Tag Archives: GDPR

GDPR – reglementarea care impactează orice industrie

GDPR

După îndelungate discuţii Regulamentul European privind protecţia datelor cu caracter personal a fost adoptat de Parlamentul European pe 14 aprilie 2016 şi a intrat în vigoare pe 25 mai 2016 (“GDPR”). Cu toate acestea, data de referinţă, cea care dă bătaie de cap oricărei industrii şi oricărei societăţi care prelucrează date cu caracter personal este 25 mai 2018, mai puţin de 3 săptămâni de acum încolo, dată la care acest regulament devine aplicabil.

Dar ce înseamnă date cu caracter personal, respectiv prelucrarea de date cu caracter personal şi de ce ne preocupă începând cu 25 mai 2018 mai mult decât astăzi?

Datele cu caracter personal înseamnă orice infor­maţii privind o persoană fizică identificată sau iden­tificabilă (“persoana vizată”), o persoană identi­fi­cabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un iden­tificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, cultural sau sociale.

Prelucrarea datelor cu caracter personal înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.

Domeniul era reglementat anterior în baza Directivei privind Protecţia Datelor din 1995, implementată în legislaţia românească prin legea 677/2001. Diferit faţă de vechea directivă europeană, GDPR este mult mai voluminos, cu 99 articole faţă de 34 câte avea directiva, pe lângă cele 173 de considerente din preambul şi, dată fiind natura sa juridică – regulament european – nu mai trebuie implementat prin legislaţia naţională precum instrumentul vechi – directiva – având efect direct pe teritoriul fiecărui stat membru UE.

GDPR

GDPR

Scopul GDPR a fost să modernizeze şi armonizeze protecţia datelor pe tot teritoriul UE. Cu toate acestea rămâne problematic în ce măsură acest scop a fost atins, având în vedere că rămân aproape 50 de puncte deschise, în care statele membre sunt lăsate să detalieze, completeze, dacă nu chiar să amendeze (într-o oarecare măsură) prevederile GDPR.  Este astfel un lucru asumat că aplicarea acestui regim juridic va continua să difere de la un stat membru la celălalt. În acest sens, proiectul de lege privind măsurile de punere în aplicare a GDPR se află în prezent la Camera Deputaţilor în vederea avizării de către comisiile parlamentare. Din informaţiile publicate pe pagina Camerei Deputaţilor, rezulta că, până la acest moment, nu au fost încă finalizate dezbaterile în cadrul comisiilor parlamentare. Data la care s-ar împlini termenul constituţional pentru dezbatere şi vot final ar fi 26 iunie 2018. Cu toate că, potrivit GDPR, statele membre au obligaţia de a notifica Comisiei Europene normele adoptate în vederea aplicării Regulamentului nr. 679/2016 până la 25 mai 2018, este posibil ca proiectul de lege să nu fie aprobat şi publicat până la acea dată.

GDPR menţine principiile generale prevăzute în directiva din 1995, dar totodată cuprinde o multitudine de amendamente substanţiale care duc la necesitatea unei reevaluări complexe a tuturor activităţilor ce implică utilizarea datelor cu caracter personal. În cele ce urmează nu ţinem să facem o trecere în revistă a tuturor acestor modificări, dat fiind volumul acestui regulament probabil am ocupa întreaga ediţie curentă a revistei, dar încercăm să le menţionăm pe cele pe care le-am considerat a avea un impact major.

Astfel, cea mai importantă dintre toate celelalte este ridicarea substanţială a nivelului sancţiunilor. Substanţial este un cuvânt mult prea blând, în condiţiile în care în baza legii 677/2001 amenda contravenţională se ridica la maxim 50.000 RON, în baza GDPR autorităţile de supraveghere pot aplica amenzi care să ajungă până la 4% din cifra de afaceri mondială totală corespunzătoare exerciţiului financiar anterior (ceea ce în cazul unor societăţi care operează pe mai multe pieţe devine şi mai împovărător) sau până la 20 milioane de EUR, luându-se în calcul valoarea cea mai mare.

