Ochrona prywatności użytkowników gier wideo
Wprowadzenie
Jak wynika z raportu Entertainment Software Association, 75% amerykańskich gospodarstw domowych może pochwalić się co najmniej jedną osobą, która gra regularnie w gry wideo[1]. Z tej formy rozrywki korzysta regularnie aż 64% amerykańskich dorosłych i 70% osób poniżej 18 roku życia[2]. Warto również zwrócić uwagę, że tylko ok. 21–25% liczby graczy w Stanach Zjednoczonych stanowią osoby poniżej 18 roku życia[3]. Nie ulega wątpliwości, że na Starym Kontynencie statystyki jeszcze nie wyglądają tak imponująco, jednak na pewno będzie się to zmieniało w najbliższych latach[4]. Powyższe dane dotyczące rynku amerykańskiego mogą dziwić, należy jednak zwrócić uwagę, że bardzo duży odsetek osób dorosłych gra w gry wideo przeznaczone na urządzenia mobilne, takie jak smartfony, które również są uwzględniane w ramach badań rynkowych.
Wraz ze wzrostem popularności gier wideo coraz istotniejsza jest kwestia zapewnienia ochrony użytkowników. O ile wcześniej pytania w tym zakresie dotyczyły przede wszystkim treści zawartych w grach, o tyle w ostatnich 10 latach coraz ważniejsza staje się ochrona danych osobowych i prywatności użytkowników. Najistotniejszym problemem jest globalny charakter tej formy rozrywki cyfrowej, co skutkuje tym, że dane użytkowników często podlegają transferowi na serwery znajdujące się w państwach trzecich w stosunku do EOG (np. Stany Zjednoczone). W rezultacie konieczne jest zapewnienie odpowiedniej ochrony danych z uwzględnieniem różnic, jakie dotyczą regulacji prawnych. Sprawa ta nabrała jeszcze większego znaczenia po niedawnym wyroku TSUE w sprawie Schrems II[5].
W powyższym zakresie bardzo ważne jest też, czyje dane są przetwarzane. Mimo wciąż rosnącej liczby dorosłych użytkowników nadal główną grupą odbiorców branży gier wideo jest młodzież i dzieci[6], a grupa ta jest objęta szczególną ochroną na gruncie RODO.
Ochrona prywatności a ochrona danych osobowych
Ochrona prywatności i ochrona danych osobowych nie są pojęciami równoznacznymi i nie powinny być w ten sposób traktowane. W przypadku korzystania z usług świadczonych drogą elektroniczną i gier wideo prywatność osoby fizycznej może być zagrożona w zakresie wykraczającym poza ochronę danych osobowych[7]. W przypadku ochrony prywatności regulacje będą dotyczyły przede wszystkim działalności państwa w postaci gromadzenia danych i informacji o jednostce w ramach działań inwigilacyjnych, a w zakresie ochrony danych – działalności przedsiębiorców przetwarzających dane w ramach różnych operacji. Głównym celem ochrony prywatności jest zapewnienie poufności informacji. Z kolei istotą ochrony danych jest kontrolowanie zakresu wykorzystania informacji stanowiących dane osobowe, co przejawia się w objęciu ochroną również tego typu obszarów, które nie są związane stricte z prywatnością, jak np. prawo do sprostowania danych[8]. Zakresy obu praw będą się w większości, co do zasady, pokrywać. Naturalną konsekwencją powyższego jest pewna dominacja zagadnień dotyczących ochrony danych osobowych ze względu na zasięg i znaczenie RODO.
Podział sektora gier wideo z perspektywy ochrony prywatności i danych
Celem dokonania charakterystyki sektora gamingowego warto posłużyć się podziałem zaproponowanym w raporcie pt. Privacy in Gaming opracowanym przez Center on Law and Information Policy Fordham Law School[9]. Badacze dokonali podziału na trzy zasadnicze segmenty:
- gry mobilne;
- gry przeznaczone na komputery osobiste i konsole;
- gry przeznaczone do korzystania za pomocą sprzętu VR[10].
Powyższy podział, mimo że może wyglądać jak proste zestawienie platform do grania, niesie za sobą bardzo istotne implikacje dotyczące zakresu danych przetwarzanych przez producentów gier. W szczególności należy zwrócić uwagę na kategorię gier mobilnych, które użytkowane są za pomocą urządzenia (np. smartfona), które spełnia również inne funkcje niż platforma do gier. Naturalną konsekwencją tego stanu rzeczy jest, że urządzenia tego typu mogą gromadzić nie tylko w czasie rozgrywki dużo różnych danych, w tym danych osobowych.
Problemy prawne dotyczące prywatności w grach wideo
Zaczynając od najbardziej ogólnych problemów prawnych, pierwszym wyzwaniem z perspektywy zapewnienia należytego poziomu ochrony prywatności jest zidentyfikowanie wszystkich przepływów danych związanych z danymi osobowymi. Powyższe może sprawiać pewne trudności, zwłaszcza w przypadku gier przeznaczonych do rozgrywki wieloosobowej, ale jest niezbędne do realizacji całego szeregu obowiązków wynikających z rozporządzenia RODO[11], jak np. prowadzenia rejestru czynności przetwarzania (art. 30 RODO), zapewnienia odpowiednich środków technicznych i organizacyjnych (art. 24 RODO), wykazania podstawy dla przetwarzania danych (art. 6 RODO) czy realizacji obowiązków informacyjnych (art. 13 i 14 RODO).
Kolejnymi problemami, na jakie mogą natrafić dystrybutorzy gier w kontekście ochrony prywatności użytkowników, jest zapewnienie realizacji ich praw wynikających z RODO. Gry wideo, ze względu na swoją specyfikę techniczną i skomplikowanie, mogą powodować wystąpienie po stronie dostawcy gier konieczności wprowadzenia niezbędnych zmian w oprogramowaniu oraz opracowywania procedur celem skutecznej realizacji omawianych praw. W przypadku niektórych typów gier (np. gier o istotnym aspekcie wieloosobowym) trudne może być zapewnienie graczom prawa do usunięcia ich danych. Takie roszczenie ze strony gracza w niektórych grach wieloosobowych może realnie wpłynąć na sytuację innych użytkowników tej gry. Istotne jest również odpowiednie zapewnienie możliwości dostępu graczy do informacji na temat przetwarzania ich danych w przypadku, gdy korzystają oni z prawa dostępu, w tym przeglądu wszystkich kategorii informacji, które przechowują dostawcy gier, oraz celów i okresu przechowywania. Na marginesie należy także zwrócić uwagę na niezwykle ciekawy wątek realizacji prawa do przenoszenia danych (art. 20 RODO). W wyjątkowych sytuacjach gracze mogą starać się egzekwować od dystrybutora gry wideo prawo do otrzymania dotyczących ich danych osobowych w ustrukturyzowanym, powszechnie stosowanym i nadającym się do odczytu maszynowego formacie w celu przekazania tych danych do innego dostawcy gier.
Jak zostało już wyżej wskazane, dostawcy gier wideo koncentrują się przede wszystkim na osobach małoletnich jako ich grupie docelowej. W przypadku tej grupy dostawcy gier powinni zachować szczególną ostrożność, jeżeli opierają przetwarzanie danych na uzasadnionym interesie podmiotu administratora (art. 6 ust. 1 lit. f RODO). W przypadku danych dotyczących dzieci większość działań związanych z przetwarzaniem powinna być ograniczona do tego, co jest ściśle niezbędne do zapewnienia gry. Już samo uzyskanie zgody w przypadku dzieci może sprawić trudność administratorowi. Przede wszystkim dystrybutor musi być świadom występowania różnic w przepisach krajowych dotyczących wieku cyfrowej zgody, która może również wynikać z tego, jaką właściwość prawną przyjmą państwa członkowskie do uregulowania tej kwestii – czy decydująca będzie siedziba administratora, czy miejsce zamieszkania dziecka[12].
Zgodnie z RODO każdy administrator danych musi utrzymywać środki techniczne i organizacyjne w celu zapewnienia odpowiedniego poziomu bezpieczeństwa danych (art. 32 RODO). Zwłaszcza dostawcy gier przeglądarkowych lub gier dla wielu graczy mogą przechowywać na serwerach ogromne ilości danych osobowych, powinni więc dołożyć znacznych starań, aby zasada adekwatności ochrony danych została zachowana[13]. Szczególnie w przypadku gier mobilnych bardzo istotny jest model dostarczania gier w zamian za dane, które są później udostępniane sieciom reklamowym. W takim wypadku użytkownik – mimo że potencjalnie nie dokonuje płatności określonej kwoty pieniężnej – dokonuje wymiany (płaci) swoimi danymi osobowymi. Wzajemne relacje podmiotów w ramach takiej sieci reklamowej są bardzo skomplikowane, a rola poszczególnych podmiotów w zakresie danych użytkownika może się różnić np. w zależności od danej czynności przetwarzania. Dany podmiot może w takim wypadku dokonywać czynności przetwarzania danych jako podmiot przetwarzający lub samemu być administratorem. Powyższe będzie szczególnie istotne z perspektywy wyboru właściwej podstawy przetwarzania danych.
