Dataansvarlige og databehandlere har en række forpligtelser i den nye persondataforordning, også kaldet GDPR (General Data Protection Regulation). Det har i særlig grad konsekvens for din online marketingafdeling. Deres virkelighed er, at de arbejder intensivt med at opsamle, analysere og udfærdige kampagner og marketingaktiviteter på baggrund af persondata. De vil som det blev klart i forrige indlæg, agere på vegne af virksomheden som dataansvarlig.
Marketingmedarbejderne skal ikke kun have styr på virksomhedens ansvar, med skal til og med også føre tilsyn med, at de mange databehandlere, lever op til kravene i persondataforordningen.
Der er ikke rigtig nogen vej udenom. Marketing er tvunget til at bruge tredjepartssystemer for at producere konkurrencedygtig digital markedsføring, der er relevant for den enkelte kunde. Lever de ikke op til kravene som dataansvarlig, risikerer virksomheden en stor bøde.
I dette indlæg prøver jeg sammen med Bent fra Leoni Advokater at tydeliggøre, hvilke krav man som henholdsvis dataansvarlig og databehandler skal efterleve, når persondataforordningen træder i kraft d. 25. maj 2018.
Der er godt nok mange krav til den dataansvarlige!
Den nye persondataforordning (GDPR) pålægger forskellige krav og pligter alt efter om du er dataansvarlig eller databehandler. Det betyder, at selvom den dataansvarlige er overordnet databehandleren, har begge et ansvar for at overholde persondataforordningen.
Bent, kan du mere specifikt beskrive, hvilke krav der pålægges den dataansvarlige?
Bent: Den dataansvarlige er ansvarlig for at overholde persondataforordningen og skal kunne dokumentere, at behandling af personoplysninger ikke overtræder forordningen.
Den dataansvarlige har desuden pligt til at indføre nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger i virksomheden, så man kan efterleve behandlingsprincipperne. Der skal tages hensyn til forhold som behandlingens karakter, omfang og formål, samt konsekvenser, der kan være for de kunder eller leads, man har registreret oplysningerne omkring.
De skal kunne dokumentere, at de opbevarer persondata på en sikker og struktureret måde, så det samtidig er gennemsigtig for kunden.
Den dataansvarlige skal føre tilsyn med sine eventuelle databehandlere, både med hensyn til overholdelse af persondataforordningen og databehandleraftalen.
Inden en dataansvarlig hyrer en databehandler, skal den dataansvarlige undersøge databehandlerens datasikkerhed. Man må ikke bruge en databehandler, der ikke har en passende sikkerhed. Hvilket sikkerhedsniveau de skal have afhænger af, hvor følsomme de personoplysninger de behandler er.
Det lyder til, at man som dataansvarlig har en betydelig opgave i at kortlægge flowet af personoplysninger og dokumentere, at man overholder forordningen. Umiddelbart lyder det til, at være en urealistisk opgave at pådutte en lille virksomhed?
Bent: Ja, det kan være en stor dokumentationsopgave. Det kan derfor være en god ide at hente eksterne kompetencer ind i virksomheden for at kortlægge virksomhedens behandlinger og sikre compliance. Heldigvis behøver de små virksomheder ikke at bruge lige så mange penge på sikkerhed, som de store virksomheder. Men alle virksomheder skal leve op til dokumentationskravet.
Den dataansvarlige skal føre tilsyn med databehandleren
Den dataansvarlige skal føre et tilstrækkeligt tilsyn med databehandleren. Udbyderne af diverse plugins, moduler og emailsystemer har man typisk ikke en personlig kontakt til. Man har formentligt givet et digitalt tilsagn i forbindelse med installationen, om at du har læst deres terms & conditions. Hvornår er mit tilsyn med, at tjenester som Google Analytics eller Adwords overholder persondataforordningen egentligt tilstrækkelig?