Aplicarea GDPR a fost extinsă în afara UE, aceasta fiind una din schimbările juridice fundamentale. Astfel, dacă aplicarea vechii directive a fost legată în general de jurisdicţia de reşedinţă a operatorului în (pentru nuanţe, vezi jurisprudenţa CJUE în speţa Google Spania – vs. AEPD şi Mario Costeja Gonzales ECJ C-131/12), noul GDPR specifică în mod clar că se aplică tuturor operatorilor de date ce oferă bunuri sau servicii către persoane individuale dintr-unul sau mai multe state membre UE, indiferent de locul de reşedinţă al operatorilor sau împuter­niciţilor privind prelucrarea datelor, fie ei stabiliţi şi în afara UE.

Dacă în baza directivei din 1995 răspunderea pentru prelucrarea datelor revenea exclusiv operatorilor de date, în baza GDPR, în funcţie de modalitatea de operarea a datelor, respectiv cine are cu adevărat controlul asupra manipulării lor, răspunderea poate incumba şi persoanei împuternicite cu prelucrarea de date, riscul fiind astfel împărţit.

În baza GDPR a apărut obligaţia de a numi un Responsabil cu Protecţia Datelor (aşa-numitul Data Protection Officer sau DPO). Acesta va avea rolul, în particular, de a informa şi sfătui angajaţii operatorului sau persoanei împuternicite cu prelucrarea de date cu caracter personal pentru care lucrează, de obligaţiile lor în acest domeniu şi totodată va monitoriza respectarea pre­vederilor GDPR şi a legislaţiei naţionale în domeniu.

În ceea ce priveşte securitatea da­telor, în baza directivei din 1995 exista deja obligaţia să fie imple­mentate măsuri tehnice şi organi­za­ţionale pentru a asigura un nivel de securitate adecvat, GDPR vine acum şi stabileşte obligaţia de a demonstra confor­marea cu cerinţele de securi­tate şi face astfel referire la Coduri interne de conduită şi certificare. Iar cerinţele de securitate se extind, pentru a include şi disponi­bilitatea datelor, faţă de prezent când se vorbea numai de confidenţialitatea datelor.

GDPR stabileşte obligaţia de a notifica autoritatea de supraveghere, în Ro­mâ­nia autoritatea cu nume lung – respectiv Auto­ritatea Naţională pen­tru Supravegherea şi Protecţia Da­telor cu Caracter Personal (“ANSPDCP”) în cazul încălcării secu­rităţii datelor cu caracter personal, nu mai târziu de 72 de ore de la data la care operatorul a luat cunoştinţă de aceasta. În cazul în care notificarea nu a putut fi făcută în maxim 72 de ore, aceasta trebuie însoţită de explicaţii motivate privind întârzierea. Mai mult, trebuie infor­mate imediat persoanele afectate dacă incidentul poate antrena riscuri semnificative pentru ele.

Nu în ultimul rând, drepturile noi recunoscute persoanelor vizate de GDPR, cum ar fi dreptul la porta­bilitatea datelor şi dreptul de a cere restricţionarea prelucrării pot avea un impact semnificativ în plan opera­ţional, sistemele operatorilor trebuind reconfigurate pentru a permite con­for­marea cu aceste drepturi.

În trecut, legislaţia privind protecţia datelor cu caracter personal a fost nepopulară pentru mulţi operatori de jocuri de noroc şi pentru partenerii lor contractuali şi nu a fost neapărat luată în considerare în mod explicit sau extensiv. În viitor însă, mai ales în domeniul online, minimizarea rele­vanţei conformării în acest domeniu se poate dovedi a fi foarte scumpă. Cele de mai sus se vor a fi doar sclipiri ale unei legislaţii care reprezintă un adevărat punct de cotitură şi totuşi suficiente pentru a arăta că este crucial ca operatorii de jocuri de noroc să îşi revizuiască şi adapteze sistemele noului regim juridic de urgenţă.

