GDPR på webben

I och med att en ny Europeisk Dataskyddsförordning ("GDPR") träder i kraft den 25 maj 2018 kommer vi på E-Space att i god tid göra några smärre förändringar i våra tjänster och villkor. Ni som använder våra tjänster kommer inte att märka någon större förändring, men eftersom det talas mycket om GDPR just nu så vill vi gärna informera tydligt om vad vi gör och varför.

E-Space tar även i framtiden det fulla personuppgiftsansvaret för alla data som samlas in med våra tjänster. Självklart behandlar vi alltid personuppgifter enligt gällande lagar och regler. Eftersom dessa nu uppdateras så har vi har gjort en del förändringar i våra databasstrukturer och i interna policys. Vi ändrar också vissa formuleringar i enkäterna för att ytterligare förtydliga samtycke och för att undvika att samla in personuppgifter i fritextfält.

Alla nya tjänster som läggs upp kommer från och med 180201 att innehålla de nya formuleringarna. I redan aktiva enkäter kommer vi att göra en revidering i formuleringarna under april och maj månad 2018. Om Du har en aktiv enkät från oss under den tiden så kommer vi att kontakta Dig och meddela datum för förändringarna.

E-Space har identifierat alla personuppgifter som samlas in och finns i våra databaser Vi har gjort en genomgång och beslutat hur varje del skall hanteras. Alla uppgifter som finns i E-Space register har lagligt stöd i form av samtycke. Vi har också infört nya policys och processer för hantering av de olika registren.

All insamlad personinformation lämnas under sekretess. Lämnad e-postadress lagras endast hos E-Space och lämnas ej ut till någon part, såvida inte respondenten ber om det. Uppföljande undersökningar baserade på lämnade e-postadresser görs endast av   E-Space åt respektive E-Space-kund som samlat in adresserna i sina undersökningar.   E-postadresser säljs aldrig vidare. En respondent kan själv begära att få sina personuppgifter raderade från E-Space register, rätten att bli glömd. Maila oss sådan begäran på denna adress: info@e-space.se.

Om Du eller någon annan i Er organisation vill veta mer om hur E-Space samlar in och hur vi hanterar personuppgifter så kontakta oss gärna via info@e-space.se.


Vad innebär GDPR för webbarbetet?

Fem viktiga punkter för säkerhetsställande av webbplatsen

GDPR kommer att innebära stora förändringar i hur företag bör hantera personuppgifter/data även på webbplatserna. 

Här är de viktigaste stegen

För att uppnå kraven GDPR kring öppenhet och samtycke i maj 2018:

1.   Gå igenom dina digitala leverantörer

Även en egenproducerad webbplats kan ha ett antal länkar/taggar från tredje part leverantörer inbäddade på sidorna. Tekniken används ofta för att deras olika digitala marknadsföringsverktyg ska fungera. Ofta, kan dessa taggar ge tillgång till data från andra externa företag som webbplatsägarna inte är medvetna om. Tillåter man dessa taggar på sin webbplats, ger man indirekt de leverantörerna rätt att samla in besöksdata. En nyligen genomförd undersökning fann att de översta tusen mest besökta webbplatserna i USA hade i genomsnitt 75 olika tekniker i sin marknadsföring i molnet. Enligt GDPR ansvarar du för att tillhandahålla meddelande och samtycke för var och en av dessa tekniker, även de du inte medvetet godkänt. 

Det innebär:

•      Du behöver genomföra en grundlig genomgång av din webbplats för att få en översikt över din ”digitala marknadsföring från leverantörer” av tredjepartsleverantörer.
 

•      Du behöver arbeta med både marknadsföring och IT för att få en större insyn i din digitala marknadsföring. Öppenhet är bland de många krav som GDPR ålägger de ansvariga.
 

•      Du måste kontrollera var taggar och skript aktiveras ifrån och styra hur och när de aktiveras, utifrån användarens/besökarens medgivande.
 

2.   Genomföra en webbplatsanalys

•      Analysera de olika besökarnas profilering, aktiviteter (tracking) som bedrivs på dina webbplatser. Vilka data som du, dina leverantörer och deras partners samlar in, och varför?
 

•      Utvärdera de olika nivåerna av datakänslighet som innefattas i var och en av dessa insamlingsaktiviteter, och rangordna riskerna.
 

•      Analysera vilka uppgifter som sparas i databasen.
 


 

3.   Avgöra den rättsliga grunden för datainsamlingen

Enligt GDPR kan personliga data inklusive IP-adresser, enhetsidentifierare och annat som kan användas för att identifiera en individ – endast samlas in om du har en ”rättslig grund” att stå på.

Några exempel på rättslig grund:

•      Det är nödvändigt för att uppfylla ett kontrakt

•      Skydda rättigheter eller säkerhet i ett ärende

•      Det finns ett giltigt domstolsbeslut

•      Du har ett legitimt intresse att samla in någons personuppgifter, till exempel så att du kan skicka en bok som hon precis köpt till sin hemadress.

Om det saknas en giltig rättslig grund att samla in någons personuppgifter på, måste du få deras samtycke.

När du har bedömt varje datainsamling som händer på din webbplats, måste du börja skapa en process för att erhålla tillstånd från någon som faller in under samtycke. Som tidigare nämnts måste samtycken vara specifika för den faktiska datauppgiften som samlas in, jakande och otvetydig. I en värld av digital annonsering, där data samlas in och utbyts i nanosekunder, kommer detta att visa sig vara särskilt besvärligt.
 

4.   Konfigurera en process för sekretessrättigheter

Under GDPR har konsumenter en mängd nya sekretessrättigheter avseende deras personuppgifter och företag har skyldighet att upprätta interna processer för att hantera dessa rättigheter. Ditt företag behöver skapa ett kontaktformulär för besökare där de kan begära åtgärder angående sina uppgifter och en åtföljande process för att uppfylla dem.

Några av rättigheter kring personuppgifter enligt GDPR:

•   Rätt till uppgiftsportabilitet: din ”registrerade” (besökare eller kund) kan begära att få ut alla personuppgifter som han eller hon har lämnat till organisationen, och sedan vidarebefordra dessa till ett annat företag utan ”hinder” från dig.

•   Rätt till radering/rätten att bli bortglömd: den ”registrerade” kan begära att du raderar några eller alla personuppgifter om honom eller henne, ”utan oskäligt dröjsmål”. Detta avser inte uppgifter som behövs för att upprätthåll en aktiv relation.

•   Rätt till objektet: besökare/konsumenten kan motsätta sig behandlingen av deras personuppgifter, såvida inte du kan påvisa goda skäl för att göra åsidosätta personens intressen.

•   Rätt till uppgifterna: alla personer har rätt att få veta från dig om du använder deras personuppgifter och i så fall rätt att komma åt den.

•   Rätt till rättelse: en person kan be dig att rätta/korrigera eventuella felaktiga personuppgifter som du har om honom eller henne

·         Rätt att invända mot profilering (genom automatiserade processer) - Detta är besläktat med spårning och konsumenten har laglig rätt att invända mot denna verksamhet.
 

5.   Design runt ”GDPR samtycke”

GDPR anger en webbplatsägaren måste följa ”dataskydd genom design och standard”. För att säkerställa att du uppfyller de höga kraven för giltigt samtycke, bör alla användare on-line tillåtas att tydligt ge samtycke av ”ett uttalande eller en entydig bekräftande handling”. Vad innebär ”design och standard” åtgärderna som bör vidtas, för att säkerställa att din webbplats uppfyller GDPR?

Några exempel:

·         En banner ska visas på webbplatsen som begär användarens/besökarens samtycke kan tillämpligas. De måste dock kunna komma åt webbplatsen, även om de ännu inte har gett sitt samtycke.
 

·         Banner och allt underlag måste vara skrivet i lättförståeligt språk, inte juridisk text, och bör tydligt förklara hur och varför du vill samla in deras data.
 

·         Tystnad, förmarkerade rutor eller inaktivitet utgör inte giltigt samtycke, och inte heller kan samtycke härledas genom en besökares aktiviteter, t.ex. som att gå till en annan sida på webbplatsen.
 

·         Samtycke anses inte frivilligt om det finns en ”tydlig obalans” mellan besökaren och webbplatsens ägare, operatören, företaget eller organisationen. Det går inte att göra en tjänst som förutsätter samtycke, om inte användarens data är nödvändigt för tjänsten.
 

·         En besökare/användare ska kunna visas en ren och begriplig lista med alla leverantörer och de data som samlas in, och möjliggöra att samtycke ges specifikt för varje.
 

·         Besökaren/användaren bör få veta att de lätt kan återkalla sitt samtycke när som helst och begära att deras personliga uppgifter raderas.

Konsumenterna är i allmänt rädd för att företag inte kan hantera deras personuppgifter. Inte mindre än 71% av dem, tror att varumärken med tillgång till uppgifterna använder det på ett oetiskt sätt. Därav verkar det som GDPR erbjuder ett andra syfte: att rädda företag från sig själva. Hur då? Det har visat sig att får besökarna tillbaka kontrollen över sina personuppgifter, har de belönat dessa varumärken. Ett exempel:

·         Efter Facebook genomfört (och främjat) en öppen inställning till sekretess, där användare kan justera inställningar för personuppgifter, har 61% av användarna gjort ändringar.

·         Under samma period har Facebook lagt till 467 miljoner nya användare och har totalt 1,86 miljarder i slutet av 2016.