Kontoadministration

Kontoadministration Hjælp

Hvad betyder GDPR for min virksomhed?

Hvad er GDPR?

Den generelle forordning om databeskyttelse (GDPR) er en EU -lov (EU), der fokuserer på databeskyttelse og beskyttelse af personlige oplysninger for alle borgere og EU -borgere. GDPR regulerer, hvordan virksomheder - herunder GoDaddy - kan behandle personlige oplysninger om enkeltpersoner i EU. GDPR trådte i kraft den 25. maj 2018. Du kan finde en mere detaljeret beskrivelse af, hvad GDPR er, og hvordan GoDaddy overholder GDPR, i vores Center for beskyttelse af personlige oplysninger.

GoDaddy er ikke et advokatfirma

Vi håber, at dette dokument giver dig et overblik over, hvad GDPR er, og hvad den kan betyde for dig. Men GoDaddy arbejder ikke som juridiske rådgivere, og dette er ikke en udtømmende vejledning til GDPR. Enhver virksomheds situation er forskellig, og GDPR er som lov meget kompleks. Hvis du har specifikke spørgsmål til din virksomheds drift, og hvordan den kan blive påvirket af GDPR (og andre gældende lovgivninger om beskyttelse af privatlivets fred), anbefaler vi dig på det kraftigste til at kontakte en juridisk rådgiver.

Vi er ikke eksperter i din virksomhed

Selvom vi utrolig gerne vil være i stand til at give dig tydelig vejledning om, hvordan du skal sikre, at du overholder GDPR, så er det praktisk talt umuligt. Hver enkelt virksomhed drives forskelligt og har forskellige politikker, protokoller, medarbejdere, placeringer osv. Derfor vil vi gerne give et overblik over GoDaddys håndtering af GDPR. Der er dog flere nuancer i lovgivningen, som vi har valgt at fremhæve for dig i dette dokument. Her er du nødt til at foretage din egen vurdering ud fra din konkrete situation.

Hvad gør GDPR anderledes?

GDPR er ikke så anderledes fra andre lovgivninger i verden om privatlivets fred. Dét, der gør GDPR utrolig højprofileret er, at den går ud over EU's grænser til alle virksomheder i verden, der behandler personoplysninger om EU-personer, og at manglende overholdelse af GDPR kan medføre store bøder (op til 20 millioner euro eller 4 % af virksomhedens globale, årlige omsætning). Så flere lande, større bøder og bredere rækkevidde er lig med større mediedækning. Det betyder dog ikke, at der ikke er nogen forskelle – GDPR kræver, at berørte virksomheder giver visse rettigheder til deres kunder (f.eks. 'retten til at blive glemt' og 'retten til dataportabilitet') og implementerer visse tiltag i forhold til virksomhedernes overholdelse.

Berøres min virksomhed af dette?

Der er flere grunde til, at din virksomhed kan blive berørt. Hvis din virksomhed ligger i EØS (Europæisk Økonomisk Samarbejdsområde), eller du driver forretning med kunder derfra, når du sælger varer eller serviceydelser, skal du læse videre. Hvis du ikke driver forretning i denne region eller på anden vis retter dine aktiviteter mod personer fra EU, er du sandsynligvis helt klar (tag kontakt til din egen juridiske rådgiver for at være sikker).

Overholder mine GoDaddy-produkter og -tjenester GDPR?

Der findes ingen produkter eller serviceydelser, der i sig selv overholder GDPR. Derimod kan de bruges, så de overholder GDPR, når de konfigureres korrekt i henhold til dine konkrete forretningsbehov, og bruges i kombination med andre tiltag, politikker og procedurer, som du implementerer, som en nødvendighed for din konkrete virksomhed (nogle af dem beskrives herunder). Ingen kender din virksomhed bedre end dig. Selvom GoDaddy er her for at hjælpe dig og håber på at kunne tilbyde værktøjer og ressourcer, der kan hjælpe din virksomhed med at overholde GDPR, er vi ikke i stand til at garantere, at din virksomhed overholder love, der er gældende for din virksomhed.

Hvad betyder det at overholde GDPR?