Bent: Hvis du har fundet ud af, at udbyderen er din databehandler, skal du sikre dig, at de har den nødvendige sikkerhed og lever op til reglerne. Det kan, som du siger, være svært at skulle føre tilsyn med en meget stor udbyder. De store virksomheder er selvfølgelig opmærksomme på reglerne og har derfor typisk en standard databehandleraftale, man kan tiltræde. Mht. sikkerheden kan virksomheden have en it-sikkerhedsrevisionserklæring, man kan henvise til. På den måde fører man formelt set kontrol med f.eks en stor virksomhed som Microsoft eller Google.
Egentlig burde man læse deres betingelser grundigt igennem, også hver gang der sker en opdatering af betingelserne. Dette er selvfølgelig en meget stor opgave, og i den virkelige verden har man nok bare tillid til, at de overholder reglerne. Man vil da også typisk blive opmærksom på problemet på anden vis – f.eks. ved at et evt. problem tages op i medierne.
Hvad skal jeg gøre, hvis jeg anvender Facebook som led i min digitale markedsføring og bliver opmærksom på eller er usikker omkring om de lever op til persondataforordningen i tilstrækkelig grad?
Bent: Hvis du mener, Facebook ikke lever op til reglerne, skal du stoppe med at bruge Facebook, i hvert fald mht. den funktion, du mener ikke er i overensstemmelse med reglerne.
Hvordan sikre jeg, at databehandleren lever op til kravene i persondataforordningen?
Det kan for en online marketingmedarbejder eller en virksomhedsejer være vanskeligt, at vurdere om de tags eller plugins, der anvendes på websitet er sikre nok. Eller om der kan ske datalæk, når man anvender remarketing. Hvordan kan man mere praktisk arbejde med kravet om, at man skal sikre at de databehandlerer man anvender har et passende sikkerhedsniveau?
Bent: Udbyderen af et plugin er ikke nødvendigvis din databehandler. Sikkerheden skal dog under alle omstændigheder være i orden, når du bruger et plugin. Jeg kan forestille mig, at hvis man googler det pågældende plugin, kan man sikkert undersøge dets ry. Vælg kun plugins med et godt ry. Hvis du vil være helt sikker, skal du kontakte en it-sikkerhedsrådgiver.
Det påhviler den dataansvarlige, at have en sikker opbevaring af persondata i virksomheden. Mange små virksomheder har ikke interne it-kompetencer til selv at kunne vurdere, hvor sikre deres systemer er. Skal de til at hente specialister i it-sikkerhed ind for at sikre sig, at de kan lever op til deres forpligtelser?
Bent: Jeg vil klart anbefale at få en it-sikkerhedsrådgiver ind og se på virksomhedens it. At have styr på sin sikkerhed er vigtigt for at leve op til forordningens regler. Det behøver ikke at koste alverden. Mange af de små virksomheder er dog ikke villige til dette, og behovet er måske heller ikke lige så stort, og så må de jo gøre deres bedste på egen hånd. Det kræver selvfølgelig, at man sætter sig ind i tingene selv og læser om det. Der er dog også andre grunde end persondataforordningen til at få styr på sin sikkerhed. Det kan blive rasende dyrt, hvis man bliver hacket. Tænk hvis alt data i virksomheden forsvandt – både personoplysninger og andet data! Det vil kunne lægge langt de fleste virksomheder ned.
Hvilke krav stilles til databehandler?
Hvilke krav stilles der til databehandleren og er der forandringer i forhold til tidligere?
Bent: Det nye i persondataforordningen er at databehandleren bliver pålagt mere ansvar. Førhen var det den dataansvarlige, der havde det meste af ansvaret. På nuværende tidspunkt er databehandleren ikke direkte forpligtet til at have et højt sikkerhedsniveau, medmindre der er indgået en databehandleraftale. Af den nye forordning fremgår det, at databehandler er forpligtet til at have et tilstrækkeligt sikkerhedsniveau.
