Home Aktualności Ochrona danych osobowych w grach mobilnych – rady praktyczne

Ochrona danych osobowych w grach mobilnych – rady praktyczne

by Alicja Krawczyńska
Opublikowano:

Twórcy gier mobilnych są zobowiązani do przestrzegania przepisów dotyczących ochrony danych osobowych. Jako zapalony…

RODO w grach mobilnych

Twórcy gier mobilnych są zobowiązani do przestrzegania przepisów dotyczących ochrony danych osobowych. Jako zapalony gracz, ale także twórca gier i jednocześnie osoba zajmująca się zawodowo ochroną danych osobowych, często spotykam się z poważnymi błędami w realizacji tego obowiązku. Zazwyczaj polegają one albo na zupełnym ignorowaniu przepisów RODO, albo na nadgorliwości przejawiającej się w  tworzeniu wielu dokumentów i procedur „na wszelki wypadek”.  W poniższym tekście postaram się nieco „odczarować” stosowanie przepisów dotyczących ochrony danych osobowych.

4 ważne zasady RODO w grach

Aby nasze gry mobilne działały w zgodzie z przepisami RODO musimy pamiętać o czterech czynnościach:

  1. ustaleniu rodzaju przetwarzanych danych;
  2. uzyskaniu zgody na ich przetwarzanie;
  3. spełnieniu obowiązku informacyjnego;
  4. usunięciu danych, gdy już nie będą nam potrzebne

Ustalenie rodzaju przetwarzanych danych zgodnie z zasadą minimalizacji

Tworząc grę mobilną zazwyczaj planujemy także jej uroczystą premierę, połączoną z wręczeniem nagród i relacją w mediach (społecznościowych i tradycyjnych). To właśnie te działania, a nie sama gra powodują konieczność pozyskania danych osobowych graczy. Dane osobowe definiujemy jako wszelkie informacje pozwalające na zidentyfikowanie danej osoby fizycznej. Na tym etapie trzeba się zastanowić, jakie dane będą nam potrzebne do wykonania określonych czynności. Na przykład: jeżeli gra jest dla dzieci, to muszę mieć: zgody rodziców na udział dzieci w zabawie (imię i nazwisko dziecka i rodzica), numer telefonu do kontaktu w czasie gry (gdyby gracz zboczył z trasy i się pogubił), podpisane zdjęcie najlepszych graczy (imię i nazwisko, nick, wizerunek). Jeżeli będą nagrody, to potrzebne jest też pokwitowanie odbioru nagrody (imię i nazwisko). Sporządzając taką listę automatycznie uzyskujemy wykaz niezbędnych danych osobowych. W ten sposób postępujemy zgodnie z obowiązującą zasadą minimalizacji pozyskiwanych danych osobowych (art. 5, ust. 1, lit. c rozporządzenia RODO).

Uzyskanie zgody na przetwarzanie danych

W swojej praktyce uczestnika i twórcy gier nie spotkałam się jeszcze z sytuacją, gdy uczestnictwo w grze w odbywało się na innej podstawie prawnej (dotyczącej ochrony danych osobowych) niż świadoma zgoda gracza. Jest ona warunkiem koniecznym do spełnienia wymagań przepisów RODO w grach.

Należy pamiętać, że w przypadku, gdy umieszczamy klauzulę zgody, np. w regulaminie gry – to musi być ona przedstawiona w sposób pozwalający ją łatwo wyróżnić wśród innych zapisów. Ponadto jej treść ma być napisana prostym i łatwym do zrozumienia językiem.

W przypadku gdy gracze mają mniej niż 16 lat powinniśmy pozyskać od ich rodziców pisemną zgodę na uczestnictwo w grze ich dziecka i na przetwarzanie jego danych  osobowych. W przypadku osób starszych możemy ograniczyć się do formularza zgody potwierdzanego bezpośrednio w aplikacji.

UWAGA: Nie wolno „mieszać” lub łączyć ze sobą zgody na przetwarzanie danych osobowych i zgody na wykorzystanie wizerunku. Są to odrębne kwestie prawne…   [podpowiedź: w niektórych sytuacjach taka zgoda w ogóle nie jest potrzebna, a informację o wykorzystaniu wizerunku można „wrzucić” bezpośrednio do tekstu regulaminu gry]. Zagadnienia związane z wykorzystaniem wizerunku graczy oraz zdjęć ich autorstwa wymagają szerszego omówienia, dlatego zrobię to dokładniej w kolejnym artykule.

Spełnienie obowiązku informacyjnego

Autorzy gry mobilnej muszą  spełnić obowiązek informacyjny wynikający z art. 13. RODO. Klauzula informacyjna najczęściej jest umieszczana w grze razem z regulaminem. Powinna zawierać następujące dane:

  • tożsamość i dane kontaktowe administratora i jego Inspektora Ochrony Danych Osobowych (jeśli został powołany);
  • rodzaj przetwarzanych danych (np.: imię i nazwisko, nr telefonu, wizerunek, itp.)
  • cel i podstawę prawną przetwarzania danych;
  • informację o ewentualnych odbiorcach danych, o ich przekazaniu do państw trzecich lub organizacji międzynarodowej (albo stwierdzenie o braku takiego przekazania);
  • okres przetwarzania i przechowywania pozyskanych danych;
  • informację o prawie gracza do: dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, cofnięcia zgody, przenoszenia danych, a także o możliwości wniesienia skargi do organu nadzorczego;

Jeżeli administrator planuje wykorzystać pozyskane dane do zautomatyzowanego podejmowania decyzji lub do profilowania uczestników gry, to także musi o tym poinformować w klauzuli informacyjnej.

Usunięcie danych

Artykuł 5 ust. 1 lit. e unijnego rozporządzenia o ochronie danych osobowych wyraźnie wskazuje, że dane nie mogą być przechowywane dłużej niż jest to niezbędne do celów, w których są przetwarzane. Z tego powodu w interesie twórcy gry jest jak najszybsze usunięcie tych danych. Nie ma wytycznych jednoznacznie wskazujących, jak długo powinno się je przechowywać. Na podstawie własnej praktyki sugeruję, aby klauzule zgód niszczyć po ok. dwóch tygodniach po zakończeniu rozgrywki i rozdaniu nagród. Dane cyfrowe (punktacja w grze, czas przejścia) można usunąć w części zawierającej dane osobowe i pozostawić tylko informacje statystyczne.

Może się wydawać, że przepisy RODO bardzo komplikują proces tworzenia i przeprowadzania gier mobilnych. To mylne wrażenie. RODO w grach mobilnych nie jest tak trudne, jakby się mogło wydawać. Wystarczy raz wypracować sobie procedurę i wzory dokumentów, a później tylko je dostosować do konkretnej gry. Naczelną zasadą, o której zawsze należy pamiętać jest minimalizacja danych.

Czy można zrealizować grę bez przetwarzania danych?

Na koniec warto zadać sobie pytanie: Czy jest możliwe przeprowadzenie gry bez przetwarzania danych osobowych?

Tak. Po spełnieniu 4 następujących warunków:

  1. nie pobieramy żadnych danych osobowych od uczestników (ewentualnie prosimy o podanie pseudonimu);
  2. rozgrywki będą bez nagród;
  3. nie umieszczamy w mediach społecznościowych zdjęć wykonanych przez uczestników w trakcie gry;
  4. w grze nie będzie rankingów końcowych.

Z przetwarzania danych osobowych rezygnujemy często, gdy po uroczystej premierze z nagrodami nasza gra „wisi” sobie na serwerze.  Jest równie dostępna dla wszystkich chętnych graczy. Wtedy uzyskanie zgody na przetwarzanie danych staje się praktycznie niemożliwe.

Najważniejsze przepisy dotyczące przetwarzania danych osobowych:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). (Dz. Urz. UE z 4.05.2016 r. L 119, s. 1).
  2. Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000).
  3. Ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. poz. 730).

 

Zobacz także