PERSONDATAFORORDNINGEN

Det skal du vide om GDPR

  • SKREVET AF CÆCILIE GÄRTNER

GDPR

Du har nok allerede hørt om EU’s persondataforordning – GDPR som træder i kraft den 25. Maj 2018.

GDPR introduceres bl.a. for at styrke EU-borgeres datarettigheder og det betyder at privatpersoner fremover, vil have ret til at tilgå al den data virksomheder indsamler. Det kræver derfor at I er opmærksomme på en række ændringer og fremover kan dokumentere at jeres behandling af persondataoplysninger er lovlig.

Nedenfor kan du få et overblik over hvad vi mener I skal vide inden de nye ændringer træder i kraft næste måned. Nedenstående er eksempler på forhold som vedrører GDPR og er derfor ikke nødvendigvis fyldestgørende. Du kan læse meget mere om GDPR på itb.dk.

Dataansvarlig vs. databehandler

Som udgangspunkt er I altid selv dataansvarlige for de persondata I indsamler og anvender. Dette gør sig også gældende i vores samarbejde.

Databehandleren behandler personoplysninger på vegne af en anden virksomhed og er derfor i dette samarbejde Cabana.

En databehandler må kun behandle personoplysninger på vegne af den dataansvarlige, og skal altid følge de instrukser som den dataansvarlige giver.

Der skal derfor, ifølge loven, udarbejdes en skriftlig databehandleraftale som regulerer forholdet mellem jer og Cabana. Som medlem af IT-Branchen gør vi brug af deres officielle aftale, som du finder vedhæftet i din månedlige opgørelse for marts.

Kategorisering af persondata

Persondata kan opdeles i almindelige personoplysninger, følsomme personoplysninger og CPR-numre. Jo mere følsom en oplysning der er tale om, jo strengere er kravene til jeres håndtering.

Indsamler I oplysninger som navn, adresse, telefonnummer og købshistorik er det helt almindelige personoplysninger som ikke kræver et udtrykkeligt samtykke.

Mere specifik dataindsamling som race, politisk eller religiøs overbevisning, helbredsoplysninger, seksuel orientering ol. betegnes som følsomme personoplysninger, og kræver et udtrykkeligt samtykke. Dette må altså ikke længere gemmes væk i de generelle brugervilkår.

CPR-numre behandles som udgangspunkt fremover ligesom følsomme oplysninger og kræver også et udtrykkeligt samtykke.

Dataindsamling gennem sign-up formular

Indsamler I jeres persondata eller dele af den via eks. nyhedsbrevs sign-up på jeres website, kan I med fordel læse de syv punkter herunder.

Tilmelding
I skal holde styr på, hvornår folk har tilmeldt sig jeres nyhedsbrev. Dette sker automatisk hos de store mailtjenester som Mailchimp og Campaign Monitor, hvor der er indbygget en log i systemet.

Samtykke

I skal huske at få folks udtrykkelige samtykke på at de ønsker at modtage jeres nyhedsbrev. Det betyder at I ikke kan sende jeres nyhedsbrev ud til tidligere kunder, bare fordi I har deres mailadresse i jeres database.

Afmelding
Det skal være let at afmelde sig jeres nyhedsbrev og privatpersoner har tilmed ret til at blive glemt, og få slettet deres persondata hvis ønsket. Mange af de store mailtjenester har sørget for at jeres brugere nemt kan afmelde sig nyhedsbrevet via et automatisk link i bunden af mailskabelonen. Sender I selv nyhedsbreve ud fra jeres eget system, skal I huske at skrive det ind i mailen.

Relevans
Alle oplysninger I indhenter skal være relevante for jeres virksomhed og det I tilbyder jeres kunder.

Diskretion
Man må aldrig kunne se de andre tilmeldtes e-mail når I udsender nyhedsbreve. Det vil man aldrig kunne, ved brug af de store mailtjenester som Mailchimp og Campaign Monitor.

Procedure
I skal have en valid grund til at gemme persondataoplysninger. I skal dertil have udarbejdet en plan for, hvordan og hvor længe disse persondataoplysninger gemmes internt.

Anmeldelsespligt
Hvis I oplever et databrud har I pligt til at melde det til Datatilsynet og dels til de berørte personer.

Der skal, ifølge loven, udarbejdes en skriftlig databehandleraftale som regulerer forholdet mellem jer og jeres mailtjeneste. Også til denne aftale anbefaler vi jer at bruge IT-Branchens officielle databehandler aftale.