Hvem påvirker GDPR?
EU GDPR gælder ikke kun for organisationer i Europa, men for enhver organisation, der vil behandle og opbevare personlige data for enkeltpersoner i Den Europæiske Union samt EU-borgere, der bor i udlandet. Med andre ord, hvis du planlægger at have kunder fra Europa, skal du være opmærksom.
Hvad sker der, hvis du ikke overholder?
GDPR vil blive håndhævet fra den 25. maj 2018. Sanktionerne for manglende overholdelse er betydelige.
- Bøder kan pålægges op til 4% af den årlige globale omsætning eller 20 millioner Euro, alt efter hvad der er størst.
- Enkeltpersoner vil have ret til at søge erstatning for skader, herunder tab af kontrol over personlige data eller begrænsning af rettigheder, diskrimination, økonomisk tab, skade på omdømme eller tab af fortrolighed af personlige data beskyttet af professionel tavshed.
- Enkeltpersoner kan vælge at søge handling mod enten dataansvarlige, databehandleren eller begge, og muligvis enhver i forsyningskæden.
Hvad er dine muligheder?
Hvis du ejer eller driver en ecommerce-virksomhed, er dine muligheder utilstrækkelige. Der er reelt kun to muligheder.
Mulighed 1 - Omfavn det (God idé!)
En ven sagde engang til mig: “hvis du ikke ved, hvilken retning du går, er du allerede fortabt.” Jeg mener, dette gælder især for EU GDPR. Der er meget at lære, og der er stadig mere, der skal afklares. Men at opnå EU GDPR-berettigelse begynder med en beslutning om at overholde. Vurder din situation og identificer områder, hvor du ikke er i overensstemmelse. Du kan derefter etablere en strategi for at minimere dit ansvar.
Mulighed 2 - Sælg ikke til Europa eller deres borgere (Dårlig idé!)
Hvis du ikke ønsker at overholde EU GDPR, anbefaler vi kraftigt, at du ikke planlægger at gøre forretninger med nogen fra Europa. Husk venligst, at disse europæiske enkeltpersoner kan bo i udlandet. At begrænse din ecommerce-virksomhed til USA's grænser sikrer ikke din overholdelse. Risikoen for manglende overholdelse er betydelig og kan beskrives som “ved straf for overtrædelse.” Manglende overholdelse er en mulighed, men det anbefales ikke.
5 nøgleområder i forordningen
EU GDPR-berettigelse involverer at blive fortrolig med fem nøgleområder i forordningen - samtykke, individuelle rettigheder, politikker og ansvarlighed.
1. Legitim interesse
Artikel 6 i GDPR-forordningen angiver, at en datainsamler kun lovligt kan behandle data, hvis den har legitim interesse eller samtykke. At bestemme, om du har en legitim interesse, kræver en “omhyggelig vurdering” af forventningerne og konteksten for de data, du indsamler.
Det er fristende at bruge en bred fortolkning af legitim interesse for at omgå behovet for samtykke. Vi fraråder at bruge en åben fortolkning af legitim interesse som en måde at retfærdiggøre indsamling af data. GDPR giver nogle eksempler, såsom behandling af personlige data for at forhindre svindel, interne administrative formål vedrørende medarbejdere og kunder, sikre netværkssikkerhed og rapportere mulige kriminelle handlinger eller trusler mod offentlig sikkerhed.
Der er stadig et grå område omkring legitim interesse, og definitionen vil blive mere tydelig over tid. Den kortsigtede anbefaling er at vænne sig til at spørge: “kan det samme mål opnås uden behandling af personlige data?” Hvis svaret er ja, så er den bedste praksis at bevæge sig væk fra legitim interesse som grundlag for behandling af data; du bør indhente samtykke.
2. Samtykke
Der er ikke længere noget passivt samtykke. Du skal angive, hvad du vil bruge dataene til. Her er to eksempler på, hvordan man anmoder om samtykke.
3. Individuelle rettigheder
Under GDPR har den enkelte ret til at blive glemt. For eksempel, hvis de har givet samtykke til brugen af dataene til markedsføringsformål, har de ret til at bede dig om at “glemme dem”. Nye rettigheder er blevet indført omkring adgang til data, indsigelse mod behandling, dataportabilitet og indsigelse mod profilering, blandt andre.
4. Politikker
Artikel 13 i forordningen giver 12 nøgleområder, som du skal informere din forbruger om i clear sprog, ikke juridisk sprog. Udvikl en standard privatlivspolitik, der informerer dine kunder om, hvordan du håndterer deres data.
Det er påkrævet at have en udpeget kontaktperson samt kontaktoplysninger for din organisation i privatlivspolitikken.
5. Ansvarlighed
Uddan dine medarbejdere og giv dem de værktøjer, der kan hjælpe med at drive ansvarlighed i hele din virksomhed, ikke kun for denne forordning, men for alle personlige data, du modtager. Databeskyttelse er et ansvar for hele organisationen. Enhver, der kommer i kontakt med data, skal være opmærksom på konsekvenserne og sanktionerne for manglende overholdelse.
Zonos, lederen inden for teknologi til grænseoverskridende ecommerce, vil fortsætte med at lede og guide handlende gennem udfordringen med at sælge deres produkter til verden. Vi vil fortsætte med at levere FAQs og dokumenteksempler, der viser interne privatlivspolitikker og processer, som du kan adoptere. Vi vil dele interne træningsdokumenter, som du kan bruge med dit team. Zonos tager databeskyttelse alvorligt og er forpligtet til EU GDPR-berettigelse. Flere detaljer vil komme regelmæssigt.
Hvorfor skal du bekymre dig om GDPR?
Overalt hvor du kigger i ecommerce, vil du se nogen diskutere EU GDPR eller den Europæiske Unions Generelle Databeskyttelsesforordning. Der er en række oplysninger, fra tekniske artikler til spekulationer på sociale medier. Vi vil alle gerne vide, hvordan det vil påvirke os. Hvilke ændringer, hvis nogen, skal jeg foretage? Hvad betyder det egentlig?
I denne artikel vil vi hurtigt se på EU GDPR - hvad det er, hvordan vi kan forberede os, og hvordan det kan påvirke en online virksomhed.