10 grudnia 2021

Ochrona danych osobowych w branży gamingowej. O czym trzeba pamiętać

Udostępnij

Naczelnym aktem całościowo regulującym tematykę danych osobowych oraz ochrony tych danych na terenie Unii Europejskiej jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE  (dalej jako: „RODO”).

Głównym celem RODO jest ujednolicenie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi.

Akt ten obowiązuje we wszystkich państwach członkowskich Unii Europejskiej i jest on stosowany wprost, a zatem wszystkie podmioty prowadzące działalność gospodarczą na terenie któregokolwiek państwa członkowskiego UE są zobligowane działać w zgodzie z RODO. Takie rozwiązanie znacznie ułatwia funkcjonowanie i kontrolę podmiotów działających w branży gamingowej, które prowadzą działalność na terenie więcej niż jednego państwa, a społeczność korzystająca z ich usług jest bardzo zróżnicowana pod względem miejsca zamieszkania.

Czym są dane osobowe?

W celu ujednolicenia pojęcia danych osobowych RODO wprowadza własną definicję, stanowiąc, że dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – osobie, której dane dotyczą. Możliwa do zidentyfikowania osoba fizyczna to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Analizując powyższą definicję, widać, iż najprostszymi danymi są właśnie wskazane imię, nazwisko, data urodzenia, adres zamieszkania, adres poczty elektronicznej itp. Należy jednak zaznaczyć, że dane osobowe to wszelkie informacje o osobie, a zatem są nimi także inne informacje dotyczące konkretnej osoby, takie jak geolokalizacja, dzienna liczba wykonywanych kroków, liczba godzin poświęconych przez gracza na granie w grę komputerową, dane karty płatniczej używanej do płacenia za produkty i usługi.

Katalog danych osobowych jest katalogiem otwartym i stale się powiększa. Rodzi to wiele problemów i nakłada na podmioty przetwarzające dane osobowe obowiązek zachowania szczególnej ostrożności, czy dane przez nie przetwarzane nie powinny być przetwarzane w zgodzie z RODO. Niewiedza nie zwalnia z odpowiedzialności i może skutkować wysokimi karami finansowymi. 

Przetwarzanie danych

Wątpliwości rodzi nie tylko kwestia klasyfikacji danych jako dane osobowe, ale również problematyka ich przetwarzania.

Unijny ustawodawca definiuje przetwarzanie jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Kazuistyczna definicja przetwarzania szeroko opisuje wszelkie możliwe czynności, które podmiot może dokonywać z użyciem danych. Tak szeroka regulacja skutkuje w zasadzie uznaniem każdej możliwej czynności dokonanej z użyciem danych osobowych za ich przetwarzanie.

Jakie dane gromadzą przedstawiciele branży gamingowej?

Stworzenie wyczerpującej listy danych gromadzonych przez przedstawicieli branży gamingowej nie jest możliwe. Część danych jest pozyskiwana od graczy i przetwarzana w momencie nawiązywania współpracy, a część danych jest generowana w trakcie gry. Mając wskazane okoliczności na uwadze, można wyodrębnić kilka grup danych, które gromadzone są przez przedstawicieli branży gamingowej.

  • Dane dotyczące konta użytkownika – dane te są gromadzone przede wszystkim podczas tworzenia konta przez użytkownika, który ma stałe prawo do modyfikacji tych danych już po założeniu konta. Najczęściej dane te dotyczą imienia i nazwiska gracza, płci, kraju pochodzenia, numeru telefonu, adresu poczty elektronicznej oraz daty urodzenia gracza. Pozwalają one przypisać konto do konkretnej osoby fizycznej, uniemożliwić dostęp do konta osobom nieupoważnionym i ustalić wiek gracza.
  • Dane dotyczące płatności – część dostawców gier, poza zakupem samej gry, oferuje również możliwość zakupu różnego rodzaju ulepszeń i modyfikacji już w trakcie użytkowania gry poprzez tzw. mikrotransakcje. W związku z tym dostawcy gier komputerowych gromadzą dane każdej transakcji (dane kupującego na fakturze, przedmiot transakcji, informacje o płatności, dane do wysyłki), tworząc ogólną historię transakcji, a także listę zakupionych produktów, usług. W zależności od wyboru sposobu płatności, konieczne może być podanie danych identyfikujących kartę debetową lub kredytową.
  • Dane dotyczące parametrów technicznych sprzętu i oprogramowania – w trakcie korzystania z usług dostawcy gier komputerowych, niezbędne jest, aby gracz korzystał z odpowiedniego urządzenia końcowego, w szczególności konsoli, komputera, telefonu. Każde z tych urządzeń ma indywidualny adres IP, a także określone parametry techniczne w postaci specyfikacji sprzętowej, używanego oprogramowania, ustawień, niezbędnych wtyczek, używanej przeglądarki internetowej, wersji aplikacji, modelu telefonu komórkowego, źródłowego URL, z którego gracz trafił na stronę itp.
  • Dane dotyczące aktywności gracza w grze – specyfika korzystania przez gracza z usług dostępnych w grze może stanowić cenne źródło informacji dla dostawcy gry przy jej ulepszaniu i modyfikacji, a także do celów marketingowych. Z tego powodu dostawcy gier gromadzą informacje dotyczące aktywności, zachowań i postaw gracza, czyli np. czas poświęcany na grę, najczęściej wybierane opcje w grze, najczęstsze ustawienia itp.
  • Dane dotyczące obsługi klienta – w trakcie korzystania z gry mogą powstać różnego rodzaju problemy związane z funkcjonowaniem gry lub kontaktami interpersonalnymi graczy. Skutkiem tego jest generowanie i gromadzenie danych powstałych w procesie rozwiązywania problemów graczy. Skargi i problemy zgłaszane przez graczy mogą dotyczyć zarówno tzw. bugów (błędów) w grze, jak i zachowań czy postępowania innego gracza (oszukiwanie, stosowanie mowy nienawiści). Przykładami danych powstałych w ten sposób są: ograniczenia nałożone na konto gracza w ramach kary, historia skarg, zgłoszony przez gracza problem.
  • Dane dotyczące komunikacji w grze – aby ułatwić komunikację graczy w grze, a także umożliwić zawiązywanie nowych znajomości i wspólne granie przyjaciół, sporo gier ma własne komunikatory – głosowe lub w formie czatu. Umożliwienie graczom komunikacji skutkuje obowiązkiem przetwarzania danych zawartych w konwersacjach głosowych i czatach. Aby tego uniknąć, część dostawców uniemożliwia zapisanie konwersacji i jej odtworzenie po zamknięciu lub wylogowaniu się z konta.
  • Dane statystyczne graczy – dane o wynikach osiąganych przez graczy są zbierane i przetwarzane na potrzeby tworzenia statystyk i uwidaczniania ich w turniejach, meczach, pojedynkach i różnego rodzaju rankingach. Cel gromadzenia takich danych to współzawodnictwo i klasyfikowanie poziomu gracza, aby dopasować mu współgraczy odpowiednich do jego umiejętności.

W jakich momentach współpracy z graczem przedstawiciel branży gamingowej gromadzi i przetwarza dane gracza?

Przedstawiciel branży gamingowej przetwarza dane gracza od momentu rozpoczęcia współpracy z graczem, tj. od kiedy gracz zakupi grę lub założy konto niezbędne do zakupienia gry poprzez platformę internetową prowadzoną przez dostawcę gier. Podanie danych do transakcji zakupu lub podczas zakładania konta wiąże się często również z obowiązkiem zaakceptowania regulaminu gry oraz potwierdzeniem zapoznania się z „Polityką prywatności” (ang. Privacy policy). To właśnie w niej dostawca gry zawiera wszystkie informacje dotyczące procesu przetwarzania danych osobowych gracza. A zatem, gracz już na samym początku współpracy zobligowany jest zapoznać się z procedurami, które obowiązują u dostawcy gry i je zaakceptować, ponieważ w innym przypadku uzyskanie dostępu do gry oraz korzystanie z niej nie będzie możliwe.

Czy gracze czytają regulaminy oraz polityki prywatności? W 2016 r. Norweska Rada Konsumentów udokumentowała, że przeciętny konsument często musiał przeczytać ponad 250 000 słów warunków korzystania z aplikacji. Dla większości ludzi jest to zadanie niewykonalne, dlatego często gracze klikają przycisk zgody, nie czytając warunków wynikających z regulaminów i polityk.

