RODO w serwisach z grami online

RODO to przepisy, które obowiązują we wszystkich krajach Unii Europejskiej i mają jeden główny cel – chronić dane osobowe użytkowników. Dotyczy to każdej strony czy aplikacji, która zbiera jakiekolwiek dane.  właśnie dlatego RODO, oprócz stron firmowych,  dotyczy także np. serwisów z grami online. 

Zwróciłem na to uwagę grając na stronie fishingrival.pl w gierkę online.  Dotarło do mnie, że mimo, że gra nie wymaga ode mnie podania klasycznych danych osobowych jak imię, nazwisko czy adres e-mail, to zbiera ode mnie mnóstwo plików cookies, identyfikuje mnie na podstawie geolokalizacji i zapisuje moje postępy w grze. Te dane może nie zidentyfikują Przemka Szczygłowskiego, ale zidentyfikują bezpośrednio mój komputer - a tutaj już wchodzi RODO.

Jakie dane zbiera serwis z grami online?

Większość serwisów z grami zbiera więcej danych, niż mogłoby się wydawać. Oczywiste są takie informacje jak adres e-mail, login, hasło czy adres IP. Ale to dopiero początek. Jeśli oferujesz płatności – pojawiają się dane o transakcjach. Jeśli masz czat – zbierasz treści wiadomości. Jeśli użytkownik może ustawić avatar albo podać wiek – to też są dane osobowe. A do tego dochodzą dane zbierane automatycznie: lokalizacja, typ urządzenia, przeglądarka, system operacyjny, zachowanie w grze, czas spędzony na stronie. Nawet statystyki Google Analytics potrafią powiedzieć sporo o graczu. I właśnie dlatego tak ważne jest, żebyś wiedział, jakie konkretnie dane zbierasz, w jakim celu i czy naprawdę są Ci potrzebne.

Zgody i regulaminy – co musisz mieć?

Jeśli prowadzisz serwis z grami online, musisz zadbać o dwa podstawowe dokumenty: politykę prywatności i regulamin. W polityce prywatności informujesz, jakie dane zbierasz, w jakim celu, kto jest administratorem danych, jak długo dane są przechowywane i jakie prawa ma użytkownik. Regulamin z kolei określa zasady korzystania z serwisu, np. kto może założyć konto, jak wygląda proces usunięcia konta, co wolno, a czego nie. Ważne: samo „zaakceptuj regulamin i politykę prywatności” przy rejestracji to za mało. Zgoda musi być dobrowolna, świadoma i konkretna – nie możesz jej „ukrywać” albo z góry zaznaczyć. Jeśli używasz danych np. do wysyłki newslettera albo profilowania użytkownika pod reklamy, na to musisz mieć osobną zgodę.

Klauzule informacyjne przy rejestracji konta

W momencie, gdy użytkownik zakłada konto w Twoim serwisie, musisz przekazać mu tzw. klauzulę informacyjną. To nie jest opcja – to obowiązek wynikający z RODO. Co powinna zawierać taka klauzula? Przede wszystkim: kto jest administratorem danych (czyli kto je zbiera), w jakim celu są przetwarzane, na jakiej podstawie prawnej (np. zgoda użytkownika lub konieczność realizacji usługi), jak długo dane będą przechowywane oraz jakie prawa ma użytkownik (np. prawo do wglądu, poprawienia, usunięcia danych itd.). Taka informacja powinna być jasna i napisana prostym językiem. Najlepiej, jeśli klauzula znajduje się bezpośrednio przy formularzu rejestracyjnym – albo jako krótka informacja z linkiem do pełnej wersji. Nie ukrywaj jej głęboko w stopce – użytkownik musi mieć do niej łatwy dostęp w momencie podawania danych.

Czy dzieci mogą grać? RODO a wiek użytkownika?