De skal endvidere udarbejde og opbevare dokumentation for alle deres håndteringer af persondata, som de udfører på vegne af kunden – den dataansvarlige. Hoster man eksempelvis en hjemmeside med en webshop på vegne af en anden, er man sandsynligvis databehandler. Man skal derfor skriftligt kunne redegøre over for den dataansvarlige, hvor eksempelvis oplysningerne befinder sig (f.eks. hvilken server de ligger på).
Ophører et samarbejde med en databehandler, skal han kunne slette eller overlevere alle personoplysninger til den dataansvarlige.
Flere af de mest anvendte tjenester som Facebook og Google Analytics er ikke Europæiske virksomheder. Pålægges der de samme krav til dataansvarlige og databehandlere der opererer i EU, men hvor behandlingerne måske finder sted i et land uden for EU?
Bent: Persondataforordningen omfatter både dataansvarlige og -behandlere, der ikke er etableret i EU, hvis de behandler oplysninger om personer i EU. Gratis trackingsystemer, som f.eks. Google Analytics, er dermed også omfattet.
Databehandleraftale
Har man uddelegeret behandlinger af personoplysninger til en databehandler, skal parterne lave en skriftlig databehandleraftale. Det betyder f.eks. at man skal have en aftale med alle de tredjepartssystemer, som man anvender i arbejdet med sin digitale markedsføring eller på sin webshop, hvis der opsamles persondata igennem disse. Hvad skal en sådan aftale indeholde?
Bent: Der er et minimumskrav til, hvad databehandleraftalen skal indeholde, hvilket jeg også redegør nærmere for på vores hjemmeside. Aftalen skal bl.a. indeholde:
- at databehandleren kun må handle inden for den dataansvarliges instruks
- at de personer, der konkret skal foretage behandlingen har tavshedspligt (eller er underlagt dette ved lov)
- passende sikkerhedsforanstaltninger, herunder anmeldelse ved sikkerhedsbrud
- at databehandleren kun benytter sig af underdatabehandlere, når kravene herfor i persondataforordningen er opfyldt
- at databehandleren skal hjælpe den dataansvarlige med at opfylde sine forpligtelser
- at databehandleren sletter eller tilbageleverer oplysninger, når behandlingen er færdig
- at databehandleren stiller dokumentation til rådighed for den dataansvarlige
Anvender databehandleren underleverandører – en såkaldt underdatabehandler – skal der indgås en databehandleraftale med denne – enten mellem den dataansvarlige og underdatabehandleren eller mellem databehandleren og underdatabehandleren, såfremt den dataansvarlige har givet sit samtykke.
Må databehandler lave en standardaftale til alle deres kunder? Man kan jo ikke forestille sig at Facebook og Linkedin vil lave individuelle aftaler med alle.
Man må gerne lave en standardaftale til sine kunder. I det praktiske liv er det ligefrem den eneste måde at gøre det på for de store firmaer som f.eks. Linkedin eller Google. Nogle gange fremgår standardaftalen af standardbetingelserne, andre gange skal man tilvælge databehandleraftalen.
Du kan næste gang se frem til at blive klogere på de grundlæggende behandlingsprincipper i persondataforordningen. Jeg har igen mange spørgsmål. Hvad med princippet om tidsbegrænsning – skal jeg nu til at spamme mine nyhedsbrevsmodtagere med forny dit samtykke emails?
Er du bekymret over at skulle efterleve kravene i den nye persondataforordning, så skriv gerne dine tanker i en kommentar til blogindlægget!
*Vær opmærksom på, at du ikke kan se dit spørgsmål før jeg har godkendt det.
Hej,
En ting jeg stadig er ved at finde ud af som databehandler er, hvor ofte vi faktisk skal indhente sammentykke ved de kunder vi leverer en løsning til.
Hvis man er en virksomhed som levere elektroniske ydelser – det kan være ting så som vedligeholdelse af hjemmesider på konstant basis, udvikling af features, et SEO arbejde på længere basis, konverteringsoptimering, web hosting og lign.
