I maj 2018 trådte den nye persondataforordning i kraft i Europa.
Har du ikke lige haft tid til at læse dig igennem de 1100+ siders EU-lovtekst, kan du starte med denne tjekliste fra PrivacyTree, hvor vi hjælper mindre virksomheder med at overholde persondataforordningen.
I PrivacyTree har vi udarbejdet en tjekliste til dig, der vil have styr på GDPR.
Tjeklisten gør det lettere for små og mellemstore online virksomheder at håndtere persondata på en ordentlig måde, herunder kunders navne, e-mailadresser og registreringer af køb og forespørgsler.
Tjeklisten er tænkt som en hjælp til de emner som du i hvert fald skal være opmærksom på, men der kan være yderligere ting.
1. Indsaml kun det nødvendige
Overvej om du reelt har brug at indsamle personoplysningerne. Er de nødvendige for aftalen, for brugen af din hjemmeside eller lignende. Lad være med at bede folk om at logge ind, registrere sig eller give deres oplysninger, medmindre det er nødvendigt. Hvis kunden selv henvender sig med en forespørgsel eller beslutter sig til at indgå aftale med dig, er det helt acceptabelt at bede om deres personoplysninger, men kun de, som er nødvendige for at opfylde forespørgslen eller aftalen.
2. Oplys formål med indsamlingen
Når du indsamler oplysninger om folk, skal de vide hvem du er og hvad du bruger disse oplysninger til. Dette skal fremgå klart af din hjemmeside, fx i din privatlivspolitik, der skal være tilgængelig på hjemmesiden.
3. Husk at slette
Sørg for, at du kun indsamler de personoplysninger, du skal bruge. Hvis du ikke længere har brug for personoplysningerne, så stop indsamlingen. Vurder også, hvornår de personoplysninger du allerede har indsamlet, skal slettes.
4. Håndter persondata på en sikker måde
Du er lovgivningsmæssigt forpligtet til at beskytte dine kundeoplysninger. Spørg din IT-leverandør om råd omkring kryptering af oplysninger og sørg for, at medarbejdere med adgang til personoplysningerne er trænet i at håndtere dem og holde den sikre. Du bør som minimum gennemføre træning, når en medarbejder bliver ansat, og have klare retningslinjer som medarbejderen kan blive vejledt af. Du skal sikre, at kun de medarbejdere, der har brug for det, har adgang til de konkrete personoplysninger.
5. Tjek at dine leverandører lever op til kravene
Hvis du har leverandører, der håndterer data på dine vegne, fx til at administrere din database, skal din aftale med dem leve op til specifikke krav om sikkerhed og om leverandørens brug af underleverandører. Gennemgå derfor dine aftaler med dine leverandører/databehandlere og tjek at de overholder de lovpligtige bestemmelser.
Gennemgå dine databehandlere og overvej om de er de rigtige til at beskytte dine kunders personlige oplysninger. Hvis du har en databehandler, der er etableret uden for EU, er der særlige krav, som du skal leve op til. Du bør derfor spørge dine databehandlere om de behandler dine kunders data uden for EU. Det kan nemt være tilfældet med cloud-leverandører, hvor fx support fra et land uden for EU kan kræve særlige aftaler. Du bør undersøge om du har mulighed for at al databehandling sker i EU.
6. Samtykke for markedsføring
Hvis du vil bruge kundeoplysninger til markedsføring, fx reklamemails, er det vigtigt, at du har kundernes samtykke til det. Der er nye krav til, hvornår et samtykke er lovligt. Du skal tjekke, at din måde at få samtykke på, lever op til de nye krav. Fx må fluebenet ud for ’Tilmeld nyhedsbrev’ ikke være forhåndsudfyldt, da kunden aktivt skal godkende det.
7. Tjek at annoncering via tredjeparter er lovlige
Indeholder dit website annoncer fra tredjepart, skal du have styr på, hvilke det drejer sig om, så du kan få det inkluderet i din cookiepolitik. Har du fx ’like’-knapper eller en Facebook-pixel på dit website, har du helt sikkert en tredjepart, der indsamler personoplysninger fra dit site.
Selvom du måske ikke er juridisk ansvarlig for denne indsamling af oplysninger som tredjeparten foretager på dit website, antager dine kunder måske at du er og det kan skade dig, hvis tredjeparten ikke opfører sig ordentligt. Overvej derfor om du vil fortsætte med at vise annoncer fra tredjeparter. Det er en god idé at have en procedure på plads, hvis en kunde gør indsigelse mod en bestemt annonce.
8. Folk har ret til at se egne oplysninger
Husk, at folk har ret til at få adgang til de oplysninger, du opbevarer om dem. Sørg for, at dine medarbejdere genkender en kundes rettighedsanmodning og at de ved, hvordan de skal håndtere en evt. forespørgsel. Du bør have en klar beskrivelse af proceduren.
9. Oplysninger skal være korrekte og ajourførte
Det skal sikre, at de oplysninger du har om dine kunder, er korrekte og opdaterede. Du bør derfor opfordre dine kunder til at kontrollere de oplysninger, du har indsamlet om dem, fx ved at give dem adgang til deres kontodetaljer. Du bør også selv aktivt bede kunderne om at bekræfte oplysningerne mindst en gang om året, fx når de logger sig ind på dit website.
Vi har tidligere afholdt et webinar om persondataforordningen sammen med Nets.
I Nets' e-handelsskole kan du løbende deltage i webinarer, der er relevante for webshops og alle, der er interesserede i e-handel.
Agge er direktør og partner i PrivacyTree og har været i softwarebranchen i over et årti. PrivacyTree hjælper små virksomheder med at leve op til den nye persondataforordning gennem analyse af IT-systemer, vejledning og rådgivning. I PrivacyTree har Agge primært fokus på forretningsudvikling, salg og marketing.
Disse indlæg om Lovgivning
Nets er en europæisk betalingsudbyder med hovedsæde i Danmark. Virksomheden går tilbage til 1968, men har været kendt som Nets siden 2010.
© 2019 Nets A/S, Alle rettigheder forbeholdes.
Kommentarer
Der er ingen kommentarer endnu
Vær den første til at kommentere indlægget.