previous arrowprevious arrow
next arrownext arrow
Shadow
Slider

Dziennik The West

RODO zwane też GDPR

Drodzy gracze,

w związku z licznymi pytaniami, które pojawiły się swego czasu w kwestii GDPR
(w Polsce – RODO), prezentujemy Wam wyjaśnienie kluczowych kwestii oraz odpowiedzi na najczęstsze pytania.

Czym jest RODO?

RODO (GDPR), a dokładniej ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679

z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), to najprościej mówiąc, rozporządzenie unijne, zawierające przepisy
o ochronie osób fizycznych przez przedsiębiorstwa będące w posiadaniu danych osobowych tych osób.

Rozporządzenie zostało wydane 27 kwietnia 2016, ale w życie weszło 25 maja 2018 zgodnie z art. 99 ogólnego rozporządzenia o ochronie danych.

W momencie wejścia w życie RODO, czyli wraz z dniem 25 maja 2018, uchylona została dotychczasowa ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997.

Już na pierwszy rzut oka można stwierdzić, że rozporządzenie nie zawiera konkretnie sprecyzowanych wytycznych jak chronić dane osobowe. Sposób w jaki administrator podejdzie do ochrony danych, w których jest posiadaniu, zależy więc od charakteru, zakresu, kontekstu i celów przetwarzania tych danych oraz od ryzyka naruszenia praw i wolności osób, których dane dotyczą.

Odpowiedzialność za to w jaki sposób dany przedsiębiorca zastosuje się do rozporządzenia, jakie środki ostrożności zachowa oraz jak oceni ryzyko naruszenia danych osobowych, leży zatem po stronie przedsiębiorcy. Przedsiębiorcę można skontrolować jak wywiązuje się z ochrony danych osobowych, a w razie wykrycia nieprawidłowości, może otrzymać zalecenia w celu poprawy postępowania.

Czym są dane osobowe?

W art. 4 RODO można przeczytać, że:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Definicja pojęcia danych osobowych, od wejścia w życie RODO, została rozszerzona uwzględniając pojawienie się nowych form identyfikacji oraz dokonany na przestrzeni lat postęp technologiczny. Stąd w tym samym artykule można przeczytać czym są dane genetyczne, biometryczne oraz dot. zdrowia:

13) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
14) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
15) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

Co przytoczone definicje mają pokazać? Mają pokazać jaki ogrom informacji kryje się teraz pod pojęciem danych osobowych.

Odcisk palca, kształt tęczówki, numery rejestracyjne samochodu, adres e-mail, numer telefonu i wiele innych rzeczy może zostać uznane za dane osobowe. Pomimo, że nie każdy jest w stanie na podstawie adresu mailowego zidentyfikować konkretną osobę, to już firmy, które wymagały tej informacji, w celu udostępnienia swoich usług, są. Dlatego powstały przepisy, które nakładają na firmy, przedsiębiorstwa, czy mówiąc ogólnie – administratorów danych osobowych, obowiązek ochrony tych danych
i zabezpieczenia ich przed osobami trzecimi. Dostęp do danych osobowych mają tylko uprawione osoby, którym są one potrzebne do wykonywania obowiązków.

Dane osobowe w kontekście The West

Rejestrując się w grze, każdy gracz akceptuje Politykę Prywatności, Ogólne Warunki Handlowe  oraz Regulamin Gry

Polityka Prywatności – to na niej się skupimy, gdyż to ona opisuje sposób, w jaki InnoGames zbiera i wykorzystuje dane osobowe użytkowników, którzy korzystają
z aplikacji, gier online oraz portali i witryn należących do InnoGames.

Przejdźmy do pkt. IV, w którym możemy przeczytać:

„Co do zasady rejestrujemy wyłącznie dane osobowe ujawniane przez użytkowników
w czasie korzystania z usług w ramach logowania się lub rejestrowania i ewentualnie w czasie korzystania z usług odpłatnych. Dane osobowe to dane zawierające informacje o okolicznościach osobistych lub faktycznych. W czasie logowania
i rejestracji w naszej witrynie wystarczy podać tylko adres e-mail i ewentualnie nazwę użytkownika oraz hasło. W przypadku rejestrowania się w niektórych usługach adresy e-mail nie są zbierane w czasie rejestracji, ale dopiero później, w czasie korzystania
z usługi. Hasło jest przechowywane w formie zaszyfrowanej, która nigdy nie pozwala na poznanie rzeczywistego hasła.

