Myter om GDPR og databehandling – sandt eller falsk?

Hvad må man, og hvad må man ikke, når det kommer til GDPR og databehandling? Dét kan være svært at blive helt klog på. Det betyder, at der med tiden er opstået en række myter omkring GDPR, som vi i denne artikel vil tage under kærlig behandling. Til at hjælpe os med det har vi allieret os med ingen ringere end Aida Radmilovic, der er juridisk rådgiver hos Dentsu Aegis Network.

MYTE 1. ”Du må gerne sende en e-mail til dine kunder om efterladt kurv, hvis de forlader din webshop med en kurv med varer i.”

FALSK, fordi…
En sådan mail kan kun sendes, hvis modtageren har givet samtykke til det, da beskeder om tabt kurv, ifølge Forbrugerombudsmanden, ikke betragtes som en servicemeddelelse, men markedsføring omfattet af spamforbuddet. 

MYTE 2. ”Det er bedre at opbevare dokumenter med personoplysninger digitalt frem for fysisk.”  

SANDT, fordi… 
Dette giver bedre mulighed for at indføre passende tekniske og organisatoriske foranstaltninger. Det kunne eksempelvis være automatisk sletning og adgangsstyring.  

MYTE 3. ”E-mails, der indeholder personoplysninger, skal altid krypteres.” 

SANDT, fordi… 
Det er et krav fra Datatilsynet, at man anvender kryptering ved transmission, når der sendes fortrolige og følsomme personoplysninger med e-mail. I starten af året skærpede Datatilsynet kravene til kryptering af mails i den private sektor. Dette tema har Datatilsynet haft fokus på i 2019 og har i løbet af foråret gennemført en række tilsynsbesøg hos private virksomheder.

MYTE 4. ”Man må ikke modtage uopfordrede ansøgninger pr. e-mail.”  

FALSK, fordi…
Datatilsynet har udtalt, at der ikke er problemer i at modtage ansøgninger på mail, så længe de ikke indeholder følsomme eller fortrolige oplysninger (hvilket de sjældent gør) - og hvis de gør, skal man selvfølgelig håndtere ansøgningerne forsvarligt, når først man har modtaget dem. Oplysninger som navn, adresse, mail osv. bliver nemlig karakteriseret almindelige personoplysninger, mens følsomme oplysninger kunne være helbredsoplysninger, seksuel orientering mv.

MYTE 5. ”Det er ikke en god idé at have fødselsdagslisten hængende på kontoret.” 

FALSK, fordi…
Det vil normalt være helt i orden at have en liste over folks fødselsdage hængende. Datatilsynet skriver endda, at de selv har en liste på intranettet. Man skal dog respektere, hvis en kollega ikke ønsker sin fødselsdato delt med andre.

MYTE 6. ”Hvis man laver en konkurrence på sociale medier, er det helt ok at bede deltagerne om at tagge andre for at deltage.”

FALSK, fordi… 
Det vil, ifølge Forbrugerombudsmanden, være i strid med markedsføringsloven, hvis virksomheder afholder konkurrencer, hvor en Facebook-bruger skal tagge en anden bruger for at deltage. Du må altså ikke have som betingelse, at man skal tagge nogen for at deltage.

MYTE 7.”Du må ikke længere spørge dine kollegaer om allergener og religiøse hensyn, når du bestiller mad til din næste firmafest.”

FALSK, fordi…
Du må gerne spørge dine medarbejdere, om der er noget, de ikke spiser, inden du bestiller mad til firmafesten. Dette kan både dække over en medarbejders allergier, helbred, tro, eller at man bare ikke bryder sig om en bestemt spise. Det er dog ikke nogen god idé at registrere, hvilke medarbejdere som har allergier eller en bestemt trosretning.

MYTE 8. ”Det er helt i orden at bruge video fra oplæg, fester mv. på din organisations sociale medier.”

FALSK, fordi…
Brug af billeder og videoer af ansatte på arbejde eller til fest på sociale medier kræver et samtykke fra den pågældende. De er i øvrigt altid en god idé at gennemgå billederne og sikre sig, at personerne ikke kan komme til at føle sig udstillet.

Vi håber, at det kunne afhjælpe den største GDPR-forvirring. Ellers er du velkommen til at sende yderligere GDPR-spørgsmål til din nærmeste dentsu kontakt. Så kan det være, at det er din myte, vi tager op næste gang, emnet falder på GDPR.