Kort introduktion til termer:
GDPR (General Data Protection Regulation) eller den generelle forordning om databeskyttelse, er en lov der gælder i hele EU. Loven dikterer hvordan virksomheder, foreninger, og andre organisationer skal håndtere persondata.
For hjemmesider gælder GDPR uanset om i er en privat person eller om du repræsenterer en virksomhed, så længe der bliver indhentet eller på anden måde behandler persondata.
GDPR er kun tilsidesat i tilfælde hvor dansk lovgivning trumfer over den, og organisationer vil derfor altid være underlagt at skulle følge GDPR lovgivningen såfremt de behandler eller håndterer personhenførbar data.
Lovgivningen fremsætter strenge krav for databehandlingsprocedurer, gennemsigtighed, dokumentation og brugersamtykke. Formålet er at give individer kontrollen tilbage over deres data, og at beskytte “fysiske personers fundamentale rettigheder og friheder”.
Organisationer vil som dataansvarlig skulle have et komplet overblik over det dataflow der finder sted på både deres hjemmeside, såvel som i resten af deres firma. Derudover skal data de behandler i samarbejde med tredjeparter også håndteres i henhold til GDPR. Ved udlevering af data, eller behandling af data, igennem enten tredjeparter eller andre dataprocessorer, skal en såkaldt databehandler aftale være til stede. Databehandler aftalen skal afgrænse formålet med databehandlingen, og give samtykke på at GDPR bliver overholdt.
En dataprocessor kan være alt fra software-som-en-service til indlejrede tredjepartsservicer, som sporer og profilerer hjemmesidens brugere.
Alle som behandler personhenførbar data skal kunne dokumenterer for typen af data der behandles, med hvilket formål det behandles, og eventuelle tredjeparter de behandles i samarbejde med. Det er samtidigt vigtigt at have en afgrænsning for levetiden på det såkaldte data.
Det er ikke tilladt at behandle personfølsomme, data uden at have fået brugerens udtrykkelige samtykke. For ikke-følsomme data er et implicit samtykke tilstrækkeligt. I begge fald skal samtykket gives frivilligt og på baggrund af en klar og specifik information om hvilke datatyper der registreres og til hvilket formål. Samtykket skal altid være på plads, inden databehandlingen på begyndes.
Alle samtykker bør registreres, og bør nemt kunne findes frem såfremt et individ eller datatilsynet ønsker at kunne se dokumentation for deres accept. Samtidigt skal det være muligt at kunne trække sit samtykke tilbage.
For personfølsomme data skal samtykket være eksplicit, det vil sige tilkendegivet som en aktiv handling.
Med de nye regler for GDPR skal en virksomhed nu kunne efterkomme et individs ret til datatransportabilitet, dataadgang samt retten til at blive glemt. Ønsker et individ at få sine informationer slettet, skal virksomheden nu kunne efterkomme dette inden for rimelig tid. I tilfælde hvor dansk lovgivning diktere at persondata er nødvendige (regnskabsloven eksempelvis), er GDPR sidestillet med henblik på at en virksomhed eller organisation kan efterkomme anden gældende dansk lovgivning. Individet har derfor heller ikke ret til at få slettet data, så længe de ikke har udlevet det formål de er blevet samlet ind til.
Såfremt en virksomhed oplyser brud på datasikkerheden, og dermed data, skal de underrette databestyrelsen samt forurettede individer inden for 72 timer fra de bemærker datalækket.
Hvis virksomheden behandler store mængder data for egen virksomhed, eller som databehandler for en anden virksomhed (såkaldt tredjepart), pålægger datatilsynet organisationen at få skaffet en såkaldt Data Protection Officer, kaldet DPO herfra. Det er derefter DPO’en ansvar at sikre at organisationen lever op til og følger GDPRs krav.
I forbindelse med Brexit planlægger Storbritanniens regering at implementere en lignende lovgivning, der i det store og hele vil følge GDPR.
Hvad betyder GDPR for min hjemmeside?
Såfremt din hjemmeside behandler persondata eller på anden måde samarbejder omkring behandlingen igennem f.eks. Google Analytics, eller Facebook, skal du have forudgående samtykke for brugeren på dette. Dette gælder alt data der ikke er anonymiseret, og derfor personhenførbart.
For at få et gyldigt samtykke skal du beskrive omfanget af- og formålet med din databehandling i et klart sprog til brugeren, inden behandlingen påbegyndes. Disse oplysninger skal til enhver tid være tilgængelige for brugeren, f.eks. som del af din privatlivspolitik. Du skal også gøre det let for brugeren at ændre i sit samtykke eller helt og holdent at trække det tilbage.
Dokumentation er en vigtig del af de nye krav. Alle samtykker skal logges som bevis for at samtykket er givet, og al sporing af persondata skal dokumenteres, herunder til hvilke lande dataene overføres.
Tjekliste til GDPR
GDPR er stort, indviklet og svært at gennemskue. Vi tilbyder derfor en tjekliste som du kan bruge til din organisation, som løber igennem vigtige punkter du skal forholde dig til. Det er ikke den komplette samling, men gør dig forberedt på at tackle de første punkter i GDPR.
Du er meget velkommen til at kontakte vores support for at få en personlig gennemgang af din hjemmeside og om den lever op til gældende GDPR krav.