GDPR Del 1 - Personvernerklæring og cookies

Er du klar for å møte de nye personvernlovene som GDPR inneholder? Vi forklarer deg enkelt hva du må forberede deg på og hvilke tiltak du bør gjennomføre i din bedrift innen 25. mai 2018. Hva er personlig data, hva er cookies, og hva må du ha av informasjon på nettsiden?

Den 25. mai 2018 trer EUs General Data Protection Regulations (GDPR) i kraft. GDPR inneholder nye og strengere regler for personvern i EU. Reglene gjør at mange bedrifter må endre på hvordan de samler inn, sikrer og behandler data om personer.

GDPR gir privatpersoner mer rettigheter

Data er i dagens samfunn en verdi man kan sammenligne med penger. Som kunde i en bank har du rett på en kontoutskrift som viser hvordan pengene dine har blitt brukt. GDPR gir deg de samme rettighetene når det kommer til dine personopplysninger. For mange bedrifter er data verdifullt når det kommer til markedsføring. Facebook, for eksempel, lever av våre personlige data - som de selger videre til bedrifter som markedsfører seg i kanalen.

EU krever nå at bedrifter skal kunne gi et svar på hvilke data de innehar, hvordan de er samlet og hvordan de brukes. Og dette skal vi som privatpersoner kunne kreve innsyn i.

Ingen “skjulte” påmeldinger

Bedrifter har ikke lenger lov til å føre opp e-postadressen din på en nyhetsbrevliste lenger uten at du frivillig har meldt deg på dette spesifikke nyhetsbrevet. De kan heller ikke opprette en “profil” på deg basert på ditt bruk av nettsiden uten samtykke. Det skal være klart og tydelig hva e-posten din vil bli brukt til når du fyller ut et kontaktskjema eller laster ned en fil. Deretter skal det være avkryssingsbokser for et eventuelt nyhetsbrev og tracking. Disse skal altså ikke være en betingelse for å sende kontaktskjema/laste ned.

Mer om dette i GDPR Del 2 - Samtykke.

Du risikerer bot

Følger man ikke reguleringene kan man risikere en saftig bot på opptil 4 % av omsetningen året før, eller 20 millioner Euro. EU har tidligere hatt regler for hvordan bedrifter skal behandle personlige data, men det har ikke tidligere vært konsekvenser.

Før vi fortsetter, vil vi påpeke at informasjonen i dette blogginnlegget ikke er en fasit for hvordan bedrifter skal forholde seg til reglene eller hvilke rutiner og sikkerhetskrav de må oppnå. Innlegget er ment som en rask innføring i hva GDPR er, og hvilke tiltak du bør sette i gang i din bedrift.

Hva du må gjøre:

Informere om cookies

Når noen besøker en nettside, blir en “cookie” (informasjonskapsel) fra nettleseren lagret på datamaskinen/mobilen din. Cookies er små tekstfiler som brukes for å gi eieren av nettsiden informasjon om bruksmønster, og for å forbedre brukeropplevelsen. Disse kan registrere data som øktvarighet, hvilke sider man besøker, husker hvilke varer man har i handlekurven, og andre ting som språkinnstillinger, blant annet.

De fleste nettsider bruker cookies. Alle nettpubliseringsverktøy bruker som regel cookies for å registrere enkle ting som antall besøk på artikler osv. Svært mange bruker også cookies fra Google Analytics, som er et verktøy som gir mer detaljert informasjon om brukermønstre på siden.

Du skal informere besøkende på nettsiden om du bruker cookies. Dette kan gjøres på en tydelig måte med for eksempel et banner i topp eller bunn på siden, med en knapp som leder til en underside med utdypende informasjon om cookies. På denne siden skal det stå hvordan du samler inn data, hvorfor du gjør det, og hva dataene brukes til. Som oftest er denne typen data anonymisert og brukes kun til å analysere nettsidens prestasjoner.

Skrive personvernerklæring

De nye reglene krever også at du har en personvernerklæring på nettsiden din. Her skal du ha kontaktinformasjon til bedriften, og hvis det er aktuelt, kontaktinfo til personvernansvarlig.

På siden om personvern skal du informere om formålet med behandlingen av personopplysningene du samler. Vanlige formål er å bruke informasjonen for å kunne behandle en forespørsel, sende en vare eller for å fakturere.

Med personopplysninger menes alle typer av informasjon som kan relateres til en identifiserbar person, slik som navn, IP-adresse, e-postadresse, tlfnummer osv. Dette er typiske data som kunden selv har lagt inn i et skjema på nettsiden, for eksempel.

Du skal informere om hvordan du samler dataene, og hvem som har tilgang til dataene. Du må også informere om hvilke data du lagrer og hvor lenge disse blir lagret, samt en eventuell begrunnelse på hvorfor de blir lagret over lengre tid.

I personvernerklæringen skal du også informere om personers rett til innsyn, retting og sletting av persondata. Privatpersoner skal ha rett på å se hvilke opplysninger du har lagret om de, hva de brukes til, hvem som har tilgang til de, hvor lenge de blir lagret og hvor dataene er hentet fra.

Personer har rett til å kreve at du sletter deres personopplysninger dersom du innehar unødvendige opplysninger, eller det ikke lenger er nødvendig å ha opplysningene. Dette skal du informere om. I tillegg har personene full rett til å trekke sitt samtykke dersom et samtykke var utgangspunktet for lagringen av data (f.eks. ønsker ikke lenger å motta reklame på e-post).

Alt skal være skrevet enkelt og tydelig.

Interne rutiner

I tillegg til å ha en personvernerklæring på siden, bør bedrifter utnevne en egen personvernansvarlig. Denne personen skal sørge for at alle følger de nye reguleringene, og ta seg av eventuelle henvendelser fra brukere som ønsker innsyn eller sletting av data, for eksempel. Det er ledelsen sitt hovedansvar at dette blir oppfulgt, men det er lurt at alle i bedriften er innført i GDPR.

Bedriften bør ha en overordnet oversikt over hvem som har tilgang til hvilke data, og begrense tilgangen der det er naturlig. Det er ikke nødvendig at forskjellige avdelinger har tilgang til samme data.

Synes du GDPR er litt overveldende? Du er ikke alene. Ta gjerne kontakt med oss for bistand med tilrettelegging for de nye personvernreglene.

Les mer: GDPR Del 2 - Samtykke.

Abonner på vårt nyhetsbrev her!

 

Kontakt oss

Vennligst fyll inn Navn
Vennligst fyll inn E-post
Invalid Input
Vennligst skriv en melding til oss her
Invalid Input