GDPR:n (General Data Protection Regulation) tarkoituksena on yhdenmukaistaa EU:n tietosuojakäytäntöjä ja parantaa EU:n kansalaisten yksityisyydensuojaa. Se on on Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan komission yhteinen pyrkimys yhtenäistää tietosuojaa koskeva lainsäädäntö kaikkien Euroopan unionin jäsenmaiden kesken eli isosta askeleesta tietosuoja-asioissa on siis kyse.
Se tulee EU:n jäsenvaltioiden – eli myös Suomen – sovellettavaksi toukokuussa 2018. Uusi tietosuoja-asetus koskee kaikkia niitä Suomessa toimivia organisaatioita, jotka keräävät, säilyttävät ja käsittelevät henkilötietoja. Kyse voi olla isosta pörssiyrityksestä, säätiöstä, yhdistyksestä tai julkishallinnon organisaatiosta. Lähes kaikissa organisaatioissa ja yhteisöissä ja yrityksissä ylläpidetään jonkinlaista henkilörekisteriä – kuten asiakas- tai jäsenrekisteriä – joten asetuksen soveltamisala on varsin laaja.
EU:n sisäisen säätelyn lisäksi GDPR koskee myös sellaisia tahoja, jotka tallentava EU-kansalaisten henkilötietoja Euroopan unionin ulkopuolelle. Yleisen tietosuoja-asetuksen tarkoituksena on ensisijaisesti vahvistaa kansalaisten EU:ssa asuvien henkilöiden oikeuksia omiin henkilötietoihinsa sekä yksinkertaistaa sääntely-ympäristöä niin, että sekä EU:n sisäinen, että kansainvälinen liiketoiminta helpottuu.
GDPR:ään liittyvien rikkomusten hallinnollinen sakko voi olla maksimissaan jopa 20 miljoonaa euroa tai neljä prosenttia yhtiön edellisen vuoden kokonaisliikevaihdosta, riippuen siitä kumpi näistä on suurempi.
Tietosuoja-asetuksessa määritellään kansalaisen oikeudet liittyen henkilötietojen käsittelyyn. Asetuksen myötä jokaisella EU-kansalaisella on oikeus tarkistaa hänestä tallennetut tiedot, saada tieto siitä miten henkilötiedot on kerätty sekä miten niitä käsitellään ja kenelle niitä annetaan. Lisäksi kansalaisella on oikeus oikaista mahdolliset väärät tiedot sekä poistaa tietonsa rekisteristä. Vastaavasti asetuksessa säädetään rekisterinpitäjille velvollisuus toimia siten, että edellä esitetyt oikeudet toteutuvat.
GDPR ja nettikasinot
Mikä muuttuu nettikasinoiden toiminnassa, kun GDPR astuu voimaan EU:ssa toukokuun 25. päivä?
Kuten edellä mainittiin, kaikkien EU-alueen yritysten ja EU:n kansalaisten henkilötietojen kanssa tekemisissä olevien yhtiöiden ja organisaatioiden tulee noudattaa uutta tietosuoja-asetusta. Tämä tarkoittaa myös sitä, että nettikasinot liittyvät tähän porukkaan, onhan casinoilla pelaajarekisterit, joihin pelaajat ovat listattuina esimerkiksi sähköpostiosoitteillaan. Otimme hieman selvää, että mitä muutoksia tulee tapahtumaan nettikasinoiden maailmassa tämän merkittävän tietosuojauudistuksen myötä.
GDPR on lähinnä tarkoitettu sitä varten, että sen myötä kuluttajalla on paremmat oikeudet määrätä oman datansa (henkilökohtaiset tiedot) käyttöä yrityksien rekistereissä. Toisin sanoen sitä, että kuinka yksittäisen henkilön henkilökohtaisia tietoja kerätään, prosessoidaan, varastoidaan ja liikutellaan niin EU:ssa kuin sen ulkopuolellakin. Eli myös muut kuin maltalaiset nettikasinot joutuvat tottelemaan GDPR:n asetuksia. Uusi asetus korvaa vuoden 1995 tietosuojadirektiivin, joka on tuosta vuosiluvunkin mukaan pääteltävissä, aika vanha asetus, kun miettii, kuinka paljon maailma on muuttunut 23 vuodessa.
GDPR ja Iso-Britannia
Myös Iso-Britannian hallitus on ilmoittanut, että se sitoutuu noudattamaan EU:n GDPR-tietosuoja-asetusta, vaikka ero EU:sta Brexitin myötä toteutuukin. Alla tiivistettynä pakettina tarjolla GDPR:n vaikutukset nettikasinoiden pelaajiin ja operaattoreihin eli casinoihin.
GDPR:n myötä raskaammat sanktiot takaavat enemmän sisäistä valvontaa
Toukokuun 25. päivästä eteenpäin yritysten täytyy siis totella EU:n uutta GDPR-asetusta. Kuten jo alussa mainitsimme, GDPR tuo mukanaan melko suuret sanktiot, kun asetusten noudattamatta jättäminen voi tuoda sakon, jonka suuruus voi olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen liikevaihdosta, riippuen siitä, kumpi näistä on suurempi summa. Tämä käytännössä pakottaa yritykset huomattavaan varovaisuuteen henkilötietojen käsittelyssä. Nettikasinoiden – kuten muidenkin alojen yhtiöiden – asiakkaat voivat vaatia suoraan operaattoreilta tai affiliate-firmoilta korvauksia, jos he uskovat, että heidän oikeuksiaan henkilötietojen ja niiden suojelemisen suhteen poljetaan. Korvausvaatimus menee sitten viranomaiskäsittelyyn EU:ssa.
GDPR tuo selkeämmät ja läpinäkyvämmät suostumukset
Uuden asetuksen myötä yhtiöiden tulee saada selkeä suostumus asiakkailta heidän tietojensa käsittelyyn. Tämä tarkoittaa, että casinot eivät voi enää esimerkiksi olettaa saaneen suostumusta asiakkailta, koska nämä ovat “olleet hiljaa” asiasta. Toisin sanoen henkilötietojen käyttöön tulee saada selkeästi lupa. Tällaisia lupia voidaan tulevaisuudessakin kysyä esimerkiksi rasti ruutuun -periaatteella.
Nettikasinoiden tapauksissa, jo rekisteröityneiden pelaajien kohdalla, on odotettavissa jonkinlaisia lupakysymyksiä ja pelaajilta tullaan pyytämään lupaa esimerkiksi markkinointiviestien vastaanottamisesta. Informaation siitä, kuinka pelaajien henkilötietoja tullaan keräämään ja käsittelemään sekä minkälaista markkinointiviestintää tullaan harrastamaan ja mitä kautta, pitää olla helposti ymmärrettävää ja hankalan lakijargonin tulee olla vähemmällä. Jos suostumusta ei anneta, kaikenlaisen markkinointiviestinnän tulisi loppua toukokuun 25. päivä.
Tästä voi olla paljonkin hyötyä pelaajille. He voivat nyt valita itselleen vain sellaista viestintää, joka sopii heille itselleen. Tämä rohkaisee operaattoreita kohdentamaan markkinointiaan ja promootioitaan tehokkaammin, että liian moni pelaaja ei luopuisi markkinointiviestinnän vastaanottamisesta. Joissain tapauksissa casinoiden on myös mahdollista tätä myöten luoda vahvempi vuorovaikutussuhde pelaajiensa kanssa.
GDPR:n tiedonsiirto-oikeus
Kun GDPR astuu voimaan, asiakkailla on myös oikeus pyytää kopiota kaikesta siitä henkilökohtaisesta tiedosta, mitä yhtiöillä heistä on. Tämä kulkee nimellä tiedonsiirto-oikeus (Data portability right).
“Datan kohteella tulee olemaan oikeus saada itselleen ne henkilökohtaiset tiedot, joita hän on myöntänyt yhtiölle. Sen tulee olla jäsenneltynä, yleisesti käytössä olevassa ja koneluettavassa muodossa ja kohteen tulee saada oikeus siirtää tuota dataa toiselle yritykselle ilman esteitä. Tämä data pitää olla mahdollista saada käyttöönsä, kun data perustuu suostumukseen tai sopimukseen ja prosessi tapahtuu koneellisesti”. (GDPR, Artikla 20).
Tällaista dataa on esimerkiksi pelaajan pelihistoria ja pelitilin taloudellinen tilanne. Tätä oikeutta ei kuitenkaan ole tapauksissa, joissa dataa on käsitelty “laillisin perustein”. Tämä voi tarkoittaa mitä tahansa järkiperäistä prosessia ja voi olla käytössä laaja-alaisesti.
