Владислав Елтовский, 28.05.19
Как правило, компании из индустрии видеоигр собирают данные об игроках, включающие в себя имя, место нахождения, данные об устройстве, адрес электронной почты и иные данные. Зачастую игроки также идентифицируются путем привязки к аккаунту в социальных сетях. Таким образом, указанные данные в совокупности позволяют компаниям идентифицировать физических лиц, и, соответственно, являются персональными данными.
В настоящий момент все компании, так или иначе ведущие деятельность в Интернете, должны учитывать риски, связанные с утечкой данных. Игровая индустрия в этом отношении не исключение, еще в 2011 г. данные значительного количества игроков были скомпрометированы. В 2018 г. Facebook также пострадал от утечки персональных данных, что, помимо серьезного репутационного ущерба, также грозит как штрафами регулятора, так и гражданскими исками.
В российском законодательстве в настоящее время отсутствуют санкции для операторов за утечку персональных данных пользователей.
Тем не менее Минкомсвязь разработала законопроект, покрывающий состав нарушения, связанного с незаконным раскрытием и распространением персональных данных третьим лицам. Следует отметить, что формулировка является довольно широкой и включает в себя как случаи утечки персональных данных, так и сознательную передачу данных третьим лицам без согласия физических лиц. В случае принятия законопроекта максимальное наказание за указанное нарушение составляет 40 тыс. руб. для юридических лиц.
Что касается превентивных мер, то Федеральный закон "О персональных данных" обязывает операторов принимать надлежащие правовые, организационные и технические меры защиты персональных данных, включая проведение анализа потенциальных угроз для информационных систем. Однако, как правило, при проверках регулятор не изучает фактическую техническую защищенность ИТ-инфраструктуры, ограничиваясь рассмотрением документов.
Таким образом, несмотря на наличие обязанностей по контролю за утечками, операторы зачастую могут игнорировать законодательные требования, учитывая высокие расходы на создание и поддержание надлежащей ИТ-инфраструктуры. Введение незначительных штрафов вряд ли приведет к значительным изменениям в практической имплементации средств защиты данных.
Для сравнения: в ЕС недавно вступивший в силу GDPR устанавливает более значительные штрафы за различные нарушения, включая утечку персональных данных, которые могут доходить до 20 млн евро или 4% годового оборота. Помимо этого, регуляторы имеют полномочия по ограничению деятельности оператора по обработке персональных данных при наличии рисков утечки.
Более того, GDPR обязывает операторов уведомлять национальных регуляторов о случаях утечки персональных данных, а в определенных случаях и самих лиц, чьи данные были незаконно получены третьими лицами. Неуведомление является самостоятельным нарушением, которое также грозит штрафом до 10 млн евро или 2% годового оборота.
Следует отметить, что GDPR может применяться и к российским разработчикам видеоигр, если они предлагают свои услуги лицам, находящимся на территории Европейского союза.
Высокие штрафы, установленные GDPR, служат единственной цели -- обеспечить реальное соблюдение законодательства в сфере персональных данных, поэтому практика их применения и ее влияние на различные индустрии, включая игровую, особенно актуальна в настоящее время.
Положительное правоприменение GDPR может послужить фактором, побудившим законодателей иных стран также ввести более высокие штрафы для обеспечения соблюдения прав субъектов персональных данных.
