Du har nok allerede hørt, at vi snart går en ny lovgivning om beskyttelse af personoplysninger i møde. Men hvad betyder det egentlig for danske virksomheder og særligt webshopejere? Hvad skal man være opmærksom på, hvad skal ændres, og hvad kan konsekvenserne være?
Læs videre her, og få svaret fra Mikkel Kleis, partner ved advokatfirmaet Patrade Legal, som Web2Media samarbejder tæt med for at holde dig opdateret på de nye regler.
Vi starter med den ultrakorte version:
En ny forordning om beskyttelse af personoplysninger træder i kraft den 25. maj 2018.
Den nye forordning har indflydelse på, hvordan du behandler de oplysninger, du har om dine medarbejdere og kunder. Den vigtigste ændring består i, at du til enhver tid skal kunne dokumentere, at behandlingen af personoplysningerne er lovlig.
Den nye forordning indeholder ikke skærpede krav til din cookiepolitik, men det er samtidig vigtigere end nogensinde før at kunne dokumentere og redegøre for ens hjemmesides cookies og disses formål.
Og går videre til den uddybende forklaring:
Personoplysninger omfatter enhver form for information om fysiske identificerbare personer, f.eks. billeder, køn, navne og adresser på medarbejdere eller kunder mv. Stort set alle virksomheder behandler i et eller andet omfang personoplysninger, f.eks. i form af indsamling, opbevaring, brug og videregivelse.
Det klare udgangspunkt er, at personoplysninger kun må behandles efter forudgående samtykke fra den person, som personoplysningerne vedrører. Samtykket skal altid være specifikt. Dette indebærer, at det skal være klart, hvilke konkrete behandlinger der gives samtykke til, eksempelvis videregivelse til en anden virksomhed.
Det anbefales derfor, at I i god tid inden den 25. maj 2018 tager stilling til, om I overholder forordningens bestemmelser, og om der skal implementeres ændringer i jeres virksomheds processer, da visse ændringer kan tage lang tid at implementere.
Hvilke ændringer medfører den nye forordning?
Såfremt I i dag overholder de gældende krav i persondataloven, vil I et langt stykke ad vejen også leve op til kravene i den nye persondataforordning.
Den nye forordning indeholder dog en række nye principper og skærpede krav. Et af de vigtigste punkter er kravet om, at I altid skal være i stand til at dokumentere, at jeres behandling af personoplysninger er lovlig.
Bødestraffen for at overtræde persondatareglerne er endvidere blevet betydeligt skærpet. Forordningen giver mulighed for udstedelse af bøder på op til 20 millioner euro eller fire procent af den globale årlige koncernomsætning, afhængigt af hvad der er højest. Bødeniveauet vil dog blive fastlagt af domstolene, når de nye regler er trådt i kraft.
Det må derfor anbefales, at der udarbejdes en skriftlig politik, som beskriver, hvordan personoplysninger behandles i jeres virksomhed.
Spørgsmål, du som virksomhedsejer bør stille dig selv, er blandt andre:
- Hvilke personoplysninger behandles?
- Hvilke behandlinger foretages, hvor opbevares oplysningerne, og hvem deles de med?
- Har I udtrykkeligt samtykke fra de registrerede til at foretage alle behandlinger?
- Har I givet de registrerede alle de påkrævede oplysninger om behandlingerne?
- Har I truffet de nødvendige tekniske og organisatoriske foranstaltninger til at sikre, at oplysningerne opbevares sikkert?
- Hvis I overdrager personoplysninger til andre, er I da i besiddelse af en skriftlig overdragelsesaftale, som opfylder de nye krav i forordningen?
- Er I i besiddelse af skriftlig dokumentation for, at reglerne for korrekt databehandling overholdes?
Hvad betyder det for dine cookies?
Alle danske hjemmesider, som indsamler cookies, er forpligtede til at indhente samtykke fra brugerne, før der lagres cookies. Det er derfor et krav, at hjemmesiden indeholder en cookiepolitik, som aktivt skal accepteres af brugerne.
Persondataforordningen indeholder ikke skærpede krav til procedurerne for jeres hjemmesides lagring af cookies. Men gennemgangen af jeres øvrige procedurer for indsamling af persondata kan være en oplagt anledning til at gennemgå jeres cookiepolitik.
Er du i tvivl om kravene til den nuværende cookiepolitik? Find svaret på dit spørgsmål her:
FAQ om cookies:
Skal brugerne give accept, før min hjemmeside lagrer cookies?
Ja. Accepten kan gives enten ved at klikke ”OK” eller ved, at det anføres, at brugeren accepterer ved at klikke videre på hjemmesiden.
Hvad sker der, hvis jeg ikke har cookieaccept på min hjemmeside?
Din virksomhed vil kunne blive pålagt en bøde.
Er det accept nok at skrive ”brugen af hjemmesiden giver accept af cookies”?
Brugeren skal ved sit første besøg på hjemmesiden mødes med en tekstboks, der giver brugeren mulighed for at afslå cookies. I boksen skal der desuden være et direkte link til cookiepolitikken. Derudover er det OK at anføre, at det indebærer en accept af cookies, hvis brugeren klikker videre på hjemmesiden.
Hvad skal jeg oplyse omkring brugen af cookies på min hjemmeside?
Der skal bl.a. gives information om typen af cookies, der lagres, formålet med lagringen af disse cookies, og hvordan brugeren kan blokere og slette cookies.
Hvilke oplysninger skal jeg kunne fremvise for mine besøgende, hvis de efterspørger dem?
Du skal oplyse, hvilke oplysninger du har registreret om din kunde, formålet med registreringen, hvem der har modtaget oplysningerne, og hvorfra oplysningerne kommer.
Hvilke typer af cookies skal jeg informere om?
Du skal oplyse om alle typer cookies, f.eks. HTML-cookies og Flash-cookies, og formålet med at anvende disse cookies.
Hvordan finder jeg ud af, hvilke cookies der bruges på min hjemmeside?
Der findes forskellige værktøjer til at scanne og identificere cookies på hjemmesider. Jeres webmaster vil formentlig kunne identificere, hvilke cookies der anvendes.
Kan jeg bruge en standardcookietekst på min hjemmeside?
Det kan generelt ikke anbefales at anvende en standardtekst, som ikke er tilpasset jeres konkrete behov. En standardcookiepolitik, som er udarbejdet af en person med indgående kendskab til cookielovgivningen vil dog ofte være bedre end ikke at anvende en cookiepolitik.
Hvem skal give accept af brug af cookies?
Det er den fysiske bruger, der skal give accept. Men accepten gælder for det terminaludstyr (f.eks. PC, tablet eller mobil), der anvendes, og der skal derfor ikke indhentes nyt samtykke, såfremt en anden bruger anvender det pågældende terminaludstyr.
Er det et krav at skulle fremvise, hvilke cookies der er registeret på en enhed/person?
Nej, det er blot et krav, at det i cookiepolitikken beskrives, hvordan brugeren sletter cookies fra sit terminaludstyr (f.eks. PC, tablet eller mobil).
Vær på den sikre side med vores cookiepakke
Web2Media har sammensat en cookiepakke, som vi tilbyder til dig, der vil være sikker på, at din cookiepolitik altid er i overensstemmelse med lovgivningen.
Helt konkret inkluderer cookiepakken, at vi i samarbejde med Danmarks førende leverandør implementerer et script på hjemmesiden, som indeholder en liste over alle de cookies, der er i brug. I samarbejde med Patrade Legal udarbejder vi også en cookietekst, der er tilpasset jeres specifikke behov og følger lovgivningen.
Ca. 36 % af cookies varierer fra måned til måned, og derfor indeholder cookiepakken også månedlig overvågning og eventuelt rapportering.
Tag fat i os, hvis du har brug for hjælp
Vi håber denne gennemgang og vores FAQ har givet dig overblik og besvaret eventuelle spørgsmål.
Hvis du vil være helt sikker på, at dine arbejdsprocesser og din cookiepolitik lever op til de nye standarder, er du altid velkommen til at tage kontakt til din rådgiver hos Web2Media.