Jak bukmacherzy chronią dane osobowe graczy?
- Jak długo dane osobowe graczy mogą być wykorzystywane przez bukmachera?
- Jak realizowana jest ochrona danych osobowych graczy bukmacherskich
- Jak wygląda wdrożenie procedur ochrony danych?
- Kto poza bukmacherem może uzyskać dostęp do danych?
- Dlaczego bezpieczniej korzystać z legalnych bukmacherów?
- Warto wiedzieć o ochronie danych osobowych u bukmachera
Działający w Polsce legalni bukmacherzy, przetwarzający dane osobowe graczy, muszą stosować się do postanowień kilku aktów prawnych.
Najważniejsze z nich to ustawy z dnia 19.11.2009 r. o grach hazardowych, ustawy z dnia 18.07.2002 r. o świadczeniu usług drogą elektroniczną i ustawy z dnia 29.08.1997 r. o ochronie danych osobowych, a także ustawy z dnia 16.11.2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (UPPP) oraz ustawy z dnia 29.09.1994 r. o rachunkowości i ustawy z dnia 29.08.1997 r. – ordynacja podatkowa.
Od 25.05.2018 r. obowiązuje też unijne Rozporządzenie o Ochronie Danych Osobowych RODO (2016/679).
Jak długo dane osobowe graczy mogą być wykorzystywane przez bukmachera?
Bukmacherzy przez okres trwania umowy przetwarzają dane kontaktowe gracza (imię, nazwisko, adres i telefon, jak również numer PESEL i kopia dowodu tożsamości) na podstawie udzielonej przez niego zgody. Jest to niezbędne do rejestracji, ale gracz może w każdym momencie zażądać usunięcia tych danych, co wiąże się z zamknięciem konta.
Jak wiadomo, rozliczanie się z urzędem skarbowym należy do bukmachera – w związku z tym musi on posiadać, poza danymi identyfikacyjnymi, także informacje dotyczące numeru rachunku bankowego, imienia ojca gracza, historii jego zakładów wzajemnych oraz adresu IP, z którego korzysta. Te dane są przetwarzane przez okres trwania umowy, a także po jej zakończeniu, przez okres określony w przepisach szczególnych (ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, ustawie o rachunkowości, ordynacji podatkowej), jednak nie dłużej niż przez 6 lat. Warto zaznaczyć, że legalni bukmacherzy żądają podania zamaskowanego numeru karty kredytowej (kilka pierwszych i ostatnich cyfr). Nigdy nie należy wpisywać całego numeru ani podawać 3-cyfrowego numeru CVV (kodu bezpieczeństwa), znajdującego się na odwrocie karty.
Na udzielanie informacji handlowych i marketingowych (mailowo i telefonicznie) gracz musi udzielić bukmacherowi dodatkowej zgody. Tu ważna uwaga: nie jest to warunek konieczny do stawiania zakładów wzajemnych, choć oczywiście bez niej gracz nie będzie informowany o dostępnych bonusach, programach lojalnościowych czy innych ofertach. Podstawę prawną do podejmowania takich działań (w czasie trwania umowy z bukmacherem) stanowi art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ust. 1 ustawy prawo telekomunikacyjne.
Jak realizowana jest ochrona danych osobowych graczy bukmacherskich
Każdy bukmacher, posiadający zezwolenie Ministra Finansów, powinien wdrożyć odpowiednie procedury, zapewniające maksymalny poziom ochrony graczy w zakresie wykorzystywania i przetwarzania ich danych osobowych. Zgodnie z art. 15d ust. 5 i 6 ustawy hazardowej, spółki prowadzące taką działalność przez Internet są zobowiązane do zapewnienia bezpieczeństwa archiwizowanych i udostępnianych danych, które należy przechowywać przez 5 lat licząc od końca roku kalendarzowego, w którym dokonano ich archiwizacji.
Zasady, na jakich przechowywane są dane, związane z urządzaniem zakładów wzajemnych online, określa Rozporządzenie Ministra Rozwoju i Finansów z dnia 18 maja 2017 r. w sprawie sposobu oraz zakresu archiwizacji danych, związanych z urządzanymi grami hazardowymi przez sieć Internet. Bukmacherzy powinni korzystać z oprogramowania i urządzeń, służących do przechowywania danych, które są zabezpieczone przed nieuprawnionym dostępem, w szczególności poprzez zastosowanie mechanizmów uwierzytelniania i autoryzacji (§ 4 ww. rozporządzenia). Ma to uniemożliwić ich zmianę, utratę, uszkodzenie lub zniszczenie. Muszą one zapewnić ciągłą, niemodyfikowalną i jednoznacznie identyfikującą każde zdarzenie niepowtarzalną numerację dla każdego typu archiwizowanych zdarzeń, w szczególności założenia konta, dokonania wpłaty stawki pieniężnej czy wypłaty wygranej, sposobu obstawienia zakładu wzajemnego lub określonego działania w grze hazardowej (§ 3 ust. 3 ww. rozporządzenia).
To jeszcze nie wszystkie informacje, dotyczące ochrony danych osobowych graczy u bukmacherów. O tym, jakie procedury ochrony danych osobowych graczy obowiązują u bukmacherów i kto jeszcze, poza samymi operatorami bukmacherskimi, może mieć wgląd w te dane, przeczytasz w drugiej części naszego tekstu.
