Databeskyttelsesforordningen  GDPR

Den generelle forordning om databeskyttelse, forkortet GDPR, er en forordning om behandling og beskyttelse af personoplysninger i EU. Den har været gældende siden den 25. maj 2018 - på tværs af alle brancher og institutioner. I denne artikel vil du lære, hvad du virkelig skal vide, hvis din virksomhed endnu ikke har beskæftiget sig med GDPR. Samtidig afslører vi, hvordan du kan udnytte overholdelsen af GDPR-retningslinjerne til din fordel.

Table of Contents

GDPR – hvad skal du virkelig vide?

I princippet er alle virksomheder, der har deres hjemsted i EU eller betjener eller leverer til kunder fra EU, berørt af GDPR. EU’s generelle forordning om databeskyttelse erstatter direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger fra 1995. De seks retsgrundlag for behandling af personoplysninger er en væsentlig del af GDPR:

  1. Samtykke: Alle virksomheder har brug for kundens eller abonnentens samtykke til at gemme deres data. At sende e-mails uden udtrykkeligt samtykke er derfor en overtrædelse af EU’s databeskyttelsesdirektiv.
  2. Kontraktopfyldelse: Det er nødvendigt for at indgå en kontrakt med kunden, hvori han/hun accepterer databehandlingen. For eksisterende kunder skal der indhentes et opdateret samtykke fra kunden.
  3. Opfyldelse af en retlig forpligtelse: Der er også oplysninger, der skal behandles uden specifikt samtykke, fordi de er påkrævet ved lov. Dette omfatter f.eks. ansættelsesjournaler, arbejdsmiljøjournaler eller ulykkesrapporter.
  4. Vigtige interesser: Vedrører kun virksomheder som f.eks. alarmtjenester, der modtager en patientliste og derfor ikke har brug for skriftligt samtykke.
  5. Offentlig interesse: Dette retsgrundlag omfatter officielle interesser, f.eks. skattemyndigheder eller også parter. Her er der heller ikke pligt til at give samtykke på grund af den offentlige interesse.
  6. Legitim interesse: Dette retsgrundlag er sandsynligvis det mindst klare. Der er f.eks. visse, om end vage, scenarier, hvor data kan behandles uden samtykke. Det kan f.eks. være kunde- eller serviceforhold eller procedurer til forebyggelse af svig. I tvivlstilfælde bør man først konsultere en advokat, når man anvender dette retsgrundlag.

Takket være dette retsgrundlag ønsker EU’s databeskyttere at begrænse unødvendig indsamling af kundedata og skabe retssikkerhed for alle dem, der har lov til at behandle data, selv uden samtykke. Omvendt betyder det, at kun hvis dataene er virkelig vigtige, f.eks. for at kunne udnytte oplevelsen af et onlinetilbud fuldt ud eller for at kunne foretage fakturering, er det data, der er værd at indsamle.

Men selv disse data må kun indhentes af virksomheden på en juridisk forsvarlig måde. Det vil sige, at de har brug for kundens eller den interesserede parts samtykke. Dette kan f.eks. gøres ved hjælp af en registreringsformular med dobbelt opt-in og en henvisning til virksomhedens databeskyttelsesregler.

Om virksomhedens databeskyttelsesregler også skal tilpasses, afhænger af tilbuddet og de indhentede data. Under alle omstændigheder bør alle virksomheder under alle omstændigheder gennemgå et GDPR-tjek, hvis de ikke allerede har gjort det. Advokater kan hjælpe her, men også mange online-bureauer, som ofte har erhvervet knowhow om emnet, men som naturligvis ikke kan garantere juridisk korrekthed.

GDPR og abonnementsøkonomien

Digitale abonnementstilbud er særligt berørt af GDPR. Årsagerne til dette er indlysende: For at sikre en fejlfri brugeroplevelse har abonnementsselskabet brug for data som e-mail-adresse, navn, postadresse og endda betalingsdata til købstransaktionen. Virksomheden har brug for samtykke til alle disse data – ikke kun fra kunden, men også fra den interesserede part, som f.eks. blot har tilmeldt sig nyhedsbrevsdistributionslisten via webstedet.

