yendrek Opublikowano 2 Marca 2019 Zgłoś Opublikowano 2 Marca 2019 (edytowane) 1. WSTĘP W grudniu 2018 r. Epic Games – producent gier komputerowych – otworzył swoją platformę dystrybucji gier Epic Games Store. Usługa od razu mocno wbiła się w rynek cyfrowej dystrybucji, głównie za sprawą dużo niższych marż pobieranych od developerów, niż ma to miejsce w przypadku największego konkurenta - platformy Steam (12% vs 30%). Nie obyło się bez kontrowersji dotyczących głównie wyłączności na niektóre tytuły, spośród których najgłośniejsze było Metro Exodus. Wspomniana produkcja na platformie Steam była dostępna w przedsprzedaży, z której niektórzy użytkownicy Steam skorzystali, a z której to platformy została wycofana na rzecz sklepu Epic Games. Oczywiście „preorderowcy” nie zostaną pozostawieni na lodzie i otrzymają opłaconą grę, lecz pewien niesmak pozostaje. Nie ma co jednak rozwodzić się zbyt długo nad takimi zagrywkami konkurentów – rynek komputerowej rozrywki ma gigantyczną wartość, a gra pomiędzy rywalizującymi platformami dystrybucji toczy się o równie gigantyczne pieniądze. Ale nie o rozgrywkach pomiędzy dystrybutorami gier ma być ten felieton – zgodnie z definicją przedstawioną w Wikipedii – krótki utwór dziennikarski, utrzymany w osobistym tonie, wyrażający – często skrajnie złośliwie – osobisty punkt widzenia autora. Postanowiłem przyjrzeć się innemu aspektowi zarabiania pieniędzy przez dostawców wszelkich usług świadczonych przez Internet, a mianowicie handlowi danymi osobowymi. Teoretycznie wszelkiego rodzaju „przetwarzanie danych osobowych” w Polsce jest uregulowane w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). I tu pora na… Zastrzeżenie: W felietonie przyjrzałem się dokumentowi „Globalna polityka ochrony poufności informacji przekazanych Epic Games”, datowanemu na 19 grudnia 2018 r., dostępnemu pod adresem https://www.epicgames.com/site/pl/privacypolicy. Jest to dokument w języku polskim, zatem wykorzystując moją wiedzę i doświadczenie w pracy z tego typu tekstami, mogłem pokusić się o jego analizę. Nie odważył bym się na podobny krok w przypadku języka innego, niż polski, z prostego powodu - języka prawniczego, podobnie zresztą jak każdego innego języka zawodowego, trzeba się nauczyć. W szczególności dotyczy to obcego języka prawniczego - np. angielskiego - w którym różne sformułowania i zwroty, wplecione w konkretny kontekst zapisu, mogą mieć mniej lub bardziej inne znaczenie, niż w języku potocznym. Niemniej język polski jest moim językiem ojczystym, mam doświadczenie w pracy z – nazwijmy to – dokumentami formalnymi w języku polskim, dlatego też przeprowadziłem analizę niektórych zapisów polityki prywatności Epic Games, dotyczących sposobu przetwarzania przez Epic Games danych, które bezpośrednio im powierzają klienci. Pominąłem tu zapisy dotyczące przetwarzania przez Epic Games danych otrzymanych od tak zwanych „stron trzecich”. I podkreślam tu raz jeszcze – ta analiza dotyczy jedynie polityki prywatności w języku polskim, w którym znaczenie poszczególnych zwrotów i wyrażeń jestem w stanie jednoznacznie zinterpretować. I raz jeszcze podkreślam formę publikacji – osobisty punkt widzenia autora. Tytułem wyjaśnień przed rozpoczęciem właściwej lektury: przyjąłem konwencję zapisu czcionką pogrubioną tytułu sekcji z dokumentu „Globalna polityka ochrony poufności informacji przekazanych Epic Games”, czcionką pochyłą wybrany, analizowany punkt z tej sekcji. Do zaznaczenia kwestionowanego przeze mnie słowa lub zwrotu użyłem sformułowań typu słowo-klucz, zdanie-klucz itp. Felieton podzieliłem na trzy części: wstęp, analizę wybranych zapisów polityki prywatności, oraz podsumowanie. 