GDPR compliance для Gamedev

SDK як перешкода на шляху до GDPR compliance

Software Development Kit (SDK) – набір інструментів розробки програмного забезпечення для конкретної платформи. Інакше кажучи, SDK – це пакет бібліотек, який встановлюється разом з грою та значно розширює її функціональні можливості (наприклад, Unreal Developer Kit, Fyber, NativeX та ін.).

За статистикою, 58 % всіх Android-додатків містять хоча б один сторонній SDK. У сфері GameDev саме через сторонні SDK, як правило, здійснюється показ реклами та збираються персональні дані гравців. Найбільш популярні Android-додатки містять в середньому 18 SDK, що мовою юристів у сфері захисту персональних даних звучить приблизно як «18 випадків потенційного порушення GDPR», адже через сторонні SDK третіми особами можуть збиратися персональні дані користувачів без отримання будь-якої згоди.

Слід зазначити, що сторонній SDK не обов’язково повинен використовуватися додатком (грою), адже самого факту наявності стороннього коду вже достатньо для створення потенційної загрози для безпеки персональних даних.

Українським GameDev компаніям варто провести аналіз ринку та виділити сервіси, договірна база (в тому числі, ліцензії на використання SDK) та алгоритм роботи з якими  є максимально прозорими та найбільше відповідають вимогам GDPR. Окрім того, необхідним є укладання з такими сервісами додаткових договорів, які б встановлювали особливості обробки персональних даних та розмежовували відповідальність сторін.

Як бути з неповнолітніми?

До числа основних категорій гравців в онлайн-ігри, передусім, належать неповнолітні у віці від 2 до 18 років.

GDPR відносить дітей до «вразливих» категорій суб’єктів персональних даних, які потребують «особливого захисту». На практиці це покладає на контролера низку додаткових зобов’язань та обмежень: особливий порядок і форма отримання згоди на обробку персональних даних, неможливість надсилання прямих маркетингових повідомлень та ін.

Як правильно отримати згоду дитини на обробку персональних даних?

GDPR закріплює, що за загальним правилом згода на обробку персональних даних надається:

• особою, якій виповнилося 16 років, – самостійно;
• особою, яка не досягла 16 років, – батьками.

Національне законодавство держав-членів ЄС може знижувати дану вікову межу, але в будь-якому випадку вона не повинна бути нижчою 13 років. Ось тут виникає складність для компаній, які реалізують ігри в декількох країнах одночасно.

Розглянемо варіант, за якого українська GameDev компанія пропонує онлайн ігри у декількох країнах ЄС. Припустимо, що більшість гравців знаходяться у Сполученому Королівстві, де дитина самостійно може надавати згоду на обробку своїх персональних даних з 13 років. Українська компанія як законослухняний контролер призначила свого представника у Сполученому Королівстві. Однак чи означає це, що така компанія при отриманні згоди дитини, наприклад, з Німеччини, має враховувати положення про вік, закріплені законодавством Сполученого Королівства? GDPR це запитання прямо не вирішує.

Керуючись роз’ясненнями контролюючих органів, можна стверджувати, що українська GameDev компанія при отриманні згоди дитини на обробку персональних даних повинна враховувати вікові обмеження, встановлені національним законодавством кожної держави-члена ЄС, де перебувають гравці.

Вимоги до форми отримання згоди дитини

Відповідно до вимог GDPR, якщо має місце обробка персональних даних неповнолітніх, всі повідомлення та інформація, які надаються дитині, повинні бути сформульовані простою та зрозумілою мовою.

Інформація не обов’язково повинна надаватися у письмовій формі, вона може бути представлена будь-якими іншими засобами, в тому числі електронними.

GameDev компаніям іноді доцільно розглянути можливість інформування неповнолітніх про порядок обробки персональних даних за допомогою відео, анімації чи картинок з поясненнями. Особливо актуальний даний спосіб для компаній, які реалізують ігри для смартфонів чи планшетів, де існують об’єктивні обмеження у способах представлення інформації користувачу.

Головний критерій, яким повинна керуватися GameDev компанія при обранні форми повідомлення неповнолітньому про особливості обробки його персональних даних, – це об’єктивна можливість дитини в силу свого віку зрозуміти зміст такої інформації.

Що в Америці?

Якщо українська GameDev компанія через розроблені нею ігри отримує персональні дані неповнолітніх осіб зі Сполучених Штатів Америки, на неї поширюється дія Children’s Online Privacy Protection Act in US (COPPA).

