Blogserie om den nye EU persondataforordning

Alle taler om den nye EU persondataforordning, men hvad betyder den egentlig for din digitale markedsføring og håndtering af persondata i din virksomhed?

EU persondataforordningens indflydelse på digital marketing og eCommercePersondataforordningen – indflydelse på digital markedsføring og eCommerce

Den 25. maj 2018 træder den nye EU persondataforordning i kraft – også kaldet GDPR. Det er umiddelbart langt ud i fremtiden, men forordningen kan have vidtrækkende konsekvenser for markedsføringen af din virksomhed og dine produkter via digitale kanaler. Det er derfor relevant allerede nu, at gøre sig bekendt med forordningens indhold og de krav den stiller til håndtering af persondata. Faktum er, at den for langt de fleste virksomheder vil kræve en ændring af deres nuværende processer for opsamling og håndtering af persondata. Samtidig vil den kræve en langt større grad af transparens og oplysning til kunderne. Det tager tid at implementere og derfor er det nu, du skal gå i gang.

Samarbejde med Leoni Advokater

Persondataforordningen omfatter rigtig mange emner. Mange af dem giver anledning til helt konkrete spørgsmål i forhold til ens digitale markedsføring. For at belyse de mange spørgsmål, har jeg indgået et samarbejde med Leoni Advokater i Viborg og Holstebro.

Følg med på eNavigates blog og bliv klogere på persondataforordningen.I hvert indlæg vil eksperterne fra Leoni Advokater bidrage til belysningen af diverse spørgsmål, som den nye persondataforordning giver anledning til at stille.

F.eks. spørgsmål som:

Er der nogle forbehold, som du skal tage som virksomhed, hvis du anvender remarketing tools eller gerne vil i gang med remarketing?

og

Sker der ændringer i forholdt til samtykke og brug af emails, SMS m.v.?

Samarbejdet med Leoni Advokater betyder også, at du som læser af eNavigates blog helt eksklusivt, får mulighed for at stille spørgsmål direkte til specialisterne fra Leoni Advokater. Du kan også foreslå emner, du gerne vil have belyst i et blogindlæg. Du skal blot skrive dit spørgsmål eller emneforslag i kommentarfeltet på eNavigates blog.

Leoni Advokater om PersondataforordningenHos Leoni Advokater har Bent Bro Miltersen beskæftiget sig indgående med den nye persondataforordning. Leoni Advokater vil den kommende tid have fokus på persondataforordningen i et bredt perspektiv og sender en række nyhedsbreve ud om persondataforordningen.

Ønsker du at modtage deres nyhedsbreve kan du tilmelde dig her.

Der er også mulighed for, at få et individuelt forløb eller deltage i deres seminarer om den nye persondataforordning.

Du kan tilmelde dig og se datoerne for seminarerne her.

Persondataforordningens formål og indholdspunkter

Når den nye EU persondataforordningen træder i kraft d. 25 maj 2018, vil det berøre alle virksomheder, der opsamler og håndterer persondata. For virksomheder der opererer digitalt, enten fordi de bruger digitale markedsføringskanaler eller sælger deres varer via en webshop, er opsamling, håndtering og anvendelse af persondata en forudsætning for at drive deres virksomhed og ikke mindst for at tjene penge.

Jeg har indledningsvist spurgt Bent og Frans, hvad det overordnede formål med persondataforordningen er og hvilke punkter forordningen indeholder.

Baggrunden for den nye persondataforordning

Persondataforordningen vil erstatte persondataloven, men hvad er baggrunden og formålet med den nye persondataforordning?

Bent:

Den nye Persondataforordning kan ses som et udtryk for et politisk ønske om at persondatabeskyttelse skal tages mere alvorligt fremover. Derfor kan der udstedes større bøder end tidligere. Reglerne skal være med til at hæmme cyberangreb og misbrug af personoplysninger, der bliver mere og mere almindelige. Baggrunden er, således at gøre lovgivningen mere tidssvarende i forhold til den digitale og teknologiske udvikling.

