Pelit ja tietosuoja Hannu Partanen / Fondia Oy
Agenda 1. Esittely 2. Tietosuojalait ja niiden vaikutus peliin 3...mitä sitten kirjoitan privacy policyyni? 2
3 Esittely
4 Mikä on henkilötieto?
Mikä on henkilötieto? Yhteystiedot? IP-osoite? Dynaaminen / kiinteä? Device identifier? Sijainti? Sijainnin tarkkuus? Käyttödata? Kryptattu data? Soveltumiskynnys on matala 5
Mikä on henkilötieto? Yhden käsissä anonyymi tieto voi olla toisen käsissä henkilötieto Online online tunnistus SSN predictions from Facebook profiles (Acquisti and Gross, 2009) Offline online tunnistus Vrt. luovutukset pelistä ulos 6
Data subject Rekisteröity Data Processor Käsittelijä Rekisterinpitäjä Subprocessor Data Controller Data Controller 7
Lainsäädäntö nyt missä mennään? 8
Milloin henkilötietoja voidaan kerätä pelaajilta? Rekisteröityminen (explicit profile) Pelin käyttäminen (predictive profile) Palautteen ja kehitysideoiden antaminen Nettisivut jne Miten suhteuttaa tarpeellisuusvaatimukseen (miksi)? 9
Mutta pelini kerää vain käyttödataa..? Suuren datamassan perusteella voi luoda hyvinkin yksityiskohtaisen käyttäjäprofiilin (predictive profile) milloin muuttuu henkilötiedoksi? Behaviourally targeted advertising ja mainostajien mahdollisuudet yhdistää eri peleistä dataa esim. ios IDFA:n avulla Entä jos peliin yhdistetään rekisteröityminen myöhemmin? Kuka oikeasti kerää ja kontrolloi dataa? Lähteekö data teknisesti suoraan pelistä ulos vai kehittäjän kautta? Lokaatiodata? IP-osoite, device identifier, MAC-osoite? kuvaa käyttödatan kerääminen, käsittely ja luovutukset 10
Flurry Analytics Terms of Service (v. 28.3.2013) PRIVACY AND INFORMATION COLLECTION You must post a privacy policy. That policy must (i) provide notice of your use of a tracking pixel, agent or any other visitor identification technology that collects, uses, shares and stores data about end users of your applications (whether by you, Flurry or your Ad Partners) and (ii) contain a link to Flurry's Privacy Policy and/or describe Flurry's opt-out for the Analytics Service to your end users in such a manner that they can easily find it and opt-out of the Analytics Service tracking. 11
Evästeet ja muu seurantateknologia Tällä hetkellä suomalainen lähestymistapa: suostumus lähtökohtaisesti selaimen asetuksista + informointi Tuleeko muuttumaan? Suostumus voi tarkoittaa eri maissa eri asioita Notification pop up method 12
ec.europa.eu Euroopan unioni 1995 2012 Kansain- väliset tieto- siirrot 13
2-layered & 3-layered privacy policies Yhteenvetosivu (human-readable) Ikonit, yksinkertaistetut otsikot, selkokielisyys Täysversio (FAQ) Ongelma: miten tulkitaan jos ristiriitaa? 14
Privacy policy pelissä 15
Suostumukset pelissä 16
Privacy policyn muuttaminen Tarkoitussidonnaisuus Muuttamismekanismin kuvaaminen privacy policyssa Promptaus Tekniset muutokset Pystytkö seuraamaan minkä version kukin käyttäjä on hyväksynyt? 17
Suoramarkkinointi opt in vai opt out? Pääsääntö: opt in -suostumus sähköiseen suoramarkkinointiin. Yhteisöjä koskien opt out. @gmail.com vs @corporation.com Palvelun myynnin yhteydessä saadut yhteystiedot ja omien samaan tuoteryhmään kuuluvien tuotteiden ja palvelujen suoramarkkinointi Aina oltava helppo tapa kieltää suoramarkkinointi + tietolähde mainittu! 18
Kannattaako panostaa? Happotesti miltä privacy-case näyttäisi otsikoissa? Laillinen toiminta vs. epäilyttävä toiminta Luottamuksen hankkiminen kestää pitkään mutta se voidaan menettää nopeasti Esim. Instagram EU:n tietosuoja-asetus ja max. 2% liikevaihdon sakot 19
EU data protection reform 95/46/EC directive needs to be updated Developments in technology, use of cloud computing, ease of PII collection, availability of publicly available PII Current rules are not sufficient anymore Directive is implemented and applied differently in different member states 27 national versions uncertainty Comprehensive protection and enforcement More case law 20
EU data protection reform Privacy by default / design Data portability Right to be forgotten Breach notification Data protection officer appointment Fines of up to 2 % of global turnover 21
..mitä sitten kirjoitan privacy policyyni? 22
Mieti ensin, kenelle privacy policy laaditaan Oikeuksien varaaminen varmuuden vuoksi? Informaation antaminen vai suostumuksen hankkiminen? Mitä tarkoittaa suostumus? 2-layered and 3-layered policies? Opt in vai opt out? 23
Kysymyslistat Mitä dataa kerätään? Kenen dataa kerätään? Miksi dataa kerätään? Miten dataa kerätään? Suullisesti, sähköisesti, käyttäjältä, kumppaneilta? Hankintaanko suostumus? Jos, miten?
Kysymyslistat jatkuu Miten merkityksellistä kerätty data on keräämisen tarkoitukselle? Riittäisikö anonymisoitu data? Verifioidaanko dataa? Mikä on säilytysaika? Missä data säilytetään? Siirretäänkö ulos keräysmaasta? Jos, niin kenelle ja minkälaisella järjestelyllä?
Kysymyslistat jatkuu Miten data on suojattu? Kenelle dataa luovutetaan? Jos, niin miksi? Controller controller vs. controller processor? Minkälaiset sopimukset? Data subject access -menettelyt? Miten data tuhotaan? Varmistaako sen että ei tunnistettavuutta?
Kysymyksiä? 27
Kiitos! Hannu Partanen E: hannu.partanen@fondia.fi T: 020 7205 465 Skype: hannupartanen 28