Den 25. maj træder den nye persondataforordning i kraft, men hvad betyder de nye regler for dig som kunde hos en bookmaker? Jurist Kevin Toftegaard giver her et indblik i de væsentligste rettigheder, man som kunde har hos en spiludbyder.

De sidste par uger har mange oplevet at få ekstra mange e-mails fra forskellige typer virksomheder som fx Facebook og Twitter, spiludbydere og hjemmesider, man har glemt, at man overhovedet at have brugt. Disse e-mails har alle lydt noget i stil med: "Dit privatliv er meget vigtigt for os … bla bla … Vi har opdateret vores privatlivsvilkår….”. Dette skyldes alt sammen de nye databeskyttelsesregler, som fra den 25. maj afløser den nuværende persondatalov.

Lad det være sagt med det samme: Jeg kommer ikke her med nogle endegyldige svar, da den nye persondataforordning er meget kompleks. Selv blandt erfarne advokater er der stor uenighed, og kun tiden vil vise, hvordan reglerne bør tolkes.

Dette skriv er altså mine fortolkninger af forordningen.  Min erfaring med persondataforordningen kommer fra de sidste fem måneder, hvor jeg som erhvervsjurist har rådgivet små virksomheder i netop dette emne. Derudover er jeg også eSportsekspert her hos BetXpert.

Hvad er den nye persondatafordning?

Persondataforordningen er et nyt regelsæt, som alle virksomheder, organisationer og offentlige myndigheder, der behandler personoplysninger, skal overholde. De nye regler er kommet til på baggrund af globaliseringen og den hastige teknologiske udvikling, der har skabt udfordringer i forhold til beskyttelse af personoplysninger.

Persondataforordningen skal sikre en effektiv håndhævelse af dataregler, og det skal være med til at skabe tillid blandt forbrugere, så den digitale økonomi kan udvikle sig på det indre marked i EU. Forordningen bygger på nogle grundlæggende principper, som medfører, at hvert individ har en række rettigheder, hvor personoplysninger skal beskyttes mod uberettiget behandling. Principperne er kendt fra de gamle regler, men som noget nyt skal de dataansvarlige kunne dokumentere, at reglerne overholdes - den såkaldte ansvarlighed. De andre principper er blandt andet, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde. Yderligere skal behandlingen begrænses til legitime formål, som udtrykkeligt er angivet, og oplysningerne skal være begrænset til, hvad der er nødvendigt i forhold til formålene.

Dette skulle gerne betyde, at forbrugeren er klar over, hvilke af deres personoplysninger, der indsamles, anvendes, tilgås, eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles, eller vil blive behandlet.

Sagt på en anden måde; Fysiske personer bør have kontrol over deres personoplysninger, og som følge af disse regler bør sikkerheden både retligt og praktisk styrkes. Efter den 25. maj bør der derfor ikke være nogen tvivl om, hvad spiludbyderen bruger dine personoplysninger til, og hvem de deler dem med. Med forordningen får du som forbruger også tildelt en række rettigheder, som kan påberåbes over for spiludbyderen. Af de mere relevante kan nævnes forbrugerens ret til sletning, den dataansvarliges underretningspligt, ret til indsigelse og retten til at få spiludbyderens bekræftelse på, hvilke personoplysninger, der behandles.

Retten til at blive glemt

Reglen, som har fået mest opmærksom her i BetXperts foum, er artikel 17 i databeskyttelsesforordningen, der omhandler retten til at blive glemt ("ret til sletning"). Retten til at blive glemt er ikke nogen nyskabelse i databeskyttelsesreglerne - den fandtes også i det nugældende databeskyttelsesdirektiv (persondataloven). Det fik blandt andet omtale i 2014, hvor EU-domstolen afsagde dom imod Google, der blev forpligtet til fra den resultatliste, der vises efter en søgning på en persons navn, at fjerne link til hjemmesider, som er offentliggjort af tredjemand. Det er værd at bemærke, at disse oplysninger ikke blev slettet, men kun links fra Googles søgemaskine blev slettet.