2. ANALIZA (2) Informacje gromadzone automatycznie, gdy korzysta Pani / Pan z naszych witryn internetowych, gier i aplikacji - Typ informacji gromadzonych automatycznie może się różnić, jednak zwykle obejmuje:(…) Słowo-klucz: zwykle. Otwiera niezwykłą drogę do zbierania wszystkiego, do czego uzyskają dostęp. - Proszę zauważyć, że jeśli pewne funkcje naszej witryny internetowej są dostarczane przez strony trzecie, te strony trzecie również mogą wykorzystywać metody automatycznego gromadzenia informacji oraz mogą zapisywać informacje o użytkowaniu naszych witryn internetowych i innych witryn, w danym czasie. Te funkcje podlegają politykom i oświadczeniom o ochronie poufności informacji tych stron trzecich. Standardowa furtka dla każdego, komu zezwolą na umieszczenie jego wtyczki na ich stronie. Interesujące jest ostatnie zdanie: Te funkcje podlegają politykom i oświadczeniom o ochronie poufności informacji tych stron trzecich. Co zatem z ochroną danych, jeśli "strona trzecia" będzie miała swoją siedzibę w Królestwie Wysp Bananowych poza obszarem jurysdykcji UE i RODO, a oświadczenie o ochronie poufności danych będzie miała w stylu "Mamy w d... ochronę Pana / Pani danych osobowych."? Furtka do nieskrępowanego handlu danymi poprzez pośredników. Epic Games tym zapisem umywa ręce od wszelkich konsekwencji przekazania danych osobowych „stronom trzecim”. Poza tym zwracam uwagę na sformułowanie: „strony trzecie również mogą wykorzystywać metody automatycznego gromadzenia informacji oraz mogą zapisywać informacje o użytkowaniu naszych witryn internetowych i innych witryn”? Owe strony trzecie będą mogły zbierać dane o użytkowniku platformy Epic Games nie tylko, kiedy jest na ich stronie, ale w ogóle na jakiejkolwiek stronie. Ktoś ma jakieś skojarzenia z Google i Facebook’iem? Sposób wykorzystywania i udostępniania informacji Zasadniczo wykorzystujemy informacje o Pani / Panu, a to w celu świadczenia usług, oferowaniu wrażeń, prowadzeniu sprzedaży towarów lub udostępnianiu informacji, o które Pani / Pan poprosi. Słowo-klucz: zasadniczo. W praktyce rozciąga zakres wykorzystania danych do nieskończoności. 1. Wykorzystujemy dane osobowe dla naszych uzasadnionych interesów, zgodnie z Pani / Pana prawami i preferencjami, celem:(…) Zdanie klucz, oznacza - zrobimy z twoimi danymi co chcemy. Krzywką tego klucza jest zwrot "naszych uzasadnionych interesów". Biorąc pod uwagę, że naczelnym „uzasadnionym interesem” każdej korporacji, w tym Epic Games, jest zarabianie pieniędzy, po przeczytaniu tego punktu właściwie można by darować sobie resztę, która wobec takiego dictum acerbum stanowi tylko szum informacyjny. Oczywiście cele są wyszczególnione: komunikacja z klientem, personalizacja, wysyłanie reklam, audyt, bezpieczeństwo itp. Można by się nimi przejmować, można by domniemywać że respektują prawa i preferencje klientów, gdyby kwestionowane przez mnie zdanie brzmiało: „Wykorzystujemy dane osobowe, zgodnie z Pani / Pana prawami i preferencjami, celem:(…)”. Ale tak nie brzmi. Przechowujemy dane osobowe tak długo, jak jest to rozsądnie konieczne do realizowania celów, dla których je zgromadziliśmy. Słowo-dziwny-klucz: rozsądnie. Po co w ogóle ono się tam znalazło? Firma może przechowywać dane osobowe przez okres konieczny do realizacji celu, dla którego zostały zgromadzone, a jeśli to są dane płatnicze - ma wręcz obowiązek przechować je przez czas określony odrębnymi przepisami finansowymi. Moim zdaniem dodanie "rozsądnie" ma umożliwić przetrzymanie danych poza dozwolonym okresem. Okresowo przeglądamy przechowywane dane osobowe, aby ustalić, czy dalsze ich przechowywanie jest właściwe. Mistrzostwo świata. Uważacie pewnie, że chodzi o weryfikację, czy Epic Games ma prawo przechowywać dane? Nic podobnego, wieloznaczne słowo-klucz "właściwe" zastąpiło zwrot "prawnie uzasadnione" i teraz oznacza na przykład "aby ustalić, czy dalsze ich przechowywanie odbywa się zgodnie z naszą wewnętrzną polityką handlu danymi". Praktycznie to "właściwe" może oznaczać wszystko. Możemy również udostępniać pewne ograniczone informacje, takie jak identyfikatory urządzeń, reklamodawcom albo innym partnerom marketingowym w ramach oceny efektywności działań reklamowych i innych strategii marketingowych. Słowo-klucz: pewne. Podanie jako przykładu identyfikatorów urządzeń to perfidna ściema mająca odwrócić uwagę od tego, czym w rzeczywistości będą handlować. Dlaczego nie podane są wprost wszystkie „udostępniane informacje”? Skoro są „ograniczone”, ich wyliczenie nie powinno być szczególnie trudne, no chyba że Internet jest za mały, aby zmieścić listę danych osobowych udostępnianych przez Epic Games. Pani / Pana prawo wyboru Jesteśmy zobligowani do uzyskania Pani / Pana zgody zanim wykorzystamy Pani / Pana dane osobowe do jakiegokolwiek celu niezgodnego z celami przedstawionymi w niniejszej polityce. Zwrot-klucz: z celami przedstawionymi w niniejszej polityce. Owe cele są określone tak niejasno i wieloznacznie, że Epic Games, po założeniu przez użytkownika konta u nich, praktycznie do niczego nie jest zobligowany. Zwykle prosimy wyłącznie o te Pani /Pana dane osobowe, które są niezbędne do świadczenia zamówionych usług. Słowo-klucz: zwykle. Otwiera drogę do pobierania danych innych, niż "niezbędne do świadczenia usług". Po prostu w jednym pakiecie, który trzeba zaakceptować, są "dane niezbędne" i wszystkie inne dane, które chcą otrzymać. W sumie to sztuczka stara i dobrze znana osobom czytającym regulaminy i licencje. Nihil novi sub sole. Przekazywanie informacji Będziemy przekazywać Pani / Pana dane osobowe w związku z jakimkolwiek celem określonym w tej polityce do naszych podmiotów zależnych i stowarzyszonych, naszych usługodawców i partnerów biznesowych, którzy mogą być zlokalizowani poza jurysdykcją właściwą dla Pani / Pana. Przepisy obowiązujące w tych jurysdykcjach mogą nie oferować takiego poziomu ochrony danych, jak przepisy w Pani / Pana kraju. Będziemy jednak traktować Pani / Pana dane osobowe zgodnie z postanowieniami opisanymi w niniejszej polityce. Tu już Epic Games puszcza wszelkie hamulce. Jurysdykcja właściwa dla Pani/Pana – w naszym przypadku – to Rzeczpospolita Polska. Obszar poza naszą jurysdykcją to UE, USA, ale i wspomniane wcześniej Królestwo Wysp Bananowych, w którym ochrona danych osobowych nie istnieje. No ale wszystko się zgadza – przecież jest wyraźnie napisane, że będą (zwracam uwagę: nie „mogą”, a „będą”) przekazywać dane poza naszą jurysdykcję. Biorąc pod uwagę, że mianem "partnera biznesowego" można określić każdego, kto chce kupić dane osobowe, oraz mając na względzie wyjaśnienia zagrywek ze wszystkich poprzednich punktów, ten paragraf można streścić w następujący sposób: Przekażemy Pana / Pani dane osobowe komukolwiek i gdziekolwiek, w szczególności "do jurysdykcji" gdzie nie obowiązuje ochrona danych osobowych. My będziemy traktować Pana / Pani dane zgodnie z postanowieniami opisanymi w niniejszej polityce, czyli zrobimy z nimi co chcemy. Dodatkowe prawa i obowiązki związane z poufnością informacji (...)W sytuacjach, w których podstawą naszego przetwarzania informacji o Pani / Panu jest zaspokojenie naszych uzasadnionych