Vil du se hvordan TicketCo kan skape merverdi for deg som arrangør?

En samtale om GDPR

mai 9, 2018

25. mai i år trer EUs General Data Protection Regulation (GDPR) i kraft i hele EU-området. Vi har pratet med CEO Kåre Bottolfsen i TicketCo om hva det nye lovverket (som også omfatter Norge) vil bety for norske arrangører.

Formålet med denne loven er å styrke personvernet og sikre hver enkelts rett til å “bli glemt”. Loven erstatter EUs Data Protection Directive som skriver seg helt tilbake fra 1995, og med tanke på hvor mye som har skjedd i den digitale verdenen siden den loven ble vedtatt er det på høy tid at det kommer et nytt lovverk som speiler virkeligheten, sier Bottolfsen.

Han har brukt mye tid det siste halve året på å forberede TicketCo på det nye lovverket, og lover å være klar til den initielle fristen 25. mai. Introduksjonen av lovverket er forsinket i Norge, men TicketCo – som også leverer tjenester i UK – vil introdusere GDPR 25. mai i sitt system.

Hva er personopplysninger?

Innledningsvis kan det være greit å ha orden på noen grunnleggende begreper, sier Bottolfsen.

Personopplysninger er opplysninger eller vurderinger som kan knyttes til deg som enkeltperson, som navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, foto, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer. Begrepet er svært vidt og må vurderes konkret i forhold til de data som lagres.

I TicketCo registrerer vi i dag navn, telefonnummer, e-postadresse og annen teknisk informasjon fra billettkjøpere. Dette er nødvendig for å kunne sende billettene til billettkjøperne, sier han.

Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

Denne typen opplysninger kreves det konsesjon fra Datatilsynet for å innhente. TicketCo tillates ikke brukt til å be kundene om sensitive personopplysninger, forklarer han.

Uttrykkelig samtykke

Hovedregelen i det nye lovverket er at lagring av personopplysninger kun kan gjøres når det foreligger uttrykkelig samtykke fra personen som det skal lagres data om. Dette betyr at personen må gjøre en aktiv handling som for eksempel å tikke av i en samtykkeboks.

En forhåndsutfylt samtykkeboks er ikke et uttrykkelig samtykke, sier Bottolfsen.

TicketCo samler inn personopplysninger gjennom cookies, samt fra hver enkelt bruker som registerer data i forbindelse med kjøp gjennom TicketCo.

Vi opplyser om “cookie policy” ved første gangs besøk på websidene våre. Videre samtykker brukerne til lagring av data gjennom registrering i app og ved kjøp av billetter og varer i TicketCo, legger han til.

Tre grunnleggende begreper

I det nye lovverket er der tre grunnleggende begreper det er viktig for alle arrangører å forstå.

Enkeltperson/datasubjekt
– Innenfor vår bransje er dette hver enkelt billettkjøper. Det er først og fremst disse det nye lovverket er laget for å beskytte, sier Bottolfsen.

Behandlingsansvarlig
– Slik TicketCo er lagt opp er dette arrangørene, legger han til.

Databehandler
– I vårt tilfelle er TicketCo en databehandler, slår han fast.

Arrangøren eier kundedataene

Det er du som arrangør som eier dataene dine i TicketCo, sier Bottolfsen. Dette har følgende konsekvenser for deg som arrangør:

  • Data som er registrert i forbindelse med salg du gjør gjennom TicketCo er dine data. I forhold til de nye GDPR reglene har du derfor ansvaret for disse dataene.
  • Etter loven blir du som arrangør behandlingsansvarlig for dataene.
  • Du har etter loven flere plikter som du kan lese om her: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/

TicketCo som databehandler

TicketCo lagrer kundedataene dine i TicketCo sitt system, og er databehandler på vegne av deg som arrangør/behandlingsansvarlig.

Den nye loven pålegger TicketCo flere ting, forklarer Bottolfsen.

  • TicketCo vil inngå en databehandleravtale med deg som arrangør.
  • Dette vil fremkomme gjennom en oppdatering av våre juridiske vilkår for bruk av TicketCo-tjenesten.
  • Der hvor TicketCo bruker underleverandører og dine data blir lagret der vil vi påse at underleverandøren følger GDPR regelverket

Her kan du kan lese mer om hvilke plikter som følger i av databehandleravtalen TicketCo vil inngå med deg: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/alle-databehandlere-far-nye-plikter/

Du må ha oversikt over hvor du lagrer persondataene

Du bør ha lister over hvilke systemer du benytter for lagring av persondata, advarer Bottolfsen.

  • Sjekk at du har inngått en databehandleravtale (data processing agreement) med leverandøren av systemet
  • Dersom du eksporterer ut data fra TicketCo for bruk i andre systemer, husk at GDPR-reglene gjelder også der.
  • Når du bruker TicketCo kan du bruke vår TicketCo Zapier connector, vårt API eller regneark eksport til å overføre salgsdata. Disse dataene inneholder personopplysninger og dermed må du ha kontroll på hvor disse dataene havner.

Plikt til å fjerne identifikasjon

Når du er behandlingsansvarlig av data har du en plikt til å fjerne identifikasjon av en person dersom personen ber om det. Det vil si at du enten må:

  • kunne slette personopplysninger slik at personen ikke kan identifiseres (avidentifisering)
  • anonymisere personopplysninger slik at personen ikke kan identifiseres
  • pseduonymisere personopplysninger slik at personen ikke kan identifiseres

Hva gjør TicketCo i forbindelse med GDPR?

TicketCo vil innrette seg etter GDPR-reglene 25. mai i samsvar med EU-lovgivning uavhengig av forsinket implementering av lovverket i Norge.

De juridiske vilkårene våre for arrangører vil få innarbeidet en databehandleravtale (data processor agreement) som vil være gjeldende fra og med 25. mai 2018. I tillegg vil juridiske vilkår for sluttbrukere (“billettkjøpere”) blir oppdatert, sier Bottolfsen.

 

Alle underleverandører som TicketCo benytter og hvor data lagres vil ha datalagring i EU/EØS-området. Samtlige av disse opererer i samsvar med GDPR-regelverket, legger han til.

Sletting av personopplysninger

Hva gjør så TicketCo dersom forespørsel om sletting av personopplysninger kommer fra en person?

TicketCo vil ikke foreta sletting av personopplysninger som databehandler, men henvise slike forespørsler til behandlingsansvarlig (altså arrangøren), sier Bottolfsen.

I første omgang vil du som behandlingsansvarlig fra og med 25. mai 2018 kunne gi instruks til TicketCo om at personopplysninger som identifiserer en person skal slettes. Dette kan gjøres gjennom skjema som blir tilgjengelig i administrasjonssidene i TicketCo, legger han til.

Ved slike henvendelser vil TicketCo foreta avidentifisering av personopplysninger som kan identifisere en person (fornavn, etternavn, e-post adresse og telefonnummer).

Selvbetjent sletting

I løpet av 2018 vil TicketCo så innføre en selvbetjent funksjon for deg som behandlingsansvarlig, hvor du selv kan foreta av-identifisering av personopplysninger i TicketCo sitt system.

Av-identifisering innebærer at TicketCo vil overskrive fornavn, etternavn, e-post adresse og telefonnumre på den personen som ber om sletting. Du vil derfor ikke miste annen viktig salgsinformasjon. Salgstransaksjoner blir ikke slettet, forsikrer Bottolfsen.

Billettkjøper versus billettholder

Hva så med data om de forskjellige billettholderne? Vil det være mulig for arrangørene å lagre disse opplysningene etter at GDPR har trådt i kraft?

TicketCo vil kun innhente og lagre personopplysninger på den personen som har kjøpt billettene. Dette fordi det kun er denne personen som kan gi sitt uttrykkelige samtykke i forbindelse med kjøp, sier Bottolfsen.

TicketCo vil derfor ikke innhente “billettholder”-informasjon.

Dersom du som arrangør ønsker å innhente slik informasjon må det gjøres gjennom vår spørsmålsmodul. Vær obs på at dersom du lagrer personopplysninger gjennom en slik modul vil det ikke foreligge uttrykkelig samtykke fra personen du registerer personopplysninger om. Slik registrering må dermed falle inn under unntaksregelen “virksomhetens interesser”. Gjør en avveining av behov for slik registrering versus personvernulempen dette medfører, sier han.

 

Dersom du er usikker på dette kan du henvende deg til vårt Customer Success team som vil kunne utdype dette for deg, avslutter CEO Kåre Bottolfsen i TicketCo.

Kontakt oss gjerne på

support@ticketco.no dersom du føler behov for mer informasjon vedrørende GDPR og vil vi forsøke å hjelpe deg så godt vi kan.

Pin It on Pinterest

Share This