Billetsalg og GDPR

Af Daniel Hartfield-Traun, LegalTech DK, & Sascha Hegner Specht

MICO har erfaret, at der i forbindelse med køb og salg af billetter er stor forvirring over hvem der egentlig er dataansvarlig for behandlingen af de registrerede oplysninger, og hvordan man skal forholde sig til sin billetudbyder. Vi har i denne artikel sat fokus på noget af det, man som arrangør skal være opmærksom på, når man bruger en billetudbyder til håndtering af billetsalg.

Den enkelte arrangør er dataansvarlig

Hvert enkel arrangør er dataansvarlig for sit eget billetsalg.
Når en arrangør ønsker at sælge billetter, og i den sammenhæng er nødt til at behandle personoplysninger, er den pågældende arrangør dataansvarlig for sit eget billetsalg.
Arrangøren er dataansvarlig for håndteringen af personoplysningerne i forbindelse med billetsalget.
Arrangøren er altså ikke ansvarlig for selve personoplysningerne, men ansvarlig for den måde oplysningerne bliver håndteret på.

Arrangøren skal:

  • Oplyse kunderne om behandlingen af deres personoplysninger, f.eks. på hjemmesiden. (Læs mere om persondatapolitik her)
  • Lave fortegnelser over sine aktiviteter, f.eks billetsalg.
  • Begrænse mængden af personoplysninger til det nødvendige f.eks mail ved online-salg.

Billetudbyderen er databehandler

Nogle arrangører vælger at sælge deres billetter gennem billetudbydere.
Når en arrangør har valgt at bruge en billetudbyder som salgskanal, så bliver billetudbyderen databehandler for arrangøren.
Det betyder i praksis, at billetudbyderen håndterer personoplysninger på vegne af arrangøren for at formidle salg af arrangørens billetter til den pågældende arrangørs arrangementer.

Arrangøren skal:

  • Indgå en databehandleraftale med billetudbyderen.
  • Være særligt opmærksom på kommunikation i aftalen. Lav en aftale omkring kommunikationen ved databrud (brug en dedikeret mail til databrud, og som ikke er personlig)
  • Være særlig opmærksom på økonomien i aftalen. Undersøg, hvad billetudbyderen vil have for at hjælpe med GDPR-overholdelsen, f.eks sikkerhed og de registreredes rettigheder. Skal de f.eks. have ekstra betaling for at kommunikere med kunder om deres rettigheder.
  • Undersøge hvordan udbyderen forholder sig til kommunikationen om overholdelse af GDPR og sikkerhed. F.eks. ved at udsende en årlig revisorerklæring.
  • Sikre at aftalen klart og tydeligt beskriver formålet med billetudbyderens håndtering af personoplysningerne, som sker på vegne af arrangøren.

Billetudbyderen bliver dataansvarlig

Hvis billetudbyderen selvstændigt vælger at bruge personoplysningerne til andre aktiviteter, så bliver billetudbyderen selv dataansvarlig for de nye aktiviteter. Derfor er det vigtigt at have formålet klart beskrevet i aftalen.
Et eksempel kunne være en billetudbyder, der bruger oplysninger om arrangørens gæster til at markedsføre billetudbyderen selv.
Hvis billetudbyderen beslutter sig for at håndtere personoplysninger til nye aktiviteter, så bliver billetudbyderen selv dataansvarlig for håndteringen af personoplysninger relateret til de nye aktiviteter.
Dette er meget vigtigt, fordi den dataansvarlige selv er ansvarlig for at overholde alle reglerne og kan pålægges bøder for manglende overholdelse.

Arrangøren skal:

  • Sørge for, at der ikke er tvivl om, hvad arrangøren selv er dataansvarlig for. Sørg for at jeres egen fortegnelse stemmer overens med beskrivelsen i databehandleraftalen.
  • Sørge for, at det er tydeligt for teatrets kunder, hvad teatret er ansvarlig for. Skal oplyses ved registrering, f.eks. på hjemmesiden.
  • Sikre at billetudbyderen er klar over, hvad denne er dataansvarlig for. Bed f.eks. billetudbyderen om at se deres fortegnelse over hvad de laver for jer.