I mange tilfælde vil vi skulle arbejde med kunden enten i form af at have adgang til deres webshops, adgang til koden bag systemet, administerere deres email eller yde support på disse løsninger som i 90% af disse tilfælde kræver vi tilgår informationer der kan eller ikke kan indeholde personlige data (Noget så simpelt som en IP adresse er jo “personlig data” ifølge GDPR).
Skal vi indhente sammentykke ved kunden for hvert enkelt supporthenvendelse, eller kan man gøre det på permanent eller tidsbestemt basis?
Vi er selvfølgelig underlagt tavshedspligt og alt hvad vi ser som leverandører skal jo i den forstand holdes hemmeligt.
Men lad mig give et par eksempler på hvor jeg er i tvivl, især med sammetykke delen:
Webdesign/programmerings virksomhed med store langvarige kunder:
– En driver en virksomhed hvorpå mine projekter kan være mange måneder eller år (forhåbentligt forevigt), som en del af opgaven skal vi udvikle nye funktioner og løse gamle, vi vil også skulle udgive disse – hvilket gør vi kommer til at arbejde med personlig data på daglig basis.
Hvor hyppigt skal vi bede om sammentykke.
SEO/Konverting virksomhed med lange projekter:
– En driver en virksomhed for X stort firma, der er dagligt opgaver hvad angår SEO og konverteringer (tjekke brugeradfærd osv), virksomheden som man laver arbejdet for skal selvfølgelig have styr på reglerne omkring tracking og opsamling af data – men hvad gør vi som leverandør til en virksomhed – skal vi bede om sammentykke per opgave (Måske arbejder vi på 5-6 opgaver om dagen), er det en halvårlig ting, eller et sammentykke der laves for hele perioden et samarbejde eksistere.
Hosting virksomhed:
– En hosting virksomhed som hoster løsninger for mange hundredevis eller tusindevis af mennesker – dette giver virksomheden en stor opgave i form af datasikkerhed, men samtidig er man som hosting udbyder ikke herre over hvad kunderne reelt set ligger på deres webhoteller, eller hvad data de indsamler, eller sikkerheden af kundernes løsninger.
At være hosting virksomhed resultere oftest i en række spørgsmål så som:
– Hvorfor virker mit login ikke, kan du tjekke?
– Hvorfor virker min mail ikke, kan du tjekke?
– Jeg modtager meget spam, kan du tjekke?
– Min side er langsom, har i en idé hvad der er galt?
– Jeg har lavet en fejl, kan i gendanne backup?
.. Forsæt listen af spørgsmål der involvere at skulle læse logs, tilgå email konti, FTP konti, bruger konti, databaser og lign.
Vil man skulle indhente sammentygge for hvert enkelte supportsag, kan man gøre det som en del af perioden de er hosted eller lave en “Så længe du har et produkt hos os acceptere du at vi kan tilgå dine data når der skal hjælpes med support”.
Det kan jo hurtigt blive et en meget dyr fornøjelse at skulle tilbyde support til hundrede eller tusindevis af kunder hvis hver ticket som løses på 2 minutter bliver 10 minutter + 30 minutters ventetid fordi at kunden skal give sammentykke.
Jeg forstår idéen med lovgivningen, tænker over hvordan vi indsamler data og hvad data vi indsamler – det har været beskrevet i mange år hvordan dette gøres – men sammentykke delen skrammer mig hvis vi skal bede om dette konstant fordi det har en stor financiel byrde for virksomheder (og derved kunderne da deres produkter så vil blive betydeligt dyrer).
på forhånd tak.
Hej,
Tak for dit spørgsmål.
Folk har ofte fokus på samtykket – mange tror, at man skal have samtykke til alt, efter forordningen træder i kraft. Dette er ikke tilfældet.
