Есть такая профессия — тревожиться. Как мы проводили DPIA для гемблинговой компании

Комплаенс по GDPR — это не только реестры и политики, но и умение предвидеть будущее, причем самые неприятные из его моментов. В этом кейсе рассказываем, как мы делали не просто «бумажный комплаенс», а помогали гемблинговой компании снижать реальные риски для пользователей и бизнеса.

Запрос

К нам обратилась крупная гемблинговая компания с задачей провести полный цикл работ по приведению бизнеса в соответствие с GDPR. Гемблинг — это индустрия, которая по своей природе является крайне инвазивной для приватности, поэтому стандартных документов здесь недостаточно. Одной из самых заметных «болевых точек» был лидерборд с никнеймами и суммами выигрышей, но мы понимали, что риски скрыты гораздо глубже в самой архитектуре системы.

Наше решение

В рамках проекта мы подготовили стандартный пакет артефактов: политики, реестры и схемы движения данных. Однако сердцем проекта стал DPIA (Data Protection Impact Assessment). Наши консультанты называют этот этап «сферой искусства», ведь это самая творческая часть работы privacy-специалиста. Здесь недостаточно просто знать закон — нужно обладать недюжинным воображением, чтобы предусмотреть каждый негативный сценарий.

Ведущий консультант проекта

Дарья Заграничнова,
CIPP/E, GDPR DPP, лидер команды консультантов Data Privacy Office.

Что такое DPIA и как это работает?

DPIA — это комплексная оценка воздействия на защиту персональных данных. Если говорить проще, это процесс, в ходе которого мы «придумываем варианты катастроф». Мы взяли все процессы обработки данных в системе казино и начали штурмить: что может пойти не так?

Каждый гипотетический сценарий мы взвешивали по двум измерениям:

1) Серьезность последствий для человека.

2) Вероятность того, что это произойдет.

Если по обоим критериям риск высокий — мы обязаны внедрить меры по его минимизации (mitigation measures).

«Тревожный штурм»: какие сценарии мы обнаружили

Каждый раз, когда необходимо проводить DPIA наша команда превращается в группу профессиональных «тревожников», чтобы предусмотреть каждый негативный сценарий, который может произойти с пользователем при каждой обработке.

На этом проекте одной из самых заметных рисковых точек был лидерборд. На нем отражались никнеймы пользователей с суммой выигрыша. Эта информация располагалась на главной странице сервиса и была доступна всем пользователям. Чтобы понять, как это может повлиять на игроков, консультанты задавали себе вопросы «Кто может увидеть эти никнеймы? Что в таком случае произойдет с пользователем?» и сгенерировали около 15 разных сценариев для этой обработки. Вот несколько из них:

🔹 Если игрок — мусульманин, а его никнейм, например, Мухаммед, высветился в списке лидеров, это может обернуться серьезным осуждением в общине, потому что в исламе азартные игры запрещены.

🔹Раскрытие факта игры может узнать работодатель или партнер, что в худшем случае ведет к увольнению или разводу.

🔹 Публикация реального имени или узнаваемого никнейма рядом с огромной суммой выигрыша превращает игрока в мишень для преступников, которые хотят завладеть деньгами человека.

🔹 Если в казино играет политик или бизнесмен под своим именем, это прямой путь к шантажу и запятнанной репутации.

🔹 Данные из лидербордов могут собираться третьими лицами. В итоге игроки с зависимостью могут попасть в базы недобросовестных микрофинансовых организаций и других казино, которые начнут на них агрессивно зарабатывать.

🔹 Игроки могут использовать чужие имена в качестве username и, попадая на лидерборд, компрометировать других людей, которые на самом деле не имеют отношения к онлайн-казино.

🔹 Таргетированная реклама на пользователя онлайн-казино может усугубить его привычку/зависимость.

И это — только один из примеров обработок, по которым мы сгенерировали все возможные рисковые сценарии. Кроме такой заметной уязвимости как лидерборд мы проанализировали и внутренние системы: насколько они защищены от внешнего воздействия? Могут ли сотрудники выгрузить базу данных с игроками?

После выявления 31 рискового сценария перед нами стояла задача — понять, насколько их влияние серьезно для пользователей и как клиент может его минимизировать.

Поможем обнаружить даже самые неочевидные риски в ваших обработках

Запишитесь на бесплатную консультацию с нашим экспертом. На ней обсудим ваш продукт и регионы работы и подскажем, где могут быть риски для пользователей и бизнеса — и какие шаги помогут быстро их минимизировать.

Что клиент получил в итоге?

В результате обширного мозгового штурма мы собрали большую таблицу, где обозначили:

🔹 потенциальные угрозы,

🔹 к чему они могут привести,

🔹серьезность и вероятность такого риска до применения каких-либо мер,

🔹меры, которые помогут минимизировать риск,

🔹 серьезность и вероятность этого же риска после применения указанных мер.

