Blog stworzyliśmy w kreatorze WebWave.

Zobacz także:

kontakt

Privacy by design, czyli uwzględnianie ochrony danych w fazie projektowania, w przypadku gier mobilnych będzie polegało na zastosowaniu od samego początku takich rozwiązań, które zapewnią odpowiednią ochronę danych osobowych użytkowników. Ochronę tę należy mieć na uwadze również w trakcie aktualizacji. Nawet jeśli w procesie projektowania gier uczestniczy prawnik, wydawca powinien wiedzieć, na jakie aspekty należy szczególnie zwrócić uwagę.

Privacy by design i privacy by default w grach mobilnych

06 października 2021

Autor

Maciej Bednarek

radca prawny

Cóż, w tym miejscu nie mogę nie odwołać się do treści przepisu art. 25 RODO, który nakłada na administratora danych osobowych obowiązek zapewnienia odpowiednich środków technicznych i organizacyjnych, których celem jest wypełnienie wspomnianych wyżej zasad. Administrator, uwzględniając czynniki wymienione w rozporządzeniu (takie jak: stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania) wdraża środki, które mają zapewnić stosowanie zasady privacy by design:

  • zaprojektowane w celu skutecznej realizacji zasad ochrony danych (np. minimalizacji danych);
  • w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

 

W zakresie privacy by default administrator musi z kolei dbać o to, aby przetwarzać tylko dane niezbędne do osiągnięcia konkretnego celu przetwarzania, co odnosi się do:

  • zbieranych danych osobowych, 
  • zakresu ich przetwarzania, 
  • okresu ich przechowywania 
  • ich dostępności (w tym w zakresie uniemożliwienia udostępnienia danych bez interwencji danej osoby nieokreślonej liczbie osób fizycznych).

Gra mobilna umożliwia użytkownikom nie tylko samodzielne i indywidualne oddawanie się ulubionej rozrywce, ale w wielu przypadkach pozwala na interakcję z innymi graczami. Jest to niewątpliwa ich zaleta. Użytkownik może konkurować z innymi, rzeczywistymi osobami, co przekłada się na jego zainteresowanie i zaangażowanie w grę. W większości przypadków, nowi gracze muszą podać administratorom gier szereg informacji i dokonać rejestracji, zanim przejdą do rozgrywki. Taka rejestracja może odbywać się bezpośrednio w danej aplikacji albo poprzez przekierowanie użytkownika z zewnętrznego portalu (Facebook, Google). Każdy ze sposobów rejestracji może stanowić wyzwanie, jeśli chodzi o zapewnienie bezpieczeństwa przekazywanych w ten sposób danych. 

Mogłoby się wydawać, że wystarczy uwzględnić przepisy RODO na etapie planowania gry, co zapewni nam zgodne z RODO przetwarzanie danych na przyszłość. Niestety, nic bardziej mylnego - ochrona danych osobowych powinna nam towarzyszyć na każdym etapie powstawania gry mobilnej. Jest to przecież proces, w trakcie którego zmieniamy ustawienia, wdrażamy nowe pomysły. Gra podlega również aktualizacjom, gdy jest już wydana. Zasada privacy by design obowiązuje zarówno w czasie określania sposobów przetwarzania, jak w czasie, gdy przetwarzanie danych jest już w toku. Wiąże się z nią również zasada privacy by defult, zgodnie z którą administrator przetwarza domyślnie tylko takie dane, które są niezbędne do osiągnięcia danego celu przetwarzania. 

Na czym polega przetwarzanie danych w grze mobilnej?

Ochrona danych osobowych na etapie projektowania

Jakie obowiązki nakłada na nas RODO?

  • Środki techniczne to środki wdrożone w samej aplikacji (np. sposób logowania, uwierzytelniania użytkowników, zaszyfrowania ich danych itp.) 
  • Środki organizacyjne polegają natomiast na takim zaplanowaniu i prowadzeniu działalności przez administratora, które zapewni faktyczne wdrożenie wskazanych wyżej zasad przez administratora oraz jego personel (np. przyjęcie i wdrożenie odpowiednich polityk w zakresie bezpieczeństwa danych, uwzględniających zasady płynące z RODO, zadbanie o to, by dane przetwarzały wyłącznie osoby do tego upoważnione itp.).

 

W przyjętych 20 października 2020 r. Wytycznych nr 4/2019 Europejskiej Rady Ochrony Danych dotyczących artykułu 25 pn. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych Wersja 2.0 wprost wskazano, że: „administratorzy danych są zobowiązani do przetwarzania danych osobowych wyłącznie za pomocą systemów i technologii, które mają zintegrowaną ochronę danych”.

 

Powyższe oznacza, że autor gry mobilnej powinien m.in.:

  1. przejrzyście i jasno informować o zasadach przetwarzania danych – mnogość i nieczytelność dokumentów uniemożliwia realną ocenę spełniania przez dostawcę wymogów,
  2. wykorzystywać dane pozyskane w ramach gry wyłącznie w konkretnych i uzasadnionych celach – przede wszystkim do umożliwienia korzystania z niej, a nie np. w celach marketingowych czy do profilowania uczestników,
  3. domyślnie przetwarzać wyłącznie dane niezbędne do udziału w grze,
  4. przechowywać dane pozyskane w związku z udziałem użytkowników w grze wyłącznie przez okres niezbędny do realizacji celów,
  5. gwarantować intuicyjną funkcjonalność gry oraz bezpieczeństwo przetwarzanych danych.  

