Værd at vide om GDPR

Alle taler om GDPR, persondataloven og persondatapolitik. Bliv klogere på, hvad det betyder, og hvad du som virksomheds- og/eller hjemmesideejer skal være opmærksom på.

Hvad betyder GDPR?

GDPR står for General Data Protection Regulation – på dansk også kaldet Databeskyttelsesforordningen eller Persondataforordningen. Forordningen, der trådte i kraft 25. maj 2018, handler grundlæggende om at beskytte EU-borgeres personlige data. To vigtige elementer i GDPR er den såkaldte oplysningspligt, som betyder, at virksomheder skal give en række oplysninger om behandlingen af persondata senest på det tidspunkt, hvor disse data indsamles, samt indsigtssretten, som giver den registrerede mulighed for at få indsigt i sine egne persondata og evt. få dem slettet, hvis man ønsker det.

gdpr hjemmesider
Adobe Stockphoto

Hvem skal leve op til GDPR?

Det korte svar er, at det skal alle virksomheder, der på den ene eller den anden måde behandler data, der kan føres tilbage til en konkret person. Det kan være navn, adresse og telefonnummer, men det kan også være mere følsomme data som f.eks. oplysninger om religiøse og politiske forhold eller seksuel orientering.

Det vil med andre ord sige, at du har oplysningspligt ifølge persondatafordningen, hvis blot du opbevarer dine kunders – eller ansattes – kontaktoplysninger. Mere specifikt i forhold til hjemmesider skal du også efterleve GDPR, hvis du har en kontaktformular på din hjemmeside, en blog, som besøgende kan kommentere, eller du beder besøgende om at tilmelde sig et nyhedsbrev.

Hvordan lever man op til GDPR?

Man efterlever oplysningspligten ved at oplyse sine kunder/besøgende/brugere om, at man indsamler personlige data. Oplysningen skal komme senest på det tidspunkt, hvor personoplysningerne indsamles.

På hjemmesider vil det sige, at man ved en kontaktformular eller ved tilmelding til et nyhedsbrev skal have en tekst liggende, der fortæller, at nu sender den besøgende personlige oplysninger til dig, som du bruger og opbevarer på den og den måde.

I forhold til sin virksomhed er man på samme måde forpligtet til at oplyse om, hvordan virksomheden behandler de ansattes eller kunders persondata – f.eks. i lønsystemet, i kundedatabaser eller lignende.

Virksomhedens beskrivelse af, hvordan man behandler persondata, kaldes en persondatapolitik. I persondatapolitikken skal man desuden informere om den registreredes ret til indsigt i, hvilke personoplysninger virksomheden har liggende om en, samt hvem man skal kontakte, hvis man vil have data udleveret eller evt slettet.

En persondatapolitik dækker altså hele virksomheden og skal ikke forveksles med den privatlivspolitik, som ligger på mange hjemmesider. Privatlivspolitikker beskriver ofte kun behandlingen af fortrolige oplysninger, som man indsender via hjemmesiden, og forholder sig ikke nødvendigvis til virksomhedens samlede persondatabehandling eller indsigtsretten.

GDPR og cookies

Adobe Stockphoto

Cookies er små tekstfiler, der lagres på brugerens computer, når man besøger en hjemmeside. Cookies bruges blandt andet til at overvåge og optimere hjemmesider ved for eksempel at indsamle statistik på, hvordan brugerne benytter hjemmesiden, men de kan også bruges til at målrette annoncer ved at indsamle viden om interesser. Og i nogle tilfælde kan cookie-informationer bruges til at danne brugerprofiler, der i sidste ende kan føre tilbage til konkrete personer.

Reglerne for brug af cookies er derfor underlagt både den “gamle” cookie-bekendtgørelse samt den nye Persondataforordning eller GDPR. Ifølge cookiebekendtgørelsen skal virksomheder, der placerer cookies på brugerens udstyr og ønsker at bruge de informationer, som indsamles, oplyse brugeren herom samt sørge for, at det er forstået. Det er det, man giver samtykke til, når man klikker ok til brug af cookies på diverse hjemmesider. Hvis den information, man indsamler via cookies, kan spores tilbage til en konkret person eller personoplysninger om brugeren, gælder i dag også reglerne i GDPR. Det ofte lidt forvirrende samspil mellem de to regelsæt i forhold til brug af cookies er noget blandt andet Datatilsynet arbejder på at få afklaret, så man på sigt kan få en ensrettet lovgivning på området.

GDPR og hjemmesider

Men hvad er så GDPR-kravene til hjemmesider? Først og fremmest er det ikke et lovkrav, at virksomheder skal have deres persondatapolitik liggende på hjemmesiden. Men eftersom oplysningspligten i GDPR betyder, at hjemmesidens besøgende skal oplyses om, at der indsamles persondata – for eksempel via cookies eller når de udfylder en kontaktformular eller tilmelder sig et nyhedsbrev – så skal man som minimum have en tekst liggende, der forholder sig til de persondata, der indsamles ved almindelig brug af hjemmesiden og dens funktioner.

