The new General Data Protection Regulation (“GDPR” or the “New Regulation”) entered into force on 24 May 2016, but its enforcement has been suspended for 2 years to allow personal data processors to align their activity to the new standards in this sector.
The amendments brought by the New Regulation are sizeable and bold, with significant implications particularly for the online B2C service industry. As of 25 May 2018, the new data protection rules will be directly applicable to all EEA Member States. Given the high penalties provided for non-compliance with the new legislative framework, enhanced attention must be paid to this topic.
Before describing the implications for the Romanian gambling industry, mention should be made that personal data are more than mere identification elements (i.e., name, forename, identification number, user, location data, IP or MAC addresses). Personal data are defined as “any information concerning an identified or identifiable natural person”, which includes player’s conduct and history on the platform, gaming preferences, player’s financial status or other elements which, together or individually, may lead to the identification of such natural person. The New Regulation provides for new standards on how to collect, store, disclose and transfer such data.
Personal data processing is a significant component of how online gambling services are provided to players, as players’ data are processed both when they open a game account and throughout the period when they are active on the gambling platform. Players’ conduct on the platform is often monitored in view of improving the services which are being delivered and thus personal data acquire an ever-larger value for operators.
GDPR’s implications are complex and may vary significantly from one controller to another, depending on the collected and monitored data, the current architecture of the data processing automation systems or the B2B relationships with other providers of specialised services for the online gambling market acting as controller’s data processors (this is applicable to controllers outsourcing the services of risk management, player profiling or transfer of databases concerning player’s activity on platforms independent from controller’s platform, such as SaaS implementations where the service provider also provides processed data hosting services).
For reasons of conciseness, we will summarize below only 4 of the most important amendments with significant implications for the Romanian online gambling operators.
1. The right to data portability
According to GDPR, players shall have the right to receive their personal data, which they have provided to a controller (i.e., including the gambling history, the financial condition or other data which are frequently monitored by the controller), in a structured, commonly used and machine-readable format. Also, the player shall have the right to transfer such data to another controller without (technical or financial) hindrance from the controller to which the personal data have been initially provided.
Besides the significant costs that controllers will have to bear to implement a technical solution in line with GDPR, this right could also involve commercial risks or advantages, as the case may be. New controllers will be able to target players from other platforms by offering attractive bonuses to convince them to exercise the right to data portability, similarly to what happened after the portability of mobile phone numbers was implemented. Established controllers will be forced to develop attractive customer loyalty schemes for the players registered on their gambling platforms.
2. Obtaining player’s consent
The New Regulation provides for new standards to obtain player’s consent for the processing of his/her personal data. So far, the information on personal data processing was provided in the Terms and Conditions globally accepted by the player when opening a new account. According to GDPR, the consent of the data subject will have to consist in a “freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, equals agreement to the processing of personal data relating to him or her”. If player’s consent is given in the context of a written declaration which also concerns other matters (i.e., T&Cs), the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear language. One way to implement it could be an additional checkbox when opening the gaming account, whereby the player accepts the data processing policy distinctly from the other general terms that he/she accepts. The controller must also allow the players to withdraw such consent at any time. Failure to comply with these rules will invalidate player’s consent and the controller risks significant fines.
3. Penalties
GDPR also brings significant changes as to the prevention of and the penalties against activities which do not comply with the new standards of data protection. Supervisory authorities (in Romania – the National Supervisory Authority for Personal Data Processing – ANSPDCP) may apply penalties up to EUR 20,000,000 or up to 4% of the total worldwide turnover of controller’s group, whichever is higher.
Given that potential penalties are extremely high, gambling operators should make their best efforts to reach a compliance level in line with the new GDPR provisions.
4.Appointing a data processing officer
All data controllers having as core activities “operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale” must appoint a data processing officer (“DPO”). Obviously, online gambling operators meet this criterion, as the large-scale monitoring of players is a basic component in the industry.
The DPO will play an important role in the controller’s activity, as officer in charge with monitoring the proper implementation of GDPR standards and controller’s processing activity in order to identify any risks or breaches. The controller must provide the DPO with the resources necessary to carry out those tasks and access to personal data and processing operations, and to keep his or her expertise up-to date.
Noteworthy, GDPR allows data controllers to outsource such services to third-party specialists. It is possible to contract lawyers or data security and protection specialists. Also, international controllers may appoint one DPO per group.
Noul Regulament privind protecția datelor personale („GDPR“ sau „Noul Regulament“) a intrat în vigoare pe data de 24 mai 2016, însă aplicarea acestuia a fost suspendată pentru o perioadă de 2 ani, pentru a permite procesatorilor de date cu caracter personal să îşi alinieze activitatea la noile standarde.
Modificările avute în vedere sunt substanţiale şi ambiţioase, având implicaţii deosebite în special pentru sectorul online, care oferă servicii B2C. Începând cu 25 mai 2018, noile reglementări privind protecţia datelor vor avea aplicabilitate directă în toate statele membre SEE, iar sancţiunile prevăzute în caz de nerespectare a acestora reclamă o atenţie sporită din partea agenţilor economici.
Înainte de a prezenta implicaţiile pentru sectorul de gambling din România, trebuie să menţionăm că datele cu caracter personal reprezintă mai mult decât simple elemente de identificare (nume, prenume, număr de identificare, user, date de localizare, adrese IP sau MAC). Ele sunt definite drept „orice informaţii privind o persoană fizică identificată sau identificabilă”, adică inclusiv comportamentul şi istoria jucătorului în cadrul platformei, preferinţele de joc, situaţia financiară a jucătorului sau alte elemente care, împreună sau separat, pot duce la identificarea persoanei fizice respective. Noul Regulament impune noi standarde în modul de colectare, de stocare, de dezvăluire şi de circulaţie a acestor date.
