#1 Besøgende på hjemmesiden

Den næste tid poster jeg tjeklister, som du kan bruge til at undersøge om din virksomhed overholder GDPR på de enkelte områder.

Fokusområderne er:

• Behandling af personoplysninger om hjemmesidebesøgende
• Persondatasikkerhed, inkl. brud på persondatasikkerheden
• Kontrol med databehandlere
• Tilladelser til at behandle følsomme personoplysninger i den private sektor
• Iagttagelse af oplysningspligt ved uanmodet henvendelse
• Forsyningsselskabers håndtering af anmodninger om indsigt og sletning
• Tv-overvågning
• Retshåndhævelsesloven
• Arkivloven
• Behandling af personoplysninger i fælleseuropæiske informationssystemer

Jeg starter med et område som er relevante for alle virksomheder der har en hjemmeside, nemlig ”Behandling af personoplysninger om hjemmesidebesøgende.”

Hvis man skal dømme ud fra hvad Datatilsynet har kigget på tidligere, vil deres hovedfokus under dette område være cookies.

Det centrale at have styr på hvis din hjemmeside placerer cookies er:

•  Du skal indsamle samtykke fra den besøgende – dette gøres typisk via en cookie popup
•  Tjekbokse i cookiesamtykker må ikke være forud afkrydsede medmindre det er nødvendige cookies
•  Den besøgende skal kunne tilgå oplysninger om cookies formål og hvem der ejer den – anvend med fordel et plug-in som cookieinformation til dette så din cookiepolitik bliver korrekt
•  Det skal være nemt for den besøgende at afstå fra at der bliver placeret cookies
•  Det skal være nemt for den besøgende at trække sit samtykke tilbage
•  Der skal være en klar, præcis og letforståelig vejledning om, hvordan slutbrugeren kan trække sit samtykke tilbage
•  Lagring af oplysninger må ikke ske før den besøgende har givet sit samtykke
•  Indgå databehandleraftale med leverandører af analyseværktøjer f.eks. Google Analytics
•  Udarbejd Transfer Impact Assessment hvis der anvendes leverandører fra usikre tredjelande f.eks. Google Analytics

Derudover er der nogle andre områder som man bør have styr på ift. sin hjemmeside:

•  Hjemmesiden bør være sikker, dvs. https fremfor http
•  Der bør være en privatlivspolitik på hjemmesiden som oplyser de besøgende om hvordan vi behandler data på dem

Bonus info: Med fordel kan privatlivspolitikken anvendes som oplysningstekst overfor alle eksterne personer, både besøgende på hjemmesiden, kunder, leverandører, jobansøgere etc.

•  Hvis privatlivspolitikken anvendes til at oplyse den besøgende om jeres behandling af personoplysninger så tjek at den indeholder alt det den skal iht. artikel 13 og 14 i databeskyttelsesforordningen. Mange glemmer at nævne hjemlen der anvendes for behandling og overførsel til usikre tredjelande
•  Sørg for at der linkes til privatlivspolitik fra alle steder på din hjemmeside hvor en besøgende kan afgive deres oplysninger, f.eks. kontaktformularer, tilmelding til nyhedsbrev etc.
•  Husk at overholde de formkrav der er til en samtykketekst til nyhedsbreve. Samtykket skal være specifikt, utvetydigt, frivilligt og informeret

Se eksempel på samtykketekst her:

“Når du udfylder din e-mail og trykker ”tilmeld” giver du samtykke til at [Virksomhedsnavn] må sende dig nyheder, tilbud, information om nye produkter og services, invitationer til arrangementer mv., via e-mail [Indsæt andre kanaler, f.eks. SMS, sociale medier] Du kan til enhver tid trække dit samtykke tilbage og læse mere om hvordan vi behandler dine personoplysninger i vores privatlivspolitik.”

•  Hvis du anvender afkrydsningsboks til tilmeldelse til nyhedsbrev f.eks. ifm. at kunden gør et køb, ikke må boksen ikke være forud afkrydset
•  Tilmelding til nyhedsbrev ikke må være forudsætning for at kunne foretage et køb på hjemmesiden etc.