25 мая этого года вступило в силу постановление GDPR о защите персональных данных граждан, находящихся на территории Евросоюза. Что такое GDPR и как оно влияет на компании, работающие в сфере онлайн-гемблинга – разбирались эксперты Slotegrator.

Что такое GDPR

Постановление Европейского Союза № 2016/679 носит название «General Data Protection Regulation, GDPR», в переводе: «Общие положения о защите данных». Из чего, в принципе, ясна его суть. 

Регламент GDPR, содержащий в себе 209 страниц, включает 173 пункта в 99 статьях. Он был разработан и принят Европарламентом и Советом ЕС весной 2016 года.  Положения GDPR вступили в силу спустя два года, после переходного периода. Целью этого документа является усиление защиты и контроля над использованием персональных данных всех лиц, находящихся на территории Евросоюза, куда входит 28 стран. Его действие распространяется также и на экспортируемые из ЕС персональные данные – на трансграничную передачу данных.

GDPR автоматически отменяет действие предыдущего документа о защите персональных данных – Директивы «Data Protection Directive» № 95/46/ЕС от 1995 года. В отличие от неё, новое постановление не требует изменений в законодательствах каждой страны-участницы ЕС и подлежит обязательному исполнению.

Основные положения GDPR

Регламентом нового закона закреплены следующие принципы обработки персональных данных:

  • Принцип законности, справедливости и прозрачности. Данные должны быть обработаны правомерно, справедливо и прозрачно в отношении владельца – физического лица.
  • Принцип целевого сбора данных. Данные должны быть собраны для определенных, четких и законных целей и не должны обрабатываться способом, несопоставимым с этими целями.
  • Принцип минимизации. Данные должны собираться только в том объеме, который минимально необходим для поставленных целей.
  • Принцип точности. Данные должны быть обработаны в том месте, где это необходимо, а также должны быть максимально объективными и точными. 
  • Принцип ограничения хранения данных. Данные должны храниться не дольше, чем это необходимо для поставленных целей. 
  • Принцип целостности и конфиденциальности. Необходимо обеспечить надежную защиту персональных данных с использованием соответствующих технических и организационных мер. 

Под персональными данными понимается любая информация, идентифицирующая субъект данных (физическое лицо). Это: имя, фамилия, данные документов, местоположение, онлайн-идентификатор, показатели физической, религиозной, гендерной, экономической, культурной, социальной и пр. идентичности и другое.

Помимо обозначенного выше, GDPR также выделяет понятие «мониторинга поведения субъектов данных». Сюда входит исследования потребительского поведения, предпочтений и пр. Соответственно, эти процессы также попадают под указанные требования нового закона.

Правомерность обработки персональных данных определяется согласием гражданина на эту процедуру. Он также должен хорошо понимать, для каких целей необходима эта информация. Требования к электронной форме для получения согласия на обработку данных в новом законопроекте значительно ужесточены. 

Согласие владельца должно быть выражено в виде четких активных действий, подтверждающих это. Например, поля с уже проставленной галочкой согласия «по умолчанию» - теперь могут приравниваться к нарушению. После того, как человек дал согласие на обработку своих персональных данных, компания обязана наглядно продемонстрировать ему это: представить дополнительное оповещение, выслать сообщение и пр. 

Компаниям вменяется обязанность в обязательном порядке уведомлять контролирующие органы, а в ряде случаев - и владельцев персональных данных, о любых нарушениях их целостности или конфиденциальности. Это должно быть сделано в течение 72 часов с момента обнаружения утечки данных, взлома и т.д., которые произошли в результате хакерской атаки или других противоправных действий, а также при обстоятельствах иного рода. 

Права пользователей

В GDPR определено, что пользователь имеет право в любой момент отозвать свое согласие на обработку персональных данных. Возможность сделать это должна быть размещена на сайте таким образом, чтобы человек мог её легко найти. 

Абсолютно новым в Постановлении является предоставление пользователю права переносить свои персональные данные с одной площадки на другую – «Right to data portability». В этом случае, по требованию клиента, компании обязаны бесплатно передать электронную копию его персональных данных другому сайту. 

Также в GDPR предусмотрено право на забвение «Right to erasure» или «Right to be forgotten». Оно дает возможность удалять свои личные данные, если человек против их передачи третьим лицам. 

