Провели комплексний аналіз політики збору, обробки та зберігання даних сервісом Locatemate.co
Про компанію та продукт
Компанія Netpeak створила сервіс Locatemate.co, який допомагає визначити геолокацію пристрою за номером телефону. Locatemate.co надсилає SMS на пристрій із запитом на підтвердження місцезнаходження його власника. Сервіс популярний серед користувачів у США, країнах ЄС, Великій Британії, Канаді, Австралії та Новій Зеландії.
Компанія звернулася за юридичним висновком щодо відповідності сервісу місцевим законам та вимогам платіжних систем Paynetics, Valitorpay і PayPal.
🔸Перевірити Terms of Use та Privacy Policy на відповідність вимогам GDPR, Digital Act, CCPA, PIPEDA, Privacy Act та Data Protection Act.
Реалізація
Перевірили, які дані збирає сервіс
🔸Персональні дані користувачів (ім'я, email, номер телефону).
🔸Дані про пристрій (модель, ОС, IP-адреса, унікальні ідентифікатори).
🔸Дані про локацію (GPS, IP-адреса, поштовий індекс тощо).
🔸Демографічні дані (вік, стать, інтереси).
🔸Дані про підписки та історію платежів.
🔸Інформація про активність користувача в додатку.
Зібрані дані використовуються для:
🔸Надання послуг.
🔸Покращення сервісу.
🔸Проведення маркетингових і аналітичних досліджень.
Оцінили, чи законно сервіс збирає дані та як їх використовує
Перевірили, як компанія захищає дані користувачів
Netpeak вживає всіх необхідних заходів для захисту даних користувачів, зокрема шифрування, контроль доступу та регулярні оновлення систем безпеки.
Перевірили, наскільки прозорі умови підписок і платежів
Відповідно до Terms of Use Locatemate.co, користувач проінформований про вартість підписки, умови її поновлення та можливість скасування. Платежі здійснюються через захищені канали з використанням SSL-протоколу для забезпечення безпеки даних.
Оцінили правила повернення коштів відповідно до вимог платіжних систем і міжнародного права
Terms of Use Locatemate.co пояснюють, як саме працює повернення коштів і який механізм цього процесу. Повернення за підписку проводиться за правилами платіжних систем Paynetics, Valitorpay і PayPal, а також відповідно до міжнародних норм електронної комерції.
Перевірили, чи правильно компанія діє як контролер даних, а сторонні сервіси — як обробники
Netpeak є контролером даних, оскільки визначає цілі та способи обробки персональних даних. Постачальники послуг, такі як ipify API, Velia, Facebook, Apple, Google та Amplitude, є процесорами, які обробляють дані від імені Netpeak на підставі укладених договорів.
Передача даних третім сторонам здійснюється відповідно до норм GDPR, CCPA та законів про локалізацію даних. Передача можлива лише за згодою користувача або в межах виконання договору. Треті сторони, що отримують дані, забезпечують рівень захисту, який відповідає вимогам GDPR.
Перевірили, чи відповідають правила передачі даних стороннім сервісам вимогам GDPR та інших законів
Розробили стратегію Netpeak щодо відповідності міжнародному законодавству про обробку даних користувачів
🔸Явна згода користувачів
Компанія запитує чітку та поінформовану згоду користувача перед збором геолокаційних даних.
🔸Прозорість і доступ до даних
Користувачам пояснюють, які дані збираються, як вони використовуються і які права вони мають. Також кожен може переглянути свої дані, змінити їх або видалити за потреби.
🔸Оцінка ризиків (DPIA)
Netpeak заздалегідь оцінює ризики для конфіденційності, особливо при впровадженні нових функцій або виході на нові ринки.
🔸Безпечний зв'язок
Для надсилання SMS та збору геолокаційних даних компанія дотримується вимог ePrivacy та CASL, що забезпечує безпеку обміну інформацією.
🔸Захист даних дітей
Netpeak EOOD вживає додаткових заходів безпеки, якщо сервісом можуть користуватися діти або під час збору даних неповнолітніх. У таких випадках компанія виконує вимоги закону COPPA.
🔸Регулярні перевірки
Компанія регулярно проводить аудити та оновлює політики відповідно до нових законодавчих вимог.
