Christian Skov er COO og partner i inetdesign med primært ansvar for kommunikation, det kommercielle og for at holde enderne sammen. Christian har arbejdet med ledelse, strategi og kommunikation siden 2002 med fokus på det at drive forretning og kommunikere på internettet og få projekter, økonomi og relationer til at gå op i en højere enhed. Privat et familie- og sportsmenneske og støtter selvfølgelig de lokale fodboldklubber i Aarhus.
GDPR: hvad, hvordan og hvorfor (og tjekliste)
Er du stadig lidt presset over Databeskyttelsesforordningen (nok bedre kendt som persondataforordningen eller GDPR)?
Så forstår vi dig godt.
Som en af mange leder du måske stadig efter en løsning og svar på spørgsmål som: Hvad indebærer GDPR? Hvilke krav skal vi overholde? Risikerer vi en bøde, hvis vi ikke overholder GDPR? Og spørgsmålene er stadig relevante (for både for små og store virksomheder) på trods af at GDPR trådte i kraft den. 25. maj 2018.
Med dette blogindlæg vil vi give dig mere indsigt og et overblik, så du kan komme godt videre og i mål med GDPR.
GDPR COMPLIANT HJEMMESIDE
Gør dine cookies 100% GDPR compliant
Få et smart værktøj, der automatisk beskriver din brug af cookies og med et snuptag håndterer GDPR samtykke på din hjemmeside.
Set, Forget (og slip for en masse juridisk besvær).
1
Hvad er GDPR?
I januar 2012 fremsatte EU-Kommissionen sin EU-databeskyttelsesreform.
Reformen blev formelt vedtaget i EU den 14. april 2016. Reformen er først og fremmest lovgivning om beskyttelse af personoplysninger, som vil træde i kraft den 25. maj 2018 i Danmark og erstatte den nuværende persondatalov.
Formålet er at ensrette beskyttelsen af vores grundlæggende rettigheder i forbindelse med databehandling og at sikre den frie udveksling af personoplysninger mellem EU landene.
Som en af forordningens betragtninger lyder: ”Fysiske personer bør have kontrol over deres personoplysninger. Sikkerheden både retligt og praktisk bør styrkes for fysiske personer, erhvervsdrivende og offentlige myndigheder”.
2
Hvorfor GDPR?
GDPR er faktisk en god ting med et ædelt formål. I EU mener man, at behandling af personoplysninger bør have til formål at tjene menneskeheden (intet mindre).
Og derfor er der behov for en stærk og mere sammenhængende databeskyttelse. Der er to primære årsager:
- Fysiske personer udbreder i stigende grad deres personoplysninger offentligt og globalt. Det sker i kølvandet på den hastige teknologiske udvikling og globalisering.
- Både private selskaber og offentlige myndigheder har mulighed for at udnytte disse oplysninger i et hidtil uset omfang.
Forordningen tager afsæt i EU's charter om vores grundlæggende ret til beskyttelse af vores personoplysninger.
GDPR følger således chartrets frihedsrettigheder og principper herunder bl.a. respekten for privatliv og familieliv, hjem og kommunikation, beskyttelsen af personoplysninger, retten til at tænke frit samt til samvittigheds- og religionsfrihed og ytrings- og informationsfrihed.
Så selvom GDPR på den korte bane medfører en del panderynker i den private og offentlige sektor, så synes vi faktisk, at EU fortjener et lille klap på skulderen for at forsøge at værne om brugernes privatliv.
GDPR er faktisk en god ting med et ædelt formål.
CHRISTIAN SKOV
CFO · Partner, INETDESIGN
3
GDPR i praksis
Og nu til essensen af hele balladen. Hvad stiller det af krav til jeres organisation?
For det første, så skal I vænne jer til rollen som dataansvarlig.
Stort set alle virksomheder er dataansvarlige, da bl.a. kundedata, medarbejderdata, data på ansøgere og data om hjemmesidebrugere tæller med som personlige oplysninger (se i øvrigt definitioner nederst på denne side).
I bund og grund handler GDPR om, at I skal overholde den registreredes rettigheder, når I er kommet i besiddelse af deres data.
Vi har udvalgt de mest centrale punkter i GDPR og de opgaver, som følger med i kølvandet:
1. Personlige oplysninger
Først og fremmest skal I klarlægge, hvilke personlige oplysninger, I opbevarer og behandler.
GDPR er måske en god lejlighed til at overveje, om I faktisk har brug for at behandle alle disse data. Og om det sker på et lovligt grundlag. Der skal nemlig være et konkret formål og behandling af personoplysninger skal være begrænset til formålet.
Ydermere skal de registrerede være oplyst om jeres konkrete databehandling.
2. Persondatapolitik
Som en del af jeres persondatapolitik skal I beskrive, hvilke personlige oplysninger I behandler, hvordan I behandler dem, hvordan I opbevarer dem og hvorfor.
Og det hele skal være tilgængelig på jeres hjemmeside. Se evt. vores egen som inspiration.
