Zgodnie z definicją, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Natomiast możliwa do zidentyfikowania osoba to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy itp..
Jakie dane mogą być przetwarzane?
Zakres danych osobowych przetwarzanych w danej grze może być najróżniejszy, natomiast możliwe jest wyszczególnienie kilku głównych kategorii danych:
- Dane dotyczące konta użytkownika – np. imię i nazwisko, wizerunek, adres
- Dane dotyczące płatności – np. związane z mikropłatnościami
- Dane dotyczące parametrów technicznych sprzętu i oprogramowania – np. specyfikacja sprzętowa, adresy IP, MAC, UDID
- Dane dotyczące aktywności gracza w grze – np. najczęstsze ustawienia gracza, wybierane opcje
- Dane dotyczące obsługi klienta – np. skargi i problemy zgłaszane przez graczy dotyczące bugów, zachowań innego gracza, raporty błędów itp.
- Dane dotyczące komunikacji w grze – np. pochodzące z czatów
- Dane statystyczne graczy – np. na potrzeb tworzenia rankingów
Wybrane obowiązki
Administrator Danych Osobowych musi spełnić wiele obowiązków oraz zasad, które zostały wskazane w RODO. Poniżej wybranych zostało kilka z nich.
Legalność przetwarzania – każdy z procesów związany z przetwarzaniem danych osobowych musi opierać się na właściwej podstawie prawnej. Błędną praktyka jest nadmiarowe zbieranie zgód, gdy nie jest to potrzebne. Inne podstawy, które mogą mieć zastosowanie, to m. in. niezbędność w celu wykonania umowy czy uzasadniony interes administratora.
Obowiązek informacyjny – każdy gracz lub użytkownik musi zostać poinformowany o szeregu kwestii związanych z danymi osobowych. Informacja taka musi zostać dostarczona najpóźniej w momencie zebrania danych. Tak więc należy odpowiednio zaprojektować, w jaki sposób i kiedy będzie wyświetlany komunikat czy polityka prywatności.
Korzystanie przez dzieci – W przypadku zbierania danych osobowych dzieci, co często ma miejsce w przypadku gier, nałożone zostały dodatkowe wymogi. Obejmują one m. in. kierowanie komunikatów prostym i jasnym językiem, a czasami weryfikację, czy rodzic wyraził zgodę na przetwarzanie danych.
Risk Based Approach
Implementacja wszelkich przedsięwzięć, które obejmują przetwarzanie danych osobowych, musi opierać się o przeprowadzoną analizę ryzyka. Pozwala ona wykazać (co jest wymagane przez zasadę rozliczalności), że wdrożone zostały odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z prawem. Ogólny wymóg monitorowania ryzyka dla praw i wolności wynika z art. 24 ust. 1 RODO.
Ponadto art. 25 RODO wskazuje na obowiązek oceny ryzyka już w fazie projektowania danego procesu. Założenie to służy weryfikacji, czy planowane środki realizacji wymogów są adekwatne do poziomu zidentyfikowanych ryzyk, jakie mogą się łączyć z przetwarzaniem danych. Taka wstępna ocena pozwala również ocenić, czy w danej sytuacji może istnieje konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA), czyli tzw. „pogłębionej analizy ryzyka”, uregulowanej w art. 35 RODO.
Przeprowadzenie analizy ryzyka oraz oceny skutków dla ochrony danych powinno być traktowane przede wszystkim jako pomoc dla organizacji w identyfikacji wrażliwych oraz najbardziej narażonych na niekorzystne skutki obszarów, dzięki czemu możliwe będzie nie tylko zapewnienie zgodności z przepisami, ale przede wszystkim położenie nacisku na te elementy procesów, które wymagają skuteczniejszych zabezpieczeń, zaangażowania większych środków technicznych oraz organizacyjnych. Dodatkowo organizacja weryfikuje, czy użytkownicy mogą w skuteczny sposób realizować swoje prawa i wolności (np. wycofanie zgody, aktualizacja lub sprostowanie danych, prawo do sprzeciwu, prawo do przeniesienia danych itp.).