GDPR-sjekkliste: Nettstedsoperatører må ta hensyn til dette
Gründere og nettstedoperatører i hele EU skjelver før GDPR. Vi har derfor samlet en sjekkliste for deg med de viktigste punktene.
GDPR-sjekkliste: Dette er hva nettstedet ditt har å tilby
Som nettstedoperatør bør du vurdere GDPR nøye, slik at du ikke blir utsatt for alvorlig høye straffer. Ellers kan bøter på opptil 20 millioner euro eller fire prosent av verdensomsetningen resultere.
- En av nøkkelmeldingene til den nye GDPR er "Privacy by Design" og betyr at databeskyttelse skal teknisk implementeres i mekanismene for databehandling. Med andre ord: Utformingen av en databehandlingsprosess må implementeres i samsvar med GDPR og skal ikke tillate noen avvik fra et teknisk synspunkt.
- En leselig og forståelig erklæring om databeskyttelse er også obligatorisk. Du kan for eksempel integrere dette i bunnteksten. Du kan finne eksempler på databeskyttelseserklæringer - også gratis - på Internett
- Du trenger også en såkalt prosesskatalog. I den må du registrere hvilken informasjon som lagres av hvilken grunn av hvem og hvor lenge. Lovgiveren stiller ikke store krav til formen til denne katalogen, du kan finne noen maler på Internett.
- Du har sannsynligvis allerede implementert informasjonsbanneret for bruk av informasjonskapsler. Hvis ikke, er det på høy tid for det. Det er best å plassere en knapp ved siden av banneret som sier "Ja, jeg er enig" og å koble til personvernreglene.
- Hvis du bruker skjemaer for datainnsamling, må brukeren aktivt godta at denne informasjonen er lagret. Et eksempel på dette er et kontaktskjema, der du bare legger til en avmerkingsboks for samtykke. Sørg imidlertid for at avkrysningsruten ikke er forhåndsvalgt - brukeren må ta dette trinnet selv.
- Et annet viktig poeng med GDPR er at du som nettstedoperatør må overlate brukerne dine alle dataene du har lagret om dem gratis. Så du bør kunne gjøre det på forespørsel fra brukerne.
GDPR: Sjekk eksterne leverandører
Hvis du bruker eksterne databehandlingstjenester, må du sørge for at de også opptrer i samsvar med GDPR - uavhengig av om de er lokalisert i EU eller i et annet EU-land. Hvis du for eksempel behandler kundedataene dine ved hjelp av et webverktøy, må du innhente skriftlig bekreftelse fra operatøren om at GDPR blir overholdt. Hvis du ikke gjør dette, er du ansvarlig for bruddene på den eksterne tjenesteleverandøren.
- Et annet viktig poeng er de sosiale delingsikonene. De små knappene for å dele en side sender uønsket brukerdata til den respektive leverandøren. Hvis du for eksempel kaller opp en side med en "Del på Facebook" -knapp, mottar Facebook automatisk informasjonen du har vært på denne siden - selv om du ikke har klikket på knappen i det hele tatt. I fremtiden kan disse dataene bare overføres etter at du har valgt aksjeopsjonen.
- Hvis du bruker eksterne verktøy som Joomla eller Wordpress for å opprette nettstedet ditt, bør du sørge for at de også er i samsvar med GDPR.
- Bruk av Google Analytics kan også forårsake problemer. Du må påpeke dette i din databeskyttelseserklæring, og du må også gi brukerne dine muligheten til å forhindre datainnsamling. Du må også anonymisere brukernes IP-adresser. Du kan gjøre dette med kodebiten "anonymizeIP". Du må også fullføre et tillegg for databehandling med Google.