Sinds 2018 is de General Data Protection Regulation - kortweg de GDPR - van toepassing binnen de Europese Unie. Deze verordening heeft tot doel om Europese burgers te beschermen bij de verwerking van hun persoonsgegevens. Hoe verhoudt deze relatief nieuwe privacywetgeving zich tot de game-industrie? Binnen deze sector worden namelijk heel wat gegevens verzameld en verwerkt. Mr.Franklin maakt een analyse in deze blogpost.
Ben je geïnteresseerd in alles wat met gaming en rechten binnen de gaming-sector te maken heeft? Lees dan zeker ook onze blogpost van vorige week over gaming & intellectuele eigendom (IP).
Wat is de GDPR?
Privacyrichtlijn 2018
Sinds 25 mei 2018 is de General Data Protection Regulation (GDPR) van toepassing. De GDPR is van toepassing op alle bedrijven die persoonsgegevens verwerken. Aangezien dit toepassingsgebied erg ruim is vallen ondernemingen hier al gauw onder. Game-ontwikkelaars en andere ondernemingen die zich bezighouden met de ontwikkeling en het op de markt brengen van games moeten dus zeker rekening houden met de GDPR. Bij niet-naleving van de GDPR-verplichtingen kunnen sancties - met name hoge boetes - worden opgelegd door de bevoegde autoriteiten.
Bij het ontwikkelen van games werken vaak meerdere en diverse ondernemingen samen. Denk bijvoorbeeld ook aan bedrijven die games uittesten of commercialiseren door marketing. Ook zij moeten actief bezig zijn met de privacyverordening. Het is dus niet enkel aan de game-ontwikkelaar zelf om zich aan GDPR-verplichtingen te houden.
Wat zijn persoonsgegevens?
Persoonsgegevens of persoonlijke gegevens zijn alle mogelijke gegevens of informatie die betrekking hebben op een geïdentificeerd of identificeerbaar natuurlijk persoon. Het gaat dus om een erg ruim begrip.
In de gaming-sector kan specifiek gedacht worden aan gebruikersnamen, identiteitsgegevens, leeftijd, geslacht, e-mailadressen, aankoopgegevens voor in-game aankopen, game prestaties die worden gevolgd en bijgehouden, statistieken, in-game correspondentie met andere spelers,... Ook de gegevens van gamersprofielen met een gamer-naam vallen onder de noemer van persoonsgegeven. Hiermee worden profielen bedoeld die gekoppeld zijn aan een welbepaalde persoon (via een e-mailadres en / of telefoonnummer). Ook als de naam van de persoon niet vermeld wordt maken de gegevens van het profiel toch persoonsgegevens uit.
Het is duidelijk dat er bij gaming heel wat gegevens verzameld en bijgehouden worden. Ook bij het testen en opvolgen van games door het analyseren van data van gebruikers wordt er informatie en data verzameld.
Werking buiten de Europese Unie?
De vraag stelt zich of de GDPR ook buiten de Europese Unie toepassing kan vinden. Met name voor de game-sector kan dit een grote rol spelen. De Amerikaanse en de Chinese markten zijn bijvoorbeeld erg belangrijke spelers binnen de sector en zullen vaak een invloed hebben ook op de Europese markt. Dit kan zijn omdat de spelers van de games zich binnen de Europese Unie bevinden, maar er kunnen ook samenwerkingen zijn tussen Europese bedrijven en bedrijven buiten de Europese Unie.
De GDPR geldt binnen de Europese Unie, maar toch kan de verordening in enkele gevallen toepassing vinden op bedrijven die zich buiten de Europese Unie bevinden - een belangrijke nuance dus. Op deze pagina van de Europese Commissie wordt een overzicht gegeven van de gevallen waarbij de GDPR van toepassing kan zijn op landen buiten de EU. Dit is belangrijke informatie waar de game-industrie beter rekening mee houdt. Vooral artikel 3 van de GDPR, dat gaat over het territoriaal toepassingsgebied van de verordening, speelt hier een grote rol.
De vuistregel is dat EU-bedrijven aan de GDPR moeten voldoen, alsook bedrijven buiten de EU indien zij hun games verkopen binnen de EU of indien zij EU-spelers toelaten tot de games.
Omgekeerd, wanneer Europese bedrijven ook buiten Europa handelen of een publiek aanspreken, zullen zij soms rekening moeten houden met andere, niet-Europese wetgeving. Belangrijk dus om in het achterhoofd te houden.
Belangrijke verplichtingen uit de GDPR
Enkele belangrijke verplichtingen voor ondernemingen die volgen uit de GDPR zullen ook gelden voor bedrijven binnen de game-industrie. Daarnaast zullen enkele bepalingen uit de GDPR specifiek van groot belang zijn voor bedrijven actief in de gamesector.
