GDPR: первый месяц после вступления в силу в ЕС. Как отразится на гемблинг-индустрии?

12 июля GDPR. В рамках получасовой веб-конференции ведущий юрист Slotegrator рассказал о нюансах регламента, странах, на которые он распространяется, а также о том, как нововведение отразится на игорной индустрии в целом.

Что такое GDPR?

General Data Protection Regulation, GDPR (Общие положения о защите данных), в Евросоюзе вступили в силу 25 мая 2018-го. Данное постановление регулирует права и обязанности, связанные с обработкой персональных данных.

Другими словами, если компания каким-то образом собирает или обрабатывает личные данные (имя, email, IP-адрес, история транзакций, прочее), то при этом должна руководствоваться GDPR. Новый регламент защиты персональных данных имеет достаточно большой охват и применяется как к физическим, так и юридическим лицам.

Условно GDPR можно разделить на два субъекта:

• «Контролер» – собирает и обрабатывает данные самостоятельно;  
• «Обработчик» – обрабатывает персональные данные.

«Контролер» может передавать собранные данные третьим лицам – «Обработчикам». Они обрабатывают персональные данные и хранят их по поручению контролера на своих серверах.

Страны, на которые распространяется GDPR

В первую очередь, закон о GDPR применяют во всех европейских компаниях, лицензиатах ЕС. При этом совершенно не важно, данные гражданина какой страны они обрабатывают – Австрии, Китая или России.

GDPR также используют иностранные компании, которые обрабатывают данные резидентов Евросоюза, а также тех, кто проживает на территории ЕС, но при этом являются гражданами других стран.

К примеру, существует российская компания, которая управляет онлайн-казино. Если она обрабатывает данные, скажем, игроков из Германии, то обязана придерживаться регламента GDPR в России.

Защита данных по новому регламенту: проблемы применения

Основная проблема заключается в том, что у европейских властей нет юрисдикций за пределами ЕС, при этом GDPR используют и в ЕС, и за его пределами. Например, Управление по защите данных в Германии не имеет юрисдикций в РФ, а потому не имеет права просто так потребовать выполнения GDPR в России и наложить санкции на условную компанию, нарушающую европейское законодательство. Что они могут сделать:

• заблокировать онлайн-казино, которое нарушает закон;
• изъять активы компании – осуществляется властями той страны ЕС, в которой эти активы зарегистрированы.

По мнению юристов, властям ЕС будет очень сложно внедрить закон о GDPR за пределами Евросоюза.

«Вполне возможно, что ЕС сможет заключать международные договора со странами, не являющимися его членами. Это позволило бы сделать применение нового регламента более эффективным и реализовать план об интеграции GDPR вне ЕС. Возможно, США будут первыми, с кем ЕС подпишет профильный договор», – заключил эксперт Slotegrator.

Он подчеркнул, что если это произойдет, для США это будет означать, что GDPR на территории штатов будет применим ко всем организациям, которые обрабатывают данные пользователей. Однако, отметил эксперт, в настоящее время таких договоров нет ни с одной страной.

ЕС, GDPR: каковы шансы на взаимодействие со странами, не входящими в состав Евросоюза

По мнению юриста, шансы на такое сотрудничество – минимальные. Предположить, какие сложности могут возникнуть между государствами и участниками GDPR после подписания подобного договора, очень сложно.

Власти ЕС не могут принудить страны, которые не входят в его состав, подписать такое соглашение. Бесспорно, они захотят сотрудничать с такими крупными государствами, как Китай и США, которые также внедряют новые правила в сферу защиту данных. Но пойдут ли власти этих государств на сделку с ЕС – вопрос риторический.

Основная цель нового регламента – заставить крупные корпорации, такие как Google и Microsoft, соблюдать принципы обработки данных. Неизвестно, захотят ли государства вне Евросоюза сотрудничать с ним в рамках принятого нововведения и влиять на гигантов, приведенных выше.

Несоблюдение принципов GDPR: что влечет за собой?

