Ze względu na prężny rozwój branży gamingowej i pojawiające się wraz z tym rozwojem zagadnienia natury prawnej, postanowiliśmy skupić się na tych mniej oczywistych kwestiach, jak ochrona danych osobowych.
W tym tekście dostawcy gier i aplikacji znajdą wskazówki jak zapewnić swoim użytkownikom bezpieczeństwo na wszystkich poziomach, a sobie zgodność z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej także „RODO” lub „Rozporządzenie”).
Jakie dane są gromadzone przez twórców/wydawców?
Katalog rodzajów tych danych jest otwarty, głównie dlatego, że na rynku pojawia się coraz więcej różnych aplikacji i gier, które do prawidłowego działania wymagają zupełnie innych danych, więc spisanie wszystkich kategorii byłoby niemożliwe. Można natomiast wyodrębnić kilka rodzajów danych, najczęściej się powtarzających i stanowiących swoistą bazę gromadzenia danych:
- Dane dotyczące konta użytkownika – pozwalają one przypisać konto do konkretnej osoby fizycznej, uniemożliwić dostęp do konta osobom nieupoważnionym i ustalić wiek gracza.
- Dane dotyczące płatności – m.in. tzw. mikrotransakcje (możliwość zakupu różnego rodzaju ulepszeń i modyfikacji już w trakcie użytkowania gry), a także wszystkie inne transakcje, takie jak subskrypcje, abonamenty itp. W zależności od wyboru sposobu płatności, konieczne może być podanie danych identyfikujących kartę debetową lub kredytową.
- Dane dotyczące parametrów technicznych sprzętu i oprogramowania – każde urządzenie ma indywidualny adres IP, a także określone parametry techniczne w postaci specyfikacji sprzętowej, używanego oprogramowania, ustawień, niezbędnych wtyczek, używanej przeglądarki internetowej, wersji aplikacji, modelu telefonu komórkowego, źródłowego URL, z którego gracz trafił na stronę itp.
- Dane dotyczące aktywności gracza w grze – specyfika korzystania przez gracza z usług dostępnych w grze może stanowić cenne źródło informacji dla dostawcy gry przy jej ulepszaniu i modyfikacji, a także do celów marketingowych. Z tego powodu dostawcy gier gromadzą informacje dotyczące aktywności, zachowań i postaw gracza, czyli np. czas poświęcany na grę, najczęściej wybierane opcje w grze, ulubione ustawienia itp.
- Dane dotyczące obsługi klienta – w trakcie korzystania z gry mogą powstać różnego rodzaju problemy związane z funkcjonowaniem gry lub kontaktami interpersonalnymi graczy. Przykładami danych powstałych w ten sposób są: ograniczenia nałożone na konto gracza w ramach kary, historia skarg, zgłoszony przez gracza problem.
- Dane dotyczące komunikacji w grze – umożliwienie graczom komunikacji skutkuje obowiązkiem przetwarzania danych zawartych w konwersacjach głosowych i czatach.
- Dane statystyczne graczy – dane o wynikach osiąganych przez graczy. Cel gromadzenia takich danych to współzawodnictwo i klasyfikowanie poziomu gracza, aby dopasować mu współgraczy odpowiednich do jego umiejętności.
Należy też rozróżnić dane z uwagi na ich pochodzenie, część jest pozyskiwana od użytkowników i przetwarzana w momencie nawiązywania współpracy, a część danych jest generowana w trakcie gry lub używania aplikacji
Ochrona danych osobowych w branży gamingowej
Wszelkie zabezpieczenia są tak silne, jak organizacje, które je stawiają. Nie można mówić o skutecznej ochronie, jeśli procedury nie są aktualizowane, nie mówiąc już o podstawowych elementach wymaganych przepisami prawa. Weryfikacja stron internetowych kilku wydawców, producentów i twórców gier komputerowych pokazała, że pomimo iż RODO obowiązuje w Polsce od 2018 roku, nadal pojawiają się pewne braki i niedociągnięcia związane z obowiązkami administratora czy procesora danych. Przykładem może być polityka plików cookies – te małe pliki mówią o nas naprawdę dużo i zręczny administrator może je wykorzystać na wiele sposobów, ale aby było to zgodne z prawem, konieczne jest poinformowanie użytkownika, jak będą te dane wykorzystywane. Niestety, wiele stron, posiada politykę prywatności, ale o plikach cookies nie wspomina nawet słowem, a są one wykorzystywane zawsze. Warto zaznaczy, iż kilka stron nie posiadało nawet polityki prywatności, co nie jest błędem kardynalnym, ale kiedy dojdzie do wycieku danych, Prezes Urzędu Ochrony Danych Osobowych będzie brał wszystko pod uwagę przy obliczaniu kary. Kara za naruszenie ochrony danych osobowych uzależniona jest od obrotów i wagi przewinienia, ale zgodnie z Rozporządzeniem, Prezes Urzędu Ochrony Danych Osobowych (dalej także „PUODO”) może nałożyć karę do 10 lub 20 mln euro, lub odpowiednio, do 2 lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku, przy czym zastosowanie ma kwota wyższa. Z uwagi na możliwości zarobkowe w branży gamingowej, kary te mogą osiągać zawrotne wysokości. Za naruszenie ochrony danych osobowych grozi także odpowiedzialność karna.
