Hvis du driver en forretning, ved du formodentlig, hvor vigtigt det er at have overblik over, hvordan du skal håndtere dine kunders oplysninger.
Overholdelse af GDPR er ikke blot en juridisk forpligtelse i Danmark og EU, men også en tillidserklæring til dine kunder.
Reglerne sikrer, at personlige data behandles med respekt og integritet.
Ved at overholde GDPR’s bestemmelser viser du, at din forretning prioriterer datasikkerhed højt og tager kundernes privatliv alvorligt.
Kender du dine data? De tre typer af personoplysninger
Når vi taler om personoplysninger, mener vi de små bidder af info, der fortæller verden, hvem du er.
Oplysningerne falder i tre kategorier:
Generelle personoplysninger: Det er din basis-info såsom navn, adresse og email. Det er det, de fleste forretninger samler for at kunne komme i kontakt med dig.
Følsomme personoplysninger: Her går det lidt dybere – det er ting som dit helbred, din seksuelle orientering eller din religion. Det er information, der fortæller meget mere om dig, og som du måske ikke bare deler med hvem som helst.
Oplysninger om straffedomme og lovovertrædelser: Det er de oplysninger, der kan have stor betydning for personens liv. Derfor er det også data, der bliver behandlet med ekstra forsigtighed.
Som forretning må du kun registrere de generelle personoplysninger, og du skal stadig have samtykke fra den person, hvis informationer du beder om.
Hvilken slags samtykke?
Når du beder om samtykke, skal du huske at samtykket er frivilligt, informeret og utvetydigt.
Og hvad vil det sige?
For at samtykket er lovligt, skal følgende kriterier opfyldes:
- Frivillighed: Personen skal give samtykket uden pres eller tvang. Det skal være en ægte fri vilje at sige ‘ja’ eller ‘nej’.
- Information: Personen skal være fuldt informeret om, hvad de siger ja til. Det indebærer at forstå formålet med dataindsamlingen, hvordan oplysningerne vil blive brugt.
- Utvetydighed: Der skal ikke være nogen tvivl om, hvad personen giver samtykke til. Det betyder, at uklare formuleringer og “fine print” skal undgås, så der ikke er tvetydighed i forhold til samtykkets omfang.
Her kan du finde inspiration til at bede om samtykke:
- Brug enkel og forståelig tekst, når du beder om samtykke. Eksempel: “Ønsker du at modtage vores nyhedsbrev?”
- Lad brugeren selv tage en aktiv beslutning, f.eks. ved at afkrydse en boks ved siden af “Ja tak, send mig tilbud”, eller sige ja når der bliver spurgt om de vil være med i din kundeklub.
- Hvis du beder om samtykke til forskellige ting, giv separate valg. Eksempel: To bokse: én for “send mig tilbud” og én for “send mig mails når der kommer nye varer”
- Fortæl præcist, hvad du vil bruge deres data til. Eksempel: “Vi bruger din lokalitet til at vise lokale tilbud.”
- Gør det let for folk at ændre mening og trække samtykket tilbage, ved at have en tydelig “Afmeld” knap i dine nyhedsbreve.
Er jeg dataansvarlig eller databehandler?
En dataansvarlig er en person eller virksomhed, der bestemmer, hvad der skal gøres med personoplysninger og hvorfor.
De træffer beslutningerne om, hvilken information der skal indsamles, og hvordan den skal bruges.
En databehandler hjælper derimod med at håndtere personoplysninger for en anden virksomhed (dataansvarlig).
For eksempel kan en databehandler være et firma, der opbevarer kundeinformation for din webshop.
Det indebærer også, at hvis du er dataansvarlig og har samarbejde med en databehandler, er det dit ansvar, at der udarbejdes en databehandleraftale mellem den dataansvarlige og databehandleren, som lever op til kravene i databeskyttelsesforordningen.
Lad os kigge på et eksempel…
Databehandleraftale mellem dig og Customers 1st
En databehandler (os) er ofte kendetegnet som dem, der håndterer data på vegne af den dataansvarlige (dig).
Databehandlere er ofte tredjepartsudbydere som f.eks. din hjemmesideudbyder, økonomisystem og i dette tilfælde, kassesystem.
Da vi i Customers 1st gemmer kundeinfo, er vi kendetegnet som databehandler.
I skal grundet GDPR lovgivningen have en databehandleraftale med os.
Vi har udarbejdet en databehandleraftale, som I kan underskrive, og dermed leve op til lovkravene.
I databehandleraftalen beskriver vi, hvordan vi behandler kundernes data på dine vegne, så du kan være sikker på, at du lever op til GDPR, når du benytter vores system.
