Gamedev Андрей Верещагин
6 548

Новые правила GDPR: чек-лист для самопроверки

На что нужно обратить внимание, чтобы избежать штрафа.

В закладки

25 мая вступают в силу новые правила Общего регламента обработки персональных данных на территории Европы (GDPR). Это документ, который регулирует и унифицирует правила защиты данных и действует во всех 28 странах Европы. Более того, следовать нормам GDPR должны также компании, зарегистрированные в других государствах, но ведущие свою деятельность на рынках ЕС.

Изменения правил регламента неизбежно коснутся разработчиков и издателей игр, поэтому юристы из компании Versus.legal Александра Курдюмова и Сергей Ковальков написали для DTF колонку, в которой рассказали, как подготовиться к введению новых правил и избежать штрафа.

Новый Регламент Европейского Союза (GDPR), который напрямую регулирует отношения между компаниями и их клиентами по обработке персональных данных физических лиц, вступает в силу 25 мая 2018 года. Регламент — нормативный акт Европейского союза. Однако он применяется не только к компаниям, зарегистрированным на территории ЕС, но и к иным юридическим лицам, которые:

  • предлагают услуги или товары лицам, находящимся на территории ЕС (например, предоставляют доступ к своим играм европейским гражданам, переводят их на один из языков ЕС);
  • проводят мониторинг активности лиц, находящихся на территории ЕС (например, собирают и используют онлайн-идентификаторы посетителей сайта — европейских граждан (IP-адрес, информация об устройстве и так далее).

Важно отметить: даже если компания не имеет каких-либо корпоративных структур в Европе, она всё равно может попасть под действие GDPR, предлагая свою продукцию лицам, находящимся в Европейском Союзе. Причем это очень широкое требование. Например, если кто-либо из пользователей игр отправляется в отпуск в одно из государств ЕС, на компанию автоматически распространяются требования новых правил.

За несоблюдение требований GDPR с компании может быть взыскан штраф: 4% от годового оборота или 20 миллионов евро в зависимости от того, какая сумма будет больше.

Для того, чтобы понять, распространяются ли требования GDPR на конкретную компанию, которая обрабатывает персональные данные физических лиц, надо ответить на несколько вопросов.

  • Есть ли у вас филиал, представительство, дочерняя компания на территории ЕС.
  • Предлагаете ли вы товары, услуги, работы лицам, находящимся на территории ЕС (в том числе в цифровом виде).
  • Проводите ли вы мониторинг активности лиц, находящихся на территории ЕС.

Требования GDPR распространяются на вашу компанию, если вы ответили «да» на любой из указанных вопросов.

Чтобы избежать штрафа, компания должна провести ряд мероприятий для соблюдения требований GDPR. Мы подготовили для вас краткий чек-лист и предлагаем вам проверить, всё ли вы успели сделать, чтобы подготовиться к вступлению GDPR в силу.

Что надо сделать, чтобы не бояться новых правил GDPR

Провести проверку процессов обработки персональных данных в компании. Необходимо выяснить ответы на следующие вопросы.

  • Какие категории данных вы собираете.
  • Каким образом вы получаете данные пользователей (пользователи сами предоставляют, либо вы самостоятельно собираете).
  • Зачем вы собираете их.
  • Каким лицам и для каких целей вы передаёте собранные данные.
  • Как долго вы их храните; в каких случаях вы их удаляете со своих серверов.
  • Передаёте ли вы персональные данные в третьи страны.

Обновить «Политику конфиденциальности». В неё необходимо внести следующую информацию:

  • наименование и контактные данные (адрес, e-mail) юридического лица, которое решает, зачем и каким образом обрабатываются данные;
  • категории обрабатываемых данных;
  • цели их обработки;
  • контактные данные инспектора по защите данных (если вам необходимо его назначить);
  • наименования или категории получателей персональных данных. Их получателями являются все компании, которым вы их передаёте, либо которые получают доступ к данным через ваш сервисы (игры). К ним относятся сервис-провайдеры (облачные вычисления, хостинг), рекламные сервисы (в том числе интеграции в приложения);
  • информацию о передаче персональных данных в третьи страны вместе с перечнем таких стран;
  • период, в течение которого данные пользователей обрабатываются вами. Либо можно указать критерии, на основании которых вы определяете, когда информацию нужно удалить. Например, когда пользователь удалил аккаунт.

