Upload
turku-science-park
View
219
Download
0
Tags:
Embed Size (px)
DESCRIPTION
http://www.turkusciencepark.com/media/uploads/partanen.pdf
Citation preview
Pelit ja tietosuoja
Hannu Partanen / Fondia Oy
Agenda
1. Esittely
2. Tietosuojalait ja niiden vaikutus peliin
3. ..mitä sitten kirjoitan privacy policyyni?
2
Esittely
3
4
Mikä on henkilötieto?
Mikä on henkilötieto?
• Yhteystiedot?
• IP-osoite? Dynaaminen / kiinteä?
• Device identifier?
• Sijainti? Sijainnin tarkkuus?
• Käyttödata?
• Kryptattu data?
Soveltumiskynnys on matala
5
Mikä on henkilötieto?
• Yhden käsissä anonyymi tieto voi olla toisen käsissä henkilötieto
• Online – online tunnistus
• SSN predictions from Facebook profiles (Acquisti and Gross, 2009)
• Offline – online tunnistus
• Vrt. luovutukset pelistä ulos
6
7
Data Controller
Rekisterin-pitäjä
Data Controller
Rekisterin-pitäjä
Data subject
Rekisteröity
Data subject
Rekisteröity
Sub-processor
Sub-processor
Data Processor
Käsittelijä
Data Processor
Käsittelijä
Data Controller
Data Controller
Milloin henkilötietoja voidaan kerätä pelaajilta? • Rekisteröityminen (explicit profile)
• Pelin käyttäminen (predictive profile)
• Palautteen ja kehitysideoiden antaminen
• Nettisivut
• jne
• Miten suhteuttaa tarpeellisuusvaatimukseen (miksi)?
9
Mutta pelini kerää vain käyttödataa..? • Suuren datamassan perusteella voi luoda hyvinkin yksityiskohtaisen
käyttäjäprofiilin (predictive profile) – milloin muuttuu henkilötiedoksi?
• Behaviourally targeted advertising ja mainostajien mahdollisuudet yhdistää eri peleistä dataa esim. iOS IDFA:n avulla
• Entä jos peliin yhdistetään rekisteröityminen myöhemmin?
• Kuka oikeasti kerää ja kontrolloi dataa?
• Lähteekö data teknisesti suoraan pelistä ulos vai kehittäjän kautta?
• Lokaatiodata?
• IP-osoite, device identifier, MAC-osoite?
kuvaa käyttödatan kerääminen, käsittely ja luovutukset
10
Flurry Analytics Terms of Service (v. 28.3.2013)
PRIVACY AND INFORMATION COLLECTION
”You must post a privacy policy. That policy must (i) provide notice of your use of a tracking pixel, agent or any other visitor identification technology that collects, uses, shares and stores data about end users of your applications (whether by you, Flurry or your Ad Partners) and (ii) contain a link to Flurry's Privacy Policy and/or describe Flurry's opt-out for the Analytics Service to your end users in such a manner that they can easily find it and opt-out of the Analytics Service tracking.”
11
Evästeet ja muu seurantateknologia • Tällä hetkellä suomalainen lähestymistapa: suostumus lähtökohtaisesti
selaimen asetuksista + informointi
• Tuleeko muuttumaan?
• Suostumus voi tarkoittaa eri maissa eri asioita
• Notification pop up method
12
Kansain- väliset tieto- siirrot
13
ec.e
uro
pa.
eu ©
Eu
roo
pan
un
ion
i 19
95–
20
12
2-layered & 3-layered privacy policies • Yhteenvetosivu (human-readable)
• Ikonit, yksinkertaistetut otsikot, selkokielisyys
• Täysversio
• (FAQ)
• Ongelma: miten tulkitaan jos ristiriitaa?
14
Privacy policy pelissä
15
Suostumukset pelissä
16
Privacy policyn muuttaminen • Tarkoitussidonnaisuus
• Muuttamismekanismin kuvaaminen privacy policyssa
• Promptaus
• Tekniset muutokset
• Pystytkö seuraamaan minkä version kukin käyttäjä on hyväksynyt?
17
Suoramarkkinointi – opt in vai opt out? • Pääsääntö: opt in -suostumus sähköiseen suoramarkkinointiin.
• Yhteisöjä koskien opt out.
• @gmail.com vs @corporation.com
• Palvelun myynnin yhteydessä saadut yhteystiedot ja omien samaan tuoteryhmään kuuluvien tuotteiden ja palvelujen suoramarkkinointi
• Aina oltava helppo tapa kieltää suoramarkkinointi + tietolähde mainittu!
18
Kannattaako panostaa? • Happotesti – miltä privacy-case näyttäisi otsikoissa?
• Laillinen toiminta vs. epäilyttävä toiminta
• Luottamuksen hankkiminen kestää pitkään mutta se voidaan menettää nopeasti
• Esim. Instagram
• EU:n tietosuoja-asetus ja max. 2% liikevaihdon sakot
19
EU data protection reform • 95/46/EC directive needs to be updated
• Developments in technology, use of cloud computing, ease of PII collection, availability of publicly available PII
• Current rules are not sufficient anymore
• Directive is implemented and applied differently in different member states
• 27 national versions uncertainty
• Comprehensive protection and enforcement
• More case law
20
EU data protection reform • Privacy by default / design
• Data portability
• Right to be forgotten
• Breach notification
• Data protection officer appointment
• Fines of up to 2 % of global turnover
21
..mitä sitten kirjoitan privacy policyyni?
22
Mieti ensin, kenelle privacy policy laaditaan • Oikeuksien varaaminen varmuuden vuoksi?
• Informaation antaminen vai suostumuksen hankkiminen?
• Mitä tarkoittaa suostumus?
• 2-layered and 3-layered policies?
• Opt in vai opt out?
23
Kysymyslistat
• Mitä dataa kerätään?
• Kenen dataa kerätään?
• Miksi dataa kerätään?
• Miten dataa kerätään?
• Suullisesti, sähköisesti, käyttäjältä, kumppaneilta?
• Hankintaanko suostumus? Jos, miten?
Kysymyslistat jatkuu
• Miten merkityksellistä kerätty data on keräämisen tarkoitukselle?
• Riittäisikö anonymisoitu data?
• Verifioidaanko dataa?
• Mikä on säilytysaika?
• Missä data säilytetään?
• Siirretäänkö ulos keräysmaasta? Jos, niin kenelle ja minkälaisella järjestelyllä?
Kysymyslistat jatkuu
• Miten data on suojattu?
• Kenelle dataa luovutetaan?
• Jos, niin miksi?
• Controller – controller vs. controller – processor?
• Minkälaiset sopimukset?
• Data subject access -menettelyt?
• Miten data tuhotaan? Varmistaako sen että ei tunnistettavuutta?
Kysymyksiä?
27