Faceţi jocurile!

Reguli noi aduse de GDPR în online

Gabriel Ianculescu Avocat al Tuca Zbarcea si Asociatii

Gabriel Ianculescu Avocat al Tuca Zbarcea si Asociatii

Cristian Radu Avocat Tuca Zbarcea si Asociatii

Cristian Radu Avocat Tuca Zbarcea si Asociatii

Noul Regulament privind protecția datelor personale („GDPR“ sau „Noul Regulament“) a intrat în vigoare pe data de 24 mai 2016, însă aplicarea acestuia a fost suspendată pentru o perioadă de 2 ani, pentru a permite procesatorilor de date cu caracter personal să îşi alinieze activitatea la noile standarde.

Modificările avute în vedere sunt sub­stan­ţiale şi ambiţioase, având implicaţii deo­sebite în special pentru sectorul online, care oferă servicii B2C. Începând cu 25 mai 2018, noile reglementări privind protecţia datelor vor avea aplicabilitate directă în toate statele membre SEE, iar sancţiunile prevăzute în caz de nerespectare a acestora reclamă o atenţie sporită din partea agen­ţilor economici.

Înainte de a prezenta implicaţiile pentru sectorul de gambling din România, trebuie să menţionăm că datele cu caracter personal reprezintă mai mult decât simple elemente de identificare (nume, prenume, număr de identificare, user, date de localizare, adrese IP sau MAC). Ele sunt definite drept „orice informaţii privind o persoană fizică identificată sau identifi­cabilă”, adică inclusiv comportamentul şi istoria jucătorului în cadrul platformei, preferinţele de joc, situaţia financiară a jucătorului sau alte elemente care, împreună sau separat, pot duce la identificarea persoanei fizice respective. Noul Regulament im­pune noi standarde în modul de colectare, de stocare, de dezvăluire şi de circulaţie a acestor date.

Prelucrarea datelor cu caracter personal reprezintă o componentă importantă a modului în care serviciile de jocuri de noroc online sunt oferite jucătorilor, datele acestora fiind procesate atât la deschiderea contului de joc, cât şi pe tot parcursul activităţii pe care aceştia o desfăşoară pe platforma de joc. Comportamentul jucătorilor în cadrul platformei este deseori monitorizat, în vederea îmbunătăţirii servi­ciilor oferite, datele cu caracter personal căpă­tând o valoare tot mai mare pentru operatori.

Implicaţiile GDPR sunt complexe şi pot varia semnificativ de la operator la operator, în funcţie de datele colectate şi monitorizate, arhitectura actuală a sistemelor de automatizare a procesării datelor cu caracter personal sau relaţiile B2B cu alţi furnizori de servicii specializate pentru piaţa jocurilor de noroc online care acţionează în calitate de procesatori de date pentru operator (valabil pentru cei care exter­nalizează serviciile de risk management, player profiling sau transfer al unor baze de date privind activitatea jucătorului în cadrul unor platforme independente de cea a operatorului, precum în cazul implementărilor SaaS în care prestatorul de servicii oferă inclusiv hosting şi găzduirea datelor procesate).

Din raţiuni de spaţiu, vom prezenta succint doar 4 dintre cele mai importante modificări cu implicaţii semnificative pentru operatori de jocuri de noroc online din România.

1. Dreptul la portabilitatea datelor

Conform GDPR, jucătorii vor avea dreptul de a primi datele cu caracter personal care îi privesc şi pe care le-au furnizat operatorului (adică inclusiv istoricul de joc, situaţia financiară sau alte date care sunt în mod frecvent monitorizate de către operator) într-un format structurat, utilizat în mod curent şi care poate fi citit automat. De asemenea, jucătorul va avea dreptul de a transmite aceste date altui operator, fără obstacole (tehnice sau financiare) din partea operatorului căruia i-au fost furnizate iniţial datele cu caracter personal.

