GDPR giver flere rettigheder til forbrugerne

Med persondataforordningen følger der flere rettigheder til de personer du registrerer personoplysninger om. Dine websitebesøgende, nyhedsbrevsmodtagere, kunder mv. får ret til en større transparens. Du skal fortælle dem klart og tydeligt, hvilke data du opsamler og bruger om dem i din markedsføring eller i forbindelse med et salg på din webshop.

Den væsentligste ændring i forhold til deres rettigheder er dog, at de kan kræve at deres persondata bliver slettet helt eller flyttet til en anden virksomhed. Hermed ejer du ikke længere de persondata, du indsamler og behandler, det gør de registrerede selv. 

Transparens bliver det nye sort!

Fra foråret 2018 skal det være gennemskueligt, hvilket formål du har med at indsamle hvilke interesser dine kundeklubmedlemmer har, om de har børn eller ej, er i et parforhold osv. Jeg har tidligere været inde på, at det skal være tydeligt, hvad det er kunden giver lov til, da jeg talte med Leoni Advokater om behandlingsprincipper.

GDPR giver forbrugerne nye rettighederMen hvorfor er gennemsigtighed så vigtig en ret i persondataforordningen?

Bent: Uden gennemsigtighed, er det svært for den registrerede at gøre krav på andre rettigheder. Ved man ikke, hvilke personoplysninger virksomheden indsamler, og hvordan de bruger disse data, er det umuligt at gøre indsigelser. Man mister med andre ord kontrollen over sine oplysninger. Gennemsigtighed giver personer mulighed for at få indsigt i virksomheders behandlinger af deres personoplysninger.

Hvordan sikre jeg, at det er gennemsigtigt, hvilke persondata jeg indsamler via min app?

Hvordan sikre virksomheder bedst, at det er gennemsigtigt for f.eks. brugere af en app, hvilke informationer der indsamles, bruges og eventuelt videregives om dem?

Bent: Det sikres bedst ved at virksomhederne opfylder oplysningspligten og indsigtsretten. Oplysningspligten har vi tidligere været inde på.

Indsigtsretten medfører, at personer, som du som virksomhed registrerer information omkring, har ret til at få indsigt i, hvad du reelt har registreret om dem. Præcist hvordan dette kan præsenteres for en bruger af f.eks. en app, kan der være mange bud på. Man kan f.eks. få en meddelelse til at poppe op på skærmen, når de første gang bruger den pågældende app.  Man kunne også indsætte et område f.eks. under indstillinger, hvor det er synligt for brugeren, hvilke oplysninger, der er registreret og hvor de også har mulighed for at rette deres oplysninger. Ved at lade brugerne få adgang til og mulighed for at rette de registrerede persondata selv, bliver det også nemmere for virksomheden, at leve op til berigtigelsespligten. Kort sagt går denne ud på, at de registrerede har ret til at data der er registreret om dem er korrekte.

Mange hjemmesider har en privatlivspolitik eller persondatapolitik i bunden af hjemmesiden. Det er formentlig ikke nok for at leve op til oplysningspligten i sig selv, men det er et fint værktøj til at leve op til princippet om gennemsigtighed.

Hvis du har glemt, hvad oplysningspligten gik ud på, kan du få det genopfrisket her!

Overholdelse af GDPR kan blive et nyt konkurrenceparameter

Umiddelbart kan det virke lidt tungt, at skulle kommunikere, hvilke personoplysninger du indsamler via dine digitale kanaler og hvad de bruges til, samtidig med at det ikke skal virke forstyrrende for besøgende eller kunder.

Jeg ser det dog også som en mulighed for, at virksomheder kan bruge det positivt i deres markedsføring, at de overholder persondataforordningen. Privacy by default kan ligefrem gå hen og blive et konkurrenceparameter, med det fokus der unægtelig vil komme på behandling af persondata i forbindelse med forordningen. Er du ærlig og kommunikerer klart hvorfor, hvordan og til hvilket formål personoplysninger indsamles og bruges, kan det potentielt styrke din troværdighed og dit brand. Men det er klart at præsentationen og placeringen af informationen skal gennemtænkes nøje.

Er du klar til at slette ALT om kunder og leads fra dine databaser?

En rettighed i persondataforordningen der vil komme bag på flere virksomheder er, at personer du indsamler oplysninger om, har ret til at blive glemt. Bent, hvad ligger der konkret i dette og hvad betyder det for virksomhederne?

Persondataforordningen betyder nye rettigheder til forbrugerne. Bl.a. retten til at blive glemt eller at få flyttet deres persondata.

Bent: Konkret betyder det, at du skal slette alle persondata, du har registreret om en person, når det ikke længere er nødvendigt at have dem. Dette kræver, at du af egen drift sørger for, at personoplysninger på et tidspunkt bliver slettet, når der ikke længere er brug for dem. Den registrerede kan desuden bede dig om at slette oplysningerne om ham, hvilket du i visse situationer er nødt til at respektere.

Det kræver, at virksomhederne indarbejder denne rettighed i deres forretningsgange. En persons ret til at blive glemt kræver eksempelvis, at virksomheden har overblik over alle personoplysninger, de har registreret, hvilke systemer og databaser de er registreret i, og hvem der har adgang hertil. Derudover kræver det, at virksomheden har en proces for, hvordan det sikres at alle data om vedkommende slettes – også dem som måske ligger i en mail hos en medarbejder eller i en backup. En oplysning anses først for at være slettet, når den er slettet i alle systemer. Det hjælper derfor ikke noget, at du kun sletter oplysninger i f.eks. virksomhedens CRM-system, hvis oplysningerne også befinder sig i på en emailkonto eller i et gammelt CRM-system, virksomheden ikke længere bruger. Jeg har hørt om virksomheder, der har gamle systemer med oplysninger om tidligere ansatte, der ikke har været ansat siden 80’erne. Det var der selvfølgelig nødt til at blive rettet op på, fordi det ikke er nødvendigt for virksomheden at beholde oplysningerne så længe.

Er der undtagelser hvor virksomhederne ikke skal imødekomme sletning af personoplysninger? Det kan vel i nogle tilfælde være nødvendigt, at beholde persondata om et køb en kunde har foretaget i din webshop for at kunne behandle en reklamation eller andre tvister?

Bent: Ja, virksomheder skal ikke i alle tilfælde imødekomme at persondata slettes. F.eks. behøver man ikke at slette en oplysning, hvor man er forpligtet til at behandle den efter gældende ret, eller behandlingen er nødvendig for at et retskrav kan gøres gældende, fastlægges eller forsvares. Det betyder, at så længe en kunde har reklamationsret ved et køb i en webshop, er virksomheden ikke forpligtet til at slette persondata, der er nødvendige at gemme for at behandle en eventuel reklamation.

Virksomheden er dog forpligtet til at slette persondata ved en henvendelse, hvis behandling af oplysningerne ikke længere er nødvendige eller kunden har trukket et samtykke tilbage, og der ikke er et andet retligt grundlag for behandlingen.

Kan jeg risikere at skulle slette data, hvis en kunde framelder sig mit nyhedsbrev?

Betyder det, at virksomheder skal slette data om en nyhedsbrevmodtagers åbningsfrekvens af tidligere nyhedsbreve i deres email-system eller database, hvis vedkommende framelder sig nyhedsbrevet?

Bent: På et eller andet tidspunkt skal denne oplysning slettes. I det hele taget skal vedkommende på et tidspunkt slettes fra databasen, så det ikke længere fremgår, at han nogensinde har modtaget nyhedsbreve fra virksomheden. Man er dog også nødt til at have en praktisk tilgang til tingene, og så vidt jeg kan forstå, er man på nuværende tidspunkt ofte nødt til at slette sådanne oplysninger manuelt i mange email-systemer, hvilket er en uoverkommelig opgave for de fleste. Jeg tror, løsningen i den praktiske verden bliver, at udbyderne af programmer, der administrerer nyhedsmails, vil lave en kode i programmet, der sørger for at slette eller anonymisere alle oplysningerne om vedkommende en vis rum tid efter, vedkommende har frameldt sig nyhedsbrevet.

Som du var inde på før, skal virksomheder dog også se reglerne som en mulighed for at styrke deres eget brand. Jeg kan sagtens forestille mig, at programmer som Mailchimp og lignende kan indføre en automatisk anonymiseringsfunktion og derefter markedsføre sig med, at deres program hjælper med efterlevelsen af persondatareglerne. Hvis jeg arbejdede med marketing og nyhedsbreve, ville jeg da skifte over til et program med sådan en funktion, hvis jeg havde muligheden.

Det kræver ofte persondata at kunne optimere den digitale markedsføringsindsats, men husk at du skal leve op til forbrugernes rettigheder.Framelding af et nyhedsbrev vil efter persondataforordningen træder i kraft kræve en anden håndtering end den typiske procedure, de fleste virksomheder bruger i dag. Eller måske rettere sagt vil persondataforordningen betyde at man bør stille krav til de email-systemer der anvendes, således at de hjælper virksomhederne til at kunne imødekomme de registreredes rettigheder uden en masse bøvl. Virksomhederne vil jo ikke være interesseret i at miste data omkring åbningsrater, frameldelsesprocent m.v., da det er værdifuld viden at optimere sit nyhedsbrev på baggrund af. Systemer, der automatisk kan anonymisere personer i databasen vil derfor være et muligt krav fremadrettet.

Uanset hvilket nyhedsbrevsystem man anvender i dag, bør alle virksomheder gennemgå systemet, for at kortlægge, hvor persondata gemmes og om de kan slettes helt eller anonymiseres. Principielt kan du stå i en situation, hvor du kan være nødsaget til at skrifte system eller bede udbyderen om at tilpasse systemet.

Dataportabilitet – kan jeg virkelig blive bedt om at overføre oplysninger om mine kunder til en anden webshop?

Fra den 25. maj 2018 skal virksomhederne til at forholde sig til et nyt begreb, dataportabilitet! Forbrugere gives fra denne dato retten til, at få flyttet deres personoplysninger fra en virksomhed til en anden. Det er en væsentlig ændring, at registrerede får ret til at få udleveret registrerede data og samtidig får ret til at få dem flyttet. Bent vil du uddybe, hvad retten til dataportabilitet betyder?

Bent: Retten til dataportabilitet indbefatter at dataansvarlige skal være parate til at udlevere persondata i et struktureret og almindeligt maskinlæsbart format til tredjemand. Det kan betyde, at virksomheder skal videregive personoplysninger til en konkurrerende virksomhed. Der er egentligt ikke tale om en beskyttelse af den registrerede, men snarere en forbrugerrettighed, der giver den registrerede nemmere mulighed for at skifte udbyder til et andet selskab uden at miste data. Dermed har man bedre kontrol over sin data.

Virksomheder bør tænke over om deres systemer er gearet til at kunne håndtere dataportabilitet.

Skal flytningen af personoplysninger om en kunde i alle tilfælde imødekommes, eller er der undtagelser?

Bent: For at den registrerede har ret til dataportabilitet, skal kunden selv have givet dataene til den dataansvarlige. Det betyder, at kunden ikke har ret til at få flyttet information, der er udledt på baggrund af deres personoplysninger. Det kunne være anbefalinger til en kunde baseret på deres tidligere adfærd eller køb på en webshop. Ønskes data flyttet må det heller ikke krænke andres rettigheder.

Desuden skal det retlige grundlag for behandlingen være enten et samtykke eller en kontrakt. Hviler behandlingen på et andet grundlag, har den registrerede ikke ret til dataportabilitet.


Spørg eksperterne om EU persondataforordningenI næste blogindlæg taler jeg med Bent fra Leoni Advokater om nødvendigheden af at have en databeskyttelsesrådgiver eller som det hedder i persondataforordningen en DPO (Data Protection Officer). I blogindlægget vil du få svar på, hvad en DPO er og om alle webshops skal have en.

Har du spørgsmål til den registreredes rettigheder eller andre emner i persondataforordningen, er Bent som altid klar til at svare.

*Vær opmærksom på, at du ikke kan se dit spørgsmål, før jeg har godkendt det.

Tinne Bering

Tinne Bering rådgiver virksomheder om digital strategi og markedsføring. På eNavigates blog skriver hun faglige blogindlæg om digital markedsføring og trends.

En tanke om "GDPR giver flere rettigheder til forbrugerne"

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.