Hvis din virksomhed har en hjemmeside, indeholder den højst sandsynligt cookies til bl.a. at analysere trafikken på hjemmesiden. Derudover er der formentlig også kontaktformularer og muligheden for at skrive sig op til at modtage nyhedsbreve, og måske I også har indrettet jer sådan, at kunden kan købe jeres produkter via en webshop på hjemmesiden. Der opstår i den forbindelse en række forpligtelser – i denne artikel ser vi på dem, der relaterer sig til behandlingen af personoplysninger.
De fleste hjemmesider i dag benytter cookies til overhovedet at fungere, men også til at analysere trafik, huske præferencer og målrette markedsføring. Man skal rent juridisk holde tungen lige i munden, for her kommer flere regelsæt i spil; cookiereglerne regulerer selve indsamlingen af enhver oplysning fra brugernes terminaludstyr, hvorimod databeskyttelsesreglerne tager over ved den videre behandling af de indsamlede personoplysninger. Det er Datatilsynets opfattelse, at der ved indsamling af oplysninger om hjemmesidebesøgende ofte vil være tale om behandling af personoplysninger.
Ifølge cookiereglerne kræver det samtykke fra den hjemmesidebesøgende at gøre brug af alt andet end nødvendige cookies. Når vi taler nødvendige cookies skal det forstås snævert i relation til, hvad der faktisk er nødvendigt for, at hjemmesiden kan fungere, og således ikke hvad der er nødvendigt for, at virksomheden kan forbedre brugeroplevelsen eller målrette markedsføring. Samtykket skal indhentes, inden man gør brug af cookies, og samtykket skal leve op til kravene i GDPR: Det skal være frivilligt, specifikt, informeret og utvetydigt.
Det skal altså være muligt for den hjemmesidebesøgende at afvise brugen af cookies (undtagen de nødvendige selvfølgelig). Hertil gælder der et krav om, at brugeren skal kunne vælge til og fra – det må således ikke være en alt eller intet løsning. Brugeren skal f.eks. kunne vælge statistikcookies til, men markedsføringscookies fra. Dernæst skal samtykket være præcist og velafgrænset, ligesom brugeren skal have letforståelig information om den dataansvarlige, formålet med behandlingen, typer af personoplysninger, der behandles og retten til at trække samtykket tilbage. Det er for sidstnævnte del okay at have en fold-ud funktion, så informationsteksten ikke bliver uoverskuelig lang. Men selve samtykket, herunder muligheden for at vælge typer af cookies til og fra, må ikke ligge flere klik væk.
Det der i særdeleshed er blevet fremhævet i nyeste praksis og vejledninger, er kravet om, at samtykket skal gives ved en aktiv handling fra den registrerede. Forudafkrydsede felter eller et pop up-vindue, der forsvinder ved den videre brug af hjemmesiden (og tager det som en accept af cookies), er ikke et lovligt samtykke. Husk desuden, at samtykket skal være lige så let at afslå eller trække tilbage, som at give.
Datatilsynet udgav for et år siden en vejledning om behandling af personoplysninger om hjemmesidebesøgende. Vejledningen vedrører særligt brugen af cookies og kommer med en række konkrete eksempler på, hvornår et samtykke lever op til reglerne. Læs også mere specifikt om cookies i Cookievejledningen. Er I i tvivl om, hvorvidt der overhovedet anvendes cookies på jeres hjemmeside, så gennemfør et hurtigt cookiescan.
De fleste hjemmesider har en række funktioner, hvor brugeren har mulighed for – eller det ligefrem er påkrævet – at opgive sine personoplysninger, f.eks.
Vær opmærksom på, at så snart I indsamler personoplysninger, uanset hvordan oplysninger er givet via hjemmesiden, skal I efterleve kravene i GDPR, herunder særligt:
Det er oven for nævnt, at man kan opfylde oplysningspligten ved at linke til virksomhedens privatlivspolitik. Dette forudsætter naturligvis, at privatlivspolitikken indeholder alle lovpligtige informationer om alle relevante behandlingsaktiviteter. Få derfor set jeres privatlivspolitik grundigt efter og sørg for, at den beskriver alle de tilfælde, hvor I behandler personoplysninger, f.eks. de oven for nævnte.
Mange får automatisk indsat en cookie- og privatlivspolitik, når de får udviklet en hjemmeside. Vær dog opmærksom på, at denne i mange tilfælde alene vedrører brugen af cookies og ofte er for generisk til faktisk at være retvisende for, hvordan lige præcis jeres virksomheden behandler personoplysninger om hjemmesidebesøgende og kunder. Det er jeres ansvar at sikre, at I opfylder kravene i GDPR, så sørg for at tilpasse den.
En privatlivspolitik skal som minimum indeholde følgende oplysninger om alle de tilfælde, hvor I behandler personoplysninger:
Har du spørgsmål til emnet eller brug for rådgivning, står vores persondatateam altid klar til at yde kvalificeret rådgivning.
Udlejers opsigelsesskrivelse – gør det rigtigt fra start!
Hvornår er rygning i et lejemål misligholdelse – og hvad kan udlejer gøre?
Entreprisekontrakter i nybyggeri – hvad skal du som bygherre være opmærksom på?