Nu har jeg fået spørgsmålet adskillige gange: ”Hvad er der i det der GDPR?”. Derfor har jeg besluttet mig for at lave denne enkle og simple vejledning.
Fra den 25. maj 2018 er der indført nogle skærpede krav til privatlivspolitikken, det der hedder ”GDPR”.
Kravene medfører at man bl.a. skal have en ”Cookie- og privatlivspolitik” liggende på ens webside/shop, man skal sørge for altid at indhente tydeligt samtykke i forbindelse med formularer, nyhedsbreve, cookies mv. samt at man skal indhente databehandleraftaler med dem som behandler data på dine vegne.
Nogle skriver, at der er varslet store bødestraffe, hvilket i og for sig også er rigtigt nok, men i første omgang vil datatilsynet ikke svinge pisken, de vil hellere vejlede i stedet for at straffe. (se link til artikel med datatilsynet https://www.version2.dk/artikel/datatilsynet-ingen-grund-at-frygte-boederegn-med-gdpr-1084678).
»Det er ikke fordi, vi nu vil ud og give bøder til højre og venstre. Generelt ønsker vi en pragmatisk tilgang til databeskyttelse. Det væsentlige er, at virksomhederne bliver bedre til at håndtere opgaven.« – Allan Frank, Sikkerhedsspecialist, Datatilsynet. Kilde: https://www.version2.dk/artikel/datatilsynet-ingen-grund-at-frygte-boederegn-med-gdpr-1084678
For at gøre det lettere og få et bedre overblik over det her med cookie, privatlivspolitik og GDPR, har jeg lavet denne grundlæggende check-liste:
1. Lav en ”Cookie- og Privatlivspolitik”.
Grundstenen i den nye Privatlivspolitik(GDPR) er en ”Cookie- og Privatlivspolitik” som skal indsættes på din webside/shop. https://www.retsinformation.dk/Forms/R0710.aspx?id=139279 §3 stk. 5
Et eksempel på en ”Cookie- og Privatlivspolitik kan ses her (indsæt link)
2. ”Cookie- og privatlivspolitik på websiden/shoppen”. Med den seneste opdatering af WordPress er det blevet muligt at uploade ”Cookie- og privatlivspolitikken” direkte til websiden. Gøres dette, vil der automatisk blive henvist til denne i forbindelse med fx brugerregistreringer.
Det vigtige her er, at den er tilgængelig og vises på alle sider, fx enten i footeren eller topbaren på websiden. https://www.retsinformation.dk/Forms/R0710.aspx?id=139279 §3 stk. 5
Når jeg hovedsageligt arbejder med WordPress, så er shopdelen normalt Woocommerce.
Har du en webshop, er der lige et par ekstra ting, der også skal tages højde for:
a. Woocommerce og ”Cookie- og Privatlivspolitik”. I Woocommerce kan du ligeledes uploade din ”Cookie- og Privatlivspolitik”, derved vil dine kunder automatisk se et link til den, når de er i ”Kassen”, som de kan bekræfte og acceptere. Det er kun muligt fra og med den Woocommerce-version der blev udsendt d. 23. maj 2018 (Woocommerce version 3.4.0)
b. Nødvendige oplysninger. Alle de oplysninger du indsamler skal du kunne argumentere for, hvorfor du netop indsamler disse. Derfor bør der, hvis du har en webshop, kun være de felter i kassen som absolut er nødvendige i forhold til at kunne ekspedere kundens ordre. Stil dig selv spørgsmålet: ”Er det nødvendigt at indsamle fx tlf.nr. hvis du sælger et digitalt produkt, der ikke skal leveres?”
3. Accept af Cookie- og Privatlivspolitikken”. Det er vigtigt i GDPR-sammenhæng at man sørger for, at der ved alle kontaktformularer er en checkbox, hvor brugeren accepterer din ”Cookie- og Privatlivspolitik”, når brugeren vil i kontakt med dig via denne. https://www.retsinformation.dk/Forms/R0710.aspx?id=139279 § 2 stk. 8
4. Nyhedsbreve. De fleste som har en WordPress webside, har muligvis også en nyhedsbrevs-tilmeldingsformular, som er tilknyttet en mailling-tjeneste. Jeg benytter hovedsagelige Mailchimp.com.
Når en bruger tilmelder sig min mailliste overføres disse oplysninger til en mailliste på Mailchimp.com. Derfor er der et par ting du bør gøre:
a. Sørg for at der er fuld transparens omkring hvad du har tænkt dig at sende via nyhedsbrevet, så der er fuld klarhed over, hvad der gives samtykke til. Man skal tydeligt og aktivt tilmelde sig nyhedsbrevet. Derfor må man ikke have en forudfyldt checkbox ved nyhedsbrevsformularen eller ved kassen på ens webshop. https://www.retsinformation.dk/Forms/R0710.aspx?id=139279 §2 stk. 8
b. I GDPR-sammenhæng er det vigtigt at du kan dokumentere et samtykke. Har dine Mailchimp-abonnenter har tilmeldt sig via din webside, vil der i Mailchimp være en dato for hvornår samtykken er givet.
Har du på et tidspunkt importeret en liste fra fx et tidligere system, har brugerne reelt ikke afgivet samtykke. Det skal du så indhente igen. Men derved kommer du i konflikt med markedsføringsloven, da disse ikke aktivt har accepteret at blive kontaktet af dig. Resultatet er en mistet mailling-liste.
5. Cookies på websiden/shoppen. På din webside/shop skal du opsætte en mulighed for aktivt at acceptere cookies, med oplysning om at man ikke må/kan benytte websiden/shoppen før der er givet denne accept. Tidligere var det nok bare at skrive ”Ved at fortsætte accepterer du cookies”. Dette er ikke længere tilstrækkeligt. https://www.retsinformation.dk/Forms/R0710.aspx?id=139279 §2 stk. 8.
Jeg arbejder med to forskellige metoder i forbindelse med cookies.
Den nemme er Www.cookiebot.com som både findes i en gratis og en betalt version. Gratis-versionen kan bruges på websider/shops med op til 100 sider, ellers skal man op i en betalt version.
Den anden metode er, med www.civicuk.com som også findes i forskellige versioner. Her er der ikke begrænsninger i forhold til antal sider i gratis-versionen, med nogle branding-begrænsninger.
6. Databehandler-aftaler. Du skal have databehandler-aftaler med de firmaer som opbevarer dine data for dig. Det kan fx være din webhost(webhotel), økonomisystem, lønsystem, nyhedsbrevssystem, crm-system, din indløser i forbindelse med din webshop osv.
Næsten alle af disse firmaer har har databehandleraftalen inkorporeret i deres nyeste privatlivspolitik, som de sikkert har bedt dig om at acceptere, når du logger ind.
Enkelte, som fx hos Mailchimp, der skal du selv ind at oprette en databehandleraftale. Det kan du gøre her: https://mailchimp.com/legal/forms/data-processing-agreement/
7. Google Analytics. Benytter du Google Analytics, så har de pr. 25.5.2018 ændret deres regler for dataopbevaring. Standard for hvor længe data opbevares ændres til 26 måneder. Du kan dog ændre dette til fremtidig brug.