Prelucrarea datelor cu caracter personal reprezintă o componentă importantă a modului în care serviciile de jocuri de noroc online sunt oferite jucătorilor, datele acestora fiind procesate atât la deschiderea contului de joc, cât şi pe tot parcursul activităţii pe care aceştia o desfăşoară pe platforma de joc. Comportamentul jucătorilor în cadrul platformei este deseori monitorizat, în vederea îmbunătăţirii serviciilor oferite, datele cu caracter personal căpătând o valoare tot mai mare pentru operatori.
Implicaţiile GDPR sunt complexe şi pot varia semnificativ de la operator la operator, în funcţie de datele colectate şi monitorizate, arhitectura actuală a sistemelor de automatizare a procesării datelor cu caracter personal sau relaţiile B2B cu alţi furnizori de servicii specializate pentru piaţa jocurilor de noroc online care acţionează în calitate de procesatori de date pentru operator (valabil pentru cei care externalizează serviciile de risk management, player profiling sau transfer al unor baze de date privind activitatea jucătorului în cadrul unor platforme independente de cea a operatorului, precum în cazul implementărilor SaaS în care prestatorul de servicii oferă inclusiv hosting şi găzduirea datelor procesate).
Din raţiuni de spaţiu, vom prezenta succint doar 4 dintre cele mai importante modificări cu implicaţii semnificative pentru operatori de jocuri de noroc online din România.
1. Dreptul la portabilitatea datelor
Conform GDPR, jucătorii vor avea dreptul de a primi datele cu caracter personal care îi privesc şi pe care le-au furnizat operatorului (adică inclusiv istoricul de joc, situaţia financiară sau alte date care sunt în mod frecvent monitorizate de către operator) într-un format structurat, utilizat în mod curent şi care poate fi citit automat. De asemenea, jucătorul va avea dreptul de a transmite aceste date altui operator, fără obstacole (tehnice sau financiare) din partea operatorului căruia i-au fost furnizate iniţial datele cu caracter personal.
Pe lângă costurile semnificative pe care operatorii vor trebui să le suporte pentru a implementa o soluţie tehnică conformă GDPR, acest drept ar putea prezenta deopotrivă un risc ori un avantaj comercial, după caz. Astfel, operatorii noi vor putea atrage jucători de pe alte platforme, convingându-i să îşi exercite dreptul la portabilitatea datelor prin oferirea unor pachete de bonusare atractive, similar fenomenului apărut după implementarea portabilităţii numerelor de telefonie mobilă. În acelaşi timp, operatorii consacraţi vor fi nevoiţi să acorde o atenţie sporită fidelizării jucătorilor înregistraţi pe platformele de joc.
2.Obţinerea consimţământului jucătorului
Noul Regulament impune noi standarde în ceea ce priveşte obţinerea consimţământului jucătorului cu privire la procesarea datelor personale ale acestuia. Până în prezent, informarea privind procesarea datelor cu caracter personal era prevăzută în Termenii şi Condiţiile acceptate global de jucător la crearea unui cont nou. Conform GDPR, consimţământul obţinut va trebui să constea „într-o manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”. În cazul în care consimţământul jucătorului este dat în contextul unei declaraţii scrise, care se referă şi la alte aspecte (i.e. T&Cs), cererea privind consimţământul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o manieră inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. O variantă de implementare ar putea fi un checkbox suplimentar la deschiderea contului de joc prin care jucătorul acceptă politica de procesare a datelor, separat de ceilalţi termeni generali acceptaţi. De asemenea, operatorul va trebui să ofere jucătorilor posibilitatea de a retrage acest consimţământ în orice moment. Nerespectarea acestor reguli va invalida consimţământul jucătorului, operatorul riscând amenzi semnificative.
3. Sancţiuni
GDPR aduce modificări semnificative şi în ceea ce priveşte latura de prevenţie şi sancţionare a activităţilor neconforme cu noile standarde de protecţie a datelor personale. Autorităţile de reglementare (în România – Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) vor putea aplica sancţiuni de până la 20.000.000 Euro sau până la 4% din cifra de afaceri globală a grupului din care face parte operatorul, luându-se în calcul cea mai mare valoare.
Având în vedere nivelul extrem de ridicat al posibilelor sancţiuni, operatorii de jocuri de noroc vor trebui să depună toate eforturile necesare pentru a-şi asigura nivelul de conformitate în acord cu noile prevederi GDPR
4. Desemnarea unei persoane responsabile cu protecţia datelor
Toţi operatorii de date cu caracter personale ale căror activităţi principale „constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă” vor trebui să desemneze un responsabil cu protecţia datelor („DPO”). Este evident că operatorii de jocuri de noroc online îndeplinesc acest criteriu, monitorizarea pe scară largă a jucătorilor fiind o componentă de bază a industriei.
Funcţia de DPO va fi una importantă în cadrul activităţii operatorului, responsabilul fiind cel care va monitoriza buna implementare a standardelor GDPR şi activitatea de procesare a operatorului în vederea identificării riscurilor sau a încălcărilor. Operatorul va trebui să pună la dispoziţia DPO resursele necesare pentru executarea acestor sarcini, accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, precum şi pentru menţinerea cunoştinţelor sale de specialitate.
Trebuie menţionat faptul că GDPR permite operatorilor de date personale să externalizeze aceste servicii către terţi specializaţi, fiind posibilă contractarea serviciilor unor avocaţi sau specialişti în securitatea şi protecţia datelor. De asemenea, operatorii internaţionali au posibilitatea de a desemna un singur DPO la nivelul grupului de societăţi din care fac parte.