1. Главная
  2. Новости индустрии
  3. Экспертное мнение: суть GDPR, сфера распространения правил и их применение в игорной индустрии

Экспертное мнение: суть GDPR, сфера распространения правил и их применение в игорной индустрии

Экспертное мнение: суть GDPR, сфера распространения правил и их применение в игорной индустрии
21.05.2019

Совершая покупку в Интернете или становясь клиентом казино, юзеры передают различным компаниям и сервисам персональные данные. Порою пользователи не могут контролировать, как и для каких целей такие сведения используются. Поэтому в Европейском союзе предприняли меры по защите личной информации граждан, внедрив регламент GDPR. В чем особенность этих правил, на каких территориях они действуют и что по поводу GDPR думает адвокат компании BetGamesTV Saulius Pikturna – далее в статье.

Что такое GDPR?

General Data Protection Regulation (GDPR, «Общий регламент по защите данных») – это постановление ЕС, в котором содержатся правила сбора, обработки и хранения личной информации граждан, находящихся в странах Евросоюза. Правила вступили в силу 25 мая 2018-го. В документе говорится, что персональные данные – это любые сведения, по которым идентифицируют человека.

В правилах выделяют два типа субъектов, которые принимают участие в обработке персональных данных: контролер и процессор.

  • Контролер – это предприниматель или компания, которая определяет, как и с какой целью собирают и обрабатывают информацию.
  • Процессор – юридическое лицо, госструктура или другой орган, обрабатывающий персональные данные от имени контролера.

К примеру, организация хранит персональные данные клиентов в облачной платформе. Персонал этой структуры использует ее для решения различных задач. При таком формате работы облачный сервис выступает в роли процессора, а использующая его компания – контролером. На последнего возлагается наибольшая ответственность, поскольку processor выступает только в роли исполнителя.

«Согласно GDPR, компании могут собирать и обрабатывать только те персональные данные пользователей, которые им необходимы. Они не должны хранить эту информацию неопределенное количество времени. Кроме того, они обязаны сообщать клиентам о том, как эти сведения используются», – отметил специалист.

Права пользователей согласно GDPR

Согласно регламенту, у пользователя есть право:

  • запрашивать подтверждение того, происходит ли обработка его данных;
  • знать, в течение какого времени личная информация будет храниться;
  • получать сведения о том, для каких целей обрабатываются данные и кому они будут или были раскрыты;
  • требовать исправления информации;
  • получать копии обрабатываемых сведений и переносить их от одного контролера к другому;
  • на удаление персональной информации («право на забвение»);
  • требовать прекращения обработки информации;
  • подавать жалобы в надзорное ведомство.

«У каждого пользователя есть право в любой удобный момент потребовать у компании, чтобы она удалила из своих баз всю собранную о нем информацию», – подчеркнул Саулюс Пиктурна.

Сфера действия регламента: страны СНГ и другие государства

Под действие GDPR попадают компании, которые получили лицензии в одной из стран Евросоюза, а также организации из других государств, если они предоставляют гражданам ЕС услуги, продают им товары или другими способами собирают их личную информацию. Также эти правила распространяются на обработку сведений о лицах, которые находятся на территории Евросоюза, но у них нет паспорта одной из стран ЕС.

В России, Беларуси, Украине и других странах СНГ регламент GDPR должны соблюдать представители бизнеса, которые ориентированы на обслуживание граждан или резидентов ЕС. В этот перечень входят различные организации и учреждения. Среди них: банки с филиалами отделений в Европе (ВТБ, Сбербанк и другие), игорные заведения, организации, занимающиеся онлайн-продажами (отели, авиаперевозчики), компании, которые используют рекламные cookies для мониторинга юзеров, и другие структуры.

Контролеры и операторы, которые работают за пределами ЕС, должны назначать своего представителя в Европе – Data Protection Officer (DPO). Этот сотрудник отвечает за то, как организация соблюдает закон о защите персональной информации.

«Я считаю, что сегодня есть различия в принципах сбора, обработки и хранения персональных данных пользователей в России и Европейском союзе.

Если человек согласился на то, что его личные данные будут обрабатываться, это не значит, что компания может безответственно использовать их по своему усмотрению», – заявил адвокат.

Применение GDPR в гемблинг-сфере

Регламент GDPR распространяется на казино и беттинговые площадки, клиентами которых могут стать жители Евросоюза. Например, игорным клубом управляет юридическое лицо из одной из стран СНГ. В этом казино играют жители Бельгии. Так как заведение обрабатывает персональные данные европейцев, оно обязано придерживаться прописанных в регламенте правил.

Под действие закона попадают гемблинг-клубы, которые:

  • предоставляют услуги на европейских языках (английский, французский, итальянский и т. д.);
  • позволяют пополнять депозиты в местных валютах ЕС;
  • используют национальные домены верхнего уровня стран Евросоюза (de, nl и др.).

У игорного заведения может не быть представительств в странах Европы, однако если клиентами казино становятся жители или резиденты ЕС, оно обязано соблюдать требования GDPR.

«Компании, работающие в индустрии гемблинга, серьезно отнеслись к регламенту GDPR. В первую очередь они оценили, соответствуют ли новым правилам меры, принимаемые для защиты личной информации их клиентов. Представители игорной сферы, соблюдающие требования, в итоге получили доверие со стороны потребителей», – сказал Пиктурна.

Наказание за нарушение регламента

В каждой стране – члене ЕС создан независимый надзорный орган, который рассматривает и расследует жалобы, применяет меры в отношении нарушителей. Их деятельность координирует Европейский совет по защите данных.

В случае если контролер или процессор нарушают положения GDPR (умышленно или по невнимательности), они привлекаются к ответственности в виде административных штрафов. Их размер составляет до €20 млн или до 4% от годового оборота предприятия за предыдущий финансовый год (в зависимости от того, какая сумма больше).

Кроме того, в отношении нарушителей применяются предупреждение в письменной форме и проверочные мероприятия.

«Государственные органы в странах ЕС следят за тем, как выполняются правила GDPR. Нарушителям назначаются штрафы. Их размер отличается. К примеру, в 2019-м французскую компанию оштрафовали на €50 млн, а немецкую – на €20 тысяч», – поделился эксперт.

Итог

Внедрение GDPR призвано защитить личные данные европейцев от незаконного использования и распространения, а также позволит пользователям лично контролировать персональную информацию.

Подробнее об особенностях GDPR Saulius Pikturna расскажет на RGW 2019.
Ивент пройдет 6-7 июня в Москве.

Купить билет ►►►

Подпишитесь, чтобы получать новости