GDPR, der på dansk hedder persondataforordningen, er en forkortelse for General Data Protection Regulation. Forordningen gælder for alle EU medlemsstater og har beskyttet private forbrugere mod misbrug af deres data siden d. 25. maj 2018.
Alle efterlader et digitalt fodspor på internettet, der indeholder information om deres interesser og købsadfærd, samt hvilke hjemmesider de besøger, hvilke ordrer de bestiller osv. Denne data er meget værdifuld for virksomheder, fordi de tilrettelægger deres marketingstrategi og associerede reklamer efter individuelle personlige interesser - det har størst effekt på salg. Hvis du, for eksempel, køber en jakke på nettet, så vil du snarest efter købets gennemførsel se reklamer for andre beklædningsgenstande fra samme mærke. At modtage denne slags markedsføring har dit fodspor muliggjort.
1. Hvad er GDPR?
Denne online identitet som du, gennem din data, tilkendegiver er bogstaveligt talt guld værd, og derfor vil denne data ofte blive solgt og erhvervet af kriminelle veje. Med persondataforordningen vil EU gerne sikre sig, at virksomheder håndterer persondata på en etisk og forsvarlig måde, således at private brugere har kontrol over, hvordan deres data bruges.
Persondataforordningen finder anvendelse for alle virksomheder, der håndterer data inden for EU. Lovgivningen er særlig vigtig for virksomheder, der håndterer personfølsom data. Virksomheder, der bryder reglerne for GDPR, kan se frem til bøder på op mod € 20 millioner eller 4% af deres årlige omsætning. Dette afgøres efter, hvilket beløb, der er højest.
Som virksomhed skal man huske, at fundamentet for ens forretning er, at kunderne har tillid til en. For at sikre, at kunder anvender jeres services og køber jeres produkter, er det derfor vigtigt, at I arbejder på at være transparente. Transparens kommer blandt andet af at være ærlig med jeres kunder og klare i spyttet omkring jeres forretningsgange. Jeres kunders ret til privatliv og deres data skal respekteres, og dette skal formidles til dem.
2. Hvilken information må I (ikke) gemme?
I må kun gemme information om jeres kunder, forretningspartnere, ansatte osv., hvis I overholder persondataforordningens betingelser:
Lovlighed, rimelighed og gennemsigtighed |
Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. |
Formålsbegrænsning |
Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål. |
Dataminimering |
Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. |
Rigtighed |
Personoplysninger skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges. |
Opbevaringsbegrænsning |
Personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder. |
Integritet og fortrolighed |
Personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger. |
Kilde: Rådet for den Europæiske Union, Kapitel ll: Principper
Som virksomhed, skal I kunne påvise forholdet mellem jer og personerne, hvis data I gemmer. Dette kan I gøre gennem, eksempelvis, fakturaer.
2.1 Persondata og personfølsom data
Persondataforordningen skelner mellem persondata og personfølsom data.
Under persondata hører navn, adresse, husnr., postnr. osv. Som tidligere nævnt, må I gerne håndtere persondata, hvis I imødekommer persondataforordningens betingelser. Nogle institutioner er, ved lov, forpligtet til at gemme og håndtere bestemt persondata. Eksempelvis, skal SKAT opbevare dine personoplysninger for at vide, hvor de skal sende eventuelle breve.
Under personfølsom data hører de mere følsomme oplysninger, der kræver større omhyggelighed og sikkerhed. Heri indgår data, der relaterer sig til race, etnicitet, sundhed, politisk standpunkt, seksuel orientering, biometrisk data, genetisk information osv. Håndtering af denne form for persondata er strengt forbudt, pånær i enkelte tilfælde. Eksempelvis, må hospitaler gerne gemme medicinsk data om deres patienter, da dette selvfølgelig sikrer den bedst mulige behandling.
2.2 Registrering af data
Enhver virksomhed, der håndterer persondata, skal have en proces for, hvordan de håndterer og opbevarer dataene. Derudover skal de have et register, hvor dataen inddeles i kategorier efter den information virksomheden indhenter. Det kan, eksempelvis, være adresser og kundetyper. Derudover skal der være en oversigt over, hvilke parter, der har adgang til denne information (eksempelvis, internationale institutioner).
Om muligt, skal virksomheden også tilkendegive, hvor længe de har i sigte at gemme den respektive data, samt hvorledes de vil sikre, at den er sikkert opbevaret. Oversigten over dataen samt indsamlingsmetoden er til for, at virksomheden kan bevise, at deres processer er opsat på en forsvarlig måde.