Formålet er at styrke personers ret til databeskyttelse. Derudover er det at give tilsynsmyndighedene skærpede beføjelser og sanktionsmuligheder overfor de virksomheder, der ikke overholder reglerne.

6 vigtige indholdspunkter i persondataforordningen

Hvad er de overordnede indholdspunkter i loven?

Bent: 

Der er mange regler i persondataforordningen, men der er specielt er 6 punkter, man skal være opmærksom på:

  • Man skal have et behandlingsgrundlag, før man indsamler og behandler personoplysninger. Det betyder, at man inden man opsamler data skal vide, hvad man vil bruge dem til. Tilladelse til at bruge personoplysninger kan som hidtil være et skriftligt eller digitalt samtykke fra den person man indsamler data omkring.
  • Personoplysningerne skal behandles ordentligt og sagligt. It-sikkerheden skal være i orden.
  • Personer man indsamler oplysninger om, har en række rettigheder. De har f.eks, ret til at blive glemt. Det kræver at virksomhederne indarbejder disse rettigheder i deres forretningsgange. En persons ret til at blive glemt kræver eksempelvis, at virksomheden har en politik for, hvornår oplysninger om vedkommende skal slettes. Oplysningerne må heller ikke opbevares på ubestemt tid.
  • Har man uddelegeret behandlinger af oplysninger til en databehandler, skal der foreligge en skriftlig databehandleraftale. Der er et minimumskrav til, hvad databehandleraftalen skal indeholde. Man skal desuden sørge for, at databehandleren har den fornødne sikkerhed. Bryder databehandleren reglerne, uden man har ført tilstrækkeligt tilsyn, kan man selv blive ansvarlig for lovbruddet.
  • Overholdelsen af reglerne skal kunne dokumenteres på skrift. Det kan betyde, at man skal udarbejde skriftlige politikker for behandling af oplysninger, samt en skriftlig oversigt over alle sine behandlinger.
  • Datatilsynet fører tilsyn med, at reglerne bliver overholdt. Man kan få en bøde, hvis man bryder reglerne og kan man ikke dokumentere efterlevelse af reglerne, kan det betragtes som et selvstændigt lovbrud.

De nævnte indholdspunkter, giver andleding til en hel del spørgsmål, når man arbejder med digital markedsføring. Det giver også anledning til en del bekymring. Er det f.eks. nok, at jeg har en intentionen om, at jeg på sigt vil sende automatiserede fødselsdagsmails ud til mine nyhedsbrevsmodtagere? Og hvad med de data jeg allerede har indsamlet? Kan jeg risikere, at jeg skal indhente et nyt samtykke, hvis dataene er mere end et halv år gamle? Hvornår er mit tilsyn med tjenester som Google Analytics f.eks. tilstrækkelig? Min liste af spørgsmål er rigtig lang. Jeg er virkelig spændt på, at høre svarerne fra specialisterne fra Leoni Advokater, når vi behandler de mange emner i den nye persondataforordning i denne blogserie.

Har du ligesom jeg rigtig mange spørgsmål (og måske også bekymringer!), så husk at stille dem i kommentarfeltet nedenfor.

Blogseriens næste indlæg handler om personoplysninger

Det næste emne Bent vil hjælpe med at berøre er, hvad der i persondataforordningen forstås ved personoplysninger. Hvornår er det følsomme og ikke-følsomme oplysninger? Er der særlige forholdsregler du skal tage, hvis du indsamler sådanne data via din nyhedsbrevtilmelding og må du overhovedet det? Er de data du bruger, når du laver personaliserede indhold, f.eks. i en email til kunden normalvis følsomme eller ikke følsomme data?

Jeg glæder mig til at høre Bents svar på mine spørgsmål og håber, at du har lyst til at læse med.

Spørg eksperterne om EU persondataforordningenHusk at du kan stille spørgsmål til Bent ved at klikke på Skriv en kommentar herunder.

*Vær opmærksom på, at du ikke kan se dit spørgsmål før jeg har godkendt det.

Tinne Bering

Tinne Bering rådgiver virksomheder om digital strategi og markedsføring. På eNavigates blog skriver hun faglige blogindlæg om digital markedsføring og trends.

  • 17. april 2018 kl. 8:30
    Permalink

    Hej Tinne

    Kan det passe at man skal oplyse listen over hvilke cookies man bruger samt hvor længe man anvender disse data (og opdatere hvis de bliver ændret osv?)

    Dbh. Mads

    Svar
    • 18. april 2018 kl. 13:05
      Permalink

      Hej Mads

      Tak for dit spørgsmål.

      Der er ikke noget krav om, at du skal offentliggøre en liste over de cookies, som du anvender på dit website og hvor længe de anvendes. Ofte vil det heller ikke være hensigtsmæssigt i forhold til din målgruppe. Det der er væsentligt er, at du oplyser, hvilke typer af cookies du bruger og beskriver, hvilket formål du har med at anvende dem.

      Informationen skal være i et sprog som din målgruppe kan forstå. En teknisk cookieliste med udløbsdato er for de fleste ikke særligt gennemsigtigt, hvis der ikke medfølger en forklaring på hvorfor de enkelte cookies sættes og hvad deres formål er. Anvender du Adwords og Facebook markedsføringscookies, kunne forklaringen indeholde information om, at du benytter disse cookies for at måle effekten af dine annoncer på Google og Facebook og for at vise de annoncer, der er mest relevante for dine kunder.

      Ændre du brugen af cookies, skal du tilpasse din cookiepolitik, så websitebesøgende orienteres korrekt.

      Husk, at du skal have samtykke fra brugeren for at installere cookies. Det kan fortsat gøres via et cookiebanner.

      Du skal også være opmærksom på, at den nye ePrivacyforordningen endnu ikke er vedtaget og der heri lægges op til en ændring af reglerne for cookies.

      Håber det var svar på dit spørgsmål.

      De bedste hilsner
      Tinne /eNavigate

      Svar
  • 13. februar 2018 kl. 15:46
    Permalink

    Hej Tinne og Leoni,
    Er der en skabelon for “privatlivspolitik og brug af cookies” man bør og skal skrive på sin hjemmeside nu og efter GDPR træder i kraft?

    Svar
    • 14. februar 2018 kl. 14:58
      Permalink

      Hej Anette,

      Tak for dit spørgsmål.

      Der er, så vidt jeg ved, fra officiel side ingen skabelon for en privatlivspolitik og brug af cookies. Det er op til den dataansvarlige selv at vurdere, om det er nødvendigt at have en sådan politik, og hvordan den skal se ud. Dette betyder også, at privatlivspolitikkerne kan variere enormt fra hjemmeside til hjemmeside. Nogle hjemmesider har meget kortfattede politikker, mens andre som fx LinkedIn har en meget lang tekst og en medfølgende video. Der findes som sådan ikke nogen one size fits all-løsning, da alle virksomheder er forskellige og behandler persondata på forskellige måder.

      Efterhånden som flere og flere hjemmesider offentliggør en privatlivs-/persondatapolitik, foregår der dog formentlig en del kopiering af privatlivspolitikkerne. Det er selvfølgelig helt fint at se, hvordan andre har løst opgaven, men man skal aldrig bare kopiere en privatlivspolitik, da forholdene jo kan være helt anderledes.

      Hvis man googler ”privatlivspolitik” kommer der en side frem, som man frit må kopiere: http://minecookies.org/skabelon-til-cookie-og-privatlivspolitik/. Igen skal det dog siges, at man kan ikke formulere en privatlivspolitik, der passer i alle tilfælde. Faren ved at bruge en sådan standardiseret privatlivspolitik er, at den er så generel, så den reelt ikke siger noget om, hvordan personoplysninger bliver indsamlet og brugt på den pågældende side.

      En praktisk måde at løse opgaven på, kunne være at se på et bredt udsnit af en række forskellige privatlivspolitikker og derefter lave en konkret tilpasning til ens egen hjemmeside. Hvis man ikke kan magte opgaven, kan man dog søge ekstern bistand hos fx en advokat.

