Skip to content

Er ditt nettsted GDPR-kompatibelt?

I henhold til GDPR (General Data Protection Regulation) er kravene til samtykke svært klare. "Den registrerte (internettbrukeren) må gi et fritt samtykke for at den behandlingsansvarlige (nettstedet) kan begynne å samle inn og behandle hans eller hennes personopplysninger".

Er ditt nettsted i overensstemmelse med GDPR? Finn ut i denne artikkelen.

Det er også slik at det ikke spiller noen rolle hva slags system, program eller leverandør som registrerer . Regelverket er likt for enten om det er nettstedet selv (førsteparts cookies) eller av andre tjenesteleverandører (tredjeparts cookies).

Hva er å anse som personopplysninger?

I henhold til definisjonen er personopplysninger følgende:

"Personopplysninger betyr all informasjon knyttet til en identitet eller identifiserbar fysisk person (datasubjekt); en identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, særlig ved henvisning til en identifikator som et navn, et identifikasjonsnummer, stedsdata, en online identifikator, eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen."
- GDPR Article 4

Ut i fra dette, så kan vi trekke følgende informasjon som identifikatorer:

  • Navn
  • Identifikasjonsnummer
  • Stedsdata
  • Onlinefaktorer
  • Flere faktorer (biometriske data)

Hvis man ser på andre elektroniske idenfikatorer, gir Recital 30 i GDPR oss denne ikke-uttømmende listen:

  • IP adresser
  • Informasjonskapsler
  • Andre elektroniske identifikatorer, som for eks RFID

Dette er identifikatorer som refererer til informasjon relatert til personens verktøy, applikasjoner eller enheter som datamaskiner, smarttelefoner eller nettbrett. Også all informasjon som kan identifisere en bestemt enhet, for eksempel fingeravtrykk, blir også klassifisert som online-identifikator. 

Hvem gjelder dette? 

GDPR gjelder ethvert nettsted eller app som samler inn/og eller behandler EU+EØS-borgeres personopplysninger. Dette er uavhengig om nettstedet ligger innenfor eller utenfor EU/EØS.

Kort sagt: Alle kommersielle nettsteder som samler data.

Det er nettstedseieren, administratoren eller selskapets databeskyttelsesansvarlige (DPO) som er ansvarlig for å sørge for at nettstedet overholder GDPR i forhold til informasjonskapslene som samles inn og behandles.

Nettstedet er "dataansvarlig" og er derfor ansvarlig for å samle inn gyldig samtykke for cookies og databehandling.

Dette gjelder selv om cookiene ikke eies av selskapet, men er fra andre tredjepartsleverandører som Google Analytics, Hotjar, Facebook Pixel osv. Tredjepartstjenestene er databehandlerne.

Tilfredsstiller du GDPR? 

  • Har du nettsted uten samtykkebanner? Nei
  • Har du implementert samtykkebanner som kjøres etter sporingskodene er kjørt? Nei
  • Har du nettsted med samtykkebanner, men samtykkebanneret styrer ikke cookies satt? Nei
  • Har du et nettsted med samtykkebanner, og samtykkebanneret styrer cookies, men bruker har ikke mulighet til å rette opp i sitt valg i etterkant? Nei
  • Overfører du data til tredjepartsleverandører utenfor EU/EØS og som ikke har oppdatert databehandleravtale i henhold til regelverket? Nei
  • Har du prosedyrer på plass som sikrer at brukere enkelt kan be om innsyn i, endring av, eller sletting av sine data? Hvis ikke, nei.
  • Er prosessen for å besvare slike forespørsler innenfor de tidsrammene som er satt av GDPR? Hvis ikke, nei. 
    Har du en oppdatert og lett tilgjengelig personvernspolicy som klart beskriver hvordan du samler inn, bruker, lagrer og deler persondata? Hvis ikke, nei. 
  • Har du implementert en enkel måte for brukere å trekke tilbake samtykket de har gitt, og slette data som er samlet inn på grunnlag av dette samtykket?  Hvis ikke, nei.
  • Har du gjennomført risikovurdering for databeskyttelse (DPIA) der det er nødvendig? Hvis ikke, kanskje ikke. 
  • Har du et system for raskt å oppdage, rapportere og håndtere brudd på persondatasikkerhet? Hvis ikke, kanskje ikke. 
  • Vet du hvilke frister som gjelder for rapportering av slike brudd til relevante myndigheter og til de berørte personene? Hvis ikke, kanskje ikke. 
  • Er samtykkebanneret utformet slik at det er like enkelt å velge nei, som det er å velge ja? Hvis ikke, nei. 
  • Samles det kun inn persondata som er strengt nødvendig for å oppnå ditt formål? Hvis ikke, kanskje ikke. 
  • Har du definert hvor lenge du lagrer persondata, og kommuniserer du dette til brukerne? Hvis ikke, nei. 
  • Bruker du automatiserte beslutningssystemer eller profilering? Hvis ja, informerer du brukere om dette og gir dem mulighet til å motsette seg slike prosesser? Hvis ikke, nei.

