Minimalne wymagania pozwalające wykorzystywać dane osobowe graczy – obowiązek informacyjny w grach wideo

Nie ulega wątpliwości, że podmioty z branży gier wideo prześcigają się w coraz to ciekawszych pomysłach, starając się zdobyć uznanie i rozpoznawalność wśród graczy. Szczególnie w obszarze gier mobilnych, już samo projektowanie bazuje nie tyle na wyczuciu twórców, co na twardych danych, na podstawie których wydawca określa, jakie funkcjonalności są najczęściej wykorzystywane przez graczy, co skłania poszczególne grupy użytkowników do korzystania z mikrotransakcji, czy też jaki rodzaj rozgrywki najbardziej spodobał się danej grupie docelowej lub konkretnemu graczowi.

Poza mikrotransakcjami, istotnym źródłem przychodów branży gier wideo są też dochody z reklam, których podstawą jest odpowiednie targetowanie, opierające się w dużej mierze na przetwarzaniu danych osobowych. Obecnie jednym z głównych źródeł danych pozwalających na targetowanie, są właśnie dane z aplikacji mobilnych (w tym gier). Jest to obszar, w którym użytkownicy niejednokrotnie pozwalają na daleko idące śledzenie niemal całej aktywności na urządzeniu mobilnym, co przekłada się na przetwarzanie szerokich zbiorów danych. Im szerszy zbiór danych, tym większe możliwości, ale też większe ryzyko – developerzy i wydawcy niejednokrotnie je pomijają, podczas gdy jest to jeden z podstawowych obszarów compliance, wiążący się z szeregiem regulacji i mający wpływ na wizerunek spółki.

Czym jest przetwarzanie danych osobowych?

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – przykładowo: imię, nazwisko, adres zamieszkania, adres IP, data urodzenia, numer telefonu, geolokalizacja. Danymi osobowymi są też informacje, które z pozoru nie mają nic wspólnego z konkretną osobą, a jednak pozwalają ją namierzyć – co znacznie poszerza katalog danych, które mogą być uznawane za osobowe (np. cookies ID czy dane pozyskane w wyniku fingerprintingu urządzenia).

Z przetwarzaniem danych osobowych mamy natomiast do czynienia w przypadku operacji lub zestawu operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany – przykładowo: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie. Co istotne, przetwarzanie danych nie oznacza jedynie ich przechowywania! Nawet jeżeli dane nie są przechowywane na serwerach wydawcy czy developera, a są jedynie przekazywane do zewnętrznego podmiotu lub odwrotnie – wykorzystywane są zewnętrzne zbiory danych – takie działanie będzie przetwarzaniem danych osobowych.

Przetwarzanie danych osobowych gracza

Bardzo wiele gier wideo, zwłaszcza mobilnych, w większym lub mniejszym zakresie wiąże się z przetwarzaniem danych osobowych. W zależności od konkretnej sytuacji mogą to być dane osobowe udostępnione bezpośrednio przez gracza (np. w ramach procedury rejestracyjnej – założenie konta lub powiązanie z już istniejącym), dane osobowe pozyskane w trakcie rozgrywki (sposób rozgrywki, „klikalność” poszczególnych funkcjonalności, dane o mikrotransakcjach), a także dane osobowe pozyskane od podmiotu trzeciego (np. wymiana danych między wydawcą a developerem).

W związku z powyższym, podmioty z branży gier wideo powinny mieć świadomość, że przetwarzanie danych osobowych graczy wiąże się z szeregiem obowiązków wynikających z przepisów regulujących ochronę danych osobowych (w tym GDPR oraz CCPA). Jednym z podstawowych – i w praktyce zazwyczaj pierwszym realizowanym obowiązkiem – jest prawidłowe poinformowanie użytkowników, których dane dotyczą o przetwarzaniu ich danych osobowych.

O czym należy poinformować gracza?

Zgodnie z GDPR, które stanowi względnie uniwersalny standard obowiązujący w Unii Europejskiej i jest przyjmowany za punkt odniesienia również przez ustawodawców poza UE, odpowiedzialność za prawidłowe informowanie o przetwarzaniu danych ponosi ich administrator, tj. podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Nie ma on nic wspólnego z administratorem sieci informatycznej itp. – nie jest to konkretny człowiek, a całe przedsiębiorstwo, które decyduje o tym, jakie dane, w jakim celu i w jaki sposób będą przetwarzane.

