Hvad du som webstedsoperatør skal vide om GDPR
De mange ændringer, som GDPR har medført siden den 25. maj 2018, påvirker enhver iværksætter og webstedsoperatør. Der er omfattende nye bestemmelser på næsten alle områder af databeskyttelseslovgivningen. Nogle er relativt enkle at gennemføre, andre er meget komplekse.
Vores DSGVO-special - som vi stiller til rådighed for dig som eRecht24-bureaupartner i samarbejde med eRecht24 Premium (partnerlink) - hjælper dig med at få et overblik over kravene i DSGVO og viser dig, hvordan du nemt og hurtigt kan implementere dem på dit websted.
Vi hjælper dig gerne med at implementere dit website i overensstemmelse med DSGVO. Kontakt os venligst.
1. indledning
Fra den 25. maj 2018 vil GDPR regulere virksomhedernes håndtering af personoplysninger - ensartet i hele Europa. Mange af de nuværende bestemmelser i den tyske databeskyttelseslov (BDSG) vil så ikke længere være gældende, eller BDSG vil blive revideret samtidig.
Den generelle forordning om databeskyttelse ensretter databeskyttelseslovgivningen i EU, da der hidtil har været forskellige databeskyttelseslove og dermed forskellige standarder gældende overalt. I fremtiden kan iværksættere derfor regne med, at der gælder en (overvejende) ensartet databeskyttelseslovgivning i EU.
Forordningen gælder dog også for virksomheder, der er etableret uden for EU, hvis de behandler oplysninger om personer fra EU. Dette skal sikre, at cloud-tjenester eller sociale netværk (f.eks. fra USA) også skal overholde reglerne.
GDPR påvirker virkelig ALLE virksomheder, der er aktive på internettet: Brugersporing, kundedata, nyhedsbreve eller reklamemails, reklamer på Facebook, din egen privatlivspolitik, mange ting ændres som følge af de nye regler. I detaljer:
2. databeskyttelseserklæring og -aftryk
Først og fremmest har alle websteder brug for en ny databeskyttelseserklæring, der opfylder kravene i GDPR. Principper for en databeskyttelseserklæring, der er i overensstemmelse med DSGVO:
- Et enkelt og forståeligt sprog
- I givet fald en generel sammenfattende redegørelse i en tidligere fase
- Kontaktoplysninger om webstedsoperatøren
- Databeskyttelsesrådgiver, hvis en sådan findes
- Retsgrundlaget for den pågældende indsamling/behandling af data (lovbestemmelser eller samtykke) skal angives specifikt.
En databeskyttelseserklæring i henhold til GDPR skal som minimum indeholde følgende punkter:
- Navngivning af alle databehandlingsprocedurer på webstedet
- Håndtering af kunde-/ordredata
- Sporing, cookies, sociale medier
- Nyhedsbrev, A(D)V
- Opbevaringens varighed, sletningsperioder
- Oplysninger, berigtigelse, sletning, indsigelse
- Ret til videregivelse og overførsel af oplysninger
Samtykke må ikke angives i databeskyttelseserklæringen.
Opmærksomhed. Forpligtelse til at slette art. 17 i DSGVO:
Data skal slettes, hvis:
- formålet med indsamlingen er ophørt med at eksistere,
- samtykket er blevet tilbagekaldt (afmelding af nyhedsbrev),
- brugeren gør indsigelse ("Slet mine data"), og der ikke er nogen lovbestemte opbevaringsforpligtelser, der modsiger dette (skat og regnskab).
Det er ikke nødvendigt at foretage ændringer i aftrykket. Det drøftes dog i øjeblikket, at der bør oprettes en særlig kontaktformular til krav om information, rettelse og sletning, som bør integreres i den generelle menustruktur (ved privatlivspolitik og impressum).
3. Behandlingsmappe (tidligere: proceduremappe)
Du har brug for en fortegnelse over behandlingsoplysninger, hvis du beskæftiger mere end 250 medarbejdere, og hvis du behandler særlige kategorier af oplysninger.
Forpligtelsen gælder også for virksomheder med mindre end 250 ansatte, hvis behandlingen "ikke kun er lejlighedsvis". Det er dog endnu ikke endeligt afklaret, hvad dette præcist betyder. Indtil kravene er endeligt afklaret, bør du oprette en sådan mappe i tvivlstilfælde.
Hvilket indhold hører til i den?
