Online handel: Gøre brug af personers tlf.nr., adresse og e-mail. Hvad må jeg?

Hej,

Jeg søger svar på, om følgende planlagte fremgangsmetode er lovlig.

Konceptet er at jeg i min virksomhed skal sælge gaveæsker. Det går ud på, at man kan gå ind på min virksomheds webshop og vælge samt betale for en gaveæske som man gerne vil forære til en bekendt. Min virksomhed sørger så for forsendelse af gaveæsken til modtager. 

Lad mig for overskuelighedens skyld sætte et eksempel/scenarie op:

1. “Martin” vil gerne overraske sin ven, “Jeppe”, med en gaveæske (indeholdende 1 stk. slips og 1 stk. butterfly)
2. Martin udvælger på webshoppen den gaveæske han vil give til sin ven, Jeppe. 
3. Martin angiver oplysninger som er relevante for forsendelsen. Dvs. alle, eller blot nogle af følgende, alt efter hvad, der er tilladt: Jeppes telefonnummer, Jeppes emailadresse, Jeppes fysiske adresse. 
4. Martin betaler for gaveæsken og jeg (min virksomhed) sender gaveæsken til Jeppe vha. de oplysninger, Martin har angivet ifm. bestilling inde på webshoppen. 

Er dette lovligt? Altså det faktum at Martin angiver en anden persons kontakt/adresseoplysninger, som jeg så som virksomhed tager imod og gør brug af. Altså oplysninger på en person (Jeppe) som ikke selv har været inde og angive noget som helst - og som vel dermed i princippet ikke har givet samtykke til at der bliver gjort brug af hans oplysninger? 

Hvilke af de nævnte former for oplysninger, hvis overhovedet nogen af dem, må jeg i ovenstående eksempel gøre brug af - og dermed også fremover i alle andre tilfælde?: 

• Jeppes telefonnummer
• Jeppes e-mailadresse
• Jeppes adresse

Ville være en kæmpestor hjælp, hvis nogen kan være behjælpelige. 
På forhånd mange tak for svar.

Mvh
Morten 

Det er ikke Jeppe der er kunden men Martin.
Martin opgiver egne oplysninger, men angiver anden forsendelsesadresse, så du sender pakken fysisk til Jeppe.
Accepterer Martin under købsprocessen at du må bruge eksempelvis hans email adresse til fremtidig markedsføring, må du naturligvis det. Man kan ikke give accept til brug af en anden persons oplysninger.

Hej,

Tusind tak til jer begge for svarene. Det er jeg meget taknemmelig for! 

Jesper I. P:

Det er ikke Jeppe der er kunden men Martin.
 

Jeg ved godt det er Martin der er kunden, det er derfor jeg skriver som jeg gør omkring Jeppe 

AnyFellow:

SolidH2O:

Naturligvis er det lovligt. I persondataforordningen som træder i kraft i maj 2018 er der en række krav du som dataansvarlig skal være opmærksom på, herunder opbevaring af data på kunden; navn, email, adresse, ip, MAC-adresse osv. Det skal kunden acceptere vha. en checkbox. Du skal kunne dokumentere hvor og hvordan data opbevares.

Omkring dit spørgsmål med en leveringsadresse. Så må du gerne modtage den slags data, men det skal slettes igen når behandlingen er overstået og det skal kunne dokumenteres at det er slettet. I dit tilfælde skal alle informationer om Jeppe slettes, altså email, tlf og adresse.

Nu er jeg ikke jurist, men jeg mener ikke ovenstående er korrekt.

Jeg mener ikke, at kunden særskilt behøver acceptere, at der opbevares oplysninger om kunden. Den saglige begrundelse for hvorfor data opbevares, skal fremgå af sidens persondatapolitik, og hovedargumentet vil her være, at data skal opbevares iht. bogføringslovens paragraffer om opbevaring af regnskabsmateriale.

Iflg. forordningen, må data opbevares, så længe der er et sagligt hensyn. Det må siges at være et sagligt hensyn, at disse data SKAL opbevares iht. gældende lovgivning.

Det samme gør sig gældende ift. sletning af data. Som virksomhed kan man godt nægte at slette data, såfremt der er saglige argumenter for dette.

I hvert tilfælde skal alle data vurderes ud fra et saglighedshensyn. Data der ikke sagligt kan argumenteres for er nødvendige at opbevare, f.eks. ift. gældende lovgivning, må selvfølgelig ikke opbevares længere end nødvendigt og skal også slettes på brugers foranledning.

Hej, jo det forholder sig sådan som jeg skriver. Personer skal have retten til enten opt-in eller opt-out i forhold til dataindsamling om dem. Som default skal det være opt-out'et, altså privacy by default. Derudover skal man som person selv gå ind i systemet og rette i urigtige oplysninger mv. Tidligere har det jo været som du skriver, at man som dataansvarlig/ behandler har kunnet skrive sig ud af det, men det er ændret.

Det er ikke at sagligt hensyn at en webshop opbevarer persondata efter databehandlingen er overstået. Saglige hensyn er mere i retning af offentlige myndigheder osv. Det kunne ellers være sjovt at blive "forgotten" hos SKAT eller Politiet. 

Kort fortalt.. kræver du "right to be forgotten" så er alle private websider underlagt dit ønske. Kan du komme i tanke om nogen private websites som kan påstå deres data tilhører et sagligt hensyn og derved ikke kan slettes?