W związku z realizacją zawartej umowy z użytkownikiem, zwłaszcza w związku
z wybranymi odpłatnymi usługami może być wymagane ujawnienie dalszych danych, takich jak pełne imię i nazwisko, adres, dane dotyczące konta, numery kart kredytowych itp. Czasami niezbędne jest też żądanie podania przez użytkowników takich informacji osobowych jak imię i nazwisko, adres, adres e-mail oraz numer telefonu w celu przetwarzania ich zapytań lub udzielania wsparcia. InnoGames będzie obchodzić się z tymi danymi w sposób poufny i zgodny z przepisami prawa o ochronie danych. Zasadniczo InnoGames nie będzie ujawniać takich informacji osobom trzecim bez zgody użytkowników, chyba że jest to wymagane do zawarcia i realizacji umowy, do przetwarzania żądania użytkownika lub do udzielenia użytkownikowi wsparcia bądź w przypadku zezwolenia prawnego.”

Informacje jakie może zbierać InnoGames to: adres e-mail, nick, imię, nazwisko, adres, numer karty kredytowej, dane dotyczące konta, numer telefonu. Największe wątpliwości budzi nick gracza.

Dlaczego nick może stanowić dane osobowe i dlaczego, w odróżnieniu od innych danych, jest ogólnodostępny?

Zanim przejdziemy do wyjaśnień, cytat ze wstępu do RODO: „Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.”

Grając w The West, każdy gracz pozostawia po sobie ślad, w postaci wspomnianych identyfikatorów, które zostają przypisane do jego konta, a co za tym idzie, również do wszystkich informacji z kontem związanych, czyli np. jego nicku. Dostęp do tych informacji oraz możliwość ustalenia na ich podstawie tożsamości danej osoby, mają pracownicy InnoGames, stąd nick jest przez InnoGames traktowany jako dane osobowe.

Jeżeli to wyjaśnienie nie jest wystarczająco przekonujące, to w tym momencie przytoczę pewną autentyczną historię. Jeden z graczy miał swój nick z gry umieszczony w adresie e-mail przypisanym do swojego konta na facebooku. Dzięki temu jego znajoma z gry, po wpisaniu nicku w wyszukiwarkę, łatwo znalazła jego profil, dowiedziała się jak się nazywa, gdzie mieszka, jak wygląda. Wystarczyło jedno kliknięcie.

Teraz wyobraźmy sobie, że ktoś używa jednego nicku na kilku portalach. Po wpisaniu go w wyszukiwarkę, znajdziemy jego wszystkie wiadomości z różnych forów, dowiemy się jakie ma zainteresowania, problemy itd. W czasach Internetu nie trzeba się bardzo wysilać, aby zdobyć informacje na temat drugiej osoby. Należy pamiętać również
o tym, że to od właściciela danych zależy jak będzie je upowszechniał.

Skoro już wiemy, dlaczego nick może posłużyć do zidentyfikowania danej osoby, to teraz należy odpowiedzieć na drugie pytanie, dlaczego zatem jest on ogólnodostępny i nie nazywamy się wszyscy xxx1, xxx2, xxx3 itd.?

W OWH możemy przeczytać: „4.1 Użytkownik wybiera w Grach nazwę gracza jako pseudonim, którym posługuje się w Grach („Nazwa”). Użytkownik nie będzie rościł żadnych praw do przydziału konkretnej Nazwy.”

Nick ma zastąpić nasze prawdziwe imię i nazwisko, jest to informacja, którą zgodziliśmy się udostępnić w momencie zakładania konta i upublicznienie nicku jest konieczne w celu realizacji umowy korzystania z usług, między InnoGames
a użytkownikiem. Wybór nicku należy do użytkownika. InnoGames chroni powiązane
z nickiem informacje, które gromadzi, ale wszelkie inne informacje, które można znaleźć na niepowiązanych z produktami InnoGames stronach, a które mogą posłużyć do identyfikacji, nie są już przez InnoGames chronione. Mówiąc krócej, jeśli ktoś na wszystkich portalach, forach itd. używa jednego i tego samego nicku, to powinien sobie zdawać sprawę, że ułatwia potencjalne zebranie informacji na swój temat.

Jak to jest z konkursami?

By jak najlepiej chronić graczy, InnoGames nie publikuje list zwycięzców w konkursach organizowanych na forach, facebooku czy Dzienniku. Tak jak zostało wcześniej powiedziane, to po stronie administratora danych leży ocena ryzyka jakie może ponieść dana osoba, gdyby jej dane osobowe zostały upublicznione. Stąd udział
w takich konkursach często jest tajny i nie wiadomo nawet, kto bierze w nim udział.
O ewentualnej wygranej zwycięzcy są informowani poprzez wiadomości prywatne. Jeśli miałaby być opublikowana lista, to w regulaminie musiałby znaleźć się punkt mówiący o tym, że użytkownik biorąc udział w konkursie, wyraża zgodę na publikację na liście zwycięzców. InnoGames chroni swoich graczy, dlatego w przypadku konkursów podjęto takie właśnie środki ostrożności, gdyż oceniono, że istnieje ryzyko związane
z ujawnieniem listy zwycięzców. Ludzie są różni i nie ma nigdy gwarancji, że nie znajdzie się ktoś, kto przegrywając w danym konkursie, ze złości nie postanowi uprzykrzyć życia wygranemu. Uprzykrzanie nie musi ograniczyć się do gry, może wyjść również poza nią. Przytoczona kilka akapitów wyżej historia pokazała, jak łatwo znaleźć kogoś po samym nicku. Był już w historii przypadek, gdzie jedna z graczy, biorąc udział w konkursie, naraziła się później na nękanie przez innego gracza. Takie przypadki są podstawą do podjęcia takich a nie innych zabezpieczeń.

Wyjątek stanowią konkursy organizowane na specjalnie stworzonych w tym celu serwerach, gdzie poszczególne miejsca zależą od pozycji w ogólnodostępnym rankingu, który jest elementem wbudowanym w grę. Tutaj udział w konkursie nie jest już tajny, podobnie jak nie są tajne jego wyniki, więc nie można zastosować opisanych powyżej środków ostrożności.

Jako przykład weźmy Międzynarodowe Mistrzostwa Pojedynkowe oraz regulamin tegoż konkursu. Już w pierwszym punkcie mamy zapis:

„Wszystkie punkty z Zasad Gry dotyczą również tego eventu, z uwzględnieniem również Polityki Prywatności oraz Ogólnych Warunków Handlowych. Wszelkie naruszenia zasad, w tym naruszenia zasad komunikacji, będą traktowane tak, jak na standardowym świecie.”

W punkcie IV ppkt. 2 Polityki Prywatności możemy przeczytać:

„W zakresie, w jakim uzyskamy zgodę osoby, której dane dotyczą, na przetwarzanie danych osobowych, podstawę prawną do przekazywania danych osobowych stanowi art. 6 ust. 1 lit. a) ogólnego rozporządzenia o ochronie danych UE (RODO).

W przypadku przetwarzania danych osobowych wymaganego do realizacji umowy, której stroną jest osoba, której dane dotyczą, podstawę prawną stanowi art. 6 ust. 1 lit. b) RODO. Ma to także zastosowanie do przetwarzania wymaganego w celu wykonania działań przedumownych.”

O czym mówi wspomniany artykuł 6 lit. a) i b)?

„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;”

Co jest umową?

OWH: „2.3 Umowa o bezpłatne korzystanie z Usług („Umowa Licencyjna”) przez przeglądarkę wchodzi w życie z chwilą otrzymania przez InnoGames podanych
w formularzu rejestracji danych Użytkownika, uruchomienia przez InnoGames konta Użytkownika oraz akceptacji niniejszych OWH przez Użytkownika zgodnie z § 1.2. Umowa Licencyjna jest darmowa.”

