Sådan kan Q-Park leve op til GDPR oplysningspligten i artikel 13

Q-Park har et smart system til registrering af parkering ved hoteller mv. Problemet er bare, at system ikke lever op til oplysningspligten i GDPR. Vi giver her vores svar på hvordan systemet nemt kunne blive compliant i forhold til artikel 13 i GDPR.

Forleden var jeg kørt til Comwell i Kolding, for at deltage i et seminar afholdt af Dansk Erhverv. Ved ankomst til hotellet, bliver man i receptionen mødt af en stander med en tablet, hvorpå man kan indtaste nummerplade og e-mail/mobil, for at få udstedt en parkeringstilladelse til hotellets parkeringsområde.

Når man som jeg jo er rimelig GDPR-nørdet, så kigger man helt naturligt efter information om hvad de bruger mine oplysninger til, altså deres opfyldelse af oplysningspligten (artikel 13 i GDPR). Problemet er bare at der intet står, end ikke et link... (se billede - teksten fortsætter nedenunder)

Nå, men jeg skal jo parkere, så jeg indtaster nummerplade og mobilnummer, og trykker "Udsted P-tilladelse". Et par sekunder senere tikker der en sms ind, med en bekræftelse af min registrering, samt et link til deres privatlivspolitik: http://e-park.dk/privatlivspolitik/ Det hjælper mig dog ikke meget, da der ikke står noget konkret i deres privatlivspolitik omkring behandlingen.

Man skal "give" information på indsamlingstidspunktet

I Databeskyttelsesforordningens (GDPR) artikel 13 står der, at den dataansvarlige på tidspunktet for indsamlingen skal give den registrerede information om den forestående behandling. Dette gælder når data kommer direkte fra den registrerede selv. Der er to ting at hæfte sig ved her:

1) Når der står, at der skal informeres på indsamlingstidspunktet, så vælger jeg at tolke det således, at man bør informeres før man sender oplysningerne, så man reelt har en mulighed for at vurdere behandlingen og dermed lade være med at sende, hvis man ikke er enig.

2) Datatilsynet og forordningen anvender begge ordet "give", altså at man som dataansvarlig aktivt skal sørge for at give adgang til information om behandlingen. I min optik bør der derfor som minimum være et link til en tekst der oplyser om behandlingen, hvis man ikke blot skriver informationen på samme side som formularen. At man selv skal "finde" et link til en privatlivspolitik på siden eller hvis der slet ikke er et link, er bestemt ikke at "give" oplysningerne.

Q-Park mangler i dette tilfælde begge punkter. For det første oplyser de mig ikke før efter data er registreret og for det andet giver de mig godt nok et link på sms efterfølgende, men det link indeholder ikke en konkret forklaring på den specifikke behandling.

Sådan kunne Q-Park have gjort for at leve op til artikel 13 i GDPR

I praksis er det ikke meget der skal til, for at overholde oplysningspligten jf. artikel 13 i Databeskyttelsesforordningen. Som nævnt bør oplysningerne gives før indsamlingen/behandlingen foretages. Det kunne nemt have været løst med et "Sådan behandler vi dine oplysninger" link under knappen. Dette kunne så have åbnet en pop-op med den nødvendige information. Her er det vigtigt at påpege, at denne pop-op IKKE bare skal indeholde den komplette privatlivs-/persondatapolitik, da denne ofte er lang og indeholder meget mere end hvad der er nødvendigt i den specifikke situation (læs evt. mit blogindlæg om dette emne) I stedet skal den blot indeholde følgende information:

- Identitet og kontaktoplysninger på den dataansvarlige
- Formålene med behandlingen
- Retsgrundlaget (samtykke, kontrakt, legitim interesse mv.)
- Eventuelle modtagere af personoplysningerne
- Om personoplysningerne bliver overført til tredjeland
- Tidsrummet hvor personoplysningerne opbevares
- Retten til indsigt, berigtigelse, sletning, indsigelse, begrænsning og dataportabilitet
- Retten til at klage til Datatilsynet
- Evt. øvrige oplysninger afhængig af behandlingen

Oplysningerne skal være skrevet på en tydelig, kortfattet og letforståelig måde. De oplysninger, man er forpligtet til at give, skal desuden være tydeligt adskilt fra andre oplysninger, hvorfor de altså ikke kan stå som en del af en større politik. Kravet om, at oplysningerne skal være forståelige, indebærer også, at indholdet af oplysningerne skal kunne forstås af et gennemsnitligt medlem af målgruppen.

Nu kender jeg ikke baggrunden for eller teknikken bag Q-Parks løsning, men jeg har svært ved at forestille mig, at det skulle tage ret lang tid at få dette på plads, da det ikke er så meget der kræves. Jeg har givet mit bud på en mulig løsning i de to billeder jeg har konstrueret herunder. Jeg har valgt at tage de tre væsentligste oplysninger ud og lægge direkte på siden, men man kunne også godt nøjes med "læs mere" linket.

Mange mangler stadig at overholde oplysningspligten i artikel 13

Selvom det det snart er 5 måneder siden GDPR fik virkning, så er der fortsat rigtig mange der ikke evner at overholde oplysningspligten. Jeg er vel snart rendt ind i en håndfuld af sådanne tablet-løsninger til både parkering og gæsteregistrering og fælles er, at ingen af dem formår at oplyse jf. artikel 13.

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af cookie-lovgivningen og GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne.