Mine personoplysninger for en flaske vand

Dine persondata er en del af prisen for en flaske vand i lufthavnen.
Dine persondata er en del af prisen for en flaske vand i lufthavnen.

GDPR skal gennemsyre organisationen. Implementering sker ikke ved, at juristerne, backoffice-funktionerne eller ledelsen kender til reglerne. Det skal helt ud til skrankerne og kasseapparaterne, skriver Jakob Dedenroth Bernhoft i denne uges ’Privacy på spidsen’, der tager udgangspunkt i afkrævningen af persondata ved køb af en flaske vand i Københavns Lufthavn…

Når man i lufthavnen betaler i afdelingen med øl, vin og slik, bliver man afkrævet sit boardingkort, som bliver scannet ind. Hvorfor? Jeg har flere gange spurgt ind til, hvorfor de skal se mit boardingkort. Det ene svar lød blot, at hvis ikke jeg viste det, så kunne jeg ikke købe noget. Den anden gang fik jeg det svar, at det var vigtigt for at sikre, at den pågældende vare må indføres i det land, som jeg skal til. I begge tilfælde var det en flaske vand, som jeg ville købe, som vel nok skulle kunne indføres i de fleste lande.

På et boardingkort står ens navn, hvor man skal hen, hvilken klasse man flyver på og hvornår man flyver samt flyselskab. Det fremgår også, om man er tilmeldt et ”Frequent Flyer”-program.

Hvis der er anført ”SSSS” - Secondary Security Screening Selection­ – så har du fået stemplet ’mistænkelig’, og det betyder, at personalet i sikkerhedskontrollen vil tjekke dig ekstra grundigt. Du er ’mistænkelig’, hvis du har booket en enkeltbillet, har købt rejsen for kontanter, ændret billetten lige før afgang og forskellige andre betingelser.

Så er der noget, som hedder en ’PNR-kode’, som er den, man typisk bruger, når man tjekker ind via flyselskabets hjemmeside. Den er på 6 cifre kombineret med efternavn, og er man i besiddelse af begge dele, kan man gå ind og læse alt om din tur, ændre booking, siddeplads, antal bagage og ofte en række andre ting. 

Jeg betalte i øvrigt med Dankort, hvor mit navn også fremgår sammen med kortnummer, udløbsdato og pengeinstitut. Også noget, som butikken kommer i besiddelse af.

Hvad skal butikken med mine persondata?
Men hvad er årsagen til, at butikken indsamler alle de personoplysninger? Jeg tog fat i lufthavnens DPO og tænkte, at det måtte han kunne forklare. Svaret lød, at lufthavnen ikke havde noget med butikkerne i lufthavnen at gøre, og jeg måtte kontakte butikken, hvis jeg ville videre med sagen. Det gjorde jeg så, og forklarede dem problemstillingen. Men butikken henviste til DPO’en i lufthavnen. Der havde jeg jo været. Butikken prøvede nu at finde deres DPO, men det var lidt indviklet, viste det sig, da denne nok opholdt sig i Tyskland. Efter nogle skriverier frem og tilbage med butikken, fik jeg at vide, at de kun registrerer navn, flynummer og hvilket land man flyver til. Altså ikke alle oplysningerne på et boardingkort.

Ikke lovpligtigt
Jeg har så på egen hånd – uden at være ekspert på området – undersøgt, om det skulle være lovpligtigt at vise sit boardingkort. Det er det ikke! Der er heller ikke nogen sikkerhedsårsager.

Den eneste grund, jeg har kunnet finde er, at butikkerne kan få refunderet momsen på varer til passagerer, som rejser til et land uden for EU. Men så er det jo det, de skal spørge efter. Som det er i dag, registrerer de også passagerer, som flyver inden for EU. Det lyder unødvendigt. Hvor er den saglige begrundelse?

GDPR skal helt ud til kasseapparaterne
Jeg mener også, at sagen rejser en anden problemstilling. Personalet ude ved kasseapparaterne havde ikke nogen anelse om, hvorfor de bad om boardingkort. Jeg skal straks medgive, at det med kun to stikprøver er en noget uvidenskabelig undersøgelse, jeg har foretaget, men mit gæt er, at det nok ikke står meget bedre til hos det øvrige personale ved kasseapparaterne.

Det er vigtigt, at GDPR gennemsyrer organisationen. Implementering sker ikke ved, at juristerne, backoffice-funktioner eller ledelsen kender til reglerne (og min erfaring er, at det gør de altså ikke altid!). Det skal helt ud til skrankerne og kasseapparaterne. Personalet i frontlinjen behøver naturligvis ikke at være eksperter i GDPR, men de skal vide hvilke regler, der er relevante for dem.

Så sæt dog et skilt op ved kassen, hvor det står hvad de bruger personoplysningerne til!   

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle