Dette skal du vide om den nye persondataforordning (GDPR)

I dette blogindlæg gennemgår vi de væsentligste hovedtræk fra den nye persondataforordning (også kaldet GDPR), som træder i kraft den 25. maj 2018.

Vi vil dog gerne starte med at gøre opmærksom på, at ScanNet IKKE er juridiske eksperter. Er du i tvivl om noget, eller har du specifikke spørgsmål til forordningen, anbefaler vi derfor, at du konsulterer en juridisk rådgiver.

Vi gør ligeledes opmærksom på, at dette blogindlæg ikke må betragtes som en facitliste, og at det i sidste ende er dit eget ansvar at have styr på reglerne og leve op til dem.

Hvad er GDPR for en størrelse?

GDPR er en forkortelse for den nye europæiske persondataforordning: The General Data Protection Regulation.

Den 25. maj 2018 træder forordningen i kraft i alle EU-lande, herunder Danmark.

Forordningen har til formål at sikre bedre beskyttelse af EU-borgeres data og gælder alle virksomheder og organisationer, som opbevarer personlige data om borgere i Europa.

Derfor skal du have styr på de nye GDPR-regler

Persondataforordningen handler kort sagt om at have styr på sin databehandling.

Der er flere fordele i at efterleve den nye persondataforordning: (også inden den træder i kraft)

• Du undgår at miste data – og dermed undgår du også store bøder og eventuel dårlig omtale
• Du udsender et stærkt signal om, at du passer på dine kunders data
• Du kender reglerne og ved dermed også, hvad du som privatperson har krav på.

Persondata – hvad er det?

Det er vigtigt at have styr på, hvad persondata egentlig er, når vi snakker om den nye forordning.

Persondata er enhver form for information om en identificeret eller identificerbar fysisk person. Persondata skal forstås bredt og omfatter alle oplysninger, der kan henføres til en fysisk person – også selvom der skal anvendes særlige hjælpemidler til at identificere personen.

Persondata er altså informationer, som kan føres tilbage til en person.

Der er to typer af persondata: Almindelige personoplysninger og følsomme personoplysninger.

Almindelige personoplysninger kan være følgende: (listen er ikke udtømmende)

• • Navn
  • Adresse
  • Telefonnummer
  • Fødselsdato
  • Nummerplade

Følsomme personoplysninger er: (dette er en udtømmende liste)

• • Race
  • Etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Seksuelle forhold og seksuel orientering
  • Helbredsoplysninger
  • Genetiske og biometriske data (fra forordningen)

Hvad handler den nye persondataordning om?

Persondataforordningen lægger i højere grad end tidligere vægt på datasubjektets (dvs. EU-borgernes) rettigheder og privatlivets fred.

EU borgernes data skal behandles sagligt, med et formål, være korrekte, behandles sikkert og med en passende fortrolighed/sikkerhed. Derudover må der ikke behandles mere data end nødvendigt, og så skal data slettes, når de ikke længere skal bruges.

Dette er mere eller mindre grundtanken i GDPR. Det indebærer følgende:

• Der skal være et lovligt formål for databehandlingen – dvs. du må ikke behandle data uden grund
• Man skal have hjemmel for at behandle oplysninger – dvs. du må ikke behandle data uden en lovlig grund
• Krav om kortfattede, gennemsigtige og lettilgængelige regler for behandlingen af data og udøvelse af datasubjektets rettigheder – dvs. reglerne skal være forståelige for alle og uden kringlet jura
• Krav om standardiserede informationspolitikker til behandling af indsigtsbegæringer – dvs. alle skal have en privatlivspolitik
• Samtykke skal fremover være udtrykkeligt – dvs. man må ikke gemme samtykket på sidste side i sine salgsbetingelser.
• Oplysninger om børn beskyttes i højere grad end tidligere
• Kravene til databehandlere er steget væsentligt!

Med den nye forordning er der også kommet større fokus på ”data accountability”, hvilket betyder, at den dataansvarlige skal indføre foranstaltninger for at sikre og være i stand til at dokumentere overholdelse af forordningen.

Kort sagt skal den dataansvarlige tage ansvar for sin behandling af data: Ikke blot have styr på den, men også kunne dokumentere, at de har styr på overholdelsen.