Vanlige feiloppfatninger som kan sette nettstedet i fare

"Vi trenger ikke samtykkebanner."

  • Farlig fordi: Uten samtykkebanner risikerer du å sette cookies eller samle inn persondata uten brukerens eksplisitte samtykke, noe som er et klart brudd på GDPR.

"Vi samler bare inn 'ufarlig' data, så GDPR gjelder ikke for oss."

  • Farlig fordi: GDPR gjelder for all persondata, uavhengig av hvor "ufarlig" du måtte vurdere den. Selv e-postadresser og IP-adresser er beskyttet under regelverket.

"Vi er et lite selskap, myndighetene bryr seg ikke om oss."

  • Farlig fordi: GDPR gjelder for alle virksomheter som behandler persondata i EU/EØS, uansett størrelse. Myndighetene kan bøtelegge både små og store selskaper.

"Vi bruker bare tredjeparts tjenester, så ansvaret ligger hos dem."

  • Farlig fordi: Selv om du bruker tredjepartsleverandører, er det fortsatt ditt ansvar å sikre at de overholder GDPR, og at du har inngått nødvendige databehandlingsavtaler.

"Brukerne kan bare velge å ikke bruke nettstedet vårt hvis de ikke liker praksisen vår."

  • Farlig fordi: GDPR gir brukerne rettigheter som du som databehandler er pliktig å respektere, uavhengig av om brukeren velger å bruke tjenesten eller ikke.

"Vi har personvernpolicyen vår, så vi er dekket."

  • Farlig fordi: En personvernpolicy er viktig, men det er bare ett aspekt av etterlevelse. Du må også sikre at alle dine databehandlingspraksiser faktisk overholder GDPR i praksis.

"Ingen har klaget så langt, så vi gjør nok alt riktig."

  • Farlig fordi: Fraværet av klager betyr ikke nødvendigvis at du er i samsvar med GDPR. Mangler i etterlevelsen kan bli oppdaget gjennom tilsyn, og det kan få alvorlige konsekvenser.

"GDPR er bare byråkrati og hindrer virksomheten vår."

  • Farlig fordi: Dette synet overser de reelle risikoene og bøtene som kan følge av ikke-etterlevelse. GDPR handler om å beskytte personers rettigheter, og dette er noe alle virksomheter må ta på alvor.

"Vi er et e-handelsnettsted, og vi vil miste kunder hvis vi bruker samtykkebanner."

  • Farlig fordi: Å unngå samtykkebanner for å beholde kunder kan føre til alvorlige GDPR-brudd. Manglende samtykke kan resultere i bøter og rettslige konsekvenser som vil være langt mer skadelig for virksomheten enn et korrekt implementert samtykkebanner. I tillegg er det mulig å utforme samtykkebannere på en måte som ikke skremmer bort kunder, men heller bygger tillit ved å vise at du tar personvern på alvor.

"Aldri hørt om at et nettsted får direkte bot. Vi får nok beskjed først."