      Meningen med en privatlivspolitik er at give brugeren af hjemmesiden et godt overblik over, hvad der sker med deres personoplysninger. Man skal så at sige lægge kortene frem på bordet og være ærlig omkring, hvad der indsamles af oplysninger på hjemmesiden, og hvornår de slettes igen. Med en privatlivspolitik viser man, at man lever op til forordningens princip om gennemsigtighed. Politikken skal helst være kort, præcis og skrevet i et jævnt sprog. Dette gælder både nu og efter d. 25. maj, hvor forordningen træder i kraft.

      Mht. en cookiepolitik kan det kræve en del teknisk indsigt for bare selv at vide, hvilke cookies der bliver installeret på den besøgendes computer gennem ens hjemmeside. Nogle større virksomheder kan bruge mange ressourcer på at lave udførlige lister over, hvilke cookies der bliver installeret på deres hjemmeside. Se fx jyllandspostens cookiepolitik her: https://jyllands-posten.dk/om/cookies/. Hvis man er en mindre virksomhed uden den store tekniske indsigt, må man dog nøjes med mindre.

      Jeg håber, det var svar på dit spørgsmål.

      Svar
      • 15. februar 2018 kl. 9:46
        Permalink

        Hej Bent,
        Mange tak for svaret. Det var helt sikkert brugbart. Jeg var selv efterhånden kommet frem til, at jeg må kigge på hvad andre gør og så ud fra dette, skabe min egen politik. Tak for indsigt og links til diverse. Venlig hilsen Anette

        Svar
        • 15. februar 2018 kl. 12:09
          Permalink

          Hej Anette

          Endnu engang tak for dit spørgsmål.

          Jeg kan tilføje til Bents svar, at du under blogindlægget om behandlingsprincipper også kan finde hjælp til, hvad privatslivspolitikken skal indeholde. Under afsnittet Gennemsigtighed findes en liste over, hvad du skal orientere om for at overholde orienteringspligten. Den er et godt udgangspunkt, når du skal arbejde med en privatlivspolitik.
          https://enavigate.dk/hvilke-behandlingsprincipper-skal-jeg-opfylde/

          Fra et kommunikationsmæssigt perspektiv og for at din privatlivspolitik er gennemsigtig for dine brugere, bør du også tilpasse sprog og præsentation. Persondataforordningens krav om gennemsigtighed og dermed at brugeren forstår, hvad de reelt siger ja til, hvad deres persondata bruges til og hvilke rettigheder de har, stiller krav til at privatlivspolitikken tilpasses til dine primære brugere. Dette gælder også for cookie-meddelelsen. Det kan derfor udover at få hjælp fra en advokat også være en god ide at lade en kommunikationsekspert gennemgå teksterne.

          I forhold til Cookie-meddelelsen, skal du holde øje med den nye ePrivacyforordning. Den er ikke endelig vedtaget. Denne lægger op til en forenkling af reglerne for sporingscookies. Konkret skal brugere kunne acceptere eller afvise cookies direkte i deres browserindstilling. Der er endvidere forslået, at cookies der forbedrer brugeroplevelsen, eller bruges til at registrere besøgsantal til websitet, ikke skal kræve et forudgående samtykke – dog kun i tilfælde, hvor cookien ikke kan identificere den enkelte bruger.

          Jeg holder også øje med ePrivacyforordningen. Nyheder i forhold hertil vil jeg bestræbe mig på at poste på eNavigates Linkedin side: https://www.linkedin.com/company/enavigate/

          For nu er det en god ide at gennemgå din nuværende cookiemeddelelse. Du bør undersøge om din løsning opdateres, således at der er indstillinger tilgængelig til at kunne imødekomme reglerne i GDPR. Er det ikke tilfældet, kan det være nødvendigt at finde en anden løsning.

          Held og lykke med arbejdet?