Помимо этого, европейцы получили возможность запрашивать любую информацию, касаемую обработки своих данных: место, цель, какие третьи лица имеют к ним доступ, период обработки, источник получения и пр. Гражданин также может внести корректировки в свои данные, если имеются какие-то неточности. 

Ответственность за нарушение GDPR

Надзорным и контролирующим органом назначен Европейский совет по защите данных (European Data Protection Board, EDPB), учрежденный в соответствии с Регламентом GDPR. 

обзор GDPR от Slotegrator

За серьезное неисполнение требований GDPR на предпринимателя или организацию будет накладываться штраф в размере до 20 млн. евро или до 4% от общего годового оборота за предыдущий финансовый год - зависит от того, какая из этих сумм окажется больше. А за незначительные нарушения штраф составит до 10 млн. евро или 2% от общего годового оборота.

К кому относится GDPR

GDPR выделяет два типа субъектов, участвующих в процессе обработки  персональных данных: «контролёр» и «обработчик».  

  • «Контролер» – это физическое лицо или организация, которая определяет цели и средства сбора и обработки персональных данных.
  • «Обработчик» – это физическое лицо или организация, которая собирает и обрабатывает персональные данные от имени или по поручению контролера. 

На компанию-контролера накладывается большая ответственность, нежели на обработчика, так как последний является просто исполнителем.

Таким образом, первая категория компаний, на которые распространяется Регламент GDPR - это как европейские, так и зарубежные бизнесы, осуществляющие деятельность, связанную с предложением товаров или услуг резидентам Евросоюза. И если для реализации этой деятельности им необходимы сбор и обработка персональных данных клиентов. 

Вторая категория компаний – это те, кто осуществляют мониторинг поведенческих особенностей и предпочтений жителей ЕС.

Как будет применятся GDPR на территории СНГ

В СНГ под действие GDPR попадает большое количество компаний. Начиная от банков, имеющих свои отделения в Европе (например, российские ВТБ и Сбербанк), до интернет-компаний, которые для мониторинга европейских пользователей используют простые рекламные cookies.  

Беттинговые и игорные площадки, при условии оказания услуг жителям стран ЕС, также должны придерживаться новых правил. Даже несмотря на то, что оператор может и не производить никаких операций непосредственно на территории ЕС, а также не иметь в Европе представительств или подрядчиков. 

Признаками того, что услуги сайта ориентированы на европейцев, служит то, что:

  • Услуги предоставляются на европейских языках;
  • Депозиты принимаются в местных валютах; 
  • Сайт использует национальные домены верхнего уровня стран ЕС («.de», «.nl», «.uk» и др.). 

Рекомендации операторам 

Для тех игорных проектов, которые ориентированы на европейских игроков, необходимо назначить своего представителя в Евросоюзе. Представитель должен действовать от имени контролёра или обработчика, иметь право взаимодействовать со всеми регуляторами ЕС, включая надзорные органы.

Если у компании есть представительства, филиалы или отделения в странах Евросоюза, то функции представителя могут быть возложены на них. Также представителями могут стать европейские компании-партнеры, например, разработчики и провайдеры игрового софта. 

Европейские гемблинговые провайдеры уже разослали своим клиентам оповещения о наличии находящихся в обработке персональных данных. Также указали, каким третьим лицам они доступны и что именно их владелец, согласно закону, может потребовать со своими данными сделать.

Эксперты компании Slotegrator советуют операторам игорных площадок провести инвентаризацию персональных данных всех игроков, а также тех систем, в которых они обрабатываются. Плюс проработать взаимодействие с третьими лицами, если они получают доступ к этой базе. 

Еще рекомендуется определить минимальный объем необходимых персональных данных, а также время, на протяжении которого необходимо эти данные хранить. Помимо этого, нужно предусмотреть процедуры переноса, корректировки и удаления данных по требованию владельца. Еще одним важным моментом является отчетность перед регулятором, а также назначение ответственных. 

Вывод

GDPR – это новая реальность для работы на европейском рынке. Этот документ существенно повышает уровень защиты персональных данных как в самом ЕС, так и и за его пределами. Для легального игорного бизнеса соблюдение Регламента GDPR позволяет максимально использовать возможности на едином европейском цифровом рынке. В этом плане подконтрольность Европейской комиссии будет являться доказательством честности и законопослушности игорного заведения. Что, в свою, очередь положительно скажется на репутации и доверии клиентов.