Назначить представителя в ЕС. Представителем может быть любая компания, находящаяся на территории одного из государств ЕС. С ним необходимо заключить договор. Наименование и контактные данные представителя желательно указать в обновленной «Политике конфиденциальности».

Определить, нужно ли вам назначать инспектора по защите персональных данных.

Например, инспектора необходимо назначить в одном из следующих случаев:

  • основная деятельность компании заключается в регулярном и систематическом мониторинге субъектов данных в больших масштабах;
  • основная деятельность компании заключается в масштабной обработке особой категории персональных данных (сведения о расовой, национальной принадлежности, политических, религиозных, философских убеждениях и так далее).

Чтобы минимизировать риски претензий со стороны надзорных органов, лучше такого инспектора назначить. Сама процедура назначения инспектора не должна быть затруднительна для компании, поскольку инспектор может быть её штатным сотрудником.

Внести изменения в текст согласия на обработку персональных данных. Если компания обрабатывает их без согласия, необходимо его разработать. Текст должен быть:

  • явным и прямым: пользователь должен выразить свою желание на обработку;
  • информативным. У пользователя должна быть возможность узнать, какие данные обрабатываются, кем и для каких целей;
  • полученным путём активных действий. Распространенная формулировка «Если вы продолжаете пользоваться сервисами, то даёте свое согласие на обработку персональных данных» не является согласием пользователя и не даёт компании право обрабатывать его данные. Необходимо, чтобы пользователь дал согласие своими активными действиями, например, поставил галочку;
  • Свободным. У пользователя должна быть возможность использовать сервисы без предоставления согласия, если для оказания услуг не требуются данные пользователя. Либо если запрашиваемых персональных данных больше, чем необходимо для предоставления услуг.

Указанные выше меры необходимо было принять до вступления GDPR в силу. Если вы их не приняли, то нужно как можно скорее этим заняться.

Организовать учёт деятельности по обработке персональных данных. Он предполагает запись различной информации о процессах их обработки.

Провести оценку воздействия на защиту данных. Это необходимо, когда проводится систематический мониторинг активности пользователей, составляются профили, обрабатывается большой объём персональных данных, проводится обширная оценка особенностей пользователей.

Предусмотреть основания для передачи персональных данных в третьи страны. Их передача за пределы ЕС без наличия определённых условий запрещена. Данные могут быть переданы в те страны, которые признаны Европейской Комиссией «адекватной» юрисдикцией. На данный момент Россия не признана «адекватной» юрисдикцией.

Если страна, в которую передаются данные, не относится к адекватной юрисдикции, можно передать информацию на основе согласия пользователя на передачу. Такое согласие у пользователя нужно предварительно запросить.

Указанные выше меры можно принимать уже сейчас. Чем раньше вы это сделаете, тем меньше риск штрафа.

#законы #игры

{ "author_name": "Андрей Верещагин", "author_type": "editor", "tags": ["\u0437\u0430\u043a\u043e\u043d\u044b","\u0438\u0433\u0440\u044b"], "comments": 49, "likes": 51, "favorites": 28, "is_advertisement": false, "subsite_label": "gamedev", "id": 20168, "is_wide": false }
{ "id": 20168, "author_id": 22254, "diff_limit": 1000, "urls": {"diff":"\/comments\/20168\/get","add":"\/comments\/20168\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/20168"}, "attach_limit": 2, "max_comment_text_length": 5000 }

49 комментариев 49 комм.

Популярные

По порядку

Написать комментарий...
21

25 мая вступают в силу новые правила...

Ура, наконец-то этот спам прекратится.

Ответить
8

Мы с Иваном Ильичом policy updated

Он мудак и я мудак please read what changed

Ответить
2

в последней строчке размер хромает

Ответить
1

Согласен. Не смог ничего на ходу придумать для починки и оставил как есть.

Ответить
5

please read and validate it

Ответить
0

норм!

Ответить
6

"Если страна, в которую передаются данные, не относится к адекватной юрисдикции"
Адекватная юрисдикция. Надо запомнить.

Ответить
1

Тебя даже не смутило, что РФ к ней не относится

Ответить
4

А если я собираю анонимные данные пользователей, которые относятся исключительно к игре? Напимер, статистику прохождения уровней, покупок вещей в магазине, количество убитых врагов. И использую при этом Unity Analytics, Game Analytics, Amplitude и им подобные сервисы. Это попадает под GDPR?

Ответить
0

да, т.к. Юнити и подобные сервисы собирают статистику относящуюся к личным данным. Ну вообще я так понимаю что бы игра не попадала под закон. Она должна быть выпущена вообще без рекламы, без аналитики, без встроенных покупок (т.к. это тоже относится к личным данным)

Ответить
0

Нашел что Юнити сами пишут по этому поводу:

Unity provides tools a player can use to opt-out of the collection and to manage the personal data collected by Unity as required by the GDPR. Your responsibilities include showing an opt-out button and providing a link to Unity’s privacy policy from your own privacy policy. If you use Unity Ads, Unity displays a notice to the player the first time an ad is shown on their phone, giving them the option to opt in or out of personally identifiable information collection. If you use both Unity Ads and Analytics, the opt-out mechanism provided by Unity Ads applies to both services. If you do not use Unity Ads, but do use other Unity services, such as Unity Analytics, IAP, Multiplayer, or Performance Reporting, then you must use the Unity Analytics Data Privacy plugin to provide an opt-out choice to your players.

TLDR: Юнити предоставляет весь необходимый функционал. Если в игре используется один из сервисов, собирающих данные пользователей, нужно установить плагин и разместить кнопку, по нажатию на которую игрок может изменить свои настройки персональных данных.

Ответить
0

А что делать энтузиастам-одиночкам, которые просто делают игры?

Ответить
7

Надеяться, что на вас не обратят внимания.

Ответить
5

Не собирать персональные данные.

Ответить
0

Я так понимаю, что ты даже когда ты регаешь через гуглплей, то уже собираешь данные. Предлагаешь отказаться от реги?

Ответить
0

Не уверен. Могу предположить что данные собирает гугл, а разработчик в игре получает только какой-нибудь идентификатор, но это всё на уровне домыслов.
Тут ещё нужно уточнять что имеется ввиду под "персональные данные" в ЕС.

Ответить
0

ну если это игра\сервис, то учётная запись и всё, что она за собой тянет

Ответить
0

Тут ещё нужно уточнять что имеется ввиду под "персональные данные" в ЕС.

Любые данные, по которым можно идентифицировать человека, в том числе если это можно сделать в совокупности с другими данными. Нам вроде как-то так объясняли.

А, ну и всякая там статистика по предпочениям/запросам и т.п. - вроде как тоже оно, даже в обезличенном виде.

Ответить
0

в том числе если это можно сделать в совокупности с другими данными

Какая расплывчатая формулировка. Так можно и по скорости ветра вычислить человека. Если в качестве других данных используются паспортные.
даже в обезличенном виде

Но она же обезличена. WTF?

Ответить
0

Имеется в виду совокупность данных, которые в отдельности не позволяют установить личность, а в сочетании - уже позволяют.

Ответить
0

Но она же обезличена. WTF?

Там может быть чуть другие нормы, но во всяком случае у человека необходимо спрашивать эксплицитное письменное разрешение каждый раз, когда ты хочешь его данные использовать в каких-то новых целях, в т.ч. обезличенные. Но тут меня лучше проверить, я compliance-тренинг 2 месяца назад проходил.

Ответить
1

За несоблюдение требований GDPR с компании может быть взыскан штраф: 4% от годового оборота или 20 миллионов евро в зависимости от того, какая сумма будет больше.

Мне кажется, тут не совсем правильная формулировка. Следует уточнить, будут взымать наибольшую сумму или наименьшую. А то не очень круто имея оборот $100 в год (условно), влететь 20 лямов, вместо 4 баксов :)

Ответить
0

Это же как просто можно давить "небольшие" компании с _прибылью_ меньше этих 20 млн.