Administrator danych osobowych powinien przekazać podmiotom danych następujące informacje:

  • tożsamość i dane kontaktowe administratora (pełna nazwa identyfikująca dany podmiot w obrocie gospodarczym oraz dane kontaktowe umożliwiające nawiązanie z nim kontaktu, np. e-mail, numer telefonu);
  • dane kontaktowe inspektora ochrony danych, jeżeli został wyznaczony (imię i nazwisko, adres e-mail lub numer telefonu);
  • cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania (precyzyjne wskazanie po co dane osobowe są przetwarzanie oraz wskazanie konkretnej podstawy prawnej przewidzianej w art. 6 lub 9 GDPR);
  • jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu administratora, należy konkretnie wskazać, jakie prawnie uzasadnione interesy są realizowane przez administratora lub przez stronę trzecią (np. działania marketingowe, obrona przed roszczeniami);
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (np. podmioty współpracujące z administratorem w zakresie usług marketingowych, dostawcy chmury itp.);
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego oraz sposobie zabezpieczenia danych w takim przypadku (np. informacja o przekazywaniu danych do Indii czy USA, ze wskazaniem sposobu prawnego zabezpieczenia takiego przekazania);
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (np. wskazanie konkretnej daty granicznej, wyznaczenie terminu poprzez wskazanie dni, tygodni, miesięcy czy lat, lub okoliczności, od których zaistnienia zależy zakończenie przetwarzania danych);
  • informacje o prawach przysługujących  w związku z przetwarzaniem danych osobowych (np. wskazanie, że gracz ma prawo do dostępu do danych osobowych, żądania ograniczenia przetwarzania jego danych osobowych lub wniesienia skargi do organu nadzorczego);
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych (np. wskazanie, że podanie danych osobowych jest konieczne do przeprowadzenia rejestracji i zawarcia umowy z administratorem); informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, jeżeli ma ono miejsce (np. informacja o dopasowywaniu treści / promocji / rabatów do konkretnego gracza).

Dodatkowo w przypadku, gdy dane osobowe nie zostały pozyskane bezpośrednio od gracza, należy także wskazać źródło ich pochodzenia.

Kiedy należy realizować obowiązek informacyjny?

Standardowo informacje powinny zostać przekazane podczas pozyskiwania danych osobowych. GDPR przewiduje odstępstwo od wskazanej zasady, gdy dane są pozyskiwane w inny sposób niż bezpośrednio od podmiotu danych. W takim przypadku informacje powinny zostać przekazane najpóźniej w ciągu miesiąca od ich pozyskania lub, jeżeli dane osobowe mają być stosowane do komunikacji, najpóźniej przy pierwszej takiej czynności. Wyjątek został także przewidziany na wypadek, gdyby miało dojść do ujawnienia danych innemu odbiorcy. W takiej sytuacji obowiązek informacyjny powinien zostać spełniony najpóźniej przy pierwszym ujawnieniu danych.

W jakiej formie realizować obowiązek informacyjny w grach wideo?

Obecnie najczęściej stosowanym sposobem realizacji obowiązku informacyjnego jest umieszczenie stosownych informacji przez administratora danych osobowych na swojej stronie internetowej lub w ramach aplikacji. Warto jednak pamiętać, że samo umieszczenie niezbędnych informacji na stronie internetowej, podczas gdy dane są pozyskiwane za pośrednictwem aplikacji mobilnej, nie będzie prawidłowe.  

Z kolei w aplikacji mobilnej, trudno jest znaleźć miejsce na ścianę prawniczego tekstu, który może odstraszać userów. W praktyce okazuje się jednak, że takie ściany tekstu są najskuteczniejsze i jednocześnie najbardziej prawidłowe – są szybko „odklikiwane”, a jednocześnie pozwalają na bardzo szerokie przetwarzanie danych. Jednocześnie, choć informacja jest przekazywana przy pierwszym uruchomieniu aplikacji, bardzo trudno jest do niej wrócić w późniejszym czasie – co jest częstym błędem popełnianym przez producentów gier mobilnych. Z tego względu nie należy całkiem rezygnować z zakładek / funkcjonalności odsyłających do polityki prywatności.

Warto także pamiętać, że zgodnie z GDPR obowiązek informacyjny w grze wideo powinien przybrać zwięzłą, przejrzystą i zrozumiałą formę, a język powinien być jasny i prosty. Należy zatem unikać skomplikowanych i rozbudowanych treści, które utrudniają zrozumienie przekazywanych informacji – co jest dużym wyzwaniem w przypadku gier mobilnych skierowanych do szerokiego grona odbiorców, najczęściej międzynarodowego i w różnych grupach wiekowych.

Ryzyko administracyjnej kary pieniężnej

Naruszanie przepisów GDPR, w tym np. brak lub nienależyta realizacja obowiązku informacyjnego, wiąże się z ryzykiem nałożenia na administratora danych osobowych przez organ nadzorczy administracyjnej kary pieniężnej w wysokości do 20 000 000 EUR albo 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Nie ulega wątpliwości, że kary za naruszenie przepisów GDPR mogą być bardzo dotkliwie. Poniżej kilka przykładów:

  • brytyjski organ do spraw ochrony danych osobowych nałożył na British Airways karę w wysokości 20 mln funtów m.in. za nieodpowiednie zabezpieczenie aplikacji mobilnej, co skutkowało wyciekiem do sieci danych osobowych użytkowników, w tym danych kart kredytowych. Ofiarami cyberataku mogło paść ok. 380 tysięcy użytkowników;
  • brytyjski organ do spraw ochrony danych osobowych nałożył na Ticketmaster UK Limited (sprzedaż online biletów na wydarzenia kulturalne) karę w wysokości 1,25 mln funtów za wyciek danych użytkowników do sieci na skutek nieprawidłowego zainstalowania chatbota na stronie służącej do dokonywania płatności;
  • Prezes Urzędu Ochrony Danych Osobowych nałożył na morele.net (sprzedaż online urządzeń elektronicznych) karę w wysokości 2,83 mln zł za nieprawidłowe zabezpieczenie danych, co skutkowało wyciekiem danych osobowych ok 2 mln użytkowników.

Przetwarzanie danych osobowych w branży gier wideo – o czym pamiętać?

Realizując obowiązek informacyjny względem graczy należy pamiętać, że:

  • w zasadzie w każdej aplikacji mobilnej konieczne jest przedstawienie informacji o przetwarzaniu danych użytkownika;
  • informacja ta musi odpowiadać rzeczywistemu zakresowi przetwarzania;
  • brak prawidłowego zabezpieczenia możliwości przetwarzania danych użytkowników wiąże się z ryzykiem wysokich kar administracyjnych;
  • prawidłowe zabezpieczenie możliwości przetwarzania danych użytkowników ma bezpośrednie przełożenie na przychody – zarówno z mikrotransakcji, jak i z reklam.


Andrzej Boboli – manager prowadzący praktykę TMT/IP w Olesiński & Wspólnicy. Doradza m.in. w obszarach związanych z umowami dystrybucyjnymi i wdrożeniowymi, sporami domenowymi, ochroną marki, cloud computingiem i ochroną danych osobowych w systemach informatycznych.

Bartosz Kolarz – associate w Olesiński & Wspólnicy. Specjalizuje się w doradztwie prawnym związanym z ochroną danych osobowych, nowymi technologiami, marketingiem, działalnością e-commerce oraz ochroną konkurencji i konsumentów. 

Zapisz się do newslettera

Newsletter O&W to porcja newsów prawno-podatkowych oraz informacji o wydarzeniach.

Witryna videogameslaw.pl korzysta z technologii przechowującej i uzyskującej dostęp do informacji na komputerze bądź innym urządzeniu użytkownika podłączonym do sieci (w szczególności z wykorzystaniem plików cookies). Zgoda wyrażona na korzystanie z tych technologii przez stronę internetową videogameslaw.pl lub podmioty trzecie, w celach związanych ze świadczeniem usług drogą elektroniczną, może w każdym momencie zostać zmodyfikowana lub odwołana w ustawieniach przeglądarki. Więcej o naszej polityce dotyczącej cookies dowiesz się tutaj.