I betænkningen til forordningen anføres det, at reglen, som den er anført i forordningen, uddyber og præciserer retten til sletning, som den fandtes i det gamle persondatadirektiv, og altså ikke giver flere rettigheder end de gamle regler. Professor og forsker i persondataret Peter Blume siger, at artikel 17 ikke er så banebrydende, som det blev tilkendegivet ved fremlæggelsen af EU-Kommissionens forslag i 2012.

Ud fra ordlyden kan man fejlagtigt få den idé, at man altid har ret til at få ens personoplysninger slettet hos den dataansvarlige. Dette er dog langt fra tilfældet. Retten til at blive glemt omfatter ikke enhver personoplysning, men kun bestemt angivne oplysninger og behandlingssituationer, ifølge Peter Blume. Der er derfor ikke tale om en generel virkende rettighed, men artikel 17 indeholder egentlig blot en opremsning af situationer, hvor den dataansvarlige er forpligtet til at slette oplysningerne, medmindre undtagelserne i artiklen finder anvendelse. Af artiklen fremgår det, at den dataansvarlige (spiludbyderen) blandt andet har pligt til at slette dine personoplysninger i følgende situationer:

  • Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet.
  • Spiludbyderens behandling beror på samtykke, og dette trækkes tilbage.
  • Hvis spiludbyderen ikke har legitime grunde til behandlingen, som går forud for brugerens ønske om sletning.

Undtagelsen hertil fremgår af sidste del af artikel 17. Den siger, at bestemmelsen ikke gælder, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, eller for at udføre en opgave i samfundets interesse.

Kan man få slettet sine limits eller få nye velkomstbonusser?

Det interessante ved retten til at blive glemt er, om den medfører: 1) Kan folk med limits blive glemt og derefter starte på en frisk? 2) Har bonusjægere frit spil?

Spiludbyderen har først og fremmest retlige forpligtelser, herunder hvidvaskloven og i forhold til matchfixing. Dette medfører, at spiludbyderen skal gemme oplysninger i 5 år efter transaktionens gennemførelse. Retten til at blive glemt i dette tidsrum er altså udelukket. Mere interessant bliver det efter denne periode, hvor spiludbyderen ikke længere har en retlig forpligtelse til at gemme dine personoplysninger, men opbevarer dem for egne formål.

For at forstå, hvad "retten til at blive glemt" omfatter, er det værd at overveje, hvad der har været lovgivers hensigt med bestemmelsem. Peter Blume siger, at bestemmelsen grundlæggende er betinget af den omstændighed, at det med den moderne informationsteknologi tidsubegrænset er muligt at opbevare og tilgængeliggøre personoplysninger. Oplysningerne forsvinder ikke af sig selv, og de er i mange tilfælde lette at finde. Bestemmelsen har haft til hensigt at sikre den registrerede en mulighed for at blive glemt, hvis oplysingerne er gjort offentlig. Se eksempelvis dommen mod Google, hvor virksomheden blev pålagt at fjerne oplysninger fra deres søgemaskine, mens oplysningerne stadig kunne findes direkte på hjemmesiden, hvor informationen var publiceret.  Spiludbydere deler ikke dine oplysninger med offentligheden, og din spilhistorik vil eksempelvis ikke kunne findes ved en Google-søgning, men de oplysinger opbevares derimod fortroligt hos spiludbyderen. 

I alle tilfælde vil det være en konkret vurdering i forhold til personen og den enkelte spiludbyder, om man kan påråbe sig retten til at blive glemt. Det vil blive en vurdering, om spiludbyderen har legitime grunde til den videre behandling og opbevaring af dine personoplysninger vurderet mod brugerens ønske om sletning. Spørgsmålet bliver derfor, om spiludbyderen har legitime grunde til at gemme personoplysninger på tidligere og nuværende kunder? Spiludbyderen har en interesse i at holde styr på, hvem de har uddelt bonusser til og sikre en effektiv drift af deres forretning ved eksempelvis at limitere kunder. Denne interesse knytter sig til selve driften af bookmakervirksomhed, og man kan spørge sig selv, om spiludbyderen ikke skal have mulighed for at drive sin virksomhed på den bedst mulige måde?