Opisany powyżej etap stanowi dopiero początek gromadzenia i przetwarzania danych osobowych gracza. Jak wskazano powyżej, dane gromadzone są przez cały okres korzystania z gry przez gracza – zarówno w czasie grania, dokonywania mikrotransakcji, jak i w trakcie komunikowania się za pośrednictwem gry z przyjaciółmi. Niektóre gry wymagają zezwolenia na dostęp do kamery, mikrofonu lub danych lokalizacji urządzenia, aby gra działała prawidłowo. Zezwolenie na dostęp podczas gry może być właściwe, ale użytkownik powinien mieć możliwość wyłączenia dostępu, gdy gra nie jest uruchomiona.

Widok na ekran laptopa, na którym widnieje kod programistyczny

Dostawcy gier wykorzystują również zgromadzone dane do wyłapywania hakerów (użytkowników, którzy wykorzystują programy innych firm w celu ulepszenia własnej rozgrywki i ominięcia ograniczeń wprowadzonych przez twórców gry), oszustów (jednego lub kilku użytkowników, którzy organizują grupy w celu sztucznego zwiększenia statystyk dla pewnej części użytkowników) lub trolli.

Należy zaznaczyć, że zakończenie współpracy gracza z dostawcą gry nie oznacza zakończenia przetwarzania danych osobowych gracza i usunięcia ich z baz danych dostawcy. Jednocześnie dane nie mogą być przechowywane przez operatorów dłużej niż jest to konieczne do celów, dla których są przetwarzane.

RODO nie określa, jak długo dane osobowe powinny być przechowywane, więc to dostawcy gier muszą określić (i udokumentować uzasadnienie), jak długo przechowują dane osobowe graczy. W polityce prywatności podawane są najczęściej różne okresy, przez które dane osobowe są przechowywane (w odniesieniu do każdej czynności przetwarzania). Po upływie odpowiedniego okresu przechowywania dane osobowe powinny zostać usunięte lub zanonimizowane.

Podstawy prawne przetwarzania danych

Najbardziej prawdopodobne podstawy prawne, na które powołuje się przedstawiciel branży gamingowej podczas przetwarzania danych osobowych gracza, to:

  • zgoda gracza – należy pamiętać, że że istnieją szczególne ograniczenia i warunki dotyczące możliwości skorzystania z tej podstawy wynikające z przepisów RODO;

przykład: dostawcy gier najczęściej będą musieli rozważyć zgodę jako podstawę prawną przetwarzania danych w kontekście plików cookie i innych działań związanych z marketingiem bezpośrednim;

  • przetwarzanie jest konieczne do wykonania umowy, której stroną jest gracz, lub w celu podjęcia kroków na prośbę gracza przed zawarciem umowy;

przykład: dane osobowe, których dostawca gry potrzebuje do otwarcia konta gracza, spełnienia wymogów weryfikacyjnych, zasadniczo wchodzą w zakres „przetwarzania niezbędnego do wykonania umowy”;

  • przetwarzanie jest niezbędne do spełnienia obowiązku prawnego, któremu podlega dostawca gry;

przykład: przetwarzane dane osobowe są niezbędne w celu spełnienia wymogów prawnych w zakresie przeciwdziałania praniu brudnych pieniędzy;

przykład: w wyjątkowych okolicznościach, na przykład gdy przedstawiciel branży gamingowej zostaje powiadomiony o potencjalnym samobójstwie lub uszkodzeniu ciała gracza i musi podjąć działania w celu ochrony jego życia;

  • przetwarzanie jest konieczne w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

przykład: podanie do publicznej informacji dotyczących osoby stwarzającej zagrożenie dla życia i zdrowia innych w związku z popełnieniem przez nią przestępstwa
i trwającymi poszukiwaniami (tak w D. Lubasz, w: Bielak-Jomaa, Lubasz, RODO, komentarz do art. 6).

  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym;

realizacja przesłanki legalizacyjnej wskazanej w art. 6 ust. 1 lit. e) RODO wymaga istnienia podstawy prawnej określonej w prawie Unii Europejskiej lub prawie państwa członkowskiego, któremu podlega administrator;

przykład: w niektórych jurysdykcjach możliwa jest wymiana danych behawioralnych między operatorami gier hazardowych w celu identyfikacji osób, które mogą być "zagrożone" szkodliwymi skutkami związanymi z grami hazardowymi;  

  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem;

przykład: konieczność modernizacji systemów komputerowych; przetwarzanie danych graczy z tych powodów leży w uzasadnionym interesie dostawcy gry, a także przynosi korzyści graczom; aktualizacje systemu są zazwyczaj zgodne z oczekiwaniami wszystkich graczy, którzy korzystają z gry opartej na określonej technologii.

