Seks råd.
Så mange har Datatilsynet i dag offentliggjort.
Rådene retter sig til de spisesteder, der vælger at tilbyde deres gæster at blive registreret i tilfælde af, at der skulle opstå coronasmitte blandt de andre gæster.
Men selvom rådene omhandler, hvad restauranter og cafeer kan gøre for at holde sig inden for persondatalovens rammer, afslører de også, hvad du som forbruger kan forvente – uanset om du lader sig registrere eller ej.
DR Nyheder har talt med Lars Due Nielsen, der er databeskyttelsesrådgiver og derfor har sort bælte i at formidle GDPR i øjenhøjde.
Du skal oplyses om formålet
Du har ret til at vide, hvad der registreres, hvad det skal bruges til, og hvor længe det opbevares.
Derudover skal de også fortælle dig, hvem der er ansvarlig for din data, hvorfor de vil have din data, og om de videregiver dine oplysninger til et land uden for EU.
Må spisestederne godt bare oplyse formålet mundtligt?
- Ja, det må de strengt taget godt. Hvis man som Jensen’s Bøfhus eller Bone’s sikrer, at medarbejderne er tilstrækkeligt uddannet til at give de her oplysninger mundtligt, så må de gerne det, forklarer Lars Due Nielsen og tilføjer:
- Restauranterne har oplysningspligt, men der er ikke nogen formkrav. Dog vil det være en anbefaling at understøtte med oplysningerne på skrift, for eksempel via et postkort på bordet eller en infotavle ved indgangen til restauranten.
I forhold til hvad der registreres, skriver Datatilsynet, at restauranterne typisk vil registrere dit navn, kontaktoplysninger, og hvad tidsrum du er på spisestedet.
Giver du samtykke eller gør du det frivilligt?
Der er nemlig forskel på samtykke og frivillighed.
I Datatilsynets råd står der, at det skal være frivilligt.
- De kunne have skrevet, at gæsterne skulle samtykke, men læg mærke til, at det gør de ikke, understreger Lars Due Nielsen og forsætter:
- Hvis restauranterne vælger at bruge formuleringen ’samtykke’ og ikke blot ’frivillighed’, så kan du til en hver tid trække dit samtykke tilbage. Så hvis du siger ja til registrering i dag, kan du trække samtykket tilbage igen i morgen, og så skal restauranten slette dine oplysninger.
Hvis formuleringen derimod er ’frivilligt’, så kan restauranten faktisk nægte at slette dine oplysninger, hvis du er blevet tilbudt at sige nej til registreringen.
- Hvis du frivilligt giver dine oplysninger og senere vil have dine oplysninger hos restauranten slettet, så skal du i udgangspunktet have en særlig begrundelse, før du har krav på at få slettet dine oplysninger hos restauranten, forklarer Lars Due Nielsen og tilføjer:
- Så er det op til restauranten at vurdere, om de vil slette dine oplysninger eller ej. Men hvis en restaurant bruger frivillighed i registreringen, så vælger de jo nok at slette dine oplysninger, hvis du beder om det.
Hvor lang tid gemmer de dine oplysninger?
’Når oplysningerne ikke længere er relevante i forhold til smitteopsporing’.
Sådan skriver Datatilsynet.
Og selvom det virker tilpas vagt til ikke rigtig at give noget særlig brugbart svar, så er Lars Due Nielsens præcisering lidt mere nøje:
- Kort sagt er det op til spisestederne, hvornår de vil slette informationen, siger han og fortsætter:
- Hvis de for eksempel vælger at slette dine oplysninger efter 14 dage, er det sikkert fint, men de kan også vælge at beholde dine oplysninger i en eller to måneder, og det vil sikkert være fint. Men efter seks, tolv eller fireogtyve måneder begynder det at blive svært at kalde oplysningerne relevante i forhold til smitteopsporing.
Men som nævnt i første punkt, så har du ret til at vide, hvor længe dine data bliver opbevaret.
Så hvis du vælger at lade dig registrere på en restaurant, har du ret til at få at vide, hvor lang tid de planlægger at gemme dit navn, telefonnummer, eller hvad de nu har bedt om at få oplyst.
Hvem må se dine oplysninger?
Datatilsynet skriver i deres seks råd, at spisestederne skal passe på dine oplysninger.
Blandt andet ved at sørge for, at ’uvedkommende ikke får adgang’.
Men hvem er uvedkommende?
Kort sagt er det op til restauranten at vurdere.
Så om dine oplysninger kun bliver tilgængelige for restauratøren eller for både tjenere og opvaskere, afhænger af, hvem restauratøren anser som ’uvedkommende’.
- Men man skal huske, at det ikke er fortrolige eller følsomme oplysninger, man giver restauranten. Det er sjældent fortroligt eller følsomt at oplyse, at man har besøgt en restaurant, hvad man hedder, eller hvad ens e-mail er, understreger Lars Due Nielsen.
Men hvad så med delen ’ikke får adgang’. Ville det være tilstrækkeligt, at gæsterne udfyldte en lap papir, og lapperne så blev lagt i en kasse på kontoret?
- Ja, det ville det sikkert. Og ligger de her informationer i en konvolut på chefens kontor, så vil jeg mene, at det er sikret nok fra uvedkommende.
Hvis du ikke vil registreres
Hvis du ikke vil registreres, så skal du ikke registreres.
Så simpelt er det faktisk.
På mandagens pressemøde kaldte sundhedsminister Magnus Heunicke (S) det ’frivillig registrering’, og i Datatilsynets råd kalder de det ’reelt frivilligt’.
Reelt frivilligt uddyber de med, at ’der ikke må være nogen ulempe for gæsten ved ikke at gøre det’.
Så hvis du ikke vil give dine oplysninger til restauranten, så er der ingen konsekvenser; du får stadig et bord, mad og drikkelse.