Hvad er GDPR?

GDPR – Introduktion til EU’s persondataforordning GDPR (General Data Protection Regulation)

Kort introduktion til termer:

  • DPO – Data Protection Officer
  • Organisation – Virksomhed, forening eller anden type organisation som handler under GDPR
  • Individ – Kunde, bruger, eller anden person hvis personhenførbare data der bliver behandlet igennem jeres organisation.

GDPR (General Data Protection Regulation) eller den generelle forordning om databeskyttelse, er en lov der gælder i hele EU. Loven dikterer hvordan virksomheder, foreninger, og andre organisationer skal håndtere persondata.

For hjemmesider gælder GDPR uanset om i er en privat person eller om du repræsenterer en virksomhed, så længe der bliver indhentet eller på anden måde behandler persondata.

GDPR er kun tilsidesat i tilfælde hvor dansk lovgivning trumfer over den, og organisationer vil derfor altid være underlagt at skulle følge GDPR lovgivningen såfremt de behandler eller håndterer personhenførbar data.

Lovgivningen fremsætter strenge krav for databehandlingsprocedurer, gennemsigtighed, dokumentation og brugersamtykke. Formålet er at give individer kontrollen tilbage over deres data, og at beskytte “fysiske personers fundamentale rettigheder og friheder”.

Organisationer vil som dataansvarlig skulle have et komplet overblik over det dataflow der finder sted på både deres hjemmeside, såvel som i resten af deres firma. Derudover skal data de behandler i samarbejde med tredjeparter også håndteres i henhold til GDPR. Ved udlevering af data, eller behandling af data, igennem enten tredjeparter eller andre dataprocessorer, skal en såkaldt databehandler aftale være til stede. Databehandler aftalen skal afgrænse formålet med databehandlingen, og give samtykke på at GDPR bliver overholdt.

En dataprocessor kan være alt fra software-som-en-service til indlejrede tredjepartsservicer, som sporer og profilerer hjemmesidens brugere.

Alle som behandler personhenførbar data skal kunne dokumenterer for typen af data der behandles, med hvilket formål det behandles, og eventuelle tredjeparter de behandles i samarbejde med. Det er samtidigt vigtigt at have en afgrænsning for levetiden på det såkaldte data.

Det er ikke tilladt at behandle personfølsomme,  data uden at have fået brugerens udtrykkelige samtykke. For ikke-følsomme data er et implicit samtykke tilstrækkeligt. I begge fald skal samtykket gives frivilligt og på baggrund af en klar og specifik information om hvilke datatyper der registreres og til hvilket formål. Samtykket skal altid være på plads, inden databehandlingen på begyndes.

Alle samtykker bør registreres, og bør nemt kunne findes frem såfremt et individ eller datatilsynet ønsker at kunne se dokumentation for deres accept. Samtidigt skal det være muligt at kunne trække sit samtykke tilbage.

For personfølsomme data skal samtykket være eksplicit, det vil sige tilkendegivet som en aktiv handling.

Med de nye regler for GDPR skal en virksomhed nu kunne efterkomme et individs ret til datatransportabilitet, dataadgang samt retten til at blive glemt. Ønsker et individ at få sine informationer slettet, skal virksomheden nu kunne efterkomme dette inden for rimelig tid. I tilfælde hvor dansk lovgivning diktere at persondata er nødvendige (regnskabsloven eksempelvis), er GDPR sidestillet med henblik på at en virksomhed eller organisation kan efterkomme anden gældende dansk lovgivning. Individet har derfor heller ikke ret til at få slettet data, så længe de ikke har udlevet det formål de er blevet samlet ind til.

Såfremt en virksomhed oplyser brud på datasikkerheden, og dermed data, skal de underrette databestyrelsen samt forurettede individer inden for 72  timer fra de bemærker datalækket.

Hvis virksomheden behandler store mængder data for egen virksomhed, eller som databehandler for en anden virksomhed (såkaldt tredjepart), pålægger datatilsynet organisationen at få skaffet en såkaldt Data Protection Officer, kaldet DPO herfra. Det er derefter DPO’en ansvar at sikre at organisationen lever op til og følger GDPRs krav.

I forbindelse med Brexit planlægger Storbritanniens regering at implementere en lignende lovgivning, der i det store og hele vil følge GDPR.

Hvad betyder GDPR for min hjemmeside?
Såfremt din hjemmeside behandler persondata eller på anden måde samarbejder omkring behandlingen igennem f.eks. Google Analytics, eller Facebook, skal du have forudgående samtykke for brugeren på dette. Dette gælder alt data der ikke er anonymiseret, og derfor personhenførbart.