«Невозможно дать на этот вопрос четкий ответ», – отметил юрист Slotegrator. Регламент подразумевает под собой введение массы правил, требований и обязательств, связанных с обработкой данных. Любое несоблюдение подлежит расследованию и штрафным санкциям.

Согласно GDPR, обработка персональных данных разрешается только с личного согласия или в особых случаях (они прописаны в регламенте). Согласие не требуется в случаях, когда обработка персональных данных необходима:

• для соблюдения определенных правовых обязательств;
• для соблюдения договорного обязательства, вытекающего из соглашения, заключенного с лицом, чьи данные обрабатываются. К примеру, если оператор онлайн-казино заключает договор с игроком, в котором прописано, что в случае выигрыша оператору нужно выслать деньги на банковский счет игрока. В такой ситуации согласие игрока на хранение его данных не нужно;
• для защиты его законных интересов, что и оправдывает такую обработку. Это значит, что если у вас есть какие-то законные причины хранить и обрабатывать данные, то вам не нужно соглашение. Это могут быть разного рода обязательства. Но при этом вы должны быть готовы предоставить законное основание, по которому вы храните личные данные.

Операторам онлайн-казино необходимо учитывать некоторые аспекты, чтобы не нарушать GDPR. В первую очередь, уведомлять субъекта персональных данных о его правах и о других соответствующих фактах обработки, включая цель и период хранения данных контролером.

Каждая организация должна принимать предупредительные меры, которые гарантируют, что обработка персональных данных соответствует общим принципам GDPR. Данные должны быть надежно защищены от разглашения, утери, изменения. Это основные меры безопасности компаний, которые обязательно должны предприниматься в рамках нового регламента.

Обработка информации должна быть точной и актуальной. При изменении данных информация обязательно обновляется. К примеру, если в базе данных онлайн-казино хранится неверное имя игрока, необходимо обязательно исправить.

Кто контролирует операторов и куда жаловаться игрокам?

Единого отраслевого органа в ЕС не существует. Каждая европейская страна создает свой орган контроля по защите данных, который и должен обеспечить исполнение регламента, а национальные управления должны отслеживать работу операторов.

Любой игрок может подать жалобу. Отдельного органа для этого не существует, поэтому все претензии рассматриваются на правительственном уровне локально.

За неисполнение требований GDPR на предпринимателя или организацию будет накладываться штраф в размере €20 млн, или 4% от общего оборота за предыдущий год. Все будет зависеть от того, какая из вышеозначенных сумм будет большей. Это максимальные выплаты, и совершенно не значит, что они будут применяться к каждому нарушению регламента.

Кто накладывает штрафы – решается автономно в каждой стране ЕС. Штрафы будут выписывать национальные органы по защите данных, они же будут определять размер штрафа в каждом отдельном случае. На сумму штрафа будут влиять тяжесть и продолжительность нарушения.

Советы по исполнению GDPR

1. Проанализировать данные, на обработку которых нужно/не нужно согласие игрока онлайн-казино.
2. Минимизировать информацию о пользователях. Больше данных – большая ответственность на операторе.
3. При регистрации предоставлять пользователям документ «Политика конфиденциальности», где простыми словами описываются все положения по обработке данных.
4. Отдельно установить ссылку на согласие пользователя на обработку его персональных данных.
5. Обеспечивать 100% безопасность обработки и хранения данных.
6. Применять предупредительные меры для соблюдения безопасности.
7. Права игроков должны быть четко прописаны и донесены до них.
8. Если данные хранятся на серверах другой компании, она автоматически становится участником GDPR и несет такую же ответственность за обработку и хранение данных, что и оператор. Эти аспекты необходимо прописывать в договорах со сторонними лицами (зачастую это провайдеры игр и платежных систем).

Следующий совместный вебинар Slotegrator и Login Casino, теперь уже на тему виртуального спорта, состоится 21 августа. Вы узнаете, почему успешные операторы делают ставку на этот вид гейминга. Начало веб-конференции в 19:00 по МСК. Не пропустите важное событие и узнайте актуальные сведения в мире виртуального спорта!