Kundetæller og GDPR - alt hvad du skal vide

Hvis du allerede benytter kundetællere i dine butikker, centre eller magasiner med 3D-eller 2D-sensorer, eller hvis du planlægger at begynde at tælle besøgende, så tænker du måske: "Er GDPR virkelig værd at bekymre sig om?" Alt efter leverandører, kan det til tider lyde som om, at GDPR er irrelevant.

Argumentet, som du ofte hører er, at GDPR ikke er noget, som du skal bekymre dig om, eftersom der ikke gemmes data og/eller personhenførbare oplysninger. Mange af dem har endda GDPR-certifikat, er påstået GDPR-compliant, og deres eksisterende kunder har allerede kontrolleret netop dette. Men er det nok til at dú ikke skal bekymre dig?

Har du råd til at stole på det de siger? Har de ret i deres udsagn og er de compliant? Gælder GDPR virkelig ikke for kundetællere? Findes der trods alt alligevel en risiko? Og hvad er egentlig et GDPR-certifikat?

Indivd blev grundlagt som et humanitært, selvfinansieret forskningsprojekt og er den første og eneste leverandør af kundetællere i verden, som er blevet undersøgt og godkendt af et Europæisk Datatilsyn. På den baggrund har vi fuld forståelse for, at det kan opleves som kompliceret, for det ér kompliceret og bør tages meget seriøst.

For at hjælpe med at udrede alle spekulationer og risici, vil vi i denne artikel gennemgå alt, hvad du har behov for at vide, når det gælder GDPR og kundetællere.

Nedenfor udpensler vi hvorfor du skal tjekke op på GDPR, inden du investerer i en kundetæller, og forklarer hvorfor GDPR også gælder for kundetællere. Vi vil også give dig indblik i hvad du bør sikre dig, før du investerer, hvad du bør gøre for dine besøgende, og hvordan Indivd arbejder med GDPR-compliance.

Undgå GDPR bøder når du investerer i kundetællere

Der er mange betydningsfulde fordele ved at håndtere disse spørgsmål, inden I investerer i kundetællere. Et par eksempler er:

• I minimerer risikoen for bøder, hvilket kan løbe op i 20 millioner Euro eller 4 % af jeres globale årsomsætning.
  
  
• I får en øget kundetilfredshed, eftersom 95 % af alle forbrugere går ind for privacy.
  
  
• I minimerer riskoen for negativ PR.
  
  
• I kan sove trygt om natten, eftersom I gør det eneste rigtige og sikrer jeres kunders anonymitet.
  
  
• I øger jeres bæredygtighed, eftersom privacy handler om bæredygtighed og er en del af de 17 globale mål for bæredygtig udvikling.

Hvad er et GDPR-certifikat, og hvad betyder det, at en leverandør er GDPR-compliant?

Inden vi forklarer, hvorfor GDPR også gælder for kundetællere, vil vi besvare spørgmålet omhandlende certificeringer.

Mange leverandører af kundetællere nævner, at de har et GDPR-cerifikat, og at de derfor er GDPR-compliant.

Selvom det på papiret kan lyde fint, så er der nogle ting man skal være opmærksom på. Der findes f.eks. ikke et certifikat, der kan fraskrive nogen fra det ansvar de har, når de behandler personoplysninger.

Det er altid dig, som dataansvarlig, der påtager sig risikoen, hvis behandlingen ikke følger GDPR-lovgivningen, selvom softwareleverandøren mener, at dé er GDPR-compliant.

Derfor er fra leverandørernes synsvinkel relativt risikofrit at fremvise, at de har et certifikat eller er GDPR-compliant. Det er jo aldrig leverandøren, som løber den ægte risiko, men derimod jér som dataansvarlig.

Hvorfor gælder GDPR for kundetællere?

De fleste kundetællere benytter en 3D-eller 2D-sensor. Det betyder, at leverandøren af jeres kundetæller er nødsaget til at behandle jeres personoplysninger (billeder af besøgende) for at kunne lave statistik.

Mange leverandører mener, at GDPR ikke gælder, da de ikke gemmer billederne, men derimod sletter billederne, inden de gemmes og/eller at de kun tager billeder oppefra og derfor ikke behandler persondata.

