Hvis du har fulgt med det sidste års tid, har du formentlig hørt om den nye persondataforordning. Har du ingen anelse om, hvad det egentlig kommer til at betyde? Skal alt på din webshop ændres, kræver det advokatbistand og investeringer i nye tekniske løsninger, eller er det hele blot en storm i et glas vand? Det vil vi gøre et forsøg på at besvare i dette blogindlæg. Er din webshop e-mærket, kan du altid kontakte os og få råd og vejledning.
Hvad er persondata egentlig?For at kunne snakke om de nye regler, som forventes at træde i kraft den 25. maj 2018, er der behov for en definition af begrebet persondata. Kort fortalt dækker det over alle oplysninger, der omhandler en identificerbar person. Begrebet skal forstås i bred forstand, da det også dækker over oplysninger som kundens IP-adresse, ordrenummer eller præference for blå sko frem for røde. Persondata kan opdeles i følgende tre kategorier:
- Almindelige personoplysninger: Eksempelvis navn, telefonnummer eller købshistorik.
- Følsomme personoplysninger: Eksempelvis race eller politisk overbevisning. Det er denne type oplysninger, de fleste forbinder med persondata.
- CPR-numrer: Registrerer du disse, kan det enten basere sig på et lovkrav, eller at der er et sagligt og relevant formål. Du skal desuden modtage kundens samtykke f.eks. ved et løbende aftaleforhold, og så skal der tages de fornødne sikkerhedsforanstaltninger.
Men hvad er det nye så?
Der er rigtig meget nyt i den nye persondataforordning. Når det så er sagt, vil store dele af persondataforordningen for en lang række webshops slet ikke eller kun i begrænset omfang være relevant. Vi har derfor udvalgt fire af de mere væsentlige ting, du enten bør vide eller skal have styr på. Overordnet set er en stor del af øvelsen dog, at du danner dig et overblik over og kan dokumentere, hvilke data du indsamler, hvordan du indsamler dem, hvad du bruger dem til samt, hvem du deler dem med. Har du styr på det, er du nået langt.
Anvender du databehandleraftaler?
Bliver den persondata, du har på dine kunder, behandlet af andre end din virksomhed? Hvis svaret er ja, og det er det med stor sandsynlighed, så har du behov for at udfærdige en eller flere databehandleraftaler. Det vil eksempelvis være nødvendigt med en databehandleraftale med Mailchimp eller lignende services, du benytter til at udsende nyhedsmails. Databehandleraftaler fandtes også før den nye forordning, men kravene til dem er blevet skærpet. Forordningen kræver, at databehandleraftalen fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder.
Kan du efterleve dine kunders ret til at blive glemt?
Et af de mere omtalte elementer i den nye persondataforordning er ’retten til at blive glemt’. Der er ikke som sådan tale om noget nyt, men snarere om en præcisering og uddybning af en eksisterende regel. Simpelt sagt betyder det, at dine kunder har krav på, at du fjerner eller retter personoplysninger om dem, som de ikke længere ønsker behandlet, opbevaret eller offentliggjort. For dig som webshop betyder det ikke blot, at du sletter dem fra dine systemer, men også at virksomheder eller personer, der databehandler på dine vegne, sletter eller anonymiserer disse, med mindre du er forpligtet til at opbevare oplysningerne i henhold til anden særlovgivning.
Hvornår må man behandle persondata lovligt?
Helt grundlæggende skal personoplysninger behandles i overensstemmelse med god databehandlingsskik. Begrebet handler blandt andet om, at du ikke indsamler flere oplysninger end nødvendigt, samt at formålet med indsamlingen tydeligt er oplyst og efterfølgende fulgt.
Derudover kan persondata behandles såfremt et af følgende krav er opfyldt;
- At kunden har givet sit samtykke.
- At behandlingen sker for at kunne opfylde en aftale med kunden eller en retlig forpligtelse for din virksomhed.
- At behandlingen er nødvendig for at du kan forfølge en berettiget interesse, som dog skal overstige hensynet til kunden.
Ved behandling af følsomme oplysninger skal der som udgangspunkt altid samtykke til.
Overtrædelse kan blive en dyr omgang
Konsekvenserne ved ikke at overholde reglerne vil med den nye persondataforordning blive skærpet markant, og det kan blive en meget dyr affære at skulle betale en bøde for overtrædelse. Man taler om følgende bødeniveauer:
- Niveau 1: Op til 10.000.000 euro, dog maks. to procent af din virksomheds globale omsætning.
- Niveau 2: Op til 20.000.000 euro, dog maks. fire procent af din virksomheds globale omsætning.
Der er formentlig langt mellem webshops, der omsætter for så høje beløb, hvorfor procentsatsen formentlig i højere grad vil blive aktuel. Men både to eller fire procent er jo et anseeligt indhug i de flestes indtjening.
Lad e-mærket hjælpe
Er din webshop e-mærket, har du fri adgang til juridisk vejledning. Ergo, sidder du med et spørgsmål, du ikke kan finde svar på, så skriv til os post@emaerket.dk, eller giv os et kald på 44858590. Så vil vi forsøge at hjælpe dig på bedste vis.