I takt med, at verden bliver mere og mere afhængig af digitale produkter og tjenester, er databeskyttelse i stigende grad blevet en topprioritet for mange lande og regioner. Som følge heraf har mange regioner indført håndfaste regler om databeskyttelse, som virksomhederne forventes at overholde.
I de fleste tilfælde kan manglende overholdelse af disse regler medføre store økonomiske konsekvenser samt betydelig og varig skade på jeres omdømme. Det er derfor vigtigt at sikre, at jeres virksomhed opfylder de retlige forpligtelser.
I langt de fleste jurisdiktioner skal du, hvis du behandler personoplysninger, offentliggøre oplysninger om dine databehandlingsaktiviteter via en omfattende privatlivspolitik, sikre, at der er iværksat effektive sikkerhedsforanstaltninger til beskyttelse af personoplysninger, og implementere metoder til at modtage brugernes samtykke eller gøre det let for brugerne at trække samtykket tilbage.
Disse oplysninger om beskyttelse af personoplysninger skal være opdaterede, forståelige, utvetydige og let tilgængelige på hele webstedet eller i appen. Visse krav kan variere alt efter behandlingsaktivitet, region, brugerens alder eller virksomhedstype. Det er derfor værd at bemærke, at du ud over de generelle ting, der er anført her, kan have yderligere forpligtelser i henhold til den lokale lovgivning. Du kan læse flere specifikke oplysninger i afsnittene nedenfor.
Generelt skal brugerne informeres om:
Du kan derudover være ansvarlig for at foretage yderligere videregivelse af oplysninger til brugere, tredjeparter og tilsynsmyndigheden, afhængigt af din lokale lovgivning.
Et eksempel på en sådan lovgivning er California Consumer Privacy Act (CCPA). I henhold til CCPA skal brugerne især informeres om muligheden for, at deres data kan blive solgt (“solgt” kan her forstås som “delt med tredjeparter med henblik på økonomisk fortjeneste eller fortjeneste på anden vis”). Oplysningen skal være synlig på webstedet og skal indeholde et link til fravalg (DNSMPI). Du kan læse mere om overholdelse af CCPA her.
Samtykket henviser her til en persons informerede frivillige samtykke til at deltage i en bestemt begivenhed eller proces.
Generelt set skal brugerne kunne afslå, tilbagekalde eller give (afhængigt af den regionale lovgivning) samtykke. Samtykke kan opnås ved brug af en metode, der kræver, at brugeren foretager en direkte og verificerbar bekræftende handling; det kan f.eks. være afkrydsningsfelter, tekstfelter, til-/fraknapper, afsendelse af en e-mail som bekræftelse osv.
Generelt gælder lovgivningen i en bestemt region, hvis:
Det betyder i praksis, at regionale bestemmelser kan være gældende for dig og/eller din virksomhed, uanset om virksomheden er beliggende i regionen eller ej. Derfor anbefales det altid, at du ser på dine databehandlingsaktiviteter med de strengeste gældende regler i tankerne. Du kan læse mere om, hvilke love der gælder for dig, her.
I USA findes der ikke et enkelt omfattende nationalt regelsæt for databeskyttelse; der findes dog forskellige love på delstatsniveau samt retningslinjer for branchen og specifikke føderale love. Da aktiviteten på et online websted/i en app sjældent er begrænset til kun én stat, er det altid bedst at overholde de strengeste gældende regler. Med dette in mente har Californien gennemført en meget håndfast databeskyttelseslovgivning. California Online Privacy Protection Act (CalOPPA), der blev gennemført i 2004, var den første lov i Californien, der gjorde privatlivspolitikker obligatoriske, og den gælder for personer eller virksomheder, hvis websted/app behandler personoplysninger om indbyggere i Californien.
Ud over de generelt krævede oplysninger ovenfor kræver CalOPPA også, at du:
I forhold til samtykke kræver amerikansk lovgivning generelt, at man giver brugerne en klar mulighed for at trække deres samtykke tilbage (“opt-out”). Der gælder dog andre regler i tilfælde, hvor der er tale om “følsomme oplysninger” (f.eks. helbredsoplysninger, kreditvurderinger, elevoplysninger, personoplysninger om børn under 13 år). I sådanne tilfælde skal der være tale om en verificerbar “opt-in”-handling, f.eks. ved at sætte kryds i en boks eller en anden bekræftende handling.
Hvis tjenesten bevidst indsamler, bruger eller videregiver personoplysninger fra børn under 13 år, gælder der særlige regler for disse databehandlingsaktiviteter.
Children’s Online Privacy Protection Act (COPPA) er en amerikansk forbundslov, der er indført for bedre at beskytte personoplysninger og rettigheder for børn under 13 år.
I henhold til denne lov skal du, hvis du driver et websted eller en onlinetjeneste, der er rettet mod børn under 13 år, eller hvis du har reel viden om, at der indsamles personoplysninger fra børn under 13 år, give besked herom til forældrene og få deres verificerbare samtykke, før du indsamler, bruger eller videregiver oplysningerne, og du skal opbevare de indsamlede oplysninger på sikker vis.
“Verificerbar” betyder her, at der skal anvendes en metode til at opnå samtykke, som det ikke er let for et barn at forfalske, og hvor det er påviseligt sandsynligt, at det er givet af en voksen (f.eks. kontrol af en form for officielt udstedt id-kort i en relevant database).
“Personoplysninger” i denne sammenhæng henviser til barnets:
💡 Få mere at vide om lovkrav vedrørende børn og COPPA.
I EU blev den generelle databeskyttelsesforordning (GDPR) indført i et forsøg på at centralisere databeskyttelsen for mennesker i EU, og den blev gennemført fuldt ud i maj 2018. I sin mest grundlæggende form angiver den, hvordan personoplysninger behandles på lovlig vis (herunder hvordan de indsamles, bruges, beskyttes eller interageres med generelt).
GDPR kan finde anvendelse i følgende tilfælde:
Dette anvendelsesområde omfatter næsten alle virksomheder og betyder derfor, at GDPR kan gælde for dig, uanset om din organisation er baseret i EU eller ej.
Bemærk: Beskyttelsen i henhold til GDPR gælder også for brugere uden for EU, hvis den dataansvarlige er baseret i EU. Hvis du er en dataansvarlig, der er baseret i EU, skal du derfor som udgangspunkt anvende GDPR-standarderne for ALLE dine brugere.
Betingelserne for anvendelse af GDPR er fastlagt ud fra både et materielt og et territorialt udgangspunkt. For at afgøre, om en specifik behandlingsaktivitet er undtaget fra anvendelsen af GDPR, skal vi se på begge aspekter.
GDPR gælder for behandlingen af personoplysninger. Den gælder derfor ikke for virksomhedsoplysninger, f.eks. firmanavn og adresse. Vær dog opmærksom her, for normalt arbejder “fysiske personer” i en virksomhed, og alle oplysninger, der henviser til dem, vil derfor blive betragtet som “personoplysninger”, uanset om de behandles i en Business to Customer (B2C)- eller en Business to Business (B2B)-kontekst.
Der er flere andre tilfælde, hvor personoplysninger ikke falder ind under GDPR’s anvendelsesområde, herunder hvis de behandles af en fysisk person til rent personlige eller familiemæssige formål. Du kan læse mere om dette i den særlige vejledning her.
Ud over og uanset ovenstående har vi allerede nævnt, på hvilke betingelser GDPR finder anvendelse. For at en behandlingsaktivitet ikke skal være omfattet af GDPR ud fra et territorialt synspunkt, skal følgende derfor være gældende kumulativt:
Se eksempler i den særlige vejledning her.
View live demos and have your questions answered in real time by attending one of our free English webinars. They are all practical and designed to really help you with understanding and achieving compliance for your websites or apps.
Attend our free webinarsGenerelt kræves det i henhold til GDPR, at du:
Har et lovligt grundlag. Det kræves i henhold til GDPR, at du har mindst ét lovligt grundlag for at behandle brugeroplysninger. Der er seks lovlige grundlag, som er beskrevet i GDPR.
Indhent verificerbart samtykke. I henhold til GDPR er samtykke et af flere juridiske/lovlige grundlag for behandling af brugeroplysninger, og som sådan skal det være “frit givet, specifikt, informeret og utvetydigt”. Det betyder, at mekanismen til indhentning af samtykke skal være utvetydig og omfatte en tydelig “opt-in”-handling (forordningen forbyder specifikt afkrydsningsbokse og lignende “opt-out”-mekanismer).
GDPR giver også brugerne en specifik ret til at trække deres samtykke tilbage, og derfor skal det være lige så nemt at trække et samtykke tilbage som at give det. Da samtykke er så centralt et element i GDPR, er det afgørende, at du dokumenterer og opbevarer tydelige fortegnelser i forbindelse med samtykket.
Registreringen af samtykke bør som minimum indeholde følgende oplysninger:
Samtykke er ikke den ENESTE grund til, at en organisation kan behandle brugeroplysninger; det er kun et af “retsgrundlagene”, og derfor kan virksomheder anvende andre lovlige grundlag for behandling af personoplysninger (inden for GDPR’s anvendelsesområde). Når det er sagt, vil der altid være databehandlingsaktiviteter, hvor samtykke er den eneste eller den bedste mulighed.
Mange databeskyttelsesmyndigheder i EU har skærpet deres krav og tilpasset deres regler om cookies og trackere til kravene i GDPR. Mere specifikt kræves det, at du registrerer og gemmer dokumentation for dine brugeres præferencer.
Loggen for cookie- og samtykkeindstillinger er nu tilgængelig i vores Privacy Controls and Cookie Solution. Klik her for at få flere oplysninger om, hvordan du aktiverer loggen for cookie- og samtykkeindstillinger i din Privacy Controls and Cookie Solution.
I henhold til GDPR har brugerne visse lovbestemte rettigheder i forhold til deres data. Ikke alene skal du som dataansvarlig overholde disse rettigheder, men du skal også informere brugerne om dem. Disse rettigheder omfatter:
Opfyldelse af specifikke krav, hvis du overfører data til lande uden for EØS. GDPR tillader kun overførsler af data fra EU-borgere til steder uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), hvis det er i overensstemmelse med de fastsatte betingelser.
Indførelse af privacy by design og privacy by default. I henhold til GDPR skal databeskyttelse indgå fra starten af design og udvikling af forretningsprocesser og infrastruktur.
Offentliggørelse af sikkerhedsbrud. I henhold til GDPR er du forpligtet til at informere tilsynsmyndigheden om sikkerhedsbrud, der involverer brugeroplysninger, inden for 72 timer efter, at du har fået kendskab dertil. I mange tilfælde er du også forpligtet til at informere de berørte brugere.
Udpege en DPO (hvis visse betingelser er opfyldt). I visse tilfælde kan det være nødvendigt at udpege en databeskyttelsesansvarlig (DPO), som har til opgave at føre tilsyn med alle behandlingsaktiviteter samt overholdelse af gældende lovgivning. De tilfælde, hvor der skal udpeges en DPO, omfatter situationer, hvor der sker omfattende, systematisk behandling af brugeroplysninger, og hvor der behandles særlige kategorier af oplysninger (dvs. følsomme oplysninger).
Føre fortegnelser over behandlingsaktiviteter. Som det fremgår af artikel 30 i GDPR, kræver GDPR, at du skal føre og vedligeholde “fuldstændige og omfattende” ajourførte optegnelser over de særlige databehandlingsaktiviteter. Der kræves udtrykkeligt fuldstændige og omfattende fortegnelser over behandlingen i tilfælde, hvor dine databehandlingsaktiviteter ikke er lejlighedsvise, hvor de kan medføre en risiko for andres rettigheder og frihedsrettigheder, hvor de involverer håndtering af “særlige kategorier af personoplysninger”, eller hvor din organisation har mere end 250 ansatte – dette omfatter i praksis næsten alle dataansvarlige og databehandlere. Men selv hvis dine behandlingsaktiviteter på en eller anden måde falder uden for disse situationer, er det nødvendigt, at du i henhold til dine oplysningspligter over for brugerne fører grundlæggende fortegnelser over, hvilke oplysninger du indsamler, formålet med dem, alle parter, der er involveret i behandlingen, og dataopbevaringsperioden – dette er obligatorisk for alle. Læs mere om, hvordan du kan føre overensstemmende registre for dataansvarlige og databehandlere i vores GDPR-vejledning.
Foretage en konsekvensanalyse af databeskyttelsen (DPIA) (hvis visse betingelser er opfyldt). I tilfælde, hvor databehandlingsaktiviteten sandsynligvis vil medføre en høj risiko for brugerne, kræves det i henhold til GDPR, at der foretages en konsekvensanalyse vedrørende databeskyttelse (DPIA).
💡 Du kan læse mere om GDPR her.
Da brugen af cookies både betyder behandling af brugeroplysninger og installation af filer, der kan bruges til sporing, er det et bekymringspunkt i forhold til brugernes rettigheder til beskyttelse af personoplysninger. e-databeskyttelsesdirektivet (eller e-Privacy-direktivet) blev gennemført for at løse dette problem.
I henhold til e-Privacy-direktivet skal organisationer, der henvender sig til brugere fra EU, informere brugerne om dataindsamlingsaktiviteter og give dem mulighed for at vælge at give tilladelse til det eller ej. Det betyder, at hvis dit websted/din app (eller en eventuel tredjepartstjeneste, der bruges af dit websted/din app) bruger cookies, skal du først indhente gyldigt samtykke, før du installerer disse cookies, undtagen hvis disse cookies falder ind under kategorien af cookies, der er undtaget.
💡 Hvis du vil vide mere om, hvilke EU-regler for samtykke til cookies, der gælder for hvert enkelt land, kan du se vores oversigt over cookiesamtykke her.
I praksis skal du vise et banner ved brugerens første besøg, implementere en cookiepolitik, der indeholder alle de nødvendige oplysninger, og informere brugerne om, hvordan de kan nægte behandling (eller trække deres samtykke til behandling tilbage). Der må ikke installeres cookies – bortset fra cookies, der er undtaget – før der er givet et informeret og udtrykkeligt samtykke.
Som nævnt ovenfor er “samtykke” et af de seks retsgrundlag, der er fastlagt i henhold til GDPR, og det skal tilkendegives og dokumenteres på meget specifikke måder for at være gyldigt.
Spørgsmålet er: Skal du behandle samtykke til brug af cookies på samme måde som det “almindelige” samtykke til specifikke databehandlingsaktiviteter, f.eks. udsendelse af nyhedsbreve?
Hvis svaret var “ja”, ville det betyde, at du skulle overholde alle de omfattende krav til gyldigheden af samtykke, selv når du placerer cookies, men på nuværende tidspunkt er de fleste eksperter enige om, at dette ville være både umuligt at gennemføre og ikke er det, EU-lovgiveren har haft til hensigt. Derfor anses de forenklede krav om samtykke i e-databeskyttelsesdirektivet stadig for primært at gælde i forhold til placering af cookies, hvilket i høj grad skyldes bestemmelsen i artikel 95 i GDPR. Vær dog opmærksom på, at dette er et meget omdiskuteret emne. Denne udfordring vil først blive løst, når den planlagte e-databeskyttelsesforordning, som i øjeblikket stadig er under udarbejdelse, er vedtaget.
Banneret skal:
Cookiepolitikken skal:
I overensstemmelse med de generelle principper i databeskyttelseslovgivningen, som forhindrer behandling uden samtykke, tillader cookielovgivningen ikke installation af cookies, før brugeren har givet sit samtykke. I praksis betyder det, at du kan være nødt til at anvende en form for scriptblokering, før brugeren giver sit samtykke.
Afhængigt af den lokale myndighed kan disse handlinger omfatte fortsat søgning, klik på links eller scrolling på siden. I mange tilfælde kan det at klikke på “ok”, lukke banneret eller fortsætte med at navigere på et websted, der installerer cookies, betragtes som et aktivt samtykke til placering af cookies – forudsat at brugerne tidligere er blevet klart og tydeligt informeret om denne konsekvens.