Nettikasinoiden tapauksessa tämä voi tuoda etua uusille tekijöille markkinoilla. Uudet nettikasinot voivat saada pelaajien henkilökohtaisia tietoja helpommin, kun ne houkuttelevat pelaajia käyttämään tiedonsiirto-oikeuttaan ja siirtämään datansa uudelle casinolle esimerkiksi houkuttelevamman tervetuliaisbonuksen avulla palkiten. Toisaalta, tämän estämiseksi, jo olemassa olevat casinot joutuvat nyt tekemään enemmän töitä pitääkseen pelaajat ja heidän tietonsa omalla sivustollaan. Tämä taas voi tarkoittaa esimerkiksi sitä, että lojaalisuus- ja VIP-ohjelmat tulevat olemaan entistä palkitsevampia.
GDPR ja oikeus tulla unohdetuksi
Toinen perustavanlaatuinen oikeus uudessa GDPR-asetuksessa on unohdetuksi tulemisen oikeus. Tämä tarkoittaa käytännössä sitä, että pelaaja, joka on antanut henkilökohtaiset tietonsa casinolle, voi vaatia casinoa poistamaan nämä tiedot.
GDPR:n artikla 17:n mukaan näin voi tehdä, kun
a) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
b) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut artikla 6 1 kohdan a alakohdan tai artikla 9 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta; ,
c) rekisteröity vastustaa käsittelyä artikla 21 1 kohdan nojalla eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä artikla 21 2 kohdan nojalla;
d) henkilötietoja on käsitelty lainvastaisesti; => artikla: 18
e) henkilötiedot on poistettava unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;
f) henkilötiedot on kerätty artikla 8 1 kohdassa tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.
Nettikasinoiden yhteydessä tilanne ei kuitenkaan aina ole ihan niin yksinkertainen. Unohdetuksi tulemisen oikeus ei toimi näissä tapauksissa välttämättä ihan samalla tavalla kuin muiden alojen yrityksillä. Esimerkiksi Ison-Britannian peliviranomaiset vaatii, että rahapeliyritysten tulisi säilyttää asiakkaidensa tietoja viisi vuotta asiakassuhteen päättymisen jälkeen.
Syy tähän vaateeseen on esimerkiksi mahdollisissa rahanpesutapauksissa. Oikeus tulla unohdetuksi voi helposti houkutella rahanpesijöitä hyötymään tilanteesta, jossa he voivat nostaa rahansa ja kadota tietokannasta iäisiksi ajoiksi. Tästä syystä voi olla, että unohdetuksi tulemisen oikeus tulee pitämään sisällään poikkeuksia.
GDPR:n ja nettikasinoiden yhteenveto
Näyttää siltä, että GDPR voi tuoda tullessaan useita etuja pelaajille. Tämä johtuu esimerkiksi juuri niistä edellä mainituista paremmista tervetuliaisbonuksista datansa tuovien pelaajien suhteen sekä tämän vastapainoksi panostus lojaalius- ja VIP-ohjelmiin. GDPR:n myötä myös säännöt ja ehdot tulevat olemaan selkeämpiä ja yleensäkin casinoiden tarjoama informaatio tulee olemaan läpinäkyvämpää.
Toisaalta casino- ja vedonlöntisivustot tulevat olemaan entistä varovaisempia, mitä tulee sisäiseen valvontaan ja voivat kohdata haasteita, kun yrittävät estää liian monen asiakkaan käyttämästä hyväkseen tiedonsiirto-oikeutta.
Operaattorit ovat tosin laajalti jo hyvin varautuneita GDPR:n tuloon ja sen tuomiin muutoksiin. Ei tämä uudistus ihan puskista tule. Monet ovatkin jo tehneet muutoksia henkilötietoasioihin liittyen varmistaakseen näin sisäisen valvonnan toimivuuden ja sitä myöten ansaitakseen asiakkaidensa eli pelaajiensa luottamuksen. Vaikuttaa siltä, että kasvava läpinäkyvyys ja henkilökohtaisten tietojen kontrolli asiakkaille ovat tie eteenpäin GDPR:n aikana ja se on todella asiakkaan etu. Kärkipään casinot ottavat haasteen vastaan avoimin mielin ja luovat näin entistä vahvemman suhteen asiakkaisiinsa.