Et argument, som taler for sletning, er følsomheden af personoplysningerne, som spiludbyderen opbevarer. Oplysningerne omfatter kundens økonomiske forhold, såsom væddemålshistorik samt ind- og udbetalinger. Et eventuel databrud kan få store konsekvenser for de berørte. Forestil dig, at det blev offentligkendt, at din bankrådgiver kastede flere tusinde kroner efter kasino eller sportsbetting hver måned. Oplysninger om økonomi anses som nogle af de mest private oplysninger. Undersøgelser viser, at godt 50% hellere vil have afsløret nøgenfotos af dem selv end deres finansielle data (kilde: Gry Hasselbalch & Pernille Tranberg – Dataetik – Den nye konkurrencefordel. Publishare/Spintype, side 41).

Når alt kommer til alt, så har jeg svært ved at se kunden komme vindende ud af denne situation. Hvis man generelt kigger på den danske indsats - eller nærmere mangel på indsats - imod spiludbyderens og deres urimelige praksis i forhold til limits og udelukkelse, så virker det, som om spiludbyderen allerede er foran på point. Afslutningsvis citerer jeg lige Peter Blume igen: "Bestemmelsen (retten til at blive glemt) kan minde om kejserens nye klæder. Der sejles under falsk flag, og der er reelt ikke nogen ret til at blive glemt."

Kan man se om væddemål xx udløste limits?

Når spiludbyderen indsamler oplysninger, skal denne gøre sig klart, hvilke formål oplysningerne indsamles til - og det skal være saglige formål. Spiludbyderen kan derfor ikke indsamle oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at være i besiddelse af oplysningerne. Det skal vurderes ud fra, om indsamlingen sker i forbindelse med løsning af en opgave, som det er naturligt for virksomheden at løse.

Spiludbyderen har som dataansvarlig en oplysningspligt, som udmønter sig i artikel 13. Her fastslås det, at spiludbyderen skal oplyse om formålene med behandlingen, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen. Meningen med denne oplysningspligt er, at forbrugeren kan varetage sine interesser. Det er derfor også min opfattelse, at når man læser spiludbyderens opdaterede privatlivsvilkår, så skal det fremgå, at de kan behandle dine personoplysninger til fx at give limits. Det vil ikke være nok, at gemme det væk under termer som "håndtere kundeforhold". Det er i hvert fald ikke særligt gennemskueligt for mig som forbruger, hvad mine personoplysninger præcist bliver brugt til. Oplysningspligten medfører naturligvis ikke, at spiludbyderen skal oplyse forretningshemmeligheder eller andre følsomme oplysninger.

Jeg kan kun anbefale personer, som bliver begrænset af en spiludbyder efter den 25. maj, at benytte de rettigheder man får ifølge forordningen og søge indsigt i behandlingen. Hvis spiludbyderne ikke ønsker at give disse informationer, kan man altid overveje at benytte sin ret til at klage til Datatilsynet.

Automatiske afgørelser

En regel fra den nye persondataforordning, som jeg finder interessant i forhold til spiludbyderens limiteringspolitik, er artikel 22. Bestemmelsen tager sigte på den situation, hvor den dataansvarlige træffer en afgørelse i forhold til forbrugeren på et fuldt ud automatiseret grundlag. Helt konkret siger bestemmelsen, at forbrugeren har ret til ikke at være genstand for afgørelser, der alene er baseret på automatiske individuelle afgørelser, herunder profilering. Det er vigtigt at understrege, at min viden omkring spiludbyderens limiteringsproces er begrænset, men jeg har forudsat, at det sker på baggrund af en behandling af personoplysninger i eksempelvis et IT-system. Jeg kunne i hvert fald ikke forestille mig, at limit uddeles på baggrund af manuelt arbejde.

Virkningen af bestemmelsen gør, at enhver person har ret til ikke at blive udsat for en afgørelse med retsvirkning eller tilsvarende betydning for den pågældende, når denne afgørelse udelukkende er baseret på automatiseret databehandling, herunder når formålet er at vurdere personen på grundlag af en profilering. Den proces, som spiludbyderen udfører, synes jeg passer meget godt ned i denne bestemmelse, hvor de på baggrund af kundens væddemålshistorik laver en profilering af kunden, hvorved det afgøres, om personen er en god eller dårlig kunde.

