12 июля 2018 года состоялась веб-конференция по GDPR. На этом мероприятии представитель Slotegrator, ведущий юрист этой компании, рассказал о самом регламенте, его нюансах, а также о странах, где он будет применяться. Поведал он и о том. как это нововведение повлияет на игорный бизнес в целом.
Содержание:
- Общие положения
- Субъектность регламента
- Страны, на которые распространяется GDPR
- Защита данных по новому регламенту: проблемы применения
- ЕС, GDPR: каковы шансы на взаимодействие со странами, не входящими в состав Евросоюза
- Несоблюдение принципов GDPR: что влечет за собой?
- Кто контролирует операторов и куда жаловаться игрокам?
- Советы по исполнению GDPR
Регламент (GDPR). определяющий порядок защиты данных (общие его положения) введен в действие 25 05. 2018 года. Постановление действует на территории Евросоюза и призвано упорядочить, регулировать обязанности, а равно и права сторон, работающих в игровой индустрии или пользующихся ее услугами, при обработке их персональных данных.
Проще говоря, те организации, которые так или иначе используют данные пользователя, собирают их или обрабатывают, обязаны в своих действиях руководствоваться упомянутым регламентом (GDPR).
Под личными данными понимается, вся информация, связанная с клиентом:
· его имя;
· почтовый или электронный адрес;
· история перечислений
и тому подобное.
Область применения GDPR – физические, а также и юридические лица.
Субъектность регламента
Он делится на два субъекта (условно):
· «Контролер» - самостоятельный сбор и обработка личной информации;
· «Обработчик» - обработка данных.
Первому после сбора предоставлена возможность и право передавать полученную информацию третьей стороне, в частности, «Обработчикам», которые после обработки хранят ее в своих база данных. Исполняется это действие по поручению контролера.
Страны, на которые распространяется GDPR
Прежде всего регламент применяется в Европе. Его действие распространяется на те компании, которые имеют лицензии ЕС. Гражданство клиента при этом значения не имеет. Данные подданного любой страны, не важно из России он или, к примеру, из Китая, обрабатываются на общих условиях в соответствии с установленным регламентом.
Используется GDPR и иностранными компаниями, которые занимаются обработкой данных граждан ЕС и тех, кто проживает на его территории, но гражданами Евросоюза не являются.
Пример: компания, расположенная в России, имеет онлайн-казино, услугами которой пользуются граждане ЕС. В этом случае, требования GDPR распространяются и на нее. Обработка данных европейского клиента этой компании проводится в соответствии с положениями регламента.
Защита данных по новому регламенту: проблемы применения
GDPR применяется на территории Евросоюза, а также и за его пределами. Однако, действие законодательства ЕС ограничивается только Европой, на остальные страны оно не распространяется. В этом и заключается основная проблема регламента.
К примеру, требовать исполнение положений GDPR от российской компании, расположенной на территории России, власти ЕС не вправе, поскольку законодательство Европы на территории РФ не действует. Но в случае выявленных нарушений они могут предпринять следующие шаги:
· блокируют нарушителя требований GDPR;
· изымут его активы.
Последнее возможно только в том случае, если активы онлайн-казино находятся на территории ЕС. Проводится изъятие властями страны, в которой они размещены.
Юристы отмечают, что за пределами ЕС внедрить этот закон будет очень сложно.
Представитель Slotegrator (эксперт) отметил, что для реализации GDPR, его эффективности и интеграции регламента вне Евросоюза, возможно заключение ЕС международных договоров. Имеются ввиду страны, которые в ЕС не входят. Он считает, что из таких стран первыми подобный договор подпишут США. Это позволило бы распространить действие регламента на все американские компании, которые обрабатывают личную информацию клиентов.
Однако, на сегодняшний день таких международных договоров нет (со слов эксперта).
ЕС, GDPR: каковы шансы на взаимодействие со странами, не входящими в состав Евросоюза
Как считают юристы, шансов на сотрудничество между странами по принятому в ЕС GDPR нет или они минимальные. Обязательно возникнут сложности и трения между государствами. А какими они будут и во что выльются (после подписания регламента), трудно предположить заранее. Поэтому и превентивные меры невозможно предпринять.
Принудить к сотрудничеству в рамках действующего в ЕС регламента GDPR власти Евросоюза, государства, в его состав не входящие, не могут. Они могут только договориться с ними о сотрудничестве. А вот согласятся ли, такие крупные игроки, как Китай или США, Россия, на условия европейского регламента, неизвестно, поскольку они также разрабатывают и внедряют новые правила о защите данных в игорный бизнес.
Основная цель, которая заложена в новом законе, заключается в простой и очевидной вещи. Евросоюзу необходимо так или иначе заставить крупных игроков, таких, как Microsoft (к примеру) выполнять требования, предъявляемые к обработке личных данных. А согласятся ли государства, не члены ЕС, принуждать к порядку свои компании, особенно в рамках действующего в Евросоюзе регламента, неизвестно.