- Oplysninger om den ansvarlige person
- Navn og kontaktoplysninger på den registeransvarlige, dennes repræsentant og databeskyttelsesrådgiveren.
- Formål med behandlingen
- Kategorier af registrerede personer og personoplysninger
- Kategorier af støttemodtagere
- Overførsel af personoplysninger til et tredjeland
- Tidsfrister for sletning
- Beskrivelse af tekniske og organisatoriske foranstaltninger
- Oplysninger om processoren
- Navn og kontaktoplysninger på databehandleren og den registeransvarlige, deres repræsentanter og den databeskyttelsesansvarlige
- Kategorier af forarbejdningsaktiviteter
- Overførsel af personoplysninger til et tredjeland
Eksempler på og opbygning af en sådan behandlingsmappe kan f.eks. findes på Bitkom: https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf.
4 Cookies og sporing
Der er i øjeblikket ingen ændringer med hensyn til cookies og sporing. Cookies vil blive specifikt reguleret af forordningen om databeskyttelse (ePrivacy-forordningen (ePrivacy-forordningen). Dette vil dog sandsynligvis først ske i 2019, men der skal tilbydes en mulighed for fravalg som led i fremtidig statistisk sporing.
Den gode nyhed: Google Analytics er fortsat "tilladt" som før, selv efter GDPR, hvis følgende krav er opfyldt:
- A(D)V-kontrakt indgået med Google
- IP-anonymisering aktiveret
- Opt-out-muligheder for desktop og mobil
Sørg for, at du indgår en AV-kontrakt med Google, der er i overensstemmelse med DSGVO, fra den 25. maj 2018. Google vil sandsynligvis snart tilbyde en sådan kontrakt.
Du kan finde en vejledning og værktøjer til korrekt gennemførelse på eRecht24 Premium (partnerlink).
Med andre værktøjer, som f.eks. Facebook Pixel, er det desværre ikke muligt at komme med en præcis udtalelse på nuværende tidspunkt. Den juridiske situation vil dog sandsynligvis blive mere kompliceret.
5 Nyhedsbreve og tilladelser
Samtykke fra brugerne, f.eks. til at sende nyhedsbreve, som allerede var effektivt indhentet i henhold til den gamle lov (dobbelt opt-in), gælder generelt fortsat.
Undtagelser:
- Forbuddet mod at binde gamle samtykker er ikke overholdt.
- Samtykke fra mindreårige
Hvad med nye nyhedsbrevskampagner eller præmiekonkurrencer?
Hvis der ikke er nogen juridisk tilladelse til at gemme/overføre data, kræves der altid samtykke.
Selv i henhold til GDPR bør princippet om dobbelt opt-in overholdes for at kunne bevise samtykke i tvivlstilfælde. Under alle omstændigheder skal samtykket dokumenteres elektronisk.
Samtykket skal gives "frivilligt": Et egentligt forbud mod kobling i artikel 7, stk. 4, i DSGVO.
Som regel: ingen data i bytte for indhold (f.eks. e-bøger, konkurrencer, tjeklister) og ingen sammenkædning af udsendelse af nyhedsbreve med indgåelse af en kontrakt.
6. databeskyttelsesansvarlig
Virksomheder, der normalt beskæftiger mindst ti personer permanent med behandling af personoplysninger eller er forpligtet til at foretage en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35 i GDPR (nærmere oplysninger nedenfor under nr. 9.), skal udpege en databeskyttelsesansvarlig.
Interessekonflikter
Der må ikke være interessekonflikter i forbindelse med udnævnelsen af den databeskyttelsesansvarlige. Derfor kan et medlem af bestyrelsen, en administrerende direktør eller virksomhedens ejer ikke være databeskyttelsesansvarlig. Disse personer kan ikke mægle i tilfælde af konflikter mellem virksomhedens interesser og databeskyttelsesreglerne.
De kan også udpege en ekstern databeskyttelsesrådgiver for at undgå konflikter.
Kvalifikationer for den databeskyttelsesansvarlige
Den databeskyttelsesansvarlige skal være pålidelig. Juridisk og teknisk ekspertise er også afgørende for stillingen som databeskyttelsesrådgiver. Der tilbydes kurser/seminarer med eksaminer i hele landet for at opnå de relevante kvalifikationer, f.eks. hos TÜV.