          De bedste hilsner
          Tinne /eNavigate

          Svar
  • 13. november 2017 kl. 15:06
    Permalink

    Hej Trine,

    Jeg vil godt vide hvordan man står stillet når man f.eks vil bruge LVT på Facebook som målgruppe. Der uploader du jo dine kunders livstidværdi hos dig og derefter opretter Facebook en målgruppe der ligner dem 1%.

    Må man overhovedet det jvf. den nye persondatalov ?

    Svar
    • 22. november 2017 kl. 15:13
      Permalink

      Hej Mikkel,

      Tak for dit spørgsmål og undskyld det lidt sene svar.

      LTV står for Life-Time Value. Dette er den fortjeneste, man forudsiger at tjene på en kunde i løbet af den tid, man har en relation til kunden. Der er forskellige måder at udregne LTV på, men dette er ikke så vigtigt i første omgang. Det vigtige er først at anslå, om LTV er en personoplysning eller ej.

      Så vidt jeg har forstået, udregnes LTV ikke for den enkelte kunde, men er udtryk for fortjenesten på en gennemsnitlig, vilkårlig kunde (evt. inden for et bestemt segment, hvormed man kan se, hvilke segmenter, der er de bedste kunder). Dermed fortæller værdien i bund og grund ikke noget om en identificerbar person – og dermed er det ikke en personoplysning. LTV er derimod en vurdering af en fiktiv, gennemsnitlig kunde inden for et bestemt segment. Du må gerne uddybe, hvis dette er forkert forstået.

      Det vil dog kræve indsamling af personoplysninger for at udregne LTV. Så vidt jeg kan se, er man nødt til at foretage stikprøvekontroller af vilkårlige kunder for at have nogle tal at arbejde med, hvilket må være indsamling af personoplysninger, medmindre det på en eller anden måde er fuldstændig anonymt. Denne indsamling må være omfattet af forordningens regler, og du skal have et retsgrundlag for behandlingen. Du vil selv være dataansvarlig for denne del.

      Når du videregiver LTV’en til Facebook, er det som sagt ikke omfattet af forordningen, da LTV formentlig ikke i sig selv er en personoplysning. Jeg ved ikke helt præcist, hvad Facebook herefter gør med LTV’en, du har oplyst. Det må du gerne forklare mig, så kan jeg bedre tage stilling til dit spørgsmål. Det lyder som om, Facebook med LTV’en opstiller en målgruppe, der herefter modtager annoncer fra dig på Facebook. Hvis dette passer, kommer reglerne om persondataret igen i spil. Alt efter, hvordan det konkret foregår, kan man diskutere, hvem der er ansvarlig for behandlingen, og hvilket retsgrundlag man kan anvende.

      Til slut vil jeg gøre opmærksom på, at Leoni Advokater og eNavigate vil afholde et fælles webinar i januar måned, hvor vi behandler spørgsmål vedr. persondataret i forbindelse med digital markedsføring. Vi melder senere en dato ud, og meningen er, at deltagerne har mulighed for at stille os spørgsmål undervejs på webinaret. Så hvis man sidder med markedsføring til dagligt og er i tvivl om, hvordan persondatareglerne kan påvirke dit daglige arbejde, vil jeg anbefale at melde sig til.

      Mvh
      Bent Bro Miltersen

      Svar
  • 31. oktober 2017 kl. 16:04
    Permalink

    Hej Henrik,

    Ja, det er tit svært at finde ud af, hvem der egentlig har dataansvaret. EU-domstolen har ikke endeligt taget stilling til problemet, og der er derfor forskellige holdninger til spørgs-målet.

    Dataansvaret afhænger af de konkrete forhold – altså hvem, der gør hvad. Da jeg ikke selv har erfaring med værktøjet Linkedin Ads, kan jeg derfor ikke give et fuldt ud kvalificeret svar. Umiddelbart vil jeg dog mene, I begge er dataansvarlige – Linkedin da de, så vidt jeg kan se, egenhændigt indsamler og videresender oplysninger til reklameudbydere, og re-klameudbyderen, da det er ham, der bestemmer, hvilke konkrete oplysninger og midler re-klamekampagnen skal anvende, herunder om man skal bruge retargeting.