Z mojego doświadczenia wynika, że na tym etapie klienci żądają najczęściej konkretów. Czyli przedstawienia konkretnych środków, które mogą wdrożyć, aby zapewnić i być w stanie udowodnić, że wypełniają powyższe zasady ochrony danych osobowych. Takiego katalogu zasad i standardów, uniwersalnego dla wszystkich administratorów danych osobowych nie da się stworzyć, ponieważ każda sytuacja jest inna. Administratorzy pozyskują i przetwarzają różne dane osobowe, w różnych celach. Możemy jednak odwołać się do konkretnych stanów faktycznych, które podlegały ocenie przez organy nadzorcze w niektórych krajach.

PokemonGO, czyli jak przetwarzać dane o lokalizacji

PokemonGo to gra, w której najbardziej niebezpiecznym elementem jest udostępnianie danych o prawdziwej lokalizacji użytkownika. Użytkownicy udostępniają sobie nawzajem dane o lokalizacji, a także swoją nazwę użytkownika, co jest możliwe, jeżeli znajdują się w odległości 500m od miejsca określonego w grze. Część użytkowników zataja swoje prawdziwe położenie, aby pozyskać dane o lokalizacji graczy znajdujących się w dalszych lokalizacjach.  Zdaniem osoby, której dane dotyczą, która dokonała zgłoszenia w tym zakresie, pozyskanie tych danych może prowadzić w rezultacie do ujawnienia miejsca pracy lub pobytu tych osób, a także prowadzić do przypadków stalkingu lub niepokojenia graczy, z których większość to osoby małoletnie. 


Aplikacja PokemonGo oraz powyższe zarzuty odnośnie jej funkcjonowania były przedmiotem rozważań hiszpańskiego organu nadzoru (The Agencia Española de Protección de Datos), który w dniu 18.05.2021 r. (data publikacji rozstrzygnięcia) uznał, że gra zapewniała należyty sposób ochrony i przeciwdziałała w odpowiedni sposób praktykom graczy, którzy stosują techniki odnoszące się do fałszowania swojej lokalizacji.

 

Wdrożone przez firmę Niantic (wydawcę PokemonGo) środki ostrożności to:

  • polityka bezpieczeństwa, zgodnie z którą użytkownik stosujący wskazaną wyżej technikę otrzymywał trzykrotne upomnienie;
  • informacja dla użytkownika, że jego dane są udostępniane;
  • zalecenie, aby nie podawać prawdziwego nazwiska; 
  • brak czatu, który umożliwiałby bezpośrednią komunikację;
  • zakaz nękania oraz nadużywania aplikacji;
  • ograniczony zakres udostępnianych danych;
  • wybór opcji prywatności oraz informacji. 

Czym są środki techniczne i organizacyjne?

Przykłady wdrożenia zasad RODO

Jak nie tworzyć aplikacji?

Kolejna sprawa miała miejsce w Norwegii. Nie dotyczy bezpośrednio gier, ale może posłużyć jako przykład nienależytego zastosowania opisywanych przeze mnie zasad. Norweski organ nadzoru (Datatilsynet) rozpatrywał sprawę aplikacji szkolnej Showbie dla dzieci o specjalnych potrzebach. Pierwotnym celem aplikacji było ułatwienie komunikacji między szkołą a rodzicami. W aplikacji były jednak m.in. przetwarzane dane medyczne, a zatem dane szczególnej kategorii (wrażliwe). W wyniku przeprowadzonego postępowania Datatilsynet nałożył na miasto Rælingen karę w wysokości 800 000 NOK (tj. ok. 80 000 EURO) za nieprawidłowości w funkcjonowaniu tej aplikacji.


Jak funkcjonowała aplikacja? Rodzice i dzieci nie miały oddzielnych kont, a do aplikacji można było dodać informacje o zdrowiu i przyjmowanych lekach. Brak było regulaminu, który wskazywałby jak w sposób bezpieczny użytkować aplikację i nie było wdrożonego podwójnego systemu uwierzytelnienia (wymaganego przez tamtejszy urząd z uwagi na przetwarzanie danych zdrowotnych). Aplikacja nie zapewniała należytej ochrony danych osobowych, użytkownicy nie mieli żadnych wskazówek, w jaki sposób mogą i powinni z niej korzystać. Gdyby autorzy Aplikacji zastosowali zasady privacy by design i privacy by default to już na etapie tworzenia Aplikacji przewidzieliby odpowiednie dokumenty i sposób uwierzytelnienia. Jeżeli natomiast w trakcie użytkowania Aplikacji pojawiłby się pomysł dzielenia się danymi zdrowotnymi to byliby w stanie zareagować i wprowadzić odpowiednie rozwiązania w zakresie bezpieczeństwa takich danych. 

Niestety nie ma gotowych rozwiązań i standardów, które gwarantowałoby zgodność przetwarzania danych osobowych z prawem w każdej sytuacji. Każdy administrator winien podejść indywidualnie do własnej sytuacji i ocenić ją obiektywnie pod kątem ryzyka. Inne będzie ryzyko, jeżeli będziemy przetwarzać, np. wyłącznie pseudonim danej osoby, a inne jeżeli w grze zażądamy danych o lokalizacji użytkownika. Podsumowując, aby dostosować się do RODO i wypełnić jego wymogi musimy zawsze mieć w myślach ochronę danych osobowych - zarówno na etapie projektowania, jak i tworzenia oraz użytkowania aplikacji mobilnej.