Kara za śledzenie użytkowników we Francji. Wnioski dla wydawców gier mobilnych przed kontrolami Prezesa UODO

Pod koniec 2022 r. francuski odpowiednik UODO (CNIL) nałożył sporą karę na wydawcę gier wideo – Voodoo SAS[1]. Kontrola dotyczyła zgodności z prawem stosowanych plików cookie lub podobnych technologii w ramach prowadzonej strony internetowej i aplikacji Helix Jump na iPhone.

Sprawa może być szczególnie interesująca z perspektywy polskiego rynku gier mobilnych i zapowiedzianych na ten rok kontroli Prezesa UODO. Niżej opisujemy jej dokładne okoliczności, skutki dla wydawcy gier mobilnych i odnosimy je do polskich realiów.

O co chodziło w sprawie?

Jak wskazał CNIL – gdy wydawca dodaje aplikację do App Store, Apple nadaje mu specjalny identyfikator, tj. IDentifier For Vendors (IDFV). Taki identyfikator jest przypisywany użytkownikom wszystkich aplikacji jednego wydawcy i umożliwia mu śledzenie wykorzystania jego aplikacji przez takich użytkowników.

Łącząc inne informacje z urządzeń, taki identyfikator pozwala monitorować nawyki i działania użytkowników w internecie, w tym m. in. kategorie gier, które wybierają. Na tej podstawie są im wyświetlane spersonalizowane reklamy.

Podczas otwierania gry mobilnej  wydawcy – Helix Jump – użytkownicy widzieli najpierw okno od Apple (funkcja App Tracking Transparency – ATT) z prośbą o wyrażenie zgody na śledzenie działań w aplikacjach od Voodoo. Jeśli jej nie wyrazili, aplikacja wyświetlała dodatkowy komunikat, z informacją, że śledzenie reklam zostało dezaktywowane – z zastrzeżeniem, że nadal będą wyświetlane niespersonalizowane reklamy.

Kontrola CNIL wykazała, że nawet gdy użytkownik nie wyraził zgody na śledzenie reklam, spółka mimo to odczytywała wspomniany identyfikator powiązany z danym użytkownikiem i w dalszym ciągu przetwarzała uzyskane informacje w celach reklamowych. Robiła to bez zgody użytkowników i w sprzeczności z przekazanym im komunikatem.

Skutki naruszenia dla wydawcy gry mobilnej

Zdaniem CNIL wykorzystywane do celów reklamowych bez zgody użytkownika identyfikatory takie jak IDFV, stanowią naruszenie francuskiej ustawy o ochronie danych. W konsekwencji organ nałożył na Voodoo 3 mln EUR kary oraz podał informację o karze do publicznej wiadomości.

Co miało wpływ na taką wysokość kary? Liczba osób dotkniętych naruszeniem przepisów, korzyści finansowe uzyskane z tego tytułu przez spółkę oraz jej obroty z 2020 i 2021 roku. Podanie decyzji do wiadomości publicznej CNIL uzasadnił natomiast wagą naruszenia, zakresem przetwarzania oraz liczbą poszkodowanych użytkowników gry mobilnej.

Poza powyższymi sankcjami CNIL nakazał spółce zebranie zgód użytkowników na wykorzystywanie IDFV do celów reklamowych pod rygorem nałożenia dodatkowej kary pieniężnej. Voodoo ma na to trzy miesiące od doręczenia wydanej decyzji. Niespełnienie tego obowiązku będzie kosztowało firmę dodatkowe 20 tys. euro za każdy dzień zwłoki.

Śledzenie aktywności użytkowników na polskim podwórku

Podobnie jak we Francji, tego typu działania wydawcy gier mobilnych w Polsce również mogłyby naruszać krajowe przepisy. Zgodnie z Prawem telekomunikacyjnym[2], wykorzystywanie plików cookie i podobnych technologii wymaga uzyskania zgody użytkownika. Nie jest to jednak konieczne, jeśli są one niezbędne dla funkcjonowania danej usługi.

Jeśli doszłoby do postępowania przed Prezesem Urzędu Komunikacji Elektronicznej i stwierdzenia naruszenia prawa, kara mogłaby wynieść do 3% zeszłorocznego przychodu ukaranego podmiotu.Dodatkowo po kontroli Prezes UODO mógłby nałożyć na spółkę karę za niezgodne z prawem przetwarzanie danych osobowych w aplikacji. Może ona wynieść do 20 mln EUR lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Kontrole Prezesa UODO – plan na 2023 rok

Z perspektywy polskiego rynku kara nałożona na Voodoo jest wysoka. Do tej pory żaden polski organ nie ukarał tak dotkliwie żadnego wydawcy gier wideo ani innego podmiotu za nieprawidłowo wykorzystywane pliki cookie lub podobne technologie. Nie znaczy to jednak, że taka kara nie pojawi się w przyszłości.

Na 2023 rok zostały zapowiedziane kontrole Prezesa UODO, które obejmą podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych lub internetowych. Takie kontrole mają być przeprowadzone pod kątem sposobu zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.

Między innymi dlatego na listę postanowień na 2023 rok wydawcy gier mobilnych powinni wpisać sprawdzenie zgodności swoich produktów z przepisami. To pomoże zminimalizować ryzyko ich naruszeń i w konsekwencji nakładanych przez organy – dotkliwych sankcji. Nasz zespół regularnie wykonuje audyty aplikacji i gier mobilnych – w przypadku pytań w tym zakresie, prosimy o kontakt z teamem VideoGamesLaw 😊.


[1] https://www.cnil.fr/fr/mobile-games-cnil-fined-voodoo-3-million-euros

[2] Art. 173 polskiej ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2022 r. poz. 1648 z późn. zm.)

Zapisz się do newslettera

Newsletter OW to porcja newsów prawno-podatkowych oraz informacji o wydarzeniach.

Witryna videogameslaw.pl korzysta z technologii przechowującej i uzyskującej dostęp do informacji na komputerze bądź innym urządzeniu użytkownika podłączonym do sieci (w szczególności z wykorzystaniem plików cookies). Zgoda wyrażona na korzystanie z tych technologii przez stronę internetową videogameslaw.pl lub podmioty trzecie, w celach związanych ze świadczeniem usług drogą elektroniczną, może w każdym momencie zostać zmodyfikowana lub odwołana w ustawieniach przeglądarki. Więcej o naszej polityce dotyczącej cookies dowiesz się tutaj.