Pelit ja tietosuoja

Hannu Partanen / Fondia Oy

Agenda

1. Esittely

2. Tietosuojalait ja niiden vaikutus peliin

3. ..mitä sitten kirjoitan privacy policyyni?

2

Esittely

3

4

Mikä on henkilötieto?

Mikä on henkilötieto?

• Yhteystiedot?

• IP-osoite? Dynaaminen / kiinteä?

• Device identifier?

• Sijainti? Sijainnin tarkkuus?

• Käyttödata?

• Kryptattu data?

Soveltumiskynnys on matala

5

Mikä on henkilötieto?

• Yhden käsissä anonyymi tieto voi olla toisen käsissä henkilötieto

• Online – online tunnistus

• SSN predictions from Facebook profiles (Acquisti and Gross, 2009)

• Offline – online tunnistus

• Vrt. luovutukset pelistä ulos

6

7

Data Controller

Rekisterin-pitäjä

Data Controller

Rekisterin-pitäjä

Data subject

Rekisteröity

Data subject

Rekisteröity

Sub-processor

Sub-processor

Data Processor

Käsittelijä

Data Processor

Käsittelijä

Data Controller

Data Controller

Lainsäädäntö nyt – missä mennään?

8

Milloin henkilötietoja voidaan kerätä pelaajilta? • Rekisteröityminen (explicit profile)

• Pelin käyttäminen (predictive profile)

• Palautteen ja kehitysideoiden antaminen

• Nettisivut

• jne

• Miten suhteuttaa tarpeellisuusvaatimukseen (miksi)?

9

Mutta pelini kerää vain käyttödataa..? • Suuren datamassan perusteella voi luoda hyvinkin yksityiskohtaisen

käyttäjäprofiilin (predictive profile) – milloin muuttuu henkilötiedoksi?

• Behaviourally targeted advertising ja mainostajien mahdollisuudet yhdistää eri peleistä dataa esim. iOS IDFA:n avulla

• Entä jos peliin yhdistetään rekisteröityminen myöhemmin?

• Kuka oikeasti kerää ja kontrolloi dataa?

• Lähteekö data teknisesti suoraan pelistä ulos vai kehittäjän kautta?

• Lokaatiodata?

• IP-osoite, device identifier, MAC-osoite?

kuvaa käyttödatan kerääminen, käsittely ja luovutukset

10

Flurry Analytics Terms of Service (v. 28.3.2013)

PRIVACY AND INFORMATION COLLECTION

”You must post a privacy policy. That policy must (i) provide notice of your use of a tracking pixel, agent or any other visitor identification technology that collects, uses, shares and stores data about end users of your applications (whether by you, Flurry or your Ad Partners) and (ii) contain a link to Flurry's Privacy Policy and/or describe Flurry's opt-out for the Analytics Service to your end users in such a manner that they can easily find it and opt-out of the Analytics Service tracking.”

11

Evästeet ja muu seurantateknologia • Tällä hetkellä suomalainen lähestymistapa: suostumus lähtökohtaisesti

selaimen asetuksista + informointi

• Tuleeko muuttumaan?

• Suostumus voi tarkoittaa eri maissa eri asioita

• Notification pop up method

12

Kansain- väliset tieto- siirrot

13

ec.e

uro

pa.

eu ©

Eu

roo

pan

un

ion

i 19

95–

20

12

2-layered & 3-layered privacy policies • Yhteenvetosivu (human-readable)

• Ikonit, yksinkertaistetut otsikot, selkokielisyys

• Täysversio

• (FAQ)

• Ongelma: miten tulkitaan jos ristiriitaa?

14

Privacy policy pelissä

15

Suostumukset pelissä

16

Privacy policyn muuttaminen • Tarkoitussidonnaisuus

• Muuttamismekanismin kuvaaminen privacy policyssa

• Promptaus

• Tekniset muutokset

• Pystytkö seuraamaan minkä version kukin käyttäjä on hyväksynyt?

17

Suoramarkkinointi – opt in vai opt out? • Pääsääntö: opt in -suostumus sähköiseen suoramarkkinointiin.

• Yhteisöjä koskien opt out.

• @gmail.com vs @corporation.com

• Palvelun myynnin yhteydessä saadut yhteystiedot ja omien samaan tuoteryhmään kuuluvien tuotteiden ja palvelujen suoramarkkinointi

• Aina oltava helppo tapa kieltää suoramarkkinointi + tietolähde mainittu!

18

Kannattaako panostaa? • Happotesti – miltä privacy-case näyttäisi otsikoissa?

• Laillinen toiminta vs. epäilyttävä toiminta

• Luottamuksen hankkiminen kestää pitkään mutta se voidaan menettää nopeasti

• Esim. Instagram

• EU:n tietosuoja-asetus ja max. 2% liikevaihdon sakot

19

EU data protection reform • 95/46/EC directive needs to be updated

• Developments in technology, use of cloud computing, ease of PII collection, availability of publicly available PII

• Current rules are not sufficient anymore

• Directive is implemented and applied differently in different member states

• 27 national versions uncertainty

• Comprehensive protection and enforcement

• More case law

20

EU data protection reform • Privacy by default / design

• Data portability

• Right to be forgotten

• Breach notification

• Data protection officer appointment

• Fines of up to 2 % of global turnover

21

..mitä sitten kirjoitan privacy policyyni?

22

Mieti ensin, kenelle privacy policy laaditaan • Oikeuksien varaaminen varmuuden vuoksi?

• Informaation antaminen vai suostumuksen hankkiminen?

• Mitä tarkoittaa suostumus?

• 2-layered and 3-layered policies?

• Opt in vai opt out?

23

Kysymyslistat

• Mitä dataa kerätään?

• Kenen dataa kerätään?

• Miksi dataa kerätään?

• Miten dataa kerätään?

• Suullisesti, sähköisesti, käyttäjältä, kumppaneilta?

• Hankintaanko suostumus? Jos, miten?

Kysymyslistat jatkuu

• Miten merkityksellistä kerätty data on keräämisen tarkoitukselle?

• Riittäisikö anonymisoitu data?

• Verifioidaanko dataa?

• Mikä on säilytysaika?

• Missä data säilytetään?

• Siirretäänkö ulos keräysmaasta? Jos, niin kenelle ja minkälaisella järjestelyllä?

Kysymyslistat jatkuu

• Miten data on suojattu?

• Kenelle dataa luovutetaan?

• Jos, niin miksi?

• Controller – controller vs. controller – processor?

• Minkälaiset sopimukset?

• Data subject access -menettelyt?

• Miten data tuhotaan? Varmistaako sen että ei tunnistettavuutta?

Kysymyksiä?

27

Kiitos!

28

Hannu Partanen E: hannu.partanen@fondia.fi T: 020 7205 465 Skype: hannupartanen