Personoplysninger er i mange tilfælde nødvendige for at lave effektiv digital markedsføring. Har du en webshop skal du bruge oplysninger som f.eks. kreditkortoplysninger og adresse for at en kunde kan købe en vare og du kan sende den til kunden. Laver du personaliseret indhold kræver det oftest også, at du indsamler oplysninger om dine leads, men hvornår er der egentlig tale om en personoplysning og hvilke betragtes som almindelige og følsomme informationer i den nye persondataforordning?
I 1. del af eNavigates blogserie om persondataforordningen blev det overordnede formål og indhold i persondataforordningen beskrevet. I 2. del vil Bent fra Leoni Advokater hjælpe med at give et overblik over personoplysninger.
Hvad er personoplysninger?
Hvad forstås ved personoplysninger i den nye persondataforordning?
Bent: Personoplysninger er alle informationer, der er relateret til en identificeret eller identificerbar fysisk person. Det er lige meget, hvor banal oplysningen er, eller om oplysningen er offentliggjort i forvejen.
Er det nødvendigt, at man er klar over om de persondata, som man indsamler f.eks. via en nyhedsbrevtilmelding, er almindelige eller følsomme data? Og må du overhovedet indsamle personfølsomme data?
Bent: Ja, det er vigtigt, at virksomheden har styr på, om den behandler almindelige eller følsomme oplysninger. Det har betydning fordi følsomme personoplysninger kun undtagelsesvis må behandles, mens almindelige oplysninger må behandles, hvis man har et gyldigt behandlingsgrundlag. Det er en god ide at instruere sine ansatte, så de er særligt forsigtige, når de behandler følsomme personoplysninger.
Ok, det er altså muligt at indsamle begge typer data, hvis behandlingsgrundlaget er i orden. Jeg vil i et senere blogindlæg, spørge ind til hvad der mere specifikt menes med behandlingsgrundlag.
Hvilke data er almindelige personoplysninger?
Hvilke typer af information om ens kunder eller leads kategoriserer persondataforordningen som almindelige personoplysninger?
Bent: Almindelige personoplysninger er data, som navn, e-mailadresse, IP-adresse, køn, kreditkortoplysninger, CPR-nummer, familiemæssigeforhold mv. På Leoni Advokaters hjemmeside har vi lagt en lang liste ud med eksempler.
Du finder listen over almindelige personoplysninger her.
Personaliserede og automatiserede emails er ofte baserede på data som køn, geografi, interesse, fødselsdato, købshistorik og adfærd mv. Vil det sige, at data der bruges til personaliseret og automatiseret markedsføring normalvis er almindelige personoplysninger?
Bent: Ja, det er de færreste virksomheder, hvor det er relevant at bruge følsomme persondata, at basere deres markedsføring på. Det er dog altid vigtigt at tjekke op på, hvilke oplysninger, virksomheden sidder inde med. Man kan nogle gange blive overrasket over, hvilke oplysninger cookies kan indsamle om personers færd på internettet.
Du nævner, at IP-adresse er en personoplysning? De fleste virksomheder tracker IP-adressen på deres website- eller webshop-besøgende via statistik programmer, som Google Analytics, bl.a. for at tracke hvor besøgende kommer fra rent geografisk. Vil det sige, at blot ved at have et Google Analytics tag på din hjemmeside opsamler du persondata? Det er jo ikke muligt for en ganske almindelig medarbejder, der har ansvaret for den digitale markedsføring, at koble navn eller adresse på en fysisk person til en IP-adresse?
Bent: Der har længe været uenighed om, i hvilket omfang en IP-adresse er en personoplysning. For de fleste mennesker er IP-adressen en ubrugelig talrække. Man ved simpelthen ikke, hvilken person, der gemmer sig bag IP-adressen. Dermed tror mange, at informationen ikke er personhenførbar. Gennem en persons internetudbyder kan man dog i mange tilfælde identificere en bestemt fysisk person ved at kende IP-adressen. Selvom en markedsføringsansvarlig ikke selv kan se, hvilken person, der gemmer sig bag IP-adressen, kan det altså alligevel være en personoplysning.
Hvornår er der tale om følsomme personoplysninger?
Hvornår er der ifølge persondataforordningen egentlig tale om følsomme persondata?
Bent: Følsomme personoplysninger omfatter data som fagforeningsmæssigt tilhørsforhold, etnicitet, politisk eller religiøs overbevisning, helbredsoplysninger og en persons seksuelle forhold. På Leoni Advokaters hjemmeside har vi også lagt en liste ud over følsomme personoplysninger.
____________________
Næste gang vil jeg spørge ind til, hvad der betragtes som en behandling af personoplysninger og hvorfor man skal vide det? Jeg kan allerede afsløre, at næsten alt er en behandling, så du bør også læse med næste gang.
Husk nu at udnytte muligheden for at stille spørgsmål om persondataforordningen, GDPR, til Leoni Advokater ved at klikke på ‘Skriv en kommentar herunder’↓
*Vær opmærksom på, at du ikke kan se dit spørgsmål før jeg har godkendt det.