Pe lângă costurile semnificative pe care operatorii vor trebui să le suporte pentru a implementa o soluţie tehnică conformă GDPR, acest drept ar putea prezenta deopotrivă un risc ori un avantaj comercial, după caz. Astfel, operatorii noi vor putea atrage jucători de pe alte platforme, convingându-i să îşi exercite dreptul la portabilitatea datelor prin oferirea unor pachete de bonusare atractive, similar feno­me­nului apărut după implementarea porta­bilităţii nu­me­relor de telefonie mobilă. În acelaşi timp, ope­ratorii consacraţi vor fi nevoiţi să acorde o atenţie spo­rită fidelizării jucătorilor înregistraţi pe platformele de joc.

2.Obţinerea consimţământului jucătorului

Noul Regulament impune noi standarde în ceea ce priveşte obţinerea consimţământului jucătorului cu privire la procesarea datelor personale ale acestuia. Până în prezent, informarea privind procesarea datelor cu caracter personal era prevăzută în Termenii şi Condiţiile acceptate global de jucător la crearea unui cont nou. Conform GDPR, con­sim­ţă­mântul obţinut va trebui să constea „într-o manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.  În cazul în care consimţământul jucătorului este dat în contextul unei declaraţii scrise, care se referă şi la alte aspecte (i.e. T&Cs), cererea privind consim­ţă­mântul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o manieră inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. O variantă de implementare ar putea fi un checkbox suplimentar la deschi­derea contului de joc prin care jucătorul acceptă politica de procesare a datelor, separat de ceilalţi termeni generali accep­taţi. De asemenea, operatorul va trebui să ofere jucătorilor posibilitatea de a retrage acest consimţământ în orice moment. Nerespectarea acestor reguli va invalida consimţământul jucătorului, operatorul riscând amenzi semnificative.

3. Sancţiuni

GDPR aduce modificări semnificative şi în ceea ce priveşte latura de prevenţie şi sancţionare a activităţilor neconforme cu noile standarde de protecţie a datelor personale. Autorităţile de reglementare (în România – Autoritatea Naţională de Supra­veghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) vor putea aplica sancţiuni de până la 20.000.000 Euro sau până la 4% din cifra de afaceri globală a grupului din care face parte operatorul, luându-se în calcul cea mai mare valoare.

Având în vedere nivelul extrem de ridicat al posibilelor sancţiuni, operatorii de jocuri de noroc vor trebui să depună toate eforturile necesare pentru a-şi asigura nivelul de conformitate în acord cu noile prevederi GDPR

4. Desemnarea unei persoane responsabile cu protecţia datelor

Toţi operatorii de date cu caracter personale ale căror activităţi principale „constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă” vor trebui să desemneze un responsabil cu protecţia datelor („DPO”). Este evident că operatorii de jocuri de noroc online îndeplinesc acest criteriu, monitorizarea pe scară largă a jucătorilor fiind o componentă de bază a industriei.

Funcţia de DPO va fi una importantă în cadrul activităţii operatorului, responsabilul fiind cel care va monitoriza buna implementare a standardelor GDPR şi activitatea de procesare a operatorului în vederea identificării riscurilor sau a încăl­cărilor. Operatorul va trebui să pună la dispoziţia DPO resursele necesare pentru executarea acestor sarcini, accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, precum şi pentru menţinerea cunoştinţelor sale de specialitate.

Trebuie menţionat faptul că GDPR permite operatorilor de date personale să externalizeze aceste servicii către terţi specia­lizaţi, fiind posibilă contractarea serviciilor unor avocaţi sau specialişti în securitatea şi protecţia datelor. De asemenea, operatorii internaţionali au posibilitatea de a desemna un singur DPO la nivelul grupului de societăţi din care fac parte.