Защита персональных данных детей: кейс анимационной студии
К нам обратилась анимационная студия, которая занимается разработкой, производством и дистрибуцией анимационных брендов по всему миру. Перед нами стояла задача — обеспечить соответствие GDPR и улучшить практики защиты персональных данных.
Ключевые проблемы и решения
1. Реестр обработок персональных данных
📎 В компании уже была хорошо налажена система по информационной безопасности. С нами поделились схемами движения данных и списком их получателей, что значительно ускорило процесс заполнения реестра.
📎 Мы дополнили схему и реестр обработками, которые нашли в ходе user journey — мини-аудита, где консультант анализирует функционал приложения со стороны пользователя. Затем мы перешли к подбору правовых оснований.
📎 В скоуп проекта также вошли обработки данных сотрудников, так как компания базируется на Кипре.
2. План действий по обеспечению соответствия GDPR (Action Plan)
📎 Реестр отражал состояние защиты данных на момент его заполнения. Мы увидели пробелы и составили список рекомендаций (action plan) для достижения соответствия GDPR.
📎 К каждой обработке мы добавили как обязательные требования по GDPR, так и рекомендации по прозрачности и минимизации данных.
📎 Совместно с клиентом мы выбрали приоритетные мероприятия и начали работу по их выполнению.
3. Политика приватности, ориентированная на детей
Учитывая, что основная аудитория компании — дети, мы разработали упрощенную версию политики приватности. При этом в ней содержались все требования ст. 13 и 14 GDPR.
4. Использование файлов cookie
Еще до запуска сайта мы провели работу над cookie-баннером, чтобы отделу маркетинга не приходилось впоследствии искать новые решения или менять налаженный процесс. Мы подготовили подробные рекомендации по настройке баннера для отдела разработки. Также наша команда проконсультировала по тому, какие аналитические сервисы не стоит использовать из-за более высоких рисков приватности для детей.
5. Верификация возраста и родительский контроль
Еще один важный аспект проекта — алгоритм авторизации и введение родительского контроля. Мы рекомендовали спрашивать возраст пользователя при входе в приложение/создании личного кабинета на сайте, чтобы потом отличить его от других. Это необходимо для того, чтобы не показывать ребенку таргетированную рекламу, так как GDPR это запрещает, а также запрашивать согласие родителя, где это необходимо.
6. Оценка воздействия на защиту данных (DPIA)
Мы провели DPIA для ключевых видов деятельности по обработке данных и проанализировали около 20 рисковых сценариев. Учитывая уязвимость детей, мы рекомендовали упростить интерфейс для детских аккаунтов, пересмотреть сроки хранения данных и рассмотреть возможность анонимизации.
7. Внутренняя политика защиты данных
Чтобы все действия поддерживались компанией, мы разработали Внутреннюю политику по защите персональных данных. Политика включает общие правила обработки данных, четкую инструкцию о том, когда необходимо консультироваться с DPM, алгоритм ответов на запросы субъектов и реагирования на нарушения безопасности данных. Этот шаг был необходим, чтобы поддерживать выстроенный уровень комплаенса.
8. Отчет по выполнению рекомендаций
В заключение проекта, мы подготовили отчет о проделанной работе, оценили уровень выполнения наших рекомендаций, а также подытожили дальнейшие менее приоритетные действия, которые улучшат уровень комплаенса. В отчете мы привели примеры релевантных кейсов и потенциальных штрафов за несоответствия.
Результаты
- Реестр обработок персональных данных в Notion.
- Политика приватности, которая учитывает интересы детей.
- Подробные требования к баннеру и политике использования файлов cookie в соответствии с GDPR.
- Отчеты DPIA для рисковых сценариев.
- Рекомендации по обработке детских данных в соответствии с GDPR.
- Внутренняя политика защиты данных для поддержания усилий по соблюдению требований.
- Отчет по текущему состоянию и следующим шагам.