GDPR er virkelig fokuseret på beskyttelse af personoplysninger. For at gøre en lang historie kort så handler det om at sikre, at dine kunders personoplysninger beskyttes og anvendes på passende vis. Inden vi går i detaljer, kan du herunder se nogle vigtige definitioner i henhold til loven, der hjælper os med at definere det respektive ansvar i forhold til håndtering af personoplysninger:

  • Den registrerede: Personen, der angiver personlige oplysninger. Det kan være en kunde, en medarbejder eller en person, der besøger din hjemmeside (det sidste, hvis du indsamler oplysninger om dem ved hjælp af "cookies og lignende teknologier").
  • Registeransvarlig: Parten, der bestemmer formålet og midlerne til behandling af personoplysninger.
  • Registerfører: Parten, der behandler personoplysninger på vegne af den registeransvarlige.
  • Behandling: Enhver handling eller sæt af handlinger, der udføres i forhold til personoplysninger, uanset om det sker automatisk, f.eks. via indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, hentning, høring, brug, videregivelse ved transmission, formidling eller på anden måde tilgængelig, justering eller kombination, begrænsning, sletning eller tilintetgørelse.
  • Personoplysninger: GDPR gælder kun for 'personoplysninger', hvilket betyder alle oplysninger, der relaterer sig til en identificerbar person som direkte eller indirekte kan identificeres særligt med reference til en identifikator. Denne definition giver anledning til en lang række af personlige identifikatorer, der kan udgøre personoplysninger, inklusive navn, identifikationsnummer, placeringsoplysninger eller online identifikatorer, og afspejler ændringer i teknologi, og måden hvorpå organisationer indsamler oplysninger om personer. Grundlæggende set betyder det, at hvis du kan bruge en oplysning til at identificere en bruger, kunde eller anden person, så er det personoplysninger.

Hvad betyder disse definitioner for mig?

I vores relation er der tidspunkter, hvor vi er registeransvarlige (når vi indsamler oplysninger fra dig med det formål at sælge vores produkter og tjenester – f.eks. navn, adresse, e-mailadresse, telefonnummer og kreditkortoplysninger), og andre tidspunkter, hvor vi er registerfører, og du er den registeransvarlige (f.eks. når du bruger vores hostede tjenester til dine egne forretningsmæssige formål, og oplysninger går via vores servere, så vi kan tilbyde, administrere og vedligeholde tjenesterne for dig (mere om alt dette herunder)).

Hvad kræver loven helt præcis?

Den officielle udgave af GDPR er på 261 sider, indeholder 173 sagsfremstillinger, 99 artikler og er (som nævnt) kompleks og ofte bred, uklar og tvetydig (hvor er vi heldige!). Vi dækker nogle af de vigtigste principper:

  • Gennemsigtighed

    Hvilke oplysninger indsamler I, og hvordan bruges de? At forklare dine kunder dette på en nem og forståelig måde er et vigtigt princip i enhver lovgivning om privatlivets fred, inklusive GDPR.

    Vi gætter på, at du på det seneste har modtaget ca. en million e-mails med emnet "vi har opdateret vores politik om beskyttelse af personlige oplysninger", ikke sandt? Det ikke noget sammentræf. GDPR kræver, at virksomheder skaber større gennemsigtighed og klarhed over, hvordan de indsamler og bruger deres kunders oplysninger (det skal med andre ord være mere brugervenligt). Politikker om beskyttelse af personlige oplysninger er din mulighed for at skabe større gennemsigtighed – forklar på en tydelig måde og et enkelt sprog dine kunder, hvordan du indsamler og bruger deres personoplysninger, og hvordan de kan kontakte dig eller gøre brug af eventuelle rettigheder.

    GoDaddy tilbyder værktøjer, der gør det muligt at implementere politikker om beskyttelse af personlige oplysninger på din hjemmeside, og tilbyder i nogle tilfælde også skabeloner, som du kan arbejde ud fra. Men da vi ikke er klar over, hvordan du driver din virksomhed, er det umuligt for os at tilbyde dig en politik om beskyttelse af personlige oplysninger, der er i komplet overensstemmelse.

  • Kundestyring og samtykkehåndtering

    Større gennemsigtighed er en god start, men hvis du bruger (eller indsamler) oplysninger fra dine kunder, udover dem, der er strengt nødvendige for at levere de produkter eller serviceydelser, du sælger, skal du også være sikker på, at de får muligheden for at give samtykke til yderligere brug og give dem mulighed for senere at trække deres samtykke tilbage.

    Det mest åbenlyse eksempel er brugen af e-mailadresser eller telefonnumre, der er indsamlet til kommunikation med dine kunder (vi tænker typisk i forhold til fravalg/tilvalg af sådanne kommunikationsmidler/abonnementer). Disse oplysninger kan være givet af dine kunder i forbindelse med oprettelse af en konto eller køb af et produkt eller en serviceydelse hos dig. Det indbefatter dog også indsamling af oplysninger om personer, der besøger din hjemmeside via værktøjer kendt som "cookies" (og lignende teknologier, f.eks. pixels, scripts osv.). Du har med stor sandsynlighed set "cookiebannere", når du besøger hjemmesider, og ligesom med brugen af en politik om beskyttelse af personlige oplysninger, giver disse cookiebannere mulighed for større gennemsigtighed. Ved at vise et cookiebanner kan personer få mere at vide om, hvilke værktøjer, der bruges til at indsamle oplysninger om dem, acceptere eller afvise brugen af dem og/eller på anden vis styre præcis, hvilke cookies, der kan være acceptable at bruge.

    Ifølge GDPR skal dine kunder have mulighed for at tillade denne indsamling (og efterfølgende brug), og den eneste måde dette samtykke kan gives på en ordentlig måde er, hvis du giver mulighed for at give samtykke på en forståelig, konkret (ift. det bestemte formål) og tydelig måde. Forudfyldte felter, tavshed eller inaktivitet er ikke gyldige måder til at angive din kundes samtykke. Har du for eksempel et afkrydsningsfelt på din hjemmeside, hvori der står: "Vi deler dine oplysninger med tredjepartsannoncører" kan dette felt ikke være afkrydset som standard, så du tilvælger behandlingen af registreredes oplysninger. Afkrydsningsfeltet skal forblive tomt for registrerede i EØS, indtil de frivilligt tilvælger eller udtrykker samtykke til denne behandling.

    I sidste ende skal du sikre, at dine kunder kan udøve kontrol over brugen af deres personoplysninger, kommunikation og samtykke, inklusive retten til at trække dette samtykke tilbage.

  • Ret til sletning

    Vi nævnte tidligere, at GDPR er meget lig andre lovgivninger i verden om beskyttelse af privatlivets fred – dette er en rettighed for dine kunder, der er meget unik for GDPR. GDPR giver personer 'ret til at blive glemt' ("Ret til sletning" ifølge loven). Det betyder, at kunder kan anmode om, at deres personoplysninger slettes (og at de "glemmes"), hvis de indsamlede personoplysninger ikke længere er nødvendige for formålene, de blev indsamlet til eller på anden vis behandlet.

    Hvor rettigheden findes, skal du slette den registreredes personoplysninger fra dine systemer (medmindre der er legitime grunde af forretningsmæssig eller juridisk karakter, der gør, at sådanne oplysninger skal opbevares, f.eks. til finansielle afrapporteringsformål eller juridiske behov for tilbageholdelse).

    Vælger en kunde for eksempel at stoppe med at lave forretning med dig, så ønsker de måske ikke længere, at du opbevarer oplysninger, du tidligere har indsamlet og gemt om dem. Selvom der er begrænsninger i forhold til denne rettighed – med undtagelser og komplicerede nuancer – hvor det er relevant, skal du overveje din evne til at imødekomme en sådan anmodning, og hvordan du vil gøre det.

    Som vi har beskrevet og i overensstemmelse med vores databehandlingstillæg, honorerer GoDaddy, for sin part, anmodninger fra dig (den registeransvarlige) om at fjerne kunders oplysninger fra vores systemer, når en sådan anmodning laves.

  • Ret til dataportabilitet

    Retten til dataportabilitet er en anden rettighed, der er unik for GDPR. Den giver personer mulighed for at få og genbruge deres personoplysninger til deres egne formål på tværs af forskellige tjenester. Den tillader, at de nemt kan flytte, kopiere eller overføre personoplysninger fra ét IT-område til et andet på en sikker måde, uden at det går udover anvendeligheden.

    Lad os forestille os, at du er eventkoordinator. En kunde har givet dig alle sine kontaktoplysninger og relevante, personlige præferencer, men har i sidste ende alligevel besluttet sig for at hyre en anden eventkoordinator. I EØS skal de kunne få en elektronisk kopi af deres personoplysninger, så de nemt kan fortsætte med en ny eventkoordinator. GoDaddy er her for at hjælpe dig med sådanne anmodninger i det omfang, at din kundes personoplysninger eksisterer heri og kan eksporteres til dig via de produkter eller tjenester, vi tilbyder.

  • Indbygget databeskyttelse

    Indbygget databeskyttelse (eller som standard) betyder grundlæggende set, at når du modtager, behandler, opbevarer eller bruger personoplysninger, overvejes og inkluderes nødvendige sikkerhedstiltag - ingen særlige overvejelser eller ekstra tiltag er påkrævet, men kun de mindst nødvendige oplysninger bliver indsamlet, modtaget sikkert (f.eks. ved hjælp af kryptering), opbevaret på en sikker placering og vil kun være tilgængelige for personer, der er blevet uddannet på forsvarlig vis og har et begrundet behov. Det omfatter at sikre, at tredjeparter også har sikkerhedstiltag på plads, inden du sender dem dine kunders personoplysninger.

    Det er stort set det samme som, hvis en patient besøger en læge. Som patient forventer du, at dine sundhedsoplysninger, notater og råd opbevares sikkert og fortroligt. Bruger du samme agtpågivenhed i forhold til de registrerede, er du godt dækket ind.

    Enhver undersøgelse af din virksomheds drift bør inkludere, hvordan GoDaddys produkter og tjenester kan bruges med databeskyttelse in mente. Vi håber, at vores produkter og ydelser kan konfigureres til at imødekomme dine konkrete behov. Det er dog op til dig at lave en uafhængig vurdering af, om brugen af vores tjenester er tilstrækkelig til, at du kan overholde gældende lovgivninger om beskyttelse af privatlivets fred og databeskyttelse.

  • Underretning om databrud

    Opstår der et brud på persondatasikkerheden, har virksomheder pligt til at underrette den tilsynsførende myndighed senest 72 timer efter at være blevet bevidst om bruddet eller uden unødig forsinkelse. Tag kontakt til din juridiske rådgiver for at få flere oplysninger om, hvad du skal gøre, og hvilke foranstaltninger du skal tage.

Så hvad betyder det for os?

Som vi tidligere har nævnt, er GoDaddy for det meste din registerfører. Vi behandler oplysninger, som påkrævet, for at kunne tilbyde tjenesterne, du har købt hos os, på dine vegne, eller som anvist på anden måde. Bruger du vores tjenester til at indsamle oplysninger, så du kan sælge dine varer, eller til at indsamle aftaleoplysninger eller kundeemner? Intet problem. Vi sørger for, at dine oplysninger behandles trygt og sikkert.

Som registeransvarlig styrer du, hvordan dataene bruges og opbevares, og vi behandler det kun i henhold til betingelserne i vores tillæg til databehandling i levering og vedligeholdelse af tjenesterne på dine vegne. Dette betyder, at du skal være meget opmærksom på dine interne politikker og medarbejdernes adgang til fortegnelser, herunder hvordan du deler data med tredjeparter, og hvor let nogen kan få adgang til den registreredes oplysninger.

Som du kan se fra hovedpunkterne herover, så handler GDPR (og andre lovgivninger om beskyttelse af privatlivets fred) om at sikre, at de oplysninger, vi indsamler og bruger til at skabe succes for vores virksomheder, sikres og beskyttes på passende vis.