GDPR i praksis: indsamling af kundeoplysninger

Last updated on 
GDPR i praksis: indsamling af kundeoplysninger

Det var helt afgjort nemmere "i gamle dage" - læg lidt clickbait ud på SOME[1] med links til et fiffigt/underfundigt/frækt/fjollet spørgeskema, der ender med at spørge efter email adressen - BUM!

MailChimp

MailChimp er en virksomhed, der gennem en årrække har forfinet denne kunstart - at stille en online ressource til rådighed, hvor data hungrende organisationer af enhver art kan lokke godtfolk og husarer til, og med løfter om evigt liv, velstand, 77 jomfruer eller - og som oftest - et medlemsskab af 'inderkredsen' inkl et nyhedsbrev fra virksomheden i ny og næ[2], "aftvinger" dem deres email adresse.

MailChimp er dygtige, og deres værktøjskasse vidner om at de både gør sig umage og at der er mange som har brugt dem gennem tiden.

Konsekvensen af GDPR for MailChimp

Fordi MailChimp indsamler email adresser[3] har virksomheden valgt at bygge et dedikeret værktøj til GDPR-ramte (dvs EU kunder) som gennemgås i detaljer i denne post

Hov!? Er email adressen ikke en person oplysning?

"Jo det er!" siger du. Det står udtrykkeligt i forordningen! Nej - det gør det faktisk ikke! Ordet email er ikke nævnt overhovedet, og ordet e-mail er i forbindelsen [e-mailadresse] kun nævnt én gang, i præambel 23, og her i en forbindelse med vurderingen af hvorvidt en udbyder af tjenester og produkter, med hovedsæde udenfor Unionen, retter sine markedsføringsaktiviteter mod EU borgere; så nej - det står ikke i forordningen!

I Artikel 4, stk 1, litra 1 bruges alene betegnelserne ..."identifikationsnummer, lokaliseringsdata, en onlineidentifikator"... hvilket naturligvis sagtens kan oversættes til email-adresse[4].

Hvem gemmer sig bag en email adresse?

Kernen i min argumentation er, at det er 100% umuligt at sige, hvem der gemmer sig bag en email adresse! Jovist, vi kan have en masse forestillinger - og vi kan ofte blive bekræftet i disse forestillinger, men i forhold til en direkte eller indirekte identificérbarhed, er en email adresse ganske usikker.

Omdirigering

Jeg tror at du selv har oplevet at skrive til en email adresse, blot for at blive besvaret fra en helt anden kant?! Måske har du skrevet til jens.m@mail.dc og fået et svar tilbage fra j.m@vvs-akupunktur-mester-byg.dk og undret dig.

Brugere kan sætte deres postkasser op til at blive sendt videre til en kollega, eller til en vilkårlig anden email adresse - og det er nok den nemmeste måde at gemme sig på, overhovedet.

Burner mailboxes

På stort set samme måde som du kan købe taletidskort og engangstelefoner, kan du også købe såkaldte burner mailboxes. Et eksempel er SlipperyEmail. Det er email adresser, som du kan bruge til at 'gemme' dig bag.

Generic mailboxes

En generisk mailbox er en postkasse som har en almindelig anvendelighed, fx. post@, info@, sales@, support@, og help@

Disse adresser bruges ofte til at samle emails, som der så kan sidde flere medarbejdere og besvarer/arbejder med.

Garbled mailboxes

En 'sludder' mailbox er en postkasse hvor identifikationen før '@' ikke giver nogen mening overhovedet. Den minder på mange måder om en burner mailbox, men hvor du sjældent kan sende emails fra en burner mailbox, så er den garblede mailbox din 'ejendom', og du kan sende fra den, fuldstændig, som var det din egen. Eksemplet på denne slags postkasser er; 1349uhnjv@, qqqqqq@, 3k3k3k3@, og vulletitut@

Hvor vil du hen med det her?

Jeg vil gerne pege på, at når 'vi' færdes i det offentlige rum, fysisk, er vi vant til at værne om vores privatliv. Måske går vi med store solbriller, måske har vi frakkekraven slået godt op, en hættetrøje trukket godt ned i panden, osv. Det er de færreste, der går nøgne rundt, med navn og adresse skrevet med rød tusch på maven!

Tilsvarende, når vi kører bil! Som privat er der ikke en tradition for at følge firmabilernes eksempel og skrive navn og adresse på bagklappen!

Der er intet til forskel fra dette, når vi færdes elektronisk! Det er så nemt som at klikke 3-4 gange, så har du en meget vanskeligt identificérbar email-adresse!

Sådan har GDPR-samfundet[5] ikke valgt at anskue det, og det kan jo så godt undre én lidt - eller? Er det reelt i alles interesse, at vi som privat personer reelt er identificérbare, for dem, som godt må fifle lidt med den strøm af data, som pisker gennem glas og kobber?!?!

På anfordring beskriver jeg gerne et 100% privat alternativ[6]

Hvad bruger du den til?

Unionen har gjort sig umage for at understrege at forordningen har sigte på at skærme EU borgeres privatliv og herunder sikre deres personlige oplysninger. Det betyder at din intention bliver afgørende. Hvad har du tænkt dig at bruge email adressen til?

Det er ikke ansvarspådragende at indsamle og gemme en email adresse - men i samme øjeblik du begynder at bruge den, er der en meget stor sandsynlighed for at du ifalder et ansvar efter forordningen!

I praksis betyder det, at du skal oplyse den, som bruger email adressen, om hvad du har tænkt dig at bruge email adressen til - og dette formål skal du kunne bevise at anvenderen af email adressen er 'nede med' ;)

  1. Sociale Medier ↩︎

  2. de fleste skriver, at de sender nyhedsbrevet, når der er vigtigt indhold - men det er der sjovt nok mindst een gang om ugen!! ↩︎

  3. uanset hvad nogen vil have dig til at tro, så er en email adresse ikke en person oplysning! Men fordi en sådan URI oftest står sammen med en fysisk persons navn og evt også adresse og telefonnummer, bliver email adressen pludselig en personlig oplysning! Men igen - hvis alt hvad du opsamler, er email adressen, så forbryder du dig ikke mod GDPR. Noget andet er så, at hvis du opsamler andre oplysninger om en person, eller stiller email adressen til rådighed for en anden virksomhed, som bruger den sammen med person oplysninger, som denne virksomhed har indsamlet (og den samme email adresse); så falder hammeren! Eller hvis du bruger person oplysninger sammen med email adressen, og på den baggrund profilerer 'brugeren' bag email adressen (og det kan såmænd være noget så ret uskyldigt, som at 'profilere' email-adresse indehaveren til at 'bo' i Danmark)! ↩︎

  4. en onlineidentifikation er måske et forsøg på at oversætte URI til dansk, og en email-adresse er en URI ↩︎

  5. alle de, der læser teksten og tolker den, og i et fælles heppekor, puster til både ilden og melet på bordpladen ↩︎

  6. der findes allerede eksempler som Signal, og Telegram, så min løsning er hverken revolutionerende eller unikt ↩︎