Несоблюдение принципов GDPR: что влечет за собой?
Точного ответа на этот вопрос не существует. Так по крайней мере считает юридическая служба Slotegrator. При обработке личной информации требуется соблюдать обязательства, требования, а также множество новых правил регламента. Нарушения расследуются и на лицо, нарушившее их накладываются санкции.
При обработке приходится учитывать нормы GDPR, которые допускают проведение ее только с согласия клиента (личного) или в прописанных в регламенте особых случаях. Не требуется согласие клиента, когда информация обрабатывается:
· для того, чтобы соблюсти правовые обязательства (причем не все, а только определенную часть их);
· для обеспечения выполнения условий договора, который вытекает из заключенного с определенным лицом соглашения на обработку его личных данных.
Например, между игроком и оператором действует договор о том. что выигрыш высылается на банковский счет клиента. Согласие его в этом случае не требуется. Ни на обработке, ни при хранение его личной информации.
Обработка требуется и в том случае, когда нужно защищать законные интересы игрока. Соглашение не нужно, когда у клиента есть какие-либо обязательства или законные причины для хранения его информации и ее обработки. Но в данном случае должно наличествовать законное обоснование таких действий.
Работника онлайн-казино (операторы) не вправе нарушать регламент GDPR. Для этого в своей деятельности им приходиться учитывать некоторые условия его использования, а именно:
1. Самое главное. Клиента (игрока), предоставляющего свои данные организации. необходимо уведомлять (в первую очередь) о его правах. Затем о том, как проводится обработка, о цели ее, сколько времени хранится его личная информация у контролера.
2. Каждая компания должна принимать меры, гарантирующие соответствие обработки принципам и требованиям GDPR.
3. Должны быть приняты меры, обеспечивающие надежное хранение доверенной организации информации. Данные должны быть защищены от хищения, утери, разглашения.
Собственно, это основные принципы GDPR. А равно и меры, которые должны быть предприняты любой игровой компанией в целях обеспечения безопасности (в соответствии с принципами регламента).
Интересные факты
В связи с вышесказанным следует отметить следующее:
· правильность и достоверность предоставленных данных (основа работы регламента);
· их владелец должен знать все об обработке его личной информации;
· информация обрабатывается только для выполнения определенной задачи, в нужном для этого объеме, до тех пор пока поставленная задача не будет выполнена;
· точность и актуальность обработки;
· обновление базы данных при изменении предоставленной информации.
Кто контролирует операторов и куда жаловаться игрокам?
Единого органа, управляющего и контролирующего исполнение регламента, в ЕС нет. В каждой стране свой. Он и осуществляет контроль, а также отслеживает и управляет работой национальных операторов.
Любой игрок может пожаловаться на оператора. Но поданные жалобы рассматриваются на региональном уровне, т. е. в каждой стране отдельно.
За ненадлежащее исполнение или неисполнение регламента оператором (игорным заведением) предусмотрен штраф. Размер – 20 миллионов евро или 4 процента от выручки за предшествующий нарушению год. Штраф взимается по максимуму, поэтому при назначении наказания учитывается какая из этих сумм будет больше. Однако упоминание подобного взыскания не означает, что будет применятся к каждому нарушителю.
Право взыскания предоставлено каждой стране Европы. Именно их национальные органы и будут определять:
· есть ли нарушение;
· его продолжительность и тяжесть деяния;
· на основании вышесказанного определяется размер штрафа (в каждом случае отдельно).
Советы по исполнению GDPR
Завершая описание регламента GDPR, стоит дать несколько рекомендаций лицу, которое решит им воспользоваться.
1. Анализируйте те данные, которые предоставляет игрок. Разделите их по категориям: требующие согласия и не требующие оного.
2. Минимизируйте информацию. Меньше данных – меньше ответственности.
3. На согласие клиента установите отдельную ссылку.
4. Безопасность данных как при хранении, так и при обработке должна быть стопроцентной.
5. Необходимы и дополнительные меры безопасности. Вводятся на усмотрение оператора.
6. Права клиентов должны быть прописаны доступным языком, конкретизированы и доведены до каждого игрока.
Случается, что организация хранит свои данные на сторонних серверах (другого оператора). В этом случае она автоматически становится участником регламента и. следовательно несет полную ответственность за обработку и хранение.
Данное обстоятельство должно быть прописано в обязательном порядке со всеми заинтересованными лицами, например, в договорах с платежными системами.
Для тех, кто заинтересован, сообщаем, что вебинар, который Login Casino проводит совместно с Slotegrator, состоится 21 августа. Тема – виртуальный спорт. Начало – 19 часов 00 минут по Москве.
Кто хочет узнать, почему на этот гейминг делают ставки, причем успешные операторы, присоединяйтесь. Узнаете много нового и интересного.