En abonnementsforretning GDPR og persondata er selvfølgelig underlagt de samme regler som alle andre. Ifølge databeskyttelsesforordningens artikel 30 skal en virksomhed føre en fortegnelse, hvor man detaljeret fortæller om, hvordan man behandler de personoplysninger, man kommer i besiddelse af. Reglerne beskrives også på gdpr.dk.
For at kunne oprette et abonnement har virksomheden brug for en række personoplysninger, der er nødvendige for at kunne levere den lovede ydelse. Det vil typisk være navnet på køber/bruger, virksomheds navn og CVR-nummer, mailadresse, telefonnummer og måske fysisk adresse. Måske vil det være en fordel at kende alder, køn, antal børn, bolig og lign.
Hvis abonnementsforretningen har brug for at opbevare disse oplysninger i hele medlemsperioden, skal den kunne dokumentere HVORFOR og HVORDAN oplysningerne opbevares samt HVOR LÆNGE.
Samtykke:
Indhentning af samtykke er en af hjørnestenene i GDPR. Desværre er det her, mange virksomheder støder på udfordringer. Nøgleordene til hvordan du overholder reglerne er, at samtykket skal være:
- Frivilligt: Det betyder, at forbrugeren skal have et reelt valg og frihed med hensyn til at give samtykke. For eksempel skal tjenester ikke gøres betingede af samtykke, medmindre samtykket er absolut nødvendigt for tjenestens levering.
- Specifikt: Samtykke bør ikke være generelt. Forbrugeren skal give samtykke til en specifik behandling af persondata, og ikke forvente at forbrugeren giver en blankocheck til at indhente hvad som helst.
- Informeret: Virksomheder skal give klare oplysninger om, hvordan data vil blive brugt, før samtykke indhentes. Dette inkluderer formålet med dataindsamling og potentielle tredjepartsdelinger.
- Utvetydigt: Samtykket skal gives aktivt, enten gennem en erklæring eller en klar bekræftende handling.
Dataansvarlig og databehandler:
GDPR introducerede klare roller og ansvarsområder med hensyn til databehandling:
- Dataansvarlig: Som en virksomhed, der bestemmer formålene og midlerne til behandling af persondata, bærer du det primære ansvar. Det indebærer at sikre, at persondata behandles i overensstemmelse med GDPR’s principper og beskyttes ordentligt.
- Databehandler: Hvis du bruger tredjepartstjenester, som f.eks. cloud-tjenester eller analyseværktøjer, der behandler data på dine vegne, bliver disse tjenester betragtet som databehandlere. Selvom de ikke er direkte ansvarlige på samme måde som dataansvarlige, er de stadig forpligtede til at overholde GDPR. Derfor skal enhver aftale med en databehandler inkludere bestemmelser, der sikrer beskyttelse af persondata.
Retten til indsigt, rettelse, sletning mv.:
Forbrugeres rettigheder under GDPR er omfattende:
- Retten til indsigt: Forbrugere har ret til at vide, hvilke af deres persondata du behandler, hvorfor du behandler dem, hvem du deler dem med, og hvor længe du opbevarer dem.
- Retten til rettelse: Hvis en forbruger finder ud af, at de oplysninger, du har om dem, er unøjagtige eller ufuldstændige, har de ret til at bede om korrektion.
- Retten til sletning: Også kendt som “retten til at blive glemt”. Under visse omstændigheder kan forbrugere bede om, at deres data slettes, f.eks. hvis data ikke længere er nødvendige for det formål, de blev indsamlet til, eller hvis de tilbagetrækker deres samtykke.
- Indsigelse mod behandling: Forbrugere har også ret til at gøre indsigelse mod bestemte typer databehandling, især direkte markedsføring.
Ved at forstå og korrekt implementere abonnements GDPR og persondata kan abonnementsvirksomheder sikre sig, at de ikke kun overholder loven, men også opbygger stærkere og mere tillidsfulde relationer med deres kunder.
