Мы с IT - юристами i-legal Анастасией Кузьминой и Алексеем Насанбаевым не смогли пройти мимо и решили разобраться в этом вопросе.
Основное опасение игроков – это, конечно, риск безвозвратной потери всех игр, привязанных к аккаунту. Возмущения игрового сообщества вполне логичны с учетом того, что у пользователей Ubisoft в прошлом уже были случаи удаления аккаунтов с приобретенными играми по причине длительного отсутствия активности. Например, пользователь из Норвегии летом 2021 года сообщил, что Ubisoft удалило его аккаунт Ubisoft Connect в связи неактивностью аккаунта, несмотря на то что на данный аккаунт были приобретены игры на общую сумму нескольких сотен долларов. Ранее в том же году пользователи Reddit сообщали о том, что Ubisoft рассылало уведомления о том, что намеревается закрыть их неактивные аккаунты.
Важным нюансом является и то, что абсолютно все игры Ubisoft, в том числе и приобретенные в любом ином сервисе цифровой дистрибьюции видеоигр, таких как Steam, Epic Games Store, или приобретенные в физической форме, привязываются к аккаунту Ubisoft Connect, а удаление аккаунта означает и удаление всех привязанных игр (Пункт 8.3. Условий использования Сервисов Ubisoft).
Ubisoft, давая ответы IGN и PC Gamer по вопросу удаления аккаунтов пользователей, заверило, что аккаунты с купленными играми или оплаченной подпиской не удаляются по причине неактивности при этом сообщив, что удаление неактивных аккаунтов является уже давно сложившейся практикой и связано с необходимостью соблюдения требований законодательства о персональных данных General Data Protection Regulation - GDPR (общий регламент по защите персональных данных, основной нормативный акт, регламентирующий порядок обработки персональных данных и их защиты) о сроках хранения персональных данных пользователей.
Действительно ли GDPR обязывает владельцев сервисов цифрового распространения компьютерных игр, таких как Ubisoft Connect, Steam (Valve) или GOG (CD Projekt group), удалять неактивные аккаунты пользователей?
Является ли угроза GDPR реальной для пользователей иных сервисов цифровой дистрибьюции видеоигр? И в конце концов, являются ли действия Ubisoft законными?
На эти вопросы мы постараемся ответить в настоящей статье.
Несмотря на то, что из ответа Ubisoft о причинах удаления неактивных аккаунтов складывается впечатление о том, что срок хранения персональных данных является каким-то конкретным, на самом деле GDPR не содержит какого-то строго определенного срока, выраженного в числах.
Статья 5.1. (е) GDPR, на которую ссылается Ubisoft в своем ответе, требует сохранять персональные данные субъектов не дольше, чем это необходимо для целей обработки персональных данных. Сами же цели обработки персональных данных определяются контролером, то есть лицом, осуществляющим обработку персональных данных (в настоящем случае контролером является компания Ubisoft).
Какие же цели могут быть поставлены контролером? В целом, любые.
От поставленной цели обработки зависит срок хранения персональных данных, поскольку по достижению поставленной цели персональные данные должны быть удалены контролером немедленно. Однако, контролер вправе самостоятельно установить конкретный срок хранения персональных данных, который не должен выходить за пределы целей обработки.
Иногда законом могут быть предусмотрены конкретные сроки хранения данных. Например, в некоторых странах Евросоюза существуют требования о сохранении персональных данных работников в течение определенного срока для целей, установленных налоговым и трудовым законодательством. Однако, каких-то конкретных сроков для хранения персональных данных, в том числе рекомендательного характера, для игровой индустрии не предусмотрено.
В целом, такой подход является оправданным, поскольку все возможные цели обработки, а, соответственно, и сроки обработки персональных данных, попросту невозможно предусмотреть. Цели обработки персональных данных в индустрии компьютерных игр (как, впрочем, и во многих других сферах) отличаются большим разнообразием: начиная со сбора адреса электронной почты для отправления кода активации цифрового контента, заканчивая сбором сведений о «play style» отдельных игроков для построения на их основе игровых ИИ (например, ИИ «AlphaStar», разработанная компанией DeepMind совместно с Blizzard Entertainment для RTS StarCraft 2 с использованием записей игр профессиональных игроков StarCraft 2).
Хотя контролеры и свободны в постановке целей обработки персональных данных, такая свобода не является неограниченной.
Для соответствия требованиям GDPR контролерам необходимо учитывать, что цели должны быть:
a) конкретными
b) четко-определенными
c) законными
(Article 5(1)(b) GDPR)
Данное ограничение называется принципом ограничения цели обработки персональных данных.
Формулирование абстрактных целей обработки персональных данных или недостаточно четкое их описание является прямым нарушением принципа ограничения цели, а, следовательно, и требований GDPR.
Поставленные цели обработки персональных данных должны быть доведены до пользователей, чьи персональные будут обрабатываться (Article 5(1)(a) GDPR) Данное требование именуется принципом прозрачности цели.
Обработка персональных данных, не связанная с поставленной целью обработки, является нарушением GDPR (Article 5(1)(с) GDPR).
Стоит отметить, что требования GDPR распространяются не на весь мир, но в то же время являются экстерриториальными: они распространяются на любые организации, работающие с персональными данными граждан Евросоюза. Таким образом, если ваша аудитория находится на территории Европейского союза, рекомендуем вам проверить, корректно ли закреплены в ваших документах цели обработки персональных данных, поскольку нарушение требований GDPR влечет существенную ответственность в виде штрафов, размеры которых могут достигать 20 000 000 евро или 4% от общего годового мирового оборота за финансовый год (в зависимости от того, какая сумма выше) (Article 83(5)(a) GDPR).
Получается, что во-первых, GDPR действительно устанавливает ограниченный срок хранения персональных данных, равный сроку достижения цели обработки данных, а сам объем обрабатываемых данных должен быть минимален для достижения поставленной цели обработки. Во-вторых, GDPR действительно обязывает контролеров удалять соответствующие персональные данные после достижения целей обработки.
Так что же, выходит компания Ubisoft права и GDPR является угрозой для аккаунтов игроков?
И все же не совсем.
В Политике конфиденциальности Ubisoft указаны следующие цели обработки персональных данных:
a) создание аккаунта Ubisoft;
b) обработка заказа при покупке цифровых товаров Ubisoft;
c) улучшение игрового опыта пользователей;
d) обеспечение функционирования и безопасности Сервисов Ubisoft;
e) упрощение процесса создания аккаунта для пользователей, играющих в игры Ubisoft на консолях;
f) обеспечение взаимодействия между пользователями в Сервисах Ubisoft;
g) рассылка рекламных предложений, опросов, проведений внутренней статистики;
h) обработка запросов в службе поддержки;
i) оказание услуг для аккаунтов Ubisoft Quartz.
При этом Ubisoft не устанавливает конкретный срок обработкиперсональных данных, данные пользователей хранятся до достижения поставленных целей.
Не затрагивая вопрос о том, насколько сформулированные цели соответствуют требованиям конкретности и четкой определенности, можно заметить, что ни одна из указанных целей напрямую не связана с использованием функционала аккаунта Ubisoft Connect, а именно обеспечением пользователей доступом к приобретаемым им видеоиграм и игровым подпискам, хотя указанный функционал сервиса является ключевым.
На наш взгляд, такой подход к формулированию целей обработки персональных данных является не самым удачным примером.
Для наглядности сравним их с целями, указанными в политиках Valve (Steam) и GOG. Так, в качестве цели обработки персональных данных Valve указывает: необходимость выполнения соглашения между Valve и пользователями по предоставлению полнофункционального игрового сервиса и связанных с ним контента и услуг. То есть целью обработки персональных данных Steam является предоставление доступа к видеоиграм и иному контенту, размещенному на платформе Steam. GOG закрепляет аналогичную цель обработки персональных данных: обеспечение доступа пользователей к аккаунту GOG, предоставление доступа к видеоиграм и услугам, приобретаемых с помощью платформы GOG.
Из приведенных примеров видно, что цели, устанавливаемые Valve и GOG, являются постоянно возобновляемыми, они актуальны до тех пор, пока существует аккаунт, что же касается целей Ubisoft – большинство из них краткосрочны, а значит, персональные данные подлежат немедленному удалению после их достижения, как того требует GDPR.
У Valve и GOG не возникает вопроса о необходимости удаления неактивных аккаунтов для соблюдения требований GDPR, поскольку цель является постоянной, она существует до тех пор, пока у пользователя есть интерес в получении доступа к своему аккаунту, то есть до момента удаления аккаунта самим пользователем. Такой по своему существу неограниченный срок обработки персональных данных удовлетворяет интересам общества в целом, поскольку он обеспечивает неограниченный срок доступа к приобретенному пользователем цифровому контенту, который все чаще и чаще признается в качестве одного из видов имущества (в широком смысле).
На примере Ubisoft же мы видим, что иногда не совсем удачное формулирование целей обработки персональных данных и формальное толкование положений GDPR, к сожалению, может привести к неверному пониманию требований регламента и повлечь репутационный ущерб для компании.
Итак, возвращаясь к вопросам из начала статьи.
Обязывает ли GDPR владельцев сервисов цифровой дистрибьюции видеоигр удалять неактивные аккаунты пользователей?
Нет. GDPR обязывает удалять лишь те персональные данные, цели обработки которых были достигнуты.
Является ли «угроза» удаления аккаунтов из-за GDPR реальной для пользователей иных сервисов цифровой дистрибьюции видеоигр?
Нет, угроза иллюзорна. В подавляющем большинстве случаев владельцы сервисов цифровой дистрибьюции видеоигр устанавливают корректные цели обработки персональных данных. Однако перед использованием какого-либо сервиса мы рекомендуем знакомиться с положениями пользовательского соглашения и политикой обработки персональных данных компании, после чего уже принимать решение о том, подходит ли он конкретно Вам.
Являются ли действия Ubisoft законными?
Несмотря на то, что мы пришли к выводу о том, что GDPR напрямую не обязывает удалять неактивные аккаунты игроков, все же ответ на вопрос о законности действий Ubisoft не так однозначен. «Фича» здесь заключается в том, что право Ubisoft удалить аккаунт Ubisoft Connect закреплено в условиях использования сервисов Ubisoft и никак не связано с требованиями GDPR. Несмотря на публичные заявления Ubisoft о том, что аккаунты с купленными играми и подписками удалению не подлежат, в условиях Ubisoft прописано право удалить Ваш аккаунт после направления уведомления, если он был неактивен более 6 месяцев, вне зависимости от того, имеются ли на нем приобретенные игры. Более того, Ubisoft имеет право удалить аккаунт буквально по любой причине, и это не шутка. Еще более иронично то, что Ubisoft, как это указано в условиях сервиса, вправе продолжить обрабатывать персональные данные пользователей и после удаления аккаунта Ubisoft Connect.
C радостью ждем ваши вопросы и комментарии здесь или в нашем Telegram!
А в нашем Telegram - канале рассказываем об изменениях в законодательстве, новостях в мире IT и не только.