Du har specifikt brug for samtykke til at bruge personoplysninger i følgende tilfælde:

  • Eksisterende kunder (købere): Samtykket antages at være givet, men eksisterende kontrakter bør kontrolleres.
  • Tidligere kunder: Virksomheder har ikke længere ret til at gemme data om tidligere kunder – medmindre de har fået deres samtykke.
  • Aktive e-mailabonnenter uden kontrollerbart samtykke: Virksomhederne skal påvise, at nyhedsbrevsdistributionslisten giver modtagerne en merværdi. Ellers skal de slette dem.
  • Inaktiv Abonnent på e-mail: Disse data skal slettes.
  • Nye kunder / e-mail-abonnenter: For at kunne bevise over for databeskyttelsesmyndighederne, at der er givet samtykke, bør ordlyden af samtykkeerklæringen også gemmes for hver enkelt kunde. En Excel-liste med kundedata med den eksemplariske overskrift “Godkendte kunder” er ikke tilstrækkeligt.

Desuden skal virksomhederne også indgå opdaterede kontrakter med medarbejdere og agenturer og andre leverandører. I den nye databeskyttelseslovgivning skelnes der mellem den dataansvarlige (normalt den virksomhed, der har brug for dataene) og databehandleren (normalt en ansat eller et agentur, der handler på vegne af virksomheden).

GDPR – de vigtigste opgaver i et overblik

Ved første øjekast giver den nye databeskyttelseslov flere forpligtelser end rettigheder. Når alt kommer til alt, kræver overholdelse af GDPR en masse hjemmearbejde fra virksomhedens side:

  • Hvilke kundedata indhentes?
  • Hvilke kundedata er der virkelig brug for (nøgleordsproportionalitet)
  • Fører du et register over ordrebehandling for at kunne bevise, hvem der har adgang til hvilke kundedata i din virksomhed og andre steder?
  • Hvordan er dataene sikret (bruges virksomhedsdata f.eks. på private smartphones)?
  • Skal samtykket til databeskyttelse opdateres? (f.eks. tilmeldings- og kontaktformularer)
  • Er alle online og offline datakilder GDPR-kompatible?
  • Er der en meddelelse om databeskyttelse på webstedet?
  • Brugeren skal have mulighed for at gøre indsigelse mod at modtage reklamer
  • Brugeren skal have ret til at blive glemt. Så hvor hurtigt kan virksomheden gennemføre en anmodning om sletning?
  • Er retningslinjerne for databeskyttelse ajourført?

Dette er kun de vigtigste eksempler på foranstaltninger, der er nødvendige for at drive et tilbud, der er GDPR-kompatibelt.

Brug GDPR som en konkurrencefordel

Et europæisk abonnementsselskab, og ikke kun dem, er ofte i direkte konkurrence med amerikanske eller asiatiske selskaber. I lighed med “Made in Germany”-seglet kan europæisk databeskyttelse helt sikkert bruges som en konkurrencefordel. Den generelle forordning om databeskyttelse blev trods alt først og fremmest udviklet med kundevenlighed for øje. Virksomheder, der reklamerer i henhold til GDPR, anses derfor af brugerne for at være særligt sikre og troværdige.

Alle virksomheder skal dog være opmærksomme på GDPR og forstå den som en dynamisk proces. I 2019 vil der blive truffet yderligere foranstaltninger for at optimere databeskyttelsesloven. Først og fremmest er der den såkaldte ePrivacy-forordning, forkortet ePV. Indholdet er endnu ikke fastlagt, men det betragtes som den næste fase af GDPR. Alle onlineudbydere, såsom websteder, online sporingsværktøjer eller tilbud, der anvender elektronisk direkte markedsføring, herunder udbydere af nyhedsbreve og abonnementer, vil blive berørt.