    For så vidt angår de valgfrie funktioner i Linkedin Ads (konverteringssporing, websteds-demografi og LinkedIn Matched Audiences), fremgår det direkte af Linkedin Ads’ vilkår (annonceaftalen), at det er kunden, der er dataansvarlig, og Linkedin blot behandler data på vegne af kunden. Som udgangspunkt er det derfor dig, der er ansvarlig for overholdelsen af persondataforordningen, når den træder i kraft d. 25. maj 2018, hvis du benytter disse valgfrie funktioner.

    Selvom dataansvaret er fordelt på denne måde i annonceaftalen, vil det dog ikke altid være sådan. Hvis Linkedin af egen drift foretager en behandling, der ikke er beskrevet i deres vilkår, og de ikke meddeler dig om behandlingen i forvejen, vil Linkedin som udgangspunkt være dataansvarlig for lige præcis denne behandling. Linkedin har dog meget detaljerede vilkår, og de bliver løbende opdateret, hvis der ændres i Linkedins funktioner. Det er derfor op til dig selv at holde dig opdateret om Linkedins vilkår, og om du mener, de beskrevne behandlinger lever op til persondatalovgivningen.

    Når man behandler oplysninger om en person, skal vedkommende som udgangspunkt have udleveret en række oplysninger. Mht. dette er det mest nærliggende, hvis den opfyldes på Linkedins hjemmeside, hvis det er derfra, oplysningerne samles, og det er derfra, man klikker videre til reklameudbyderen. Linkedin oplyser allerede meget detaljeret om deres persondatabehandling. Eksempelvis står der i brugeraftalen om sponsoreret indhold, som du spørger ind til:

    ”Vi viser dig annoncer kaldet sponseret indhold, som ligner ikke-sponseret indhold, med undtagelse af at de er markeret som annoncer eller sponseret. Hvis du interagerer (f.eks. synes godt om, kommenterer eller deler) med disse annoncer, knyttes din handling til dit navn og kan ses af andre, herunder annonceleverandøren.”

    Hvis man graver et spadestik dybere, kan man sikkert sige mange andre ting til denne problemstilling. I et senere nyhedsbrev vil vi komme ind på forskellen mellem den dataan-svarlige og databehandleren.

    Svar
  • 30. oktober 2017 kl. 12:55
    Permalink

    Man kan jo blive helt nervøs for at arbejde med digital markedsføring med disse nye regler…!

    Jeg benytter for eksempel LinkedIn Ads en del i mit arbejde. Hvordan forholder det sig, når man benytter eksterne tjenester som den til markedsføring, som også mere eller mindre kan identificere folk. Det kan LinkedIn og LinkedIn Ads jo. Skal det så fremgå af de sponsorerede posts, at hvis en person klikker på dem, liker eller kommenterer kan de risikere at blive identificeret. Og vil dette ansvar i så fald påhvile LinkedIn eller mig som annoncør.

    Og den anden vej, når man benytter persondata til at målrette sponsorerede indlæg mod specifikke personer. Det kan jo på LinkedIn gøres med retargeting, eller sågar ved upload af csv-fil med navngivne personer. Hvordan kan og skal man advare om det.

    Der er godt nok mange ubesvarede spørgsmål, så jeg ser meget frem til blogserien.

    Svar
    • 1. november 2017 kl. 13:55
      Permalink

      Hej Henrik

      Tak for dit yderst relevante spørgsmål. Jeg forstår godt, at man kan blive en lille smule nervøs over indholdet i den nye persondataforordning!

      Jeg håber, at du har fået mere klarhed i forhold til brugen af Linkedin. Som Bent skriver, vil vi i et senere blogindlæg have fokus på forskellen mellem den dataansvarlige og databehandleren. Dit eksempel er så godt, at vi måske tager det med for at synliggøre problematikken.

      Dbh. Tinne
      eNavigate

      Svar

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.