Zatem, rejestrując konto w grze, użytkownik musi zaakceptować Ogólne Warunki Handlowe. Ich zaakceptowanie jest podstawą do zawarcia umowy między użytkownikiem a InnoGames, dzięki której użytkownik może korzystać z gry przeglądarkowej. Częścią tej gry jest ranking. Rejestrując konto, użytkownik wyraża więc zgodę na umieszczenie jego nicku w rankingu. Skoro tak, to biorąc udział w konkursie na specjalnym serwerze, automatycznie użytkownik oświadcza, że jest świadomy tego, że jego nick będzie widniał w rankingu, a zatem, informacja o jego ewentualnej wygranej będzie ogólnodostępna.

Dlaczego nie udzielamy osobom trzecim informacji o karach, nałożonych punktach na gracza x?

Spójrzmy na ppkt 1 pkt V Polityki Prywatności, a dokładniej na lit. c):
„c) Narzędzie wsparcia

Ewentualnie można skontaktować się z nami za pośrednictwem narzędzia wsparcia zintegrowanego z naszą usługą. Będzie ono przechowywać dane użytkownika i treść zapytania z prośbą o wsparcie, jak również godzinę zapytania.

W tym kontekście żadne dane nie są przekazywane osobom trzecim. Dane są wykorzystywane wyłącznie do przetwarzania rozmowy.”

Jest tutaj wyraźnie napisane, że treść zapytania o wsparcie oraz żadne inne informacje z tym związane nie są udostępniane osobom trzecim. Na tej podstawie, żaden gracz nie dowie się czy gracz X został ukarany, czy dostał punkty, a jeśli tak to ile, czy dostał blokadę, na jak długo itd.

Dlaczego nie ujawniamy takich informacji skoro sama treść zapytania nie jest danymi osobowymi? Treść wiadomości nie jest, ale może zawierać elementy będące danymi osobowymi, o czym zresztą również mówi Polityka Prywatności:

„Czasami niezbędne jest też żądanie podania przez użytkowników takich informacji osobowych jak imię i nazwisko, adres, adres e-mail oraz numer telefonu w celu przetwarzania ich zapytań lub udzielania wsparcia.”

Inna sprawą jest fakt, że informacje o blokadach są danymi dotyczącymi konta, których również InnoGames nie udostępnia osobom trzecim, a o czym była już mowa przy okazji wymieniania jakie dane gromadzi InnoGames.

Z treścią zapytania do suportu jest trochę tak jak z adresami e-mail i IP, nie da się stosować do niektórych (kowboj123@wp.pl i dynamiczny IP) słabszych środków bezpieczeństwa, a do innych (karol.iwaszkiewicz@nazwa_firmy.pl i stały IP) silniejszych, więc trzeba założyć kompleksowo, że wszystkie maile oraz adresy IP traktujemy jako dane osobowe, tak samo wszystkie treści zapytań nie udostępniamy.

W jaki sposób mądrze chronić swoje dane osobowe w Internecie:

  • Korzystając ze strony, sprawdź czy ma szyfrowane połączenie.
  • Nie używaj tego samego hasła i loginu do wszystkich swoich kont.
  • Często zmieniaj hasła i korzystaj z silnego hasła, czyli takiego które zawiera cyfry, znaki specjalne oraz małe i wielkie litery, nie jest słownikowym wyrazem oraz nie nawiązuje do loginu.
  • Jeżeli to możliwe, to włącz dwustopniowe logowanie.
  • Nie otwieraj podejrzanych załączników.
  • Uważaj jakie zdjęcia publikujesz w sieci.
  • Uważaj jakie informacje podajesz na portalach społecznościowych. Czasem warto zmienić dostępność swojego profilu z publicznego na prywatny. Nie każdy powinien znać np. nasz numer telefonu.
  • Jeśli korzystasz z chmury, to nie umieszczaj tam wrażliwych danych na swój temat.
  • Jeśli dzielisz komputer bądź inne urządzenie z inną osobą, to zawsze wyloguj się ze swoich kont.

Powyższe ogłoszenie zostało skonsultowane z LCM, a zawarte w nim informacje są przedstawieniem podejścia InnoGames do sprawy ochrony danych osobowych
w kontekście polskiej wersji gry The West. W razie jakichkolwiek pytań, zachęcamy do ich zadawania oraz do dyskusji w tym temacie.

Zapraszamy do gry w The West

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *