GDPR a ochrana dat hráčů v hazardním průmyslu
Hazardní průmysl operuje s citlivými údaji hráčů, které jsou častým terčem kybernetických útoků. Provozovatelé sázkových her musí v roce 2026 splňovat přísné požadavky GDPR, AML i zákona o hazardních hrách. Selhání v zabezpečení dat může znamenat likvidační pokuty i ztrátu licence. Tento článek shrnuje hlavní rizika a povinnosti při správě dat v hazardu.
Obsah článku
Shrnutí v bodech
- Citlivost dat: Provozovatelé hazardu zpracovávají zvláštní kategorie osobních údajů, jako jsou údaje o chování, potenciální závislosti či finanční stabilitě, které vyžadují nejvyšší standard zabezpečení.
- Drakonické sankce: Pokuta za porušení GDPR může dosáhnout až 20 milionů EUR nebo 4 % celosvětového ročního obratu, což je výrazně více než pokuty podle zákona o hazardních hrách.
- Kritická místa: Provozovatelé často podceňují právní titul pro profilování hráčů, informační povinnosti a zabezpečení při předávání dat partnerům, jako jsou platební brány či marketing.
- RVO a prevence: a nástroje pro sebeomezení jsou regulatorní povinnosti, které generují specifická data, jejichž únik může způsobit hráčům vážnou újmu.
- Role advokátů: Právníci z ARROWS advokátní kanceláře zajišťují audit compliance, nastavují smlouvy se zpracovateli, zastupují při kontrolách ÚOOÚ či Celní správy a řeší bezpečnostní incidenty.
Proč je GDPR a ochrana dat v hazardu zásadní téma
Hazardní průmysl v Česku funguje na základě povolení vydávaného Ministerstvem financí. Toto povolení je podmíněno splněním řady přísných regulatorních požadavků a ochrana osobních údajů hráčů je jedním z klíčových pilířů.
Kombinace těchto úrovní regulace vytváří specifické právní prostředí. Na jedné straně stojí obecné povinnosti GDPR, na straně druhé speciální povinnosti ze zákona o hazardních hrách a AML zákona.
Čeho se provozovatelé nejčastěji obávají? Pokut a reputačního rizika. Úřad pro ochranu osobních údajů (ÚOOÚ) sankcionuje porušení GDPR systematicky a s ohledem na obrat skupiny. Pokuta za závažné porušení, například za únik dat hráčů, dosahuje dle čl. 83 GDPR až 20 milionů EUR nebo 4 % celosvětového ročního obratu.
Jaká data v hazardu jsou nejcitlivější a proč
Provozovatel hazardních her sbírá a zpracovává údaje tří základních typů. Prvním typem jsou identifikační a ověřovací údaje (KYC). Jde o jméno, rodné číslo, datum narození, adresu nebo údaje o bankovním účtu.
Tyto údaje jsou nezbytné pro registraci hráče, ověření totožnosti a věku a pro prevenci praní špinavých peněz.
Druhým typem jsou finanční a behaviorální údaje. Patří sem výše vkladů, historie sázek, typy preferovaných her nebo IP adresy. Ačkoliv nejde automaticky o zvláštní kategorii dle GDPR, jejich kombinací vzniká detailní profil osobnosti a finanční situace hráče.
Pokud provozovatel eviduje údaje, z nichž lze vyvodit patologické hráčství, jedná se o údaje o zdravotním stavu, což je zvláštní kategorie osobních údajů.
Zpracování těchto údajů o riziku problémového hraní je obecně zakázáno, pokud neexistuje výjimka. Takovou výjimkou může být plnění právní povinnosti v oblasti sociální ochrany nebo podstatný veřejný zájem.
Právní titul a souhlas
Kde provozovatelé nejčastěji chybují? Mnoho z nich podceňuje nutnost správného určení právního titulu pro jednotlivé operace s daty.
Mnoho provozovatelů se mylně domnívá, že sběr a zpracování dat hráčů je plně oprávněno samotným povolením k provozu.
GDPR vyžaduje pro každý účel zpracování specifický právní titul. U identifikačních údajů a AML kontroly jde o plnění právní povinnosti. Provozovatel sbírá jméno a rodné číslo na základě zákona.
V tomto případě nesmíte vyžadovat souhlas hráče, protože by byl neplatný.
U behaviorálních dat pro marketing je situace odlišná. Pokud analyzujete chování hráče pro personalizaci nabídky, zákon vám to zpravidla nepřikazuje. Zde je právním titulem buď oprávněný zájem pro základní analýzy, nebo souhlas pro pokročilé profilování.
Ověřování, zda je hráč zapsán v Rejstříku vyloučených osob (RVO), je plněním právní povinnosti.
Provozovatel se musí dálkovým přístupem dotázat Ministerstva financí. Samotná interní detekce rizikového chování nad rámec zákona však může vyžadovat pečlivé posouzení.
Typické riziko vzniká, když provozovatel sbírá o "rizikových" hráčích údaje značně nad rámec nezbytnosti, například lustrací na sociálních sítích. ÚOOÚ to může kvalifikovat jako porušení zásady minimalizace údajů.
Související dotazy
1. Potřebujeme od hráče souhlas k ověření v RVO (Rejstřík vyloučených osob)?
Ne. Ověření v RVO je zákonnou povinností provozovatele (§ 17 zákona o hazardních hrách). Souhlas hráče není vyžadován a ani by nebyl platným právním titulem.
2. Máme data ze třetích zemí. Platí na ně GDPR?
Ano. Pokud provozovatel nabízí služby hráčům v EU nebo monitoruje jejich chování, vztahuje se na něj GDPR bez ohledu na sídlo provozovatele (princip extrateritoriality dle čl. 3 GDPR).
3. Můžeme behaviorální data prodávat třetím stranám?
Prodej dat (např. marketingovým agenturám) je vysoce rizikový. Je možný pouze pokud: (a) máte výslovný a informovaný souhlas hráče s předáním konkrétní třetí straně, (b) subjekt dat byl o tomto poučen. Bez souhlasu jde o závažné porušení GDPR.
Bezpečnost, předávání dat a rizika třetích stran
Provozovatel hazardních her data sdílí s řadou subjektů, jako jsou poskytovatelé platebních služeb, dodavatelé herních platforem nebo marketingové agentury.
Vztah s komerčními partnery je vztahem správce – zpracovatel a zákon nařizuje uzavřít písemnou zpracovatelskou smlouvu.
Tato smlouva musí obsahovat povinnost mlčenlivosti, garanci bezpečnostních opatření a povinnost hlásit incidenty. Správce si v ní rovněž musí vymínit právo na audit u zpracovatele.
Pokud nejsou splněny podmínky pro předávání dat do třetích zemí, jedná se o nelegální transfer dat.
To se týká například využívání cloudových služeb nebo analytických nástrojů se servery mimo EU/EHP. Provozovatelé musí dbát na to, aby využívané mechanismy, jako je Data Privacy Framework, byly platné.
NIS2 a kybernetická bezpečnost
Od roku 2025/2026 dopadá na řadu větších provozovatelů hazardních her také nový zákon o kybernetické bezpečnosti, který implementuje směrnici NIS2.
Provozovatelé mohou spadat do kategorie "důležitých" nebo "základních" subjektů. To znamená povinnost hlásit kybernetické incidenty nejen ÚOOÚ, ale i NÚKIB, a zavést pokročilá technická opatření.
Práva subjektů údajů a specifika hazardu
Hráči mají dle GDPR silná práva, jejichž uplatnění v hazardu naráží na limity dané zákonem. Častým bodem sporu je právo na výmaz (být zapomenut) v kontrastu s AML povinnostmi.
Identifikační údaje a údaje o transakcích musí dle AML zákona uchovávat po dobu 10 let od ukončení obchodního vztahu.
Provozovatel tedy nesmí smazat vše. Správná odpověď hráči je klíčová: "Smažeme marketingová data, ale transakční historii musíme ze zákona uchovat." Hráč má také právo na přístup, což v praxi znamená povinnost vyexportovat historii sázek a vkladů.
Pokud je rozhodnutí založeno výhradně na automatizovaném zpracování a má pro hráče právní účinky, má hráč právo na lidský přezkum.
Toto právo na námitku proti profilování se uplatní například v situaci, kdy automatizovaný systém zablokuje účet nebo vyhodnotí hráče jako rizikového bez lidského zásahu.
RVO a sebeomezení: Specifické povinnosti
Zákon o hazardních hrách zavedl Rejstřík vyloučených osob (RVO). Jedná se o neveřejný informační systém veřejné správy, který spravuje Ministerstvo financí.
Provozovatel má povinnost při registraci a následně při každém přihlášení ověřit, zda hráč není v RVO. Pokud v něm hráč figuruje, nesmí mu provozovatel umožnit účast na hře.
Z hlediska GDPR je klíčové, že provozovatel do RVO přímo nezapisuje, ale pouze čte stav.
Zápis provádí Ministerstvo financí na žádost hráče nebo z moci úřední. Existuje ale i sebeomezení u provozovatele, kdy si hráč nastaví limity pro sázky či prohry. Tyto údaje musí provozovatel chránit a nesmí je využít k marketingu.
|
Rizika a sankce |
Jak pomáhá ARROWS (office@arws.cz) |
|
Nedostatečný právní titul pro marketing: Provozovatel posílá nabídky bez platného souhlasu nebo oprávněného zájmu. |
Audit procesů získávání souhlasů, revize textací "checkboxů" a nastavení oprávněného zájmu dle judikatury. |
|
Chybějící smlouvy (DPA) s dodavateli: Provozovatel nemá ošetřeno předávání dat dodavateli platformy nebo marketingu. |
Příprava a revize zpracovatelských smluv, nastavení odpovědnosti za únik dat u dodavatele. |
|
Konflikt "Výmaz vs. AML": Provozovatel neví, co smazat a co nechat, když hráč uplatní právo na výmaz. |
Vypracování skartačního řádu a vzorových odpovědí pro hráče, které respektují GDPR i AML zákon (10 let archivace). |
|
Pozdní hlášení incidentu: Únik dat nebyl nahlášen ÚOOÚ do 72 hodin. |
Krizový management, právní zastoupení před ÚOOÚ, minimalizace pokuty a reputačních škod. |
|
Netransparentní Privacy Policy: Informace o zpracování dat jsou pro hráče nesrozumitelné nebo neúplné. |
Sepis srozumitelných Zásad ochrany osobních údajů na míru hazardnímu provozu. |
Regulatorní hledisko: Co kontroluje ÚOOÚ a Ministerstvo financí
Dozor je v ČR dělený mezi několik institucí. Úřad pro ochranu osobních údajů (ÚOOÚ) kontroluje primárně dodržování GDPR.
Zaměřuje se na bezpečnost dat, legalitu zpracování, cookies lišty a vyřizování žádostí hráčů.
Ministerstvo financí a Celní správa kontrolují dodržování zákona o hazardních hrách. Soustředí se na funkčnost ověřování v RVO, nastavení sebeomezujících opatření a dodržování zákazu hry pro nezletilé.
Finanční analytický úřad kontroluje dodržování AML zákona, zejména identifikaci a kontrolu klienta.
Tento úřad, známý jako FAÚ, dbá také na správnou archivaci dat po dobu 10 let. Všechny tyto kontroly se úzce dotýkají práce s daty a jejich zabezpečení.
Praktické kroky: Jak bezpečně implementovat pravidla
Pro dosažení souladu v roce 2026 doporučujeme provést následující kroky:
- Datový audit: Zmapujte toky dat. Víte přesně, kde končí data hráčů a zda máte přehled o všech cloudových službách?
- Revidujte DPA smlouvy: Ujistěte se, že s každým dodavatelem IT a marketingu máte platnou zpracovatelskou smlouvu.
- Aktualizujte Informační povinnost: Zkontrolujte, zda vaše Zásady ochrany osobních údajů (Privacy Policy) obsahují informace o RVO, AML lhůtách a automatizovaném rozhodování.
- Školení zaměstnanců: Pracovníci zákaznické podpory musí vědět, jak reagovat na žádost o výmaz, a nesmí slíbit smazání dat, která podléhají AML archivaci.
- Incident Response Plan: Mějte připravený scénář pro případ úniku dat, včetně toho, komu volat a kdo hlásí incident na ÚOOÚ či NÚKIB.
FAQ
1. Stačí mít na webu jen "Obchodní podmínky"?
Ne. Musíte mít samostatný dokument „Zásady ochrany osobních údajů“ (Privacy Policy), který splňuje požadavky čl. 13 a 14 GDPR. Musí být oddělený od obchodních podmínek a hráč jej musí mít k dispozici při registraci. Právníci z ARROWS vám dokument připraví na míru. Napište na office@arws.cz.
2. Jaké bezpečnostní standardy musíme splnit?
GDPR vyžaduje „přiměřená opatření“. V hazardu to de facto znamená šifrování databáze, pseudonymizaci, silné řízení přístupů a logování aktivit. Pokud spadáte pod zákon o kybernetické bezpečnosti (NIS2), požadavky jsou ještě přísnější (včetně auditu). Kontaktujte office@arws.cz pro konzultaci s IT právníky.
3. Musíme jmenovat Pověřence pro ochranu osobních údajů (DPO)?
Pravděpodobně ano. Povinnost jmenovat Pověřence pro ochranu osobních údajů (DPO) vzniká, pokud hlavní činností správce je rozsáhlé pravidelné a systematické monitorování subjektů údajů nebo rozsáhlé zpracování zvláštních kategorií dat. Hazardní operátoři, kteří profilují hráče a zpracovávají velké objemy dat, tuto definici zpravidla naplňují.
4. Jak postupujeme, když zjistíme bezpečnostní incident?
Máte striktní lhůtu 72 hodin od okamžiku zjištění incidentu k nahlášení ÚOOÚ (pokud je riziko pro práva osob). Pokud je riziko vysoké (např. únik hesel nebo finančních dat), musíte informovat i samotné hráče.
5. Může nás kontrolovat i někdo jiný než ÚOOÚ?
Ano. V oblasti AML vás může kontrolovat FAÚ a Celní správa. V oblasti kyberbezpečnosti NÚKIB (pokud jste regulovaný subjekt). Všechny tyto kontroly se dotýkají práce s daty. ARROWS advokátní kancelář vás v těchto řízeních zastoupí. Kontaktujte office@arws.cz.
Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.
Čtěte také
- Ověřování identity hráčů online hazardních her: Právní požadavky a technická řešení
- Geo-blocking a jurisdikce hazardních her: Kdy a proč je nutný
- Legal memo pro Meta: Jak získat povolení k reklamě na sázkové poradenství na Facebooku?
- SaaS platforma v EU: Právní ošetření VOP, GDPR a licenčních ujednání pro AI výstupy
- Online tržiště (peer-to-peer): AML rizika provozovatelů a jak se bránit
- GDPR
- Hazard a loterie
- Zajištění legislativní shody pro online podílové investice
- Právníci z ARROWS pomohli propojit svět technologií a obchodu
- IT A SOFTWAROVÉ PRÁVO, KYBERBEZPEČNOST