Såfremt der foretages ændringer i virksomhedens privatlivspolitik, skal disse ændringer registreres i oversigten. Det er vigtigt at virksomheden bevarer alle aktiviteter, også dem, der er forældede pga ændringer.
OBS! Den omtalte oversigt skal indeholde en beskrivelse af dine databehandlingsaktiviteter, og IKKE selve de personlige oplysninger. |
2.3 Data processing agreements
I en tid med data som møntfod, er der mange, der benytter sig af målingsværktøjer til at hjælpe dem med at sortere i dataene som de indsamler. Samarbejder man med sådanne tredjeparter, skal man få sig en data processing agreement.
En data processing agreement, også kendt som en databehandlingsaftale, er en kontrakt mellem dem, der kontrollerer dataen og dem, der behandler den, samt alle herimellem. Disse aftaler skal sikre, at hvert led i partnerskabet opererer i overensstemmelse med GDPR.
Hvis virksomheden, for eksempel, indsamler persondata gennem deres hjemmeside, så skal de bruge en tredjepart til at håndtere dataen. En tredjepart kunne være Google Analytics. En databehandlingsaftale sikrer, at alle parter overholder lovgivningen og behandler virksomhedens interessenters data i overensstemmelse med virksomhedens værdier.
Hvis databehandleren misligholder kontrakten, ved at mishandle dataen, holdes virksomheden ansvarlig for GDPR-bruddet, MEDMINDRE virksomheden, ved fremvisning af en databehandlingsaftale, kan bevise, at de gjorde deres due diligence for at sikre, at den tredjepart, de samarbejdede med, fulgte de korrekte procedurer.
Datatilsynet har udarbejdet en gratis skabelon på en databehandlingsaftale, som du kan finde her.
3. Marketing: Det skal I være opmærksomme på
I forbindelse med online køb eller andre registreringer, er du er sikkert blevet konfronteret med den korte tekst, der efterfølges af “bekræft” knappen: “Ved anvendelse af vores services giver du samtykke til at vi sender dig emails med nyheder og gode tilbud.” I takt med vedtagelsen af persondataforordningen blev dette ulovliggjort. Internetbrugeren i EU har nu langt mere kontrol over deres data.
I må derfor ikke bruge jeres kunders persondata til at sende dem målrettet reklame. Når I udarbejder og justerer jeres marketingstrategi, skal I altid overveje to vigtige ting: samtykke og tilgængelighed.
3.1 Tilladelse
I må kun sende en person reklame, hvis de giver eksplicit samtykke til at modtage selvsamme form for kommunikation. Hvis en kunde giver din virksomhed deres personlige information, eksempelvis ved at abonnere på jeres nyhedsbrev, skal I give personen et eksplicit valg.
Dette kan I gøre ved at anvende afkrydsningsfelter i en dialogboks, der giver jeres kunder mulighed for at give samtykke til at modtage kommunikation fra jer. Der kan eksempelvis stå: “jeg accepterer vilkårene og betingelserne” eller “ja, jeg vil gerne holdes opdateres via email omkring nyheder fra Ageras.” Det kaldes en email opt-in. I må altså ikke bruge jeres kunders persondata til at sende dem målrettet reklame uden deres eksplicitte samtykke.
Glem ikke at linke til jeres vilkår og betingelser samt jeres privatlivspolitik. Udspecificér også, hvilke data I indsamler, samt hvad disse bruges til. Denne besked skal være klar og umulig at misforstå.
Tip I kan også inddele jeres kommunikationsformer i forskellige valgmuligheder som kunderne kan samtykke til eller afvise. I kan, eksempelvis, give kunden mulighed for udelukkende at modtage nyhedsbreve, eller udelukkende at modtage kritiske meddelelser. Jeres kunders valg og fravalg giver jer faktisk også interessante informationer om deres behov. Det kan nemlig være, at der danner sig et mønster; Måske ønsker påfaldende mange mennesker kun modtage kritiske meddelelser. Måske viser nyhedsbreve sig at være meget upopulære. Med oplysninger som disse kan I justere i jeres marketingstrategi, og dermed prioritere at bruge kræfter på det indhold, der er mest populært. |
I må aldrig antage, at jeres kunder ønsker at modtage dine emails, reklame og nyhedsbreve. Det er forbudt at købe eller kopiere lister med emailadresser fra andre hjemmesider til salgsfremmende formål. Det er også ulovligt at tilføje nogle til din emailliste for så at vente på, at vedkommende selv afmelder sig listen, når de bemærker, at de er på den.