3. Databehandlere
Deler I de registreredes personlige oplysninger med andre, bliver de betragtet som databehandlere.
Databehandlere (og i øvrigt deres databehandlere og dermed dine underdatabehandlere) skal behandle personlige data iht. din ”kontrakt” med de registrerede. Du skal sørge for, at der er databehandleraftaler på plads med alle jeres databehandlere.
Databehandlere kan fx også være Facebook og Google.
4. Samtykke
I skal have den registreredes klare samtykke, før I må behandle dennes data. Og efterfølgende skal I kunne dokumentere, at I har fået samtykket. Samtykket skal indebære en frivillig, specifik, informeret og utvetydig viljestilkendegivelse.
Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage og det skal være lige så let at trække sit samtykke tilbage som at give det.
Behandling af personlige oplysninger er i øvrigt lovlig uden samtykke, såfremt behandling er nødvendig af hensyn til opfyldelse af en kontrakt.
5. Cookies
Har du hørt, at GDPR ikke skærper kravene for håndtering af cookies på en hjemmeside? Vi er uenige.
Betragtning (30) i GDPR slår fast, at mange typer cookies skal betragtes som personlige oplysninger:
”Fysiske personer kan tilknyttes onlineidentifikatorer, som tilvejebringes af deres enheder, applikationer, værktøjer og protokoller, såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer, såsom radiofrekvensidentifikationsmærker. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.”
Og Betragtning (70)...
”Hvis personoplysninger behandles med henblik på direkte markedsføring, bør den registrerede til enhver tid have ret til gratis at gøre indsigelse mod en sådan behandling… Den regstrerede bør udtrykkelig gøres opmærksom på denne ret, og oplysningerne bør gives klart og adskilt fra alle andre oplysninger”.
CENTRALE GDPR DEFINITIONER
Personoplysninger
Enhver form for information om en identificeret eller identificerbar fysisk person. Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.
Behandling
Enhver aktivitet som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Samtykke
Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger gøres til genstand for behandling.
Dataansvarlig
En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Databehandler
En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.
HAR DU TABT SMÅKAGERNE?
Udvid værktøjskassen med et professionelt cookieværktøj
Indhent samtykke med et enkelt og brugervenligt cookiebanner og slip for manuel vedligehold. Værktøjet scanner automatisk din hjemmeside, opdaterer liste og beskrivelser med cookies dine hjemmeside bruger (tilpasset til brugerens browsersprog).
Og du får naturligvis fuld kontrol over opsætning, rapporter, statistik og samtykkelog.
6. Cookiesamtykke og -politik
Jeres hjemmeside skal have en cookiepolitik med opdaterede og detaljerede cookiebeskrivelser. Der skal linkes til politikken, hvor brugeren bliver bedt om at afgive sit cookiesamtykke.
Mange virksomheder blander persondatapolitik og cookiepolitik sammen. Selvom der er et overlap mellem de to, idet nogle typer cookies skal betragtes som personlige oplysninger, så anbefaler vi, at I holder dem adskilt.
Det vil give både jer og brugerne et bedre overblik og dermed jer et mere professionelt udtryk.
7. Formular på hjemmeside
Har I en formular på jeres hjemmeside, så bør den tilpasses, så brugeren inden afsendelse af formularen kan orientere sig om og acceptere jeres behandling af de personlige oplysninger iht. et specificeret formål. Formålet skal være beskrevet klart og tydeligt ved formularen. Vær opmærksom på, at brugeren lige så let skal kunne trække sit samtykke tilbage.
8. Korrekt databehandling
I skal kunne dokumentere på skrift, hvordan I overholder reglerne for korrekt databehandling. Herunder skal I sørge for, at jeres organisatoriske og tekniske setup er med til at sikre de personlige oplysninger, som I måtte behandle.
9. Økonomiske smæk
Og ja, det giver bøder ikke at have styr på GDPR. Artikel 83, pkt. 5.a:
”5. Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20.000.000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4% af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:
a) de grundlæggende principper for behandling, herunder betingelserne for samtykke…”
DIN GDPR TJEKLISTE
Når I kan svare ja til punkterne på listen, så er I kommet et langt stykke med at blive GDPR compliant (som det så flot hedder).
Listen skal ikke opfattes som en endelig skabelon eller et fuldstænding GDPR-værktøj (det er lovgivningen for kompleks til).
Og vi anbefaler, at I rådfører jer med fx brancheforeninger, systemleverandører, jeres digitale bureau, kommunikationsfolk og juridiske rådgivere.
- Vi har styr på vores persondatapolitik
- Vi har styr på vores databehandlere og underdatabehandlere
- Vi har styr på vores cookiesamtykke og -politik på vores hjemmeside
- Vi har styr på vores dokumentation
- Vi har styr på de registreredes rettigheder
- Vi har styr på vores information til de registrerede
- Vi har (ikke) brug for en databeskyttelsesrådgiver (DPO)
Om forfatteren
