GDPR compliance для Gamedev

SDK как преграда на пути к GDPR compliance

Software Development Kit (SDK) — набор инструментов разработки программного обеспечения для конкретной платформы. Иначе говоря, SDK — это пакет библиотек, который устанавливается вместе с игрой и значительно расширяет ее функциональные возможности (например, Unreal Developer Kit, Fyber, NativeX и др.).

По статистике, 58% всех Android-приложений содержат хотя бы один сторонний SDK. В сфере GameDev именно через сторонние SDK, как правило, осуществляется показ рекламы и собираются персональные данные игроков.
Наиболее популярные Android-приложения содержат в среднем около 18 SDK, что на языке юристов в сфере защиты персональных данных звучит примерно как «18 случаев потенциального нарушения GDPR», ведь через сторонние SDK третьими лицами могут собираться персональные данные пользователей без получения какого-либо согласия.
 

Следует отметить, что сторонний SDK не обязательно должен использоваться приложением (игрой), ведь самого факта наличия постороннего кода уже достаточно для создания потенциальной угрозы для безопасности персональных данных.

Украинским GameDev компаниям следует провести анализ рынка и выделить сервисы, договорная база (в том числе, лицензии на использование SDK) и алгоритм работы с которыми максимально прозрачны и наиболее соответствуют требованиям GDPR. Кроме того, необходимо заключение дополнительных договоров с такими сервисами, которые бы устанавливали особенности обработки персональных данных и разграничивали ответственность сторон.

Как быть с несовершеннолетними?

К числу основных категорий игроков в онлайн-игры, прежде всего, относятся несовершеннолетние в возрасте от 2 до 18 лет.
GDPR относит детей к «уязвимым» категориям субъектов персональных данных, которые нуждаются в «особой защите».

На практике это возлагает на контролера ряд дополнительных обязательств и ограничений: особый порядок и форма получения согласия на обработку персональных данных, невозможность отправки прямых маркетинговых сообщений и др.

Как правильно получить согласие ребенка на обработку персональных данных?

GDPR закрепляет, что по общему правилу согласие на обработку персональных данных предоставляется:

• лицом, которому исполнилось 16 лет, — самостоятельно;
• лицом, не достигшим 16 лет, — родителями.

Национальное законодательство государств-членов ЕС может снижать данную возрастную границу, но в любом случае она не должна быть ниже 13 лет. Вот здесь возникает сложность для компаний, реализующих игры в нескольких странах одновременно.

Рассмотрим вариант, при котором украинская GameDev компания предлагает онлайн игры для нескольких стран ЕС. Предположим, что большинство игроков находятся в Соединенном Королевстве, где ребенок самостоятельно может давать согласие на обработку своих персональных данных с 13 лет. Украинская компания как законопослушный контроллер назначила своего представителя в Соединенном Королевстве. Однако означает ли это, что данная компания при получении согласия ребенка, например, из Германии, должна учитывать положения о возрасте, закрепленные законодательством Соединенного Королевства?
GDPR этот вопрос прямо не решает.

Руководствуясь разъяснениями контролирующих органов, можно утверждать, что украинская GameDev компания при получении согласия ребенка на обработку персональных данных должна учитывать возрастные ограничения, установленные национальным законодательством каждого государства-члена ЕС, где находятся игроки.

Требования к форме получения согласия ребенка

В соответствии с требованиями GDPR, если имеет место обработка персональных данных несовершеннолетних, все сообщения и информация, предоставляемые ребенку, должны быть сформулированы простым и понятным языком.

Информация не обязательно должна предоставляться в письменной форме, она может быть представлена ​​любыми другими средствами, в том числе электронными.

GameDev компаниям иногда целесообразно рассмотреть возможность информирования несовершеннолетних о порядке обработки персональных данных с помощью видео, анимации или картинок с пояснениями.
Особенно актуален данный способ для компаний, реализующих игры для смартфонов или планшетов, где существуют объективные ограничения в способах представления информации пользователю.

Главный критерий, которым должна руководствоваться GameDev компания при выборе формы сообщения несовершеннолетнему об особенностях обработки его персональных данных, — это объективная возможность ребенка в силу своего возраста понять содержание такой информации.

Что в Америке?

