Uden at tænke videre over det, foretager vi en række behandlinger af personoplysninger om kunder og besøgende gennem vores digitale kanaler og tilknyttede tredjepartssystemer.
Tracking på et website eller en webshop er i dag en selvfølge. Herved kan vi overvåge brugernes adfærd og arbejde med optimering af websitet på baggrund af data. For at analysere og få præsenteret data, så de bliver både forståelige og anvendelige, videregiver de fleste gladeligt data til systemer som Google Analytics og Adobe Analytics. Typisk sker det via et tag placeret på websitet. Vi sladrer også gerne til Linkedin og
Facebook om vores brugere. Til gengæld får vi så lov at ramme dem med vores kommunikation, når de surfer rundt på de sociale medier.
Vi indsamler også personoplysninger som navn, email og mobilnummer på websitet, i forbindelse med at en kunde tilmelder sig et nyhedsbrev. Disse data opbevarer vi f.eks. i et emailsystem.
I de nævnte eksempler indsamler, opbevarer og videregiver vi således personoplysninger. Jeg har denne gang spurgt Bent fra Leoni Advokater om disse håndteringer af persondata er omfattet af begrebet behandling i den nye persondataforordning.
Hvad er en behandling?
Der er over de seneste år sket en eksplosiv udvikling i brugen af persondata i den digitale markedsføring, fordi de nye marketingparadigmer handler om at sætte kunden i centrum. Det forudsætter, at du kender din målgruppe og kunde rigtig godt, og at du f.eks. kan koble deres handlinger i både off- og online kanaler sammen. Men er brug og sammenkobling af persondata at betragte som en behandling? Og hvad dækker begrebet behandling egentlig over i den nye persondataforordning?
Bent: Begrebet behandling er omfattende. Overordnet set betragtes alle håndteringer af personoplysninger som en behandling i persondataforordningen. Derfor er både indsamling, opbevaring, videregivelse, brug og kobling af personoplysninger behandlinger. Ændrer eller sletter du personoplysninger i dine databaser betragtes det også som en behandling.
Du kan se flere eksempler på behandlinger her.
Undtagelser, hvornår er der ikke tale om en behandling?
Er der overhovedet nogen behandlinger, der ikke er omfattet?
Bent: Ja, deler du f.eks. private billeder i en snap eller på Instragram eller opbevarer du en liste over dine personlige kontakter, er det ikke omfattet. Undtagelserne har dog ingen relevans for virksomheder. Det er nemlig kun behandlinger, der er foretaget i personligt eller familiemæssigt regi, der er undtaget. Der er endnu ikke anerkendt nogen bagatelgrænse for, hvilke behandlinger der er omfattet. Selv helt små og banale behandlinger er i princippet omfattet af reglerne.
Læs mere om undtagelserne på Leoni Advokaters hjemmeside.
Hvorfor skal eCommerce-teamet vide, om der er tale om en behandling?
Man kan med rette sige, at alt betragtes som en behandling i den nye persondataforordning. I hvert fald, når man håndterer personoplysninger i erhvervsmæssig regi. Hvorfor er det egentligt relevant, at vide for de medarbejdere, der har ansvaret for den digitale markedsføring eller webshoppen i en virksomhed?
Bent: Hver eneste gang, en medarbejder laver en behandling, er virksomheden forpligtet til at overveje de persondataretslige regler. Man skal sikre sig ved hver behandling, at man har et retligt grundlag for behandlingen. Mange glemmer fx at indhente samtykke, inden de offentliggør billeder af deres ansatte på deres hjemmeside. Det er naturligvis en svær opgave at overveje persondataret hele tiden i en travl hverdag. Det er derfor en god ide, at man på forhånd har gjort sig tanker om retsgrundlaget for virksomhedens mest almindelige behandlinger, gerne på skrift!
Man skal også efterleve en række principper, såsom proportionalitetsprincippet. Det handler om, at der kun må foretages nødvendige og relevante behandlinger for at opnå behandlingens formål. Dette betyder konkret for en virksomhed, at den ikke må indsamle data, som måske kunne være rare at have i baghånden, men som ikke er nødvendige for behandlingen. Mange virksomheder har en hellere-for-meget-end-for-lidt-holdning, hvorefter de ophober en enorm mængde personoplysninger, de i bund og grund ikke har brug for. Nogle virksomheder sidder måske inde med kundernes CPR-numre, selvom dette ikke er nødvendigt. Dermed tager virksomheden en stor og unødvendig risiko i tilfælde af et hackerangreb. For at overholde reglerne, kan det derfor være påkrævet, at man instruerer sine medarbejdere grundigt i, hvilke oplysninger, de skal indsamle om en registreret.
Grænsen mellem en dataansvarlig og en databehandler er flydende i persondataforordningen. Når jeg næste gang tager dette emne op, håber jeg ikke du bliver ligeså forvirret som jeg var til at starte med!
Husk, at du stadig har mulighed for at stille spørgsmål til persondataforordningen. Jeg tager også gerne emner op i senere blogindlæg, hvis du foreslår dem i kommentarfeltet.
*Vær opmærksom på, at du ikke kan se dit spørgsmål før jeg har godkendt det.