W przypadku gier mobilnych często dochodzi do sytuacji, że uzyskują one dostęp do dodatkowych danych o użytkowniku lub jego urządzeniu, które – mogłoby się wydawać – nie są niezbędne z punktu widzenia ani stosunku prawnego łączącego użytkownika z producentem gry (platformą), ani samej rozgrywki. Administrator powinien wtedy pamiętać o zapewnieniu odpowiednich zgód. Ponadto tradycyjne konsole, takie jak PlayStation czy Microsoft Xbox, gromadzą dodatkowe informacje na temat ich użytkowników, takie jak np. treści tworzone przez użytkowników (wiadomości, obrazy, pliki audio i wideo) czy informacje o płatnościach i historii zakupów, w tym także korzystając w przypadku określonych danych z plików cookies[14]. W takiej sytuacji konieczne jest dopełnienie również właściwych dla plików cookies obowiązków, które obecnie wynikają z Prawa telekomunikacyjnego[15] (wkrótce Prawa komunikacji elektronicznej).
Ostatnią z kwestii, na którą chciałbym zwrócić uwagę, jest zagadnienie transferu danych. Gry, zwłaszcza te z trybem wieloosobowym, co do zasady wymagają międzynarodowego transferu danych, np. umieszczania danych gracza na serwerach na całym świecie lub ujawniania niektórych danych gracza innym graczom w ramach koncepcji gry[16].
Swobodny przepływ danych graczy z UE do krajów spoza UE jest możliwy tylko w bardzo ograniczonym zakresie. Powyższa kwestia stała się w ostatnim czasie przedmiotem szerokiego komentarza ze względu na wyrok Trybunału Sprawiedliwości z 16 lipca 2020 r. w sprawie Schrems II, który był kontynuacją wcześniejszej sprawy Schrems I. W wyroku w sprawie Shrems II Trybunał stwierdził, że decyzja wykonawcza Komisji (UE) 2016/1250 z 12 lipca 2016 r., przyjęta na mocy dyrektywy 95/46 Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA, jest nieważna. Powyższe oznacza, że dokonywanie transferów danych osobowych na podstawie Tarczy Prywatności UE–USA jest niedopuszczalne od daty wydania orzeczenia. Pomimo że decyzja Komisji zatwierdzająca standardowe klauzule umowne została utrzymana w mocy, to Trybunał stwierdził, że samo zawarcie umowy z wykorzystaniem klauzul nie czyni transferu dopuszczalnym. Niezależnie od tego należy równocześnie dokonać uprzedniej oceny, czy importer danych jest w stanie spełnić warunki ochrony określone standardowymi klauzulami zatwierdzonymi przez Komisję Europejską, w szczególności czy nie uniemożliwia mu tego wewnętrzne prawo obowiązujące w danym państwie trzecim[17].
W związku z powyższym dostawca gier wideo w przypadku transferu danych z obszaru UE do Stanów Zjednoczonych (eksporter) powinien dokonać analizy odpowiedniości ochrony danych w państwie trzecim z uwzględnieniem ustawodawstwa wewnętrznego tego państwa, jak również okoliczności samego transferu danych[18]. Jeżeli na skutek dokonanej analizy eksporter poweźmie wątpliwości odnośnie do adekwatności ochrony w państwie trzecim, to powinien rozważyć wdrożenie dodatkowych, organizacyjnych, technicznych i prawnych środków zabezpieczenia przekazywanych danych[19]. Eksporter nie powinien również zapominać o konieczności należytego udokumentowania wykonania analizy i wdrożenia wskazanych powyżej dodatkowych środków zabezpieczających transfer danych[20].
Podsumowanie
W przypadku sektora gier wideo można wymienić cały szereg zagrożeń, które mogą oddziaływać na prywatność użytkownika, a jednocześnie nie prowadzić do naruszenia ochrony danych osobowych. Warto jednak stwierdzić, że to właśnie zagrożenia dotyczące ochrony danych, takie jak ich wyciek czy transfer do kraju trzeciego niezapewniającego adekwatnej ochrony, należy obecnie wskazać jako kluczowe.