Obowiązek informacyjny

Zgodnie z art. 13 i 14 RODO gracze mają prawo do informacji o gromadzeniu i wykorzystywaniu ich danych osobowych. Prawo do bycia poinformowanym odnosi się do zasady przejrzystości w RODO wymagającej, aby informacje dotyczące przetwarzania danych osobowych były przedstawione w jasny i zwięzły sposób.

W praktyce, w większości przypadków, dostawcy gier spełniają ten wymóg poprzez politykę prywatności, która jest wyraźnie przedstawiana graczom w momencie rejestracji konta i która jest zawsze obecna na stronie internetowej dostawcy lub w odpowiedniej aplikacji do wglądu dla graczy lub potencjalnych graczy. Sposób podawania informacji graczom musi być starannie przemyślany, aby zapewnić, że są one dla nich jasne i pomocne.

Kim jest i jakie obowiązki posiada administrator danych osobowych?

Administratorem danych osobowych jest:

  • osoba fizyczna,
  • osoba prawna,
  • organ publiczny,
  • jednostka lub inny podmiot,

który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

W tym miejscu należy rozróżnić administratora danych osobowych od osoby przetwarzającej dane osobowe, gdyż osoba przetwarzająca to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora, a zatem nigdy nie robi tego w imieniu własnym. Osoba przetwarzająca jest podmiotem niezależnym od administratora danych, więc powierzenie przetwarzania takiej osobie odbywa się w drodze przekazania kompetencji.

Administrator danych osobowych jako osoba odpowiedzialna za dane osobowe osób powierzających swoje dane musi spełnić szereg wymogów, m.in.:

  • zapewnić odpowiednią infrastrukturę techniczną zapewniającą ochronę danych osobowych przed dostępem osób nieuprawnionych;
  • prowadzić dokumentację zawierającą procedury przetwarzania danych osobowych;
  • kontrolować procesy przetwarzania;
  • kontrolować oraz ewidencjonować osoby upoważnione do przetwarzania danych osobowych w imieniu administratora;
  • prowadzić rejestr czynności przetwarzania danych osobowych;
  • zgłaszać naruszenia danych osobowych do Prezesa UODO;
  • informować osobę, której dane są przetwarzane, o swojej siedzibie, celu przetwarzania danych oraz prawach przysługujących osobie, której dane są przetwarzane, tj. prawie dostępu do swoich danych oraz możliwości ich zmiany.

Współadministrowanie danymi oraz powierzanie przez administratora przetwarzania danych innemu podmiotowi 

RODO zawiera różne obowiązki w zależności od tego, czy dochodzi do współadministrowania danymi, czy też do ich powierzenia innemu podmiotowi.  Dostawcy gier muszą również zawsze rozważyć, czy nastąpi jakikolwiek transfer danych do podmiotu z siedzibą poza Europejskim Obszarem Gospodarczym ("EOG").

Współadministrowanie

W takim przypadku niezbędne jest w pierwszej kolejności ustalenie charakteru relacji obu administratorów. W szczególności dostawca gry najpierw powinien ocenić, czy przetwarzanie wiąże się z przekazywaniem danych:

  • między administratorami danych, gdzie każdy administrator jest odrębnym administratorem danych; lub
  • między administratorami danych, którzy są „współadministratorami”.

W przypadku każdego udostępniania danych, czy to w ramach 1) czy 2), dostawca gry będzie musiał również rozważyć następujące kwestie: 1) czy udostępnianie będzie systematyczne, rutynowe i powtarzalne, czy też wyjątkowe lub jednorazowe; 2) podstawę prawną dla takiego przetwarzania danych.

Jeśli zatem dostawca gry będzie chciał udostępnić dane osobowe innemu podmiotowi np. w celu przeprowadzenia wspólnej kampanii marketingowej z wykorzystaniem poczty elektronicznej, oba podmioty będą musiały wziąć pod uwagę wymogi dotyczące zgody gracza jako podstawy prawnej, w tym fakt, że zgoda będzie musiała być uzyskana konkretnie w celu wykorzystania danych przez innego administratora.

