Er nettsiden eller nettbutikken «GDPR godkjent»?

GDPR trådte i kraft 1.juli 2018 i Norge. Er nettsiden og nettbutikken din «GDPR klar»?

Husk å signere databehandleravtale med leverandør din. Avtalen sikrer opplysningene du er ansvarlig for, og som leverandøren har tilgang gjennom leveranse av digitale tjenester.

Les våre tips om hvordan du bør få nettsiden eller nettbutikken din «GDPR-klar».

1. Personvernsærklæring på nettsiden

Personvernerklæringen er en beskrivelse av hvordan virksomheten behandler personopplysningene. Personvernerklæringen bør legges ut som eget dokument på nettsidene og være tilgjengelig uten at man trenger å handle noe eller akseptere noe. Alle nettsider bør ha personvernerklæring fra 1. juli 2018. Les EasyWeb Norges personvernerklæring her.

Personvernerklæringen har en del standard innhold men den må tilpasses hver enkelt virksomhet. Vi anbefaler å benytte et enkelt språk. Nedenfor er en oversikt over de tingene som skal være med i erklæringen.

Hvem er behandlingsansvarlig?
Dette kan være en person eller en virksomhet med utgangspunkt i hvem som bestemmer formålet og hvordan opplysningene behandle.

Hva er formålet?
Forklar formålet med behandlingen av personopplysningene, det vil si hvorfor opplysningene behandles.

Hva er det rettslige grunnlaget?
Oppgi hva som er behandlingsgrunnlaget for hver enkelt behandling, det vil si virksomhetens hjemmel for å behandle personopplysningene

Hvilke personopplysninger behandles?
Gi en beskrivelse av hvilke typer personopplysninger som samles i

Hvor hentes opplysningene fra?
Gi informasjon om hvor personopplysningene hentes fra. Fra den registrerte selv eller fra tredjepart.

Er det frivillig å gi fra seg opplysningene?
Hvis opplysningene hentes direkte fra den registrerte, må virksomheten opplyse om det er frivillig for vedkommende å oppgi personopplysningene.

Utleveres opplysningene til tredjeparter?
Opplys hvilke type opplysninger som utleveres og hvilke tredjeparter som er mottakere, dersom opplysningene utleveres til andre. Her må man opplyse om eventuelle databehandlere

Hvordan slettes og arkiveres opplysningene?
Beskriv hvilke rutiner virksomheten har for å slette og arkivere personopplysningene.

Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder?
Beskriv hvilke rettigheter og plikter allmennheten og den registrerte har etter personopplysningsloven. Dette gjelder retten til innsyn i egne personopplysninger, samt krav om retting eller sletting av mangelfulle eller uriktige opplysninger. Det bør komme tydelig frem hvilket lands lovverk som gjelder.

Hvordan sikres opplysningene?
Beskriv hvilke sikringstiltak virksomheten har ved behandling av personopplysningene, så langt åpenhet om dette ikke svekker sikkerheten.

Kontaktinformasjon
Oppgi kontaktinformasjon og eventuelt skjema for innsyn, retting eller sletting, slik at brukeren enkelt kan ta kontakt ved behov

2. Informasjon om bruk av cookies

Det bør informeres tydelig om at nettstedet bruker cookies. Vi anbefaler en egen side hvor alle cookies som brukes på siden er listet. Se EasyWeb Norges side om cookies her.

Eksempel på tekst i en pop-up løsning:

«Vi bruker informasjonskapsler for å gi innhold og annonser et personlig preg og for å analysere trafikken vår. Vi deler informasjon om hvordan du bruker nettstedet vår med partnerne innen sosiale medier, annonsering og analysearbeid. Dette kombineres med annen informasjon de har samlet inn gjennom din bruk av tjenestene deres. Du godtar automatisk vår bruk av informasjonskapsler ved å bruke nettstedet vårt.»

Vi anbefaler gratistjenesten fra cookiebot.com. Vi hjelper deg gjerne å integrere tjenesten hvis ønskelig.

3. Aktivt og eget samtykke til lagring av opplysninger i alle skjemaer

Vi anbefaler aktivt eget samtykke ved behandling av personsopplysninger ved innsendelse av alle typer skjemaer som kan knyttes til en person.

Eksempel:

«Ja, jeg samtykker til at XXX AS kan lagre og behandle opplysningene i skjemaet. Les vår personvernerklæring»

Se eksempel på våre nettsider: Kontakt oss skjema og leadsskjema («Be om tilbud»).

4. Aktivt og eget samtykke for bruk av lagrede opplysninger i markedsføring

For å kunne sende elektronisk markedsføring til privatpersoner må man ha samtykke etter markedsføringsloven §15. Det stilles krav til at samtykke skal være «frivillig, uttrykkelig og informert». Dette betyr i praksis at kunden må avgi sitt samtykke når han/hun er på nettsiden.

Vi anbefaler et Aktivt eget samtykke til å bruke opplysningene i markedsføring.

I tillegg anbefaler vi at «Opt-in» er aktivert på tjenester for registrering av e-postadresse eller telefonnummer. Det vil si at personen må verifisere og bekrefte informasjonen før den er registrert.

Eksempel:

«Ja, jeg ønsker å markedsføring og annen nytting informasjon pr e-post og/eller telefon fra XXX AS. Dersom jeg ikke lenger ønsker å motta slike henvendelser, kan jeg når som helst melde meg av. Les om våre vilkår for sms og nyhetsbrev»

Se eksempel for vår nyhetsbrev registrering her.

5. Nyhetsbrev og SMS registering

Vi anbefaler at «Opt-in» er aktivert på tjenester for registrering av e-postadresse eller telefonnummer. Det vil si at personen må verifisere og bekrefte informasjonen før den er registrert.

I tillegg anbefaler vi en egen «vilkårsside» for nyhetsbrev eller sms hvor det står litt om hva og hvor ofte du kan forvente deg informasjon.

Eksempel:

«Ja, jeg ønsker å markedsføring og annen nytting informasjon pr e-post og/eller telefon fra XXX AS. Dersom jeg ikke lenger ønsker å motta slike henvendelser, kan jeg når som helst melde meg av. Les om våre vilkår for sms og nyhetsbrev»

Se eksempel for vår nyhetsbrev registrering her.

6. Netthandel

Informer i personvernerklæring om hva du lagrer av personopplysninger i forbindelse med handel. Navn, adresse informasjon, e-postadresse, telefonnummer, betalingsopplysninger (ofte via tredjepart) etc.

Knytt/link selskapets personvernerklæring inn i nettbutikkens salgsbetingelser som må aksepteres ved kjøp.

Rådfør deg gjerne med en juridisk kyndig.

7. Facebook Pixel, Google Analytics og Google Remarketing

Denne type informasjon bør informeres om under cookies.

Google Analytics

Informer om at du bruker Google Analytics.

«Vi bruker analyseverktøyet Google Analytics til å innhente informasjon om hvordan nettsiden blir brukt. Informasjonen kan ikke knyttes til deg som person da Google Analytics sørger for at IP-adressen anonymiseres.»

Facebook og Google

Samtykke administreres hos tredjepart. Informer om hvordan brukeren kan administrere sine innstiillinger via linkene under.

Google Ads innstillinger

Facebook Ads innstillinger

8. Gjelder GDPR for personlige opplysninger i B2B handel?

Det enkle svaret er ja.

All behandling av opplysninger som kan knyttet til en bestemt person er underlagt GDPR regelverket. Rådfør deg med en juridisk kyndig.