GDPR Besöksräkning 10 jun 2022
Besöksräknare och GDPR - Allt du behöver veta
Om du redan använder besöksräknare i dina butiker eller gallerior med 3D-sensorer eller 2D-sensorer eller om du planerar att börja räkna besökare, så kanske du undrar om GDPR verkligen är något fundera över. Talar du med olika leverantörer kan det många gånger låta som om att detta med GDPR är något ovidkommande.
De argument du kommer att få höra är att detta med GDPR inte är något ni behöver bry er om, eftersom det ändå inte sparas någon film eller några personuppgifter. Sov lugnt, menar de - de har ändå GDPR-certifikat, är GDPR-compliant, samtidigt som många andra kunder redan har kontrollerat just detta. Därför behöver inte ni alls oroa er.
Men stämmer det verkligen? Har de rätt i sin tillbakalutade position. Gäller inte GDPR här? Finns det trots allt ändå risker? Och vad är egentligen ett GDPR-certifikat?
Indivd grundades 2017 som ett humanitärt, självfinansierat forskningsprojekt och är den första och enda leverantören av besöksräknare som blivit granskad och godkänd av Integritetsskyddsmyndigheten. Med den bakgrunden har vi full förståelse för att detta kan upplevas som komplicerat.
För att hjälpa till att räta ut alla funderingar och risker kommer vi i denna artikel gå igenom allt du behöver veta när det gäller GDPR och besöksräknare.
Vi kommer försöka svara på fördelarna av att kolla upp GDPR innan du investerar, varför GDPR gäller för besöksräknare, vad du bör säkerställa innan du investerar, vad du bör göra för dina besökare och hur Indivd fungerar med GDPR.
Därför tjänar du på att kolla upp GDPR innan du investerar i besöksräknare
Fördelarna med att hantera dessa frågor innan ni investerar i besöksräknare är många och betydande. Några av dessa är:
- Ni ökar er hållbarhet eftersom privacy handlar om hållbarhet och är en del av de 17 globala målen för hållbar utveckling.
- Ni minskar risk för böter vilka kan uppgå till 20 miljoner euro eller fyra procent av den globala årsomsättningen.
- Ni får en ökad kundnöjdhet eftersom 95% av alla konsumenter är för privacy
- Ni minskar er risk för negativ PR
- Ni får en underbar magkänsla och sover gott om natten, eftersom det känns bra att göra rätt!
Vad är ett GDPR-certifikat och vad innebär det att en leverantör är GDPR-compliant?
Innan vi förklarar varför GDPR gäller för besöksräknare känns det som att en brinnande fråga handlar om certifieringar.
Många leverantörer av besöksräknare skriver och säger att de har ett GDPR-certifikat eller att de är GDPR-compliant.
Även om det på papperet kan låta mycket bra och att allt är fritt fram, så är det inte riktigt så det fungerar. Det finns inga certifikat som tar över det ansvar en personuppgiftsansvarig butik eller galleria har.
Det är alltid du som personuppgiftsansvarig som tar riskerna om behandlingen inte följer GDPR, även fast leverantören anser att de är GDPR-compliant.
Därför kan det ur leverantörernas synvinkel upplevas som relativt riskfritt att säga att de har ett certifikat eller att de är compliant. Det är ju ändå aldrig de själva de som tar den verkliga risken.
Varför GDPR gäller för besöksräknare
Det flesta besöksräknare använder sig av en 3D- eller 2D-sensor. Det innebär att besöksräknare och leverantören av era besöksräknare kommer behandla era personuppgifter (bilder på besökare) åt er för att kunna skapa statistik.
Många leverantörer menar att GDPR inte gäller, eftersom de inte sparar bilderna, raderar bilderna innan de sparas eller enbart tar bilder uppifrån.
Detta stämmer inte alls, enligt den svenska Integritetsskyddsmyndigheten. Myndigheten har nämligen i tidigare yttranden uttalat sig om att radering eller anonymisering av personuppgifter är en behandling av personuppgifter. Därför behöver butiker och gallerior tänka på GDPR när de använder sig av besöksräknare.
Denna behandling av leverantören för besöksräknare innebär att de är ett så kallat Personuppgiftsbiträde. Förenklat innebär det att ni ger dem rätten att behandla era personuppgifter (bilder) åt er under tydliga förutsättningar. Dessa förutsättningar behöver bland annat regleras i ett Biträdesavtal.
Som Personuppgiftsansvarig behöver man därefter säkerställa att GDPR efterlevs inom organisationen. Vanligtvis görs detta med en konsekvensbedömning, där risker och den lagliga grunden bedöms.
En konsekvensbedömning bidrar till att minimera risker, men det betyder ändå inte att det hela är riskfritt, eftersom Integritetsskyddsmyndigheten trots detta kan anse att riskerna är för höga eller att behandlingen är oproportionerlig.
För att bli ännu mer trygg kan man begära ett så kallat Förhandssamråd hos Integritetsskyddsmyndigheten. Under ett Förhandssamråd spenderar myndigheten flera veckor på att granska, och bedöma om den planerade behandlingen av personuppgifter strider mot dataskyddsförordningen.
Indivd är den första och enda leverantören av besöksräknare som begärt att bli granskad och sedan också blivit godkänd under ett Förhandssamråd. Vi begärde detta eftersom vi betraktar det som en del av vårt kontinuerliga arbete för att nå våra hållbarhetsmålsättningar.
Detta bör du säkerställa innan du installerar besöksräknare
Det första ni bör fundera över är själva syftet med besöksräkningen.
