hvad vil GDPR betyde for igaming industrien?

GDPR – hvad er det, og hvad vil det betyde for igaming industrien?

Vi lever i en tidsalder hvor vejen gennem livet foregår online, og hvor vores færden i den digitale infrastruktur er forbundet med konstante udfordringer og store risici. Vores personlige oplysninger bliver i dag betragtet som en enorm værdifuld handelsvare, og efterspørgslen på online privatliv og sikkerhed har aldrig været mere i fokus end det er i dag. Som et led i EU's planer om et fælles digitalt marked, hvilket åbner op for medlemslandenes digitale grænser, indføres den såkaldte GDPR databeskyttelses-lovgivning den 25. maj 2018, hvilket skal sikre vores personlige oplysninger i et samlet online system. Men hvad indebærer GDPR lovgivningen egentlig? Hvilke rettigheder får vi som private personer på internettet, og hvilken betydning får det for alle databehandlende virksomheder? Igaming industrien er om nogen en industri som behandler personlige data, og spørgsmålet er hvad indførelsen af GDPR vil have for industrien og online casinoer. I denne artikel kan du læse om hovedpunkterne om den nye GDPR lovgivning, hvilke rettigheder man vil have som privatperson efter den 25. maj, og hvad vi kan forvente af forandringer i den online casino industri.

GDPR – hvad er det?

GDPR er en forkortelse for ”General Data Protection Regulation”, og er den nye persondata lovgivning, som træder i kraft i EU den 25. maj 2018. Kort sagt handler GDPR om beskyttelse af alle vores personlige oplysninger såsom vores navn, telefonnummer, CPR-nummer, adresse, kreditkort oplysninger – ja i bund og grund alle personlige oplysninger som deles på internettet af den ene eller anden grund. Ifølge GDPR defineres personlig data som enhver form for information som relateres til en person, hvilket også gælder oplysninger om lokation og IP-adresse. Der skelnes ikke mellem personlige oplysninger i en privat, offentlig eller arbejdsmæssig rolle.

Kernen i den nye GDPR lovgivning handler om at beskytte alle disse oplysninger, og om hvordan man undgår, at sensitive oplysninger som virksomheder har indsamlet om sine kunder, klienter eller medarbejdere, ikke ender i de forkerte hænder. Hele idéen med den nye GDPR lovgivning er, at man vil sikre, at alle virksomheder kun indsamler, behandler og lagrer persondata ud fra et lovligt formål og under strenge betingelser. Alle virksomheder eller organisationer, som på den ene eller anden måde behandler personlige informationer, vil derfor med GDPR lovgivningen blive underlagt særlige krav om beskyttelse af data, og hvordan de skal håndteres. 

Digital Single Market – et samlet digitalt marked

Indtil nu, har EU’s borgere og virksomheder ofte mødt barrierer ved brug af online værktøjer og tjenester, da det digitale marked er individuelt opdelt med forskellige regelsæt. Disse barrierer betyder, at forbrugere har begrænset adgang til visse serviceydelser og varer, og virksomheder har derfor ikke mulighed for at udnytte de muligheder det digitaliserede marked giver. Et skøn fra EU siger, at det kun er omkring 7% af EU’s små- og mellemstore virksomheder, som handler over grænserne. Idéen med Digital Single Market er at harmonisere EU landes individuelle digitale markeder til ét fælles marked, og på den måde åbne op for nye muligheder for både virksomheder og forbrugere. EU har vurderet, at det på årlig basis vil kunne give op mod 415 billioner til EU’s fælles økonomi, og dermed skabe tusindvis af nye arbejdspladser. Der er dermed ingen tvivl om, at et fælles online marked, vil for mange virksomheder være en stor fordel i den fremtidige digitale handel. På grund af denne opbrydning af de individuelle regelsæt og barriererne i EU, har vi derfor også brug for et fællesregelsæt. GDPR er et led i Digital Single Market.


GDPR træder i kraft den 25 maj 2018

Hvilke rettigheder og forholdsregler vil GDPR medføre?

Uanset hvilken aktivitet på internettet der er tale om, vil indførelsen af GDPR sikre alle personer rettigheder omkring registrerede personlige data og videre behandling af disse. Rettighederne og retningslinjerne for dataopbevaring skal sikre en langt mere transparent behandling og opbevaring af data end tidligere. GDPR giver personer følgende rettigheder.

1. Skal give samtykke

Med mindre en person frivilligt har givet specifik, informeret og entydigt samtykke, må virksomheder ikke behandle personlige data.

2. Retten til adgang

Personer har ret til at få adgang til personlige data, og efterfølgende blive informeret om, hvordan virksomheden/organisationen bruger deres data. Hvis en person beder om det, skal en virksomhed aflevere en kopi af personlige data.

3. Retten til slettelse af oplysninger

En person har ret til at få sine oplysninger slettet, hvis personen ikke længere er kunde, eller blot tilbagekalder sit samtykke til, at virksomheden må behandle de personlige oplysninger.

4. Ret til dataoverførsel

En person har ret til at bede om overførsel af data fra en given serviceudbyder til en anden. Dette skal ske i et almindeligt brugt format.

5. Informering

Før indsamling af data, er det nødvendigt at en person aktivt tilvælger, at deres data må bruges, før en virksomhed må indsamle enhver form for personlig data. Samtykke skal gives frivilligt, og må ikke være underforstået.

6. Opdatering af oplysninger

Ved forældelse, utilstrækkelig eller forkerte data har en person ret til at få oplysninger opdateret.

7. Begrænsning af data

Personer har mulighed for at forbyde brug af personlig data. Data kan opbevares men ikke anvendes.

8. Retten til indsigelse

Så snart en indsigelse mod brug af personlig data modtages af en virksomhed, skal enhver form for personlig data fjernes fra brug til markedsføringsformål. Det er desuden nødvendigt, at tydeligt informere om denne regel når kommunikationen med en person indledes.

9. Ret til underrettelse

Ved brud på sikkerheden omkring opbevaring af personlige data, har en person ret til at blive underrettet indenfor 72 timer efter, at bruddet er blevet opdaget.


Det er tydeligt, at det er forbrugeren som vil være i førersædet ved indførelse GDPR lovgivningen, men selvom dette kan tolkes som værende en besværliggørelse og et forsøg på at stoppe handel, så bør GDPR lovgivningen blot ses som en nødvendighed for at beskytte personlige data, og gøre opbevaring og behandling af disse mere transparent fra virksomheder og organisationers side. Databeskyttelsesloven giver forbrugerne flere rettigheder, og det er virksomhedernes ansvar at leve op til denne nye lov.

Uanset om databehandling sker i EU eller ej, gælder GDPR for alle virksomheder og organisationer indenfor EU’s grænser. Hvis en virksomhed tilbyder hvilken som helst given service til borgere i EU, er virksomheden underlagt GDPR’s regelsæt. Det er ikke nødvendigt at virksomheden selv er oprettet i EU. Ydermere skal alle databehandlende virksomheder udpege en ansvarlig for databeskyttelse, som har hovedansvaret for at virksomheden følger GDPR’s regelsæt.

Den nye GDPR lovgivning har vidtrækkende konsekvenser for private og offentlige organisationer og virksomheder, som skal efterleve den efter 25. maj 2018. GDPR lovgivningen er af sådan en kompleksitet, at det højst sandsynligt vil være nødvendigt for mange virksomheder at søge rådgivning hos juridiske- og data compliance eksperter, for at implementere en it infrastruktur som kan efterleve den nye lovs krav. Dette er absolut ikke en lovgivning som bør ignoreres af berørte virksomheder og organisationer. En overtrædelse af loven kan således resultere bøder helt op til 20 millioner Euro, eller 4% af virksomhedens samlede globale indtægt.

Overtrædelse af lovgivningen kan medføre administrative bøder op til 10 millioner Euro eller 2% af den globale årlige omsætning hvis overtrædelsen skyldes følgende punkter:

  • Den dataansvarliges og databehandlerens forpligtelser
  • Certificeringsorganets forpligtelser
  • Kontrolorganets forpligtelser

Overtrædelse af lovgivningen kan medføre administrative bøder op til 20 millioner Euro eller op til 4% af den samlede globale årlige omsætning hvis overtrædelsen skyldes følgende punkter:

  • De grundlæggende principper for behandling af data, herunder betingelserne for samtykke.
  • De registreredes rettigheder
  • Overførsel af personlige data til en modtager i et tredje land eller international organisation.
  • Forpligtelser jævnfør medlemslandenes nationale ret
  • Manglende overholdelse af et påbud om behandling af personlige data.

GDPR og online casinoer

Der var engang hvor det at spille online casino mere eller mindre mindede om det vilde vesten. På et allerede farefuldt internet var reglerne få, og risikoen ved registrering og indbetaling var stor. Det var den gang, og i dag er online casino spil et sikkert online miljø, som for danskeres vedkommende både er sikret med NemID, krav om beskyttelse af personlige data med krypterings værktøjer og ikke mindst de danske online casino reguleringer. Men selvom det at spille online casino kan betragtes som sikkert og uden den store risiko for misbrug af personlige oplysninger, kan den nye GDPR lovgivning i første omgang betragtes som en forbedring af casino spilleres vilkår og rettigheder hos de danske casinoer. 

Online casinoer er åbenlyst en del af den gruppe af virksomheder, som vil være tvunget til at tilpasse sig den nye GDPR lovgivning, pågrund af den store mængde personlige data som indsamles ved registrering af spillerkontoer, ind- og udbetaling af penge og markedsføring. Lovgivningen vil højst sandsynligt vise sig at blive en stor udfordring for alle operatører i branchen. Der vil være en hel del papirarbejde og tilrettelæggelse af fremtidig kommunikation mellem casinoet og casino spilleren. Det er ingen hemmelighed, at internettet er fyldt med online casinoer og samarbejdspartnere (inklusiv Casino24.dk), og dette er både små som store virksomheder.

Ved gennemgang af den kommende GDPR lovgivning og konsekvenserne for virksomheder her af, kan man nemt forestille sig, at lovgivningen både kan have positive og negative konsekvenser for virksomheder. I første omgang vil lovgivningen formentlig betyde flere arbejdspladser hos alle casinoer pågrund af den nye tilrettelæggelse og håndtering af data, men kan man egentlig ikke også forestille sig, at lovgivningen kan medføre negative konsekvenser pågrund af en pludselig svær gennemtrængelig digital markedsføring? Mange virksomheder lever på markedsføring uden klar samtykke fra forbrugere, og i en situation hvor forbrugerne pludselig aktivt skal give samtykke, kan teoretisk set lede til lavere indtjening. Eller hvad? Det er åbenlyst ikke et spørgsmål vi kender svaret på endnu, og hvordan markedet vil reagere må tiden vise. De klogeste casinoer vil formentlig forsøge, at vende en stor udfordring med mange forandringer og store omkostninger til noget positivt, ved at forsøge at markedsføre sig som et GDPR complient firma. I lang tid har kampen om casino spillerne for casinoerne været, hvem kan tilbyde de største og bedste bonusser, og hvem kan tilbyde det største spilsortiment. GDPR kan uden tvivl bruges som en fremtidig markedsføring, og på den måde kan man nemt forestille sig forandringer i styrkeforskellen mellem casinoer. Vil GDPR være en fordel for de største virksomheder? Eller vil det være en åben dør for dem som prøver at klemme sig ind på et allerede overfyldt marked? Enormt meget digitalt markedsføring foregår uden den store transparente tilgang fra virksomheder – en markedsføring som er enorm værdifuld.

Ved gennemgang af de kommende rettigheder for forbrugerne ved indføring af GDPR er det åbenlyst, at stort set alle punkter vil have betydning for casino spillerne. Med det sagt, så er det rettigheder, og ikke nødvendigvis noget alle vil gøre brug af – men mulighederne vil være der, hvilket uden tvivl vil øge tilliden til operatørerne fra casino spillernes side. Indførelsen af GDPR lovgivningen vil betyde, at det vil være nødvendigt for casinoer, at være mere transparente hvad angår indsamling af data. Dette vil formentlig komme til udtryk ved spilleres ønske om registrering af konto. Indtil nu, har det f.eks. ikke været pålagt online casinoer at slette personlige oplysninger, hvis en casino spiller har ønsket at lukke sin spillekonto. 

Tiden må vise, hvad GDPR vil føre med sig i branchen, men én ting er sikkert – vi vil se forandringer på det store online casino marked efter den 25. maj 2018. Her på Casino24 er vi dog sikre på at de danske casinoer er forberedt den nye lovgivning og de nye udfordringer der er vil være forbundet med den.


Casino24.dk