Bestemmelsen gælder ikke, når afgørelsen er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem spiludbyderen og kunden, eller hvis kunden har givet spiludbyderen udtrykkeligt samtykke. Det er her vigtigt, at samtykket faktisk er informeret og frivilligt. Spiludbyderen skal i kontraktforhold og ved samtykke træffe foranstaltninger til at beskytte kunden. Spiludbyderen skal også give kunden mulighed for at gøre sine synspunkter gældende, herunder ved at give mulighed for menneskelig kontrol fra spiludbyderens side.

Nødvendighedskriteriet knytter sig til selve indgåelsen eller opfyldelsen af kontrakten. Det må eksempelvis antages at være nødvendigt, at spiludbyderen træffer en automatisk afgørelse på baggrund af informationer fra Registeret Over Frivilligt Udelukkede Spillere (ROFUS). Den automatiske afgørelse skal være nødvendig for at yde brugeren den ydelse, der er indgået aftale om. Hvad kravet om nødvendighed præcist indeholder, må dog nærmere udfyldes og defineres i praksis. Min holdning er dog, at det ikke er nødvendigt for spiludbyderen at foretage automatiske individuelle afgørelser eller profilering af kunderne, før de kan tilbyde typiske bookmakerydelser. Faktisk kan man argumentere for, at bookmakeren leverer ydelsen til nye kunder uden at foretage denne profilering.

Det hedder i bestemmelsen, at den automatiske afgørelse skal have retsvirkning eller tilsvarende betydning for den registrerede. Det betyder eksempelvis, at der skal være tale om en afgørelse, der kan gøres gældende over for kunden, og som har konsekvenser for den pågældende. En automatisk afgørelse, hvor der på baggrund heraf sendes materiale af oplysende karakter, vil ikke udgøre en afgørelse i denne forstand. Spiludbyderens limitering kan i hvert fald siges at påvirke den pågældende, men påvirker det kunden betydeligt, fordi kunden ikke kan placere væddemål hos spiludbyderen?

Det er vigtigt at være skarp på, at behandlingen som omfattes i artikel 22, er den automatiske behandling, hvor personlige forhold evalueres. Det vil eksempelvis ikke være tale om en afgørelse i artikel 22s forstand, såfremt en person  ikke kan hæve et beløb i en pengeautomat. Præambelen til databeskyttelsesforordningen nævner et eksempel, hvor et automatisk afslag på en onlineansøgning om en kredit uden nogen menneskelig indgriben viser, at det kan være en automatisk afgørelse i artikel 22s forstand, selvom der kun behandles oplysninger om vedkommendes personlige forhold i mere begrænset omfang. Det er ikke gennemskueligt for mig, hvordan præcist spiludbyderens proces foregår, men efter min opfattelse så evalueres personlige forhold i forbindelse med limiteringsprocessen, for vil en kunde der placerer 5 og 10 kroners væddemål blive limiteret?

Som jeg startede med at sige, så er det en bestemmelse, jeg finder utrolig interessant i forhold til limits. Det er min opfattelse, at måden, det foregår på i dag, ikke er tilstrækkeligt i forhold til de nye databeskyttelsesregler. Det fremgår meget klart af de nye regler, at der kræves gennemsigtighed, når en dataansvarlig behandler personoplysninger. Når jeg læser spiludbyderens privatlivspolitikker igennem, så synes jeg ikke, at det fremgår klart nok, at mine personlige oplysninger bliver brugt til disse formål, men dækkes nærmere ind under ”håndtere kundeforholdet”. Det skal dog siges, at jeg tvivler på, at spiludbyderen stopper med at uddele limits til deres kunder, men man kan håbe på, at det kommer til at fremgå klart og tydeligt, hvad de helt præcist bruger ens personoplysninger til. Som det er nu, er det i hvert fald uigennemskueligt, og jeg tror, mange kunder slet ikke ved, at spiludbyderen kan finde på at limitere dem.

Kilder:
Peter Blume – Den nye persondataret – Persondataforordningen. Jurist og økonomforbundets forlag
Gry Hasselbalch & Pernille Tranberg – Dataetik – Den nye konkurrencefordel. Publishare/Spintype
Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.