Hvis du har fulgt med det sidste års tid, har du formentlig hørt om den nye persondataforordning. Har du ingen anelse om, hvad det egentlig kommer til at betyde? Skal alt på din webshop ændres, kræver det advokatbistand og investeringer i nye tekniske løsninger, eller er det hele blot en storm i et glas vand? Det vil vi gøre et forsøg på at besvare i dette blogindlæg. Er din webshop e-mærket, kan du altid kontakte os og få råd og vejledning.

Hvad er persondata egentlig?For at kunne snakke om de nye regler, som forventes at træde i kraft den 25. maj 2018, er der behov for en definition af begrebet persondata. Kort fortalt dækker det over alle oplysninger, der omhandler en identificerbar person. Begrebet skal forstås i bred forstand, da det også dækker over oplysninger som kundens IP-adresse, ordrenummer eller præference for blå sko frem for røde. Persondata kan opdeles i følgende tre kategorier:

  • Almindelige personoplysninger: Eksempelvis navn, telefonnummer eller købshistorik.
  • Følsomme personoplysninger: Eksempelvis race eller politisk overbevisning. Det er denne type oplysninger, de fleste forbinder med persondata.
  • CPR-numrer: Registrerer du disse, kan det enten basere sig på et lovkrav, eller at der er et sagligt og relevant formål. Du skal desuden modtage kundens samtykke f.eks. ved et løbende aftaleforhold, og så skal der tages de fornødne sikkerhedsforanstaltninger.

Men hvad er det nye så?

Der er rigtig meget nyt i den nye persondataforordning. Når det så er sagt, vil store dele af persondataforordningen for en lang række webshops slet ikke eller kun i begrænset omfang være relevant. Vi har derfor udvalgt fire af de mere væsentlige ting, du enten bør vide eller skal have styr på. Overordnet set er en stor del af øvelsen dog, at du danner dig et overblik over og kan dokumentere, hvilke data du indsamler, hvordan du indsamler dem, hvad du bruger dem til samt, hvem du deler dem med. Har du styr på det, er du nået langt.

Anvender du databehandleraftaler?

Bliver den persondata, du har på dine kunder, behandlet af andre end din virksomhed? Hvis svaret er ja, og det er det med stor sandsynlighed, så har du behov for at udfærdige en eller flere databehandleraftaler. Det vil eksempelvis være nødvendigt med en databehandleraftale med Mailchimp eller lignende services, du benytter til at udsende nyhedsmails. Databehandleraftaler fandtes også før den nye forordning, men kravene til dem er blevet skærpet. Forordningen kræver, at databehandleraftalen fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder.

Kan du efterleve dine kunders ret til at blive glemt?

Et af de mere omtalte elementer i den nye persondataforordning er ’retten til at blive glemt’. Der er ikke som sådan tale om noget nyt, men snarere om en præcisering og uddybning af en eksisterende regel. Simpelt sagt betyder det, at dine kunder har krav på, at du fjerner eller retter personoplysninger om dem, som de ikke længere ønsker behandlet, opbevaret eller offentliggjort. For dig som webshop betyder det ikke blot, at du sletter dem fra dine systemer, men også at virksomheder eller personer, der databehandler på dine vegne, sletter eller anonymiserer disse, med mindre du er forpligtet til at opbevare oplysningerne i henhold til anden særlovgivning.

Hvornår må man behandle persondata lovligt?

Helt grundlæggende skal personoplysninger behandles i overensstemmelse med god databehandlingsskik. Begrebet handler blandt andet om, at du ikke indsamler flere oplysninger end nødvendigt, samt at formålet med indsamlingen tydeligt er oplyst og efterfølgende fulgt.

Derudover kan persondata behandles såfremt et af følgende krav er opfyldt;

  1. At kunden har givet sit samtykke.
  2. At behandlingen sker for at kunne opfylde en aftale med kunden eller en retlig forpligtelse for din virksomhed.
  3. At behandlingen er nødvendig for at du kan forfølge en berettiget interesse, som dog skal overstige hensynet til kunden.

Ved behandling af følsomme oplysninger skal der som udgangspunkt altid samtykke til.

Overtrædelse kan blive en dyr omgang

Konsekvenserne ved ikke at overholde reglerne vil med den nye persondataforordning blive skærpet markant, og det kan blive en meget dyr affære at skulle betale en bøde for overtrædelse. Man taler om følgende bødeniveauer:

  • Niveau 1: Op til 10.000.000 euro, dog maks. to procent af din virksomheds globale omsætning.
  • Niveau 2: Op til 20.000.000 euro, dog maks. fire procent af din virksomheds globale omsætning.

Der er formentlig langt mellem webshops, der omsætter for så høje beløb, hvorfor procentsatsen formentlig i højere grad vil blive aktuel. Men både to eller fire procent er jo et anseeligt indhug i de flestes indtjening.

Lad e-mærket hjælpe

Er din webshop e-mærket, har du fri adgang til juridisk vejledning. Ergo, sidder du med et spørgsmål, du ikke kan finde svar på, så skriv til os post@emaerket.dk, eller giv os et kald på 44858590. Så vil vi forsøge at hjælpe dig på bedste vis.

4 kommentarer

  • Mai-Britt Vaqué siger:

    Skal man have en skriftlig aftale vedr. persondata med f.eks. e-conomic og e-gate (e-gate overfører elektronisk ordrer til e-conomic fra ordresystemet) og hvad med Postnord, GLS og andre transportvirksomheder? Er navn, adresse, e-mail og tlf.nr. noget der skal indgås aftale om med kunden, eller er det nok fortsat at oplyse om at man indsamler disse oplysninger (ikke flere end disse) for at kunne ekspedere/sende varer til kunderne.

    • Toke Mølgaard (e-mærket) siger:

      Ja, er det korte svar. Du kan, som dataansvarlig, udpege en databehandler til at indsamle eller behandle personoplysninger på vegne af dig. F.eks. vil en hosting-leverandør, en cloud leverandør og en ekstern lønadministration ofte være databehandlere. Vær dog opmærksom på at det er den dataansvarliges opgave at få en databehandleraftale på plads.

  • A Nielsen siger:

    Ud fra dit svar, Toke, er det lidt uklart om GLS og PostNord krævede en aftale. Og vil man ikke kunne forvente de laver en standard en, som vi så tilslutter os? De har trods alt for mange kunder til at lave en unik en til hver eneste af os.
    Men hvordan med Google, hvor vi indsamler data fx via analytics? Som lille webshop har vi jo ingen indflydelse på hvad de gør, og er afhængige af at andre (læs EU) tvinger dem til at lave disse aftaler.

  • Lars Høyer siger:

    Som jeg forstår det er en typiske webshop en dataansvarlig, der skal dokumentere vores samarbejde med databehandlere via disse databehandleraftaler med nedestående. Som webshop deler man oplysninger med mange partnere – logistikpartnere, økonomi-integrationer, marketing (Google, Facebook, MailChimp…), hosting firmaer, lønbehandling, osv. Derudover gælder problemet vel også overfor partnere, der har adgang til disse oplysninger – SEO / adwords bureauer og lignende.

    Jeg går ud fra at mange af de oplysninger, som kræves i det nye regelsæt, i forvejen er beskrevet i eksisterende samarbejdsaftaler med ovenstående. Som jeg tolker denne artikel, ligger arbejdet i at få beskrevet virksomhedens processor omkring data? Eller skal vi ud og indhente særskilte “databehandleraftaler” fra alle leverandører?

    I så fald – har EU, e-mærket eller andre en “standard” skabelon til databehandleraftalen som kan bruges overfor de typiske leverandører ?

Skriv et svar