page contents
  • +45 4817 6666
  • Send email
  • Del
  • Step by Step til Privacy Policy

    Denne skrivelse har udelukkende til formål at belyse, hvordan man kommer i gang med implementering af Persondataforordningen til og med at kunne skrive sin Privacy Policy, nogle elementer der beskrives, kan være generelt dækkende for hele virksomheden, men det skal understreges, at det ikke på nogen måde er udtømmende.

     

    Ansvarsfraskrivelse

     

    Oplysningerne i dette dokument er til generel vejledning i forhold til emnet.

    • Lovens anvendelse og indflydelse kan variere meget ud fra de specifikke forhold for den enkelte virksomhed.
    • Oplysningerne bør ikke bruges som erstatning for konsultation med professionelle juridiske eller andre kompetente rådgivere.
    • Inden I træffer nogen beslutning eller foretager nogen handling, bør I konsultere en professionel juridisk rådgiver.
    • Denne skrivelse er baseret på vores synspunkter og fortolkning af persondataforordningen, og baseret på vores arbejde med vores rådgivere.
    image

    1. Definer hvilken type data I indsamler til hvilket formål, samt hvor lang tid I vil gemme hvilken data

    F.eks. IP-adresse, der registreres når der kommer en besøgende på hjemmesiden, formålet er statistik.
    Eller navn, adresse, e-mail, telefonnummer og betalingsoplysninger opsamles i webshoppen i forbindelse med gennemførsel af køb. Formålet er at kunne gennemføre transaktionen og sende varen til kunden.
    Mailformular(er), nyhedsbreve, downloads etc.

     

    2. Definer hvem der har adgang til den data I indsamler

    Vores webhotel har adgang til alle data der går gennem websitet, Webhotellet er Firma A (Læs deres Privacy Policy igennem og skriv linket ind i dokumentet) og på samme måde med jeres webbureau.

    I vores webshop sender vi varerne afsted med Firma B og med Firma C, der modtager navn og adresse. Formålet er, at de kan levere varen. (Læs deres Privacy Policy igennem og skriv linket ind i dokumentet). Og på samme måde jeres evt. nyhedsbrevslister (Mailchimp), Google Tag Manager/Google Analytics, CRM system og/eller ERP system. Listen er ikke udtømmende.

    3. Gennemgå alle de steder I lægger jeres data

    Gennemgå alle de steder I lægger jeres data, og undersøg om det ligger indenfor EU’s grænser. Det er ikke et krav ifølge persondata forordningen, EU lavet en Whitelist af lande, og de lande der ikke er på den whitelist (f.eks. USA), gælder der særlige regler. Det er med andre ord lettere at administrere, hvis ens databahandlere (dem I deler data med) opbevarer data i EU.

     

    4. Lav en liste over Cookies

    Lav en liste over alle de Cookies I anvender opdelt efter funktionstype, f.eks. nødvendige, præferencer, statistik, marketing osv.

    Se dette som et eksempel:


    Navn

    Udbyder

    Formål

    Udløb

    Type

    _ga

    google-analytics.com

    B bruges til at skelne brugere fra hinanden og samle statistik over deres brug af hjemmesiden.

    2 År

    Pixel

    VISITOR_INFO1_LIVE

    youtube.com

    Bruges til at måle den besøgendes båndbredde på sider med YouTube-video.

    8 mdr.

    HTTP

     
    Personas

    5. Lav en risikovurdering af dem I deler data med, defineret under punkt 2.

    F.eks. vores ene fragtfirma Firma B har følgende data til rådighed; dato, navn og en adresse samt os som afsender. Lav en vurdering af, hvor stor/lille I betragter risikoen for datalæk, herunder indgår også i hvilket land data opbevares, og hvis det f.eks. er i USA, hvilke foranstaltninger der er truffet desangående.

     

    6.  Lave en procedure for kompromitteret data

    Lave en procedure for, hvad I vil gøre, hvis data I er ansvarlige for kompromitteres eller mistænkes kompromitteret. 

     

    7. Databehandleraftale

    Databehandleraftaler skal indgås med alle dem I deler data med, I har nemlig ansvaret for den personhenførbare data I deler med andre – se punkt 2.

     

    8. Lave en procedure for anonymisering

    Lav en procedure for, hvad der skal gøres af hvem, hvis en besøgende eller webshopkunde henvender sig for at blive anonymiseret eller slettet.

     

    9. Privacy Policy til hjemmesiden kan I nu skrive

    1. Den eller de domæner som det gælder for, og hvis der er nogle det ikke gælder for.
    2. Hvilke data indsamles med hvilket formål og med hvem deles hvad.
    3. Hvilket webhotel anvendes og i hvilket land ligger data fysisk.
    4. Sikkerhed på websitet. Anvendes der f.eks. SSL.
    5. Hvem er eksterne databehandlere (link til deres privacy Policy)
    6. Hvor lang tid gemmes data.
    7. Hvad gør I, hvis data I er ansvarlige for kompromitteres eller mistænkes kompromitteret.
    8. Hvem er Datacontroller, det vil sige, firmanavn, adresse, tlf. mail, CVR nr. og hvis der anvendes bi-navne skal disse også oplyses.
    9. Rettigheder. Hvordan forholder man sig, hvis man vil have adgang til sine data eller vil benytte sin ret til at blive glemt.
    GÅ TILBAGE TIL OVERSIGT OM GDPR