Inden man starter en behandling, skal man have et retligt grundlag. Det retlige grundlag kan være samtykke, men kan også være (såfremt der er tale om almindelige, og ikke følsomme, personoplysninger):
– Behandlingen er nødvendig for at opfylde en kontrakt, hvor den registrerede er part,
– Du er forpligtet efter gældende ret til at foretage behandlingen
– Din legitime interesse i at foretage behandlingen, overstiger den registreredes interesse i, at behandlingen ikke finder sted.
Samtykket er altså bare et blandt flere mulige retlige grundlag. Så lad være med at blive fortvivlet og stirre dig helt blind på samtykket. Særligt den legitime interesse som retsgrundlag er relevant for mange virksomheder. Hvis du fx skal få en webshop til at fungere igen, efter den har været nede, vil den legitime interesse i at reparere webshoppen være et tilstrækkeligt grundlag til at behandle personoplysninger i denne sammenhæng (det kan ligefrem diskuteres, om der i det hele taget er tale om en behandling, når man blot og bart får adgang til personoplysninger i en sådan sammenhæng, men på ingen måde har brug for at anvende personoplysninger for at løse opgaven).
Hvis et samtykke er nødvendigt, er det ligeledes vigtigt at pointere, at det ikke er kunden (virksomheden, du laver løsningen for), du skal indhente samtykke fra, men derimod den registrerede (den, oplysningerne omhandler).
Desuden er det i princippet ikke dig som databehandler, der skal bekymre dig om det retlige grundlag. Det er den dataansvarlige, der skal det. Herefter ”låner” du den dataansvarliges retlige grundlag for behandlingen. Men du er selvfølgelig forpligtet til at hjælpe den dataansvarlige, og du kan derfor alligevel blive nødt til at skulle indhente samtykke på den dataansvarliges vegne.
Et samtykke kan gøres tidsbegrænset, men dette er ikke påkrævet. Et samtykke vil typisk dække hele perioden for en behandling. Melder en kunde sig fx ind i en kundeklub, skal virksomheden ikke indhente et samtykke, hver eneste gang, den slår kundens oplysninger op i kundeklubbens register, eller hver eneste gang, kunden køber noget. Man indhenter derimod fra starten af et samtykke til, at virksomheden må opbevare og bruge kundens oplysninger for at fx give tilbud til kunden og sende nyhedsbreve. Herefter kan virksomheden foretage alle de fornødne behandlinger i denne sammenhæng uden at indhente yderligere samtykke, indtil samtykket trækkes tilbage, eller behandlingen ikke længere er nødvendig (kunden har fx meldt sig ud af kundeklubben – hvilket dog også kan fortolkes som tilbagetrækning af samtykke). Samtykket kan også udstrækkes til at gælde i en periode på fx et år efter, kunden har meldt sig ud af kundeklubben.
Mht. webdesign/programmering, må du gerne uddybe, hvad det helt præcist er for opgaver, du løser, der involverer personoplysninger. Såfremt det går ud på at hoste hjemmesiden, designe dens grafik, implementere den dataansvarliges ønskede funktioner og lægge de personoplysninger op på siden, som den dataansvarlige beder om, er du formentlig databehandler. Det er som udgangspunkt den dataansvarliges opgave at sikre et grundlag for behandlingen. Lægger virksomheden fx billeder af sine ansatte op på hjemmesiden, som du hoster og designer, skal der indhentes et samtykke fra de ansatte. Det er mest nærliggende, at den dataansvarlige indhenter dette samtykke. Når samtykket er indhentet, gælder det, medmindre andet fremgår af samtykket, indtil samtykket trækkes tilbage, eller den ansatte stopper med at være tilknyttet virksomheden. Du ”låner” herefter samtykket til at lægge billedet op på hjemmesiden.