Udover ovenstående fokusområder kommer den nye persondataforordning også med følgende tiltag:

• Dataportabilitet: Det skal være nemt at eksportere data fra ét sted til et andet. F.eks. eksportere profiler over på nye platforme. Det kan være fra Gmail til Outlook.com eller fra Dating.dk til Scor.dk
• Ret til indsigelse mod direkte markedsføring og profilering (markedsføring): Som dataansvarlig skal du altid imødekomme en indsigelse i forbindelse med markedsføring.
• Retten til indsigt: Det er muligt for privatpersoner at få indsigt i, hvilke data virksomheder har registreret om vedkommende.
• Retten til at blive glemt: I forlængelse af ovenstående har man som privatperson ret til at blive glemt, dvs. få al den data slettet, som en virksomhed har opbevaret om vedkommende, hvis der ikke længere er en lovlig grund til at gemme dataen.
• DPIA (Data Protection Impact Assessment): Det er en slags konsekvensanalyse, som ikke er relevant for dig som webshopejer.
• DPO (Data Protection Officer): Det er en databeskyttelsesrådgiver, en slags ’persondataens vogter’, som er involveret i virksomhedens relevante databehandlings aspekter og skal rådgive herom og lignende. For mindre virksomheder er det opslagt at dele eller leje en DPO.
• Medarbejderuddannelse i persondatabeskyttelse: Medarbejdere skal uddannes i persondatabeskyttelse

Er jeg databehandler eller dataansvarlig?

I forbindelse med GDPR taler man oftest om, hvem der er databehandler, og hvem der er dataansvarlig. Det er vigtigt at kende forskellen på de to.

Dataansvarlig = ”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.”

Den dataansvarlige anses altså for at have ‘ejerskabet’ af oplysningerne.

Når du ansætter folk, er du dataansvarlig for de HR-data, I indsamler i virksomheden. Er du webshopejer, gør webshoppen dig ligeledes til dataansvarlig i forhold til dine slutkunder og de data, du har indsamlet om dem. Det kan være navn, e-mail, adresser, osv.

Databehandler = ”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.”

Databehandleren må kun behandle oplysningerne på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler således aldrig oplysninger til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige.

Så snart du bruger en virksomhed til at behandle eller opbevare data for jer, er der tale om databehandlere. I forhold til både jeres og jeres slutkunders hostede data på ScanNets servere er ScanNet (fra jeres synspunkt) databehandler.

I kan sagtens have mere end én databehandler – og det har I med al sandsynlighed også.

Hvilken betydning har det, om jeg er dataansvarlig eller databehandler?

Det er vigtigt at vide, om du er databehandler eller dataansvarlig, i forhold til hvilke krav der kan blive stillet til dig, og hvilke krav du kan stille til andre.

Ifølge den nye persondataforordning er det den dataansvarlige, som har det primære ansvar for hele (data)værdikæden.

Principielt betyder det, at du som dataansvarlig skal have styr på ikke bare dataen hos os, men også hos alle vores underdatabehandlere. I praksis er det dog svært (hvis ikke umuligt) at efterleve.

Der er dog en række aftaler/betingelser, du kan indgå for at sikre, at du efterlever persondataforordningen:

• Du skal have en databehandleraftale med dine leverandører
• Du skal have en persondatapolitik, som du bruger over for dine kunder
• Du kan sikre dig, at dine databehandlere har revisionserklæring(er), der understreger, at de passer godt på din data

Sådan får du databehandleraftale

En databehandleraftale er en skriftlig aftale, der regulerer databehandlingsforholdet mellem en databehandler og dataansvarlig.

Er du kunde hos ScanNet, kan du gå ind på www.scannet.dk/compliance og anmode om en databehandleraftale. Vi har lavet en standardiseret aftale, som indeholder alle de ting, en databehandleraftale bør indeholde.

Det er dit eget ansvar at sørge for databehandleraftaler med eventuelle øvrige databehandlere.

Dette skal en persondatapolitik indeholde

En persondatapolitik er en information til dine kunder om, hvad I registrerer om dem. Den skal typisk indeholde:

• Hvilke typer personoplysninger der indsamles.
• Til hvilket formål personoplysningerne registreres.
• Hvem den dataansvarlige er og kontaktperson.
• Hvor længe de indsamlede oplysninger opbevares.
• Hvorvidt persondata videresendes til tredjemand

Kort sagt skal du informere om, hvad I registrerer om jeres kunder, og hvad I bruger det til.

Vi kommer til at lave en skabelon til shoppen, som du kan tage udgangspunkt i. I første omgang bliver den på dansk, men senere også engelsk.