W kontekście ochrony prywatności w przypadku gier wideo można ponadto zwrócić uwagę na takie problemy prawne, jak:
- identyfikacja wszystkich przepływów danych związanych z danymi osobowymi;
- zapewnienie prawidłowej realizacji praw podmiotów przetwarzania danych wynikających z RODO przy jednoczesnym uwzględnieniu specyfiki technicznej gry wideo;
- przetwarzanie danych osobowych osób małoletnich;
- zapewnienie adekwatnych środków technicznych i organizacyjnych służących ochronie danych;
- kwestia zbierania dodatkowych danych, np. dotyczących lokalizacji, za pomocą urządzeń końcowych oraz oprogramowania typu cookies.
Artykuł stanowi znacząco skróconą i zmodyfikowaną wersję publikacji, która ukazała się w najnowszym dodatku do „Monitora Prawniczego” – Prawo nowych technologii, pt. Ochrona prywatności użytkowników gier wideo – zarys problematyki prawnej (link). Artykuł jest dostępny również w systemie informacji prawnej
[1] Raport pt. 2020 Essential Facts About the Video Game Industry, dostępny na: https://www.theesa.com/esa-research/2020-essential-facts-about-the-video-game-industry/ (dostęp: 30.11.2020).
[2] Ibidem.
[3] Ibidem.
[4] Na przykład zgodnie z infografiką dostępną na stronie: https://mypmr.pro/products/rynek-gier-w-polsce-2019 (dostęp: 20.08.2020 r.) w gry komputerowe grało 16,6 mln Polaków w wieku 15–55 lat.
[5] Wyrok TSUE z dnia 16 lipca 2020 r. w sprawie C-311/18, Komisarz ds. ochrony danych przeciwko Facebook Ireland Ltd i Maximillian Schrems, ECLI:EU:C:2020:559, Legalis (dalej: „Schrems II”).
[6] D. Graziano, Study shows major generational divide on online privacy attitudes, BGR, 25.03.2013, [online] https://bgr.com/2013/04/25/online-piracy-study-young-adults-465164/ (dostęp: 30.11.2020).
[7] M. Rojszczak, Ochrona prywatności w cyberprzestrzeni z uwzględnieniem zagrożeń wynikających z nowych technik przetwarzania informacji, Warszawa 2019, Lex/el. 2020, rozdz. 1.3. Prywatność a ochrona danych osobowych – związek pojęciowy.
[8] Ibidem.
[9] N.C. Russell, J.R. Reidenberg, S. Moon, Privacy in Gaming, 28 Fordham Intell. Prop. Media & Ent. L.J., dostępne na: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3147068 (dostęp: 30.11.2020).
[10] Na marginesie warto wyróżnić jeszcze jeden typ gier, który zasadniczo występuje w ramach wszystkich trzech powyżej wskazanych kategorii, tj. gry wykorzystujące rozszerzoną rzeczywistość (ang. Augmented Reality). Ze względu na sposób korzystania z tej technologii powyższemu typowi gier najbliżej jest do gier wykorzystujących rzeczywistość wirtualną (ang. Virtual Reality, VR).
[11] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. UE. L 119, str. 1; dalej: „RODO”.
[12] M. de Bazelaire de Ruppierre, Komentarz do art. 8, [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, Warszawa 2018, Legalis, Nb 1.
[13] Źródło: https://www.lexology.com/library/detail.aspx?g=f8d16ece-5ac2-461b-b738-20324ed580ac (dostęp: 1.12.2020).
[14] N.C. Russell, Privacy in Gaming…
[15] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.
[16] Zob. https://www.lexology.com/library/detail.aspx?g=f8d16ece-5ac2-461b-b738-20324ed580ac (dostęp: 1.12.2020).
[17] X. Konarski, Wyrok w sprawie Schrems II i jego znaczenie dla transferu danych do Stanów Zjednoczonych i innych państw trzecich, Traple, 27.07.2020, [online] https://www.traple.pl/2020/07/27/wyrok-w-sprawie-schrems-ii-i-jego-znaczenie-dla-transferu-danych-do-stanow-zjednoczonych-i-innych-panstw-trzecich/ (dostęp: 23.09.2020).
[18] X. Konarski, Znaczenie wyroku w sprawie Schrems II dla stosowania standardowych klauzul ochrony danych, Traple, 3.09.2020, [online] https://www.traple.pl/2020/09/03/znaczenie-wyroku-w-sprawie-schrems-ii-dla-stosowania-standardowych-klauzul-ochrony-danych/ (dostęp: 4.09.2020).
[19] Ibidem.
[20] Ibidem.