Pod koniec 2022 r. francuski odpowiednik UODO (CNIL) nałożył sporą karę na wydawcę gier wideo – Voodoo SAS[1]. Kontrola dotyczyła zgodności z prawem stosowanych plików cookie lub podobnych technologii w ramach prowadzonej strony internetowej i aplikacji Helix Jump na iPhone.
Sprawa może być szczególnie interesująca z perspektywy polskiego rynku gier mobilnych i zapowiedzianych na ten rok kontroli Prezesa UODO. Niżej opisujemy jej dokładne okoliczności, skutki dla wydawcy gier mobilnych i odnosimy je do polskich realiów.
O co chodziło w sprawie?
Jak wskazał CNIL – gdy wydawca dodaje aplikację do App Store, Apple nadaje mu specjalny identyfikator, tj. IDentifier For Vendors (IDFV). Taki identyfikator jest przypisywany użytkownikom wszystkich aplikacji jednego wydawcy i umożliwia mu śledzenie wykorzystania jego aplikacji przez takich użytkowników.
Łącząc inne informacje z urządzeń, taki identyfikator pozwala monitorować nawyki i działania użytkowników w internecie, w tym m. in. kategorie gier, które wybierają. Na tej podstawie są im wyświetlane spersonalizowane reklamy.
Podczas otwierania gry mobilnej wydawcy – Helix Jump – użytkownicy widzieli najpierw okno od Apple (funkcja App Tracking Transparency – ATT) z prośbą o wyrażenie zgody na śledzenie działań w aplikacjach od Voodoo. Jeśli jej nie wyrazili, aplikacja wyświetlała dodatkowy komunikat, z informacją, że śledzenie reklam zostało dezaktywowane – z zastrzeżeniem, że nadal będą wyświetlane niespersonalizowane reklamy.
Kontrola CNIL wykazała, że nawet gdy użytkownik nie wyraził zgody na śledzenie reklam, spółka mimo to odczytywała wspomniany identyfikator powiązany z danym użytkownikiem i w dalszym ciągu przetwarzała uzyskane informacje w celach reklamowych. Robiła to bez zgody użytkowników i w sprzeczności z przekazanym im komunikatem.
Skutki naruszenia dla wydawcy gry mobilnej
Zdaniem CNIL wykorzystywane do celów reklamowych bez zgody użytkownika identyfikatory takie jak IDFV, stanowią naruszenie francuskiej ustawy o ochronie danych. W konsekwencji organ nałożył na Voodoo 3 mln EUR kary oraz podał informację o karze do publicznej wiadomości.
Co miało wpływ na taką wysokość kary? Liczba osób dotkniętych naruszeniem przepisów, korzyści finansowe uzyskane z tego tytułu przez spółkę oraz jej obroty z 2020 i 2021 roku. Podanie decyzji do wiadomości publicznej CNIL uzasadnił natomiast wagą naruszenia, zakresem przetwarzania oraz liczbą poszkodowanych użytkowników gry mobilnej.
Poza powyższymi sankcjami CNIL nakazał spółce zebranie zgód użytkowników na wykorzystywanie IDFV do celów reklamowych pod rygorem nałożenia dodatkowej kary pieniężnej. Voodoo ma na to trzy miesiące od doręczenia wydanej decyzji. Niespełnienie tego obowiązku będzie kosztowało firmę dodatkowe 20 tys. euro za każdy dzień zwłoki.
Śledzenie aktywności użytkowników na polskim podwórku
Podobnie jak we Francji, tego typu działania wydawcy gier mobilnych w Polsce również mogłyby naruszać krajowe przepisy. Zgodnie z Prawem telekomunikacyjnym[2], wykorzystywanie plików cookie i podobnych technologii wymaga uzyskania zgody użytkownika. Nie jest to jednak konieczne, jeśli są one niezbędne dla funkcjonowania danej usługi.
Jeśli doszłoby do postępowania przed Prezesem Urzędu Komunikacji Elektronicznej i stwierdzenia naruszenia prawa, kara mogłaby wynieść do 3% zeszłorocznego przychodu ukaranego podmiotu.Dodatkowo po kontroli Prezes UODO mógłby nałożyć na spółkę karę za niezgodne z prawem przetwarzanie danych osobowych w aplikacji. Może ona wynieść do 20 mln EUR lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Kontrole Prezesa UODO – plan na 2023 rok
Z perspektywy polskiego rynku kara nałożona na Voodoo jest wysoka. Do tej pory żaden polski organ nie ukarał tak dotkliwie żadnego wydawcy gier wideo ani innego podmiotu za nieprawidłowo wykorzystywane pliki cookie lub podobne technologie. Nie znaczy to jednak, że taka kara nie pojawi się w przyszłości.
Na 2023 rok zostały zapowiedziane kontrole Prezesa UODO, które obejmą podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych lub internetowych. Takie kontrole mają być przeprowadzone pod kątem sposobu zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
Między innymi dlatego na listę postanowień na 2023 rok wydawcy gier mobilnych powinni wpisać sprawdzenie zgodności swoich produktów z przepisami. To pomoże zminimalizować ryzyko ich naruszeń i w konsekwencji nakładanych przez organy – dotkliwych sankcji. Nasz zespół regularnie wykonuje audyty aplikacji i gier mobilnych – w przypadku pytań w tym zakresie, prosimy o kontakt z teamem VideoGamesLaw 😊.
[1] https://www.cnil.fr/fr/mobile-games-cnil-fined-voodoo-3-million-euros
[2] Art. 173 polskiej ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2022 r. poz. 1648 z późn. zm.)