Billetudbyderens brug af kundeprofiler

Det kræver nogle gang oprettelse af en profil for at gennemføre et salg.
Vælger arrangøren en billedudbyder, som gør brug af kundeprofiler, skal arrangøren huske at arrangøren er dataansvarlig for brugen af kundeprofilen i relation til billetsalget.
Når kundeprofilen bruges til at sælge billetter til andre arrangørers arrangementer, så bliver de pågældende andre arrangører hver især dataansvarlige for den relaterede behandling af personoplysninger.

Hvis billetudbyderen bruger kundeprofilerne til sine egne formål, f.eks. egne kundeklubber og –medlemsskaber, så bliver billetudbyderen selv dataansvarlig for de pågældende markedsføringsaktiviteter.

Deler eller sælger billetudbyderen kundeprofiler til andre organisationer, vil billetudbyderen også selv være dataansvarlig for disse delinger eller salg af kundeprofiler.

Arrangørens forpligtelse til at slette personoplysninger

Sletning af personoplysninger er meget omtalt for tiden. Det bliver ofte præsenteres sådan at der i GDPR er fastsatte slettefrister. GDPR fastsætter imidlertid ingen faste slettefrister.
Tidspunktet for sletning afgøres af, hvornår der ikke længere er behov for at have de pågældende oplysninger i forhold til den pågældende aktivitet.
Når det drejer sig om arrangørens salg af billetter til sine egne arrangementer online, vil der typisk ikke være behov for at have personoplysningerne liggende ret længe efter arrangementet er afholdt.

Dokumentationen for at salget har fundet sted må dog forventes at være omfattet af bogføringsreglerne. Det vil sige, af kvitteringer for betaling og tilsvarende dokumentation først skal slettes fem år efter det regnskabsår, som de vedrører.

Arrangøren skal:

  • Sørge for at det er aftalt, hvornår billetudbyderen skal slette oplysninger – enten på arrangørens forespørgsel eller et fastsat tidspunkt.
  • Følge op på at billetudbyderen sletter, som aftalt.
  • Huske at hvis billetudbyder ikke sletter, bliver billetudbyderens selv dataansvarlig for den videre behandling.

Arrangørens forpligtelser overfor billetudbyderen

Når arrangøren er dataansvarlig for behandlingsaktiviteter, som håndteres af billetudbyderen, så er det arrangørens opgave at holde øje med billetudbyderen.
Det betyder i praksis, at arrangøren skal føre en form for tilsyn med billetudbyderens behandling af personoplysninger i forhold til arrangørens billetsalg.
Der er ingen fast form for tilsynet, men det anbefales at arrangøren gør følgende:

  • Lav en behandlingsfortegnelse for billetsalget og bed om billetudbyderens fortegnelse for samme. Tjek hvordan der behandles personoplysninger i forhold til billetsalget.
  • Lav en risikovurdering i forhold til billetsalget. Overvej hvordan aktiviteten kan give kunden probleme, f.eks. ved forkerte kontooplysninger, forkert mail eller lignende.
  • Tilpas tilsynet med billetudbyderen, så det flugter med risikoen. Overvej hvad det er relevant at spørge billetudbyderen om. F.eks. forhold omkring backup, brugerrettighedsstyring og logning.

For meget information kan være databrud

Hvis arrangøren opdager, at de har adgang til for mange personoplysninger eller personoplysninger, som ikke vedkommer arrangøren, f.eks. andre arrangørers oplysninger om kunder eller billetsalg, så skal arrangøren underrette billetudbyderen.

Hvis arrangøren opdager at andre har adgang til oplysninger om deres kunder eller billetsalg, skal de selv anmelde det til Datatilsynet.