Privatlivspolitikken: Hvad skal den indeholde?

//Privatlivspolitikken: Hvad skal den indeholde?

Privatlivspolitikken: Hvad skal den indeholde?

 

 

Noget af det første som du nemt kan implementere når du arbejder med GDPR, er en privatlivspolitik. Men hvorfor skal man egentlig have en privatlivspolitik? Og hvad skal den indeholde? Det får du svar på i dette blogindlæg.

 

Hvorfor skal man have en privatlivspolitik?

Ifølge databeskyttelsesforordningen skal behandling af persondata være gennemsigtig, derfor har man pligt til at oplyse folk om bestemte ting, når man indsamler persondata. Det kan din privatlivspolitik hjælpe dig med. Samtidig hjælper den med at gøre behandlingen af persondata gennemsigtig, fordi den forklarer dine interessenter, hvordan du anvender de persondata, som du indsamler om dem. På den måde kan din privatlivspolitik gøre folk trygge ved at videregive deres oplysninger til dig og understøtte din troværdighed.

Privatlivspolitikken skal være tilgængelig der, hvor du indsamler persondata, det gør du fx hvis du har en kontaktformular eller en bestillingsformular på din hjemmeside. Derudover kan du placere den øverst eller nederst på din hjemmeside, så den altid er let at finde.

Hvad skal den indeholde?

Hvis du indsamler persondata og du modtager disse direkte fra de registrerede, skal du give dem de oplysninger, der er beskrevet nedenfor. Oplysningerne skal bl.a. være med til at sikre en rimelig og gennemsigtig behandling. Vær opmærksom på, at oplysningerne skal gives i et enkelt og let forståeligt sprog.

Kontaktoplysninger

Privatlivspolitikken skal indeholde den dataansvarliges identitet (din identitet). Hvis du har en repræsentant, skal dennes identitet også stå i privatlivspolitikken.

DPO

Hvis din virksomhed har en DPO (Data Protection Officer), skal dennes kontaktoplysninger stå i privatlivspolitikken. De fleste private virksomheder har ikke, og skal heller ikke have, en DPO.

Formål og retsgrundlag

Du skal beskrive formålet med behandlingen, dvs. hvad persondata skal bruges til, samt retsgrundlaget for behandlingen. Med retsgrundlaget menes der hvilken lovhjemmel – eller med hvilken grund, du behandler persondata. Oftest vil der være tale om lov, legitim interesse eller samtykke. Hvis behandlingen er baseret på legitim interesse, skal disse interesser oplyses.

Modtagere

Hvis du videregiver de indsamlede persondata, skal dette oplyses. Ligeledes skal du informere de registrerede om, hvem der modtager oplysningerne eller hvilke kategorier af modtagere der er tale om.

Overførsel til tredjeland

Hvis du videregiver persondata til et tredjeland eller en international organisation skal dette oplyses. Under Databeskyttelsesforordningen er der tale om et tredjeland, hvis landet er uden for EU eller EØS-samarbejde.

Hvis du overfører persondata til et tredjeland, skal du oplyse de registrerede om, hvorvidt EU-kommissionen har taget stilling til dette lands beskyttelsesniveau. Derudover skal der henvises til de fornødne eller passende garantier eller oplyses om, hvordan man får adgang til garantierne.

Tidsrum for opbevaring

Du skal oplyse de registrerede om, i hvor lang tid deres oplysninger bliver opbevaret, eller hvilke kriterier der afgør, hvor længe oplysningerne skal opbevares.

Den registreredes rettigheder

Du skal ligeledes oplyse de registrerede om deres rettigheder, dvs. retten til at anmode om indsigt i, berigtigelse og sletning af persondata, begrænsning af behandling, gøre indsigelse mod behandling, retten til dataportabilitet etc.

Samtykke

Hvis du har fået samtykke til at behandle de registreredes persondata, skal de informeres om, at de til enhver tid kan trække deres samtykke tilbage.

Klage

Privatlivspolitikken skal oplyse de registrerede om, at de har ret til at klage til datatilsynet, hvis de er utilfredse med behandlingen af deres persondata.

Konsekvenser af ikke at afgive persondata

De registrerede skal oplyses om det, hvis de er forpligtet til at afgive persondata, fx hvis det er lovpligtig eller et krav for at indgå en kontrakt. Derudover skal den registrerede oplyses om, hvad konsekvenserne er, hvis de ikke vil afgive deres persondata.

Automatiske afgørelser og deres konsekvenser

Hvis der forekommer automatiske afgørelser på baggrund af de oplyste persondata, eksempelvis profilering, skal de registrerede oplyses om dette. Derudover skal de registrerede have meningsfulde oplysninger om logikken heri – dvs. det skal forklares hvorfor automatiske afgørelser finder sted, samt hvad konsekvenserne er for den registrerede.

Viderebehandling til andet formål

De registrerede skal informeres om det, hvis deres persondata viderebehandles til et andet formål, end det formål som oplysningerne er indsamlet til og, hvis det er relevant, yderligere oplysninger om viderebehandlingen.

For eksempel: En kunde vil gerne have flere oplysninger om et product, som din virksomhed sælger, derfor udfylder han/hun en kontaktformular hvor navn og e-mail indsamles. Informationerne viderebehandles til at sende kunden marketingmateriale. Kunden skal oplyses om dette, samt andre relevante oplysninger i forbindelse med viderebehandlingen.

Konklusion

Ifølge databeskyttelsesforordningen skal de registrerede kun oplyses om ovenstående oplysninger, hvis de ikke allerede er bekendt med dem. Det er dog en god ide at skrive oplysningerne ind i sin privatlivspolitik uanset, så har du gjort hvad du kunne, for at oplyse besøgende på din hjemmeside om, hvordan du anvender deres persondata.

 

 

By | 2018-09-20T06:09:10+00:00 september 20th, 2018|Blog|0 Kommentarer