Mht. SEO/Konverting, må du gerne uddybe, hvordan dette foregår praktisk, så kan jeg bedre svare på spørgsmålet. Du skal ikke have samtykke fra virksomheden – såfremt et samtykke er påkrævet, skal det indhentes hos den registrerede, ikke hos virksomheden. Du skal dog selvfølgelig have et aftalegrundlag med virksomheden, hvor I bliver enige om pris osv. – desuden skal I indgå en databehandleraftale, hvis du er databehandler. Databehandleraftalen skal vare lige så længe, som den bagvedliggende aftale (og endnu længere, hvis du de facto behandler personoplysninger i endnu længere tid).
Mht. support i forbindelse med en hosting-løsning, vil det retlige grundlag ofte kunne være en legitim interesse, der overstiger den registreredes interesse i, at behandlingen ikke finder sted. Spørger en ansat i en virksomhed fx, hvorfor hans login ikke virker, kommer du formentlig til at behandle vedkommendes brugernavn og adgangskode, hvilket kan anses som personoplysninger. Dig og den ansattes virksomhed har dog en helt legitim interesse i at tilgå disse oplysninger – og den ansatte har slet ingen interesse i, at behandlingen ikke finder sted. Tværtimod, han anmoder af egen drift om, at behandlingen sker. Derfor er det næppe nødvendigt at indhente et formelt, skriftligt samtykke i en sådan supportsag. Det samme vil være tilfældet i mange andre supportsager.
Jeg vil foreslå, du sætter dig ned og ser på de typiske behandlinger, du laver, og overveje, hvem der er dataansvarlig for behandlingen (dig eller den virksomhed, du er leverandør for), og hvad det retlige grundlag kunne være. Skriv det hele ned. Herefter behøver du ikke at bekymre dig om dette i hverdagen – det skal jo ikke være sådan, at man skal til at finde et grundlag, hver eneste gang, man starter på en opgave. Så er det bedre, man har clearet det hele på forhånd og med sikkerhed ved, at man har ret til at foretage en række typiske behandlinger.
I vores nyhedsbreve vil vi komme ind på det retlige grundlag for en behandling, herunder samtykket og den legitime interesse.
Mvh
Bent Bro Miltersen
Hej Bent,
Du er helt fantastisk! Det gør livet lidt lettere når man sidder som en service virksomhed og samtidig at vide at vi ikke skal indhente samtykke konstant – såfremt vi bare har defineret en række scenarier som du selv beskriver med ting som kan optræde igennem et forløb.
> Mht. webdesign/programmering, må du gerne uddybe, hvad det helt præcist er for opgaver, du løser, der involverer personoplysninger
På større projekter eller specialbygget løsninger vil man oftest skulle rode rundt i databaser ved at udvikle nye funktioner – man kan gøre meget ved at annonymisere dataen i udviklingsfacen, men når alt kommer til alt skal tingene online i sidste ende – dette kan indebære at lave ændringer til kundens database, hvorpå oplysninger kan finde sted – man kan som udviklingsvirksomhed selvfølgelig gøre mange ting for at annonymisere data konstant til brug – men i sidste ende vil dette koste kunden da man pludselig måske skal fakturere X timers arbejde hver uge for så vidt muligt ikke at håndtere personlige data – men i processen vil der minimum være én gang hvor du sidder med de rigtige data alligevel.
Jeg forstår at 2 virksomheder der har et samarbejde kan have en aftale om hvordan data behandles, men hvis en webshop pludselig skifter til en ny leverandør (Som er GDPR compliant), vil kunderne af webshoppen skulle afgive samtykke på ny, eller kan man lave det originale samtykke med kunderne så generelt at: “Vi samarbejder med leverandører som kan sidde med dit data – alle leverandører opfylder persondataforordningen”. Det vil være smart fra webshoppens side, men på den anden side giver det ingen indsigt for kunden hvem der faktisk har deres data (udover hvis de beder om indsigt i det).
