Brukere av vår billettløsning er i GDPR-sammenheng Behandlingansvarlig, mens DX er Databehandler. Og siden billettløsningen omfatter personopplysninger (mailadresser, navn, mobilnr osv) må både DX og brukere forholde seg til GDPR og oppfylle kravene i forskriften.
Vi har jobbet med med dette siden i fjor vår, og det har krevd mye både interne ressurser i tillegg til eksterne konsulenter/rådgivere og advokater. Vi jobber med å kartlegge og oppfylle de krav som forskriftene oppgir. Og da ikke bare i forhold til vår egen rolle som Databehandler, men vi kartlegger samtidig hvilke krav dere som Behandlingsansvarlig må oppfylle, og vil gjennom dette lage en “pakke” som vil gjøre at dere i stand til å oppfylle GDPR-kravene:
Personvernerklæringer som våre kunder plikter å tilgjengeliggjøre på hjemmesider og andre kundeflater, samt
Samtykkeerklæringer som dere plikter å forevise for første gangs billettkjøpere for å ha lov til å lagre/bruke deres mailadresser. GDPR-forskriften stiller strenge og absolutte krav til utforming av disse.
Lagring av mailadresser før forestilling/arrangement krever ikke Samtykkeerklæring da dette er lagring av kundeopplysninger frem til “levering” av varen/tjenesten. Og nødvendig info ifht å kunne varsle kunden ved endring, avlysning osv. Men skal man lagre og bruke kundeopplysningene etter “levering”, vil GDPR kravene tre i kraft.
Forskriftene krever at Behandlingsansvarlig inngår en “Databehandleravtale”, som er i tråd med GDPR-forskriftene, med Databehandleren. En slik avtale jobber vi med å utforme nå.
Ihht GDPR er dere som Behandlingsansvarlig også forpliktet til på forespørsel fra billettkjøper å kunne utlevere all info om kunden inkl. kjøpshistorikk på et digitalt format. Dette vil vi bygge inn som en del av Min Side i eBillett slik at billettkjøper kan hente det selv.
Parallelt med at vi sørger for at vi som Behandlingsansvarlig oppfyller kravene i GDPR, vil vi også lage databehandleravtaler og personvernerklæringer som våre arrangører kan bruke som utgangspunkt for sitt GDPR-arbeid.