Российский рынок видеоигр регулируется Федеральным законом № 152-ФЗ «О персональных данных», который за последние годы претерпел существенные изменения. Для игровых компаний, работающих с российской аудиторией, соблюдение 152-ФЗ в геймдеве стало критически важным фактором безопасности бизнеса. Роскомнадзор (РКН) активно проверяет соблюдение требований о локализации баз данных, трансграничной передаче и наличии необходимых документов на сайте игры. Нарушения караются не только блокировкой ресурса, но и оборотными штрафами, которые могут достигать 18 миллионов рублей при повторном нарушении требования о локализации.
Самое громкое и сложное требование — это ч. 5 ст. 18 ФЗ-152, обязывающая операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России. Это означает, что «первичный сбор» данных российского геймера должен происходить на российском сервере. Использовать исключительно зарубежные облака (AWS, Google Cloud) для первичного сохранения профиля игрока из РФ — незаконно.
Обязанности оператора ПДн в России
Любая игровая студия, собирающая данные российских пользователей, признается оператором ПДн и обязана:
- Уведомить Роскомнадзор. Подать уведомление о начале обработки персональных данных для включения в реестр операторов. С 1 сентября 2022 года исключений из этого правила практически не осталось (даже в рамках трудовых отношений).
- Разработать пакет документов. Опубликовать на сайте Политику обработки персональных данных (на русском языке!), разработать внутренние акты об оценке вреда, назначении ответственного и правилах доступа к данным.
- Соблюдать правила трансграничной передачи. С 1 марта 2023 года введен разрешительный порядок передачи данных в страны, не обеспечивающие адекватную защиту. Оператор обязан уведомить РКН о намерении передать данные за рубеж и дождаться окончания проверки.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
Локализация баз данных: архитектурные решения
Требование локализации часто становится головной болью для технических директоров. Мы помогаем юристам и инженерам найти легальные архитектурные решения:
- Схема «Сначала в РФ». Настройка системы так, чтобы данные при регистрации сначала записывались в базу на российском сервере (например, Yandex Cloud или Selectel), а затем реплицировались на зарубежные сервера для глобального матчмейкинга. Это соответствует закону.
- Актуализация данных. Любые изменения в профиле пользователя также должны сначала фиксироваться в российской базе данных.
- Подтверждение локализации. Подготовка документов для проверки РКН: договоры с дата-центрами, схемы архитектуры сети и акты, подтверждающие нахождение серверов в РФ.
Новые штрафы и риски утечек
Законодательство ужесточается в части ответственности за утечки данных. Вводятся оборотные штрафы за инциденты безопасности. 152-ФЗ в геймдеве требует от компаний немедленного (в течение 24 часов) информирования Роскомнадзора и ГосСОПКА о факте утечки и проведения внутреннего расследования в течение 72 часов. Мы помогаем выстроить процессы так, чтобы в критической ситуации компания могла оперативно выполнить требования закона и минимизировать риск штрафов.
Кроме того, мы консультируем по вопросам маркировки Cookie-файлов и получения согласий на рекламные рассылки, так как спам в играх регулируется не только 152-ФЗ, но и Законом «О рекламе».