Få styr på GDPR part 1 - det juridiske perspektiv
Hvad betyder EU's persondataforordning for dig som webshopejer ud fra et juridisk perspektiv? Vi har gravet i juraen og omsat den til et forståeligt...
Vi fortsætter med flere guldkorn fra vores GDPR-workshops - denne gang fra et mere praktisk perspektiv. Bliv klar til den nye persondataordning nu.
Den 25. maj 2018 træder EU’s nye persondataforordning i kraft, også kaldet GDPR. Vi har allerede udgivet 1. del af et blogindlæg om emnet, som omhandler det juridiske perspektiv.
Har du ikke læst det, anbefaler vi, at du læser det først lige her: "Få styr på GDPR part 1 - det juridiske perspektiv"
Her i 2. del fortsætter vi med flere guldkorn fra vores GDPR-workshops, men denne gang anskuer vi den nye persondataforordning fra et mere praktisk perspektiv. Vi kommer bl.a. omkring:
Igen vil vi gerne pointere, at dette blogindlæg ikke må ses som et facit for jeres databehandling. Vi er naturligvis interesseret i at hjælpe, men vores kerneydelse er hosting og ikke advokatrådgivning, så har du specifikke juridiske hovedpiner, så kontakt hellere en persondata-ekspert.
Et godt udgangspunkt for at efterleve GDPR er at vide, hvilken persondata I har, og hvor I opbevarer det – det kunne f.eks. være ved Dandomain, men måske også Google, Facebook, Mailchimp og mange andre steder.
Kun ved at vide, hvilken persondata I har, og hvor det opbevares, kan I finde ud af, om I skal have en databehandleraftale med jeres leverandører.
For at finde svar på spørgsmålet om, hvilke persondata I har, og hvor og hvordan det behandles, kan I med fordel starte med at mappe jeres data.
Grundlæggende handler mapping af persondata om at:
Vi anbefaler at tage udgangspunkt i en skabelon, der er nem at forstå, og udarbejdet af Henning Mortensen, It-sikkerhedschef i Bdr. A&O Johansen.
90 % af danske virksomheder kan komme 90 % i mål ved at udfylde skabelonen.
Det mener Henning Mortensen. Se skabelonen her >>
Vi anbefaler dig at forsøge at mappe jeres data på samme måde. For hvis du ikke ved, hvad eller hvor du har persondata, kan du ikke beskytte det.
Bemærk: Dette er ikke nødvendigvis en endegyldig løsning, men det er en god måde at få besvaret det grundlæggende spørgsmål, nemlig ”Hvilke persondata I har, og hvor opbevares de?”.
To principper, som vi ikke kom så meget omkring i blogindlæggets 1. del, er ”Privacy by Design” og ”Privacy by Default” – to principper, som virksomheder skal følge jf. den nye persondataforordning.
Privacy by Design omhandler, at privatliv og sikkerhed heraf skal være indbygget i ”systemer” som standard. I GDPR-sammenhænge kaldes det privatlivsfremmende teknologier. Det er umiddelbart kun relevant for dig, som selv udvikler systemer, services og lignende.
I praksis kan privatlivsfremmende teknologier f.eks. være:
Privacy by Default handler om, at privatlivsfremmende indstillinger skal være slået til som standard.
Hvis du f.eks. opretter dig på et sociale medie, og der er en indstilling, som skjuler din adresse, lokation, venneforbindelser og lignende, skal denne indstilling være slået til fra start.
Privacy by Default er altså yderst relevant på de sociale medier, men princippet gælder f.eks. også:
Som vi nævnte i 1. del, indebærer ikrafttrædelsen af GDPR, at kunder har ret til indsigt, også kaldet indsigtsretten.
Den dataansvarlige (f.eks. dig som webshopejer) skal efter anmodning af datasubjektet (typisk en kunde) give datasubjektet indsigt i:
Det er endnu ikke til at vide, om folk rent faktisk vil benytte sig af indsigtsretten – og i så fald hvor mange.
Uanset det ekstra arbejde det eventuelt kan give, skal du vide, at det ikke er lovligt at fakturere kunderne for at opgrave disse informationer.
Kun hvis en kunde bliver ved at bede om yderligere indsigt (f.eks. ved at bede om indsigt uge efter uge og dermed begrave dig i administrativt arbejde), må du opkræve et rimeligt gebyr baseret på de administrative omkostninger.
For at blive klar til indsigtsretten bør I rent praktisk forberede jer på:
Kort sagt handler det om, at du skal være klar til at efterleve kundernes ret til indsigt samt kundernes ret til at blive glemt.
Dandomain introducerer funktioner i webshoppen, der hjælper jer med at efterleve GDPR, men vi må understrege, at det er jeres eget ansvar at være opmærksom på andre systemer, I måtte have, f.eks. ticket-systemer, nyhedsbrevssystemer, økonomisystemer osv.
I bør derfor undersøge, hvad I gemmer af persondata, hvordan I behandler data, og ikke mindst hvordan I sletter data i de øvrige e-handelsværktøjer, I sandsynligvis bruger.
Som nævnt skal den dataansvarlige (altså dig) slette data uden ugrundet ophold, hvis:
Der er visse undtagelser, som giver dig ret til at beholde data, selvom et datasubjekt påkalder sig retten til at blive glemt. Det drejer sig bl.a. om bogføringsloven, som vi netop nævnte, men også ytringsfrihed, retligt krav, anden lovgivning, osv.