Przekazywanie danych do krajów trzecich
Dbając o ochronę powierzonych danych, administrator musi mieć na uwadze nie tylko kwestie prawne, ale w dużej mierze, techniczne. Dane bowiem trzeba gdzieś przechowywać, szczególnie gdy chcemy mieć do nich dostęp z każdego miejsca na Ziemi. Serwery, na których magazynowane są dane są dużo bardziej „namacalne” niż same dane – muszą mieć swoje miejsce, odpowiednie informatyczne i fizyczne bariery chroniące przed zniszczenie oraz dostępem osób trzecich. W związku z tym, wiele firm decyduje się na umieszczanie swoich danych w tzw. data center, które z uwagi na cięcie kosztów, umieszczane są w krajach spoza UE, czyli w tzw. krajach trzecich np. Stany Zjednoczone, Indie, Chiny, RPA, Egipt, Brazylia itd. W związku z tym, RODO uregulowało także tę kwestię, nakładając dodatkowe obowiązki przy transferze danych poza teren UE. Do lipca 2020 roku, USA było uznawane na gruncie RODO, nie jako kraj trzeci a tak jakby było w Unii, poprzez stosowanie porozumienia tzw. Privacy Shield. Jednak 16 lipca 2020 Trybunał Sprawiedliwości UE ogłosił wyrok w sprawie C-311/18, w którym stwierdził nieważność decyzji Komisji Europejskiej ustanawiającej porozumienie Privacy Shield, na mocy którego transfer danych osobowych pomiędzy podmiotami w UE a podmiotami w USA będącymi członkami Privacy Shield mógł być dokonywany tak samo jak pomiędzy podmiotami wewnątrz UE, tj. bez podejmowania dodatkowych działań legalizujących taki transfer. Powyższy wyrok TSUE został wydany na podstawie wniosku złożonego w ramach sporu jaki zaistniał pomiędzy irlandzkim komisarzem ds. ochrony danych a Facebook Ireland Ltd i Maximilianem Schremsem w przedmiocie wniesionej przez Maximiliana Schremsa skargi dotyczącej przekazywania danych osobowych przez Facebook Ireland Ltd do spółki Facebook Inc. w USA. Wyrok jaki zapadł w tej sprawie był konsekwencją skargi, która wynikała z tego jak Stany Zjednoczone podchodzą do uzyskiwania dostępu do danych osobowych przez służby i administrację państwową, tj. nie posiadają odpowiednich procedur chroniących osób których dane dotyczą, wielokrotnie te prawa były nadużywane oraz bardzo często dochodziło do ich wycieków.
Warto o tym wspomnieć, gdyż należy mieć na uwadze, to, że jeśli istnieje możliwość zalogowania się za pomocą Facebooka, Instagrama czy Konta Google, administrator, którym jest dostawca gier, przekazuje dane właśnie do USA, czyli kraju trzeciego. Jeśli administrator nie posiada odpowiednich procedur i zawartych umów, przekazuje te dane bezprawnie. Często gry czy aplikacje, aby „ułatwić” życie użytkownikowi dają możliwość, a czasem wręcz zachęcają wizją uzyskania dodatkowych bonusów w grze, do zalogowania się poprzez Facebooka, Instagrama czy Konto Google. W ten sposób te platformy pozyskują dane o swoich użytkownikach takie jak np. najczęściej wybierane gry/aplikacje, dane płatnicze, jeśli dochodzi do mikrotransakcji czy subskrypcji, dane wprowadzane do gry/aplikacji których użytkownik nie wprowadził do serwisu i wiele innych.
Co to oznacza w praktyce?
Od dnia ogłoszenia wyroku w sprawie Privacy Shield, przekazywanie danych do USA, tak jak to się działo w przypadku innych krajów trzecich, wymaga wdrożenia odpowiednich procedur, są to m.in. np. pozyskanie zgód od osób których dane dotyczą, standardowe klauzule umowne, odpowiednie zapisy w polityce prywatności, czy prawidłowo prowadzone rejestry przetwarzania. Jednocześnie, konieczna jest ocena czy zastosowane klauzule umowne są wystarczające w danej sytuacji oraz czy podmiot, któremu przekazujemy dane spełnia wszystkie wymagania, o których mowa w wewnętrznych procedurach. Dlatego właśnie, RODO kładzie taki nacisk na posiadanie spójnej procedury, dotyczącej ochrony danych osobowych, nie tylko zabezpieczającej interesy podmiotów, których dane są przetwarzane, ale także odpowiedniego, dla prowadzonej przez administratora działalności, poziomu ochrony informatycznej i fizycznej. Przez transfer danych rozumiane jest również zapewnienie dostępów, bez fizycznego przekazania na serwery poza UE, a więc np. przez modyfikowanie, analizę czy podgląd danych przez podmioty znajdujące się w krajach trzecich. W związku z tym, procedura, lub system procedur i regulaminów, musi uwzględniać także fakt transferu danych poza UE (w szerokim tego słowa znaczeniu), ponieważ, zgodnie z przepisami, nakłada to na podmiot przetwarzający dodatkowe obowiązki, a nie wywiązanie się z nich może skutkować wysokimi karami.
Pamiętaj! Jeśli masz siedzibę w Polsce lub UE, ale Twoje programy działają tylko na terenie krajów trzecich, to nadal jesteś obowiązanych do zapewnienia zgodności z wymaganiami stawianymi m.in. przez RODO.
Dnia 25 marca rząd Stanów Zjednoczonych oraz Komisja Europejska ogłosiły uzgodnienie zasadniczych założeń nowego transatlantyckiego porozumienia w zakresie ochrony danych osobowych, które ma w pełni uregulować przekazywanie danych osobowych pomiędzy Stanami Zjednoczonymi a Unią Europejską, tzw. Privacy Shield 2.0.
Jeśli masz pytania, jak wdrożyć odpowiednie procedury, aby bezpiecznie rozwijać swój biznes, skontaktuj się z nami!
RYBOXX DESIGN - Robert Ryba