people-woman-girl-writing-smal.jpg

Der er ikke lang tid til maj, hvor den nye persondataforordning træder i kraft i Europa.

Har du ikke lige haft tid til at læse dig igennem de 1100+ siders EU-lovtekst, kan du starte med denne tjekliste fra PrivacyTree, hvor vi hjælper mindre virksomheder med at overholde persondataforordningen.

I PrivacyTree har vi udarbejdet en tjekliste til dig, der vil have styr på GDPR.

Tjeklisten gør det lettere for små og mellemstore online virksomheder at håndtere persondata på en ordentlig måde, herunder kunders navne, e-mailadresser og registreringer af køb og forespørgsler. 

Tjeklisten er tænkt som en hjælp til de emner som du i hvert fald skal være opmærksom på, men der kan være yderligere ting.


GDPR-tjekliste til online virksomheder

1. Indsaml kun det nødvendige

Overvej om du reelt har brug at indsamle personoplysningerne. Er de nødvendige for aftalen, for brugen af din hjemmeside eller lignende.  Lad være med at bede folk om at logge ind, registrere sig eller give deres oplysninger, medmindre det er nødvendigt. Hvis kunden selv henvender sig med en forespørgsel eller beslutter sig til at indgå aftale med dig, er det helt acceptabelt at bede om deres personoplysninger, men kun de, som er nødvendige for at opfylde forespørgslen eller aftalen.

2. Oplys formål med indsamlingen

Når du indsamler oplysninger om folk, skal de vide hvem du er og hvad du bruger disse oplysninger til. Dette skal fremgå klart af din hjemmeside, fx i din privatlivspolitik, der skal være tilgængelig på hjemmesiden.

3. Husk at slette

Sørg for, at du kun indsamler de personoplysninger, du skal bruge. Hvis du ikke længere har brug for personoplysningerne, så stop indsamlingen. Vurder også, hvornår de personoplysninger du allerede har indsamlet, skal slettes.

4. Håndter persondata på en sikker måde

Du er lovgivningsmæssigt forpligtet til at beskytte dine kundeoplysninger. Spørg din IT-leverandør om råd omkring kryptering af oplysninger og sørg for, at medarbejdere med adgang til personoplysningerne er trænet i at håndtere dem og holde den sikre. Du bør som minimum gennemføre træning, når en medarbejder bliver ansat, og have klare retningslinjer som medarbejderen kan blive vejledt af. Du skal sikre, at kun de medarbejdere, der har brug for det, har adgang til de konkrete personoplysninger.

5. Tjek at dine leverandører lever op til kravene

Hvis du har leverandører, der håndterer data på dine vegne, fx til at administrere din database, skal din aftale med dem leve op til specifikke krav om sikkerhed og om leverandørens brug af underleverandører. Gennemgå derfor dine aftaler med dine leverandører/databehandlere og tjek at de overholder de lovpligtige bestemmelser.

Gennemgå dine databehandlere og overvej om de er de rigtige til at beskytte dine kunders personlige oplysninger. Hvis du har en databehandler, der er etableret uden for EU, er der særlige krav, som du skal leve op til. Du bør derfor spørge dine databehandlere om de behandler dine kunders data uden for EU. Det kan nemt være tilfældet med cloud-leverandører, hvor fx support fra et land uden for EU kan kræve særlige aftaler. Du bør undersøge om du har mulighed for at al databehandling sker i EU.

6. Samtykke for markedsføring

Hvis du vil bruge kundeoplysninger til markedsføring, fx reklamemails, er det vigtigt, at du har kundernes samtykke til det. Der er nye krav til, hvornår et samtykke er lovligt. Du skal tjekke, at din måde at få samtykke på, lever op til de nye krav. Fx må fluebenet ud for ’Tilmeld nyhedsbrev’ ikke være forhåndsudfyldt, da kunden aktivt skal godkende det.

7. Tjek at annoncering via tredjeparter er lovlige

Indeholder dit website annoncer fra tredjepart, skal du have styr på, hvilke det drejer sig om, så du kan få det inkluderet i din cookiepolitik. Har du fx ’like’-knapper eller en Facebook-pixel på dit website, har du helt sikkert en tredjepart, der indsamler personoplysninger fra dit site.

Selvom du måske ikke er juridisk ansvarlig for denne indsamling af oplysninger som tredjeparten foretager på dit website, antager dine kunder måske at du er og det kan skade dig, hvis tredjeparten ikke opfører sig ordentligt. Overvej derfor om du vil fortsætte med at vise annoncer fra tredjeparter. Det er en god idé at have en procedure på plads, hvis en kunde gør indsigelse mod en bestemt annonce.

8. Folk har ret til at se egne oplysninger

Husk, at folk har ret til at få adgang til de oplysninger, du opbevarer om dem. Sørg for, at dine medarbejdere genkender en kundes rettighedsanmodning og at de ved, hvordan de skal håndtere en evt. forespørgsel. Du bør have en klar beskrivelse af proceduren.

9. Oplysninger skal være korrekte og ajourførte

Det skal sikre, at de oplysninger du har om dine kunder, er korrekte og opdaterede. Du bør derfor opfordre dine kunder til at kontrollere de oplysninger, du har indsamlet om dem, fx ved at give dem adgang til deres kontodetaljer. Du bør også selv aktivt bede kunderne om at bekræfte oplysningerne mindst en gang om året, fx når de logger sig ind på dit website.

E-handelsskole og gratis webinarer

Vi har tidligere afholdt et webinar om persondataforordningen sammen med DIBS.

I DIBS' e-handelsskole kan du løbende deltage i webinarer, der er relevante for webshops og alle, der er interesserede i e-handel.

tilmeld dig webinar
Gæsteblogger: Agge Kempff-Andersen

Gæsteblogger: Agge Kempff-Andersen

Agge er direktør og partner i PrivacyTree og har været i softwarebranchen i over et årti. PrivacyTree hjælper små virksomheder med at leve op til den nye persondataforordning gennem analyse af IT-systemer, vejledning og rådgivning. I PrivacyTree har Agge primært fokus på forretningsudvikling, salg og marketing.

Kommentarer