For at få et gyldigt samtykke skal du beskrive omfanget af- og formålet med din databehandling i et klart sprog til brugeren, inden behandlingen påbegyndes. Disse oplysninger skal til enhver tid være tilgængelige for brugeren, f.eks. som del af din privatlivspolitik. Du skal også gøre det let for brugeren at ændre i sit samtykke eller helt og holdent at trække det tilbage.

Dokumentation er en vigtig del af de nye krav. Alle samtykker skal logges som bevis for at samtykket er givet, og al sporing af persondata skal dokumenteres, herunder til hvilke lande dataene overføres.

Tjekliste til GDPR

GDPR er stort, indviklet og svært at gennemskue. Vi tilbyder derfor en tjekliste som du kan bruge til din organisation, som løber igennem vigtige punkter du skal forholde dig til. Det er ikke den komplette samling, men gør dig forberedt på at tackle de første punkter i GDPR.

  1. Indsaml ikke mere end du har brug for
    Når du indsamler data igennem din hjemmeside, er det vigtigt at vurdere om det indsamlede data er nødvendigt til det ønskede formål. Hvis ud ikke har brug for det indsamlede data, skal indsamlingen stoppe. Dertil bør du vurdere om det data du indsamler eller har indsamlet skal slettes, og hvornår.
  2. Vær sikker på at det indsamlede data er sikkert behandlet
    Når du indsamler data, er du forpligtet til at beskytte de indsamlede kundeoplysninger, i henhold til lovgivningen. Det gælder både ved opbevaring og behandling af data, samt ved indsamlingen af data. Personfølsomme data bør derfor krypteres og på anden måde være utilgængeligt for udefrakommende. Medarbejdere i din organisation bør være indforstået med dette, samt selv kende til lovgivningen, og kun have adgang til relevant data.
  3. Er det nødvendigt at indsamle personoplysninger?
    Overvej hvor vidt du overhovedet har brug for at indsamle personoplysninger igennem din hjemmeside, og hvilke problemer det indsamlede persondata løser for din side. Det er selvfølgelig helt acceptabelt hvis kunden selv henvender sig til dig med sine oplysninger med henblik på at lave en forespørgsel eller anvende en service, men kun de som er nødvendige for at kunne opfylde forespørgslen.
  4. Hav et klart formål med det indsamlede data
    Under GDPR er det vigtigt at du kan beskrive formålet med det indsamlede data, og løse vendinger eller “bare fordi” er ikke godkendte jvf. lovgivningen. Du kan derfor ikke indsamle eksempelvis e-mails og opbevare dem på ubestemt tid, medmindre du har et velbeskrevet formål med det. Et eksempel der kunne dække førnævnte scenarie kunne være et nyhedsbrev hvor man opbevarer kundens email til de aktivt frasiger sig servicen.
  5. Vær sikker på at det indsamlede data er korrekt og nutidsvarende
    Når du indsamler data er det dit lovpligtige ansvar at sikre dig at det indsamlede data er korrekt, og nutidsvarende efter samtykke og accept fra det enkelte individ. Det kan derfor være vigtigt at sikre at blandt andet kontakt oplysninger stadig er korrekte på persondata hvis du har planer om at opbevare det i længere tid, og derfor også følge op på det.
  6. Lad dataene være portable
    Det er vigtigt at både dig selv og dine eventuelle medarbejder/ansatte genkender de enkelte individers ret til både at blive glemt, samt data portabilitet. Dette betyder blandt andet at i nemt skal kunne eksportere data om individet og have mulighed for at slette det ved kontakt fra individet.
  7. Samarbejd kun med tredjeparter det overholder loven
    Når du samarbejder med en tredjepart om at håndtere, samt behandle, personfølsom og personhenførbar data, ligger ansvaret på dine skuldre at sikre dig at dine samarbejdspartner lever op til loven. Dette gøres typisk igennem en databehandler aftale hvor begge virksomheder bekræfter at de lever op til kravene og gældende lovgivning for GDPR.
  8. Vær sikker på at få et samtykke for markedsføring
    Har du planer om at bruge markedsføring, herunder email markedsføring, er det vigtigt at du sikrer dig at have et dokumenteret samtykke for at individet ønsker at modtage denne form for markedsføring. Automatisk afkrydsede tjekfelter for nyhedsbreve er absolut ulovlige, da det kræver eksplicit samtykke fra individet side.

Du er meget velkommen til at kontakte vores support for at få en personlig gennemgang af din hjemmeside og om den lever op til gældende GDPR krav.