GDPR guide

Sådan bør du forholde dig til EU’s nye dataregulativ

Ejer du en virksomhed, eller arbejder du bare med markedsføring, så er det nu, du skal spidse ørene og pudse brillerne.

EU har for kort tid siden annonceret deres nye regulativ for persondata. Regulativet har fået titlen GDPR, som er en forkortelse for General Data Protection Regulation. Denne nye EU-lov er en databeskyttelseslov, som har til formål at sikre, at forbrugernes persondata ikke misbruges. GDPR er en yderst omfattende lovgivning som skal ensrette beskyttelsen af den enkelte brugers data i hele Europa. Loven træder i kraft fra den 25. maj 2018, så du bør begynde at se nærmere på lovgivningens nye og til tider kringlede krav.

Det betyder lovgivningen for din virksomhed

Den nye lovgivning kan have vidtrækkende konsekvenser for de mange private og offentlige organisationer, som skal efterleve denne, når den træder i kraft. Som beskrevet er GDPR loven yderst omfattende og dermed også en anelse kompleks. Kompleksiteten foranlediger at organisationer bør søge inputs og rådgivning hos jurister og data compliance eksperter, samt it-infrastruktur eksperter, når de skal implementere den struktur, som i sidste ende skal kunne efterleve lovens krav. Lovgivningen kan ikke ignoreres, da overtrædelse heraf kan resultere i svimlende høje bøder på op til 4% af virksomhedes globale omsætning. Du skal ligeledes være opmærksom på den nye lovgivning, selvom din virksomhed ikke befinder sig i Europa. Såfremt din virksomhed interagere med EU, så skal din dataindsamling foregå efter GDPR-lovgivningens gældende regler.

Disse fordele giver den nye lovgivning

GDPR-lovgivningen udspringer af et andet tiltag fra EU. Strategien Digital Single Market, har skabt grobund for implementeringen af GDPR, da EU ønsker at skabe et fælles digitalt marked. Fra EU’s side ønsker man at skabe synergi mellem medlemslandendes individuelle digitale markeder, ved at samle dem til ét harmonisk digitalt marked. Vurderingen er, at dette tiltag på årlig basis vil kunne sikre 415 billioner Euros til EU’s fælles økonomi. Dertil forudser EU, at man med strategien Digital Single Market, kan skabe tusindvis af nye arbejdspladser. I skrivende stund er de mange medlemslandes forskellige digitale regelsæt en stor hæmsko og barriere for fri digital handel indenfor EU’s landegrænser. EU skønner, at det i øjeblikket kun er 7% af EU’s små og mellemstore virksomheder, som sælger over deres egne grænser. Den nye lovgivning og det fælles regulativ skal afhjælpe dette ved at skabe et fælles online digitalt marked. Regulativet kan herigennem have positiv indflydelse på mange virksomheder, da mulighederne for digital handel med produkter og services forbedres markant.

Hårde straffe for at bryde loven

EU mener det alvorligt, når de indfører GDPR den 25. maj 2018, hvilket kommer klart til udtryk i de straffe og sanktioner det medfører, hvis ikke reglerne overholdes. Lemfældighed med reglerne kan betyde store administrative bøder. Der kan udstedes administrative bøder på op til 20.000.000 Euro. En organisation kan idømmes bøder på op til 4 procent af den samlede globale årlige omsætning, hvis de 4 procent samlet set overstiger de 20.000.000 Euro. Disse bøder kan udstedes, hvis overtrædelsen af loven skyldes følgende:

  • Brud på de registreredes rettigheder.
  • Lemfældig omgang med de grundlæggende principper for behandling af data, herunder betingelserne for samtykke.
  • Overførsel af personoplysninger til en modtager i tredjeland eller en international organisation.
  • Manglende overholdelse af et eventuelt påbud eller en midlertidig eller definitiv begrænsning af behandling af data. 

 Er det nødvendigt at ansætte en DPO?

Kandidater med jobtitlen Data Protection Officer, er med indførelsen af GDPR, for alvor blevet en efterspurgt varer. Det er dog ikke alle organisationer, der er underlagt krav om at ansætte en DPO. Som udgangspunkt skal følgende organisationer have en Data Protection Officer:

  • Organisationer, der på dagligt basis behandler ”særlige kategorier af oplysninger” om registrerede. Disse oplysninger omhandler blandt andet helbredsoplysninger, etnicitet, politiske, fagforeningsmæssige, religiøse tilhørsforhold og seksuelle forhold.
  • Alle offentlige myndigheder (undtagen domstole).
  • Organisationer, hvis kerneforretning beskæftiger sig med behandling af persondata, som kræver regelmæssig og systematisk overvågning af de registrerede personer der involverer sig med organisationen.

Du SKAL spørge om tilladelse

Med indførelsen af GDPR lovgivningen, er det slut med kringlede, ugennemsigtige og kursiverede budskaber i skriftstørrelse 6,5 i bunden af din hjemmeside. Du skal være klar og tydelig i din kommunikation, når din kommunikation bruges til at indsamle persondata. Du skal altså spørge dine kunder om du må indsamle deres data, og spørgsmålet må ikke kunne misforstås eller gemmes væk.

GDPR lovgivningen forklarer ovenstående således:

“Request the explicit consent of every user before any data collection takes place. Requests must be in clear, plain, easily understandable language free of legalese. It also must stand alone from other matters or requests and not be buried in other text.”

Det er altså et decideret krav, at du er klar, tydelig og ærlig i din kommunikation, så der ikke hersker tvivl om dit budskab. At være gennemsigtig er nøgleordet, da denne tilgang også vil tjene din virksomhed bedst på den lange bane. Hvorfor dette er tilfældet, vil vi uddybe senere i dette skriv.  

For at overholde GDPR regulativet skal du sørge for, at de handlinger du ønsker, at kunden skal udføre, er klare og tydelige, så de ikke bliver ført bag lyset. Kundens valgmuligheder skal være adskilt tydeligt når det handler om tilvalg af tjenester, nyhedsmails eller lign:

I ovenstående figur ses et eksempel på en “tilmeldingsformular”, som ikke overholder GDPR-regulativets retningslinjer. I dette tilfælde, er forespørgslerne ikke tydeligt adskilt, hvilket betyder, at kunden ved at tilmelde sig servicen samtidig accepterer at modtage nyhedsbreve. Den går ikke længere. Forespørgslerne skal være tydeligt adskilt, så kunden kan tilvælge de forskellige aspekter uafhængigt af hinanden. Der skal i modsætning til eksemplet ovenfor både være en boks til accept af “privatlivspolitik og brugervilkår” og en anden boks til udfyldelse af e-mail.

Det er også slut med forudbesvarede tjekbokse. Dine “Ved at sætte flueben accepterer du, at modtage nyhedsmails” bokse må ikke længere være udfyldt med et flueben på forhånd. Kunden skal aktivt kunne vælge om de vil modtage nyhedsmails eller ej. Dette kan imødekommes ved at give kunden nedenstående valgmuligheder:

Indsaml kun den data du virkelig har brug for

GDPR lovgivningen er blevet en realitet, da man fra EU’s side ønsker at minimere den moderne verdens ekstremt store digitale datastrøm. Af denne grund opfordrer lovgivningen til, at man ikke indsamler information, som i virkeligheden ikke har nogen betydning for ens virksomheds overlevelse. Der er altså krav om, at man skære dataindsamlingen ind til benet. Såfremt du ikke har decideret et behov for at vide folks alder, så bed ikke folk om at give dig den oplysning. Du bør kun indsamle de oplysninger, som er afgørende for, at du kan drive din virksomhed.