Если украинская GameDev компания через разработанные ею игры получает персональные данные несовершеннолетних из США, на нее распространяется действие Children’s Online Privacy Protection Act in US (COPPA).

COPPA закрепляет, что согласие на обработку персональных данных детей в возрасте до 13 лет должны предоставлять исключительно родители и предусматривает перечень желаемых способов для получения такого согласия:

• путем подписания согласия и направления одного экземпляра по электронной почте или по факсу (метод «печать и отправка»);
• проведение сделки с использованием платежной карточки родителей или другой платежной системы;
• путем телефонного или видео звонка родителей на горячую линию компании
• верификация родителей с помощью уникального номера документов, что удостоверяющие их личность, путем сверки с правительственными базами данных (при условии, что компания немедленно после проверки удалит все идентификационные данные родителей).

Следуя требованиям GDPR, компания косвенно будет отвечать и положениям COPPA. Однако в любом случае необходим анализ каждого отдельного кейса.

KidSafe

KidSafe — это процедура добровольной сертификации онлайн платформ и сервисов (включая веб-сайты онлайн игр), которые обеспечивают надлежащий уровень онлайн безопасности детей.

Для прохождения сертификации сервис должен обеспечивать:

• меры безопасности для веб-чата, форума (при их наличии);
• наличие доступных правил и информации по безопасности детей в онлайн среде;
• процедуру разрешения жалоб и других вопросов безопасности;
• механизм родительского контроля;
• соответствие контента и рекламы возрасту ребенка.

После прохождения сертификации продукт добавляется в «белый» список KidSafe, а компания получает право размещать отметку о соответствии требованиям KidSafe на своем сайте, в приложении или игре.

GameDev компаниям, которые высоко ценят свою репутацию на международном рынке, целесообразно рассмотреть возможность прохождения международной сертификации.

Реклама в играх

Обычно реклама в играх реализуется с привлечением сторонних сервисов через SDK. Таким сервисам не нужен доступ ко всем персональным данным игроков, как правило, им достаточно информации об IP-адресе (статический или динамический), типе браузера, Device ID игрока.

Использование ограниченных данных не позволяет сторонним сервисам узнать имена конкретных субъектов. Иногда такая ситуация формирует ложное представление о том, что онлайн идентификаторы не являются персональными данными.

Согласно новым подходами GDPR и Европейского суда по правам человека, онлайн идентификаторы, хотя и не позволяют идентифицировать конкретное лицо, но:

• теоретически могут обеспечить возможность идентификации (например, если сервис показа рекламы получит дополнительную информацию о владельце IP-адреса от разработчика игры или интернет-провайдера)
• делают возможным мониторинг поведения владельца конкретного онлайн идентификатора, а, следовательно, обеспечивает «выделение» субъекта данных от других.

Таким образом, онлайн идентификаторы в абсолютном большинстве случаев будут считаться персональными данными в понимании GDPR, а сторонние сервисы показа рекламы будут выступать контроллерами таких данных.

Если после клика по рекламному объявлению в игре, игрок переходит на сайт рекламодателя, который самостоятельно собирает персональные данные о нем, то рекламодатель также будет выступать контроллером в понимании GDPR.

В процессе реализации рекламы в играх взаимодействуют три основных субъекта:

• GameDev компания – разработчик игры;
• сторонний сервис показа рекламы;
• конечный рекламодатель.

В зависимости от особенностей каждого отдельного проекта, они могут выступать совместными или самостоятельными контролерами. GameDev компании должны обеспечить, чтобы роли и обязанности по соблюдению требований GDPR были должным образом распределены в соответствующих договорах.

Выводы

Для обеспечения соответствия GameDev компаний требованиям GDPR необходимо учитывать следующую специфику:

• провести анализ рынка и выбрать сервисы, договорная база (в частности, лицензии на использование SDK) и алгоритм работы с которыми максимально прозрачными и наиболее соответствуют требованиям GDPR;
• особое внимание уделить правильности получения согласия на обработку персональных данных от несовершеннолетних лиц;
• для компаний, которые высоко ценят свою деловую репутацию, целесообразно рассмотреть возможность прохождения международной сертификации;
• в договорах с посторонними сервисами показа рекламы четко устанавливать особенности обработки персональных данных и разграничивать ответственность сторон.