Issuu on Google+

Pelit ja tietosuoja

Hannu Partanen / Fondia Oy


Agenda 1. Esittely 2. Tietosuojalait ja niiden vaikutus peliin 3. ..mit채 sitten kirjoitan privacy policyyni?

2


Esittely

3


Mikä on henkilÜtieto?

4


Mikä on henkilötieto? • Yhteystiedot? • IP-osoite? Dynaaminen / kiinteä? • Device identifier? • Sijainti? Sijainnin tarkkuus? • Käyttödata? • Kryptattu data?  Soveltumiskynnys on matala

5


Mikä on henkilötieto? • Yhden käsissä anonyymi tieto voi olla toisen käsissä henkilötieto • Online – online tunnistus • SSN predictions from Facebook profiles (Acquisti and Gross, 2009)

• Offline – online tunnistus • Vrt. luovutukset pelistä ulos

6


Data subject Rekisteröity

Data Controller Rekisterinpitäjä

7

Data Processor

Subprocessor

Käsittelijä

Data Controller


Lainsäädäntö nyt – missä mennään?

8


Milloin henkilötietoja voidaan kerätä pelaajilta? • • • • • •

9

Rekisteröityminen (explicit profile) Pelin käyttäminen (predictive profile) Palautteen ja kehitysideoiden antaminen Nettisivut jne Miten suhteuttaa tarpeellisuusvaatimukseen (miksi)?


Mutta pelini kerää vain käyttödataa..? • Suuren datamassan perusteella voi luoda hyvinkin yksityiskohtaisen käyttäjäprofiilin (predictive profile) – milloin muuttuu henkilötiedoksi? • Behaviourally targeted advertising ja mainostajien mahdollisuudet yhdistää eri peleistä dataa esim. iOS IDFA:n avulla • Entä jos peliin yhdistetään rekisteröityminen myöhemmin? • Kuka oikeasti kerää ja kontrolloi dataa? • Lähteekö data teknisesti suoraan pelistä ulos vai kehittäjän kautta? • Lokaatiodata? • IP-osoite, device identifier, MAC-osoite?  kuvaa käyttödatan kerääminen, käsittely ja luovutukset 10


Flurry Analytics Terms of Service

(v. 28.3.2013)

PRIVACY AND INFORMATION COLLECTION �You must post a privacy policy. That policy must (i) provide notice of your use of a tracking pixel, agent or any other visitor identification technology that collects, uses, shares and stores data about end users of your applications (whether by you, Flurry or your Ad Partners) and (ii) contain a link to Flurry's Privacy Policy and/or describe Flurry's opt-out for the Analytics Service to your end users in such a manner that they can easily find it and opt-out of the Analytics Service tracking.�

11


Evästeet ja muu seurantateknologia • Tällä hetkellä suomalainen lähestymistapa: suostumus lähtökohtaisesti selaimen asetuksista + informointi • Tuleeko muuttumaan? • Suostumus voi tarkoittaa eri maissa eri asioita • Notification pop up method

12


ec.europa.eu © Euroopan unioni 1995–2012

Kansainväliset tietosiirrot

13


2-layered & 3-layered privacy policies • Yhteenvetosivu (human-readable) • Ikonit, yksinkertaistetut otsikot, selkokielisyys

• Täysversio • (FAQ) • Ongelma: miten tulkitaan jos ristiriitaa?

14


Privacy policy peliss채

15


Suostumukset peliss채

16


Privacy policyn muuttaminen • • • • •

17

Tarkoitussidonnaisuus Muuttamismekanismin kuvaaminen privacy policyssa Promptaus Tekniset muutokset Pystytkö seuraamaan minkä version kukin käyttäjä on hyväksynyt?


Suoramarkkinointi – opt in vai opt out? • • • •

Pääsääntö: opt in -suostumus sähköiseen suoramarkkinointiin. Yhteisöjä koskien opt out. @gmail.com vs @corporation.com Palvelun myynnin yhteydessä saadut yhteystiedot ja omien samaan tuoteryhmään kuuluvien tuotteiden ja palvelujen suoramarkkinointi • Aina oltava helppo tapa kieltää suoramarkkinointi + tietolähde mainittu!

18


Kannattaako panostaa? • Happotesti – miltä privacy-case näyttäisi otsikoissa? • Laillinen toiminta vs. epäilyttävä toiminta • Luottamuksen hankkiminen kestää pitkään mutta se voidaan menettää nopeasti • Esim. Instagram

• EU:n tietosuoja-asetus ja max. 2% liikevaihdon sakot

19


EU data protection reform • 95/46/EC directive needs to be updated • Developments in technology, use of cloud computing, ease of PII collection, availability of publicly available PII • Current rules are not sufficient anymore

• • • •

20

Directive is implemented and applied differently in different member states 27 national versions  uncertainty Comprehensive protection and enforcement More case law


EU data protection reform • • • • • •

21

Privacy by default / design Data portability Right to be forgotten Breach notification Data protection officer appointment Fines of up to 2 % of global turnover


..mit채 sitten kirjoitan privacy policyyni?

22


Mieti ensin, kenelle privacy policy laaditaan • • • • •

23

Oikeuksien varaaminen varmuuden vuoksi? Informaation antaminen vai suostumuksen hankkiminen? Mitä tarkoittaa suostumus? 2-layered and 3-layered policies? Opt in vai opt out?


Kysymyslistat • • • •

Mitä dataa kerätään? Kenen dataa kerätään? Miksi dataa kerätään? Miten dataa kerätään? • Suullisesti, sähköisesti, käyttäjältä, kumppaneilta?

• Hankintaanko suostumus? Jos, miten?


Kysymyslistat jatkuu • Miten merkityksellistä kerätty data on keräämisen tarkoitukselle? • Riittäisikö anonymisoitu data?

• Verifioidaanko dataa? • Mikä on säilytysaika? • Missä data säilytetään? • Siirretäänkö ulos keräysmaasta? Jos, niin kenelle ja minkälaisella järjestelyllä?


Kysymyslistat jatkuu • Miten data on suojattu? • Kenelle dataa luovutetaan? • Jos, niin miksi? • Controller – controller vs. controller – processor? • Minkälaiset sopimukset?

• Data subject access -menettelyt? • Miten data tuhotaan? Varmistaako sen että ei tunnistettavuutta?


Kysymyksi채?

27


Kiitos! Hannu Partanen E: hannu.partanen@fondia.fi T: 020 7205 465 Skype: hannupartanen

28


partanen