FDIH: Virksomhed bag persondata-app bryder tilsyneladende markedsføringsloven

WeAreDavid-appen tilbyder uden samtykke sine ydelser til virksomhederne. Og det er i strid med loven, vurderer FDIH.

App’en WeAreDavid vil gøre det nemt for private at gøre brug af den såkaldte indsigtsret, der indebærer, at en registreret person har mulighed for at få indsigt i, hvilke personoplysninger der bliver behandlet om en, samt hvilke behandlinger virksomheden foretager.

Problemet er bare, at WeAreDavid tilsyneladende samtidig bryder markedsføringslovens paragraf om spam. Det vurderer Foreningen for Dansk Internet Handel (FDIH), som nu vil rette henvendelse til Forbrugerombudsmanden, skriver foreningen i en nyhed.

I WeAreDavid-appen er der oplistet en række virksomheder med navn og logo, så personer, der har oprettet sig hos WeAreDavid, meget nemt ved blot at klikke på et eller flere logoer kan sende sine indsigtsanmodninger til virksomhederne.

Derefter modtager virksomheden en mail fra WeAreDavid med et link, som virksomheden kan benytte til at besvare anmodningen. Mailen indeholder også reklame og oplysninger om WeAreDavids ydelser, oplyser FDIH.

FDIH har efter henvendelse fra et af FDIH’s medlemmer kigget nærmere på WeAreDavid.

»Baggrunden for tilbuddet er tilsyneladende ikke kun et fromt ønske om at hjælpe personer med at udøve deres rettigheder efter GDPR, men at markedsføre egne ydelser. WeAreDavid tilbyder således i mailen virksomhederne hjælp til bl.a. at håndtere indsigtsanmodninger til priser på mellem 0 - og 1.999 kr. pr. måned,« siger FDIH's chefjurist, Tina Morell, ifølge nyheden.

Ifølge Tina Morell overtræder virksomheden bag app’en dermed markedsføringsloven.

»Det er min umiddelbare vurdering, at henvendelsen udgør en overtrædelse af markedsføringslovens § 10, om spam, fordi WeAreDavid uden samtykke tilbyder sine ydelser til virksomhederne. Vi overvejer derfor at rette henvendelse til Forbrugerombudsmanden for at få hendes øjne på sagen.«

Steen Bøttzau Haunstrup, der er CEO, skriver i en kommentar til nyheden, at man tager påstanden meget alvorligt, men afviser, at der er tale om spam:

»Vores kommunikation til de virksomheder, som en bruger kontakter gennem app’en, er alene en servicemeddelelse efter markedsføringsloven. Der er altså ikke tale om spam. Det fremgår også af den vejledning, Forbrugerombudsmanden præsenterede sidste år omhandlende spamforbuddet. Men for at undgå enhver tvivl har vi selv rettet henvendelse til Forbrugerombudsmanden. Skulle det mod forventning vise sig, at noget skal justeres, gør vi selvfølgelig det,« skriver han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
James Jones

Min virksomhed har besluttet sig ikke at besvare WeAreDavid spam.

  1. Der sendes et link til en portal -- hvordan forventes vi at vide om deres portal er sikker?? Hvorfor skulle vi stole på dem?? Vi sender sgu aldrig fortrolige personoplysninger igennem en tredjepart. Det er mega usikkert.

  2. Det eneste vi modtager er et navn. Hvordan forventes vi at identificere vedkommende KUN med et navn? Og desuden stole på at den der har lavet anmodningen fra WeAreDavid egentligt er den hvis oplysninger vi har -- hvis vi nu overhovedet vidste om det var Lars Jensen 1/2/3/ eller 4.

Fuldstændig latterlig service.

Robert Winther

Jeg har testet App'en og jeg er ikke imponeret:

Der er ingen mulighed for at jeg kan tilføje relevante informationer til mine forespørgsler om indsigt, så som kundenumre eller andre informationer som virksomhederne skal bruge for at kunne finde mine data (jeg vælger selv mit navn når jeg opretter mig, og der er flere med mit navn i Danmark).

Så; nemt for brugerne i første omgang, men uden verifikation af brugerne og uden de nødvendige informationer fra starten så ender jeg formentlig med at brug mere tid på sigt end hvis jeg kunne tilføje de informationer jeg VED er nødvendige.

API-error og søgefunktionen er heller ikke for god: Langsom, samme firma flere gange i samme kategori m.v.

