GDPR вступил в силу — насущные вопросы по новому закону о защите данных

Опубликовано: Артем Новиков

С 25 мая в Евросоюзе начал действовать новый закон под названием General Data Protection Regulation (GDPR) — общий регламент по защите данных. Положения GDPR должны усилить защиту персональных данных жителей всех стран ЕС, но, по словам экспертов, новые нормы регуляции осложнят жизнь разработчикам и издателям видеоигр.

Юридическая компания Purewal&Partners по просьбе издания Games Industry проанализировала новый документ и то, какое влияние GDPR теперь оказывает на игровую индустрию.

Предыстория закона

Европарламент утвердил GDPR еще в 2016 году.

Регламент GDPR заменил действовавшую с 1995 года директиву Data Protection Directive.

В отличие от директивы-предшественницы, требования GDPR исполняются не через локальное законодательство стран-членов ЕС, а действуют как универсальный и обязательный закон на территории всей еврозоны.

Нарушение закона грозит штрафом до €20 млн 4% глобального дохода компании за предыдущий год.

Кого именно касаются правила GDPR?

Регламент распространяется на все компании (расположенные в Евросоюзе и за его пределами), которые собирают личные данные жителей и резидентов ЕС.

Что такое «личные данные»?

Любая информация, которая может помочь определить личность конкретного человека. Имя, физический адрес, электронная почта, данные о поле, возрасте и состоянии здоровья. Кроме того, к личным данным могут относиться IP-адреса, данные геолокации и так далее.

Кто такие контроллеры и процессоры данных?

GDPR вводит понятия контроллера данных (data controller) и процессора сбора данных (data processor).

Контроллер решает, что происходит с персональными данными и несет ответственность за обработку. Процессор собирает данные для контроллера.

В двух словах, что именно изменится после 25 мая?

  1. У органов по защите данных появится больше полномочий по контролю и регулированию сбора информации пользователей. За нарушения закона будут жестче штрафовать. Сам процесс сбора данных для компаний тоже усложниться — фирмы не смогут собирать некоторую информацию даже с согласия своих клиентов.
  2. Компаниям придется обновить свою политику по использованию и защите данных пользователей и сделать ее приоритетом в развитии бизнеса. Как это будет реализовано — пока неясно.

«Малые и средние компании буду следить за действиями лидеров отрасли и реакций регулирующих органов на эти действия», — комментируют Purewal&Partners.

Причем тут игровой бизнес?

Многие компании видеоигрового сектора используют данные пользователей для анализа показателей тайтла, игровой оптимизации, повышения монетизации и так далее. Из-за GDPR собирать и обрабатывать информацию станет сложнее. Это может повлиять на индустрию следующим образом:

  • закон требует, чтобы разработчики и издатели сделали защиту пользовательских данных своим приоритетом. Это нужно отразить в соглашениях с пользователями, которые придется переделать под стандарты GDPR;
  • создатели фритуплейных игр для мобайла могут столкнуться с дополнительными трудностями, поскольку они сильно зависят от пользовательских данных. Возможно, что компаниям станет сложнее мониторить такие важные метрики как DAU/MAU/ARPU/ARPPU, а также данные по удержанию и вовлечению пользователей;
  • исполнение требований GDPR потребует затрат, чтобы обеспечить технические возможности, обучить персонал, назначить ответственных и так далее. Расходы на обеспечение защиты данных скажутся на стоимости производства видеоигр.

Реализация GDPR оставляет ряд вопросов. Например, как заставить соблюдать регламент те компании, у которых нет физических представительств в Евросоюзе?

Или кем считать видеоблогеров и других инфлюенсеров — контроллерами или процессорами пользовательских данных?

Часто задаваемые вопросы в связи с GDPR

Мы — игровая студия, и у нас контракт с издательством. Кто должен отвечать за соблюдение норм GDPR?

Это зависит от условий контракта. Скорее всего, большую часть ответственности возьмет на себя издатель, потому что он обычно решает, что делать с собранными данными. Но у разработчика тоже есть обязательства как у процессора сбора данных. Если вы издаете игру самостоятельно, то вся ответственность лежит на вас.

Мы размещаем наши игры на Steam, iTunes и других платформах для онлайн-дистрибуции. Кто в этом случае должен соблюдать GDPR?

Если вы собираете данные пользователей через платформу — отвечаете вы. Если платформа собирает данные ваших игроков для своих целей — то платформа.

Мы — киберспортивная команда и сотрудничаем с разными лигами и каналами вещания. На ком лежит ответственность за соблюдение GDPR?

Вы отвечаете за данные, которые вы собираете в рамках вашей бизнес-активности. Что касается отношений с лигами и организаторами вещания, ответственность зависит от условий вашего сотрудничества и партнерских обязательств. Не забывайте, что в вы все равно несете ответственность как процессор сбора данных.

Мы собираем только анонимные данные. Нас касается GDPR?

Да. Компании не могут игнорировать закон о защите данных. Даже если вы собираете анонимные данные, вы должны это подтвердить и доказать, что собранная информация не указывает на личности ваших пользователей.

Мы получаем все данные через сторонние сервисы. Значит, соблюдение GDPR — их забота, а не наша?

Нет. Если они собирают данные о ваших пользователях по вашему заказу, то ответственность лежит на вас как на контроллере данных. Конечно, операторы сбора данных также несут часть ответственности как процессоры. Если вы пользуетесь их услугами, рекомендуем проверить, отвечает ли ваш договор требованиям GDPR.

Мы находимся вне еврозоны и потому считаем, что законы ЕС на нас не распространяются. Можно не беспокоиться о GDPR?

Нет, регламент GPRD должны исполнять все компании, которые собирают данные жителей Евросоюза. Кроме того нельзя исключить, что аналогичные GPRD законы в недалеком будущем примут в других частях света, поэтому лучше подготовиться заранее.

Также по теме:

Источник: Games Industry

Тэги:

Комментарии

Войти на сайт