Illustrasjonsfoto: iStockphoto/Rett fra Ræder

Ett år med GDPR i horecabransjen

Søkeordet «GDPR» var ett av søkeordene som hadde flest treff på Google i mai 2018. Etter ett år med det nye regelverket er det fortsatt mange bedrifter som strever med hva GDPR innebærer for sine virksomheter.

Publisert

I Ræder har vi bistått en rekke hotell-, overnattings- og restaurantkjeder med å implementere nye rutiner i henhold til de GDPR-kravene. I denne utgaven av Rett fra Ræder deler vi noen sentrale erfaringer om bedriftene sliter med å få på plass.

Hva er GDPR?

GDPR er forkortelsen for det vi på norsk kaller personvernforordningen, som er vedtatt av EU og inkorporert i ny norsk personopplysningslov fra 2018. GDPR gjelder for alle virksomheter som behandler «personopplysninger». Dette begrepet kan kort forklares som alle opplysninger som knytter seg til en identifisert eller en identifiserbar person. Personopplysninger omfatter for eksempel navn, telefonnummer, e-postadresse, hotellbookinger, reisepreferanser, yrkeserfaring og personalmappe. Enhver virksomhet – dvs. alle som enten har én ansatt eller én kunde – må forholde seg til kravene GDPR stiller krav til virksomheten.

Oversikt over hvilke personopplysninger som behandles

Den vanligste utfordringen virksomheter sliter med, er å forstå hvilke personopplysninger som behandles i virksomheten, og ikke minst hvor disse opplysningene behandles og hvor lenge. Det er et krav etter GDPR at bedriften har kontroll over dette, og vi anbefaler derfor alle om å lage en slik «behandlingsoversikt». Det er utformet en egen mal som ligger fritt tilgjengelig på Datatilsynets hjemmeside som kan benyttes for slik oversikt. I kartleggingsarbeidet må bedriften stille seg følgende spørsmål:

  • I hvilke sammenhenger behandler vi personopplysninger? (eks personalmappe, lønnskjøring, nyhetsbrev, kontaktpersoner hos samarbeidspartnere o.l.)
  • Hvilke personopplysninger behandler vi?
  • Hvorfor behandler vi disse personopplysningene? (eks. for å betale lønn iht. arbeidsavtalen, for å oppfylle bokføringsplikter, for å sende markedsføring og andre tilbud til mottakere av nyhetsbrev)
  • Hvor lenge lagrer vi opplysningene og hvor lenge trenger vi opplysningene?
  • Hvor lagrer vi opplysningene? (eks. i personalmappe i låst skap, på lokal server, i eget dokumentsystem osv.)
  • Overfører vi opplysningene til andre (og hvis ja – til hvilke mottakere)?
  • Hvordan har vi mottatt opplysningene (direkte fra den det gjelder eller fra andre)?

Sikkerhetstiltak og avviksrapportering

Bevissthet omkring informasjonssikkerhet og avvikshåndtering blir stadig viktigere. Likevel ser vi at særlig mindre bedrifter ikke har et bevisst forhold til bruk av IT-systemer og håndtering av avvik. GDPR stiller strengere krav til virksomheter på dette området enn det som gjaldt tidligere. Enkelte systemer utgjør en særlig risiko, slik som bookingplattformer, spesielt der det lagres kredittkortinformasjon. Avvik i slike plattformer kan får store konsekvenser for den det gjelder og er derfor noe som tas svært alvorlig av tilsynsmyndigheter.

En praktisk vanskelig regel her er plikten til å varsle Datatilsynet om brudd på personopplysningssikkerheten innen 72 timer. For å reagere innenfor denne fristen har bedrifter ofte behov for en oppdatering av eksisterende rutiner og retningslinjer for avviksrapportering og -håndtering. Vi har bistått en rekke bedrifter med å lage systemer for å sikre at kravene til dette blir fulgt samt skape bevissthet blant ansatte om viktigheten av å følge sikkerhetskrav og -rutiner.

Databehandleravtale – trenger vi egentlig dette?

Vi ser ofte at virksomheter diskuterer seg imellom om hvorvidt det skal inngås databehandleravtale eller ikke samt hva innholdet av en databehandleravtale skal være. Dersom det inngås en databehandleravtale, har dette juridiske og kommersielle konsekvenser. Ikke sjelden opplever vi at det egentlig ikke er behov for databehandleravtale, og at det derfor benyttes unødvendig mye tid og ressurser på å forhandle og utarbeide slike avtaler.

Personvernerklæring og rettigheter hos den registrerte

GDPR stiller krav til at virksomheten gir enkel informasjon om hvordan personopplysninger behandles. Dette gjøres gjerne gjennom en personvernerklæring på hjemmesider eller lignende. Når vi arbeider med virksomheter ser vi at de færreste har slike personvernerklæringer, eller at informasjonen er mangelfull. Manglende informasjon kan føre til sanksjoner fra Datatilsynet. Ræder har god erfaring med å utforme slike personvernerklæringer, og kan gjerne bistå.

Trenger man samtykke?

Et praktisk viktig spørsmål for virksomheter i horecabransjen, er om og når samtykke er nødvendig for å behandle personopplysninger. Samtykkekravet gjelder kun der behandlingen ikke kan begrunnes i et av de andre relevante grunnlagene i GDPR – som avtale, rettslig forpliktelse eller en konkret interesseavveining. For de aller fleste behandlinger av personopplysninger som gjøres av virksomheter i horecabransjen, vil disse grunnlagene være tilstrekkelige. Det vil altså innebære at samtykke ikke er nødvendig.

Det som derimot gjør samtykke nødvendig i Norge, er markedsføringsloven. Etter markedsføringsloven er det krav om samtykke for å sende ut markedsføringshenvendelser til fysiske personer med kommunikasjonsmetoder som tillater individuell kommunikasjon (typisk e-post og SMS). Hvis virksomheten skal sende ut nyhetsbrev, kampanjeinformasjon eller tilbud på SMS/e-post, må samtykke derfor i utgangspunktet innhentes fra mottakeren. Et viktig unntak fra dette er der markedsføringshenvendelsen sendes til en eksisterende kunde som har oppgitt e-postadressen eller telefonnummeret i forbindelse med salg. Unntaket er begrenset til å gjelde henvendelser om tilsvarende varer eller tjenester som kundeforholdet bygger på. En campingplass kan for eksempel ikke sende tilbud til sine kunder om salg av elgkjøtt etter innehaveren er ferdig med elgjakta.

Dersom samtykke er nødvendig, blir spørsmålet hvordan dette skal gjøres på en enklest mulig måte. Vår anbefaling er at samtykke innhentes ved at mottakeren krysser av i en egen boks på et skjema eller lignende om at vedkommende takker ja til å motta nyhetsbrev/tilbud o.l. i forbindelse med innhenting av telefonnummeret eller e-postadressen. Her er det viktig å gjøre vedkommende oppmerksom på at de også kan ta kontakt for å melde seg av slike henvendelser, og på hvilken måte de kan gjøre det – for eksempel ved å klikke på en unsubscribe-knapp. Ellers gjelder at samtykke alltid skal være frivillig og eksplisitt. Det kan m.a.o. ikke stilles forutsetning for å reservere et hotellrom at kunden også samtykker til å motta nyhetsbrev.

Utsendelse av nyhetsbrev, markedsføring og lignende uten samtykke der dette er nødvendig, kan medføre bøter og andre sanksjoner fra Forbrukertilsynet. Dersom man er usikker på om det er lovlig å sende henvendelsen uten å innhente samtykke, anbefaler vi å innhente samtykke for å være på den sikre siden eller innhente en juridisk vurdering av spørsmålet.

Denne saken sto på trykk i magasinet Horeca, nummer 4 2019

Lik og følg gjerne magasinet Horeca på Facebook og Instagram (søkeord horecanytt)

Du kan abonnere på gratis nyhetsbrev fra magasinet Horeca/Horecanytt.no her

Her kan du abonnere på magasinet Horeca

Advokatfirmaet Ræder kjenner horecabransjen

Uansett om du står fastlåst i en konflikt eller ønsker å være føre var, gir advokatfirmaet bedriftseiere, ledere og personalansvarlige gode og strategiske råd.

Nina Wilborn



nwi@raeder.no

Ole André Oftebro



oao@raeder.no

Powered by Labrador CMS