Ochrona danych osobowych jest jednym z podstawowych obszarów compliance, które wpływają również na funkcjonowanie przedsiębiorców z branży gamingowej. Większość gier, zwłaszcza mobilnych, wiąże się z przetwarzaniem danych osobowych na dużą skalę, z uwagi na bazy danych liczące nawet po kilkanaście milionów użytkowników.
Działając w branży gamingowej warto mieć świadomość, że przetwarzanie danych osobowych graczy wiąże się z szeregiem obowiązków wynikających m.in. z przepisów RODO. Niezależnie od realizacji obowiązku informacyjnego wobec graczy, każdy podmiot, przetwarzający dane osobowe w ramach swojej działalności, powinien prowadzić wewnętrzną dokumentację, która odpowiednio zabezpieczy procesy ich przetwarzania.
Jaki jest cel wewnętrznej dokumentacji?
Celem dokumentacji wewnętrznej, regulującej kwestie przetwarzania danych osobowych jest zapewnienie, aby wszelkie operacje z ich wykorzystaniem odbywały się zgodnie z obowiązującym przepisami prawa, w tym RODO. Każdy podmiot powinien brać pod uwagę kluczowe zasady przetwarzania danych osobowych, czyli zgodność z prawem, rzetelność, przejrzystość, ograniczenie celu, minimalizację danych, prawidłowość, ograniczenie przechowywania, integralność i poufność oraz rozliczalność. Dodatkowo zobowiązany jest do wykazania prawidłowości przetwarzania danych osobowych, zarówno przed podmiotami danych, jak i przed właściwym organem nadzorczym (w Polsce jest to Prezes Urzędy Ochrony Danych Osobowych) – co może znacznie ułatwić odpowiednio przygotowana dokumentacja.
Jakie dokumenty są niezbędne także w branży gamingowej?
Podmiot, który w ramach swojej działalności przetwarza dane osobowe, jest zobowiązany posiadać co najmniej pięciu dokumentów o charakterze wewnętrznym:
- rejestru czynności przetwarzania danych osobowych (gdy występuje w roli administratora danych osobowych) – zawiera informacje m.in. o tym, w jakich celach przetwarza się dane osobowe graczy, kogo one dotyczą, jaki jest ich zakres, komu są ujawniane, do kiedy będą przechowywane;
- rejestru kategorii czynności przetwarzania danych osobowych (gdy występuje w roli podmiotu przetwarzającego na rzecz innego administratora danych osobowych) – zawiera informacje m.in. o tym jakie dane osobowe są przetwarzane w imieniu administratora oraz o ewentualnych podwykonawcach;
- procedury zgłaszania naruszeń ochrony danych osobowych, w tym rejestru naruszeń – reguluje sposób postępowania w przypadku wystąpienia naruszenia ochrony danych osobowych (np. ujawnienie danych graczy w wyniku ataku hackerskiego) oraz rejestr, który pozwala na odnotowywanie naruszeń ochrony danych osobowych, które miały miejsce (powinny zostać odnotowane przynajmniej okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze);
- raportów dokumentujących wyniki przeprowadzonych ocen skutków dla ochrony danych, jeżeli powinny zostać przeprowadzone – zawierających analizę operacji przetwarzania, która może powodować wysokie ryzyko naruszenia praw lub wolności graczy (ocena skutków powinna obejmować planowane środki, zabezpieczenia i mechanizmy minimalizujące ryzyko oraz zapewniać ochronę danych osobowych);
- upoważnień do przetwarzania danych osobowych dla osób zatrudnionych / współpracujących – na ich podstawie dana osoba może przetwarzać dane osobowe w organizacji.
Ze względu na charakterystykę branży gamingowej, wiele podmiotów decyduje się na opracowanie dodatkowych dokumentów, które ułatwią wykazanie, że operacje na danych osobowych odbywają się zgodnie z obowiązującymi przepisami. Może to być np. ogólna polityka ochrony danych osobowych, która w kompleksowy sposób opisuje wszystkie aspekty związane z przetwarzaniem danych osobowych w organizacji.
O czym pamiętać, tworząc dokumenty w branży gamingowej?
Przy tworzeniu wewnętrznej dokumentacji z zakresu ochrony danych osobowych w branży gamingowej najważniejsze jest, aby była dostosowana do specyfiki organizacji i odpowiednio uwzględniała zachodzące w niej procesy. Ważne jest faktyczne stosowanie opracowanych dokumentów, a nie jedynie ich formalne wdrożenie. Dokumentacja powinna być na bieżąco aktualizowana, np. w przypadku pojawienia się nowych procesów przetwarzania danych osobowych (np. wprowadzenie nowego komunikatora w grze lub możliwości utworzenia konta gracza).
Ryzyko kary pieniężnej
Naruszanie przepisów RODO, w tym np. podstawowych zasad przetwarzania danych osobowych lub brak koniecznych dokumentów, wiąże się z ryzykiem kar pieniężnych do 20 000 000 EUR albo 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego – zastosowanie ma kwota wyższa. To szczególnie istotne dla podmiotów z branży gamingowej, które osiągają spore przychody zarówno z samych gier, jak i płatności dokonywanych wewnątrz nich.
Manager w Olesiński i Wspólnicy. Specjalizuje się w doradztwie prawnym związanym z ochroną danych osobowych, nowymi technologiami, marketingiem, działalnością e-commerce oraz ochroną konkurencji i konsumentów.
