Hvem har taget mine persondata?

Kære virksomheder: Sørg for at gøre det klart, hvem der er den dataansvarlige. Som kunde har man krav på, at ikke bare formaliteter er overholdt, men også at formålet med oplysningspligten opfyldes. Det sker langt fra altid, vurderer Jakob Dedenroth Bernhoft i denne uges ’Privacy på spidsen’.

GDPR indeholder en lang række rettigheder for personer i forhold til persondata. Et af de grundlæggende principper er transparens. Hvis man afleverer sine persondata til en virksomhed, så har man – blandt andet – krav på at få at vide, hvad de bliver brugt til, hvor lang tid de gemmens og hvem der er dataansvarlig.

Det gælder naturligvis også, når man køber noget i en webshop. Her skal fremgå, hvem der er den dataansvarlige. Til tider kan oplysningspligten virke lidt formalistisk, da det ofte er helt entydig, hvem der er den dataansvarlige, nemlig den virksomhed, som man handler hos.

Det er bare ikke altid så enkelt. Faktisk kan der være situationer, hvor man er tæt på at blive vildledt. Jeg har for nyligt købt noget i en webshop, hvor jeg til at begynde med ikke var i tvivl om, hvem jeg handlede med. Men mod slutningen af købet bliver jeg pludselig opmærksom på, at jeg handler med en helt anden virksomhed end den webshop, jeg var gået ind på.

Data til ukendt virksomhed
Det er foregået på den – relativt klassiske – måde, at jeg har fundet frem til den pågældende webshop og har surfet rundt på webshoppens webpage og fundet den vare, som jeg har været interesseret i. Til sidst har jeg lagt varen i indkøbskurven. Da jeg så skulle betale, går det – lidt tilfældigt – op for mig, at jeg ikke handler med webshoppen, men med en af webshoppens samarbejdspartnere. Set igennem GDPR-briller, så har jeg givet personoplysninger til en anden virksomhed, end den jeg troede jeg handlede hos.

Alle formaliteter har været på plads, da såvel webshoppen som den samarbejdspartner, jeg uforvarende har købt ind hos, har overholdt alle oplysningsforpligtelser i deres respektive persondatapolitikker. Så på den måde er GDPR overholdt.

Bliver vildledt
Pointen her er bare, at man risikerer at blive vildledt og tror, man ved, hvem man giver de personoplysninger, som er nødvendig for købet – for eksempel navn, adresse, mobilnummer, e-mail og betalingsoplysninger. Vedrørende betalingsoplysningerne, så tror mange i øvrigt, at de udelukkende bliver givet til den, der står for betalingstransaktionen, og at webshoppen ikke får adgang til dem. Det er forkert. Webshoppen får også adgang til disse oplysninger.

Jeg gik oprindeligt ind på den pågældende webshops hjemmeside, fordi jeg har tillid til virksomheden. Det gælder i forhold til, om jeg rent faktisk får min vare, at de vil behandle en eventuel reklamation efter reglerne og ikke mindst, at de oplysninger, som jeg giver, bliver behandlet, som GDPR foreskriver.

Situationen blev imidlertid den, at jeg pludselig handlede med en virksomhed, som jeg aldrig havde hørt om, og hvor jeg intet grundlag havde for – set gennem GDPR-briller – at vurdere, om det var en virksomhed, som jeg havde tillid til i forhold til at aflevere personoplysninger.

Ukendte virksomheder på kontoudtog
En problemstilling i samme boldgade er, når man tjekker sit kontoudtog, og der optræder et fuldstændigt ukendt navn på en virksomhed ud for en transaktion. Jeg har prøvet det ved et køb af et hotelophold, og hvor jeg skulle have nogle af pengene tilbage. Hotellet havde et kort entydigt navn, men det fremgik ikke af kontoudtoget. Her fremgik navnet på en virksomhed, som jeg aldrig havde hørt om. Var det egentlig dem, som jeg havde købt hotelopholdet hos? Og hvad var det egentlig for en virksomhed? Det viste sig at være hotellet, heldigvis. Altså den virksomhed, som jeg havde givet en lang række personoplysninger til. 

Det samme har jeg prøvet ved fysiske butikker, hvor butikken havde overtaget en tidligere butiks betalingsaftale, men hvor man ikke havde fået ændret navnet fra ”Slik-land” til ”Frisør N.N”.

Ikke nok med formaliteter
Hvad er så pointen med alt dette? Det er ikke nok, at formaliteter er overholdt i forhold til oplysningspligten. Det skal samtidigt være overskueligt, hvem der er den dataansvarlige. Reglerne i GDPR (art. 13) har til formål at give transparens, og det er ikke nok at følge ordlyden – man skal også sikre, at formålet reelt bliver opfyldt.

Reglerne om oplysningspligt er ikke bare nogle ordensforskrifter. De skal tages alvorligt. Det har en polsk SMV-virksomhed for nyligt måttet føle, da den fik en bøde på 230.000 euro af det polske datatilsyn. En lidt anden type sag. Men den illustrerer, hvor hårdt hammeren kan falde.

Så, kære virksomheder: Sørg for at gøre det klart, hvem der er den dataansvarlige. Som kunde har man krav på, at ikke bare formaliteter er overholdt, men også at formålet med oplysningspligten opfyldes.

Tags

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle