Hvad betyder GDPR for min virksomhed?

Hvad er GDPR?

Persondataforordningen (GDPR) er en EU-forordning, der er rettet mod databeskyttelse og beskyttelse af privatlivets fred for alle EU-borgere og personer med bopæl i EU. GDPR bestemmer, hvordan virksomheder – herunder GoDaddy – må behandle personoplysninger om personer i EU. GDPR trådte i kraft d. 25. maj 2018. Hvis du ønsker en mere detaljeret beskrivelse af, hvad GDPR er, og hvordan GoDaddy overholder GDPR, kan du læse information i vores Center for beskyttelse af personlige oplysninger.

GoDaddy er ikke et advokatfirma

Vi håber, at dette dokument giver dig et overblik over, hvad GDPR er, og hvad den kan betyde for dig. Men GoDaddy arbejder ikke som juridiske rådgivere, og dette er ikke en udtømmende vejledning til GDPR. Enhver virksomheds situation er forskellig, og GDPR er som lov meget kompleks. Hvis du har specifikke spørgsmål til din virksomheds drift, og hvordan den kan blive påvirket af GDPR (og andre gældende lovgivninger om beskyttelse af privatlivets fred), anbefaler vi dig på det kraftigste til at kontakte en juridisk rådgiver.

Vi er ikke eksperter i din virksomhed

Selvom vi utrolig gerne vil være i stand til at give dig tydelig vejledning om, hvordan du skal sikre, at du overholder GDPR, så er det praktisk talt umuligt. Hver enkelt virksomhed drives forskelligt og har forskellige politikker, protokoller, medarbejdere, placeringer osv. Derfor vil vi gerne give et overblik over GoDaddys håndtering af GDPR. Der er dog flere nuancer i lovgivningen, som vi har valgt at fremhæve for dig i dette dokument. Her er du nødt til at foretage din egen vurdering ud fra din konkrete situation.

Hvad gør GDPR anderledes?

GDPR er ikke så anderledes fra andre lovgivninger i verden om privatlivets fred. Dét, der gør GDPR utrolig højprofileret er, at den går ud over EU's grænser til alle virksomheder i verden, der behandler personoplysninger om EU-personer, og at manglende overholdelse af GDPR kan medføre store bøder (op til 20 millioner euro eller 4 % af virksomhedens globale, årlige omsætning). Så flere lande, større bøder og bredere rækkevidde er lig med større mediedækning. Det betyder dog ikke, at der ikke er nogen forskelle – GDPR kræver, at berørte virksomheder giver visse rettigheder til deres kunder (f.eks. 'retten til at blive glemt' og 'retten til dataportabilitet') og implementerer visse tiltag i forhold til virksomhedernes overholdelse.

Berøres min virksomhed af dette?

Der er flere grunde til, at din virksomhed kan blive berørt. Hvis din virksomhed ligger i EØS (Europæisk Økonomisk Samarbejdsområde), eller du driver forretning med kunder derfra, når du sælger varer eller serviceydelser, skal du læse videre. Hvis du ikke driver forretning i denne region eller på anden vis retter dine aktiviteter mod personer fra EU, er du sandsynligvis helt klar (tag kontakt til din egen juridiske rådgiver for at være sikker).

Overholder mine GoDaddy-produkter og -tjenester GDPR?

No products or services are alone 'GDPR compliant'. However, when properly configured for your particular business needs, and used in combination with other measures, policies and processes you implement as necessary to your specific business (some of which are described below), they can be used in a GDPR-compliant manner. No one knows your business better than you. Though GoDaddy hopes to offer the tools and resources to help your business attain GDPR compliance, and we are here for you, we are not suited to ensure your compliance with any laws applicable to your business.

Hvad betyder det at overholde GDPR?

GDPR er virkelig fokuseret på beskyttelse af personoplysninger. For at gøre en lang historie kort så handler det om at sikre, at dine kunders personoplysninger beskyttes og anvendes på passende vis. Inden vi går i detaljer, kan du herunder se nogle vigtige definitioner i henhold til loven, der hjælper os med at definere det respektive ansvar i forhold til håndtering af personoplysninger:

  • Den registrerede: Personen, der angiver personlige oplysninger. Det kan være en kunde, en medarbejder eller en person, der besøger din hjemmeside (det sidste, hvis du indsamler oplysninger om dem ved hjælp af "cookies og lignende teknologier").
  • Data Controller: The party that determines the purposes and means for processing personal data.
  • Registerfører: Parten, der behandler personoplysninger på vegne af den registeransvarlige.
  • Behandling: Enhver handling eller sæt af handlinger, der udføres i forhold til personoplysninger, uanset om det sker automatisk, f.eks. via indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, hentning, høring, brug, videregivelse ved transmission, formidling eller på anden måde tilgængelig, justering eller kombination, begrænsning, sletning eller tilintetgørelse.
  • Personoplysninger: GDPR gælder kun for 'personoplysninger', hvilket betyder alle oplysninger, der relaterer sig til en identificerbar person som direkte eller indirekte kan identificeres særligt med reference til en identifikator. Denne definition giver anledning til en lang række af personlige identifikatorer, der kan udgøre personoplysninger, inklusive navn, identifikationsnummer, placeringsoplysninger eller online identifikatorer, og afspejler ændringer i teknologi, og måden hvorpå organisationer indsamler oplysninger om personer. Grundlæggende set betyder det, at hvis du kan bruge en oplysning til at identificere en bruger, kunde eller anden person, så er det personoplysninger.

What do these definitions mean for me?

In our relationship, there are times when we are a Data Controller (when we collect data from you for the purpose of selling you our products and services - such as your name, address, email, telephone and credit card information), and times when we are a Data Processor and you are the Data Controller (such as when you use our hosted services for your own business purposes and information happens to be passed on to our servers so that we can provide, manage and maintain the services for you (more on all this below)).

Hvad kræver loven helt præcis?

Den officielle udgave af GDPR er på 261 sider, indeholder 173 sagsfremstillinger, 99 artikler og er (som nævnt) kompleks og ofte bred, uklar og tvetydig (hvor er vi heldige!). Vi dækker nogle af de vigtigste principper:

  • Gennemsigtighed

    Hvilke oplysninger indsamler I, og hvordan bruges de? At forklare dine kunder dette på en nem og forståelig måde er et vigtigt princip i enhver lovgivning om privatlivets fred, inklusive GDPR.

    Vi gætter på, at du på det seneste har modtaget ca. en million e-mails med emnet "vi har opdateret vores politik om beskyttelse af personlige oplysninger", ikke sandt? Det ikke noget sammentræf. GDPR kræver, at virksomheder skaber større gennemsigtighed og klarhed over, hvordan de indsamler og bruger deres kunders oplysninger (det skal med andre ord være mere brugervenligt). Politikker om beskyttelse af personlige oplysninger er din mulighed for at skabe større gennemsigtighed – forklar på en tydelig måde og et enkelt sprog dine kunder, hvordan du indsamler og bruger deres personoplysninger, og hvordan de kan kontakte dig eller gøre brug af eventuelle rettigheder.

    GoDaddy tilbyder værktøjer, der gør det muligt at implementere politikker om beskyttelse af personlige oplysninger på din hjemmeside, og tilbyder i nogle tilfælde også skabeloner, som du kan arbejde ud fra. Men da vi ikke er klar over, hvordan du driver din virksomhed, er det umuligt for os at tilbyde dig en politik om beskyttelse af personlige oplysninger, der er i komplet overensstemmelse.

  • Kundestyring og samtykkehåndtering

    Større gennemsigtighed er en god start, men hvis du bruger (eller indsamler) oplysninger fra dine kunder, udover dem, der er strengt nødvendige for at levere de produkter eller serviceydelser, du sælger, skal du også være sikker på, at de får muligheden for at give samtykke til yderligere brug og give dem mulighed for senere at trække deres samtykke tilbage.

    Det mest åbenlyse eksempel er brugen af e-mailadresser eller telefonnumre, der er indsamlet til kommunikation med dine kunder (vi tænker typisk i forhold til fravalg/tilvalg af sådanne kommunikationsmidler/abonnementer). Disse oplysninger kan være givet af dine kunder i forbindelse med oprettelse af en konto eller køb af et produkt eller en serviceydelse hos dig. Det indbefatter dog også indsamling af oplysninger om personer, der besøger din hjemmeside via værktøjer kendt som "cookies" (og lignende teknologier, f.eks. pixels, scripts osv.). Du har med stor sandsynlighed set "cookiebannere", når du besøger hjemmesider, og ligesom med brugen af en politik om beskyttelse af personlige oplysninger, giver disse cookiebannere mulighed for større gennemsigtighed. Ved at vise et cookiebanner kan personer få mere at vide om, hvilke værktøjer, der bruges til at indsamle oplysninger om dem, acceptere eller afvise brugen af dem og/eller på anden vis styre præcis, hvilke cookies, der kan være acceptable at bruge.

    Ifølge GDPR skal dine kunder have mulighed for at tillade denne indsamling (og efterfølgende brug), og den eneste måde dette samtykke kan gives på en ordentlig måde er, hvis du giver mulighed for at give samtykke på en forståelig, konkret (ift. det bestemte formål) og tydelig måde. Forudfyldte felter, tavshed eller inaktivitet er ikke gyldige måder til at angive din kundes samtykke. Har du for eksempel et afkrydsningsfelt på din hjemmeside, hvori der står: "Vi deler dine oplysninger med tredjepartsannoncører" kan dette felt ikke være afkrydset som standard, så du tilvælger behandlingen af registreredes oplysninger. Afkrydsningsfeltet skal forblive tomt for registrerede i EØS, indtil de frivilligt tilvælger eller udtrykker samtykke til denne behandling.

    I sidste ende skal du sikre, at dine kunder kan udøve kontrol over brugen af deres personoplysninger, kommunikation og samtykke, inklusive retten til at trække dette samtykke tilbage.

  • Ret til sletning

    Vi nævnte tidligere, at GDPR er meget lig andre lovgivninger i verden om beskyttelse af privatlivets fred – dette er en rettighed for dine kunder, der er meget unik for GDPR. GDPR giver personer 'ret til at blive glemt' ("Ret til sletning" ifølge loven). Det betyder, at kunder kan anmode om, at deres personoplysninger slettes (og at de "glemmes"), hvis de indsamlede personoplysninger ikke længere er nødvendige for formålene, de blev indsamlet til eller på anden vis behandlet.

    Hvor rettigheden findes, skal du slette den registreredes personoplysninger fra dine systemer (medmindre der er legitime grunde af forretningsmæssig eller juridisk karakter, der gør, at sådanne oplysninger skal opbevares, f.eks. til finansielle afrapporteringsformål eller juridiske behov for tilbageholdelse).

    Vælger en kunde for eksempel at stoppe med at lave forretning med dig, så ønsker de måske ikke længere, at du opbevarer oplysninger, du tidligere har indsamlet og gemt om dem. Selvom der er begrænsninger i forhold til denne rettighed – med undtagelser og komplicerede nuancer – hvor det er relevant, skal du overveje din evne til at imødekomme en sådan anmodning, og hvordan du vil gøre det.

    Som vi har beskrevet og i overensstemmelse med vores databehandlingstillæg, honorerer GoDaddy, for sin part, anmodninger fra dig (den registeransvarlige) om at fjerne kunders oplysninger fra vores systemer, når en sådan anmodning laves.

  • Ret til dataportabilitet

    Retten til dataportabilitet er en anden rettighed, der er unik for GDPR. Den giver personer mulighed for at få og genbruge deres personoplysninger til deres egne formål på tværs af forskellige tjenester. Den tillader, at de nemt kan flytte, kopiere eller overføre personoplysninger fra ét IT-område til et andet på en sikker måde, uden at det går udover anvendeligheden.

    Lad os forestille os, at du er eventkoordinator. En kunde har givet dig alle sine kontaktoplysninger og relevante, personlige præferencer, men har i sidste ende alligevel besluttet sig for at hyre en anden eventkoordinator. I EØS skal de kunne få en elektronisk kopi af deres personoplysninger, så de nemt kan fortsætte med en ny eventkoordinator. GoDaddy er her for at hjælpe dig med sådanne anmodninger i det omfang, at din kundes personoplysninger eksisterer heri og kan eksporteres til dig via de produkter eller tjenester, vi tilbyder.

  • Indbygget databeskyttelse

    Indbygget databeskyttelse (eller som standard) betyder grundlæggende set, at når du modtager, behandler, opbevarer eller bruger personoplysninger, overvejes og inkluderes nødvendige sikkerhedstiltag - ingen særlige overvejelser eller ekstra tiltag er påkrævet, men kun de mindst nødvendige oplysninger bliver indsamlet, modtaget sikkert (f.eks. ved hjælp af kryptering), opbevaret på en sikker placering og vil kun være tilgængelige for personer, der er blevet uddannet på forsvarlig vis og har et begrundet behov. Det omfatter at sikre, at tredjeparter også har sikkerhedstiltag på plads, inden du sender dem dine kunders personoplysninger.

    Det er stort set det samme som, hvis en patient besøger en læge. Som patient forventer du, at dine sundhedsoplysninger, notater og råd opbevares sikkert og fortroligt. Bruger du samme agtpågivenhed i forhold til de registrerede, er du godt dækket ind.

    Enhver undersøgelse af din virksomheds drift bør inkludere, hvordan GoDaddys produkter og tjenester kan bruges med databeskyttelse in mente. Vi håber, at vores produkter og ydelser kan konfigureres til at imødekomme dine konkrete behov. Det er dog op til dig at lave en uafhængig vurdering af, om brugen af vores tjenester er tilstrækkelig til, at du kan overholde gældende lovgivninger om beskyttelse af privatlivets fred og databeskyttelse.

  • Underretning om databrud

    Opstår der et brud på persondatasikkerheden, har virksomheder pligt til at underrette den tilsynsførende myndighed senest 72 timer efter at være blevet bevidst om bruddet eller uden unødig forsinkelse. Tag kontakt til din juridiske rådgiver for at få flere oplysninger om, hvad du skal gøre, og hvilke foranstaltninger du skal tage.

Så hvad betyder det for os?

Som vi tidligere har nævnt, er GoDaddy for det meste din registerfører. Vi behandler oplysninger, som påkrævet, for at kunne tilbyde tjenesterne, du har købt hos os, på dine vegne, eller som anvist på anden måde. Bruger du vores tjenester til at indsamle oplysninger, så du kan sælge dine varer, eller til at indsamle aftaleoplysninger eller kundeemner? Intet problem. Vi sørger for, at dine oplysninger behandles trygt og sikkert.

As the Data Controller, you control how the data is used and stored, and we will only process it per the terms of our Data Processing Addendum in providing and maintaining the services on your behalf. This means you need to pay close attention to your internal policies and employee access of records, including how you share data with 3rd parties and how easily someone could access the data subject's information.

Som du kan se fra hovedpunkterne herover, så handler GDPR (og andre lovgivninger om beskyttelse af privatlivets fred) om at sikre, at de oplysninger, vi indsamler og bruger til at skabe succes for vores virksomheder, sikres og beskyttes på passende vis.


Hjalp denne artikel?
Tak for din feedback. Benyt telefonnummeret til support eller chat-funktionen ovenfor, hvis du vil tale med en kundeservicerepræsentant.
Det glæder os, at vi kunne hjælpe! Er der andet, vi kan gøre for dig?
Beklager. Fortæl os, hvad du fandt forvirrende, eller hvorfor løsningen ikke løste dit problem.