En introduksjon til GDPR for arrangører
GDPR — den kryptiske bokstavkombinasjonen på “alles lepper” de siste månedene. General Data Protection Regulation, si det høyt. Fort. Fem ganger. På godt norsk kalles det EUs forordning for personvern.
25. mai 2018 innføres forordningen som norsk lov, og alle virksomheter som samler inn eller bruker personopplysninger må forholde seg til den og følge reglene.
Datatilsynet har sammenfattet mye nyttig informasjon om GDPR her.
I korte trekk handler det om at du og jeg som privatpersoner skal
- ha kontroll på våre egne personopplysninger
- være trygge på at de håndteres sikkert der vi legger de igjen
- vite hva opplysningene brukes til
For virksomheter stilles det en rekke nye krav omkring håndtering av personopplysninger, bruken av slik data og håndtering av avvik.
I forbindelse med billettsalg gjennom DX samler arrangører personopplysninger i varierende grad, men med e-postadresse som et minimum. Det betyr at både DX og arrangører må oppfylle kravene i forskriften.
I GDPR-sammenheng er arrangører som bruker DX til billettsalg å anse som behandlingsansvarlig, mens DX er databehandler. Du kan lese mer om rollene GDPR definerer her.
Hva gjør DX
Systemtilpasninger
Vi har det siste året jobbet aktivt med å tilpasse og gjøre oss klare for de nye kravene, og vil være “GDPR-compliant” innen forskriften trer i kraft 25. mai 2018.
Dokumentasjon
Vi utarbeider nye personvernerklæringer og samtykkeerklæringer som oppfyller kravene i GDPR for informasjon som vi henter inn for å
- utvikle og forbedre våre (DX) tjenester
- gjøre tilgjengelig for arrangørene (for e-postmarkedsføring o.l.)
I tillegg kreves det at behandlingsansvarlig (arrangør) inngår en databehandleravtale med databehandler (DX). Vi har utarbeidet en tilstrekkelig avtale sammen med advokater, og vil distribuere denne for “signering” til alle våre arrangører innen GDPR trer i kraft.
Lagre opplysninger uten samtykke
Fra varen (billetter) kjøpes og fram til levering (arrangementet er gjennomført) lagrer vi opplysninger om kunden uten at det krever samtykke. Dette fordi det er nødvendig å kunne kontakte kunden ved endringer, avlysninger eller andre praktiske forhold.
Personopplysninger som kunden ikke har samtykket til å lagre, vil anonymiseres i DX en tid etter at arrangementet er gjennomført.
Dataportabilitet
Et viktig moment i GDPR er at brukere skal ha mulighet til å “ta med seg” personopplysninger lagret i en tjeneste og flytte over til en annen.
Et teoretisk eksempel på dette kan være at jeg som privatperson ønsker å bytte fra Netflix til HBO. Forutsatt at begge disse tjenestene forholder seg til GDPR, kan jeg eksportere min “smaksprofil” fra Netflix og legge den i HBO for å få treffsikre filmforslag der.
For vår del dekker vi dette gjennom å bygge inn eksport funksjonalitet i publikums “min side”-område på www.ebillett.no
Innsyn
Kunder har rett til å be om innsyn i hvilke data som en tjeneste har lagret om vedkommende. Denne retten ivaretas gjennom det samme “Min side”-området på www.ebillett.no
Slette opplysninger
Brukere kan også kreve sletting av informasjon. Ved slike forespørsler direkte fra kunder eller via arrangør vil vi gjennom interne verktøy slette og/eller anonymisere alle opplysninger knyttet til kundeforholdet som har forespurt sletting.
E-postadresser for markedsføring
Gjennom vår tjeneste eBillett er det mange arrangører som har bygget seg opp lister med e-postadresser som i forbindelse med kjøp har samtykket til å motta informasjon/markedsføring.
Disse listene kan fortsatt brukes til markedsføring, men med en viktig begrensning:
De kan kun brukes til generell markedsføring gjennom epostutsendelse.
Det vil si at du kan sende ut den samme e-posten til alle e-postadressene, men du kan ikke segmentere listen basert på kjøpshistorikk. Du kan heller ikke benytte disse listene til å generere egendefinerte publikum i Facebooks annonseverktøy o.l.
Om kort tid vil de nye samtykkene være på plass, og man kan rette segmentert/personlig markedsføring mot de kundene som har godtatt dem.
I eksport av disse listene fra våre systemer vil dere etterhvert se at e-postadresser vil identifiseres med hvorvidt de har begrensede eller utvidede samtykker. Vi kommer også til å lage guider på vår support-portal som viser hvordan våre arrangører skal forholde seg til det.
Hva må jeg som arrangør gjøre?
Som arrangør operer du ihht. GDPR når du bruker DX’ systemer. Utover det vil de fleste arrangører også måtte tilpasse seg de nye kravene i forbindelse med andre deler av sitt virke.
De viktigste momentene for arrangører vil (etter vår mening) være
- Å ha kontroll på hvor du lagrer personopplysninger (tredjeparter)
- At disse tredjepartene forholder seg til GDPR. Det vil blant annet bety at du må inngå databehandleravtale med alle disse.
- Å innhente dokumenterbare samtykker for bruk av opplysningene (utover den bruken som vi innhenter samtykker for i forbindelse med billettkjøp)
- Innføre rutiner og prosesser som sørger for at dere kan etterkomme kravene om dataportabilitet og forespørsler om sletting av opplysninger
Det enkleste er å starte med å kartlegge hvilke kontaktpunkter som finnes mellom din virksomhet og ditt publikum. Ut fra dette kan du detaljere hvor du eventuelt innhenter, lagrer og bruker opplysninger som du samler inn.
Selv om det er mye arbeid for virksomheter å tilpasse seg GDPR, er det for deg og meg en bra forskrift. Den vil sikre oss som privatpersoner trygge rammer i de stadig mer digitale livene vi lever.
Datatilsynet har veldig mye bra informasjon om forskriften. Dersom du ikke allerede har vært innom, anbefaler jeg deg å ta en titt her. 👈
Lykke til!
PS! Dersom du har spørsmål om GDPR i ditt forhold til DX inviterer jeg deg til å starte en chat når du er innlogget på DX, så snakkes vi der!