När ni definierar syftet, tänk då igenom vilka typer av personuppgifter som ni planerar att behandla. Olika besöksräknare fungerar olika, därför behöver ni fråga leverantören om vilka personuppgifter som kommer samlas in och behandlas.
- Är det enbart bilder eller är det även andra typer av data exempelvis via WiFi, Bluetooth eller radar?
- Raderas alla personuppgifter? Om de raderas har bilderna först och främst lagrats, hur kan de då verkligen vara säkra på att bilderna raderas? Vad är det som är sparat efter att bilderna raderats? Sparas något typ av ID per besökare? Kan man vara säker på att de sparade uppgifterna inte är personuppgifter eller biometrisk data?
- Anonymiseras alla personuppgifter? Anonymisering är en tekniskt komplicerad process, hur fungerar i så fall denna anonymisering? Hur kan ni vara säker på att denna anonymisering fungerar? Är det verkligen en anonymisering eller är det istället en pseudonymisering?
- Samlas parallellt även annan data in, som exempelvis platsdata och tidsdata? All sådan information är nämligen också personuppgifter som behöver ha ett syfte och en laglig grund.
När ni väl har denna grund finns det fortfarande många värdefulla frågor att ställa leverantören och er själva. Några av dem är exempelvis:
- I vems intresse sker behandlingen och varför är den viktig?
- Kan besökare påverkas negativt av behandlingen? Om så är fallet, vad är sannolikheten för och hur allvarlig en sådan påverkan?
- Bedöms och/eller utvärderas besökarna? Till exempel med hänsyn till prestation i arbetet, ekonomisk situation, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, plats eller rörelser?
- Kommer vissa personer sannolikt att invända mot behandlingen eller tycka att den är påträngande?
- Innebär behandlingen att registrerade systematiskt övervakas?
- Är behandlingen storskalig?
- Finns det andra mindre påträngande sätt som också skulle uppnå syftet?
- Är ni säker på att personuppgifterna samlas in för specifika, uttryckliga och legitima ändamål och att de inte behandlas på ett oförenligt sätt?
- Det finns alltid risker, vad har ni för säkerhetsåtgärder som minskar/lindrar eventuella underliggande integritetsrisker eller skador?
- Hur lever ni upp till besökarnas rätt till rättelse, radering, invändning och begränsning av behandlingen?
Baserat på svaren på frågor får ni en bild om den potentiella risken och när ni är helt nöjd och bekväm skriver ni därefter ett biträdesavtal med leverantören och genomför installationen.
Alla dessa frågor, och många till är frågor som vi ställt oss själva och blivit tillfrågade under många år. De ligger till grunden för vårt kontinuerliga arbete för privacy.
Om ni efter dessa frågor ändå har en del frågetecken rekommenderar vi att ni genomför en regelrätt konsekvensbedömning. Har ni övergripande frågor kring hur en sådan process går till får ni gärna kontakta oss på privacy@indivd.com.
Detta bör du göra för dina besökare
Eftersom besöksräkning med 3D- eller 2D-sensorer handlar om en personuppgiftsbehandling, så har ni en skyldighet att informera om behandlingen i något som kallas det första och andra lagret.
Det första lagret för en butik eller galleria handlar vanligtvis om entréer, innan besökarna har gått in. Där sätter ni upp en skylt som på ett tydligt och enkelt sätt förklarar vem som är personuppgiftsansvarig, hur ni behandlar uppgifterna, ändamålet och besökarnas rättigheter.
På liknande sätt gör ni i det andra lagret, som vanligtvis är er Privacy Policy på er hemsida. Där definierar ni den nya behandlingen (besöksräkning) och följer er vanliga struktur.
På skylten i ert första lager kan ni även enkelt lägga till en URL-kod så att besökarna enkelt kan nå ert andra lager via ert första lager, ni kan även lägga till en informationsbroschyr om behandlingen på plats.
Vi har självklart allt detta förberett och hjälper alla våra kunder med dessa processer, vilket innebär att det går så snabbt och enkelt som möjligt. Har ni några funderingar om informationsplikten får ni gärna maila oss på privacy@indivd.com.
Hur Indivd fungerar med GDPR
Indivd har utvecklat en ny typ av besöksräknare som är mer kostnadseffektiv än alla andra på marknaden, men även tryggare eftersom den är baserad på Data Protection by Design.
Data Protection by Design innebär att vi har integrerat dataskyddsfunktionalitet redan från början, vilket leder till ett bättre och mer kostnadseffektivt skydd för integritet.
Som en del av vår utveckling har vi bland annat blivit granskad av ett 30-tal experter och infört tydliga policys som alla anställda behöver följa rörande frågor kring etik och integritet. Därför har vi exempelvis en Anonymiseringspolicy och en policy för trygg och säker AI-utveckling.
Vi är även den första och den enda besöksräknaren som begärt att bli granskad av Integritetsskyddsmyndigheten under ett så kallat Förhandssamråd.
Under ett Förhandssamråd spenderar Integritetsskyddsmyndigheten flera veckor på att granska och bedöma om den planerade behandlingen av personuppgifter strider mot dataskyddsförordningen.
En av slutsatserna var att Integritetsskyddsmyndigheten i sitt konstaterande anser att behandlingen kan genomföras med stöd av artikel 6.1 f i dataskyddsförordningen.
Med artikel 6.1 f åsyftas berättigat intresse, vilket i klartext betyder att myndigheten anser att Indivds metod för besöksräkning minimerar riskerna på ett godtagbart sätt.
“Vi bedömde att risken för Indivd var låg”
Jennie Bård, f.d. jurist på Integritetsskyddsmyndigheten och medverkande i Förhandssamrådet av Indivd