Peter Pedersen

@James Jones fra ukendt firma (?)

...Så hvis en registreret skriver til jer direkte på e-mail så vil i ikke svare på henvendelsen ? Eller hvis nogen ringer ind og beder om indsigt?

Den går vist ikke...

Uanset hvordan i får en henvendelse fra en registreret (via app, e-mail eller noget 3.) vil jeg anbefale at i tager den seriøst, medmindre i ligefrem opsøger at "få en sag" hos Datatilsynet...

Det er jo forholdsvist nemt at kontrollere at den registrerede er den der beder om indsigt m.v.

I kan skrive tilbage til vedkommende via mail og bede om yderligere oplysninger til verificering. Det kan adskillige andre Datansvarlige finde ud af....

Held og lykke med at overholde GDPR...

Jens Clausen

@Peter Pedersen
Det er ikke muligt at skrive tilbage på mails fra WeAreDavid. De er sendt fra en noreply adresse, og det eneste der står i mailen er det navn brugerne har oprettet sig med hos WeAreDavid.

Den eneste måde at skrive tilbage til brugeren, er ved at oprette sig hos WeAreDavid og benytte deres system, hvorved man så opfordre brugeren til at sende potentielle personoplysninger via dem, for at kunne identificere brugeren i sit eget system.

Datatilsynets egen vejledning skriver:
"Hvis det ikke fremgår klart af anmodningen, hvem der søger indsigt, og man som dataansvarlig ikke har mulighed for at komme i kontakt med den borger, der søger indsigt for at afklare det, er den dataansvarlige ikke forpligtet til fx at registrere sig på en bestemt platform eller app for at kunne besvare anmodningen."
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/nov/indsi...

Peter Pedersen

Ok, jeg var ikke klar over at den besked der blev sendt til Dataansvarlige var anonymiseret i en sådan grad, at Dataansvarlige ikke umiddelbart kunne tage kontakt til registrerede... Men selv i dette tilfælde bør Dataansvarlige ikke "generelt" afvise at behandle anmodningen, hvis de f. x kun har en kunde med det specifikke navn må de kontakte kunden og bede om bekræftelse, på linie med andre henvendelser...

Henrik Biering Blogger

Spamproblemet er selvfølgelig væsentligt, men det mest problematiske ved WeAreDavid er den fuldstændige mangel på autentifikation. Ikke engang email valideres ved oprettelsen og de oplysninger der afgives er jo langt fra entydige mht at udpege et specifikt datasubjekt.

Derfor vil det første trin ved modtagelse af begæringer via en sådan App altid være at kontakte det formodede datasubjekt og bede denne bekræfte at det er vedkommende, der har afgivet begæringen. Først via en sådan simpel autentifikation sikrer man sig hjemmel til at udføre den behandling begæringen indebærer.

Når resultatet af begæringen skal kommunikeres til skal sikkerheden omkring denne yderligere skærpes svarende til det sikkerhedsniveau der modsvarer følsomheden af oplysningerne.

Det kan godt være at der ligger de bedste intentioner bag WeAreDavid, men da det er oplagt at lave sådanne apps med henblik på phishing af følsomme oplysninger (der kan benyttes til afpresning af kriminelle) og chikane (fra konkurrenter) er det nødvendigt at handlende forholder sig kritisk til sådanne apps indtil der evt. kommer en autorisationsordning (Datatilsynet? måske afledt af kravene i NSIS) eller den enkelte app sørger for at sikre at henvendelser er troværdige og autentificerede.

En god idé til WeAreDavid og de mange lignende app's kunne være at de henvendelser, man genererer til virksomheder er NemID signerede og entydigt identificerer datasubjektet. Så ville de rent faktisk udføre en nyttig funktionalitet i markedet.

Steen Haunstrup

Tak for god input og både ris og ros her i kommentarsporet fra @James Jones, @Robert Winther, @Jens Clausen, @Peter Pedersen og @Henrik Biering, som med al tydelighed har interesse og holdninger til persondata og dataetik - og kan se både vigtighed og potentiale heri. Det er vi virkelig glade for at se. Interesse i emnet er nemlig en forudsætning for at opnå en bedre balance i rettighederne til personlige data og brugen af dem.

