Corepunk. Политика (НЕ?) конфиденциальности
Corepunk. Политика (НЕ?) конфиденциальности
1515

Спасибо за подробный разбор! Вы нашли отличный пример Политики конфиденциальности «как написать ее только в свою пользу, не думая об игроках».

Как верно отмечают комментаторы, на компанию MAXBUFF COÖPERATIE UA, как на нидерландскую компанию, распространяется GDPR (главный европейский закон о персональных данных). И в этой Политике есть несколько положений, на наш взгляд, ему противоречащих. Помимо GDPR есть серьезные вопросы к положениям о спорах и определению подсудности.

Разберем некоторые пункты:
1. «Такая информация будет собираться и обрабатываться независимо от того, имеете ли вы доступ к Игре или действительно играете в Игру».

В ст.5 GDPR прописан принцип минимизации сбора данных: собираемые данные должны быть адекватны и релевантны целям, для достижения которых они обрабатываются, а также ограничены только этим. Кажется, что сбор данных вне игры — это перебор.

2. «MAXBUFF может также собирать информацию о вас из других источников, таких как сторонние сайты или платформы, газеты, блоги, службы обмена мгновенными сообщениями и другие Конечные пользователи Игры, посредством игры, чтобы предоставить вам более полезную информацию и более персонализированный опыт».

В целом – нет. Если вы дали согласие платформе или сервису для размещения своих данных, это не означает, что другие могут собирать данные с них. В России, например, на эту тему есть интересное дело «ВКонтакте против Дабл», там примерно к такому же выводу приходит суд.

3. «В результате, хотя мы стремимся защитить личную информацию, мы не можем гарантировать или гарантировать безопасность любой информации, передаваемой нам через или в связи с Игрой, которую мы храним в наших системах или которая хранится в системах наших поставщиков услуг»

Тоже не совсем так. MAXBUFF COÖPERATIE UA как контроллер обработки ваших данных отвечает за безопасность ваших данных, включая за то, как они передаются третьим лицам и хранятся у них. Это их прямая обязанность в силу GDPR.

4. «Мы можем передавать и передавать вашу информацию третьим сторонам (включая поставщиков услуг, действующих от нашего имени), которые могут находиться в странах за пределами Европейского Союза («ЕС») и / или Европейского экономического пространства («ЕЭЗ»), которые могут не иметь тот же уровень законов о защите данных, что и в стране, где вы находитесь. Если ваши данные отправляются в страну за пределами ЕС / ЕЭЗ, которая не подлежит принятию решения ЕС по адекватности, передача будет осуществляться только на основе следующих гарантий: i) Если организация сертифицирована на соответствие принципам защита данных в рамках механизма защиты конфиденциальности США-ЕС («Privacy Shield») (см. «Защита конфиденциальности» на веб-сайте www.privacyshield.gov) или ii) если мы вступили в утвержденные Комиссией ЕС стандартные договорные условия с организацией, которая считается предложить достаточные гарантии в отношении защиты неприкосновенности частной жизни и основных прав и свобод человека».

Общий посыл пункта – неверный. По GDPR контроллер НЕ имеет права по общему правилу отправлять данные в «неадекватные страны» (к ним кстати относится и Россия, и США).
Окей, смотрим на основания, по которым они могут передавать ваши данные: первый (про Privacy Shield) уже устарел: с лета 2020го суд признал это соглашение действительным, поэтому этот аргумент нерабочий; второй – рабочий, но тут сложно проверить действительно ли такие соглашения пописывались в действительности. Если вы энтузиаст, можете написать им на почту и узнать какие соглашения и с кем они подписывали в отношении ваших данных. Интересно почитать ответ.

2