PERSONDATAFORORDNINGEN

Det skal du vide om GDPR

  • Marts 2018

GDPR

Du har nok allerede hørt om EU’s persondataforordning – GDPR som træder i kraft den 25. Maj 2018. Hvem har ikke det. 

GDPR introduceres bl.a. for at styrke EU-borgeres datarettigheder og det betyder at privatpersoner fremover, vil have ret til at tilgå al den data virksomheder indsamler. Det kræver derfor at I er opmærksomme på en række ændringer og fremover kan dokumentere at jeres behandling af persondataoplysninger er lovlig.

Få overblikket over det væsentligste du skal vide inden de nye ændringer træder i kraft. Det er eksempler på forhold, som vedrører GDPR - derfor er de ikke nødvendigvis fyldestgørende. Læs meget mere detaljeret om GDPR ift. din forretning på itb.dk.

Dataansvarlig vs. databehandler

Som udgangspunkt er I altid selv dataansvarlige for de persondata I indsamler og anvender. En databehandleren behandler personoplysninger på vegne af en virksomhed.

En databehandler må kun behandle personoplysninger på vegne af den dataansvarlige, og skal altid følge de instrukser som den dataansvarlige giver.

I skal derfor, ifølge loven, udarbejdes en skriftlig databehandleraftale som regulerer forholdet mellem jer og jeres samarbejdspartnere. Som medlem af IT-Branchen kan du gøre brug af deres officielle aftale.

Kategorisering af persondata

Persondata kan opdeles i almindelige personoplysninger, følsomme personoplysninger og CPR-numre. Jo mere følsom en oplysning der er tale om, jo strengere er kravene til jeres håndtering.

Indsamler I oplysninger som navn, adresse, telefonnummer og købshistorik er det helt almindelige personoplysninger som ikke kræver et udtrykkeligt samtykke.

Mere specifik dataindsamling som race, politisk eller religiøs overbevisning, helbredsoplysninger, seksuel orientering ol. betegnes som følsomme personoplysninger, og kræver et udtrykkeligt samtykke. Dette må altså ikke længere gemmes væk i de generelle brugervilkår.

CPR-numre behandles som udgangspunkt fremover ligesom følsomme oplysninger og kræver også et udtrykkeligt samtykke.

Dataindsamling gennem sign-up formular

Indsamler I jeres persondata eller dele af den via eksempelvis nyhedsbrevs sign-up på jeres website, kan I med fordel læse de syv punkter herunder.

Tilmelding
I skal holde styr på, hvornår folk har tilmeldt sig jeres nyhedsbrev. Dette sker automatisk hos de store mailtjenester som Mailchimp og Campaign Monitor, hvor der er indbygget en log i systemet.

Samtykke

I skal huske at få folks udtrykkelige samtykke på at de ønsker at modtage jeres nyhedsbrev. Det betyder at I ikke kan sende jeres nyhedsbrev ud til tidligere kunder, bare fordi I har deres mailadresse i jeres database og selv har integreret dem med en nyhedsbrevsliste.

Afmelding
Det skal være let at afmelde sig jeres nyhedsbrev og privatpersoner har tilmed ret til at blive glemt, og få slettet deres persondata hvis ønsket. Mange af de store mailtjenester har sørget for at jeres brugere nemt kan afmelde sig nyhedsbrevet via et automatisk link i bunden af mailskabelonen. Sender I selv nyhedsbreve ud fra jeres eget system, skal I huske at skrive det ind i mailen.

Relevans
Alle oplysninger I indhenter skal være relevante for jeres virksomhed og det I tilbyder jeres kunder.

Diskretion
Man må aldrig kunne se de andre tilmeldtes e-mail når I udsender nyhedsbreve. Det vil man aldrig kunne, ved brug af de store mailtjenester som Mailchimp og Campaign Monitor.

Procedure
I skal have en valid grund til at gemme persondataoplysninger. I skal dertil have udarbejdet en plan for, hvordan og hvor længe disse persondataoplysninger gemmes internt.

Anmeldelsespligt
Hvis I oplever et databrud har I pligt til at melde det til Datatilsynet og dels til de berørte personer.

Der skal, ifølge loven, udarbejdes en skriftlig databehandleraftale som regulerer forholdet mellem jer og jeres mailtjeneste. Også til denne aftale anbefaler vi jer at bruge IT-Branchens officielle databehandler aftale.