COPPA закріплює, що згоду на обробку персональних даних дітей віком до 13 років повинні надавати виключно батьки та передбачає перелік бажаних способів для отримання такої згоди:

• шляхом підписання згоди та надіслання одного екземпляру електронною поштою або факсом (метод «друк і відправка»);
• проведення трансакції з використанням платіжної картки батьків або іншої платіжної системи;
• шляхом телефонного або відео дзвінку батьків на гарячу лінію компанії;
• верифікація батьків за допомогою унікального номеру документів, що посвідчують їх особу, шляхом звірки з урядовими базами даних (за умови, що компанія негайно після перевірки видалить всі ідентифікаційні дані батьків).

Дотримуючись вимог GDPR, компанія побічно відповідатиме й положенням COPPA. Однак у будь-якому випадку необхідним є аналіз кожного окремого кейсу.

KidSafe

KidSafe – це процедура добровільної сертифікації онлайн платформ та сервісів (включаючи веб-сайти онлайн ігор), які забезпечують належний рівень онлайн безпеки дітей.

Для проходження сертифікації сервіс повинен забезпечувати:

• заходи безпеки для веб-чата, форуму (за їх наявності);
• наявність доступних правил та інформації стосовно безпеки дітей в онлайн середовищі;
• процедуру вирішення скарг та інших питань безпеки;
• механізм батьківського контролю;
• відповідність контенту та реклами віку дитини.

Після проходження сертифікації продукт додається до «білого» списку KidSafe, а компанія отримує право розміщувати відмітку про відповідність вимогам KidSafe на своєму веб-сайті, у додатку чи грі.

GameDev компаніям, які високо цінують свою репутацію на міжнародному ринку, доцільно розглянути можливість проходження міжнародної сертифікації.

Реклама в іграх

Зазвичай реклама в іграх реалізується із залученням сторонніх сервісів через SDK. Таким сервісам не потрібен доступ до всіх персональних даних гравців, як правило, їм достатньо інформації про ІР-адресу (статичну чи динамічну), тип браузера, Device ID гравця.

Використання обмежених даних не дозволяє стороннім сервісам дізнатися імена конкретних суб’єктів. Іноді така ситуація формує хибне уявлення про те, що онлайн ідентифікатори не є персональними даними.

Згідно з новими підходами GDPR та Європейського суду з прав людини, онлайн ідентифікатори, хоча й не дозволяють ідентифікувати конкретну особу, але:

• теоретично можуть забезпечити можливість ідентифікації (наприклад, якщо сервіс показу реклами отримає додаткову інформацію про власника ІР-адреси від розробника гри чи інтернет-провайдера);
• роблять можливим моніторинг поведінки власника конкретного онлайн ідентифікатора, а, отже, забезпечує «виділення» суб’єкта даних з-поміж інших.

Таким чином, онлайн ідентифікатори в абсолютній більшості випадків будуть вважатися персональними даними в розумінні GDPR, а сторонні сервіси показу реклами виступатимуть контролерами таких даних.

Якщо після кліку по рекламному оголошенню в грі, гравець переходить на веб-сайт рекламодавця, який самостійно збирає персональні дані про нього, то рекламодавець також виступатиме контролером у розумінні GDPR.

У процесі реалізації реклами в іграх взаємодіють три основні суб’єкти:

• GameDev компанія – розробник гри;
• сторонній сервіс показу реклами;
• кінцевий рекламодавець.

Залежно від особливостей кожного окремого проекту, вони можуть виступати спільними чи самостійними контролерами. GameDev компанії повинні забезпечити, щоб ролі та обов’язки з дотримання вимог GDPR були належним чином розподілені у відповідних договорах.

Висновки

Для забезпечення відповідності GameDev компаній вимогам GDPR необхідно враховувати наступну специфіку:

• провести аналіз ринку та обрати сервіси, договірна база (зокрема, ліцензії на використання SDK) та алгоритм роботи з якими є максимально прозорими та найбільше відповідають вимогам GDPR;
• особливу увагу приділити правильності отримання згоди на обробку персональних даних від неповнолітніх осіб;
• для компаній, які високо цінують свою ділову репутацію, доцільно розглянути можливість проходження міжнародної сертифікації;
• у договорах із сторонніми сервісами показу реклами чітко встановлювати особливості обробки персональних даних та розмежовувати відповідальність сторін.