Centraal in de GDPR staan een aantal principes en verplichtingen waar ondernemingen en overheidsinstanties die onder de GDPR vallen rekening mee moeten houden:
Persoonsgegevens die verzameld en verwerkt worden moeten voor een welbepaald doel verkregen zijn. Een bedrijf mag dus niet zomaar lukraak gegevens over een persoon verzamelen en bijhouden. In de GDPR zelf staan een aantal van deze rechtvaardigingsgronden. Men spreekt ook wel van verwerkingsgronden. De meest voor de hand liggende verwerkingsgrond is de toestemming van de betrokkene zelf, maar deze verwerkingsgrond is minder goed werkbaar binnen de gaming-sector (de toestemming moet specifiek zijn, vrij zijn en intrekbaar zijn op ieder moment). Vooral de vrije toestemming ligt moeilijk: dit zou inhouden dat spelers de game ook moeten kunnen spelen zonder de toestemming en dus zonder dat gegevens verwerkt mogen worden, wat veelal niet mogelijk is. De verwerkingsgrond voor gaming is dan ook vaak een contract of overeenkomst in plaats van de toestemming van de betrokkene.
Uitsluitend de gegevens die noodzakelijk zijn voor een bepaald doel mogen verzameld worden. Er mogen dus niet meer gegevens dan nodig worden verzameld door bedrijven. Enkel gegevens die relevant zijn voor de game mogen gevraagd worden. Een voorbeeld hier is de leeftijd van spelers. De leeftijd kan bijvoorbeeld relevant zijn indien een game bepaalde content heeft die niet geschikt is voor spelers onder de 16 jaar (bv. horror games) of om na te gaan of iemand +13 jaar is (zo niet is de toestemming van de ouders nodig om een game-account aan te maken). De woonplaats daarentegen is meestal niet relevant en moet / mag dan ook niet gevraagd worden. Het land waar de speler zich bevindt is mogelijks wel relevant, dit hangt af van game tot game.
De gegevens die worden verzameld moeten correct zijn. Dit betekent ook dat ze zo nodig moeten worden bijgewerkt indien er fouten in de persoonlijke gegevens staan (recht op rectificatie).
De gegevens moeten op een veilige manier worden verwerkt en bijgehouden. Er moet hierbij gebruik gemaakt worden van afdoende en passende technische en organisatorische maatregelen. De systemen en registers waarin gegevens worden bijgehouden moeten dus veilig zijn. Het kan niet de bedoeling zijn dat een derde zomaar aan deze gegevens kan komen.
Recht om vergeten te worden: een betrokken persoon kan aan een bedrijf vragen om bepaalde of alle gegevens te wissen.
Verplicht aanstellen DPO: in sommige gevallen moet verplicht een Data Protection Officer - kortweg DPO - worden aangesteld. In andere gevallen is het aan te raden dit te doen. Een DPO (in het Nederlands spreekt men ook wel van een Functionaris Gegevensbescherming) is iemand binnen het bedrijf die toeziet op de naleving van de GDPR binnen een bedrijf. Het is een goed idee hierbij te kiezen voor een externe DPO, zodat eventuele belangenconflicten vermeden kunnen worden. Hierbij kunnen de experten van Mr.Franklin helpen. Zij kunnen optreden als gecertificeerde DPO’s. Op deze pagina lees je meer over DPO as a service.
Kortom: toestemming, veiligheid en transparante verwerking van persoonlijke gegevens is iets wat centraal staat binnen de GDPR. Maar hoe zit het nu specifiek voor game-ontwikkelaars?
De GDPR & gaming
Hieronder worden enkele belangrijke bepalingen opgelijst waarmee game-developers maar ook hun partners of andere bedrijven gerelateerd tot de games extra rekening mee moeten houden:
Artikel 7 & 8 GDPR: als de verwerking van persoonlijke gegevens berust op de verwerkingsgrond ‘toestemming’, moet er bij gaming rekening gehouden worden met het feit dat de gamers of eindgebruikers van bepaalde games minderjarigen of kinderen zullen zijn. Artikel 8 van de GDPR heeft het specifiek over het geven van toestemming door minderjarigen. Overweging 38 van de GDPR vermeldt nogmaals dat kinderen speciale bescherming moeten genieten wanneer het gaat over hun persoonsgegevens.
Voor het geven van toestemming in het algemeen kan bijvoorbeeld gewerkt worden met een in-game kennisgeving. Een game moet namelijk altijd duidelijk aangeven wanneer er gegevens verwerkt zullen worden en wat met deze gegevens beoogd wordt, hoe deze worden bijgehouden, voor welke termijn... Er kan ook worden gewerkt met een privacy-beleid, maar belangrijk is dat de toestemming steeds vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn.
Gegevensbescherming moet stroken met de artikelen 5 en 25 van de GDPR. Dit kan tijdrovend zijn, maar is hoogst noodzakelijk. Deze artikelen stellen bijvoorbeeld voorop dat enkel noodzakelijke gegevens worden verzameld en verwerkt. Er moet een degelijk veiligheidsbeleid voorhanden zijn, dat gebruik maakt van passende technische en organisatorische maatregelen.
Er moet transparantie zijn over het recht tot rectificatie en het recht om vergeten te worden. Hiervoor kan gezorgd worden via een degelijk privacybeleid.
Klik hier voor een volledige tekst van de GDPR en haar bepalingen.