Jeśli Twój serwis z grami jest dostępny dla dzieci lub nastolatków, musisz szczególnie uważać. RODO nakłada dodatkowe wymagania w przypadku przetwarzania danych osób poniżej 16. roku życia (w Polsce granica ta wynosi 13 lat). Co to oznacza w praktyce? Żeby legalnie przetwarzać dane dziecka, potrzebujesz zgody jego rodzica lub opiekuna prawnego. I nie wystarczy, że dziecko samo zaznaczy checkbox – musisz mieć możliwość weryfikacji tej zgody. W praktyce oznacza to najczęściej dodanie odpowiedniego komunikatu przy rejestracji i przygotowanie osobnej procedury dla młodszych użytkowników. Jeśli Twój serwis celuje w starszych graczy – dobrze, żebyś jasno określił minimalny wiek rejestracji i zadbał o jego weryfikację, np. przez datę urodzenia. Ignorowanie tego tematu może skończyć się naprawdę poważnymi konsekwencjami.

Bezpieczeństwo danych – nie tylko hasła

Zgodność z RODO to nie tylko papierologia – to też realna ochrona danych, które zbierasz. I nie chodzi tu tylko o silne hasła czy certyfikat SSL. Musisz zadbać o bezpieczeństwo na kilku poziomach. Po pierwsze – dane powinny być przechowywane w sposób zaszyfrowany, szczególnie hasła (najlepiej przy użyciu silnych algorytmów typu bcrypt). Po drugie – dostęp do danych w panelu admina powinien mieć tylko ten, kto naprawdę go potrzebuje. Po trzecie – zabezpiecz swój serwis przed typowymi atakami, jak SQL Injection, XSS czy brute-force. Warto też regularnie aktualizować system i wtyczki, robić kopie zapasowe oraz monitorować nietypowe aktywności. RODO nie narzuca konkretnych rozwiązań technicznych, ale wymaga, żeby dane były odpowiednio chronione. A jeśli dojdzie do wycieku – masz 72 godziny na zgłoszenie tego do UODO. Lepiej więc być przygotowanym.

Co grozi za złamanie RODO?

Temat kar za złamanie RODO często traktowany jest lekko – „a jakoś to będzie”. No właśnie niekoniecznie. Urząd Ochrony Danych Osobowych może nałożyć grzywnę nawet do 20 milionów euro albo 4% rocznego obrotu firmy – w zależności od tego, która kwota jest wyższa. Oczywiście w praktyce większość mniejszych serwisów nie dostaje takich kar, ale... dostają upomnienia, nakazy zmian i kontrole. A czasem też mniejsze, ale wciąż bolesne kary – np. 10–20 tys. zł za brak polityki prywatności albo źle zorganizowaną rejestrację. Oprócz tego, jeśli dojdzie do wycieku danych lub użytkownicy zgłoszą naruszenia, Twoja reputacja może mocno ucierpieć. W skrócie – nie warto ryzykować. Dużo taniej, szybciej i spokojniej jest zadbać o zgodność z RODO od początku.

Co zrobić, żeby być zgodnym z RODO?

Nie musisz być prawnikiem, żeby zadbać o RODO w swoim serwisie z grami. Wystarczy, że krok po kroku uporządkujesz najważniejsze elementy.

Oto, co warto zrobić:

• Spisz, jakie dane zbierasz – przy rejestracji, logowaniu, płatnościach, czacie itd.
• Określ cel i podstawę prawną – np. zgoda użytkownika, realizacja umowy, uzasadniony interes.
• Stwórz politykę prywatności i regulamin – jasno i prostym językiem.
• Dodaj klauzule informacyjne przy formularzach – najlepiej widoczne już przy rejestracji.
• Zadbaj o checkboxy – osobne zgody na newsletter, marketing, regulamin.
• Sprawdź, czy dane są bezpieczne – szyfrowanie haseł, SSL, dostęp tylko dla uprawnionych osób.
• Podpisz umowy powierzenia danych – z hostingiem, narzędziami analitycznymi, systemami płatności.
• Przygotuj się na ewentualny wyciek danych – miej gotową procedurę i kontakt do UODO.

Warto też co jakiś czas wrócić do tego tematu i sprawdzić, czy wszystko dalej działa tak, jak powinno.