Det betyder Persondataforordningen for din virksomhed

GDPR (General Data Protection Regulation) eller persondataforordningen, har været længe undervejs. D. 25/05/18 træder forordningen i kraft. Firmaer, der ikke er forberedt, kan risikere bøder på op til 4% af omsætningen, hvis de ikke behandler persondata rigtigt efter denne dato.

GDPR - Facebook og AdWords

Hvad er persondataforordningen?

Kravene handler i høj grad om at din virksomhed skal kunne dokumentere at personfølsomme data ikke misbruges, og at I behandler og opbevarer data korrekt. Derfor skal du sørge for at beskytte de informationer, du indsamler.

Første prioritet er at du kan dokumentere hvordan du behandler dataen, og at du opbevarer den sikkert. Forordningen fokuserer især på at sikre information, der kan identificere enkeltpersoner, som e-mail, telefonnumre m.m. samt personfølsom information, der afslører eks. personers etniske oprindelse, politiske eller religiøse holdninger, seksualitet og genetisk data.

Større sikkerhed for din kunde

Persondataforordningens formål er at beskytte EU-borgeres ret til egne data og deres privatliv. Grundlaget er bl.a. at alle personer har ret til egne data, til at vide hvilke informationer virksomhederne har lagret om dem, samt retten til at blive glemt.
Forordningens formål er at skabe større gennemsigtighed og tillid mellem virksomheder og privatpersoner i EU.

Som virksomhed må du altså kun opbevare kunders information hvis du har:

  • Samtykke fra din kunde
  • En gyldig grund
  • Specifikt formål med opbevaring af data

Desuden skal dataindsamlingen dokumenteres. Du skal altså kunne forklare:

  • Hvorfor virksomheden indsamler data
  • Hvad formålet er
  • Hvor længe og hvordan dataen bliver opbevaret

Som virksomhed skal du kunne dokumentere, hvilken slags data du behandler og opbevarer, hvor dataen kommer fra, og hvem dataen du deler dataen med. Du er også ansvarlig for tredjepartsdata, altså evt. købte marketinglister. Det vil sige, at du skal sørge for at få korrekt samtykkeinformation med til købte marketinglister.

Udover det skal du som virksomhed også have en kontrakt med dine leverandører om dataopbevaring.

Du kan læse en vejledning om databeskyttelsesforordningen hos datatilsynet her.

Hvad skal du selv have styr på i din virksomhed?

Her i Danmark sker der faktisk ikke så store ændringer udover kravet om at alt du gør skal dokumenteres. Vi har nemlig allerede stramme reguleringer i forhold til persondata.

Den danske persondataforordning er en implementering af GDPR i Dansk lovgivning, og skal beskytte kundens rettigheder, og derfor skal du overholde følgende:

  • Du skal kunne dokumentere at reglerne for behandling af persondata overholdes i din virksomhed.
  • Du skal indsamle og dokumentere kundesamtykke til indsamling af data med tidspunkt
  • Du skal oplyse kunden om hvordan du behandler data, du indsamler.
  • Du skal oplyse Datatilsynet samt involverede kunder, hvis virksomheden oplever brud på datasikkerheden.
  • Hvis du arbejder inden for en offentlig myndighed eller en privat virksomhed, hvis kernevirksomhed er at behandle personfølsomme oplysninger, eller behandler følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold, skal virksomheden udpege en Data Protection Officer.
  • Registreredes rettigheder er styrket med bl.a.:
    • Ret til at blive glemt: du skal slette alle registrerede oplysninger, hvis kunden beder om dette, og når kundens information ikke længere benyttes.
    • Ret til oplysning: Du skal udlevere alle registrerede data, hvis kunden beder om dette, eller overføre dem til den dataansvarlige, kunden udpeger.
    • Forældresamtykke: Du må kun behandle oplysninger om børn under 16 med forældresamtykke – det gælder også hvis det formodes, at du burde vide at der er tale om børn under 16.
  • Hvis din virksomhed behandler data fra mere end et land, skal I kun henvende jer til en datamyndighed ift. One Stop Shop-princippet. Det samme gælder privatpersoner.

Personsamtykke

Det er egentlig ikke så svært, og de fleste danske virksomheder gør det allerede, fordi vores markedsføringslovgivning allerede kræver samtykke. Hvis du indsamler kundeinformation til målrettet markedsføring eller til kundeprofilering, skal du oplyse om det. Her kan du anvende en tjekbox med afkrydsning, hvor kunden registrerer sig aktivt og tager stilling til, at deres information anvendes til marketing. Det er ikke tilladt at benytte ansvarsfraskrivelse eller en tjekbox, som allerede er afkrydset.

Dokumentation for samtykke

Der er ingen formelle krav til hvordan godkendelsen indhentes, men som virksomhed skal du kunne dokumentere din kundes samtykke, samt hvornår og hvordan samtykke er indhentet.

Det nye

Det nye er kravet om gyldig grund til at opbevare og behandle persondata. Det vil også sige at du ikke kan indhente, samle og gemme persondata uden noget formål. Vil du indsamle data, skal der være en grund til det – det må gerne være med marketingsformål for øje, bare du oplyser din kunde om det. Som udgangspunkt skal du slette data, du ikke bruger.

GDPR og Remarketing på AdWords og Facebook

Både Google og Facebook skal leve op til EU’s persondataforordning. Begge parter øger deres sikkerhed ift. mailadresser, som annoncører bruger til custom audiences, look-a-like audience, remarketing og anden marketing, for at sikre at de er indsamlet lovligt.

Her skal du sikre at de benyttede data er fremskaffet med samtykke fra kunder, og opbevaret på forsvarligt vis.

Du kan læse mere om Googles politik vedrørende personfølsom information og mere om Facebooks politik.

Cookies

Cookies bliver ikke påvirket af persondataforordningen, fordi lovgivningen på området allerede er dækket af marketinglovgivning og persondatabeskyttelseslovgivning. Cookies på danske websites må ikke indsamle personfølsom information, medmindre der indhentes samtykke til dette. Brugere af websitet skal oplyses om at der anvendes cookies på en side, og give samtykke til evt. lagring af cookies – uanset hvilken type cookies, det drejer sig om.

Du kan læse om cookies og lovgivning på området på erhvervsstyrelsens website.

Dataetik bliver et konkurrenceparameter

Dataforordningen tvinger virksomheder til at få overblik over al persondata. Det betyder at du skal have kontrol over dataflow i hele virksomhedens data life cycle – altså fra du modtager information om kunder, til denne information slettes igen, samt undervejs, mens dataen bruges. Hos nogle virksomheder har dette ikke været en høj prioritet, hvis det ikke blev set som vitalt for virksomheden.

Med kunders øgede bevidsthed om deres data som værdifuld vare og vigtigheden af at beskytte persondata, bliver databeskyttelse og -etik et vigtigt konkurrenceparameter på linje med anden forretningsetik. Det er derfor også vigtigt, at du viser dine kunder, at du tager det seriøst.

Du kan skabe større tillid hos dine kunder med en åben politik for persondatabeskyttelse og større gennemsigtighed i hvordan du benytter persondata.

 

Disclaimer: Denne blogpost er ikke uddybende om hverken EU-lovgivning eller dansk lovgivning på området persondata. Du kan derfor ikke benytte informationen som juridisk rådgivning vedrørende databeskyttelsslovginvingen GDPR. Informationen kan udelukkende tjene som baggrundsinformation. Ved behov for råd vedrørende fortolkning af GDPR indenfor din virksomhed, din virksomheds behandling af data, eller lignende, bør du henvende dig til en jurist med specialviden på området for konkret rådgivning.

Find ud af om vi er det rette match for din virksomhed

Skriv dig op og bliv kontaktet - så tager vi en helt uforpligtende dialog.