Hvad er mine kunders rettigheder?
Når en kunde har givet deres personoplysninger til din forretning, har kunden forskellige rettigheder.
Kunden har ret til at:
- Modtage en række oplysninger, når din forretning, behandler oplysninger. Det gælder for eksempel, når du skal bede kunden om samtykke. Her skal oplysningerne bl.a. omfatte, hvorfor personoplysningerne behandles.
- Se de personoplysninger, den dataansvarlige behandler. For eksempel hvad formålet med behandlingen er, og hvem personoplysningerne deles med.
- Få forkerte personoplysninger rettet.
- Få slettet deres personoplysninger, hvis de trækker deres samtykke tilbage.
- Få begrænset behandlingen af personoplysningerne. Det kan for eksempel betyde, at den dataansvarliges behandling af dine oplysninger kun må være at opbevare dem.
- Anmode om, at deres personoplysninger overføres fra én dataansvarlig til en anden, hvis det er teknisk muligt.
- Gøre indsigelse mod en ellers lovlig behandling af dine personoplysninger.
- Ikke være genstand for en automatisk afgørelse – herunder profilering – i tilfælde, hvor afgørelsen har en betydelig påvirkning for dig.
For mere detaljeret information, kan du besøge Datatilsynets side her.
Principper og forpligtelser for den dataansvarlige
De dataansvarliges forpligtelser i Danmark omfatter en række principper og regler, som skal overholdes for at sikre beskyttelsen af persondata.
Principperne og reglerne er delt op i 2 kategorier:
Grundlæggende principper
Som dataansvarlig har du en række grundlæggende principper du altid skal overholde.
- Du skal være åben omkring dit formål: Behandling af data skal overholde databeskyttelsesreglerne og være gennemsigtig.
- Forklar dit formål tydeligt: Når data indsamles, skal du tydeligt forklare hvorfor, og kun bruge dataen til det angivne formål.
- Dataminimering: Behandlingen, herunder opbevaring af oplysninger, skal begrænses til det nødvendige for at opfylde formålet. Hvis du for eksempel har samlet e-mails, men ikke længere har et nyhedsbrev, må du ikke beholde personoplysningerne, hvis nyhedsbrevet var den eneste grund til at du samlede e-mailadresser.
- Hold dataen opdateret: Data skal holdes opdateret. Fejlagtige oplysninger skal enten rettes eller fjernes.
- Dataen skal være relevant, ellers dur det ikke: Oplysninger skal anonymiseres eller slettes, når det ikke længere er nødvendigt at behandle dem.
- Hold dataen sikker: Oplysninger må ikke komme til uvedkommendes kendskab, gå tabt eller blive beskadiget.
Derudover skal du også overholde den dataansvarliges forpligtelser:
Den dataansvarliges forpligtelser
Det er som udgangspunkt dig som dataansvarlig, som har ansvaret for, at behandlingen af personoplysninger lever op til reglerne.
- Behandlingshjemmel: Du skal altid have et lovligt grundlag for at behandle personoplysninger, og det betyder at den registrerede skal have givet samtykke til behandlingen.
- Fortegnelse over behandlingsaktiviteter: Du skal have en fortegnelse over hvilke personoplysninger du behandler og hvordan du behandler personoplysningerne.
- Registreredes rettigheder: Du skal være i stand til at efterleve reglerne om de registreredes rettigheder, fx oplysningspligt eller retten til indsigt.
- Indberetning af brud: Hvis du oplever et brud på persondatasikkerheden i din forretning, skal du indberette det til Datatilsynet inden for 72 timer.
- Databehandleraftale: Du skal som tidligere nævnt have en databehandleraftale med de databehandlere, der behandler personoplysninger på dine vegne.
- Dokumentation for Databeskyttelse: Du skal kunne dokumentere over for Datatilsynet, at du har sikret din forretning mod cyberangreb og oplært dine ansatte ordentligt, så der ikke sker ulovlige behandlinger af dine kunders personoplysninger.
GDPR er lig med en troværdig forretning
Hvis du sætter pris på dine kunder og vil have et stærkt, tillidsfuldt forhold til dem, er det vigtigt at følge GDPR-reglerne. Det viser, at du tager ansvar og beskytter deres rettigheder.
At arbejde med GDPR hver dag er mere end bare at krydse punkter af en liste.
Det handler om at vise, at din forretning er til at stole på, og at du tænker på dine kunders fremtid.
I en tid hvor data desværre ofte går tabt eller misbruges, vil din indsats for at følge GDPR-reglerne gøre din forretning både troværdig og ansvarlig overfor kunderne.