interesów (np. zapobieganie oszustwom), może Pani / Pan sprzeciwić się przetwarzaniu. Pani / Pana wniosek rozpatrzymy jednak negatywnie, jeśli nasz interes związany z kontynuowaniem przetwarzania danych o Pani / Panu jest dostatecznie przekonujący, by zgodnie z prawem przeważyć Pani / Pana interes będący przedmiotem wniosku (…) Cała ta sekcja to po prostu streszczenie praw użytkownika i prawa Epic Games do olania praw użytkownika ;) Niestety, ale takie coś jest przewidziane w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Przedstawiony wycinek jest po prostu kuriozalny, jednak wyjątkowo należy tu oddać sprawiedliwość Epic Games – to nie ich wymysł, a skorzystanie wprost z zapisów ustaw o ochronie danych osobowych. Niemniej… kłania się paragraf 22. 3. PODSUMOWANIE W taki oto sposób, szanowni Czytelnicy, dotarliście do podsumowania moich spostrzeżeń przedstawionych w tym felietonie. Co wynika z przeprowadzonej analizy wybranych zapisów dokumentu „Globalna polityka ochrony poufności informacji przekazanych Epic Games”? Że Epic Games może zbierać nie tylko te dane, jakie są niezbędne do wykonania świadczonej przez nich usługi „Epic Games Store”. We współczesnym świecie nie było by to niczym zdrożnym, wszak handel danymi osobowymi stał się zjawiskiem powszechnie zaakceptowanym. Co prawda w przypadku niektórych internautów akceptacja nastąpiła przy dźwiękach zgrzytających zębów, ale nastąpiła. Zatrważające jest coś innego: Epic Games, wykorzystując w dokumencie polityki prywatności mnóstwo niejednoznacznych i ogólnikowych sformułowań typu „zwykle”, „zasadniczo”, ”rozsądnie” (lol) rozmywa zakres przetwarzania danych osobowych, otwiera sobie furtki do nieskrępowanego przekazywania ich komukolwiek i gdziekolwiek, a jednocześnie umywa ręce i zwala odpowiedzialność za sposób wykorzystania tych danych na „podmioty trzecie”. Aż się prosi o porównanie z producentem widelców, który dostarcza produkt niezbędny w życiu codziennym, ale jeśli ktoś tym produktem wydłubie komuś oko – to już nie jego wina. Ale czy na pewno takie porównanie jest słuszne w sytuacji przetwarzania danych osobowych? Nie jest. Otóż widelec jest produkowany z surowców wygrzebanych z ziemi. Surowce te są martwe, nie są ze sobą powiązane, ich przetwarzanie w procesie produkcji nie ma żadnego wpływu na tą ich część, jaka pozostaje w ziemi. Jeśli proces przetwarzania będzie niewłaściwy – na przykład stal będzie nieodpowiedniej jakości – surowce wrócą do huty, gdzie się je ponownie przetworzy. I tyle. A dane osobowe? Są ściśle związane z konkretną osobą, żyjącą w określonym środowisku, pełnym współzależności z innymi osobami, których dane także są przetwarzane. Nieprawidłowe przetworzenie danych takiej osoby może narobić jej nieodwracalnych szkód – na przykład wyciek danych bankowych i wyczyszczenie konta albo zaciągnięcie pożyczki, którą poszkodowany często i do końca życia będzie musiał spłacać. Pogódźmy się z tym - handel danymi osobowymi stał się nierozerwalnym elementem współczesnego biznesu. Ale w takim środowisku nie ma miejsca na ogólniki – wszystkie aspekty obróbki danych osobowych powinny być przedstawione jasno i jednoznacznie, podobnie jak jednoznacznie powinna być określona odpowiedzialność podmiotu przetwarzającego za niedopilnowanie swoich obowiązków. Czy Epic Games swą polityką prywatności narusza prawo, czy tylko je naciąga w dozwolonych granicach? Tego nie podejmę się weryfikować, jest to już zadanie dla kogoś siedzącego dużo głębiej „w branży”. Edytowane 2 Marca 2019 przez yendrek formatowanie 1 Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...