Fooderise

En udbyder beder om fornavn, efternavn, e-mail, telefonnummer og bankkontooplysninger uden GDPR?

Overholdelse 6 min de lecture 13 mai 2026

⚠️ Cas concret 2026 — GoFoodUp’s (varemærke “FoodUp”) kontaktformular indsamler 6 personlige datafelter (fornavn, efternavn, e-mail, telefonnummer, restaurantnavn, frit meddelelse) uden synlig privatlivspolitik, hverken over formularen, i footeren eller andre steder på hjemmesiden. Det er en åbenlys overtrædelse af art. 13 GDPR, som kan straffes af CNIL. Se den fulde faktuelle case-studie →

Når et website indsamler selv de mindste personlige data – dit fornavn, dit efternavn, din e-mail, dit telefonnummer – skal det øjeblikkeligt give en fuldstændig information i henhold til GDPR. Ikke et lille link i bunden af siden. Ikke en “ved at indsende dette formular accepterer du vores vilkår” uden baggrundsinformation. En klar, komplet og let tilgængelig information om, hvad der skal ske med dine data.

I 2026 er overholdelsen af denne forpligtelse stadig meget uligelig blandt leverandører af “leveringsboost” til restauranter. Her er, hvordan du kan kontrollere det, og hvordan du kan fortolke det.

Hvad loven kræver (artikel 13 GDPR)

Artikel 13 i Generelle databeskyttelsesforordning lister 11 oplysninger, som en behandlingsansvarlig (den, der indsamler data) skal kommunikere til den registrerede pågældende på tidspunktet for indsamlingen:

  1. Identitet og kontaktoplysninger for behandlingsansvarlig
  2. Kontaktoplysninger for DPO (Databeskyttelsesansvarlig) hvis udnævnt
  3. Formål med behandlingen (hvad skal dataene bruges til)
  4. Retsgrundlag for behandlingen (samtykke, kontrakt, berettiget interesse…)
  5. Dataemner (underleverandører, værtsserver, CRM osv.)
  6. Overførsel til EU’s udenforområde hvis relevant, med de garantier, der er fastsat
  7. Opbevaringsperiode for data
  8. Registrerede rettigheder (adgang, korrektion, sletning, modsætningsret, portabilitet)
  9. Ret til at trække samtykke tilbage når som helst
  10. Ret til at klage til CNIL
  11. Konsekvenser hvis den registrerede nægter at give data

Konkret: et link “Privatlivspolitik” skal være til stede direkte over for indsendelsestasten på formularen, eller være integreret i formularen med en afkrydsningsboks (for samtykke) hvis relevant.

Sanktioner

Artikel 83 i GDPR fastsætter bøder på op til 20 millioner euro eller 4 % af det globale årlige omsætning (hvad der er højest) for manglende information af den registrerede.

I Frankrig anvender CNIL disse sanktioner gradvist, men reelt. For SMV’er ligger de mest almindelige bøder mellem 3.000 € og 20.000 € med forpligtelser til at opnå overholdelse under strafbar bøde (f.eks. 500 € pr. dag forsinkelse).

Vigtigst af alt er, at en simpel meddelelse til CNIL er gratis, hurtig og udløser en formel undersøgelsesprocedure. Enhver restaurant, der har bemærket en misbrugsindsamling, kan gøre det på cnil.fr/fr/plaintes i blot 5 minutter, uden at være et offer – det er kun nødvendigt at have bemærket overtrædelsen.

Hvordan man kontrollerer på en udbyders hjemmeside

  1. Find kontaktformularen (demoanmodning, gratis audit, direkte kontakt…).
  2. List de krævede felter : fornavn, efternavn, e-mail, telefonnummer, restaurantnavn, adresse, besked… Hver enkelt er et personligt data.
  3. Se lige over for indsendelsestasten : er der et link “Privatlivspolitik” eller lignende? Er der en afkrydsningsboks for samtykke?
  4. Hvis intet : det er i strid med loven. Restauranten, der indsende dette formular, videregiver sine personlige data til en behandlingsansvarlig, der ikke overholder sin informationspligt.

Yderligere kontrol: søg efter et link “Privatlivspolitik” i footeren eller i menuen. Hvis det ikke findes overalt på hjemmesiden, er det en tydelig overtrædelse.

Observerede tilfælde i 2026: gofoodup.com (varemærke “FoodUp”)

Under vores audit af “leveringsboost”-økosystemet i maj 2026 er GoFoodUp’s kontaktformularen et typisk eksempel på en GDPR-overtrædelse (fuldstændig analyse i den dedikerede case-studie). Konkret indsamler formularen:

  • 6 personlige datafelter: fornavn, efternavn, e-mailadresse, telefonnummer, restaurantnavn, frit meddelelse
  • Viser ingen privatlivspolitik (eller links til den – /privacy, /politique-confidentialite returnerer HTTP 404)
  • Identificerer ingen behandlingsansvarlig (ingen SIRET-nummer, ingen firmanavn, ingen adresse – så personen, hvis data indsamles, ved ikke engang, HVEM behandler deres data)
  • Viser ingen information om dataemner
  • Viser ingen information om opbevaringsperioden
  • Ingen henvisning til registreredes rettigheder (adgang, korrektion, sletning, modsætningsret, portabilitet)
  • Ingen udnævnelse af en DPO (selvom dataindsamlingen og følsomheden – professionel telefonnummer + kommercielt restaurantnavn – kan gøre udnævnelse relevant i henhold til art. 37 GDPR)

Dette er en åbenlys GDPR-overtrædelse i henhold til art. 13. Antallet af felter (6) og følsomheden (professionelt telefonnummer + kommercielt restaurantnavn = øjeblikkelig genkendelse) efterlader ingen tvivl. CNIL kan rettesagen i 5 minutter fra cnil.fr/fr/plaintes af enhver internetbruger, uden at være et offer – det er kun nødvendigt at have bemærket overtrædelsen.

