Den 25. maj trådte EUs databeskyttelsesforordning i kraft. Herunder gennemgår vi de vigtigste forhold, som den typiske boghandel skal være opmærksom på.

Til sidst i dokumentet kan du via links downloade en række teksteksempler, som kan kopieres eller tjene som inspiration.

BEMÆRK, AF AFSNITTET OM KUNDER, SOM BOGHANDELEN SENDER MARKEDSFØRING VIA E-MAIL, NU ER TILRETTET I FORHOLD TIL FORBRUGEROMBUDSMANDENS UDSENDTE RETNINGSLINJER – DET GÆLDER OGSÅ DET “EKSEMPEL PÅ MAIL TIL KUNDERNE”, SOM DER LINKES TIL NEDERST PÅ SIDEN.

———————————————

Indholdet af dette dokument er et forsøg på at opsummere de elementer i EUs databeskyttelsesforordning, som er relevante for den typiske boghandel. Der er tale om en betydelig forenkling både i forhold til selve forordningens bestemmelser og i forhold til de vejledninger og bilagsudkast, Datatilsynet har udgivet.

Boghandlerforeningen påtager sig ikke noget ansvar for, at det enkelte medlems behandling af personoplysninger lever op til databeskyttelsesforordningen, og vi opfordrer ethvert medlem til selv at søge yderligere information – eksempelvis på Datatilsynets hjemmeside – og evt. søge professionel rådgivning.

———————————————

Indhold:

  1. Hvad er GDPR?
  2. Hvad er personoplysninger?
  3. Hvad reguleres af forordningen?
  4. Hvad er de grundlæggende principper, man skal leve op til?
  5. Hvad betyder forordningen for en typisk boghandel?
  6. Særligt om de ansatte – og jobansøgere

 

1: Hvad er GDPR?
EUs General Data Protection Regulation – databeskyttelsesforordningen – trådte i kraft den 25. maj 2018. Fra denne dato skal enhver virksomhed leve op til en række krav vedrørende indsamlingen, behandlingen og videregivelsen af personoplysninger. Privatpersoners behandling af personoplysninger i forbindelse med rent personlige eller familiemæssige aktiviteter er ikke omfattet af forordningen.

 

2: Hvad er personoplysninger?
Ved personoplysninger forstås enhver information, som kan henføres til en bestemt person. Det betyder som udgangspunkt, at informationer, som boghandelen indsamler, behandler og videregiver om andre virksomheder, ikke er omfattet af forordningen. Der er dog en undtagelse: hvis informationerne omhandler en enkeltmandsvirksomhed, vil det ofte være umuligt at adskille personen fra virksomheden, og så gælder forordningen alligevel, i hvert fald for en del af oplysningernes vedkommende. Hvis man er i tvivl om en virksomheds ejerskab, er det derfor klogt at behandle den pågældende som en person.

Personoplysningerne opdeles i forordningen i to hovedgrupper: ”følsomme” oplysninger og ”almindelige” oplysninger. Den typiske boghandel vil alene indsamle og behandle almindelige personoplysninger som eksempelvis navn, adresse, e-mailadresse, telefonnummer o.l.

 

3: Hvad reguleres af forordningen?
Forordningen gælder enhver behandling af personoplysninger – dvs. indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse og sletning.

Samtidig skelner forordningen mellem to former for aktører – nemlig om man er ”dataansvarlig” eller ”databehandler”. Kort fortalt er den dataansvarlige den, som indsamler data, og som dermed beslutter ikke kun hvad der skal indsamles, men også hvad formålet er og hvad data skal bruges til, mens en databehandler er én, som behandler de indsamlede data på vegne af den dataansvarlige.

Hvis boghandelen eksempelvis bruger et eksternt firma til at administrere lønudbetalingerne til sine ansatte, videregiver man de nødvendige personoplysninger til firmaet, for at det kan løse sin opgave. Man er altså selv dataansvarlig, og firmaet er databehandler.

 

4: Hvad er de grundlæggende principper, man skal leve op til?
Når man indsamler og behandler personoplysninger, skal det ske efter nogle grundlæggende principper. Man skal i de fleste tilfælde sørge for, at den person, som oplysningerne handler om, er informeret og om nødvendigt har givet samtykke til, at man behandler oplysninger om vedkommende.

Om der er behov for samtykke afhænger dels af oplysningernes følsomhed, dels af, om den behandling, man foretager, for eksempel er bestemt af lovgivningen eller er en direkte konsekvens af et kontraktforhold, man har med den pågældende person, eller om den sker af andre grunde. Som regel skal personen som minimum være klar over, at man indsamler oplysningerne, hvorfor man gør det, hvad man bruger dem til, og hvad vedkommendes rettigheder i den forbindelse er. Hvis der kræves samtykke, skal dette være frivilligt, specifikt, informeret og utvetydigt – ellers er det ugyldigt.

Dernæst har man pligt til at vurdere, hvilke oplysninger man reelt har brug for for til at understøtte ens aktiviteter. Man må med andre ord ikke indsamle oplysninger, som man ikke skal bruge, eller som man blot indsamler for det tilfældes skyld at man senere får brug for dem. På samme måde må man heller ikke underkaste oplysningerne en behandling, som overstiger det, som er nødvendigt.

Man har pligt til at sørge for, at oplysningerne er korrekte og opdaterede, og man skal slette dem, når man ikke længere har brug for dem, eller når personen beder om det. Og endelig skal man, hvis man videregiver oplysningerne til en databehandler, sikre sig, at denne også behandler oplysningerne i overenstemmelse med forordningen – typisk gennem en databehandleraftale.

Den person, man indsamler oplysninger om, har en række rettigheder i kraft af forordningen. Den første gælder vedkommendes samtykke. Når man beder personen om samtykke, skal det ske i et klart og enkelt sprog, og det skal kunne dokumenteres, at man har opnået samtykket, og at dette er sket som personens aktive valg (opt in). Personen skal have at vide, at vedkommende til enhver tid kan tilbagekalde sit samtykke, og det må ikke være mere besværligt at tilbagekalde det, end det var at give det.

Herudover har personen blandt andet ret til at blive oplyst om, at man indsamler og behandler oplysninger om vedkommende; ret til at få indsigt i, hvad man har indsamlet; ret til at få oplysningerne berigtiget, hvis de efter personens opfattelse er forkerte; ret til at få oplysningerne slettet; og ret til at kunne fravælge, at oplysningerne bruges i direkte markedsføring.

 

5: Hvad betyder forordningen for en typisk boghandel?
Som nævnt indsamler boghandelen typisk kun almindelige personoplysninger. Oplysninger om enkeltpersoner vil typisk enten være oplysninger om de ansatte (inkl. evt. jobansøgere) eller oplysninger om kunderne – men kan altså også omfatte oplysninger om enkeltmandsvirksomheder, som man handler med.

En typisk boghandel kan med fordel koncentrere sig om de følgende initiativer:

  • Lav en kort, overordnet beskrivelse af boghandelens behandling af personoplysninger
    (se eksempel nedenfor).
    En overordnet beskrivelse (”persondatapolitik”) dokumenterer, at man har forholdt sig til databeskyttelsesforordningens forskellige problemstillinger, og indikerer, at man har taget de nødvendige skridt til at sikre, at man overholder forordningen. I teksten kan man for eksempel opsummere de forskellige typer persondata, man indsamler og behandler, og gøre rede for, hvilke eventuelle retningslinjer og politikker, man i den forbindelse har vedtaget og følger.
    En sådan beskrivelse kan være til information for alle, som man registrerer og behandler oplysninger om – og den kan være god at have ved hånden, så den er det første, Datatilsynet eller ens kunder, samarbejdspartnere og ansatte ser, hvis de skulle finde på at interessere sig for, hvordan man har forholdt sig til databeskyttelsesforordningen.
  • Nedskriv en sikkerhedspolitik
    (se eksempel nedenfor).
    Boghandelen skal som minimum have en politik for, hvordan man sikrer personoplysningerne om de ansatte.
  • Orienter for god ordens skyld de ansatte
    (se eksempel nedenfor).
    Send dem en mail, hvori der redegøres for, hvilke almindelige personoplysninger boghandelen aktuelt opbevarer om dem.
  • Indhent samtykke fra de ansatte, hvis det er nødvendigt
    (se eksempel nedenfor).
    Hvis boghandelen også registrerer følsomme oplysninger om medarbejderen – eller oplysninger, som ikke er nødvendige – kræver det et samtykke. Send i givet fald en særskilt mail, hvor der bedes om medarbejderens samtykke (eller overvej, om boghandelen reelt har behov for oplysningerne, eller om det nemmeste ikke er at slette dem).
  • Kunder, som boghandelen sender markedsføring via e-mail:
    Efter databeskyttelsesforordningens ikrafttræden har Forbrugerombudsmanden udsendt en vejledning til hvordan man skal forholde sig, hvis man har registreret kunders e-mailadresser med henblik på at sende dem mails med markedsføring:

    Man må sende elektronisk markedsføring, fx nyhedsbreve, til modtagere, der har givet deres samtykke til at modtage markedsføring. Det gælder uanset, om modtageren er en forbruger, en virksomhed, en offentlig virksomhed mv. Det følger af markedsføringslovens § 10, stk. 1.
    Man må også sende markedsføring til en tidligere kunde, der ikke har givet et samtykke, hvis det er markedsføring om produkter, der er tilsvarende med dem, kunden har købt. Det forudsætter, at kunden i forbindelse med købet oplyste sin elektroniske adresse, fx mailadresse, at kunden blev oplyst om, at boghandelen vil sende markedsføring til kunden om tilsvarende
    produkter, og at kunden fik mulighed for at frabede sig det. Det følger af markedsføringslovens § 10, stk. 2.
    Hvis de samtykker til at modtage markedsføring fra boghandelen, som er indhentet før den 25. maj 2018, lever op til de ovennævnte krav i markedsføringsloven, er det ikke nødvendigt at foretage sig noget, og man kan fortsætte med at sende mails til de pågældende kunder. Der er dog ikke noget i vejen for, at man sender kunderne en informationsmail, hvor man blandt andet fortæller kunderne, at de til enhver tid kan trække deres samtykke tilbage.
    (se eksempel nedenfor).
    Hvis de tidligere indhentede samtykker ikke lever op til markedsføringsloven, er det Forbrugerombudsmandens vurdering, at man så ikke blot kan løse det ved at sende kunderne en e-mail, hvor man nu beder om deres samtykke, enten ved at besvare mailen eller ved at blive ledt hen på boghandelens hjemmeside. Kunderne skal i stedet frit give deres samtykke på samme måde som “nye” kunder, altså eksempelvis næste gang, de af egen drift besøger hjemmesiden eller boghandelen.
    Husk, at når der indhentes samtykke efter den 25. maj 2018, skal kunderne oplyses om, at de kan trække samtykket tilbage. Samtidig vurderer Forbrugerombudsmanden, at selv hvis kunden trækker sit samtykke tilbage, skal man – i op til to år efter at man sidst sendte kunden en e-mail – stadig kunne dokumentere, at man i sin tid fik vedkommendes samtykke.
    (se hele Forbrugerombudsmandens notat om GDPR og elektronisk markedsføring nedenfor).
  • Orienter potentielle enkeltmandsvirksomheder og indhent deres samtykke, hvis det er nødvendigt
    (se eksempel nedenfor).
    Gå boghandelens liste over samarbejdspartnere og leverandører igennem, og tjek om der er virksomheder imellem, som kunne være personligt ejede enkeltmandsvirksomheder. Send dem i givet fald en mail, hvori de bliver informeret om registreringen.
  • Forbered diverse breve, (svar-)e-mails og hjemmesidefunktioner, så boghandelen fremover kan sikre, at man overholder forordningen i forhold til jobansøgere, nye medarbejdere, nye kunder og nye samarbejdspartnere, og så man med det samme får indhentet de relevante samtykker og givet den relevante information – eksempelvis, når kunderne skriver sig op på en mailingliste, eller når man slår en stilling op.

 

6: Særligt om de ansatte – og jobansøgere
Typiske almindelige personoplysninger om de ansatte er for eksempel oplysninger om:

  • Løn, skat, antal sygedage, tjenstlige forhold, familieforhold (nærmeste pårørende), firmabil, eksamener, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon og almindelige stamoplysninger som navn, adresse, fødselsdato og CPR-nummer.

Bemærk, at en evt. oplysning om den ansattes medlemsskab af en fagforening betragtes som en følsom oplysning, det samme gælder resultatet af en evt. personlighedstest. Hvis boghandelen ønsker at opbevare disse oplysninger, kræver det et samtykke fra medarbejderen – det samme gælder, hvis man ønsker at have et foto af medarbejderen på boghandelens hjemmeside.

Tag en beslutning om, hvad boghandelens generelle politik er med hensyn til sletning – eksempelvis, at alle personoplysninger om ansatte slettes senest fem år efter, at et ansættelsesforhold er ophørt, mens oplysninger om ansøgere slettes efter f.eks. seks måneder. Inkludér disse oplysninger i den information, der sendes til de ansatte/ansøgere.

Typiske almindelige personoplysninger om jobansøgere er:

  • Navn, postadresse, telefonnummer, e-mailadresse
  • Ansøgning og CV, herunder eventuelle eksamensbeviser

Når boghandelen modtager ansøgninger i forbindelse med et konkret jobopslag, send da et skriftligt svar til hver enkelt ansøger og fortæl, hvordan vedkommendes ansøgning og evt. bilag behandles, hvilke oplysninger boghandelen nu har registreret om vedkommende, hvilke rettigheder ansøgeren har til oplysningerne, hvad vedkommende skal gøre for at få indsigt i dem, få dem berigtiget eller få dem slettet, og hvornår de under alle omstændigheder slettes, hvis vedkommende ikke ansættes (se eksempel nedenfor).

Hvis boghandelen modtager en uopfordret ansøgning, som man ønsker at gemme, skriv da til afsenderen og bed om vedkommendes samtykke. Beskriv, hvilke personoplysninger boghandelen ønsker at registrere og hvorfor, hvornår oplysningerne senest slettes, hvilke rettigheder ansøgeren har til oplysningerne, og hvad vedkommende skal gøre for at få indsigt i dem, få dem berigtiget eller få dem slettet før tid (se eksempel nedenfor).

 

Eksempler på de forskellige tekster, som omtales i dette dokument: