Co wie o Tobie gra komputerowa, czyli jakie dane przetwarzają podmioty z branży gamingowej
Podmioty działające w branży gier komputerowych często uważają, że nie przetwarzają praktycznie żadnych danych osobowych. Piszemy o tym, jak mylne może być to przekonanie i na co w praktyce warto zwracać uwagę, aby nie narazić się na ryzyko kar finansowych.
Sprzedaż gry za pośrednictwem platformy sprzedażowej nie jest jedynym momentem, w którym pozyskiwane są dane osobowe graczy. Gry są coraz bardziej zaawansowane technologicznie i coraz mocniej oddziałują na prywatność użytkowników. Nie jest już dziś zaskoczeniem, że dla lepszej rozrywki gracze skłonni są dzielić się coraz bardziej „wrażliwymi” danymi, a w konsekwencji podmioty działające w branży gier zyskują dostęp do szerokiego i cennego spektrum danych osobowych.
Gdzie są dane?
Dane osobowe to nie tylko imię i nazwisko gracza lub numer jego karty kredytowej, który podaje na przykład podczas rejestracji. Zgodnie z RODO dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to zaś taka osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak na przykład identyfikator internetowy czy dane o lokalizacji.
Danymi osobowymi mogą być więc także informacje zbierane podczas samej rozgrywki – styl gry, ilość spalonych kalorii, liczba kroków, czas rozgrywki. W praktyce rodzaj zbieranych danych zależał będzie od rodzaju samej gry – w przypadku gier mobilnych może dochodzić do zbierania szczególnie szerokiego zakresu danych zawartych na urządzeniu mobilnym gracza (np. kontakty użytkownika, zdjęcia). Często tego rodzaju gry oferują także możliwość integracji z kontem użytkownika w mediach społecznościowych.
W ramach gier komputerowych niejednokrotnie udostępniana jest też możliwość czatowania z innymi użytkownikami. Gracze mogą tworzyć wirtualne grupy/pokoje, wgrywać swój wizerunek, nagrywać głos czy udostępniać swoją geolokalizację. Czaty, niezależnie od tego, że stanowią przestrzeń do udostępniania danych osobowych, mogą być także strefą, w której popełniane są przestępstwa.
Co to oznacza?
Fakt, że w ramach gry przetwarzane są dane osobowe, powoduje, że konieczne jest spełnienie wymogów nakładanych przez przepisy RODO. Rodzaj zbieranych danych i cele ich wykorzystywania sprawiają, że lista tych wymogów jest całkiem pokaźna. Poniżej prezentujemy wybrane kwestie, na które w naszej ocenie szczególnie warto zwrócić uwagę.
- obowiązek informacyjny – zgodnie z art. 13 i 14 RODO gracza należy poinformować o fakcie i sposobie przetwarzania jego danych osobowych (np. do kogo trafiają dane, w jakim celu są wykorzystywane, z kim się skontaktować, aby móc zrealizować swoje prawa na gruncie RODO); informacja o przetwarzaniu danych powinna być przekazywana graczowi w momencie, gdy zaczyna on korzystać z gry (w praktyce wykonanie obowiązku informacyjnego może być prawdziwym wyzwaniem, szczególnie w przypadku gier mobilnych); warto także, aby gracz miał zagwarantowany ciągły dostęp do takiej informacji np. z poziomu swojego profilu,
- podstawa przetwarzania danych – aby móc legalnie przetwarzać dane, niezbędne jest zabezpieczenie odpowiedniej podstawy prawnej; niejednokrotnie w ramach gry dochodzi do przetwarzania szczególnych kategorii danych, takich jak np. dane biometryczne – w tym zakresie niezbędne będzie pozyskanie dobrowolnej i wyraźnej zgody gracza; nie należy także zapominać o zasadzie minimalizacji – zgodnie z RODO dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
- marketing, targetowanie – szczególnie ostrożnie należy podchodzić do wykorzystywania danych graczy dla celów marketingowych – w zależności od planowanych działań, niezależnie od zabezpieczenia odpowiedniej podstawy z RODO, niezbędne może być uzyskanie zgody gracza na kierowanie do niego komunikatów marketingowych, np. na wysyłanie mu e-mailem newslettera o grach; trzeba też uzyskać zgodę gracza na wykorzystywanie dla celów marketingowych mechanizmów śledzących, które będą go targetować np. w mediach społecznościowych,
- przekazywanie danych osobowych pomiędzy wydawcą, producentem gry oraz innymi podmiotami – często dane graczy przepływają pomiędzy różnymi podmiotami zaangażowanymi w wytworzenie, produkcję i dystrybucję gry; przepływ ten nie może następować w sposób swobodny – musi być odpowiednio uregulowany zgodnie z wymogami RODO, w szczególności gdy dochodzi do przekazywania danych poza Europejski Obszar Gospodarczy (co w praktyce jest standardem z uwagi na globalny charakter wielu gier komputerowych),
- zautomatyzowane podejmowanie decyzji – RODO wprowadza szczególne wymogi do uwzględnienia w przypadkach, w których dochodzi do zautomatyzowanego podejmowania decyzji wobec gracza (np. gdy gracze są automatycznie zawieszani w przypadku podejrzenia niestosownego zachowania),
- przetwarzanie danych dzieci – grupą docelową wielu gier są dzieci; RODO zawiera szczególne regulacje w tym zakresie – każą one m.in. kierować do dzieci komunikaty formułowane prostym i jasnym językiem, a w niektórych sytuacjach weryfikować, czy rodzic wyraził zgodę na przetwarzanie danych.
Dodatkową trudnością dla podmiotów z branży gamingowej może być fakt, że często działają one globalnie, oferując swoje gry użytkownikom z całego świata. Konieczne może być więc uwzględnienie także lokalnych wymogów w zakresie przetwarzania danych osobowych.
Jak widać, zapewnienie zgodności funkcjonowania gry z przepisami z zakresu danych osobowych może stanowić prawdziwe wyzwanie. Pierwszym krokiem powinna być niewątpliwie dokładna analiza przepływów danych (jakie dane osobowe będą przetwarzane, w jakim celu, na jakiej podstawie, do jakich podmiotów będą one przekazywane, czy będzie dochodziło do przekazywania poza EOG) w związku z funkcjonowaniem gry i jej dystrybucją.
Kontrowersje związane z platformą TikTok
Przetwarzanie danych osobowych w związku z korzystaniem z mobilnych aplikacji dostarczających rozrywki, w szczególności kierowanych do dzieci, budzi coraz większe zainteresowanie. Przykładem jest sprawa platformy TikTok.
Przetwarzanie bardzo szerokiego zakresu danych osobowych dzieci przez tę platformę już od dawna budzi kontrowersje i przyciąga uwagę podmiotów regulacyjnych. W kwietniu 2021 r. platforma została pozwana w Wielkiej Brytanii przez byłą komisarz ds. dzieci (o pozwie można przeczytać na stronie poświęconej tej sprawie).
Zarzuty dotyczą niewystarczającej przejrzystości w informowaniu o rodzaju przetwarzanych danych i przetwarzaniu danych bez podstawy prawnej. Dodatkowo w lipcu 2021 r. holenderski organ nadzoru nałożył na TikTok karę w wysokości 750 000 euro za nieudostępnienie użytkownikom polityki prywatności w języku holenderskim, co doprowadziło do tego, że dla użytkowników mogło nie być jasne, w jaki sposób ich dane osobowe są przetwarzane przez platformę.
Karolina Romanowska, adwokat, praktyka prawa pracy kancelarii Wardyński i Wspólnicy