GDPR и CCPA‑комплаенс для онлайн‑сервиса
В районе Golden Gate Park Area, San Francisco мы поможем студии мобильных игр с издателем в США навести порядок с персональными данными по требованиям GDPR и CCPA.
GDPR и CCPA уже действуют: штрафы и блокировки могут прийти внезапно, поэтому важно сейчас понять, какие данные вы собираете в играх и как их легально использовать.
FAQ
Чем GDPR отличается от CCPA для мобильной игры?
GDPR действует для пользователей из ЕС и Великобритании. CCPA — для жителей Калифорнии. GDPR шире: регулирует почти все действия с персональными данными. CCPA больше про права потребителей и раскрытие, что и кому вы продаёте или передаёте.
Нужен ли мне DPO или отдельный privacy‑офицер?
DPO по GDPR нужен не всем. Обычно он обязателен, если вы массово отслеживаете поведение пользователей или обрабатываете чувствительные данные. Для небольшой игровой студии часто достаточно ответственного за privacy внутри команды и внешнего консультанта.
Что должно быть в privacy policy для GDPR и CCPA?
Простое объяснение: какие данные вы собираете, зачем, кому передаёте (SDK, аналитика, реклама), сроки хранения, права пользователя (доступ, удаление, отказ от продажи данных), контакты для запросов. Текст должен быть понятным, без сложного юридического языка.
Как правильно получать согласие на трекинг и рекламу?
Показывайте баннер до загрузки трекеров. Разделите согласие по целям: аналитика, персонализированная реклама, функциональные куки. Кнопки «Принять» и «Отклонить» сделайте равнозначными. Логируйте согласия и дайте пользователю менять выбор в настройках.
Что считается «продажей данных» по CCPA в играх?
Это не только прямая продажа. Часто это передача данных рекламным сетям и партнёрам, если они используют их для своей выгоды. Поэтому нужен раздел «Do Not Sell or Share My Personal Information» и механизм отказа от такой передачи для жителей Калифорнии.
Как обрабатывать запросы пользователей на удаление и доступ?
Нужен простой канал: форма в приложении, email или веб‑форма. Подтверждайте личность, чтобы не раскрыть данные третьим лицам. В разумный срок (например, в течение месяца) давайте копию данных или подтверждение удаления,.
Что делать с SDK аналитики и рекламы в приложении?
Проверьте, какие данные собирает каждый SDK. Заключите с ними договоры о защите данных. Не загружайте необязательные SDK до согласия пользователя (особенно в ЕС). Обновляйте список SDK в privacy policy и убирайте те, что не нужны для работы игры.
Нужно ли показывать разные баннеры для ЕС и США?
Часто используют геотаргетинг: для ЕС — баннер с явным согласием (opt‑in) на трекинг, для Калифорнии — уведомление и отказ от продажи/обмена данных (opt‑out). Можно сделать один гибкий баннер, меняющий текст и опции по региону пользователя.