Forstå EU's nye persondataforordning (GDPR)
I 2016 godkendte EU en persondataforordning under navnet General Data Protection Regulation (GDPR) for at beskytte europæiske borgeres data. En forordning kræver ikke implementering i medlemslandets gældende lovgivning, men finder direkte anvendelse. GDPR indgår derfor i den danske lovgivning fra den 25. maj 2018.
Nu står vi med spørgsmålet om, hvad det præcis er, EU forsøger at opnå med GDPR og konsekvenserne af det. Ifølge EU selv er målet "beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af sådanne oplysninger.”
Kort sagt skal organisationer, som driver forretning i EU, overholde bestemmerlserne i GDPR og acceptere de store bøder, som manglende overholdelse kan føre med sig. Bøder kan løbe op i 20 mio. EUR eller 4% af den årlige omsætning. For virksomheder, der foretager overtrædelser, der resulterer i tab af personlige data (såsom virksomheden Talk Talk, som mistede 170.000 personers data), vil bøderne være enorme.
Analyse af definitionen: Hvad er data?
Så hvordan defineres personlige data? I henhold til den nye forordning fortolkes personoplysninger som enhver information vedrørende en identificeret eller identificerbar person. Det betyder data, der indeholder en persons navn, CPR-nummer, adresse, online-identifikator eller anden information, der er specifik for en persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.
Den nye forordning omhandler endvidere, hvordan disse oplysninger behandles. I denne sammenhæng betyder behandles enhver handling eller organiseret aktivitet, der udføres med en personoplysning. Dette kan omfatte dataindsamling, opbevaring, indhentning, høring, brug, offentliggørelse ved transmission, formidling eller endda sletning eller destruktion.
GDPR's definition af personoplysninger og behandlingsmetoder dækker alle anvendelsesområder, som organisationer, der "behandler personoplysninger", skulle kunne identificere. For eksempel omfatter det et website, der indsamler et brugernavn og en e-mail ligesom en e-shop, der opfylder ordrer, sporer leveringsstatus og opbevarer økonomiske oplysninger om sine brugere.
Detaljerne vedrørende dataindsamling
GDPR fastlægger specifikke principper, som organisationer, der bruger personoplysninger, skal overholde:
- Data skal behandles lovligt, retfærdigt og transparent
- Data skal indsamles for specificerede, eksplicitte og legitime formål
- Dataindsamling skal være korrekt, relevant og begrænset til, hvad der er nødvendigt
- Dataene skal være nøjagtige og ajourførte
- Data bør kun opbevares så længe, som er nødvendigt
- Data skal behandles på en passende måde i forhold til sikkerhed.
Selvom det kan forekomme som sund fornuft, har nogle af disse principper store konsekvenser for, hvordan organisationer bruger data, og hvad de kan gøre med disse oplysninger. I lyset af EU-forordningen er det ikke kun store virksomheder, der bør bekymre sig om databeskyttelse og sikkerhed. De nye regler gælder for alle, der indsamler e-mails eller andre oplysninger til deres marketing-, sporings- og optimeringsstrategier, uanset størrelsen af deres aktiviteter.
Hvad dette betyder for marketingfolk
Jeg vil især henlede opmærksomheden på grundsætning 1: "Data skal behandles lovligt, retfærdigt og på en transparent måde". Men hvad betyder det? Svaret findes i GDPR’s artikel 6 “Lovligheden af behandling”. I artiklen gennemgås 'overensstemmelseskontrol', og her er et punkt, der skiller sig ud:
Den registrerede giver samtykke til et af flere specifikke formål.
Dette krav alene betyder, at enhver person, der indtaster deres data, skal give udtrykkeligt samtykke til, at deres data må anvendes. Artikel 7 fortsætter med at definere betingelser for samtykke som:
- Bevis for samtykke
- Samtykke skal være klart, forståeligt og let tilgængeligt, ellers er det ikke bindende
- Samtykke kan trækkes tilbage når som helst og bør være lige så let at trække tilbage som at give.
Som led i afhentning af samtykke bliver brugere ofte bedt om at markere et afkrydsningsfelt i en webformular. Desværre er formuleringen på disse afkrydsningsfelter nogle gange ikke klar, eller brugerne bliver bedt om at fravælge en service frem for at tilmelde sig. I henhold til de nye krav skal formuleringen være tydelig: Brugere skal udtrykkeligt tilmelde sig databehandlingstjenester og ikke blot fravælge dem.
Det er vigtigt at bemærke, at GDPR omfatter alle EU-borgeres data, uanset virksomhedens placering. Enhver virksomhed, der anvender EU-borgeres data, skal overholde den nye forordning, selv om de befinder sig uden for EU. Som nævnt er der en straf forbundet med overtrædelse af forordningen i form af massive bøder, og virksomhederne bør begynde at forberede sig på at overholde kravene. Der er kun få måneder til den 25. maj 2018, hvor forordningen træder i kraft.
Er du usikker på, om din virksomhed er omfattet af forordningens bestemmelser, er du i alle tilfælde bedre stillet ved at forberede dig. Det er bedre at forberede sig end at risikere at skulle betale massive bøder. Kontakt FFW og bliv kontaktet af en af vores GDPR-certificerede eksperter, som kan svare på alle spørgsmål om at sikre og opbevare dine brugeres data korrekt.