Hvad er GDPR

GDPR står for General Data Protection Regulation – på dansk også kaldet Databeskyttelsesforordningen eller Persondataforordningen. Forordningen, der trådte i kraft 25. maj 2018, handler grundlæggende om at beskytte EU-borgeres personlige data. To vigtige elementer i GDPR er den såkaldte oplysningspligt, som betyder, at virksomheder skal give en række oplysninger om behandlingen af persondata senest på det tidspunkt, hvor disse data indsamles, samt indsigtssretten, som giver den registrerede mulighed for at få indsigt i sine egne persondata og evt. få dem slettet, hvis man ønsker det.

I forhold til hjemmesider handler persondata rigtig meget om brug af cookies, og hvor man tidligere skulle forholde sig til både den såkaldte cookie-bekendtgørelse og GDPR-lovgivningen, har Datatilsynet og Erhvervsstyrelsen nu udarbejdet en fælles vejledning til, hvordan man udarbejder et samtykkebanner, der lever op til både GDPR og ePrivacy-direktivet. Sidstnævnte fastslår blandt andet, at samtykke altid skal gives før der må sættes cookies.

Hvad er persondata? #

Persondata er oplysninger, der kan føres tilbage til en konkret person. Det kan være navn, adresse og telefonnummer, men det kan også være mere følsomme data som f.eks. oplysninger om religiøse og politiske forhold eller seksuel orientering. I forhold til hjemmesider handler det for eksempel om indsamling af mailadresse m.m. ved tilmelding til nyhedsbrev, indsendelse af formularer eller oprettelse af konto på en webshop, men også IP-adresser anses nu for at være persondata, fordi internetudbydere vil kunne koble en IP-adresse til en konkret person blandt deres kunder. Sidstnævnte betyder, at der som hovedregel altid indsamles persondata, når der sættes en cookie på en hjemmeside.

Hvad skal man gøre som hjemmmesideejer? #

De mest kendte eksempler på funktioner, der indsamler persondata via cookies, er tjenester som Google Analytics og Facebook Pixels. Men hvor det tidligere var nok med et såkaldt “cookie-banner”, hvor man kunne samtykke til hjemmesidens overordnede brug af cookies, skal man i dag sikre, at der gives særskilt samtykke til de enkelte cookies og deres indsamling af persondata. Desuden skal der gives samtykke, hvis du deler den indsamlede persondata deles med tredjepart, som det for eksempel er tilfældet, når du bruger Google Analytics og/eller Facebook Pixels. En cookie, der udelukkende bruges til at få hjemmesiden til at fungere rent teknisk – de såkaldt “nødvendige cookies” som f.eks. den cookie, der gemmer din indkøbskurv, når du handler i en webshop – kræver ikke samtykke.

Som hjemmesideejer skal du i første omgang sikre

  • At der ikke behandles persondata før der er indhentet samtykke.
  • At ingen cookies – bortset fra nødvendige – sættes før samtykke er givet.

Dernæst skal du ved hjælp af et samtykkebanner sikre

  • At der sker en aktiv handling, når besøgende samtykker til brug af cookies. Du må ikke have krydset felterne af på forhånd, og sætningen “ved fortsat brug af hjemmesiden accepterer du cookies” er ikke et aktivt samtykke.
  • At der ikke er forskel på at vælge “ja” og “nej”. Nej-muligheden skal være lige så tydelig og let at finde som Ja-muligheden, og der må ikke gøres mere opmærksom på Ja-muligheden ved brug af farver, størrelse eller lignende.
  • At der på en let forståelig måde oplyses om, hvem der sætter cookies, hvad deres formålskategori er (nødvendige funktioner, statistik og markedsføring), samt hvornår de udløber.
  • At der kan gives særskilt samtykke til hver enkelt formålskategori. Det er ikke nødvendigt med samtykke til hver enkelt cookie.
  • At det fremgår, hvilke oplysninger, der sendes videre. Er de brugerens IP-adresse, brug af hjemmesiden eller noget helt tredje.

Og endelig skal du på din side til Privatlivspolitik oplyse følgende

  • Du skal til enhver tid kunne dokumentere de samtykker, der er givet på hjemmesiden, hvad der er givet samtykke til, og hvordan samtykket er givet. Bruger du et cookie-værktøj som f.eks. Cookiebot, sørger det for, at der laves en såkaldt samtykke-log.
  • Tilbagetrækning af samtykke. Det skal oplyses hvordan et allerede givet samtykke trækkes tilbage – og det må ikke være mere besværligt at trække det tilbage, end det var at give det.

Ansvaret er dit #

Det er dit ansvar som hjemmesideejer at sikre, at du overholer både GDPR og ePrivacy-direktivet, og dette indlæg skal alene betragtes som en introduktion til reglerne på området. Jeg vil anbefale dig at søge juridisk bistand, hvis du er tvivl om, hvorvidt din virksomhed lever op til alle regler.​

Du kan også søge hjælp og vejledning her:

Vejledning om behandling af persondata

Quickguide til at sætte cookies

Persondataloven for enkeltmandsvirksomheder – få hjælp til at overholde GDPR

GDPR, cookies og DEL2 #

Når du køber en hjemmeside fra DEL2 sørger jeg for, at der installeres et cookie-samtykke-banner og oprettes en privatlivsside med oplysninger om, hvilke cookies, der bruges på hjemmesiden. Hvis du har kontaktformular eller lignende funktioner, sørger jeg også for, at der ligger en oplysnings/samtykketekst ved disse funktioner. Har du selv skrevet en persondata/privatlivspolitik, lægger jeg naturligvis den på din hjemmeside – og har du ikke, sørger jeg for at der står de mest nødvendige oplysninger, f.eks. i forhold til brug af Google Analytics. Det skal dog understreges, at det er dit eget ansvar som virksomheds- og/eller hjemmeside-ejer at skrive en fyldestgørende tekst samt leve op til det, der står i teksten.