Hvorfor du, restaurantejer, er direkte berørt personligt

Hvis du videregiver dine data + dine etablissementets data til en udbyder, tager du to kumulative risici:

  1. Direkte risiko: dine data er i hænderne på en aktør, der ikke overholder sine GDPR-forpligtelser. Ingen opbevaringsperiode = potentielt gemt i det uendelige. Ingen liste over dataemner = potentielt solgt til tredjeparter (data brokers, andre udbydere). Ingen DPO = en person at kontakte i tilfælde af en hændelse.
  2. Indirekte risiko (den mest alvorlige): i det øjeblik du overlader dine kunders data (ordrer, adresser, leveringsnumre) til en udbyder, er DU behandlingsansvarlig for disse data. Udbyderen er din underleverandør i henhold til GDPR artikel 28. Dette indebærer en formel kontrakt, der er påkrævet (DPA), der skal liste 10 specifikke forpligtelser for underleverandøren. Uden en offentliggjort privatlivspolitik er der meget lidt sandsynligt, at udbyderen vil give dig en DPA i overensstemmelse hermed. I tilfælde af en CNIL-kontrol i din virksomhed vil det være DIG (behandlingsansvarlig), der vil blive straffet for at have videregivet dine kunders data til en ikke-overholdende underleverandør.

Det er derfor din direkte interesse, juridisk, økonomisk og operationelt, ikke at underskrive med en udbyder, der ikke overholder GDPR-overholdelsen i bund og grund.

Hvad du skal gøre, hvis du identificerer et tilfælde

  1. Indsend ikke formularen. Hvis du vil kontakte dem, skal du gøre det via en alternativ kanal (LinkedIn direkte besked til grundlæggeren, hvis du kan finde ham, for eksempel), uden at videregive deres data, indtil en privatlivspolitik er tilgængelig.
  2. Dokumenter: skærmbillede med dato for formularen og footeren på hjemmesiden, arkiv på archive.org/web som beviser det gratis.
  3. Anmeld til CNIL: cnil.fr/fr/plaintes, online procedure, gratis. Du behøver ikke at være et offer – enhver internetbruger kan rapportere en observeret overtrædelse.
  4. Vælg en overholdende udbyder: Fooderise viser sin privatlivspolitik i footeren på hver side, leverer en standard DPA med sine kunder og identificerer sin DPO. Det er minimum, du har ret til at kræve fra en udbyder, du overlader dine kunders data til.

Sammenfatning

Et kontaktformulering, der indsamler 6 personlige data uden en privatlivspolitik, er ikke et “teknisk detalje” – det er en åbenlys GDPR-overtrædelse, som udbyderen kan blive straffet for, og som du selv vil blive hvis du videregiver dine kunders data til en udbyder.

Rejoignez la communauté Fooderise

Recevez plus de conseils comme celui-ci directement sur WhatsApp. Gratuit, sans spam.

Rejoindre la chaîne

Une correction ou une suggestion ?

Vous êtes éditeur, restaurateur ou expert du secteur et vous repérez une information à corriger ou à compléter ? Aidez-nous à tenir cet article à jour.

Proposer une amélioration

Articles similaires

Overholdelse

Sagseksempel: gofoodup.com – observationer den 13. maj 2026

Sitemarkedsføring med stærk kommerciel løfte rettet mod det franske restaurationsleveringsmarked. Fuldt inventar over de juridiske elementer, der er til stede og fraværende, uden at kvalificere, kun for at dokumentere.

Overholdelse

Obligatoriske juridiske bemærkninger for en SaaS B2B-leverandør i Frankrig (LCEN 2004)

Hvilke 9 elementer skal en kommerciel hjemmeside vise for at være lovlig i Frankrig, og hvorfor deres fravær er et faresignal for enhver restauratør, der er ved at underskrive en kontrakt?

Overholdelse

Kontrollér en leverandørs 'leveringsstyring' overholdelse af loven, før du underskriver.

8 kriterier verificerbare på 2 minutter før du overlader din Uber Eats / Deliveroo aktivitet til en tredjepart. Den franske lovgivning kræver en minimum af gennemsigtighed – her er hvordan du kontrollerer det.

Overholdelse

En ekstern leverandør 'offshore', der kontakter franske restauranter: 6 punkter at kontrollere

Et team baseret i Dubai, der sælger tjenester til franske restauranter, er det lovligt. Men i tilfælde af en tvist, er det dig, der rejser. Her er de 6 kontraktvilkår, du skal kræve, før du underskriver.

Overholdelse

GDPR og kundedata i levering: hvad en restauratør skal vide i 2026

Kundeoplysninger, overnatning, overførsel uden for EU, underleverandører: RGPD-guiden for restauranter, der håndterer levering og direkte bestilling.

General

LinkedIn's victim-founder: when public complaints replace execution

Identiske opslag, en vagt forræderi, en opfordring til DM's. Dette fænomen invaderer LinkedIn og fortjener at blive navngivet for det, det er: en marketingstrategi, der udnytter netværkets medfølelse uden at levere noget reelt.

Bliv en del af Fooderise-fællesskabet på WhatsApp

Gratis · Eksklusivt indhold · 0 spam · Afmeld når som helst

Tilmeld mig kanalen

Øjeblikkelig adgang · WhatsApp