Ifølge Datatilsynet er denne antagelse ikke korrekt. Datatilsynet har tidligere udtalt, at sletning eller anonymisering af personoplysninger ér en behandling af personoplysninger også selvom de ikke gemmes. Derfor skal butikker, centre og magasiner tænke på GDPR, når de gør brug af kundetællere, for de ér underlagt GDPR-lovgivningen.

Laver I en sådan aftale med en leverandør af kundetællere, giver I som udgangspunkt leverandøren af kundetællere retten til at behandle jeres kunders personoplysninger (billeder) for jer - under bestemte og afgrænsede forudsætninger. Disse  forudsætninger m.m. skal altid reguleres og aftales i en seperat bistandsaftale.

Som dataansvarlig skal man altid sikre, at GPDR-lovgivningen efterleves i hele organisationen. Normalt gøres dette med en konsekvensbedømmelse, hvor risici og lovgrundlaget bedømmes (DPIA).

En konsekvensbedømmelse bidrager til at minimere risici, men det betyder ikke, at alt er risikofrit, eftersom Datatilsynet på trods af dette kan vurdere, at risici er for høje, eller at behandlingen er uproportioneret.

For at føle sig endnu mere tryg kan man begære et såkaldt forhåndssamråd hos Datatilsynet. Under et forhåndssamråd bruger Datatilsynet uger på at undersøge og bedømme, om den planlagte behandling af personoplysninger strider mod persondataforordningen.

Indivd er den første og eneste leverandør af kundetællere, som har bedt om at blive undersøgt og derefter er blevet godkendt under et forhåndssamråd. Vi har gennemført dette, da vi betragter det som en pligt og en naturlig del af vores kontinuerlige compliance arbejde, og for at sikre vores kunder bedst muligt.

Dette bør du sikre dig, inden du installerer kundetællere

Det første I skal overveje, er selve formålet med kundeoptællingen.

Når formålet er defineret, så tænk over, hvilke typer af personoplysninger, I har planlagt at behandle. Kundetællere fungerer forskelligt, derfor skal I spørge leverandøren om, hvilke personoplysninger, der bliver indsamlet og behandlet.

• Er det kun billeder, eller er der andre typer af data f.eks. via WiFi, Bluetooth eller radar?
  
  
• Slettes alle personoplysninger? Hvis de slettes - så har billederne været gemt, så hvordan kan de være helt sikre på, at billederne er slettet eller slettes korrekt? Hvad bliver gemt efter, at billederne er slettet? Gemmes der en form for ID pr. besøgende? Kan man være sikker på, at de gemte oplysninger ikke er personoplysninger eller biometrisk data?
  
  
• Bliver alle personoplysninger anonymiseret? Anonymisering er en teknisk kompliceret proces, og hvordan fungerer den i givet fald? Hvordan kan I være sikre på, at denne anonymisering fungerer? Er det i virkeligheden en anonymisering eller i stedet en pseudonymisering?
  
  
• Indsamles der data parallelt - som f.eks. plads- og tidsdata? Den type af information er også personoplysninger, som skal have et formål og et lovgrundlag.

Når dette grundlag er på plads, så er der stadig mange værdifulde spørgsmål at stille leverandøren - og jer selv. Her er et par eksempler:

1. Hvem har interesse i behandlingen, og hvorfor er den vigtig?
   
   
2. Kan jeres besøgsantal påvirkes negativt af behandlingen? Hvis det er tilfældet, hvad er så sandsynligheden for dette, og hvor alvorlig kan en sådan påvirkning være?
   
   
3. Bedømmes og/eller evalueres de besøgende? F.eks. med hensyn til præstationer på arbejdet, økonomisk situation, helbred, personlige præferencer eller interesser, troværdighed, opførsel eller ansættelsesforhold?
   
   
4. Er det sandsynligt, at visse personer kommer til at have indvendinger mod behandlingen eller opleve, at den er påtrængende og grænseoverskridende?
   
   
5. Betyder behandlingen, at registrerede automatisk overvåges?
   
   
6. Foregår behandlingen i stor skala?
   
   
7. Findes der mindre påtrængende måder at opnå formålet på?
   
   
8. Er I sikre på, at personoplysningerne er indsamlet til specifikke, entydige og legitime formål, og at de ikke behandles på en modstridende og ulovlig måde?
   
   
9. Hvilke sikkerhedstiltag har I, der minimerer eventuelle underliggende integritetsrisici eller skader?
   
   
10. Hvordan lever I op til de besøgendes ret til sletning, indvending og begrænsning i behandlingen af deres data?

Baseret på svarene på spørgsmålene, får I et billede af den potentielle risiko, og når I er helt tilfredse og sikre, underskriver I en bistandsaftale med leverandøren og gennemfører installationen.

Alle disse spørgsmål - og flere til - er spørgsmål, som vi har stillet os selv og er blevet stillet i mange år. De danner grundlag for vores kontinuerlige arbejde med privacy og GDPR-compliance.

Hvis I efter disse spørgsmål stadig er i tvivl, anbefaler vi, at I gennemfører en lovbunden konsekvensbedømmelse. Hvis I har uddybende spørgsmål til, hvordan en sådan proces foregår, så er I velkommen til at kontakte os på privacy@indivd.com.

Dette bør du synliggøre for dine kunder

Eftersom kundeoptælling med 3D- eller 2D-sensorer handler om en databehandling, så kræves det, at I informerer om behandlingen i det, der kaldes første og andet lag.

Det første lag for en butik, et center eller et magasin handler normalt om indgange, inden de besøgende er gået ind. Her sætter I et markat op, som tydeligt og enkelt forklarer, hvem der er dataansvarlig, hvordan I behandler oplysningerne, formålet og de besøgendes rettigheder.

Andet lag er tilsvarende Privacy Policy på jeres hjemmeside. Her definerer I den nye behandling (kundeoptælling) og følger jeres sædvanlige struktur.

På markatet i jeres første lag kan I med fordel tilføje en URL eller QR kode, så de besøgende nemt kan nå jeres andet lag via et link. I kan ydermere udarbejde en informationsbrochure om behandlingen til de besøgende, hvis I ønsker.

Vi har selvfølgelig forberedt alt dette og hjælper alle vores kunder med disse processer, hvilket indebærer, at det går så hurtigt og nemt som muligt. Har I spørgsmål til informationspligten, er I velkommen til at sende os en mail på privacy@indivd.com.

Sådan arbejder Indivd med GDPR

Indivd har udviklet en ny type kundetæller, som er mere omkostningseffektiv end alle andre på markedet, men endnu vigtigere sikrer jeres GDPR-compliance, da den baseret på Data Protection by Design.

Data Protection by Design indebærer, at vi har integreret en databeskyttelsesfunktionalitet allerede fra begyndelsen, hvilket fører til en bedre og yderst effektiv beskyttelse af integritet og anonymisering af persondata.

Som en del af vores udvikling er vi blandet andet blevet undersøgt af 30 eksperter på IT sikkerheds- og persondataområdet hvilket har medført tydelige politikker omkring etik og integritet, som alle ansatte i Indivd skal følge og overholde. Vi har f.eks. en stram anonymiseringspolitik og en politik for tryg og sikker AI-udvikling.

Vi er også den første og eneste kundetæller, som har bedt om at blive undersøgt af Datatilsynet under et såkaldt forhåndssamråd.

Under et forhåndssamråd bruger Datatilsynet flere uger på at undersøge og bedømme, om den planlagte behandling af personoplysninger strider mod persondataforordningen.
​

En af konklusionerne var, at Datatilsynet i sin konstatering mener, at behandlingen kan gennemføres med opbakning fra artikel 6.1 f i databeskyttelsesforordningen.

Med artikel 6.1. henvises til berettiget interesse, hvilket i klar tekst betyder, at myndigheden betragter Indivds metode til kundeoptælling til, på acceptabel vis, at minimere risici.

"Vi vurderede, at risikoen for Indivd var lav"

Jennie Bård, fhv. jurist hos Datatilsynet i Sverige og medvirkende i forhåndssamrådet af Indivd.