Visse cookies er undtaget fra kravet om samtykke og er derfor ikke omfattet af forebyggende blokering (selv om du stadig skal informere brugerne om din brug af cookies – se boksen med advarsler nedenfor). Undtagelserne er som følger:
*Denne undtagelse gælder muligvis ikke for alle regioner og er derfor med forbehold af specifikke lokale bestemmelser.
Undtagelsen fra kravet om samtykke gælder kun tydeligt for tekniske cookies uden sporing, der er strengt nødvendige for, at de tjenester, som brugeren udtrykkeligt har anmodet om, kan fungere.
Et konkret eksempel på dette er et e-handelswebsted, der giver brugerne mulighed for at “beholde” varer i deres indkøbskurv, mens de bruger webstedet eller i en sessions varighed. I dette scenarie er de tekniske cookies nødvendige for, at købsprocessen fungerer, og brugeren anmodes udtrykkeligt om at acceptere dem, når vedkommende angiver, at han/hun ønsker at lægge varen i indkøbskurven. Bemærk dog, at disse sessionsbaserede tekniske cookies ikke er sporingscookies.
Andre eksempler på disse tekniske cookies er brugercentrerede sessionsbaserede cookies, der bruges til at opdage misbrug af autentificering, sessionscookies til belastningsudligning og sessionscookies til multimedieafspillere, der er relateret til og nødvendige for levering af de tjenester, som brugeren har anmodet om.
Betyder det så, at jeg ikke behøver at have et cookiebanner i sådanne tilfælde?
For det første er det vigtigt at bemærke, at selv når denne undtagelse fra kravet om samtykke gælder, skal du stadig informere brugeren om din brug af cookies via en cookiepolitik.Banneret er ikke nødvendigvis påkrævet i dette specifikke tilfælde, hvis cookiepolitikken er let tilgængelig og synlig fra alle sider på webstedet.
Fremover vil e-databeskyttelsesdirektivet blive erstattet af e-databeskyttelsesforordningen og vil som sådan være gældende sideløbende med GDPR. Den kommende forordning forventes fortsat at videreføre de samme værdier som direktivet.
💡 Du kan læse mere om e-Privacy-direktivet her.
FADP, som regulerer data i Schweiz, blev oprindeligt etableret i 1992 og senere delvist opdateret i 2019. Den seneste opdatering, som blev vedtaget den 25. september 2020 og træder i kraft fra september 2023, integrerer nyere bestemmelser, der ligner GDPR, men samtidig bevarer de særlige schweiziske principper.
💡 Du kan læse mere om den opdaterede schweiziske lov om databeskyttelse her →
Der er mange forskellige nuancer i lovene og dermed mange forskelle mellem de to love, men de væsentligste er:
Det betyder, at virksomheder, især virksomheder, der har aktiviteter i eller med Schweiz, skal sætte sig ind i FADP’s nye bestemmelser. Platforme såsom iubenda kan hjælpe med at sikre compliance, blandt andet med en dækkende privatlivs- og cookiepolitik. Efterhånden som internationale databeskyttelsesbestemmelser udvikler sig, er det bydende nødvendigt, at organisationer over hele verden holder sig opdateret og overholder kravene.
🚀 Se, hvordan du overholder kravene i FADP her →
Disse krav opfyldes typisk via et gyldigt, opdateret dokument med Vilkår og betingelser (også kaldet tjenstevilkår, vilkår for brug eller EULA – slutbrugerlicensaftale).
Hvis du driver et e-handelswebsted eller en app, er du ud over de oplysninger og krav, der er beskrevet ovenfor (og med forbehold af gældende lov), også underlagt de gældende handelslove og branchebestemmelser.
Generelt vil personer, der er involveret i kommercielle B2B-transaktioner, være omfattet af gældende retningslinjer i henhold til kontrakter, branchestandarder og nationale retningslinjer. Deltagelse i B2B-handel kræver imidlertid ofte, at der behandles personoplysninger (om ansatte eller andre), og i sådanne tilfælde, og hvor behandlingen falder inden for anvendelsesområdet, gælder GDPR og har forrang.
I henhold til de fleste landes forbrugerlovgivning skal du, når du sælger til forbrugere, ud over de krævede standardoplysninger om beskyttelse af personoplysninger, informere kunderne om følgende:
Generelt er der, i det mindste på føderalt niveau, ingen regler i USA, der kræver, at virksomheder skal vise et dokument med vilkår og betingelser på deres websteder, da eventuelle obligatoriske oplysninger primært reguleres af de enkelte stater.
Selv om kravene om offentliggørelse af vilkår primært er relevant på statsligt niveau, er det bedste praksis og i virksomheders egen interesse at medtage visse oplysninger i dokumentet Vilkår og betingelser .
Virksomheder anbefales at medtage bestemmelser, der beskytter deres aktiviteter, f.eks. ansvarsbegrænsninger, angivelse af gældende lov og jurisdiktion samt en tydelig leverings- og returpolitik.
iubenda giver dig mulighed for at inkludere forskellige bestemmelser, der er specifikke for USA, i dine vilkår og betingelser:
iubenda har også nogle generelle bestemmelser, der, selv om de ikke er specifikke for USA, stadig kan være gældende i forhold til USA, hvis de vælges. Her er nogle eksempler:
Vi anbefaler dog på det kraftigste, at du søger juridisk rådgivning om de specifikke krav på det marked, du henvender dig til.
EU’s forbrugerlovgivning finder anvendelse på aftaler eller andre retlige forhold mellem forbrugere (på den ene side) og erhvervsdrivende, virksomheder og selskaber på den anden (B2C). Den gælder ikke for B2B (når f.eks. et supermarked afgiver en ordre til sin frugtleverandør) eller C2C (f.eks. når jeg sælger min gamle cykel på eBay).
I henhold til EU’s forbrugerlovgivning har forbrugerne bl.a. en ubetinget fortrydelsesret (“cooling off-periode”) på 14 dage. Det betyder, at forbrugerne kan fortryde eller træde tilbage fra fjernsalgsaftaler (online-, telefon- og postordresalg) uanset årsag og uden at anføre nogen årsag i indtil 14 dage efter modtagelsen af produktet (i tilfælde af varer).
Det er værd at bemærke, at 14 dage er det lovbestemte minimum; i visse lande kan denne periode være længere i henhold til national lovgivning, eller den kan være forlænget i henhold til aftale.
Denne fortrydelsesret gælder ikke i alle tilfælde.
Nogle af de almindelige undtagelser er:
Forbrugere i EU er også beskyttet af en generel 2-årig garanti på produkter, som ikke koster ekstra. Igen: 2 år er det lovbestemte minimum; i visse lande kan nationale regler forlænge denne periode, og den kan også forlænges i henhold til aftale.
Disse regler gælder normalt for alle virksomheder, der sælger til EU-borgere, men de kan variere for internationale sælgere fra situation til situation. Det er dog værd at bemærke, at amerikanske domstole i nyere sager har valgt at lægge sig op ad den gældende EU-lovgivning.
Hvad er forskellen på at returnere et produkt med henvisning til fortrydelsesretten og at returnere det med henvisning til garantien?
| Fortrydelsesret | Juridisk garanti |
|---|---|
| Gælder i 14 dage efter modtagelse af produktet eller underskrivelse af kontrakten | Gælder i 24 måneder efter modtagelse af produktet |
| Du behøver ikke at have nogen grund til at udøve denne ret – du kan blot skifte mening | Du kan kun returnere et produkt med henvisning til garantien, fordi det er defekt eller på anden måde uegnet til de formål, som det er solgt og købt til |
| Du skal muligvis afholde omkostningerne til returnering af produktet (men det skal være anført) | Du skal muligvis ikke betale nogen omkostninger (det er “sælgerens skyld”, hvis produktet er defekt) |
| Gælder med visse undtagelser (hvoraf nogle er nævnt ovenfor) | Gælder altid for produkter, aldrig for tjenesteydelser |
EU-lovgivningen kræver også, at sælgere skal informere forbrugerne om den europæiske platform for onlinetvistbilæggelse (OTB) via et direkte link. OTB, eller “onlinetvistbilæggelse”, er en proces, der giver forbrugere i EU mulighed for nemt at indgive klager (i forbindelse med onlinesalg) over virksomheder, der også er etableret i EU. Det betyder, at OTB-kravene også kan gælde for amerikanske virksomheder, der har en fysisk tilstedeværelse i EU.
Bemærk: Britiske virksomheder og forbrugere i Storbritannien kan ikke længere få adgang til OTB-platformen efter Brexit.
Generelt er privatejede websteder (eller tilsvarende private profiler på sociale netværk, blogs osv.), der udelukkende har et privat og personligt formål, ikke omfattet af yderligere bestemmelser, men forskellige EU- og nationale retsakter kræver dog, at kommercielle onlineoperatører skal offentliggøre visse oplysninger.
For at blive betragtet som “kommerciel” er det ikke nødvendigt, at du rent faktisk “sælger” noget – et personligt websted kan sagtens betragtes som kommercielt, hvis det f.eks. genererer betydelig trafik og dermed skaber relevante reklameindtægter (f.eks. influencers) – men hvis du “sælger” produkter eller tjenester, øges oplysningspligten.
Hvis du sælger direkte til forbrugere (B2C), vil du blive pålagt yderligere oplysningspligter, herunder, men ikke begrænset til, dem, der er anført ovenfor, samt at linke til EU’s platform for onlinetvistbilæggelse for forbrugere, angive nøjagtige leveringstider, og oplyse om priser og gældende skatter og afgifter, som beskrevet i direktiv 83/2011/EU.
En e-mailadresse betragtes som en personoplysning. I forhold til e-mailadresser er lovgivningen om beskyttelse af personoplysninger derfor relevant. Som vi allerede har nævnt, er du i henhold til de fleste lovgivninger forpligtet til at give omfattende oplysninger om behandlingsaktiviteterne, deres formål og brugernes rettigheder.
Generelt gælder sådanne lovgivninger for alle tjenester, der er rettet mod indbyggere i regionen, hvilket betyder, at de kan gælde for din virksomhed, uanset om den er beliggende i regionen eller ej. Dette er endnu mere relevant, hvis du bruger en købt e-mailliste, da du i så fald måske ikke kender modtagerens bopælsland.
Derfor anbefales det altid, at du griber dine databehandlingsaktiviteter an med de strengeste gældende regler i tankerne.
I henhold til den amerikanske CAN-SPAM-lov behøver du ikke at have samtykke, før du tilføjer brugere i USA til din mailingliste eller sender dem kommercielle meddelelser, men det er dog obligatorisk, at du giver brugerne en klar mulighed for at fravælge yderligere kontakt.
I henhold til EU-lovgivningen (dvs. GDPR) er det obligatorisk at indhente brugerens informerede samtykke, før du tilmelder dem til tjenesten. I henhold til EU-reglerne kan indhentning af samtykke betragtes som en todelt proces, der omfatter oplysning til brugeren og indhentning af verificerbart samtykke via en bekræftende handling.
💡 Du kan læse mere om de juridiske krav vedrørende Nyhedsbreve og e-maillister her.
Children’s Online Privacy Protection Act (COPPA) er en amerikansk forbundslov, der er indført for bedre at beskytte personoplysninger og rettigheder for børn under 13 år. I henhold til COPPA skal operatører af websteder eller onlinetjenester, der enten er rettet mod børn under 13 år, eller som har faktisk viden om, at de indsamler personoplysninger fra børn under 13 år, give besked til forældrene og indhente deres verificerbare samtykke, før de indsamler, bruger eller videregiver sådanne personoplysninger, og de skal opbevare de oplysninger, de indsamler fra børn, på en sikker måde.
Det er et centralt krav i denne lov, at der skal være en COPPA-kompatibel privatlivspolitik. Du kan læse mere om overholdelse i afsnittene nedenfor og få mere at vide om COPPA her.
I henhold til EU’s GDPR-bestemmelser er samtykke et af retsgrundlagene for behandling af børns oplysninger. Hvis du bruger dette grundlag til at behandle oplysninger om børn under 13 år, skal du indhente et verificerbart samtykke fra en forælder eller værge, medmindre den tjeneste, du tilbyder, er en forebyggende eller rådgivende tjeneste.
? Du kan få mere at vide om de juridiske krav vedrørende børn her.
Selv om det ikke altid er et retligt krav, er et dokument med vilkår og betingelser (også kaldet tjenestevilkår, slutbrugerlicensaftale eller brugsvilkår) ofte nødvendigt af praktiske og sikkerhedsmæssige årsager. Det giver dig mulighed for at regulere kontraktsforholdet mellem dig og dine brugere og er derfor vigtigt for bl.a. at fastlægge vilkårene for brug og beskytte dig mod potentielt ansvar.
Dokumentet med vilkår og betingelser er i bund og grund en juridisk bindende aftale. Det betyder, at det ikke alene er vigtigt at have et sådant dokument, det er også nødvendigt at sikre, at det opfylder de juridiske krav.
Generelt gælder standardkontraktvilkårene, og i henhold til de fleste love skal kontrakter, der anvendes af erhvervsdrivende, være rimelige. Det betyder, at dokumentet skal være ajourført med alle gældende regler, være præcist, synligt og let forståeligt, så brugerne både nemt kan se det og acceptere det.
Accepten skal ske på en utvetydig måde (f.eks. ved at klikke på et afkrydsningsfelt med et synligt link til dokumentet, før man kan oprette en konto eller bruge tjenesten).
Selv om det fuldstændige indhold kan variere afhængigt af din virksomheds særlige forhold, bør vilkårene og betingelserne som minimum indeholde følgende:
? Du kan få mere at vide om Vilkår og betingelser her, og hvordan du opretter dem.
Tredjepartsapps og -tjenester skal også være i overensstemmelse med lovgivningen. Organisationer kan også selv blive udsat for store skader på deres omdømme, bøder og sanktioner, hvis de ikke opfylder deres juridiske forpligtelser. Derfor er det ofte obligatorisk, at alle partnere og kunder, der bruger deres tjenester, skal opfylde forskriftsmæssige standarder.
Generelt kræver de, at organisationer, der bruger deres tjenester, har en privatlivspolitik (og en cookiepolitik, hvis der anvendes cookies), der indeholder relevante oplysninger om forholdet og de leverede tjenester.
Tredjepartsapps og -tjenester skal også være i overensstemmelse med lovgivningen. Derfor er det ofte obligatorisk, at alle partnere og kunder, der bruger deres tjenester, skal opfylde forskriftsmæssige standarder
Et eksempel er Google. For at få adgang til visse tjenester og værktøjer (f.eks. AdSense, Google Analytics, Google Play Store) kræver Google, at du har en omfattende og opdateret privatlivspolitik. Her er et uddrag af vilkårene for brug af Google Analytics:
“Du skal offentliggøre en privatlivspolitik, der indeholder oplysninger om din brug af cookies, der bruges til at indsamle data”, og “Du må ikke omgå funktioner, der indgår som en del af tjenesten (f.eks. muligheden for fravalg).”
Et andet eksempel er Amazon. Her er et uddrag:
Vi har udvidet kravet om oplysning om vores tilknytning til at omfatte alle måder, hvorpå du kan udnytte Associates’ indhold.
Kravene fra tredjeparter kan blive ændret fra tid til anden som følge af interne eller regionale bestemmelser. Det er derfor nødvendigt at sikre, at dine politikker opfylder de nyeste krav for at undgå potentielle sanktioner eller afbrydelse af tjenesten.
De juridiske konsekvenser af manglende overholdelse omfatter:
Manglende overholdelse af CalOPPA eller COPPA kan føre til, at myndighederne anlægger sag eller iværksætter civilretlige sanktioner mod dig. For eksempel blev ejerne af webstedet Imbee idømt en bøde på 130.000 USD for overtrædelse af COPPA, fordi de tillod børn under 13 år at registrere sig uden forældrenes samtykke.
Lignende bøder kan pålægges i henhold til andre statslige og føderale love. Manglende overholdelse af GDPR-kravene kan medføre bøder på op til 20 millioner EUR eller 4 % af den årlige globale omsætning (alt efter, hvad der er højest).
Der kan blive iværksat disciplinære foranstaltninger over for dig, hvis du overtræder reglerne. Disse foranstaltninger kan omfatte, men er ikke begrænset til, officielle irettesættelser (ved førstegangsovertrædelser) og lejlighedsvise databeskyttelsesrevisioner. GDPR giver brugerne en udtrykkelig ret til at indgive klage til en tilsynsmyndighed, hvis de mener, at behandlingen af deres personoplysninger er i strid med reglerne.
Så hvis der f.eks. bliver foretaget en indberetning til myndigheden om et tilfælde af overtrædelse af lovgivningen, kan myndigheden vælge at foretage en revision af din databehandling. Hvis det viser sig, at en behandling er ulovlig, pålægges der ikke blot en bøde, men du kan også få forbud mod at gøre yderligere brug af de oplysninger, der er genstand for undersøgelsen. Det betyder, at hvis overtrædelsen vedrørte indsamling af e-mailadresser, risikerer du at blive udelukket fra at bruge hele den tilknyttede e-mailliste.
Manglende overholdelse af forbruger- eller konkurrencelovgivningen (illoyal konkurrence) kan også medføre bøder fra de kompetente (for det meste nationale) myndigheder.
Det er et generelt civilretligt princip, at du skal erstatte enhver uberettiget skade, du har forvoldt en anden person, især ved overtrædelse af lovgivningen. Blandt andre retsakter giver både GDPR og CalOPPA individuelle brugere ret til at kræve erstatning for eventuel skade som følge af en krænkelse af deres rettigheder. Samme ræsonnement ville gælde for enhver anden gældende lov, f.eks. EU’s forbrugerbeskyttelsesbestemmelser.
Husk, at erstatningsansvaret gælder i alle relationer: en forretningspartner kan også være berettiget til erstatning, hvis du har overtrådt en lovbestemmelse. Hvis du f.eks. sælger forfalskede varer via en partnerplatform som Amazon, kan det medføre, at virksomheden tager retslige skridt mod dig sideløbende med de kunder, der har købt de forfalskede varer.
Nogle tredjepartstjenester (herunder markedspladser og app-stores) kan gøre overholdelse af specifikke regler til en del af deres brugsvilkår, og overtrædelse af vilkårene kan føre til opsigelse af tjenesten eller potentielt til permanente forbud.
Her er et eksempel fra Amazon Web Services Partner Networks’ vilkår og betingelser vedrørende samtykke:
For alle tredjepartsoplysninger, som du giver til AWS, erklærer og garanterer du, at du har modtaget alle nødvendige samtykker til (a) at dele tredjepartsoplysningerne med AWS og dets associerede selskaber, og (b) at AWS og dets associerede selskaber bruger tredjepartsoplysningerne til at kontakte deres emne(r) for at markedsføre vores varer og tjenester og ordningen.
Endelig, men måske vigtigst af alt, kan der være visse strafferetlige konsekvenser. Hvis du f.eks. forsætligt overtræder eller ignorerer databeskyttelsesbestemmelserne til kommercielle formål (f.eks. hvis du sælger folks personoplysninger uden at fortælle dem det), kan det få alvorlige konsekvenser for dig. Strafferetlige konsekvenser, herunder betingelserne derfor, er imidlertid i høj grad et nationalt anliggende.
Vi mener, det er vigtigt at have en bred tilgang til overholdelse af datalovgivningen, og derfor holder vi øje med de vigtigste lovgivninger og bygger løsninger med de strengeste regler i tankerne – og giver dig alle muligheder for at tilpasse dem efter behov.
På den måde kan du sikre, at du opfylder dine juridiske forpligtelser (uanset hvor dine kunder befinder sig), begrænser risikoen for sagsanlæg og beskytter dine kunder ved at opbygge tillid og troværdighed.
Vi holder øje med de vigtigste lovgivninger og udvikler løsninger med de strengeste regler i tankerne
Her er, hvad du skal bruge for at komme i gang med at sikre fuld overholdelse:
Som nævnt ovenfor skal brugerne informeres om, hvordan du bruger deres personoplysninger. Privatlivspolitikker er lovpligtige næsten overalt i verden. Dette juridiske dokument bør angive, hvordan dit websted eller din app indsamler, behandler, opbevarer, deler og beskytter oplysninger om brugerne, formålet dermed og brugernes rettigheder i den forbindelse.
Vores Generator af privatlivspolitik er prismæssigt overkommelig, tilgængelig på flere sprog, udarbejdet af advokater, kan tilpasses og opdateres automatisk (da den overvåges eksternt af vores advokater). Det giver dig mulighed for nemt at oprette en nøjagtig privatlivspolitik og integrere den problemfrit på dit websted eller i din app. Du kan ganske enkelt tilføje en af de mange forud oprettede bestemmelser med et klik på en knap eller nemt skrive dine egne bestemmelser.
Privatlivspolitikken indeholder også muligheden for at inkludere en cookiepolitik (dette er nødvendigt, hvis dit websted eller din app bruger cookies). Politikkerne tilpasses til dine behov og vedligeholdes elektronisk af et juridisk team.
? Du kan få flere oplysninger om, hvordan du genererer din privatlivspolitik, ved at klikke her
Da brugen af cookies både betyder behandling af brugeroplysninger og installation af filer, der kan bruges til sporing, er det et bekymringspunkt, når det drejer sig om brugernes rettigheder til beskyttelse af personoplysninger. Hvis du driver virksomhed i EU eller potentielt har brugere i EU, skal du derfor overholde e-Privacy-direktivet.
Der er 4 elementer i dette:
Vores Privacy Controls og cookie-løsning overholder bestemmelserne i e-databeskyttelsesdirektivet (e-Privacy-direktivet). Det giver dig mulighed for nemt at informere brugerne og indhente deres samtykke, samtidig med at du har mulighed for at blokere scripts, der installerer cookies før brugerens samtykke (hvilket er påkrævet i mange EU-lande). Den er nem at afvikle, hurtig og kræver ingen store investeringer.
→ Få svar på dine spørgsmål live, og få mere at vide om både generatoren af privatlivs- og cookiepolitik og Privacy Controls and Cookie Solution ved at deltage i et af vores gratis webinarer på engelsk.
? Klik her for at få flere oplysninger om vores Privacy Controls and Cookie Solution.
Selv om det ikke altid er lovpligtigt, er vilkår og betingelser rent objektivt nødvendige. De regulerer kontraktsforholdet mellem dig og dine brugere og fastlægger den måde, hvorpå dit produkt, din tjeneste eller dit indhold kan anvendes på en juridisk bindende måde.
Det er derfor vigtigt, at denne kontrakt er præcis og ajourført med alle gældende bestemmelser. Den bør indeholde de generelle betingelser for brug af tjenesten med særlig opmærksomhed på bestemmelser om “ansvarsbegrænsning” og ansvarsfraskrivelser.
Vores Generator af vilkår og betingelser hjælper dig med nemt at generere og administrere vilkår og betingelser, der er professionelle, kan tilpasses med over 100 bestemmelser, er tilgængelige på 8 sprog, er udarbejdet af et internationalt juridisk team og er opdateret med den vigtigste internationale lovgivning.
Den er effektiv, præcis og i stand til at håndtere selv de mest komplekse, individuelle scenarier og behov for tilpasning.
Den leveres med:
Løsningen er optimeret til alt fra e-handel, blogs og apps til komplekse scenarier som markedspladser og SaaS.
Det er nemt at komme i gang. Du skal blot aktivere Vilkårene og betingelserne (bruger 1 Ultra-licensen) på dit dashbord og begynde at generere.
💡 Du kan få en oversigt over alle funktioner i Generatoren af vilkår og betingelser ved at klikke her eller læse vejledningen her.
For at overholde lovgivningen om beskyttelse af personoplysninger, især GDPR, skal virksomheder opbevare dokumentation for samtykke, så de kan dokumentere, at der er indhentet samtykke.
Disse fortegnelser skal vise:
Vores Consent Database forenkler denne proces ved at hjælpe dig med nemt at gemme dokumentation for samtykke og administrere samtykke og fortrolighedspræferencer for hver enkelt af dine brugere. Det giver dig mulighed for at spore alle aspekter af samtykket (herunder den juridiske meddelelse eller fortrolighedsmeddelelse og den samtykkeformular, som brugeren blev præsenteret for på tidspunktet for indhentningen af samtykket) og de tilhørende præferencer, som brugeren har givet udtryk for.
Du skal blot aktivere Consent Database og få API-nøglen, installere den via HTTP API eller JS widget, og så er du færdig. Du kan til enhver tid hente samtykket og holde det opdateret.
💡 Du kan få en oversigt over alle funktionere i Consent Database ved at klikke her eller læse vejledningen her.
Det kan være en teknisk udfordring rent praktisk at opfylde bestemmelserne i GDPR. Dette gælder især for dit register over databehandlingsaktiviteter. For at overholde reglerne skal du holde styr på og beskrive:
Vores løsning hjælper dig med nemt at registrere og administrere alle databehandlingsaktiviteter i din organisation, så du nemt kan overholde kravene og opfylde dine retlige forpligtelser.
Den giver dig mulighed for at oprette registreringer af behandlingsaktiviteter:
Bemærk: Selv hvis dine behandlingsaktiviteter på en eller anden måde falder uden for de situationer, der er nævnt tidligere i denne vejledning, er det nødvendigt, at du i henhold til dine oplysningspligter over for brugerne (artikel 13 og 14) fører grundlæggende fortegnelser over, hvilke oplysninger du indsamler, formålet med dem, alle parter, der er involveret i behandlingen, og dataopbevaringsperioden – dette er obligatorisk for alle
Selv om GDPR er en god grund til at gøre mere for at holde styr på dine databehandlingsaktiviteter, er vores værktøj ikke udelukkende beregnet til anvendelse i henhold til GDPR. Det kan også bruges til generelle databehandlingsaktiviteter, selv af virksomheder, der ikke har nogen brugere/kunder i EU.
→ Få svar på dine spørgsmål live, og få mere at vide om både Consent Database og Register over databehandlingsaktiviteter-løsningen ved at deltage i et af vores gratis webinarer på engelsk.
Vær opmærksom på, at lovgivningen ændres og ajourføres løbende. Det er derfor vigtigt at sikre, at dine politikker opfylder de nyeste krav. Derfor bruger vi indlejring og IKKE kopiering og indsættelse. Med denne metode kan du være sikker på, at din politik er opdateret og vedligeholdes elektronisk af vores juridiske team.