Ответить
1

Реально, кто-нибудь в курсе что именно подпадает под категорию персональных данных, а что нет?

Ответить
0

В российском законодательстве перс. данные определены, но вряд ли это определение применимо к Евросоюзу, надо их законы читать.

Ответить
0

https://gdpr-info.eu/art-4-gdpr/
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Ответить
0

Т.е. и данные локации? GPS включил на смартфоне и уже подставил сотни контор под штрафы? :)

Ответить
0

Если твоё приложение использует как-то данные локации через GPS юзера, то и об этом нужно уведомлять теперь. В каких-нибудь Покемон-хантерах в доп. реальности это наверно обосновано явно.

Ответить
1

Реквестирую статью "Что следует знать инди о GDPR". А то моя политика конфиденциальности для всех моих игр и приложений состоит всего из пары предложений. Буквально: http://gmikhail.github.io/privacy

Ответить
0

Жду клиентов, обращайтесь)

Ответить
1

бюрократишкам и чинушам свежей работы и новых рабочих мест привалило))

Ответить
0

То есть если индус на территории Индии выпустил игру на английском (пока UK ещё в Евросоюзе же), приехал затем кто-то из его пользователей в одну из стран Евросоюза - и компанию штрафуют на 4%, если не соблюдаются эти требования?

Ответить
0

Но если индус не ведёт деятельность на територии ЕС, то его не смогут оштрафовать

Ответить
0

На хабре обсуждали: ситуация такова, что достаточно иметь сайт с европейским языком ( английским ), и Вы уже можете получить штраф. Якобы, потенциальные клиенты под юрисдикцией ЕС.

Ответить
0

А данные с той же Яндекс.Метрики считаются персональными? А то классная ситуация получается - я собираю данные, но не могу передать их себе, потому что нахожусь в России

Ответить
1

А никто не говорил, что законодательство логично и руководствуется здравым смыслом.

Ответить
0

Так а как вас заставить заплатить этот штраф, если вас нет в ЕС?

Ответить
0

В арбитражном процессуальном кодексе РФ есть статья 241 "Признание и приведение в исполнение решений иностранных судов и иностранных арбитражных решений", так что надо выяснять, применима ли она в данном случае. Если применима, то штраф будут взыскивать отечественные приставы

Ответить
0

Ну это же не значит, что приставы будут исполнять решение любого суда любой страны. Непонятно, с чего бы компаниям вне юрисдикции ЕС подчиняться законам ЕС

Ответить
1

Для того, чтобы работать с партнерами, которые этой юрисдикции подчиняются. Иметь, в конце концов, возможность съездить на конференцию, и не бояться попасть на деньги/свободу от флуктуаций местного законодательства. Когда на тебе висит долг в 20млн. (пусть и в "далёкой" европе) - это крайне плохо сказывается на здоровье.

Намерения были благие: защитить граждан от гигантов вроде гугла, а реализация сильнее вдарила по всем, кроме этих гигантов. Зато юристы свой доход подняли.

Ответить
0

А в чем вред? Не вижу проблем добавить пару пунктов в соглашение при регистрации.

Ответить
0

Как минимум часть пунктов для маленькой компании выполнить будет затратно (оплачивать представителя в ЕС) или невозможно (как российской компании обойтись без передачи данных в российскую юрисдикцию?).

Ответить
0

Вроде как пункты соглашения, противоречащие законодательству не имеют силы. Так что добавить то можно, но апеллировать к ним наверно не получится :).

Ответить
0

Ну если есть партнёры, то вопросов нет. Но насчёт того, что закон предполагает возможность оштрафовать вообще любую иностранную кампанию и ждать, что её руководство случайно приедет в Европу, я не очень уверен.

Ответить
0

Получается так

Ответить
0

Ещё по этим правилам лицо имеет право в письменном виде обратиться к компании и потребовать указать, какие персональные данные о нем хранятся, с какой целью используются и кому передаются

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } } ]
Хидео Кодзима оказался алгоритмом
машинного обучения
Подписаться на push-уведомления