Som Co-founder og CEO i WeAreDavid, kan jeg se i debatten, at der er nogle misforståelser omkring og manglende indsigt i, hvordan platformen fungerer. Så lad mig forsøge at rydde dem af vejen her.

Virksomheder vælger selv deres kanal
Det fremgår af debatten, at virksomheder skal svare borgeren (dataobjektet) tilbage via WeAreDavid. Det er ikke korrekt. I den anmodningsmail, som virksomhederne modtager fra brugerne af appen, fremgår brugerens fornavn og efternavn. Kontaktdata kan virksomhederne tilgå helt gratis. Alt det kræver er, at de opretter en brugerprofil i WeAreDavid, hvilket kan gøres kvit og frit. Derefter kan virksomheden helt selv vælge, om den ønsker at besvare forespørgslen via vores løsning eller gennem en anden kanal, som de selv foretrækker.

Hvorfor skal virksomheder logge ind?
Login-løsningen er valgt af flere årsager. Mail som kommunikationskanal ikke sikker. Vi ønsker ikke at udsætte en borger eller virksomhed for en potentiel svaghed i setuppet, hvor persondata risikerer datalæk. Login’et giver også virksomheder mulighed for selv at bestemme, hvilke medarbejdere der skal have adgang. Det er vigtigt i forhold til dokumentation i en auditering af egne processer. Og hvis nu datatilsynet skulle komme på besøg. Som en sidebemærkning er login også et ret velkendt fænomen. Fx skulle jeg oprette en bruger på Version2 for at kunne kommentere på disse indlæg.

Er platformen sikker?
Sikkerhed er helt naturligt det absolutte vigtigste element i vores løsning. Vi benytter den seneste og bedste teknologi på området til at sikre maksimal sikkerhed. Alle data ligger krypteret. Så skulle vi blive udsat for et angreb, vil eventuelt lækkede data ikke kunne bruges. Vi har teamet up med nogle af det bedste kapaciteter på området. Heriblandt Lars Neupart, det er stifter og ejer af Neupart, hvis kerneforretning er IT-sikkerhed. Det er måske også værd at nævne, at en af de største amerikanske cybersecurity virksomheder i Fortune 500, bruger vores virksomhedsløsning. Vi kan dog altid blive bedre til at kommunikere vores indsats for at skabe en sikker platform. Det input vil vi bestemt tage med videre.

Sikring af anmoders ID
Det er helt korrekt, at vi endnu ikke har to-faktor godkendelse. Som det er nu, bruger vi en almindelig mailverificering, når man opretter en brugerprofil. Det giver modtageren mulighed for indrapportere misbrug, hvis de ikke har oprettet en profil. Vi kommer snart med en opdatering af app’en, hvor brugeren kan indsætte flere informationer som fx telefonnummer, adresse, mail nr. 2 osv.. Vi kommer også senere på året med en to-faktor godkendelse. NemID er bestemt en mulighed, men desværre kun en teknisk løsning, vi bruger i Norden, og behovet rækker ud over vores landegrænse. Det bør måske bemærkes, at der i GDPR-lovgivningen står, at det er virksomhedernes opgave at verificere, at datasubjektet også er den, han/hun siger de er. Det gøres ved at stille kontrolspørgsmål.

Kan man tilføje relevant information i app’en?
Ja, det kan man naturligvis. Som bruger kan man tilgå samlingen af de virksomheder, man har sendt forespørgsler til. Klikker man på en given virksomhed, kan man sende yderligere information til virksomheden. Så det er ikke korrekt, at det ikke er en mulighed.

Hvad siger Datatilsynet?
Datatilsynet har slået fast, at henvendelser om håndhævelse af de registreredes rettigheder via apps, skal behandles som reelle henvendelser i henhold til databeskyttelsesreglerne. Se således Datatilsynets udtalelse af 14. november 2018, “Indsigt gennem apps - hvorfor og hvordan?”. Vi opfordrer selvfølgelig alle virksomheder til at følge dette krav fra Datatilsynet. Interesserede kan i øvrigt læse vores fulde reaktion til FDIH artiklen her: https://bit.ly/2GVIRq5

Arbejdet fortsætter
Vi modtager meget gerne yderligere input på sth@wearedavid.com - ligesom I kan følge os og vores arbejde på LinkedIn og Facebook.

Alle der har bygget software ved, at man aldrig bliver færdig med at bygge. Der er altid forbedringer og større tiltag, der skal laves. Vores app er stadig i en ‘soft launch’ version, og derfor sætter vi virkelig pris på input, inden vi for alvor går live. Så vi fortsætter udviklingsarbejdet. For at indfri vores mission om at give forbrugere nemmere adgang til deres egen data samt gøre det nemt for virksomheder at efterleve GDPR-reglerne. Endnu en gang tak for kommentarerne.

På Vegne af Team WeAreDavid
Steen Haunstrup, CEO & Co-founder

Jens Clausen

@Steen Haunstrup

I Datatilsynets udtalelse fra den 14. november 2018, som du henviser til, skriver de også at den dataansvarlige ikke forpligtet til fx at registrere sig på en bestemt platform eller app for at kunne besvare anmodningen.
Det er vel netop de I kræver jvnf. dit punkt "Virksomheder vælger selv deres kanal", hvor man skal oprette en bruger hos jer, for overhovedet at kunne vælge en anden kanal (se brugerens kontaktdata).

Steen Haunstrup

@Jens Clausen

Ja, det er korrekt at virksomheden skal oprette en profil hos os, hvis man ønsker at se yderligere kontaktpunkter på borgeren. Der er det trade off der er, når sikkerhed vinder over convenience. Det betyder dog ikke, at vi forlanger, at virksomhederne svarer via vores løsning. Man kan blot hente kontaktdata og bruge andre systemer - det blander vi os ikke i.

Jeg synes også det er vigtigt at nævne, at borgeren aktivt har valgt en kommunikationskanal til dataindsigt. Man har som virksomhed dermed har en opgave i, at imødekomme borgeren. Ud over at det er god kundeservice at lytte til kundernes valg og ønske om foretrukne kanal, så skal virksomhederne, i henhold til GDPR, som udgangspunkt svare på den måde, som den registrerede ønsker, da virksomhederne skal lette udøvelsen af de registreredes rettigheder.

Henrik Biering Blogger

Hej Steen, jeg synes du sætter tingene på hovedet. Du skaber jo ikke sikkerhed frem for convenience, men åbner (som forretningsmodel) et kæmpehul for kriminel phishing adgang til persondata.

Du skriver at det er virksomhedernes egen pligt at sikre sig at man ikke behandler oplysninger på et forkert grundlag, f.eks. på begæring af en anden person, der udgiver sig for at være datasubjektet. Men du overser at WeAreDavid også er en virksomhed og dermed underlagt persondataforordningen.

Jeg vil anbefale dig at starte med de helt grundlæggende Artikler 5-6 i forordningen. Her de væsentligste uddrag:

5 stk 1, punkt d) Personoplysninger skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

WeAreDavid må altså ikke videregive oplysninger til det erklærede højrisiko-formål, som indsigts- og dataportabilitetsbegæringer er, medmindre man har gjort rimelige tiltag til validering af brugerne. Som du skriver kan mulighederne for validering variere fra land til land, men det berettiger ikke til at gå efter den laveste fællesnævner. Man skal udnytte de tekniske og praktiske muligheder, der måtte være tilstede i brugerens jurisdiktion.

5 stk. 1, punkt c) Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

WeAreDavid må altså ikke videregive (= behandling) oplysninger, der er utilstrækkelige til det erklærede højrisiko-formål, som indsigts- og dataportabilitetsbegæringer er.

6 stk. 1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende ....
Ingen af disse hjemler kan gøres gældende for behandlingen, hvis WeAreDavid ikke er rimeligt sikker på at en person, der opretter sig som f.eks. Lars Løkke Rasmussen reelt også er denne person. For mange tjenester som f.eks. webbutikker og spilletjenester, som kun agerer direkte med brugeren er risikoen ved at anvende et forkert navn som pseudonym meget begrænset og kravet til validering/berigtigelse derfor tilsvarende lavt. Men når man som WeAreDavid har til formål at udveksle data med andre virksomheder er risikoen enorm og man skal være helt sikker på at det faktisk er det reelle datasubjekt, man har indgået aftale med, har samtykke fra eller tjener en legitim interesse for.

Du - og måske også datatilsynet - overser også at firmaer kan have hundreder (XXX) af brugere med det samme navn. Her står virksomhederne altså med din forretningsmodel i et dilemma om man uden hjemmel skal grave i (=behandle) oplysninger for XXX-1 brugere (eller XXX, hvis den pågældende ikke er blandt de registrerede) eller opfylde svarpligten for den (muligvis) ene bruger.

Den persondatamæssigt mest forsvarlige måde at løse dette problem på vil utvivlsomt være at virksomhederne svarer direkte tilbage pr. mail til WeAreDavid (sth@weredavid.com) om at oplysningerne er utilstrækkelige til at identificere datasubjektet og beder WeAreDavid om enten straks at fremsende tilstrækkelige oplysninger eller meddeler brugeren at man ikke vil hjælpe ham med dette og at brugeren derfor må kontakte virksomheden direkte med de fornødne oplysninger (list eventuelt hvilke). På den måde sikres det at man ikke behandler data for andre brugere uden grundlag for dette.

Steen Haunstrup

Hej Henrik

Tak for din kommentar.

Det er korrekt, at principperne for behandling af personoplysninger skal overholdes. Det skal de altid.

I det tilfælde, hvor en registreret søger indsigt mv. gennem vores app, er situationen dog den, at det er den dataansvarlige, som modtager anmodningen, som har ansvaret for den videre identifikation af den registrerede.

Efter artikel 12 i databeskyttelsesforordningen skal den dataansvarlige således gøre det let for den registrerede at udøve sine rettigheder. Se således også side 10 i Datatilsynets vejledning om de registreredes rettigheder. Her fremgår det, at det er den dataansvarlige, der skal sikre identiteten af den registrerede.

Det kan således ikke generelt pålægges os at foretage sikringen af identiteten af den registrerede forud for afsendelse af en forespørgsel.

Det videre forløb, hvor identifikation af den registrerede er det naturlige første trin, er således den dataansvarliges ansvar. Identifikationen af den registrerede kan selvsagt ske på andre måder end gennem app'en.

Jeg kan endelig forstå, at du ikke nødvendigvis er enig med Datatilsynet. De kan som andre naturligvis tage fejl, men her har vi dog pænt og ordentligt valgt at følge deres vejledning.

Af samme årsag kan det heller ikke undre, at Datatilsynet faktisk har udtalt, at anmodninger gennem apps skal tages alvorligt:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/nov/indsi...

Din pointe, at principperne i art. 5 skal overholdes, er god, men princippernes tyngde lettes, når behandlingen sker af den registrerede selv. Selv samme principper fører snarer til det omvendte resultat, nemlig at det er den dataansvarlige, der skal sikre identiteten - og det kan ske på forskellig vis efter Datatilsynets vejledning.

Henrik Biering Blogger

Hej Steen, du vælger igen at se bort fra at WeAreDavid er selvstændigt dataansvarlig for den tjenesteydelse du tilbyder vedr. indsigtsbegæringer. I og med at du foretager en filtrering af de identifikationsoplysninger dine brugere afgiver til dig og må formode at du loyalt videregiver for at begæringen kan efterkommes, er du fuldt dataansvarlig for eventuel utilstrækkelig videregivelse. Og Datatilsynet skriver jo klart i sin udtalelse at du og dine brugere ikke kan forlange at virksomhederne registrerer sig på en sådan tredjepartstjeneste.

Du kan undgå at være selvstændigt dataansvarlig ved at begrænse din aktivitet til virksomheder, du har registreret som kunder og indgået en databehandleraftale med. Det er sådan GDPR er skruet sammen.

Du kan muligvis også tørre dataansvaret af på dine registrerede brugere, hvis du tydeligt gør opmærksom på at du til øvrige virksomheder kun vil fremsende brugerens navn og loyalt oplyser at dette i mange tilfælde ikke vil være tilstrækkeligt til at virksomheden kan identificere dem og dermed efterkomme begæringen.

Jeg er slet ikke uenig med datatilsynets udtalelse. Jeg har blot lidt mere specifikt fokuseret på nogle praktiske problematikker omkring processen med at validere identiteten på den person, der søger indsigt uden at udsætte talrige andre brugeres data for uhjemlet behandling i denne proces.

Uden at gå nærmere ind på hvordan dette gøres bedst, konkluderer Datatilsynet:

Det kan med andre ord i sidste instans betyde, at den dataansvarlige ikke kan besvare anmodningen, hvis den er indsendt gennem en platform, der kræver, at den dataansvarlige også benytter platformen.

Derfor håber jeg at du er enig med mig i at den procedure, jeg beskrev i nederste afsnit af mit forrige indlæg er den optimale set ud fra et samlet sikkerheds- og databeskyttelsesmæssigt samt forretnings-etisk perspektiv. Den sikrer at den person, der begærer indsigt ALTID vil få et relevant svar, der kan hjælpe vedkommende med at komme videre med begæringen.

Peter Pedersen

"Jeg har blot lidt mere specifikt fokuseret på nogle praktiske problematikker omkring processen med at validere identiteten på den person, der søger indsigt uden at udsætte talrige andre brugeres data for uhjemlet behandling i denne proces."

Kan du forklare hvad du mener med sidste led i denne sætning? Der vil jo som udgangspunkt næsten altid være hjemmel til at behandle personoplysninger hos den/de registrerede i fht. at kunne identificere/adskille kunder/indsigtsanmodere ved brug af udelukkelsesmetoden. Uanset om hjemmelen findes i interesseafvejningsreglen eller cpr-loven eller et helt 3. sted.

Hvis der f. eks. bedes om indsigt i kameraoptagelser hvorpå andre registrerede figurerer kan man jo ikke bare afvise en sådan anmodning (generelt) ved at henvise til at man, ved at efterkomme et ønske om en indsigtsanmodning, komprommitterer de andre registreredes personoplysninger (læs: udsætter registrerede for uhjemlet behandling). Det rigtige må i stedet være at at man evt. anmoder indsigtsanmoder specificere sin forespørgel (tidsmæssigt) og sidenhen udleverer oplysningerne på en måde hvorpå de andre registrerede anonymiseres så deres personoplysninger ikke kompromitteres i forbindelse med en anden registreret indsigtsanmodning.

Hvis "Jens Jensen" beder om indsigt via WeareDavid appen, kan den dataansvarlige kontakte anmoder via den angivne e-mail adresse og det at anmodningsmodtager behøver at oprette en bruger for at få adgang til yderligere verificeringsoplysninger (e-mailadresse) ligger ikke udenfor hvad man med rette kan "forlange" af en ansvarlig dataansvarlig, der skal foretage en identifikation for at være/opnå compliance.

Identifikationsproblematikken er det mindste problem Dataansvarlige har, i fht. at give indsigt som begæret, og hvis man end ikke formår dét (fordi man finder det for bøvlet), har man et forklaringsproblem overfor registrerede.

Steen Haunstrup

Hej Henrik

Tak for dine præciseringer. De er meget brugbare.

Vi arbejder henimod identitetsvalidering - det giver sig selv. Det vil vi på sigt rigtig gerne kunne tilbyde som en service til virksomhederne.

Indtil da er det dog vores vurdering, at vi som den dataansvarlige for de oplysninger, vi behandler for brugerne, er berettigede til alene at sende et navn til de virksomheder, vores brugere vil bruge deres rettigheder overfor.

Det er Datatilsynet enig med os i, hvis man læser deres udtalelse, hvoraf det fremgår, at anmodninger via apps skal behandles som rigtige anmodninger efter reglerne.

Efter dataminimeringsprincippet kunne man ligefrem argumentere for, at vi - nu hvor vi har Datatilsynets udtalelse - ikke er berettigede til at sende andet og mere end et navn på den registrerede, da navnet netop er fit for purpose: At aktivere den dataansvarliges ansvar til at behandle anmodningen. Sendte vi flere personoplysninger, sendte vi principielt set for mange - og det må man jo som udgangspunkt ikke.

Og så er jeg nødt til at pointere, at du misforstår det citat fra Datatilsynet, du har fremhævet.

Pointen er ikke, at hvis ikke der allerede er foretaget relativ entydig identifikation af brugeren, når anmodningen kommer frem til den dataansvarlige virksomhed, behøver virksomheden ikke gøre yderligere.

Det er præcis det modsatte, Datatilsynet skriver.

Pointen er snarere, at hvis navnet ikke er nok - hvilket det ganske ofte, trods alt, vil være - skal virksomhederne gøre noget mere, for at identificere personen iblandt sine personoplysninger.

Der er mange måder at gøre noget mere på. Det har vi set gode, fornuftige eksempler på, der på ingen måde udgør en risiko for uretmæssige læk af personoplysninger, og som heller ikke strider mod spamforbuddet. Man er altså ikke afhængig af vores løsning.

Man kan også - selvsagt - benytte vores løsning, når man får et navn. Men der er vi nok uenige i, om det er en god idé eller ej. Det må være, hvad det er.

Pointen med Datatilsynets citat, som du fremhæver, er altså, at kun hvis rimelige bestræbelser, når man får en anmodning og et navn, intet fører med sig i forhold til at kunne identificere den registrerede, kan man slippe for at gøre mere som dataansvarlig.

Men den dataansvarlige virksomhed, som modtager anmodningen med navnet, slipper altså ikke for at gøre sig rimelige anstrengelser for at finde den rette registrerede alene på baggrund af navnet på vedkommende. Og det er Datatilsynet enig med os i. Sådan læser vi i hvert fald udtalelsen.

Kigger man lidt nærmere på de forskellige håndhævelsesløsninger, som de dataansvarlige har sat op på deres respektive hjemmesider, vil man se, at de i vidt omfang stiller som betingelse for at give den registrerede indsigt mv., at den registrerede afgiver en lang række oplysninger, herunder også i form af kopi af pas og lignende.

En sådan fremgangsmåde, hvor der uden omtanke indsamles i hvert fald fortrolige oplysninger, er nok ikke helt ok i forhold til databeskyttelsesreglerne. Proceduren indebærer med andre ord, at der indsamles for mange personoplysninger.

Også derfor vil vi gerne hjælpe virksomhederne med at tilbyde en løsning, så de registrerede kan søge indsigt på lovlig vis, uden selve anmodningsproceduren indebærer overtrædelser ved overindsamling.

Som nævnt vil vi formentlig på sigt indarbejde en eller anden form for identifikationsprocedure af de registrerede, men indtil da ligger arbejdet med at identificere hos den dataansvarlige virksomhed, der får en anmodning. Den dataansvarlige virksomhed skal lette udøvelsen af de registreredes rettigheder, som der står direkte i databeskyttelsesforordningen.

Endelig skal det med, at vi er i dialog med andre datatilsyn rundt omkring i EU.

I intet tilfælde har de stillet som betingelse, at vi skal foretage en relativt entydig identifikation af den registrerede, som vil bruge vores løsning.

I alle tilfælde har beskeden været, at en anmodning gennem vores løsning med alene et navn er nok til at aktivere den dataansvarliges ansvar for at identificere og behandle anmodningen.

Endelig berører du emnet, om vi er dataansvarlig eller databehandler. Vi har foreløbigt vurderet, at vi ikke er databehandler, da vi handler på opdrag fra den registrerede, ikke den dataansvarlige. Men der mangler vi reelt set mere juridisk fast grund at stå på. Hvad du ikke har ret i er, at vi selv kan bestemme, om vi er det ene eller det andet. Man kan ikke aftale sig ud af sin databeskyttelsesretlige rolle. Den er fastlagt i de offentligretlige databeskyttelsesregler.

Som afslutning vil jeg sige, at vi internt lidt kvikt plejer at sige, at man ikke bare som dataansvarlig kan lade stå til og køre videre, hvis gamle fru. Olsen ikke selv kan komme op i bussen. Man skal hjælpe hende op på trinene som dataansvarlig, så hun kan komme med.

Dét er kernen i den dataansvarliges opgaver i forhold til de registreredes rettigheder.

Henrik Biering Blogger

... det at anmodningsmodtager behøver at oprette en bruger for at få adgang til yderligere verificeringsoplysninger (e-mailadresse) ligger ikke udenfor hvad man med rette kan "forlange" af en ansvarlig dataansvarlig, der skal foretage en identifikation for at være/opnå compliance.

JO, det er netop det Datatilsynet utvetydigt har fastslået at man IKKE med rette kan forlange.

Og princippet bag den afgørelse er jeg helt enig i, for når du siger "oprette en bruger" overser du at det indebærer indgåelse af en forretningsmæssig aftale, som iøvrigt jf. oplysningerne på hjemmesiden kun midlertidigt er omkostningsfrit for virksomheden.

I modsat fald ville håndværkeren, der er medlem af Jehovas Vidner ud fra samme logik kunne fremsende sine fakturaer gennem denne og sende mig i retten for ikke at betale, fordi jeg ikke vil melde mig ind i Jehovas Vidner for at modtage fakturaen, når de står i min dør og vifter den kuverterede faktura om næsen på mig.

Og hvis indsigtsbegæringen blev overbragt ved fysisk fremmøde, ville det så også være OK at tilbageholde indholdet indtil modtager havde lavet 10 armbøjninger, udført en rituel dans eller lignende? Det er jo endnu lettere end at oprette sig som bruger på WeAreDavid. Og samtidigt er det godt for helbredet.

Henrik Biering Blogger

Måske skulle vi tage en personlig snak i stedet for at overloade Version2's database. Nu kører diskussionen lidt i ring.

Jeg vil dog lige kommentere dette:

Hvad du ikke har ret i er, at vi selv kan bestemme, om vi er det ene eller det andet. Man kan ikke aftale sig ud af sin databeskyttelsesretlige rolle. Den er fastlagt i de offentligretlige databeskyttelsesregler.

Jeg har ikke på nogen måde antydet at man selv kan bestemme om man er dataansvarlig eller databehandler. Jeg har netop påpeget at det vil afhænge af forholdene, herunder navnligt om WeAreDavid har indgået aftaler om at agere som service for virksomheder. Her vil I være databehandler for disse hvis det som normalt er køber af jeres ydelse, der sætter vilkårene for behandling af data. Eller evt. have fælles dataansvar, hvis I selvstændigt kan anvende de data I formidler til andre formål. Det fremgår ret tydeligt af definitionerne af dataansvarlig hhv. databehandler i forordningen.

Men du bortser igen-igen fra at WeAreDavid i mangel af aftaler med samtlige virksomheder, der sendes begæring til under alle omstændigheder selv er dataansvarlig i forhold til datasubjektet som udbyder af en selvstændig indsigtsbegærings-formidlingstjeneste.

Som selvstændig tjeneste kan I aldrig slippe for at være dataansvarlig for alle aspekter, hvor det ikke er datasubjektet selv, der er i fuld kontrol. Herunder hele det tekniske setup. Hvis du driver en emailtjeneste, hvor du ikke på nogen måde læser eller blander dig i hvad datasubjektet skriver, er datasubjektet selv dataansvarlig for dette aspekt af tjenesten. Når det derimod er WeAreDavid og ikke datasubjektet, der ud fra en forretningsmæssig eller sikkerhedsmæssig egenbetragtning træffer afgørelse om hvilke typer oplysninger, der skal videregives til modtageren, har I på dette punkt overtaget det fulde dataansvar og kan ikke påberåbe jer den lempelse af ansvaret, som du skriver om. Medmindre (og jeg skrev tydeligt "muligvis" fordi det er en skønssag) altså denne policy har været en kendt forudsætning af datasubjektet i forbindelse med oprettelsen, og kan betragtes som en på forhånd kendt praktisk (f.eks. udefra bestemt sikkerhedmæssigt nødvendig) begrænsning af jeres tjenestes funktionalitet.

Peter Pedersen

Når jeg skriver for meget "forlangt", så mener jeg at den aktivitet ikke falder udenfor det man kan forvente af en ansvarlig Dataansvarlig (at oprette en bruger mhb. adgang til yderligere data). Beklager hvis det var uklart.

Det som Datatilsynet skriver er, at "man ikke er forpligtet til at svare via appen".... og...at "ingen platform kan "kræve" at Datansvarlige benytter platformen til at svare......".

Dataansvarlige skal naturligvis selv vælge de tekniske og organisatoriske sikkerhedsforanstaltninger han finder egnede til at svare på indsigtsanmodninger - for ansvaret er hans.

Hvis man på anden og bedre vis kan verificere indsigtsanmoders identitet er man stadig velkommen til at gøre det, og det forhold at den registrerede har valgt at lave anmodningen via en app , kun ved brug af eget navn, skal selvfølgelig ikke stille ham/hende ringere, end en der f. eks. ringer ind og beder om indsigt....eller møder op personligt og beder om indsigt.

Tværtimod faciliterer en sikker app-løsning i højere grad de registreredes rettigheder.

Såvidt jeg kan se kræver WeAreDavid ikke at man benytter deres app, for at kunne svare, de tilbyder blot at man kan benytte platformen til at svare igennem, eller at man kvit og frit opretter en profil der giver adgang til mailoplysninger, der som udgangspunkt gør verificeringen lettere. Hvis virksomheden selv vælger en mere bøvlet eller besværlig måde er det helt op til dem. Og hvis man blankt afviser sådanne henvendelser, uden at gøre andet, er man på tynd is.

Log ind eller Opret konto for at kommentere