Myter om Datatilsynets kontrol af GDPR

En af de største udfordringer, jeg som GDPR-konsulent løber ind i er, at en del virksomheder siger ”Datatilsynet tager de største fisk før de kommer til mig” eller ” Min nabo gør det meget dårligere end Jeg”.

GDPR-regler.dk Rene Nørbjerg GDPR konsulent

Skrevet af
Rene Nørbjerg

GDPR Rådgiver

GDPR løsninger

Bøder fra datatilsynet til virksomheder i Europa

Derfor vil jeg i nogle artikler prøver at synliggøre hvad der sker rundt om i Europa i forbindelse med GDPR og bøder til såvel små, som store virksomheder.

Det er heller ikke de største bøder, jeg vil fremhæve, men bødestørrelser hvor vi alle kan sige, ”det er godt ærgerligt at få denne bøder for noget som kun krævede at jeg tænkte mig om i 20 sek.”.

Eksempel på overtrædelse af GDPR fra Irland

Den første bøde, jeg vil beskrive her, er nok den type af fejl, som jeg har oplevet flest gange i min tid indenfor Compliance og GDPR. Link til bødens tekst, den er fra Irland Det er anvendelsen af ”Samtykke fra kunderne” i forbindelse med udsendelse af en elektronisk besked / nyhedsbrev til de kunder, som virksomheden havde været i dialog med og havde haft som kunder.

Hvad kom virksomheden til at betale i bøde

Helt kort blev denne lille sag afsluttet i september 2021, med en bøde til Vodafone på 1.400 Euro. Samtidig valgte Vodafone at donere 3.000 Euro til velgørenhed, hvilket medførte at bøden blev så lav.

Ikke den største bøde i GDPR-historien, men alligevel, så er ca. 33.000 dkr. også en slags penge at skulle betale for at have sendt et informationer/ nyhedsbrev ud til såvel nuværende som tidligere kunder. Kunder som af den ene eller anden årsag havde bedt om, at de ikke længere ville modtage nyhedsbreve eller anden markedsføringsmateriale fra Vodafone.

Brandingværdi i at behandle, opbevare og bruge data ordentligt

Umiddelbart tænker jeg at Vodafone er ligeglade med bødens størrelse, det har kostet dem mere i branding og dermed på deres renommé, end de 10.000 kr. som bøden lød på.

En af de berørte kunder stoppede som kunde hos Vodafone, men om de andre to berørte kunder, der havde frabedt sig markedsføringsmateriale stadig er kunder hos Vodafone, ja det melder dommen ikke noget om.

Hvad burde virksomheden have gjort for at forebygge denne uheldige situation?

Mit forslag vil være at anvende et nyhedsbrev modul, som er udviklet til at opbevare, administrere samt udsende nyhedsbreve / informationer til de kunder eller potentielle kunder, som selv har givet deres samtykke til at ville modtage disse nyhedsbreve.

Systemmæssigt kan det f.eks. være:

Ubivox (Dansk selskab) eller mailjet (fransk selskab).  Disse to virksomheder ved jeg lever op til såvel GDPR samt IT-sikkerhed og kunderne kan selv ændre deres e-mailadresse eller slette sig fra listen over modtagere af nyhedsbrevene.

På den måde lader du kunderne bestemmer på hvilken e-mail de vil modtage informationerne samtidig med, at de selv kan melde sig fra nyhedsbrevene.

Manuel proces giver mulighed for mange GDPR fejl

I denne sag virker det som om, at virksomheden har styret flowet af tilmeldinger, afmeldinger samt udsendelse af nyhedsbreve manuelt såvel via mails samt via telefonen, når kunderne ringede ind og sagde de gerne ville framelde sig markedsføringsmateriale. Og ja, det er billigere på kort sigt, men på længere sigt er beløbet til et nyhedsbrev system givet godt ud. Og sikre dig udover styr på GDPR også en bedre kundeoplevelse.

I dette tilfælde, hvor det er en manuel proces via et telefonopkald, skal medarbejderen også huske processen med, at få kunden frameldt markedsføringsmateriale. Der er så mange muligheder for fejl, at det ikke vil komme til at lykkes 100%. Derfor er min anbefaling at lade være med, at have denne form for manuelle processer, men få det over i en systemmæssig løsning, hvor det også er muligt at trække en logfil ud, der viser hvem der har gjort hvad samt hvornår.

Du får lige et godt GDPR tip

Skal du udsende informationer via en e-mail, så husk at sikre dig at modtagerne står i Bcc feltet. På den måde sikre du dig både i forhold til GDPR, men også mod at en modtager får trykket på ”besvar alle”, når en besked f.eks. skal sendes til afsenderen med et svar om at de synes godt om det der er sendt ud eller gerne vil kommentere på det udsendte.