Sådan dokumenterer vi, at vi har styr på din data

Som nævnt har du som den dataansvarlige det primære ansvar for hele (data)værdikæden. For at sikre dine kunders data anbefales det at vælge leverandører, som kan bevise, at de passer godt på din data. Det kan du bl.a. tjekke ved at undersøge, hvilke certificeringer og erklæringer de har.

Nedenfor kan du se en oversigt over de certificeringer og erklæringer, ScanNet har:

ISO 27001

• • Omhandler: Ledelsessystem for informationssikkerhed
  • Hvorfor?
    • Metoden, vi styrer sikkerhed efter. Certificeringen dokumenterer, at vi arbejder konsistent med sikkerhed
    • Krav fra mange udenlandske og større kunder
    • Besvarer mange ”hvordan gør I X, Y og Z- spørgsmål”

PCI DSS

• • Omhandler: Kreditkortdata på vores betalingsgateway
  • Hvorfor? Krav for behandling af kreditkortdata. Relevant for Betalingsgateway-kunder.

ISAE 3402

• • Omhandler: Revisionserklæring for vores sikkerhedsmiljø omkring regnskabsdata med høj grad af sikkerhed
  • Hvorfor?
    • Dokumenterer sikringsmiljøet over for vores kunder, altså jer
    • Besvarer mange ”hvordan gør I X, Y og Z- spørgsmål”

Kort sagt er dine data i sikre hænder hos ScanNet – og det kan du regne med bl.a. på baggrund af disse certificeringer og erklæringer.

Sådan kommer du i gang med at efterleve GDPR

Et godt udgangspunkt for at efterleve GDPR er at vide, hvilken persondata I har, og hvor I opbevarer det – det kunne f.eks. være ved ScanNet, men måske også Google, Facebook, Mailchimp og mange andre steder.

Kun ved at vide, hvilken persondata I har, og hvor det opbevares, kan I finde ud af, om I skal have en databehandleraftale med jeres leverandører.

For at finde svar på spørgsmålet om, hvilke persondata I har, og hvor og hvordan det behandles, kan I med fordel starte med at mappe jeres data.

Mapping af persondata

Grundlæggende handler mapping af persondata om at:

• Identificere hvor persondata behandles, opbevares og overføres
• Kategorisere og klassificere data
• Dokumentere formål med behandling

Vi anbefaler at tage udgangspunkt i en skabelon, der er nem at forstå, og udarbejdet af Henning Mortensen, It-sikkerhedschef i Bdr. A&O Johansen.

90 % af danske virksomheder kan komme 90 % i mål ved at udfylde skabelonen.

Det mener Henning Mortensen. Se skabelonen her >>

Vi anbefaler dig at forsøge at mappe jeres data på samme måde. For hvis du ikke ved, hvad eller hvor du har persondata, kan du ikke beskytte det.

Bemærk: Dette er ikke nødvendigvis en endegyldig løsning, men det er en god måde at få besvaret det grundlæggende spørgsmål, nemlig ”Hvilke persondata I har, og hvor opbevares de?”.

Sådan forholder du dig til indsigtsretten

Som nævnt indebærer ikrafttrædelsen af GDPR, at kunder har ret til indsigt, også kaldet indsigtsretten.

Den dataansvarlige (f.eks. dig som webshopejer) skal efter anmodning af datasubjektet (typisk en kunde) give datasubjektet indsigt i:

• Om den dataansvarlige behandler personoplysninger om datasubjektet
• Adgang til personoplysningerne
• Følgende informationer:
  • Formålene med behandlingen
  • Kategorierne af personoplysninger
  • Kategorier af modtagere
  • Opbevaringstid (eller hvordan denne beregnes)
  • Oplysninger om rettigheder
  • Retten til at klage til myndigheder
  • Oplysning om, hvor personoplysningerne stammer fra
  • Oplysning om brugen af automatiske afgørelser, herunder profilering
  • De fornødne garantier, hvis overførsel til tredjeland

For at blive klar til indsigtsretten bør I rent praktisk forberede jer på:

• Automatiseret persondataudtræk. I bør udarbejde en eksportmulighed for kunderne, hvor de selv kan se, hvad I har registreret af persondata om dem, og hvor det er muligt at gemme det i pdf-format.
• Slettefunktion. Hvis et datasubjekt tilbagekalder deres samtykke til behandling af data, skal der indbygges en slettefunktion af kundens data, såfremt tilbagekaldelsen er berettiget (mere om dette nedenfor).

Kort sagt handler det om, at du skal være klar til at efterleve kundernes ret til indsigt samt kundernes ret til at blive glemt.

Retten til at blive glemt

Som nævnt skal den dataansvarlige (altså dig) slette data uden ugrundet ophold, hvis:

• Samtykke tilbagekaldes, og der ikke er anden hjemmel
  kunden vil ikke længere have, at I behandler data om vedkommende, og I har i øvrigt ingen anden grund til at gemme vedkommendes data.
• Datasubjektet gør indsigelse, og den dataansvarlige har ikke tungere-vejende grunde til behandling
  Som nævnt vægter national lovgivning højest, så hvis en kunde, der har handlet hos jer i går, vil have slettet sin data i dag, er I faktisk jf. bogføringsloven forpligtet til at gemme visse oplysninger, selvom datasubjektet gør indsigelse.
• Datasubjektet gør indsigelse mod, at den dataansvarlige behandler data med henblik på direkte markedsføring
  Som dataansvarlig skal du altid imødekomme en indsigelse i forbindelse med markedsføring.
• Behandlingen er ulovlig
  Behandler du data, du ikke har lovlig hjemmel til at behandle, skal data naturligvis slettes.

Der er visse undtagelser, som giver dig ret til at beholde data, selvom et datasubjekt påkalder sig retten til at blive glemt. Det drejer sig bl.a. om bogføringsloven, som vi netop nævnte, men også ytringsfrihed, retligt krav, anden lovgivning, osv.

Hvad er konsekvensen, hvis der sker et datasikkerhedsbrud?

Et datasikkerhedsbrud er defineret som:

Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Skulle der mod forventning ske et datasikkerhedsbrud hos os, forpligter vi os til at orientere dig som kunde inden for 48 timer.

Vi orienterer om alle relevante oplysninger, så I kan give anmeldelsen videre til Datatilsynet. Som dataansvarlig er du forpligtet til at orientere Datatilsynet inden for 72 timer (uden ugrundet ophold), efter I har fået besked om et datasikkerhedsbrud. Det gælder også i ferieperioder, under jul og i påsken.

I forbindelse med brud på persondatasikkerheden gælder reglen om omvendt bevisbyrde. Det vil sige, at du som virksomhed selv skal bevise, at bruddet ikke er sket hos dig.

Der kommer en fælles indberetningsside på virk.dk, hvor du kan indberette datasikkerhedsbrud.

Vedr. konsekvensen, dvs. bødeniveauet, er dette i modsætning til tidligere steget væsentligt med den nye persondataforordning.

Bødeniveauet kan være op til € 20.000.000 eller 4 % af virksomhedens globale omsætning (afhængig af, hvad der er højest).

Sanktionerne tager højde for skadens størrelse, om det er sket mange gange før, og ’grovheden’ så at sige.

Læs mere om GDPR

Har du en ScanNet Webshop, kan du læse mere om de funktioner, shoppen understøtter, med henblik på, at du kan efterleve GDPR som webshopejer. Læs mere her.

ScanNet er sandsynligvis ikke den eneste leverandør, du anvender i din forretning. Da vi som nævnt ikke er juridiske eksperter, kan vi ikke rådgive dig specifikt, omkring hvordan du skal forholde dig til GDPR i forhold til de andre leverandører/systemer/services, du bruger – ja, kort sagt, dine andre databehandlere.

Rigtig mange virksomheder er dog allerede klar med en vejledning omkring, hvordan de forholder sig til GDPR, og ikke mindst hvad du skal gøre.

Vi har samlet en række af de typiske e-handelsværktøjer nedenfor samt links til deres GDPR-vejledninger.

Liste over øvrige e-handelsservices og links til deres politik omkring GDPR

• Google
• Mailchimp
• Facebook
• Hotjar
• E-conomic
• Trustpilot
• Billy
• Dinero
• Clerk
• eMailPlatform
• PayPal
• Heyloyalty
• Raptor

Savner du nogle på listen? Skriv gerne i kommentarfeltet, hvis du kender til andre.

Kilder til mere information

På disse sider kan du finde mere information og vejledning til jeres egen GDPR-proces.

• Den officielle lovtekst (på dansk og engelsk)
• Datatilsynet – Databeskyttelsesreformen
• Excel-værktøj til at dokumentere behandling af persondata (den skabelon vi omtalte tidligere)
• En GDPR-tjekliste til webshopejere