PROVOCĂRI CONTINUE PENTRU ORGANIZATORII DE JOCURI DE NOROC – GDPR ȘI AML

miercuri, 11 septembrie 2019

De

Ana-Maria CALANCEA

Avocat stagiar

C.A. LUCA Mihai Cătălin

Nicoleta BĂRĂGAN

Avocat definitiv

C.A. LUCA Mihai Cătălin

Deși GDPR a fost pus în aplicare încă de la data de 25 mai 2018 și a fost implementat în legislația națională prin Legea  nr. 190/2018, prevederile din cuprinsul celor două acte normative prezintă un interes sporit în rândul organizatorilor de jocuri de noroc în contextul în care, prin prisma activității desfășurate, aceștia au și calitatea de operatori de date cu caracter personal.

Unul dintre capitolele intens mediatizate din cuprinsul GDPR privește sancțiunile ce pot fi aplicate de autoritățile competente în materie, în ipoteza în care nu sunt respectate obligațiile instituite în sarcina operatorilor de date cu caracter personal.

GDPR reglementează două tipuri de sancțiuni. Pe de o parte, reglementează sancțiuni corective ce au drept scop limitarea efectelor negative a prelucrării neconforme a datelor cu caracter personal, iar pe de altă parte, prevede și amenzi administrative ce pot fi dispuse în completarea sau în locul măsurilor corective.

Măsuri corective

Măsurile corective pe care ANSPDCP le poate aplica în temeiul GDPR sunt următoarele:

  1. a) emiterea unei avertizări în atenția operatorului sau a persoanei împuternicite de operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile GDPR;
  2. b) aplicarea unei mustrări operatorului sau persoanei împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile GDPR;
  3. c) posibilitatea de a da dispoziții operatorului sau persoanei împuternicite de operator în vederea respectării cererilor persoanei vizate prin care aceasta își respectă drepturile acordate de GDPR;
  4. d) posibilitatea de a da dispoziții operatorului sau persoanei împuternicite de operator prin care să asigure conformitatea operațiunilor de prelucrare cu prevederile GDPR;
  5. e) obligarea operatorului la informarea persoanei vizate cu privire la o încălcare a protecției datelor cu caracter personal;
  6. f) impunerea unor limitări sau interdicții asupra prelucrării;
  7. g) posibilitatea de a dispune rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării, precum și notificarea acestor acțiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal;
  8. h) posibilitatea de a retrage o certificare sau de a obliga organismul de certificare să retragă o certificare eliberată în temeiul articolul 42 și 43 din GDPR sau de a obliga organismul de certificare să nu elibereze o certificare în cazul în care cerințele de certificare nu sunt sau nu mai sunt îndeplinite;
  9. i) posibilitatea de a dispune suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională.

Măsurile corective anterior menționate nu sunt prevăzute limitativ, fiecare stat membru având posibilitatea să reglementeze  în legislația internă și alte măsurile corective.

În legislația internă, prin Legea nr. 190/2018, au fost reglementate în mod specific doar aspecte privind aplicarea măsurilor corective față de autoritățile și organismele publice.

Amenzi administrative

În ceea ce privește cea dea a doua categorie de sancțiuni, respectiv amenzile administrative, potrivit informațiilor disponibile în spațiul public, ANSPDCP a aplicat, până la acest moment, în temeiul GDPR, trei amenzi contravenționale.

În acest context apreciem că se impune să amintim că amenzile prevăzute de GDPR vizează două categorii de fapte.

Prima categorie de fapte, care include, spre exemplu, încălcarea obligațiilor privind implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului sau omisiunea notificării autorității de supraveghere cu privire la încălcarea securității datelor cu caracter personal, este sancționată cu amenzi administrative de până la 10.000.000 euro sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.

A doua categorie de fapte, care include, spre exemplu, încălcarea principiilor de bază pentru prelucrare, inclusiv condițiile privind consimțământul sau încălcarea drepturilor persoanelor vizate, este sancționată cu amenzi administrative de până la 20.000.000 euro  sau, în cazul unei cazul unei întreprinderi, de până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.

Decizia privind aplicarea unei amenzi administrative precum și decizia cu privire la valoarea acesteia trebuie să aibă la bază o evaluare temeinică care să vizeze, printre altele, următoarele aspecte: (i) natura, gravitatea și durata încălcării, ținându-se seama de natura, domeniul de aplicare sau scopul prelucrării în cauză, precum și de numărul persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea; (ii) dacă încălcarea a fost comisă intenționat sau din neglijență; (iii) eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator; sau (iv) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.

Nici pe departe de a fi fost ascuns în umbra trecutului, după cum se poate lesne observa, subiectul GDPR este dublat astăzi de necesitatea alinierii practicilor cu reglementările recent adoptate în materia prevenirii și combaterii spălării banilor și a finanțării terorismului – Legea nr. 129/2019 (denumită în continuare “Legea AML”), în mod special de către organizatorii de jocuri de noroc, entități raportoare vizate în mod expres de această lege.

Legea AML transpune în România prevederile Directivei (UE) 2015/849 a Parlamentului European și a Consiliului din 20 mai 2015 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului, de modificare a Regulamentului (UE) nr. 648/2012 al Parlamentului European și al Consiliului și de abrogare a Directivei 2005/60/CE a Parlamentului European și a Consiliului și a Directivei 2006/70/CE a Comisiei.