Skulle der mod forventning ske et datasikkerhedsbrud hos os, forpligter vi os til at orientere dig som kunde inden for 48 timer.
Vi orienterer om alle relevante oplysninger, så I kan give anmeldelsen videre til Datatilsynet. Husk, at det skal gøres uden ugrundet ophold og max 72 timer efter, I har fået besked om datasikkerhedsbruddet.
Hele forløbet samt dokumentationen af alle relevante forhold omkring sikkerhedsbruddet er indarbejdet i Dandomains beredskabsplan.
I dette afsnit kigger vi nærmere på features i Dandomain shoppen, som gør det nemmere for dig som webshopejer at efterleve GDPR. Vi gør opmærksom på, at følgende kun omhandler shoppen og ikke tredjepartsintegrationer, så som apps lavet af vores partnere.
Først og fremmest har vi undersøgt, hvad det er for noget data, vi har i shoppen. Hvis vi tænker en lille kunderejse ind i datamappingen, kunne det se sådan her ud:
1. Fra forsiden klikker en kunde ind på et produkt – det vil kunne ses i statistikken ”Who is on” (en Dandomain app).
2. Hvis produktet ikke er på lager, kan kunden bede om at få en mail, når produktet er på lager igen – det vil kunne ses som en lagernotifikation med kundens e-mailadresse.
3. Når kunden køber et produkt, angiver kunden bl.a. navn, adresse og lignende, så produktet kan sendes til rette vedkommende og faktureres.
4. Efter købet vil du som webshopejer kunne se kunden i shoppens kundekartotek.
5. Hvis kunden efter købet vælger at bedømme produktet, vil du kunne se dette under ”Produkt ratings”, såfremt du bruger shoppens egen funktionalitet til dette.
6. Vælger kunden at skrive en anmeldelse, vil du kunne se det under ”Anmeldelser”.
Med andre ord gemmes der persondata følgende steder:
Persondata gemt her kan f.eks. være navn, adresse, e-mailadresse og IP-adresse.
Dette er blot et eksempel på noget den data, du som webshopejer indsamler om kunderne. Der kan selvfølgelig være flere steder i din shop, hvor en kunde kan afgive data - f.eks. nyhedsbrevstilmelding. Dette er du dog selv ansvarlig for at undersøge nærmere, f.eks. ved at mappe al persondata jf. tidligere afsnit.
For at efterleve de nye GDPR-regler har vi nu lavet en række af ændringer i shoppen.
Den nye persondataforordning betyder, at alle skal have en privatlivspolitik, og denne politik skal kunderne give eksplicit samtykke til.
Privatlivspolitikken bliver en ny sektion i Vilkår, og du bør linke direkte til den.
Dandomain har lavet en skabelon til privatlivspolitikken, som du kan rette til og benytte i din webshop. Se linket nederst.
Vi kommer til at anonymisere IP-adresser fra produkt ratings såvel som anmeldelser. De bruges udelukkede til fraud dectection og kan fortsat bruges hertil, selvom de er anonymiserede.
Med GDPR følger også kunders ret til at få indsigt i de persondata, du har om vedkommende – og retten til at blive glemt, altså at du sletter data om kunden.
For at gøre det nemt for dig at efterleve disse forespørgsler kommer vi til at implementere nye funktioner i shoppen på det område.
Det bliver bl.a. muligt at fremsøge kundedata og herefter generere en fil med den pågældende data. Se mockup nedenfor.
Bemærk, at mockups kun er grovskitser, og der kan forekomme rettelser til disse, som du vil se, når ændringerne er udrullet til jeres shop.
Ligeledes bliver det muligt at fjerne kundedata manuelt og – på sigt – også automatisk. Der er ikke et krav om automatisering i GDPR, men det vil gøre det betydeligt nemmere for dig som shopejer at håndtere persondata i din webshop.
Se mockup nedenfor af den manuelle del.
Det er op til jer at tage stilling til, om disse funktioner er nogle, I vil gøre brug af. Vi pålægger jer ikke at gøre det, men vi giver jer muligheden, så I derved nemmere kan efterleve GDPR.
Kunder skal altså kunne:
Som shopejer får du mulighed for at:
UPDATE: Flere features er nu live - du kan læse mere om dem her >>
Dandomain shoppen er sandsynligvis ikke det eneste system, du anvender i din forretning. Da vi som nævnt ikke er juridiske eksperter, kan vi ikke rådgive dig specifikt, omkring hvordan du skal forholde dig til GDPR i forhold til de andre leverandører/systemer/services, du bruger - ja, kort sagt, dine andre databehandlere.
Rigtig mange virksomheder er dog allerede klar med en vejledning omkring, hvordan de forholder sig til GDPR, og ikke mindst hvad du skal gøre.
Vi har samlet en række af de typiske e-handelsværktøjer nedenfor samt links til deres GDPR-vejledninger.
Liste over øvrige e-handelsservices og links til deres politik omkring GDPR
Savner du nogle på listen? Skriv gerne i kommentarfeltet, hvis du kender til andre.
På disse sider kan du finde mere information og vejledning til jeres egen GDPR-proces.
Hvad betyder EU's persondataforordning for dig som webshopejer ud fra et juridisk perspektiv? Vi har gravet i juraen og omsat den til et forståeligt...
Datatilsynet skærper kravene for, hvordan private virksomheder skal passe på fortrolige og følsomme personoplysninger i e-mails.
I dette blogindlæg vil du få en forklaring på, hvordan SEO fungerer, og lærer hvordan du forbedrer din websides synlighed og placering på Google.