7. oplysninger om medarbejdere
Med GDPR følger også nye regler om beskyttelse af medarbejderdata. De nye bestemmelser indeholder en lang række pligter og forpligtelser, som arbejdsgiverne skal overholde i fremtiden.
Kun de data, der er "nødvendige", bør indsamles.
Medarbejderoplysninger må kun behandles, hvis det er nødvendigt for at træffe beslutning om at ansætte en ansøger eller for at gennemføre, udøve eller afslutte et ansættelsesforhold.
Behandling er også tilladt, hvis det er nødvendigt for at opfylde juridiske rettigheder og forpligtelser, en kollektiv overenskomst eller en arbejds- eller tjenesteydelsesaftale eller med henblik på retshåndhævelse. Hvorvidt og hvornår indsamling af visse oplysninger faktisk er nødvendig, skal altid afgøres på grundlag af det konkrete tilfælde.
Indhente samtykke
Hvis du ønsker at undgå den juridiske usikkerhed omkring "nødvendighed", kan du indhente frivilligt samtykke fra dine medarbejdere. I tilfælde af en tvist skal arbejdsgiveren imidlertid bevise, at samtykket angiveligt er frivilligt.
Et effektivt samtykke skal opfylde visse formelle kriterier. I princippet skal den være skriftlig, dvs. underskrevet uafhængigt. Da dette imidlertid ikke altid er praktisk muligt, kan der under særlige omstændigheder indhentes elektronisk samtykke. Desuden skal den ansatte i en passende form informeres om, at samtykket til enhver tid kan tilbagekaldes. Endelig skal arbejdsgiveren skabe visse betingelser for tilbagekaldelseserklæringen.
Arbejdsgiveren skal i tvivlstilfælde kunne bevise, at de netop nævnte forpligtelser er opfyldt (dokumentationspligt). Desuden vil arbejdsgiverne fremover blive konfronteret med strengere forpligtelser til at give oplysninger i tilfælde af brud på databeskyttelsen og mange andre forpligtelser (f.eks. krav om sletning).
Arbejdsgiverne bør derfor gennemgå deres interne processer grundigt med hensyn til disse forpligtelser og om nødvendigt tilpasse dem (nøgleord: compliance management).
8. bestilt (data)behandling
Hvis indsamlingen og behandlingen af personoplysninger foretages af en "ekstern" virksomhed, skal dette reguleres kontraktligt - som det også var tilfældet under den gamle lov.
Eksempler
- Agenturet gennemfører reklameforanstaltninger
- Ekstern udbyder af nyhedsbreve
- Webhost
- Eksterne vedligeholdelseskontrakter
Hvilke ændringer sker der i indholdet af A(D)V-kontrakter?
Få nye bestemmelser med hensyn til indhold:
- Databehandleren kan være forpligtet til at føre et register over procedurer
- Processoren skal registrere den dataansvarliges instruktioner
- Kontrakter skal ikke længere være skriftlige
Hvor kan jeg få prøver til mine A(D)V-kontrakter?
Du kan finde en DSGVO-kompatibel kontraktmodel på eRecht24 Premium (partnerlink).
9. databeskyttelse for mindreårige
Hvis der er tale om mindreårige under 16 år, skal forældrene give deres samtykke. Dette gælder dog kun i de tilfælde, hvor GDPR kræver samtykke (f.eks. til reklamer), og i praksis kun når det drejer sig om tilbud, der er direkte rettet mod børn og unge.
I tilfælde af blandede tilbud (til voksne og unge) er det ikke nødvendigt at gennemføre særlige krav.
10 Konsekvensanalyse af databeskyttelse
I visse tilfælde er du forpligtet til at vurdere konsekvenserne af databehandlingen og registrere dette i en såkaldt konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35 i DSGVO. I princippet skal der altid gennemføres en såkaldt DSFA, hvis "en form for behandling, navnlig når der anvendes nye teknologier, kan medføre en høj risiko for personlige rettigheder og frihedsrettigheder i kraft af behandlingens art, omfang, kontekst og formål".
Dette er f.eks. tilfældet i følgende konstellationer:
- Behandling af helbredsoplysninger, religion, seksualitet
- Forretningshemmeligheder
- Profilering/scoring
- Strafferetlige overtrædelser
- og mange flere.
Hvornår og hvordan en sådan konsekvensanalyse af databeskyttelsen skal udføres, kan findes i detaljer i den omfattende hvidbog fra Forum Privacy:
11 Ret til aktindsigt og underretningspligt
Generelt har de registrerede personer ret til at få adgang til deres lagrede personoplysninger (artikel 15 i GDPR).