Undtagelse Har du nogensinde modtaget en anmodning om at anbefale det produkt, som du lige har købt, til en ven, i bytte for en rabat eller bonus? Herved sender person A (den oprindelige køber) en email til person B (en ven, kæreste, far, mor osv.). I dette tilfælde må virksomheden gerne sende en email til person B uden eksplicit tilladelse fra personen til at gøre dette. Men her skal I være opmærksomme på, at det materiale I sender skal være mere rapporterende end reklamerende: “person A har anbefalet dette produkt til dig!” I må først sende reklame til person B, når vedkommende har givet jer tilladelse. |
3.2 Tilgængelighed
Dine kunder, businesspartnere, medarbejdere mv. skal altid have muligheden for trække deres samtykke tilbage. Det skal derfor være klart, hvordan jeres brugere kan ændre i deres præferencer og indstillinger. Det skal altid fremgå klart af jeres emails, hvordan modtagerne kan afmelde sig fra modtagerlister. Persondataforordningen giver alle rettigheden til at blive glemt. Hvis jeres databaser indeholder forældet eller fejlagtig data om en person, har vedkommende ret til at bede jer om at slette al den information. Dette gør sig iøvrigt gældende i alle tilfælde. Det er en del af persondataforordningens hensigt med at give private forbrugere rettighed til og større kontrol over deres data.
Hvis nogen beder om at blive glemt, så SKAL I slette AL data I har lagret om vedkommende. Det kan være til stor gavn for jer at implementere et CRM system (customer-relationship management), hvis I ikke allerede har sådan et. Et CRM system sikrer nemlig, at I kan sortere i al den information I har lagret. Det vil også gøre det lettere for jer at “glemme” en person, da al deres data allerede er sorteret og overskueliggjort i ét program.
Et CRM system gør det også muligt for jer at segmentere jeres kunder, og derved få større indsigt i deres interesser og behov.
4. Hvad SKAL I gøre?
For det første, er det anbefalet at gennemgå, hvilke persondata I indsamler, og tage stilling til om I kan retfærdiggøre at indsamle selvsamme data. Overholder I persondataforordningens betingelser? I skal kunne forklare, hvad I bruger al den information, I indsamler, til. I må ikke bede om, gemme eller behandle data, der ikke er i direkte overensstemmelse med dine formål med at have dataen.
I skal altså evaluere jeres nuværende processer for databehandling og -indsamling. Hvordan beder I jeres brugere om tilladelse? Hvorfor og hvordan behandler I deres data? Når I har svaret på disse spørgsmål, så begynd at sortere i den data I har, og slet det som I ikke har brug for. Sikre jer, at jeres processer er i overensstemmelse med persondataforordningens betingelser.
I burde sikre jer, at jeres liste af emails er komplet og opdateret, således at I kun sender emails til de personer, der har givet eksplicit samtykke til at modtage materiale fra jer. Er der nogen, der har trukket deres samtykke tilbage? Hvis ja, skal I implementere en proces, der sikrer, at jeres lister opdateres løbende.
Herudover skal I også opdatere jeres privatlivspolitik. Den skal være enkel og letlæselig. Undgå derfor kompleks og teknisk terminologi, der kan misforstås.
OBS: push notifikationer Når du søger på nettet, har du måske bemærket, at nogle hjemmesider har en pop-up, hvori der står: “denne hjemmeside vil gerne sende dig push notifikationer.” Disse kan du enten tillade eller afvise. Når en bruger giver samtykke, giver de hjemmesiden/virksomheden tilladelse til at sende dem korte beskeder, eller push notifikationer. Så snart brugeren klikker “tillad,” giver de hjemmesiden adgang til deres IP adresse, og dette betragter persondataforordningen som persondata. I skal derfor sikre, at I gemmer denne data på en måde, der er i overensstemmelse med lovgivningen. Hvis din virksomhed gerne vil sende andre former for kommunikation til brugere, der tillader push notifikationer, skal de give eksplicit samtykke til dette. |
Find advokat
Har du brug for hjælp af en advokat, der er specialist, til at finde rundt i GDPR-junglen? Så er du kommet til de rette. Vi hos Ageras matcher dig med de helt rigtige kompetente revisorer til dit behov - helt gratis og uforpligtende.