Jeśli chodzi o umowy między administratorami, chociaż RODO nie definiuje obowiązkowych elementów takich umów, dobrą praktyką jest zawieranie umów o udostępnianiu danych, które chronią dane graczy i określaja rolę każdej ze stron.

Ważne: dostawcy gier są zobowiązani do informowania graczy o odbiorcach lub kategoriach odbiorców ich danych osobowych, na przykład poprzez politykę prywatności.

Udostępnianie i przekazywanie danych podmiotom przetwarzającym dane

Administrator danych osobowych może przetwarzać dane korzystając z usług podmiotów specjalizujących się w tym zakresie. Muszą one zapewniać wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi bezpieczeństwa i chroniło prawa osób, których dane dotyczą.

W przypadku przekazania danych podmiotowi je przetwarzającemu, dostawca gry jako administrator decyduje o celu przetwarzania i wykorzystaniu danych, a przetwarzający dane wykonują jedynie polecenia administratora danych osobowych.

W praktyce takie sytuacje występują w przypadku zakupu różnego rodzaju usług przez dostawców gier, np.  przechowywania informacji na serwerach lub zmian w oprogramowaniu, których przedmiotem mogą być bazy danych graczy. Często konieczna jest modernizacja systemów komputerowych, aby zapewnić graczom komfort gry na akceptowalnym poziomie (np. czas reakcji strony), aby zwiększyć bezpieczeństwo (np. zaktualizować poziom stosowanego szyfrowania) oraz z wielu innych powodów. Takie aktualizacje mogą wymagać przetwarzania danych graczy, aby przenieść je z jednego systemu do drugiego lub na przykład odszyfrować i ponownie zaszyfrować zgodnie z nowymi standardami.

Dostawcy gier muszą korzystać wyłącznie z usług podmiotów, które gwarantują, iż wszystkie dokonywane przez te podmioty procesy przetwarzania danych będą spełniać wymogi RODO i chronić graczy. Chodzi o zapewnienie danym osobowym powierzonym do przetwarzania przez podmiot zewnętrzny standardów ochrony nie niższych niż te, których prawo wymaga od administratora.

Przy wyborze takich podmiotów dostawca gry ma obowiązek zachować należytą staranność oraz ocenić i udokumentować dokonany wybór.  Dostawca gry musi zapewnić, że ma zawartą ważną, pisemną umowę (w tym w formie elektronicznej)  z podmiotem przetwarzającym dane. Umowa dotycząca przetwarzania danych musi zawierać (jako minimum) wymogi zawarte w art. 28 ust. 3 lit. a)-h) RODO.

Dodatkowo wskazać należy, iż przekazując dane osobowe innemu administratorowi danych lub podmiotowi przetwarzającemu dane, dostawca gry musi pamiętać o obowiązkach w przypadku przekazywania danych osobowych do państw trzecich (państw spoza EOG), które nie zapewniają odpowiedniego poziomu ochrony. W każdym przypadku przekazywanie danych do państw trzecich i organizacji międzynarodowych może się odbywać wyłącznie w pełnej zgodzie z RODO.

widok na klawiaturę laptopa, po której pisze ręka robota

Komisja Europejska może stwierdzić ze skutkiem dla całej Unii, że państwo trzecie - lub terytorium lub określony sektor w państwie trzecim - lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony danych, gwarantując tym samym pewność i jednolitość prawną w całej Unii w odniesieniu do państw trzecich lub organizacji międzynarodowych, które zostały uznane za zapewniające taki stopień ochrony. W takich przypadkach przekazywanie danych osobowych do tego państwa trzeciego lub tej organizacji międzynarodowej może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia. Administrator danych osobowych może przekazać dane do podmiotu, wobec którego nie została wydana ww. decyzja, jednak podmiot ten musi zapewnić odpowiednie zabezpieczenia oraz mieć obowiązujące przepisy normujące egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

W tym miejscu wspomnieć należy istotny wyrok Trybunału Sprawiedliwości UE z dnia 16 lipca 2020 r., C-311/18 (Schrems i Facebook Ireland), który ma znaczenie w zakresie przesyłania danych użytkowników do Stanów Zjednoczonych. Zgodnie z treścią wyroku Tarcza Prywatności, czyli porozumienie między USA a UE pozwalające amerykańskim firmom internetowym na swobodne przesyłanie danych osobowych z Unii do Stanów Zjednoczonych, jest nieważna. Za ważną podstawę prawną transferu danych między UE a USA Trybunał uznał natomiast decyzję Komisji ws. tzw. standardowych klauzul umownych, z tym zastrzeżeniem, iż krajowe organy ochrony danych i sądy mogą orzec, że w konkretnym przypadku również klauzule nie zapewniają wymaganej ochrony.

W związku z powyższym wyrokiem wskazać należy, iż posługiwanie się przez dostawców gier standardowymi klauzulami ochrony danych zatwierdzonymi przez Komisję Europejską nie we wszystkich przypadkach czyni transfer danych do państwa trzeciego dopuszczalnym. Jakie niesie to dla dostawców gier konsekwencje?  Przede wszystkim winni oni każdorazowo dokonywać analizy przepisów regulujących ochronę danych w państwie trzecim w celu ustalenia, czy państwo to zapewnia odpowiedni stopień ochrony (X. Konarski, Znaczenie wyroku w sprawie Schrems II dla stosowania standardowych klauzul ochrony danych, dostępne na: https://www.traple.pl/2020/09/03/znaczenie-wyroku-w-sprawie-schrems-ii-dla-stosowania-standardowych-klauzul-ochrony-danych/).

W przypadku Wielkiej Brytanii, Komisja Europejska przyjęła 28.06.2021 r. dwie decyzje wykonawcze stwierdzające odpowiedni poziom ochrony danych osobowych w Wielkiej Brytanii. Wyżej wskazane decyzje wydano  na okres czterech lat; oznaczają one swobodny transfer danych osobowych do Wielkiej Brytanii.

Profilowanie gracza

Rozwój systemów komputerowych spowodował proces coraz większego automatyzowania procesu podejmowania decyzji, co przynosi korzyści zarówno graczom, jak i dostawcom gier.

Artykuł 22 RODO jako jeden z rodzajów zautomatyzowanego przetwarzania danych wskazuje „profilowanie”. Zgodnie z definicją tego pojęcia, zawartą w art. 4 pkt 4 RODO, „profilowanie” oznacza „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. Profilowanie opiera się zatem na tworzeniu profili osobowościowych.

Wskazać również należy, iż profilowanie może być indywidualne tj. dotyczyć tej samej, zidentyfikowanej osoby i być oparte na danych osobowych tej osoby pozyskiwanych z różnych źródeł, lub statystyczne czyli dotyczyć konkretnej osoby, ale być oparte na danych statystycznych, które mogą się okazać nieprawdziwe w konkretnym przypadku.

Aby przetwarzanie danych mieściło się w definicji profilowania, musi:

  • obejmować przetwarzanie zautomatyzowane;
  • być dokonywane na danych osobowych; oraz
  • mieć na celu ocenę indywidualnych cech/zachowań gracza.

Przepisy RODO nie zabraniają profilowania (które jednak musi być w pełni z RODO zgodne),  traktując je jako jedną z form zautomatyzowanego przetwarzania danych.

RODO wymaga od operatorów gier dostarczania graczom informacji na temat istnienia zautomatyzowanego procesu podejmowania decyzji, w tym profilowania. Dostawcy gier muszą jednak uważać, by nie dostarczyć graczom zbyt szczegółowych danych.  Na przykład w przypadku profilowania do celów zapobiegania przestępstwom oraz ochrony graczy nie można udostępniać graczom wszystkich informacji stojących za tym procesem, ponieważ umożliwiłoby to graczom obejście systemu kontroli. To, co jest obowiązkowe, to poinformowanie gracza o przesłankach lub kryteriach, na których oparto się przy zautomatyzowanym podejmowaniu decyzji. Za wystarczające wydaje się zatem podanie graczowi logiki stojącej za zautomatyzowanym podejmowaniem decyzji, tak aby gracz miał niezbędne podstawy do podjęcia świadomej decyzji o ewentualnym sprzeciwie.

Jakie prawa ma gracz w odniesieniu do profilowania?

