональных данных и предусмотрели в политике приватности особенности привлечения пользователей в приложения.
Мнение основателя Data Privacy Office
Построение системы защиты персональных данных в гейминговой компании может показаться достаточно затруднительным. К такому заблуждению приводят факторы, которые отличают эту индустрию от других. Во-первых, разработчики анализируют огромные объемы данных об использовании приложения, чтобы улучшать его в будущем. Во-вторых, для сбора такой информации привлекаются сторонние приложения — процессоры, не все из которых имеют прозрачную документацию, что может препятствовать полному отражению ситуации по обработке данных в политике. Кроме того, количество данных увеличивается за счет общего числа субъектов данных. Например, на момент нашего сотрудничества с клиентом, аудитория его разработанных продуктов составляла 7 млн пользователей. Также, дополнительные обязательства вытекают из обработки данных детей. Однако, эти сложности преодолимы, если грамотно выстроить систему защиты данных в компании, корректно определить, какие мероприятия по GDPR необходимо выполнить по каждой обработке.
Этапы работы:
01
Проведение аудита
02
User Journey
03
Заполнение Реестра обработок персональных данных
04
Составление политики приватности
05
Правовые основания обработки.
06
Оформление трансграничной передачи
07
Составление Data Processing Agreement
08
Куки-баннер
09
Cookie Policy
10
Построение процесса ответов на запросы субъектов данных
Аудит, User Journey и RoPA
Работу с нашими клиентами по выстраиванию системы защиты персональных данных мы всегда начинаем с инвентаризации процессов. Такой аудит помогает нам определить исходную точку, на основе которой будет выстраиваться работа в дальнейшем. В случае, если к нам обращаются компании-разработчики tech applications, мы также проводим User Journey — мини-аудит, где консультант анализирует функционал приложения со стороны пользователя.
В компании нашего клиента уже была хорошо налажена система по информационной безопасности. С нами поделились схемами движения данных и списком их получателей, что значительно ускорило процесс работы. На основе проведенных аудитов, мы дополнили схему и приступили к заполнению Реестра обработок персональных данных, включив в него новые обработки, правовые основания для каждой из них, не забыли об обязательных требованиях по GDPR и о рекомендациях по прозрачности и минимизации данных. По итогу данной работы, Реестр отражал состояние защиты данных на момент его заполнения.
Результат
В результате аудита, мы увидели пробелы и составили список рекомендаций (action plan) для достижения соответствия GDPR. Совместно с клиентом мы выбрали приоритетные мероприятия и начали работу по их выполнению.
Лайфхак
Приоритетной задачей в нашем action plan-е стало составление политики приватности. Основой которой стал обновленный Реестр, но, принимая во внимание тот факт, что доминирующая часть аудитории клиента — дети, мы сделали акцент на упрощении формулировок.
Так как компания публикует свои игровые приложение на мировых маркетплейсах, обработки и категории данных немного отличаются. Для удобства пользователей в политике мы составили несколько разделов по категориям субъектов данных, чтобы была возможность сразу перейти к нужному разделу.
GDPR vs дети
Рекомендация 1
Спрашивать возраст пользователя при входе в приложение, чтобы потом отличить детей от взрослых. Это необходимо для того, чтобы не показывать ребенку таргетированную рекламу, так как GDPR это запрещает, а также запрашивать согласие родителя, где это необходимо.
Рекомендация 2
Мы рекомендовали упростить интерфейс самого приложения в детских аккаунтах, пересмотреть сроки хранения данных и подумать над анонимизаций, где это применимо.
Оформление договорных отношений
Офисы компании находятся в разных странах: в Европейском Союзе и за его пределами. Компания также привлекает разработчиков в Европе, которые имеют доступ к персональным данным. То есть, необходимо было оформление трансграничной передачи и составление Data Processing Agreement. Мы заполнили второй модуль SCC, утвержденных Еврокомиссией. В приложении подробно описали все обработки и категории персональных данных, чтобы документ в то же время являлся инструкцией контролера процессору. С разработчиками было принято решение не заключать отдельное соглашение, а включить положения по ст. 28 GDPR в более широкий договор.
Ваш сайт как лицо бренда
Основой всех работ по сайту стало соответствие GDPR и ePrivacy Directive. Наш консультант подготовила техническое задание с подробным описанием, как должен выглядеть куки-баннер, какие должны быть опции у пользователей, а также что должна включать Cookie Policy с учетом требований ePrivacy Directive.
Внутренние процессы в компании как финальный этап
Мы начали с самого приоритетного — процесса ответов на запросы субъектов данных. У компании уже был описан процесс, по которому мы составили список рекомендаций к изменению. Например, какие данные разумно запрашивать на стадии идентификации субъекта данных, в какие сроки отвечать на запросы, в каких случаях, сроки могут быть продлены.
Какой результат?
- Заполнен Реестр обработок персональных данных (RoPA) в системе Notion, который будет далее поддерживаться сотрудниками компании.
- Разработана политика приватности для всех маркетплейсов и сайта компании.
- Готов список требований к куки-баннеру и политике по обработке файлов кукис.
- Оформлены отношения с компанией-процессором вне ЕС.
- Оформлены отношения с подрядчиками в ЕС.
- Подготовлен список рекомендаций по обработке данных детей.
- Имплементирован процесс ответов на запросы субъектов данных.
И в итоге...
Компания может продолжать размещать игры на различных маркетплейсах и не бояться возможных ошибок в обработке персональных данных пользователей различных возрастов.
