GDPR beyond probabilities and luckGDPR dincolo de probabilități și noroc
General Data Protection Regulation (GDPR) came into force after a period of turmoil, disquiet and uncertainty, flooded by messages about fines, “we updated our privacy policy” or “we need your consent in order to stay in touch after 25th May”.
Interactions among various laws make any attempt to understand new realities impossible by merely reading GDPR text. Here are various other laws GDPR traditionally interacts with:
- legislation emerging from the ePrivacy Directive 2002/58/EC), compelling online gambling companies to take additional measures with regards to protection of personal data;
- anti money laundring legislation arising from AML4 Directive, bringing about several obligations in terms of keeping record of placed bets and reporting such bets under circumstances not always thoroughly clarified;
- Convention 108 for the Protection of Individuals with regard to Automatic Processing of Personal Data, which is relevant to gambling operators who seek to achieve improvement of operational flows use algorithms, automation, artificial intelligence, robotics etc.
Worth noting that GDPR is a recently born law. Many aspects giving rise to debates still require clarifications to be provided via guidance, opinions or case law.
Moreover, at national level we are seeing, on one hand, the coming into force of Law 129/2018 aimed at modifying an completing Law 102/2005 regarding setup, organization and operation of Romanian Data Protection Authority, as well as repealing Law 677/2001, and on the other hand we have the draft law covering matters left by GDPR to be clarified at EU member state level that passed the Parliament voting stage and now pending publication.
Absent any attempt to provide an exhaustive list, below are few important matters we need to consider while taking steps to implement GDPR requirements as gambling company:
- we need to stay open in accepting that some personal data processing may need to undergo change or even stop. We keep seeing National ID Numbers (CNP) on invoices, despite tax law not requiring such sensitive information be collected or provided.
- we need to have full vizibility over operational flows dealing with personal data. Such data may be listed on paper of be stored electronically, processed frequently or occasionally, be it regular or special category personal data (e.g. health data or biometrics). Absent such visibility any steps such as responding to various data subject requests may be compromised.
- we need to document purposes and lawful grounds for processing of each personal data processing case: am I compelled by a law or other legal constraint to process those data? Are such data necessary to fulfill my contractual obligations towards customers and can I pinpoint a bottleneck that would be caused by absence of such data processing? Do I have customer consent, in full observance of validity conditions for consent? Such examples may continue.
- necessity and proportionality of a personal data processing must be assessed in a conservative approach. Once we determined what we need those data for we shall proceed to identify other options to achieve the same purpose in a less invasive or „data grabbing” manner.
Among particularities of gambling industry with respect to obligations brought about by GDPR we may include the following:
- self-limitation or self-exclusion requests entail processing data on gambling addiction about that person. To be specific, in such case the gambling company processes health data which fall under special categories of data requiring additional protection measures.
- in light of cases GDPR exemptions (Art. 23), the gambling company needs to identify situations when there is a lawful ground for legitimate processing exempted from observing data subject rights, e.g. for the purpose of preventing, investigating or detecting criminal offences such as debit/credit card fraud or identity theft.
- when using software that stores data outside EU we need to know where are or will the personal data (on customers, employees etc.) be stored geographycally as we are held accountable for their protection. Lawful transfer of personal data outside the EU can only take place while observing some pre-requisites in terms of ensuring an adequate level of protection.
- we need to capture relationships with our third parties processing personal data in a data processing agreement holding each contractual party (gambling company and third party) accountable as Data Controller or Data Processor. Such documents provide clarity in segregation of contractual liability, which is vital in case of a personal data breach.
- any potential request for deletion of personal data must first be analyzed in terms of identifying the requester and highlighting any lawful grounds that may compel the gambling company to store (hence process) those personal data, such as reporting obligations towards Tax Authority, Gambling Authority or Anti Money Laundring Authority, or legal/tax obligations to store information related to invoicing. We will definitely not comply with a request for deletion regarding data subject to such legal obligations.
Despite GDPR being portrayed as „Cinderella” in a highly competitive business environment constantly under multiple regulatory pressure, we are aware of the need to perform a „general cleanup” of the entire data lanscape about persons we interact with.

Iulian Matache – GDPR
by Iulian MatacheRegulamentul General privind Protecția Datelor (GDPR) a intrat în vigoare după o perioadă de agitație, precipitare și incertitudine, plină de mesaje privind amenzile, “ne-am actualizat politica de confidențialitate” sau “ne trebuie consimțământul tău pentru a putea comunica după 25 mai”.
Interacțiunile între legi fac imposibilă înțelegerea noilor realități prin simpla citire a Regulamentului. Iată câteva dintre actele normative cu care prevederile GDPR interacționează în mod frecvent:
- legislația protecției datelor în sfera comunicațiilor electronice, izvorâtă din Directiva 2002/58/EC), care obligă operatorii de jocuri de noroc online la un set de măsuri suplimentare pentru protejarea datelor cu caracter personal;
- legislația privind prevenirea și combaterea spălării banilor, născută din Directiva AML4, care aduce o serie de obligații în sfera menținerii evidențelor asupra sumelor pariate de jucători și a raportării acestora în anumite condiții pe alocuri vag formulate;
- Convenția 108 privind protejarea persoanelor la procesarea automată a datelor cu caracter personal, relevantă pentru operatorii care, în dorința eficientizării fluxurilor operaționale, apelează la algoritmi, automatizări, inteligență artificială, robotică, etc.
Este important să reținem că GDPR este un act normativ născut recent. Multe aspecte care suscită dezbateri încă necesită clarificări sub forma unor ghiduri, opinii sau jurisprudență.
De asemenea, în plan național discutăm de intrarea în vigoare a Legii 129/2018 de modificare și completare a Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001, respectiv de propunerea legislativă privind măsurile de aplicare a GDPR votată în Parlament și aflată în curs de publicare.
Fără a ne propune o listare completă, câteva aspecte importante de care trebuie să ținem cont în diligențele de implementare a cerințelor GDPR, în calitate de operator de jocuri de noroc:
- trebuie să fim deschiși în a accepta că este posibil ca anumite procesări de date cu caracter personal vor trebui modificate sau chiar încetate. Continuăm să vedem CNP-uri pe facturi, cu toate că legislația fiscală nu obligă la colectarea sau prezentarea acestei informații sensibile.
- trebuie să avem vizibilitate totală asupra fluxurilor operaționale care ating date cu caracter personal. Datele pot fi pe suport hârtie sau electronice, procesate ocazional sau frecvent, de rang obișnuit sau din categorii speciale (date despre sănătate, biometrice etc.). Fără această vizibilitate totală demersuri precum răspunsul la diverse cereri din partea persoanelor vizate riscă să fie compromise.
- trebuie să documentăm scopurile și temeiurile fiecărei procesări de date cu caracter personal: mă obligă o lege sau un alt act normativ să fac acea procesare? Îmi este necesară pentru îndeplinirea obligațiilor mele față de client și pot identifica ce blocaj aș întâmpina în absența respectivei procesări? Am consimțământul clientului, în deplină respectare a condițiilor pentru un consimțământ valid? Exemplele pot continua.
- necesitatea și proporționalitatea unei procesări trebuie evaluate în mod conservator. Odată ce am stabilit la ce ne trebuie datele respective vom proceda la identificarea unor alternative mai puțin invazive sau “acaparatoare” de date pentru îndeplinirea acelui scop.
Printre particularitățile industriei jocurilor de noroc sub aspectul obligațiilor născute din GDPR sunt incluse următoarele situații:
- cererile de autolimitare sau autoexcludere presupun procesarea unor informații despre comportamentul de dependență de jocuri de noroc despre acea persoană. În concret, operatorul procesează date despre sănătate, care reprezintă o categorie specială de date cu caracter personal care necesită măsuri suplimentare de protecție.
- prin prisma cazurilor de exceptare a aplicabilității GDPR (Art.23), operatorul de jocuri de noroc trebuie să identifice situațiile în care este întemeiat să desfășoare procesări legitime fără a fi obligat la respectarea drepturilor persoanelor vizate, de exemplu în scopul prevenirii, investigării sau detectării infracțiunilor precum fraude cu carduri de debit/credit sau furt de identitate.
- în cazul în care utilizăm platforme informatice care stochează datele în afara spațiului UE, trebuie să știm unde sunt sau vor fi localizate geografic datele persoanelor vizate (clienți, angajați, etc.) de protecția cărora suntem resposabili. Transferul datelor personale în afara UE poate fi făcut numai cu respectarea unor condiții prealabile de asigurare a unui nivel de protecție a datelor respective.
- relația cu furnizorii care procesează date cu caracter personal trebuie reglementată printr-un acord de procesare care responsabilizează fiecare parte contractuală (operatorul de jocuri de noroc și furnizorul) în funcție de calitate de Operator sau Împuternicit (definite prin prisma GDPR). Claritatea adusă de un astfel de document aduce o segregare a răspunderilor contractuale, instrument vital în cazul unei divulgări neautorizate de date cu caracter personal.
- eventuale cereri de ștergere a datelor cu caracter personal trebuie mai întâi evaluate cu mare atenție prin prisma identificării persoanei care a depus cererea și a temeiurilor legale care ar putea continua să oblige operatorul de jocuri de noroc la stocarea (și implicit procesarea) datelor respective, cum ar fi obligații de raportare către ANAF, ONJN sau ONPCSP sau obligații legale de stocare a informațiilor legate de facturare. În mod evident nu putem răspunde favorabil unei cereri de ștergere cât timp astfel de obligații subzistă.
Cu toate că GDPR apare deseori ca o “Cenușăreasa” într-un mediu extrem de competitiv și aflat sub presiunea unor multiple reglementări, putem înțelege nevoia unei “curățenii generale” în datele pe care le deținem despre oamenii cu care interacționăm.

Iulian Matache – GDPR
de Iulian Matache