  • Farlig fordi: Dette er en misoppfatning. Myndighetene kan ilegge bøter uten forvarsel hvis bruddet er alvorlig nok. Selv om tilsynsmyndigheter noen ganger gir advarsler eller pålegg om forbedringer først, er det ingen garanti. Å stole på at du får en advarsel kan koste deg dyrt hvis du allerede er i brudd med GDPR-regelverket. Forebygging og etterlevelse bør være din prioritet, ikke å vente på at myndighetene tar kontakt.

Hva er konsekvensen av å ikke være i henhold til GDPR? 

Det er flere større konsekvenser av å ikke være i henhold til GDPR. 

1. Høye Bøter
  • Administrative bøter: GDPR gir tilsynsmyndigheter rett til å ilegge betydelige bøter. Disse kan være opptil 20 millioner euro eller 4 % av selskapets globale omsetning, avhengig av hvilket beløp som er høyest. Bøtenes størrelse avhenger av alvorligheten av overtredelsen, omfanget av de berørte dataene, og hvorvidt overtredelsen var forsettlig eller på grunn av uaktsomhet.
2. Omfattende Undersøkelser
  • Tilsynsundersøkelser: Hvis det oppdages at du ikke etterlever GDPR, kan tilsynsmyndighetene (for eksempel Datatilsynet i Norge) igangsette en grundig undersøkelse av dine databehandlingsaktiviteter. Dette kan føre til ytterligere juridiske og administrative kostnader, samt forstyrrelser i virksomheten.
3. Pålegg om å Stanse Databehandling
  • Stans av databehandling: Myndighetene kan pålegge deg å midlertidig eller permanent stoppe behandling av personopplysninger inntil du er i samsvar med regelverket. Dette kan lamme virksomhetens evne til å operere, spesielt hvis persondata er sentralt for forretningsmodellen.
4. Omdømmeskade
  • Tillitstap: En offentliggjøring av at du har brutt GDPR kan føre til betydelig omdømmeskade. Dette kan føre til tap av kunder, redusert tillit fra forretningspartnere, og negative medieoppslag som kan skade din merkevare i lang tid.
5. Kundeklager og Individuelle Søksmål
  • Klage og søksmål: Privatpersoner har rett til å klage til tilsynsmyndighetene hvis de mener deres personvernrettigheter er krenket. De kan også gå til søksmål mot virksomheten for økonomisk erstatning for eventuelle skader de har lidd på grunn av brudd på GDPR. Dette kan føre til kostbare rettssaker og ytterligere økonomiske belastninger.
6. Kostnader for Etterlevelse i Etterkant
  • Retroaktiv etterlevelse: Hvis du blir pålagt å bringe din databehandling i samsvar med GDPR etter et brudd, kan kostnadene for dette være betydelige. Dette inkluderer kostnader for juridisk rådgivning, teknologiske oppgraderinger, og opplæring av ansatte.
7. Begrenset Internasjonal Handel
  • Handelsrestriksjoner: Hvis du ikke overholder GDPR, kan internasjonale partnere nekte å samarbeide med deg, spesielt i tilfeller hvor dataoverføringer mellom EU/EØS og andre land er involvert. Dette kan begrense din evne til å drive forretning på tvers av landegrenser.
8. Forpliktelse til Rapportering av Brudd
  • Bruddrapporteringskrav: Ved et brudd på persondatasikkerheten er du forpliktet til å varsle både tilsynsmyndigheten og de berørte personene innen 72 timer. Manglende overholdelse av dette kravet kan forverre konsekvensene av bruddet, både juridisk og i form av omdømmeskade.

Konsekvensene av ikke å være i henhold til GDPR kan derfor være betydelige, både økonomisk, juridisk og forretningsmessig. Det er derfor viktig å prioritere etterlevelse for å unngå disse risikoene.

Er du usikker? 

Hvis du er usikker på noe av dette, så ta kontakt med oss slik at vi kan hjelpe deg med å sørge for at ditt nettsted er i henhold til GDPR. Vi sørger for at du er kompatibel. 

Ta kontakt med oss her

Kommentarer