Alt efter hvilke funktioner du har på din hjemmeside, skal du altså oplyse besøgende om:

At hjemmesiden bruger cookies (det er de færreste hjemmesider, der ikke bruger en eller form for cookies, tjek evt. din side på Cookiebot).

At man kan fravælge cookies ved at forlade hjemmesiden eller acceptere, at den måske ikke virker efter hensigten.

At man kan læse mere om, hvilke cookies der bruges, og hvilke data de indsamler på en særskilt side, en såkaldt cookie-deklaration.

At man ved tilmelding til nyhedsbrev, afsendelse af besked via beskedformular eller kommentering på indlæg, accepterer, at virksomheden behandler ens persondata. Også her skal man linke til yderligere oplysninger.

Har man en side uden mulighed for interaktion mellem de besøgende og hjemmesiden, kan man altså godt nøjes med at oplyse om brugen af cookies, men man skal stadig beskrive, hvordan virksomheden behandler de persondata, der måtte blive indsamlet via cookies.

Har man en hjemmeside med funktioner som nyhedsbrev, kontaktformular eller lignende, skal man oplyse ved hver enkelt funktion, at der indsamles persondata ved brug, og hvordan disse data behandles.

Konklusion

Uanset om du vælger den fulde model og lægger virksomhedens samlede persondatapolitik ud på hjemmesiden eller en tilpasset, der kun forholder sig til det, der sker på hjemmesiden – det der tidligere hed en privatlivspolitik – så tænk på, at en håndskrevet persondatapolitik sender et stærkt signal om, at virksomheden har styr på tingene og kender lovgivningen.

Der findes skabeloner, som – groft sagt – kun kræver, at man sætter sine egne kontaktoplysninger ind, men et godt råd er at bruge tid på at skrive en persondatapolitik, der viser, at virksomheden tager emnet seriøst og forholder sig til hele virksomhedens behandling af persondata.

hjemmeside wordpress

Læs DEL2s Datapolitik

GDPR og DEL2

Når du køber en hjemmeside fra DEL2 sørger jeg som minimum for, at der installeres et cookie-samtykke-banner og en side med oplysninger om, hvilke cookies der bruges på hjemmesiden. Hvis du har kontaktformular eller lignende funktioner, sørger jeg også for, at der ligger en oplysnings/samtykketekst ved disse funktioner. Men siden med oplysninger om din behandling af persondata – hvad enten det er en fuldstændig persondatapolitik eller tilpasset version – skal du selv levere indholdet til.

Har du allerede en persondatapolitik, lægger jeg naturligvis blot den på din hjemmeside – og har du ikke fået lavet en, kan jeg via WordPress’ Privacy Policy Helper levere en inspirationstekst, der tager udgangspunkt i de indstillinger, der er på din hjemmeside. Det skal dog understreges, at teksten fra WordPress er til inspiration og et udkast, så du kan komme igang med din egen tekst.

Cookiebanner fra Cookiebot

Vigtigt!

Det er dit ansvar som hjemmeside- og virksomhedsejer at sikre, at GDPR efterleves, og dette indlæg skal alene betragtes som en introduktion til GDPR-lovgivningen. Det er en meget omfattende lovgivning, og eftersom kravene ændrer sig alt efter størrelsen på din virksomhed, vil jeg anbefale dig at søge juridisk bistand, hvis du er tvivl om hvorvidt din virksomhed lever op til alle regler i GDPR.​

Du kan også søge hjælp og vejledning her:

Datatilsynet – forklaringer, vejledninger og inspiration

Christine Holm Pedersen – Persondataloven for enkeltmandsvirksomheder

Persondatakonsulenterne.dk – GDPR i øjenhøjde

Om BLOG2

Mit navn er Marie Wandel Kampmann. Jeg stiftede DEL2 i sommeren 2018 med navnet som en markering af, at anden del af mit arbejdsliv tog sin begyndelse efter 20 års ansættelse som grafisk designer i mediebranchen. Mine kompetencer inden for kommunikation og design, lagt sammen med en stor interesse for teknik og gadgets – og ikke mindst mine erfaringer med det at springe ud som selvstændig – skulle gerne her på BLOG2 give dig redskaber og inspiration til at lykkes med dit liv som freelancer, kunstner, selvstændig, iværksætter – eller noget helt femte.

Mere fra BLOG2

Senest på BLOG2

Værd at vide om plugins

Plugins er en slags miniprogrammer, der installeres i WordPress – lidt ligesom når du installerer apps på din mobil. Brug altid kun plugins med mange brugere, mange stjerner og jævnlige opdateringer.

Læs mere »

Sådan opdaterer du WordPress

Hvis din hjemmeside skal fungere optimalt skal du vedligeholde den. Det gøres blandt andet ved at holde WordPress opdateret. Læs her hvordan du opdaterer WordPress trin for trin.

Læs mere »

Sådan opdaterer du plugins

Der kommer løbende opdateringer til plugins, og selv om du ikke behøver reagere med det samme, skal du gøre det til en vane at opdatere plugins med jævne mellemrum. Se hvordan i denne guide.

Læs mere »

Følg DEL2