GDPR ja selle mõju hasartmängusektorile
Kuna klienditeave ja selle kasutamine on kihlvedude ja hasartmängusektori konkurentsieelise peamised komponendid, mõjutab uus Andmekaitse määrus (GDPR) oluliselt selle sektori ettevõtjad. See on loomulikult oluline kõigile neile, kellele meeldib mängida õnnemänge või teha spordiennustusi, külastada saite nagu bet-boonuskood.ee jt.
On olemas peamised strateegilised otsused mis tuleks teha selle kohta, kuidas isikuandmeid koguda ja hallata seoses GDPR-ga. Järgnevalt on ära toodud viis peamist muudatust EL-i andmekaitseseaduses, mis on eriti olulised hasartmängusektori jaoks:
Sisemine juhtimine ja vastutus
GDPR-i raames suureneb rõhuasetus nõuetele vastavuse tõendamisel. See hõlmab andmetöötlus toimingute ja seotud poliitikate ja protseduuride salvestamist. Selle protsessi osana peaksid teenusepakkujad looma ja säilitama üksikasjalikku isikuandmete inventuuri. Juhul kui sellist inventuuri pole loodud on operaatoril raske teha teadlikke valikuid GDPR-ga seotud oluliste strateegiliste otsuste kohta.
Andmeedastatavus
Eelnenult kehtinud andmekaitseseaduste kohaselt oli andmesubjektil õigus saada koopia igast nende kohta säilitatavast isikuandmest (välja arvatud piiratud erandid). GDPR-i puhul on andmesubjektil uus täiendav õigus saada isikuandmeid struktureeritud, üldkasutatavas ja masinloetavas vormingus ning nõuda, et vastutav töötleja edastaks need isikuandmed regulaatorilt uuele regulaatorile. See andmete edastamise õigus kehtib ainult teatud tingimustel ja see piirdub isikuandmetega, mille on andnud andmesubjekt.
Andmeedastuse õigus kehtib juhul, kui isikuandmeid on kogutud andmesubjekti nõusoleku alusel, kuid seda ei kohaldata, kui isikuandmeid töödeldakse isikuandmete töötlemise “õigustatud huvi” alusel. Ettevõtjate jaoks, kes on mures andmete edastatavuse ulatuse pärast, võib selline eristamine olla olulise tähtsusega strateegiliste otsuste tegemisel seoses andmete kogumise ja kasutamisega GDPR-i alusel.
Juhtiv Järelvalveasutus
GDPR juurutab “ühes kohas” süsteemi, mille kohaselt EL-is asutatud ettevõtted alluvad “juhtiva järelevalveasutuse” järelevalvele. Kui nad on asutatud rohkem kui ühes ELi liikmesriigis, siis võivad nad oma asjade korraldamise tõttu omada ühtset “järelevalveasutust” ja teisi “asjassepuutuvaid” järelevalveasutusi või neid võib kontrollida mitu juhtivat järelevalveasutust”.
Sellegipoolest peaks rahvusvaheliste ettevõtete puhul arvesse võtma andmekaitseasutuse jurisdiktsiooni reguleerivaid eeskirju strateegiliste otsuste langetamisel seoses sellega, kus Euroopa Liidu siseselt personali või ressursse leida.
Andmekaitseametnik
Teatud ettevõtted on kohustatud määrama andmekaitseametniku (AKA), sealhulgas need, mis tõenäoliselt suudavad andmesubjekte suurel määral jälgida. Andmekaitseametnik tuleks ametisse nimetada kutsekvaliteedi alusel ja andmekaitse ekspertteadmiste põhjal. Andmekaitseinspektori roll peab olema piisavalt oluline, asjakohaselt sõltumatu, vaba huvide konfliktist ja omama piisavalt ressursse, et see vastaks konkreetsetele nõuetele selles osas. Andmekaitseametniku ülesanded hõlmavad GDPRi kohaste kohustuste teavitamist ja nõustamist, GDPRi järgimise jälgimist ja andmekaitse mõju hindamise läbiviimist.
Võttes arvesse nõutavat oskuste kogumit ja nõudeid tööstaaži, sõltumatuse ja huvide konflikti puudumise kohta, eeldatakse, et piisava kvalifikatsiooniga kandidaatide osas on märkimisväärne puudus ametnike järele. Iga ettevõte, kes peab ametisse määrama andmekaitseametniku, peab varakult kaaluma, kuidas rolli struktureeritakse ja kes võiks seda täita.
Turvarikkumised
GDPR kehtestab isikuandmetega seotud rikkumise korral kohustusliku teavitamise korra. Kontrollijad peavad oma juhtkontrolli asutusele teatama isikuandmetega seotud rikkumiste kohta hiljemalt 72 tunni jooksul pärast rikkumise avastamist ning mõnel juhul peavad nad rikkumistest teatama ka mõjutatud isikutele. Ettevõtjad peavad tagama, et neil on võimalik tuvastada ja reageerida turvarikkumistele viisil, mis vastab GDPR nõuetele. Tuleb säilitada sisemine rikkumiste register ja rakendada andmete rikkumise protseduure ja neid regulaarselt kontrollida.
Kuidas see kõik mängijaid mõjutab?
Peale selle, et nii vanad kui uued mängijad peavad uute reeglitega nõustuma (ja soovitavalt ka nendega tutvuma) ei oma GDPR suurt täiendavat mõju. Loomulikult peaksid kõik seotud isikud olema teadlikud oma isikuandmete kogumisest ja üritama vähemal või rohkemal määral mõista uute reeglite olemust. Üks olulisemaid teadmisi on see, et isikul on alati õigus nõuda enda kohta käivate kogutud ja/või salvestatud andmete kohta ülevaadet ning vajadusel nende muutmist või kustutamist.