Jeg er personlig træner og har været det i et års tid. I det center jeg arbejder, skal al information omkring kunder forblive i centeret og må ikke være på egen computer. Mine klienters programmer ligger dog på en sikker sky hvor navne samt informationer på filerne, ikke kan linkes til de rigtige personer. Der står kun fornavn og det er op til mig at huske hvem der er hvem. Nu står jeg så med et eksternt værktøj(app), som kan holde styr på mine klienters oplysninger omkring vægttab, styrke, program, navn og lign. App'en har en hjemmeside hvor de selvfølgelig og beskriver deres version af GDPR. Appen vil gøre mit arbejde meget mere struktureret og kundeglæden vil være større, da programopstillingen og progression vil være langt mere overskueligt end hvad jeg selv kan lave. Først udarbejder jeg for hver klient et konsultationsskema med helbred osv, samt samstykke om at informationerne forbliver sikkert, i centeret. Her er mit spørgsmål så, (og svaret er sikkert ikke så simpelt) Hvordan kan jeg introducere app'en og få en godkendelse på at hvis klienten ønsker at bruge app'en skal han/hun acceptere firmaet bag app'ens vilkår, samt at oplysninger vi indtaster der, er dækket af firmaet bag app'en og ikke mit center. Selvfølgelig er det frivilligt hvilken version klienten vil have. Excel eller app'en. Min eget svar, som jeg så er meget usikker på om er nok, ville være: 1) Konsultationsskema laves. 2) Intro til app'en: "Jeg arbejder hovedsagligt i en app, hvor du kan få alle oplysninger omkring din træning og fremskridt. - Dog skal det siges at app'en ikke arbejder sammen med mit center, så man skal acceptere vilkårene fra virksomheden bag app'en omkring GDPR, før man kan få lov at bruge den. Det eneste jeg skal bruge, er email, fornavn og forbogstavet på dit efternavn. Så kan jeg oprette din profil som du så selv skal aktivere første gang. Du kan logge din vægt, styrke og meget mere i appen, som kan være rigtig god motivation, men ønsker du kun at bruge den til at se dit program er det helt fint med mig også!" --- Meget basisk af hvad jeg tænker jeg burde sige... Ville det være nok? Ville jeg "bare" kunne sige, at for at bruge app'en skal klienten acceptere vilkårene for firmaet bag app'en? - Så er ansvaret for sikkerheden og sletningen af data virksomhedens? Jeg vil selvfølgelig snakke med min chef omkring dette også, men jeg ville lige høre herinde! |
Hvis du anvender en App til at opbevare kunders persondata i, så er du dataansvarlig.
Email-adresse, fornavn og første bogstav på efternavn er personhenførbart.
Du skal så sikre dig dine kunders udtrykkelige (helst skriftlige) samtykke til at du må opbevare deres persondata.
Du skal så lave en databehandleraftale med firmaet bag app'en. De har muligvis en standard du kan anvende.
Du skal - som dataansvarlig - holde kontrol med at app-firmaet behandler data forsvarligt.
Endvidere skal du kunne oplyse kunder og eks-kunder om hvad du har opbevaret om dem.
Du skal også sørge for at slette data når de ikke længere er relevante, dog senest når kunden kræver dem slettet.
Du skal også kunne håndtere kontrol fra datatilsynet (dog næppe sandsynligt).
Ved eventuelt brud på datasikkerhedens skal du - som dataansvarlig - informere datatilsynet inden 72 timer (kalendertimer).