1. Prawo niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, która wywołuje wobec gracza skutki prawne lub w podobny sposób istotnie na niego wpływa. Od tej zasady przewidziano pewne wyjątki np. gdy decyzja musi być niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem danych lub decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, czy też gdy decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą. W branży gier można przyjąć, że zautomatyzowana decyzja ma skutki prawne dla gracza, jeżeli na przykład jej skutkiem jest poddanie gracza kontroli właściwego organu państwowego. Zautomatyzowana decyzja istotnie wpływa na gracza, w szczególności, gdy może ona potencjalnie wpłynąć na okoliczności, zachowanie lub wybory gracza.

Przykład: dostawca gry wykorzystuje technologię do identyfikacji swoich najbardziej lojalnych graczy, którym chce zaoferować bonus. Chociaż jest to wyłącznie zautomatyzowana decyzja, zaoferowanie bonusu nie będzie miało skutku prawnego oraz nie wpłynie na gracza w znaczący sposób, a co za tym idzie, gracz nie ma prawa sprzeciwu wobec takiej decyzji.

2. Prawo do uzyskania informacji o podstawach podjętej decyzji – tak aby gracz miał niezbędne dane do podjęcia decyzji o sprzeciwie.

3. Gracz winien mieć możliwość kwestionowania decyzji i ubiegania się o bezpośrednią kontrolę lub interwencje człowieka.

Takie przepisy RODO wymagają od dostawcy gier każdorazowej oceny i określenia:

1) czy i kiedy dokonuje profilowania poprzez wykorzystanie wyłącznie zautomatyzowanego przetwarzania lub podejmowania wyłącznie zautomatyzowanych decyzji dotyczących gracza w oparciu o definicje zawarte w RODO, oraz

2) jakie prawa ma gracz w związku z takimi decyzjami.

Warto w tym miejscu także wspomnieć o podnoszonej w literaturze podstawie prawnej przetwarzania dla danych osobowych pozyskanych w ten sposób: „dane zbierane są z różnych źródeł (np. przy pomocy tzw. third party cookies lub wtyczek portali społecznościowych), a następnie wykorzystywane w celach marketingowych, w tym profilowania konkretnych osób przez różne podmioty, właściwą podstawą prawną przetwarzania danych powinna być zgoda osoby, której dane dotyczą”( J. Byrski, H. Hoser, op. cit., s. 4–5.)

Przetwarzanie danych młodych graczy – dzieci

RODO dopuszcza możliwość przetwarzania danych dziecka, różnicując jednak podmiot zobowiązany do wyrażenia zgody w zależności od jego wieku. Otóż dziecko, które ukończyło 16 lat, może samodzielnie wyrazić zgodę na przetwarzanie swoich danych osobowych. Jeżeli dziecko nie ma ukończonych 16 lat, aby przetwarzanie było zgodne z prawem, niezbędna jest zgoda lub aprobata osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem. Przetwarzanie danych osobowych nie może w takim przypadku wychodzić poza zakres wyrażonej przez rodzica/opiekuna zgody. W związku z tym ograniczeniem administrator danych osobowych (w omawianym przypadku dostawca gry komputerowej) jest zobligowany przy zastosowaniu dostępnej technologii podjąć starania w celu weryfikacji, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

Artykuł 8 RODO nie wskazuje, w jaki sposób administrator dokonać ma skutecznej identyfikacji tożsamości rodzica bądź opiekuna prawnego. 

Wskazać należy, iż ciężar udowodnienia faktu skutecznego odebrania zgody bądź potwierdzenia zgody udzielonej przez dziecko na podstawie art. 5 ust. 2 RODO ciąży na administratorze, czyli na dostawcy gry. Jedną ze stosowanych metod może być wykorzystanie adresu e-mail bądź numeru telefonu rodzica bądź opiekuna. Nie daje ono pełnej gwarancji skutecznej identyfikacji tożsamości, a jedynie  wzmacnia wiarygodność pozyskanych danych. Niestety, w praktyce dzieci niejednokrotnie podczas zakładania konta składają fałszywe oświadczenia dotyczące swojej daty urodzenia czy wieku.

Zwrócić należy także uwagę, iż granica 16 lat może zostać obniżona przez państwa członkowskie w prawie krajowym. Granica wiekowa nie może jednak zostać obniżona poniżej 13 lat. Rzeczpospolita Polska nie zdecydowała się na takie obniżenie, stąd obowiązującą pozostaje granica 16 lat.

Dostawcy gier muszą zatem znać przepisy prawa obowiązujące w poszczególnych krajach, tak aby unikać ubiegania się o zgodę osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem, w przypadku gdy dziecko zgodnie z przepisami danego kraju może samodzielnie taką zgodę wyrazić, np. w Danii, Belgii granicę wiekową obniżono do lat 13.

W tym miejscu warto wspomnieć o dodatkowych regulacjach mających na celu zwiększenie bezpieczeństwa dzieci w sektorze gier. Brytyjski organ ds. ochrony danych osobowych The Information Commissioner’s Office („ICO”), stworzył kodeks postępowania dotyczący usług online świadczonych dzieciom (kodeks dostępny pod adresem: https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-a-code-of-practice-for-online-services/). Dokument stworzony przez ICO koncentruje się na zapewnieniu domyślnych ustawień, które umożliwią dzieciom najlepszy możliwy dostęp do usług online, jednocześnie minimalizując gromadzenie i wykorzystywanie ich danych osobowych. Kodeks zobowiązuje usługodawców, aby ustawienia domyślnie miały „wysoki poziom prywatności”. Gromadzenie i dalsze przetwarzanie danych osobowych dzieci powinno ograniczać się natomiast do minimum. Kodeks zakłada, że co do zasady dane osobowe dzieci nie powinny być udostępniane, zaś usługi geolokalizacyjne powinny być domyślnie wyłączone. Jednocześnie zabrania on zachęcania dzieci do podawania niepotrzebnych danych osobowych, zmniejszania lub wyłączania ustawień prywatności. Kodeks zawiera także postanowienia dotyczące kontroli rodzicielskiej i profilowania. Podobne inicjatywy oraz dokumenty pojawiają się także w krajach Unii Europejskiej np. Danii (Report on GameTech online games gamble with children’s data dostępny jest tutaj: https://dataethics.eu/wp-content/uploads/GameTechEnglishVersion.pdf)

Podsumowanie

Temat ochrony danych osobowych jest szczególnie ważny i aktualny w odniesieniu do branży gamingowej. Sektor gier nabiera coraz większego znaczenia dzięki wykorzystaniu technologii big data i monitorowaniu zachowań graczy w celu poprawy ich doświadczeń, zmniejszenia liczby potencjalnych oszustw i uniknięcia zachowań uzależniających. Ponadto rozwój technologii umożliwiających graczom grę za pomocą urządzeń mobilnych jeszcze bardziej zwiększył ilość danych gromadzonych i wykorzystywanych w sektorze gier. Dane zawsze były istotnym zasobem, zwłaszcza w branży gier online. Istnieją dostawcy gier, którzy dostosowanie swojej oferty do profilu graczy uczynili jednym z głównych motorów swojego rozwoju. Rosnące zainteresowanie grami komputerowymi wśród użytkowników w różnym wieku niesie za sobą nowe wyzwania o charakterze globalnym. Jednym z tych wyzwań jest ochrona danych osobowych graczy, a w szczególności tych najmłodszych, którzy są najbardziej  narażeni na nadużycia. Z tego powodu podmioty działające w branży gamingowej powinny zwracać szczególną uwagę i poświęcać swoje zasoby na możliwie jak największe zabezpieczenie danych swoich użytkowników. Umożliwi to prawidłowy rozwój całej społeczności graczy i pozwoli uniknąć podmiotom działającym w branży gamingowej przykrych incydentów związanych z karami finansowymi czy odszkodowaniami należnymi za niedochowanie należytej staranności podczas ochrony danych osobowych swoich użytkowników.

Ewa Lejman-Widz

radca prawny, doradca podatkowy i partner Kancelarii Adwokaci i Radcowie Prawni Żyglicka i Wspólnicy spółka partnerska z siedzibą w Katowicach. Specjalizuje się w następujących obszarach prawa: IT/IP, e-commerce, gaming and gambling, doradza alternatywnym funduszom inwestycyjnym (ASI, ZASI). Laureatka konkursu Rising Stars Prawnicy – Liderzy Jutra 2015, zajęła 4 miejsce w Polsce.

Przeczytaj więcej takich artykułów w strefie Wiedzy PARP

Artykuł pochodzi z Biuletynu Euro Info 10/2021

 

Zobacz więcej podobnych artykułów