Jak wygląda wdrożenie procedur ochrony danych?
Bezpieczeństwo danych osobowych graczy polega nie tylko na wykorzystywaniu uzyskanych informacji ściśle z ich przeznaczeniem, w warunkach uniemożliwiających ich zniszczenie lub zmianę, ale także na zapewnieniu bezpiecznego połączenia online.
Przykładowo, legalny bukmacher internetowy forBET koduje połączenia internetowe w systemie SSL. Na swojej stronie internetowej iforbet.pl wyjaśnia on, że polega to na szyfrowaniu informacji przekazywanych przez Klienta, co uniemożliwia podgląd treści w sieci. Kodowanie z wykorzystaniem protokołu SSL z 2048-bitowym szyfrowaniem zastosowane jest przy naszych stronach www, gdzie dokonywane są płatności online. Serwis internetowy www.iforbet.pl wykorzystuje również zaporę ogniową tworzącą barierę pomiędzy serwerem witryny, a Internetem.
Kto poza bukmacherem może uzyskać dostęp do danych?
Osoby, które mogą uzyskać dostęp do danych osobowych graczy, można podzielić na dwie kategorie. Do pierwszej zaliczają się podmioty współpracujące z bukmacherem, które otrzymują informacje dotyczące jego klientów, aby zapewnić ich profesjonalną obsługę. Są to operatorzy kart kredytowych i dostawcy usług płatniczych na potrzeby realizacji płatności, kancelarie prawne, firmy zewnętrzne zapewniające wsparcie marketingowe (mailing, wiadomości sms, oferty handlowe) oraz informatyczne (oprogramowanie do gier, obsługa stron internetowych, aplikacji mobilnych).
Muszą one przestrzegać reguł, określonych w ustawie o ochronie danych osobowych (zgodnie z art. 23 tej ustawy wykorzystują dane osobowe jedynie w zakresie koniecznym do realizacji umowy dotyczącej klienta).
Drugą kategorię stanowią organy wymiaru sprawiedliwości, takie jak policja, prokuratura i sądy, które mogą w zakresie wskazanym przez przepisy prawa żądać przekazania określonych informacji o graczach. Na podstawie art. 15d ust. 4 ustawy hazardowej bukmacherzy online są zobowiązani do zapewnienia dostępu organom Krajowej Administracji Skarbowej (KAS) do danych z ostatnich 5 lat dotyczących przebiegu gier (tożsamości graczy, wysokości wygranych/przegranych, przeprowadzonych transakcji finansowych).
Ponadto Szef KAS, jako Generalny Inspektor Informacji Finansowej, może żądać przekazania dokumentów uzasadniających podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu innym uprawnionym organom (art. 4 ust. 1 pkt UPPP). Organy te mają wgląd do danych graczy jedynie w sytuacjach, które budzą wątpliwości co do zgodności z prawem, możliwości popełnienia przestępstw kryminalnych lub oszustw gospodarczych.
Dlaczego bezpieczniej korzystać z legalnych bukmacherów?
Jak wskazano powyżej, dostęp do danych osobowych graczy określają przepisy prawa polskiego i unijnego (RODO). Klient może on nie tylko żądać ich usunięcia, ale także sprostowania, informowania o celu wykorzystywania oraz ograniczenia przetwarzania.
Z drugiej strony alternatywa w postaci obstawiania u nielegalnych buków jest dość ryzykowna. Informacje takie jak numer konta bankowego, karty kredytowej czy dane z dowodu tożsamości mogą trafić do przestępcy, który nie tylko ukradnie wygraną z konta bukmacherskiego, ale może też, podszywając się pod gracza, np. dokonywać transakcji na Allegro.
Taka sytuacja zdarzyła się w 2010 r. – klient Betsafe stracił nie tylko wygraną, ale przez 2 lat procesował się, aby dowieść, że to nie on wystawiał telefony do sprzedania na aukcji z opcją kup teraz i płać z góry.
Warto wiedzieć o ochronie danych osobowych u bukmachera
- W celu zarejestrowania konta na stronie firmy, przyjmującej zakłady sportowe, niezbędne jest podanie danych identyfikacyjnych, a także informacji dotyczących konta bankowego
- Na przetwarzanie danych osobowych gracza w celach handlowych i marketingowych bukmacher musi uzyskać od niego odrębną zgodę (jest ona ważna jedynie na czas trwania umowy)
- Spółki przyjmujące zakłady wzajemne w sieci muszą korzystać z urządzeń archiwizujących dane klientów, które chronią je przed uszkodzeniem, modyfikacja lub dostępem osób nieuprawnionych
- Do danych osobowych graczy licencjonowanych buków mają dostęp operatorzy płatności, firmy marketingowe i informatyczne – wykorzystują oni uzyskane informacje zgodnie z ustawą o ochronie danych osobowych
- KAS oraz inne organy nadzorujące działalność spółek przyjmujących zakłady sportowe mogą w określonym prawem zakresie uzyskać dostęp do danych osobowych graczy
- Obstawianie u legalnych bukmacherów jest bezpieczne, więc graczom nie grozi utrata pieniędzy ani ujawnienie danych osobowych osobom nieuprawnionym podmiotom