> Mht. SEO/Konverting, må du gerne uddybe, hvordan dette foregår praktisk, så kan jeg bedre svare på spørgsmålet
Et eksempel er hvis en webshop ejer hyrer en virkomhed til at lave søgemaskine optimering for en række produkter – her vil webshop ejeren oftest give adgang til ting så som Google Analytics og Google Adwords så “vi” kan opsætte kampagner og kigge på hvordan folk søger på produkter samt give adgang til webshoppen (hvor der jo er oceaner af data tilgængeligt) for f.eks at omskrive produkt beskrivelser – eller i konverteringer hvor man skal kigge på brugeradfærd, hvordan brugere navigere på siden, hvem brugeren er, evt lave en masse remarketing i form af sociale medier eller lign.
Som SEO/Konverteringsvirksomhed er kundedata egentligt ligegyldigt som sådan – men logger man ind i en webshop bliver man oftest presenteret med et “dashboard” hvorpå der vil fremgå en række person data – set fra webshop ejerens side har han jo faktisk givet os adgang til disse data i form af et login – men udfra hvad du skriver, så skyder jeg på at det er webshop ejerens “problem” at informere deres kunder om de arbejder med en tredjeparts SEO/Konvertering/marketings virksomhed?
Jeg takker endnu engang for dit svar – generelt set vil jeg gerne være så transparent overfor kunderne som jeg kan så de er 100% informeret om hvordan ting fungere og hvor deres data ligger, men jeg vil selvfølgelig også gerne undgå at spilde min tid på ting som egentligt ikke har været nødvendige – så det er noget af en lettelse for mig!
Hej,
Undskyld det sene svar.
Hvis du laver strukturelle/tekniske ændringer i en kundes database ved fx at udvikle/forbedre en søgefunktion, og man får adgang til personoplysninger i den sammenhæng, vil jeg for det første tvivle på, der i det hele taget er tale om en behandling af personoplysninger. Dette er dog efter min mening ikke afklaret på nuværende tidspunkt.
Selv hvis der er tale om en behandling, er den dog så banal, at jeg vil mene, man kan bruge virksomhedens legitime interesse i at udvikle deres software overstiger kundens interesse i, at softwareudvikleren får adgang til personoplysningerne.
Skifter en webshop leverandør, som du skriver, behøver man ikke at indhente et nyt samtykke. Samtykket kan fx gå ud på, at webshoppen har lov til at registrere og opbevare kundens kontaktoplysninger, så man ikke skal indtaste de samme oplysninger, hver eneste gang man shopper i webshoppen. Det er i princippet kunden uvedkommende, om webshoppen selv løser denne opgave (opbevaring), de nu har samtykke til, eller om de antager en databehandler til selve opbevaringen af oplysningerne på en server.
Til sidst skriver du om SEO/konvertering. Det er stadig lidt uklart, hvem der gør hvad. Samtidigt er vi i et spændingsfelt mellem persondataforordningen og ePrivacy-direktivet (der kommer en ny ePrivacy-forordning, der skal erstatte ePrivacy-direktivet). EPrivacy-direktivet regulerer installering af cookies på kudens computer. Artikel 29-gruppen (der groft sagt er EU’s datatilsyn) har udtalt, at hvis en handling er omfattet af både persondatareglerne og ePrivacy-direktivet, skal man bruge reglerne i ePrivacy-direktivet (i hvert fald vedr. det retlige grundlag for behandlingen). Såfremt ePrivacy-direktivet finder anvendelse, er det påkrævet at indhente et samtykke fra kunden, når man installerer cookies på deres computer. Dette krav opfyldes på nuværende tidspunkt med de såkaldte cookie-bannere, hver eneste gang man går ind på en ny hjemmeside.
Sådan som jeg læser det, bruger du egentlig ikke personoplysninger til løsningen af din opgave – du ser på brugeradfærden inde på siden i anonymiseret form gennem statistikker. Dette er ikke omfattet af forordningens regler, og webshoppen behøver i så fald ikke informere kunderne om, at de bruger din virksomhed til løsning af denne opgave.