Проведение полного DPIA всей системы позволило нам классифицировать риски по уровням и принять стратегические решения:

1) Выявить практики, от которых стоит отказаться совсем.

Мы помогли клиенту понять, какие способы отображения данных, инструменты аналитики, уровни доступов сотрудников были избыточными и несли неоправданно высокие риски.

2) Снизить риски от других необходимых практик.

Мы разработали список мер, которые делают существующие процессы менее инвазивными для приватности пользователей. Среди них: маскировка юзернеймов, генерация случайных никнеймов при регистрации и механизм гарантированного удаления аккаунта.

Одна из строчек таблицы выглядит так:

Сценарий	Влияние	Серьезность до	Вероятность до	Защитные меры	Серьезность после	Вероятность после
Ухудшение зависимости в результате таргетированной рекламы казино/ставок на субъекта	• Финансовые трудности, не носящие постоянного характера (например, необходимость взять кредит); • Потеря жилья.	• Значительная; • Значительная.	Значительная	• Изучить нормативное регулирование dark patterns в интерфейсе гемблинг-платформ и ограничить использование deceptive patterns (практик, вводящих в заблуждение); • Запрет на использование таргетированной рекламы на уязвимые группы.	Ограниченная	Значительная

Итог

Этот кейс показывает, что качественный GDPR-комплаенс — это не «галочка» для регулятора, а реальная защита пользователей от непредсказуемых жизненных коллизий. Наша экспертиза позволяет видеть риски там, где другие видят просто строчку в коде. Будьте внимательны к деталям, ведь иногда безопасность вашего клиента зависит от того, насколько вовремя вы «включили тревожность».

Сделайте свой бизнес безопаснее с Data Privacy Office

Забронируйте бесплатную консультацию с экспертом. На ней мы проанализируем текущее состояние системы защиты персональных данных, выявим пробелы и предложим план по их устранению.

Другие проекты команды Data Privacy Office

Как мы легализовали маркетинговые звонки из колл-центра клиента для 10 новых стран

В кейсе о том, как мы трансформировали разрозненные законы о персональных данных в единую систему правовых оснований, которая обеспечивает легальность каждого звонка из колл-центра.

Тайный покупатель: Как команда Data Privacy Office представилась пользователями и нашла ошибки в обработке запросов субъектов

Компания может описать все процедуры ответа на запросы пользователей, но всё равно допускать досадные ошибки в самых заметных местах. Рассказываем, как мы сыграли в шпионов и помогли команде найти грубые ошибки в обработке запросов субъектов.

Защита персональных данных детей: кейс анимационной студии

К нам обратилась анимационная студия, которая занимается разработкой, производством и дистрибуцией анимационных брендов по всему миру. Перед нами стояла задача — обеспечить соответствие GDPR и улучшить практики защиты персональных данных.

«Думали, что GDPR-compliant, пока не получили результаты аудита», – о том, как помогли IT-компании избежать рисков на новом рынке

Наша задача была исключить риски по защите персональных данных при выходе бизнеса и продвижении продуктов за границами рынка СНГ, в частности — на рынке Европы. Сначала наша команда провела бесплатный аудит и диагностику пробелов по защите персональных данных, а затем – заполнила найденные неточности.

Уверенность в комплаенсе при выходе компании на рынок ЕС может сыграть против вас, если не провести аудит.

Было необходимо удостовериться в том, что бизнес соответствует GDPR перед продвижением продукта на рынке ЕС. Наши эксперты провели комплексный аудит, чтобы проверить комплаенс всех процессов, во время которого было выявлено несколько небольших пробелов, которые смогли устранить за три недели.

Как начать выстраивать систему защиты персональных данных в компании-разработчике мобильных игр?

С помощью аудита определили недостатки в процессах по защите персональных данных, дополнили список необходимыми мероприятиями в отношении детской возрастной категории и предусмотрели в политике приватности особенности привлечения пользователей в приложения с помощью размещения на различных маркетплейсах.

Рассылка Data Privacy Office

А в ней — скидка 10 % на курс GDPR DPP, полезные материалы от экспертов и наши новости.

Помогаем выходить на новые рынки и быть compliant на текущих

Запишитесь на бесплатную консультацию с нашим экспертом, чтобы оценить текущий уровень комплаенса вашего международного проекта и узнать, как его улучшить.

Имя

Компания

Рабочая почта

Телефон*

Сообщение

Ваш профиль в LinkedIn

Уровень срочности

Какой бюджет вы готовы выделить?

Юрисдикции

Кол-во сотрудников

Что уже можно использовать?

Coming Soon

Подписывайтесь на рассылку команды R&D

Почта

Социальные сети

Телефоны

А еще у нас есть рассылка!

Прежде чем внедрять ИИ-агентов: что происходит у них «в мозгу»