Behandling af personoplysninger via hjemmesiden

Behandling af personoplysninger via hjemmesiden

Hvis din virksomhed har en hjemmeside, indeholder den højst sandsynligt cookies til bl.a. at analysere trafikken på hjemmesiden. Derudover er der formentlig også kontaktformularer og muligheden for at skrive sig op til at modtage nyhedsbreve, og måske I også har indrettet jer sådan, at kunden kan købe jeres produkter via en webshop på hjemmesiden. Der opstår i den forbindelse en række forpligtelser – i denne artikel ser vi på dem, der relaterer sig til behandlingen af personoplysninger.

Brug af cookies

De fleste hjemmesider i dag benytter cookies til overhovedet at fungere, men også til at analysere trafik, huske præferencer og målrette markedsføring. Man skal rent juridisk holde tungen lige i munden, for her kommer flere regelsæt i spil; cookiereglerne regulerer selve indsamlingen af enhver oplysning fra brugernes terminaludstyr, hvorimod databeskyttelsesreglerne tager over ved den videre behandling af de indsamlede personoplysninger. Det er Datatilsynets opfattelse, at der ved indsamling af oplysninger om hjemmesidebesøgende ofte vil være tale om behandling af personoplysninger.

Ifølge cookiereglerne kræver det samtykke fra den hjemmesidebesøgende at gøre brug af alt andet end nødvendige cookies. Når vi taler nødvendige cookies skal det forstås snævert i relation til, hvad der faktisk er nødvendigt for, at hjemmesiden kan fungere, og således ikke hvad der er nødvendigt for, at virksomheden kan forbedre brugeroplevelsen eller målrette markedsføring. Samtykket skal indhentes, inden man gør brug af cookies, og samtykket skal leve op til kravene i GDPR: Det skal være frivilligt, specifikt, informeret og utvetydigt.

Det skal altså være muligt for den hjemmesidebesøgende at afvise brugen af cookies (undtagen de nødvendige selvfølgelig). Hertil gælder der et krav om, at brugeren skal kunne vælge til og fra – det må således ikke være en alt eller intet løsning. Brugeren skal f.eks. kunne vælge statistikcookies til, men markedsføringscookies fra. Dernæst skal samtykket være præcist og velafgrænset, ligesom brugeren skal have letforståelig information om den dataansvarlige, formålet med behandlingen, typer af personoplysninger, der behandles og retten til at trække samtykket tilbage. Det er for sidstnævnte del okay at have en fold-ud funktion, så informationsteksten ikke bliver uoverskuelig lang. Men selve samtykket, herunder muligheden for at vælge typer af cookies til og fra, må ikke ligge flere klik væk.

Det der i særdeleshed er blevet fremhævet i nyeste praksis og vejledninger, er kravet om, at samtykket skal gives ved en aktiv handling fra den registrerede. Forudafkrydsede felter eller et pop up-vindue, der forsvinder ved den videre brug af hjemmesiden (og tager det som en accept af cookies), er ikke et lovligt samtykke. Husk desuden, at samtykket skal være lige så let at afslå eller trække tilbage, som at give.

Datatilsynet udgav for et år siden en vejledning om behandling af personoplysninger om hjemmesidebesøgende. Vejledningen vedrører særligt brugen af cookies og kommer med en række konkrete eksempler på, hvornår et samtykke lever op til reglerne. Læs også mere specifikt om cookies i Cookievejledningen. Er I i tvivl om, hvorvidt der overhovedet anvendes cookies på jeres hjemmeside, så gennemfør et hurtigt cookiescan.

Anden indsamling af personoplysninger via hjemmesiden

De fleste hjemmesider har en række funktioner, hvor brugeren har mulighed for – eller det ligefrem er påkrævet – at opgive sine personoplysninger, f.eks.

• Kontaktformular
• Tilmelding til nyhedsbreve
• Upload af jobansøgning eller tilmelding til jobagent.
  
  

Vær opmærksom på, at så snart I indsamler personoplysninger, uanset hvordan oplysninger er givet via hjemmesiden, skal I efterleve kravene i GDPR, herunder særligt:

• Oplysningspligten: Den, der registrerer sine personoplysninger, skal have en række informationer om, hvem den dataansvarlige er og hvordan oplysningerne vil blive behandlet, herunder hvor længe og til hvilke formål. Disse lovpligtige informationer skal gives inden den registrerede afgiver sine personoplysninger, f.eks. i en privatlivspolitik på hjemmesiden, som der linkes til der, hvor oplysningerne indtastes. Det er ikke tilstrækkeligt at eftersende privatlivspolitikken, f.eks. sammen med en ordrebekræftelse.

• Dataflow og sletning: Hold styr på, hvordan oplysningerne fra hjemmesiden kommer ind i jeres systemer og videre behandles, herunder ikke mindst hvornår og hvordan de slettes. Alle personoplysninger skal have en ”udløbsdato”, så sørg for at tage stilling til, hvad der skal ske med oplysningerne, hvis der ikke etableres en relation til den registrerede contra, hvis der f.eks. etableres et kunde- eller ansættelsesforhold. Husk at dokumentere flowet og sletningen.

• Sikkerhed: Når det er jer, der stiller løsningen til indsamling af personoplysninger til rådighed for den registrerede, er det også jeres ansvar, at transmissionen af personoplysninger i den forbindelse er sikker, f.eks. vha. tilstrækkelig kryptering. Kravet om sikkerhed går selvfølgelig igen for den behandling, der foretages i jeres systemer, når I har modtaget personoplysningerne.

Husk en fyldestgørende privatlivspolitik

Det er oven for nævnt, at man kan opfylde oplysningspligten ved at linke til virksomhedens privatlivspolitik. Dette forudsætter naturligvis, at privatlivspolitikken indeholder alle lovpligtige informationer om alle relevante behandlingsaktiviteter. Få derfor set jeres privatlivspolitik grundigt efter og sørg for, at den beskriver alle de tilfælde, hvor I behandler personoplysninger, f.eks. de oven for nævnte.

Mange får automatisk indsat en cookie- og privatlivspolitik, når de får udviklet en hjemmeside. Vær dog opmærksom på, at denne i mange tilfælde alene vedrører brugen af cookies og ofte er for generisk til faktisk at være retvisende for, hvordan lige præcis jeres virksomheden behandler personoplysninger om hjemmesidebesøgende og kunder. Det er jeres ansvar at sikre, at I opfylder kravene i GDPR, så sørg for at tilpasse den.

En privatlivspolitik skal som minimum indeholde følgende oplysninger om alle de tilfælde, hvor I behandler personoplysninger:

• Identitet og kontaktoplysninger på den dataansvarlige
• Formålene med hver enkelt behandling af personoplysninger, herunder behandlingsgrundlaget i GDPR
• Eventuelle modtagere af oplysningerne, herunder brug af databehandlere
• Hvorvidt der sker overførsel af oplysninger ud af EU, f.eks. i forbindelse med brug af databehandlere
• Hvor længe oplysningerne opbevares
• Den registreredes rettigheder, herunder retten til at klage til Datatilsynet.
  
  

Kontakt os

Har du spørgsmål til emnet eller brug for rådgivning, står vores persondatateam altid klar til at yde kvalificeret rådgivning.