Hvad betyder persondataforordningen for din webshop? Og hvordan sikrer du at I lever op til kravene? Oxygen har lavet en kort oversigt, der giver dig alle svarene. 

Persondataforordningen. I Oxygen har vi på baggrund af den nye persondataforordning revideret vores databehandlerpolitik for at sikre at vi lever op til reglerne og kan hjælpe dig med at gøre det samme. Vi bringer således en oversigt over de mest centrale elementer i GDPR og et par af de overvejelser vi er stødt på under processen.

Kort fortalt er persondataforordningen brugerens sikkerhed for at din organisation behandler personfølsomme data forsvarligt. GDPR eller ’General Data Protection Regulation’ skal med strengere lovgivning bl.a. være med til at sikre, at virksomheder i fremtiden undgår datalæk-skandaler som den vi ser i øjeblikket med Facebook og Cambridge Analytica.

Det kan være svært at gennemskue præcis hvad du som virksomhed skal gøre for at leve op til reguleringen, som indtil videre er formuleret i relativt løse vendinger. Men det er faktisk ikke så kompliceret som det lyder, hvis du bare bruger din sunde fornuft og agerer ud fra:

 

  1. Lovlighed, rimelighed og gennemsigtighed: Data skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.
  2. Formålsbegrænsning: Data skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med de oprindelige formål.
  3. Dataminimering: Data skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.
  4. Rigtighed: Data skal være korrekte og om nødvendigt ajourførte, så der så vidt muligt altid vises et retvisende billede af brugeren.
  5. Integritet og fortrolighed: Data skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt for formålet.
  6. Integritet og fortrolighed: Data skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger.

 

Hvad er en databehandleraftale?

Der er egentlig ikke noget nyt i at indgå databehandleraftaler med kunder og samarbejdspartnere, men med GDPR bliver der opstillet specifikke rammer for aftalen med udgangspunkt i forordningen.

Selve aftalen er alt for lang til at gennemgå her på bloggen, så vi har samlet ti hjørnesten, der repræsenterer de vigtigste pointer:

 

  1. Oxygen behandler og opbevarer kun data for kunder, der har underskrevet databehandleraftalen.
  2. Oxygen forpligter sig til at leve op til alle organisatoriske og tekniske sikkerhedsforanstaltninger, der er beskrevet i persondataforordningen.
  3. Oxygen forpligter sig til at underrette kunden om retlige krav ved risiko for overtrædelse af persondataforordningen.
  4. Oxygen forpligter sig ved brud på sikkerhed eller anden form for sikkerhedsbrist til, at orientere kunden inden for 12 timer.
  5. Oxygens underdatabehandlere forpligter sig på samme vilkår som Oxygen selv til kundens databehandleraftale.
  6. Oxygen forpligter sig til at slette eller tilbagelevere kundens data på opfordring ved eksempelvis afsluttet samarbejde eller anden form for ophør.
  7. Oxygen forpligter sig til fuld gennemsigtighed i forbindelse med påvisning af overholdelse af forordningens krav.
  8. Alle medarbejdere, der behandler eller på anden måde er i kontakt med kundens data, skal have underskrevet en fortrolighedsaftale.
  9. Alle medarbejdere, der behandler eller på anden måde er i kontakt med kundens data, skal have en passende uddannelse, der sikrer korrekt håndtering af data.
  10. Ønsker kunden at trække data ud af platformen, kan dette kun ske på bestilling hos Oxygen, således at alle udtræk registreres.

 

Hvad betyder GPDR for din webshop?

Hvad persondataforordningen betyder for lige netop din webshop, afhænger af hvilken type webshop du har, hvordan serverstrukturen er indrettet og sammensætningen af underleverandører, og andre databehandlere.

Man kan grundlæggende sige at persondataforordningen skal sikre at du ikke overskrider det digitale privatlivs fred. Det betyder først og fremmest at du skal have samtykke til at sende markedsføringsmateriale til potentielle kunder. Det betyder også at du skal give kunden muligheden for at fravælge generelle informationer, der knytter sig til produktet.

Overtrædelse af persondataforordningen, kan som bekendt koste dyrt, og det kan derfor være en god idé at sikre at dine eksisterende data og behandling heraf lever op til kravene. Bøderne for overtrædelse kommer i to størrelser. Den ”milde” overtrædelse udløser en bøde på 10 mio. euro eller 2 % af omsætningen i det forgange regnskabsår og den ”strenge” udløser en bøde på 20 mio. euro eller 4 % af omsætningen i forgangne regnskabsår.

 

Har jeg brug for en databehandleraftale?

Det korte svar er ’nej’. Selvom du på papiret behandler data, er det ikke sikkert at du behøver at have en databehandleraftale. Til gengæld er det så vigtigt at du får tjekket op på dine leverandøraftaler og sikrer at de rent faktisk lever op til reglerne. Det kan også være en god idé at undersøge om du rent faktisk har opnået samtykke fra de målgrupper du henvender dig til i din markedsføring.

Er du i tvivl om I lever op til den nye persondataforordning eller har du bare behov for en snak om din datasikkerhed og behandling, så tag fat i en af vores konsulenter.

 

Fik du læst vores indlæg om persondataforordningen, da vi havde besøg af Tina Morell Nielsen til FDIH Seminar hos Oxygen? Ellers finder du det lige her.

Kan du bare sket ikke få nok af persondataforordningen, får du her et link til forordningen, som beskrevet af EU selv. Gå til EUs egen side om GDPR.