De interes pentru organizatorii de jocuri de noroc este, printre altele, faptul că, pentru sectorul jocurilor de noroc, prin Legea AML se desemnează Oficiul Național pentru Jocuri de Noroc (în continuare “ONJN”) drept autoritate cu rol de reglementare și supraveghere sectorială și control.

În această calitate, ONJN este abilitat, printre altele, să realizeze evaluări ale riscului de producere, la nivel sectorial, a fenomenelor infracționale de spălare a banilor și de finanțare a terorismului, sens în care poate emite reglementări sau instrucțiuni cu privire la factorii de risc și măsurile de contracarare și diminuare.

În plus, poate una dintre cele mai importante atribuții acordate ONJN prin Legea AML este aceea că, pentru organizatorii de jocuri de noroc, ONJN este autoritatea abilitată să constate și să sancționeze faptele contravenționale care intră sub incidența Legii AML, putând aplica, suplimentar, măsuri sancționatorii specifice, potrivit competenței deja stabilite.

Autoritatea care coordonează realizarea evaluării riscurilor de spălare a banilor și finanțare a terorismului la nivel național (în strânsă cooperare cu ONJN și alte autorități desemnate) este Oficiul Național pentru Prevenirea și Combaterea Spălării Banilor (denumit în continuare ”Oficiul”).

Ca unitate de informații financiare a României, Oficiul are ca atribuții inclusiv primirea, de la entitățile raportoare, a rapoartelor de tranzacții prevăzute de Legea AML.

Detaliem, în continuare, o serie de obligații care incumbă organizatorilor de jocuri de noroc în temeiul noii legislații AML.

Obligații de raportare

În calitate de entități raportoare, organizatorii de jocuri de noroc au obligația de a notifica Oficiului un raport pentru tranzacții suspecte, în cazurile prevăzute de lege, ca regulă, înainte de efectuarea oricărei tranzacții aferente clientului, care are legătură cu suspiciunea raportată.

Totodată, este necesară raportarea către Oficiu a tranzacțiilor (care nu prezintă indicatori de suspiciune) cu sume în numerar, în lei sau în valută, a căror limită minimă reprezintă echivalentul în lei a 10.000 euro, în cel mult 3 zile lucrătoare de la momentul efectuării tranzacției.

Totuși, în situația în care astfel de tranzacții sunt derulate prin intermediul unei instituții de credit sau financiare, obligația de raportare revine acesteia, cu excepția operațiunilor din activitatea de remitere de bani, care vor fi raportate de către entitățile raportoare prin transmiterea către Oficiu de rapoarte privind transferurile de fonduri a căror limită minimă reprezintă echivalentul în lei a 2.000 euro.

Obligația de a aplica măsuri de cunoaștere a clientelei

Se prevede în mod expres în Legea AML faptul că organizatorii de jocuri de noroc au obligația de a aplica măsurile-standard de cunoaștere a clientelei reglementate (spre exemplu, identificarea clientului prin verificarea documentelor de identitate), printre altele, în momentul colectării câștigurilor, la cumpărarea sau schimbarea de jetoane, atunci când se efectuează tranzacții a căror valoare minimă reprezintă echivalentul în lei a minimum 2.000 euro, printr-o singură operațiune.

Această obligație se traduce în aceea că este necesară aplicarea măsurilor-standard de cunoaștere a clientelei atât pentru operațiunile de încasare, cât și pentru operațiunile de acordare a câștigurilor, când astfel de tranzacții, ca operațiune singulară, au ca valoare minimă echivalentul în lei al sumei de 2.000 euro.

În plus, organizatorii de jocuri de noroc, ca entități raportoare, au obligația de a dispune de sisteme adecvate de gestionare a riscurilor, inclusiv de proceduri bazate pe evaluarea riscurilor, pentru a stabili dacă un client sau beneficiarul real, în sensul legii, al unui client este o persoană expusă public.

Situația în care clientul sau beneficiarul real al clientului este o persoană expusă public se numără printre situațiile prevăzute de Legea AML care pot prezenta un risc sporit de spălare a banilor sau de finanțare a terorismului, în care intervine obligația de a aplica măsuri suplimentare de cunoaștere a clientelei.

Astfel de măsuri suplimentare includ: obținerea aprobării conducerii de rang superior pentru stabilirea sau continuarea relației de afaceri cu astfel de persoane, adoptarea unor măsuri adecvate pentru a stabili sursa averii și sursa fondurilor implicate în relații de afaceri sau în tranzacții cu astfel de persoane, efectuarea în mod permanent a unei monitorizări sporite a respectivelor relații de afaceri.

Legea AML prevede și o serie de situații în care entitățile raportoare ar putea aplica anumite măsuri simplificate de cunoaștere a clientelei pentru clienții încadrați la un grad de risc redus. Totuși, am considerat că nu se impune tratarea acestora în cadrul prezentului articol, dat fiind că pentru domeniul jocurilor de noroc, specific tratat de Legea AML, este puțin probabil ca evaluarea de risc să conducă la concluzia încadrării într-un grad de risc redus.

În concluzie, noua Lege AML aduce cu ea o serie de noi provocări, inclusiv pentru organizatorii de jocuri de noroc, dublând eforturile operatorilor economici, care încă “luptă” pentru a obține conformitatea totală cu cerințele GDPR.

Author: Editor

Share This Post On

Submit a Comment

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *