Når vi som bedrifter innhenter personopplysninger om besøkende på nettsidene våre, abonnenter på nyhetsbrevet vårt og kundene våre så er vi forpliktet til å informere om hvordan dette foregår helt fra start. Det går innunder retten de registrerte har til informasjon, og den letteste måten å gjøre dette på er å publisere en personvernerklæring på våre nettsider og lenke til denne på våre landingssider.
Så etter at du har samlet inn all informasjon om hvordan du behandler data og ført alt inn i protokollen, bruker du protkollen som utgangspunkt og skriver en skreddersydd personvernerklæring til akkurat din bedrift.
Denne skal minimum inneholde følgende:
• Navn og kontaktopplysninger til den behandlingsansvarlige (det er deg)
• Kontaktopplysninger til personvernombudet – dersom relevant (kun lovpålagt dersom du omsetter for over 20 millioner NOK eller har 20 ansatte eller flere)
• Hva som er formålet med behandlingene, dvs. hva opplysningene konkret skal brukes til. F eks navn og epostadresse som samles inn på en landingsside med formål å sende freebee/rabattkode eller hva du nå tilbyr som verdi tilbake.
• Hva som er behandlingsgrunnlaget iht. GDPR art. 6 og 9. I eksempelet over benyttes Art 6.1.a Avtale. Altså trenger du å behandle epostadresse (evt også navn) for å kunne levere freebee som lovet, altså gjennomføre avtalen. Dersom du senere skal bruke denne epostadressen til å sende nyhetsbrev, må dette samtykkes til av den enkelte, altså behandles etter Art 6.1.a Samtykke. Artikkel 9 tas ibruk dersom det er snakk om å behandle særlig sensitive opplysninger. I mitt tilfelle, som leverer suksesscoaching i tillegg til hjelp med GDPR og vilkår, så føler jeg meg aller mest komfortabel med å oppgi Art 9.2.a Uttrykkelig samtykke i tillegg til Art 6.1.a som er vanlig samtykke, siden det er rimelig å anta at det vil bli snakk om sensitive ting i coachingtimene.
• Dersom behandlingen er basert på en interesseavveining, jf. GDPR art. 6 nr. 1 f), skal det gis informasjon om hva som er virksomhetens berettigede interesse i å behandle opplysningene og informasjon om selve interesseavveiningen. F eks analyse av adferd på nettsted kan gjøres på grunnlag av Art 6.1.f berettiget interesse for å lage mer av den type innhold som blir mest lest/besøkt etc.
• Hvis behandlingen er basert på en lovfestet eller avtalefestet plikt til å gi opplysningene, eller opplysningene er nødvendig for å oppfylle en avtale med den registrerte, jf. GDPR art. 6 nr. 1 b), skal det gis informasjon om hva som er konsekvensene dersom den registrerte ikke gir opplysningene, for eksempel at avtalen ikke kan oppfylles. F eks «Dersom du ikke ønsker å oppgi epostadresse kan vi ikke sende deg freebee’en» eller «Dersom du ikke ønsker å bidra til analyse av besøkende adferd på våre nettsteder, må du ikke bruke nettsiden vår»
• Hvilke typer personopplysninger som behandles for de ulike formålene, for eksempel navn, adresse, fødselsnummer, IP-adresse, kundenummer, lokasjon, bruksmønster, betalingsinformasjon, innhold i eposter, informasjon gitt fritt i nettmøter/lives etc
• Hvis opplysningene hentes fra andre kilder enn den registrerte selv, skal det gis informasjon om hvilke kilder opplysningene kommer fra. F eks analyse av adferd på nettsteder gis ikke direkte av den besøkende, men fanges opp av analytics programmet vi bruker. Da skal analytics programmet oppføres som kilde.
• Hvor lenge opplysningene vil bli lagret, altså når du skal slette opplysningene.
• Hvem opplysningene utleveres til, f.eks. databehandlere og offentlige myndigheter. Databehandlere er alle de som behandler data på din bestilling, som f eks bedriftsepost, epost leverandør (der du lager landingssider og sender nyhetsbrev fra), kursportaler, nettmøte systemer, betalingsløsninger etc
• Om opplysningene overføres til land utenfor EU/EØS-området (tredjeland) og hvilket overføringsgrunnlag som ligger til grunn. F eks Navn og epostadresse som sendes til Kajabi i USA med grunnlag i eksplisitt samtykke.
• Hvorvidt det er tatt ibruk automatiserte avgjørelser, som f eks profilering, og informasjon om den underliggende logikken, betydningen og eventuelle konsekvenser behandlingen kan medføre for den registrerte
• En tydelig fremstilling av den registrertes rettigheter til å trekke tilbake et samtykke, kreve innsyn, retting, sletting, begrensning, gjøre innsigelse eller kreve dataportabilitet, og hvordan de registrerte skal gå frem for å gjøre bruk av sine rettigheter overfor virksomheten
• Informasjon om bruk av cookies/informasjonskapsler. Alle nettsider bruker noen slike som er helt nødvendige for å levere innholdet på nettstedet. Andre typer cookies/informasjonskapsler kan f eks være slike som gir deg innsikt i adferd på nettsider, landingssider, eposter og i kurs/medlemsportaler, mens andre igjen kan rette annonser til besøkende på nettsiden din. Alt dette skal informeres om enten i personvernerklæringen eller i en egen cookieerklæring sammen med en forklaring på hvordan disse kan deaktiveres og/eller slettes i nettleseren til kunden.
- Informasjon om muligheten for den registrerte å klage til Datatilsynet dersom vedkommende mener feilbehandling har skjedd.
Så det er altså hva en personvernerklæring minst skal inneholde.
Avhengig av type produkter/tjenester du leverer kan det være lurt å føre opp aldersgrense, hva du gjør for å sikre informasjonssikkerhet, prosedyrer for data-breach etc.
Om du trenger hjelp til å lage din egen personvernerklæring, hopp inn HER for å se hvilke muligheter jeg kan tilby.
Jeg er her for din suksess 🙂