Form af oplysninger:
- skriftligt
- elektronisk (e-mail)
- mundtligt efter anmodning
Frist for fremsendelse af oplysninger: Umiddelbart, dog senest 1 måned efter modtagelsen af anmodningen.
Hvornår skal de registrerede og tilsynsmyndighederne informeres i tilfælde af brud på datasikkerheden?
Her gælder der nu strengere krav end tidligere. I henhold til artikel 33 i GDPR skal brud på datasikkerheden straks (om muligt inden for 72 timer) indberettes til tilsynsmyndighederne ved hjælp af omfattende dokumentation.
Nærmere oplysninger om indholdet er reguleret af artikel 33, stk. 5, i GDPR
https://dejure.org/gesetze/DSGVO/33.html
12. bøder og advarsler
Overtrædelser af databeskyttelsen kan medføre advarsler!
Overtrædelser kan medføre advarsler og retsforfølgelse, fordi:
- Databeskyttelseslovgivningen er relevant for konkurrencelovgivningen!
- Overtrædelser kan også give anledning til advarsler i henhold til GDPR!
Bøder
GDPR giver mulighed for bøder på op til 20 millioner euro eller 4 % af den globale omsætning i det foregående år.
Indtil videre har databeskyttelsesmyndighederne kun meget sjældent udnyttet den øvre grænse for bøder og i tilfælde af vedvarende overtrædelser.
Dette vil dog højst sandsynligt ændre sig, da rammen for høje bøder er en central del af GDPR.
Vigtigt: Tag anmodninger/klage fra brugerne alvorligt. Endnu vigtigere er det at tage anmodninger/klager fra databeskyttelsesmyndigheder alvorligt.
Hvad skal du gøre nu?
Du ved, at du skal tage dig af emner som databeskyttelse, trykning, billedrettigheder eller Facebook & Co. Har du ikke tid til selv at undersøge alle de komplicerede juridiske krav? Vil eller kan du ikke betale en dyr advokat for hver kontrol af et websted? Har du brug for klare svar, forståelige løsninger og praktiske værktøjer i stedet for endnu flere spørgsmål?
Det er, hvad du får i GDPR-specialet hos eRecht24-Premium (partnerlink):
1. praksisguide om GDPR
Vi har udarbejdet en praksisguide til håndtering af de mest almindelige grundlæggende spørgsmål om GDPR.
2. webinarer om GDPR
I eksklusive webinarer forklarer advokaterne fra advokatfirmaet Siebert Goldberg praktiske tilgange til juridisk kompatibel håndtering af GDPR.
3. DSVGO-databeskyttelsesgenerator
Den nye professionelle databeskyttelsesgenerator er nu tilgængelig for dig. Det giver dig mulighed for at oprette en databeskyttelseserklæring i overensstemmelse med DSGVO på få minutter.
4. hyppigt stillede spørgsmål fra webstedsoperatører
Vi har samlet, sorteret og besvaret de mest hyppige 50+ spørgsmål, som iværksættere har i forbindelse med GDPR.
5. dine spørgsmål om GDPR
Stil dine yderligere spørgsmål om GDPR under den indledende konsultation. Disse spørgsmål vil blive besvaret af advokat Siebert og hans team.
6. Advokat DSGVO-check med 100 Euro rabat
Advokatfirmaet Siebert Goldberg tilbyder alle en omfattende revision af advokaternes hjemmeside til en fast pris. Alle eRecht24 Premium-brugere får 100 euro i rabat.
7. yderligere højdepunkter
På eRecht24 Premium (partnerlink) finder du ikke kun svar på GDPR, men også talrige værktøjer, videotræninger, live webinarer, kontraktmodeller og tjeklister om databeskyttelse, billedrettigheder og ophavsret, nyhedsbrevsmarkedsføring eller Facebook & Co.
Sikr dig eRecht24 Premium nu, og beskyt dig selv mod DSGVO-advarsler hurtigt og nemt.
Vigtig juridisk meddelelse!
Vores artikel giver dig et overblik over de vigtigste punkter i GDPR. Den kan dog ikke erstatte juridisk rådgivning. For at få en korrekt gennemførelse af alle databeskyttelseskrav er det bedst at søge rådgivning hos en advokat eller eRecht24.