Czy operator może wykrywać uzależnienie od hazardu zgodnie z RODO?

Czy operator może wykrywać uzależnienie od hazardu zgodnie z RODO?

Tak, ale tylko przy właściwej podstawie prawnej, pełnej transparentności i silnych zabezpieczeniach.
Wykrywanie ryzyka uzależnienia od hazardu dotyczy wrażliwych obszarów prywatności. RODO dopuszcza takie działania, lecz wymaga spełnienia zasad legalności, minimalizacji danych, ograniczenia celu, rzetelności, przejrzystości i bezpieczeństwa. Potrzebna jest także ocena skutków dla ochrony danych, szczególnie gdy przetwarzanie jest zautomatyzowane lub obejmuje specjalne kategorie danych. Ważne są jasne informacje dla graczy i realna możliwość skorzystania z praw.

Jak RODO klasyfikuje dane o problemach ze zdrowiem psychicznym?

Dane o zdrowiu psychicznym to specjalna kategoria danych osobowych.
Informacja, że ktoś ma lub może mieć problem z uzależnieniem od hazardu, może ujawniać stan zdrowia psychicznego. Taka informacja podlega surowszym zasadom przetwarzania. Nawet jeśli wnioski wynikają z analizy zachowania, a nie z diagnozy lekarskiej, mogą zostać uznane za dane o zdrowiu. W praktyce lepiej przyjąć ostrożne podejście i traktować takie wnioski jako specjalną kategorię danych.

Czy analiza zachowań gracza to profilowanie pod RODO?

Tak, jeśli służy do oceny ryzyka lub przewidywania zachowań jednostki.
Profilowanie to każde zautomatyzowane przetwarzanie danych osobowych w celu oceny czynników dotyczących osoby. Scoring ryzyka, wykrywanie wzorców grania, przewidywanie prawdopodobieństwa utraty kontroli czy segmentacja graczy to profilowanie. Jeśli na podstawie profilu podejmujesz automatyczne decyzje z istotnymi skutkami, może to być zautomatyzowane podejmowanie decyzji wymagające dodatkowych zabezpieczeń i prawa do interwencji człowieka.

Na jakiej podstawie prawnej operator może przetwarzać dane w tym celu?

Najczęściej: obowiązek prawny lub prawnie uzasadniony interes, a przy danych o zdrowiu dodatkowo wyraźna zgoda albo wyraźna podstawa w prawie.
Możliwe podstawy z art. 6 RODO to w szczególności prawnie uzasadniony interes lub obowiązek prawny, np. gdy prawo krajowe wymaga działań „odpowiedzialnej gry”. Jeśli przetwarzanie ujawnia lub zakłada dane o zdrowiu psychicznym, potrzebna jest podstawa z art. 9. W praktyce najczęstsze opcje to wyraźna zgoda osoby lub wyraźna podstawa w przepisach pozwalających na przetwarzanie takich danych w ważnym interesie publicznym. Samo wykonywanie umowy rzadko wystarczy, bo wykrywanie ryzyka zwykle wykracza poza niezbędność dla świadczenia usługi.

Jak pogodzić wykrywanie ryzyka z obowiązkami informacyjnymi?

Zapewnij przejrzystość i „znaczącą informację” o logice profilowania oraz jego skutkach.
Gracz powinien wiedzieć, że jego dane są analizowane w celu wykrycia ryzyka uzależnienia od hazardu. W polityce prywatności wyjaśnij cele, podstawy prawne, kategorie danych, czas przechowywania, odbiorców, prawa osoby oraz czy zachodzi profilowanie i automatyczne decyzje. Dobrą praktyką są warstwowe komunikaty i krótkie, zrozumiałe wyjaśnienia w aplikacji. Jeśli stosujesz automatyczne ograniczenia, opisz możliwe konsekwencje i podaj prostą ścieżkę odwołania do człowieka.

Jak ograniczyć ryzyko naruszeń przy monitoringu gry online?

Projektuj proces zgodnie z zasadą prywatności w fazie projektowania i domyślnie.

• Wykonaj ocenę skutków dla ochrony danych i w razie potrzeby wprowadź dodatkowe środki kontrolne.
• Minimalizuj zakres danych. Ustal krótki i uzasadniony czas przechowywania sygnałów ryzyka.
• Oddziel scoring ryzyka od pełnego profilu marketingowego. Unikaj łączenia z danymi zewnętrznymi bez podstawy prawnej.
• Stosuj pseudonimizację, szyfrowanie, kontrolę dostępu i szczegółowe rejestrowanie operacji.
• Zapewnij nadzór człowieka przed zastosowaniem dotkliwych ograniczeń.
• Testuj modele pod kątem błędów, stronniczości i stabilności. Dokumentuj progi i uzasadnienia.
• Zawrzyj umowy powierzenia z dostawcami i sprawdź transfery poza Europejski Obszar Gospodarczy.
• Ułatw realizację praw osób, w tym sprzeciwu wobec profilowania, dostępu do danych i ich sprostowania.

Czy zgoda gracza wystarczy do wykrywania problemu hazardowego?

Zwykle nie wystarczy sama zgoda z art. 6. Potrzebna jest też wyraźna zgoda na przetwarzanie danych o zdrowiu lub inna wyraźna podstawa z art. 9.
Zgoda musi być dobrowolna, konkretna, świadoma i możliwa do wycofania bez negatywnych skutków. Nie może być warunkiem korzystania z usługi, jeśli przetwarzanie nie jest absolutnie niezbędne. W praktyce lepiej oprzeć działania na wyraźnym obowiązku prawnym w przepisach sektorowych, jeśli takie istnieją. Gdy opierasz się na zgodzie, przygotuj jasny komunikat, opcję wycofania i proces usuwania danych po wycofaniu.

Co zrobić, gdy operator zauważy sygnały uzależnienia od hazardu?

Reaguj proporcjonalnie, transparentnie i z udziałem człowieka.

• Powiadom gracza w aplikacji o wykrytych sygnałach i wyjaśnij, co to oznacza.
• Zaproponuj natychmiastowe narzędzia ograniczenia szkód, np. limity, okresy przerwy, samowykluczenie.
• Zapewnij kontakt z obsługą i możliwość rozmowy z przeszkolonym pracownikiem przed nałożeniem dotkliwych ograniczeń.
• W poważnych przypadkach rozważ tymczasowe środki ostrożności z możliwością odwołania.
• Nie etykietuj gracza jako „uzależnionego”. Odnoś się do ryzyka i bezpieczeństwa gry.
• Dokumentuj decyzje i ich uzasadnienie. Umożliwiaj wgląd w dane i wyjaśnij prawa.