GDPR lovgivningen kræver i denne forbindelse også, at du altid har adgang til den indsamlede data, og at denne kan modificeres og slettes til alle tider. Derved er der klare fordele ved at holde dit informationsindsamlings niveau på et minimum. Det er generelt fordelagtigt at efterleve kravet om gennemsigtighed. Vær ærlig overfor dine kunder omkring hvorfor du indsamler deres informationer, og hvad de skal bruges til.

Du bør tænke over følgende når du indsamler persondata:

  1. Hvordan kan personer give samtykke på lovlig vis?
  2. Hvad er processen, hvis en person ønsker at få al sin data slettet?
  3. Hvordan sikre i som virksomhed, at det sker på tværs af alle platforme, og at al data virkelig bliver slettet?
  4. Hvordan vil i som virksomhed håndtere det, hvis en person ønsker at få overført sine data?
  5. Hvordan vil i få bekræfte og verificere, at den person, som beder om at få overført sine data, er den person, han giver sig ud for at være?
  6. Hvad er den overordnede kommunikationsplan i tilfælde af et databrud?

GDPR-lovgivningen giver desuden privatpersoner ret til følgende:

1. Der skal gives samtykke

Virksomheder må ikke behandle de personlige data om en enkeltperson, medmindre personen frivilligt har givet specifikt, informeret og entydigt samtykke herom enten i en erklæring eller ved en klart bekræftende handling.

2. Retten til at blive glemt

Hvis en person ikke længere er kunde, eller hvis han/hun tilbagetrækker sit samtykke til, at virksomheden må bruge de personlige data, har personen ret til at få sine data slettet.

3. Retten til dataoverførsel

En person har ret til at få overført sine data fra en serviceudbyder til en anden. Og det skal ske i et almindeligt og læsbart format.

4. Retten til at blive informeret

Virksomheder skal i alle sammenhænge informere kunder omkring at de indsamler data, før indsamling af data sker. Personerne skal (som beskrevet) aktivt tilvælge, at deres data må indsamles, og samtykke skal gives frivilligt og må på ingen måde være underforstået.

5. Retten til at få oplysninger tilrettet

Dette sikrer, at personer kan få deres data opdateret, hvis den er forældet, forkert eller noget helt tredje.

6. Retten til at begrænse behandling

Personer kan frabede sig, at deres data anvendes til databehandling. Data må i dette scenarie fortsat gerne gemmes, men må ikke anvendes.

7. Retten til at gøre indsigelse

Dette punkt henviser til retten om at få stoppet brugen af data til markedsføringsformål. Der er ingen undtagelser til denne regel, og al brug af personens data skal ophøre, så snart en eventuel indsigelse modtages. Der skal informeres klart og tydeligt om denne rettighed, når kommunikationen med en person påbegyndes.

8. Retten til adgang

Privatpersoner har til alle tider ret til at få adgang til deres personlige data og få at vide, hvordan virksomheden bruger denne data. Virksomheden skal udlevere en kopi af de personlige data, gratis og i elektronisk form, såfremt en person ytrer ønske herom.

9. Retten til at blive underrettet

Hvis der er sket et brud på datasikkerheden i din virksomhed, som kan risikere at kompromittere respektive personers personlige data, har personerne ret til at blive underrettet indenfor 72 timer efter, at bruddet er blevet opdaget.

Guldet for enden af regnbuen

Umiddelbart kan den nye GDPR-lovgivning synes som noget af en hovedpine. Det kommer til at tage tid at finde ud, hvordan du på bedst mulig vis bør gemme din data, hvordan du indsamler den og samtidig sørge for, at du overholder de gældende regler på området.

Når alt kommer til alt, kan den nye GDPR lovgivning dog være en gevinst for din virksomhed på sigt. Det kan føre til højere konverteringsrater, styrke din virksomheds kredibilitet og give anledning til en ny og forbedret marketingsstrategi. Dette da den moderne kunde søger gennemsigtighed, ærlig kommunikation og virksomheder de kan have tillid til.

Ønsker du at oprette dit eget selskab? Hos Billigselskab.dk opretter vi dit selskab på under 24 timer.