Jednym z dwóch obszarów objętych planem kontroli Prezesa Urzędu Ochrony Danych Osobowych na 2022 r. w sektorze prywatnym są aplikacje mobilne. Niestety, niejednokrotnie twórcy gier nie zdają sobie sprawy, jak wiele danych osobowych, poza danymi pracowników czy kontrahentów, jest przez nich przetwarzanych, czego skutkiem jest bagatelizowanie wymagań prawnych w tym obszarze, czyli przede wszystkim RODO*.
Jakie dane mogą być przetwarzane?
Zgodnie z definicją, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Natomiast możliwa do zidentyfikowania osoba to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy itp.. Zakres danych osobowych przetwarzanych w danej grze może być najróżniejszy, natomiast możliwe jest wyszczególnienie kilku głównych kategorii danych**:
a) Dane dotyczące konta użytkownika – np. imię i nazwisko, wizerunek, adres
b) Dane dotyczące płatności – np. związane z mikropłatnościami
c) Dane dotyczące parametrów technicznych sprzętu i oprogramowania – np. specyfikacja sprzętowa, adresy IP, MAC, UDID
d) Dane dotyczące aktywności gracza w grze – np. najczęstsze ustawienia gracza, wybierane opcje
e) Dane dotyczące obsługi klienta – np. skargi i problemy zgłaszane przez graczy dotyczące bugów, zachowań innego gracza, raporty błędów itp
f) Dane dotyczące komunikacji w grze – np. pochodzące z czatów
g) Dane statystyczne graczy – np. na potrzeby tworzenia rankingów
Wybrane obowiązki
Administrator Danych Osobowych musi spełnić wiele obowiązków oraz zasad, które zostały wskazane w RODO. Poniżej wybranych zostało kilka z nich.
Legalność przetwarzania – każdy z procesów związany z przetwarzaniem danych osobowych musi opierać się na właściwej podstawie prawnej. Błędną praktyka jest nadmiarowe zbieranie zgód, gdy nie jest to potrzebne. Inne podstawy, które mogą mieć zastosowanie, to m. in. niezbędność w celu wykonania umowy czy uzasadniony interes administratora.
Obowiązek informacyjny – każdy gracz lub użytkownik musi zostać poinformowany o szeregu kwestii związanych z danymi osobowych. Informacja taka musi zostać dostarczona najpóźniej w momencie zebrania danych. Tak więc należy odpowiednio zaprojektować, w jaki sposób i kiedy będzie wyświetlany komunikat czy polityka prywatności.
Korzystanie przez dzieci – w przypadku zbierania danych osobowych dzieci, co często ma miejsce w przypadku gier, nałożone zostały dodatkowe wymogi. Obejmują one m. in. kierowanie komunikatów prostym i jasnym językiem, a czasami weryfikację, czy rodzic wyraził zgodę na przetwarzanie danych.
Risk Based Approach
Implementacja wszelkich przedsięwzięć, które obejmują przetwarzanie danych osobowych, musi opierać się o przeprowadzoną analizę ryzyka. Pozwala ona wykazać (co jest wymagane przez zasadę rozliczalności), że wdrożone zostały odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z prawem. Ogólny wymóg monitorowania ryzyka dla praw i wolności wynika z art. 24 ust. 1 RODO.
Ponadto art. 25 RODO wskazuje na obowiązek oceny ryzyka już w fazie projektowania danego procesu. Założenie to służy weryfikacji, czy planowane środki realizacji wymogów są adekwatne do poziomu zidentyfikowanych ryzyk, jakie mogą się łączyć z przetwarzaniem danych. Taka wstępna ocena pozwala również ocenić, czy w danej sytuacji może istnieje konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA), czyli tzw. „pogłębionej analizy ryzyka”, uregulowanej w art. 35 RODO.
Przeprowadzenie analizy ryzyka oraz oceny skutków dla ochrony danych powinno być traktowane przede wszystkim jako pomoc dla organizacji w identyfikacji wrażliwych oraz najbardziej narażonych na niekorzystne skutki obszarów, dzięki czemu możliwe będzie nie tylko zapewnienie zgodności z przepisami, ale przede wszystkim położenie nacisku na te elementy procesów, które wymagają skuteczniejszych zabezpieczeń, zaangażowania większych środków technicznych oraz organizacyjnych. Dodatkowo organizacja weryfikuje, czy użytkownicy mogą w skuteczny sposób realizować swoje prawa i wolności (np. wycofanie zgody, aktualizacja lub sprostowanie danych, prawo do sprzeciwu, prawo do przeniesienia danych itp.).
Niniejszy alert ma charakter informacyjny i nie jest to porada prawna.
* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
** E. Lejman-Widz, „Ochrona danych osobowych w branży gamingowej. O czym trzeba pamiętać”, Biuletyn Euro Info 10 (213) 2021
