Kontoadministrasjon Hjelp

Hva betyr GDPR for bedriften min?

Hva er GDPR?

Den generelle personvernforskriften (GDPR) er en lov i Den europeiske unionen (EU) med fokus på data- og personvern for alle borgere og innbyggere i EU. GDPR regulerer hvordan bedrifter, inkludert GoDaddy, kan behandle personopplysninger om EUs individer. GDPR trådte i kraft den 25. mai 2018. Du finner en mer detaljert beskrivelse av hva GDPR er og hvordan GoDaddy overholder GDPR i informasjonen på vårt Personvernsenter.

GoDaddy er ikke et advokatfirma

Vi håper dette dokumentet vil gi deg en oversikt over hva GDPR er og hva den kan bety for deg, men GoDaddy driver ikke juridisk rådgivning og dette er ikke en uttømmende veiledning til GDPR. Enhver virksomhets situasjon er forskjellig, og GDPR som en lov, er svært kompleks. Hvis du har spesifikke spørsmål rundt virksomheten din og hvordan den kan påvirkes av GDPR (og andre gjeldende personvernlover), anbefaler vi på det sterkeste at du rådfører deg med en jurist.

Vi er ikke eksperter på din virksomhet

Selv om vi gjerne skulle gitt deg eksplisitte råd om hvordan du bør håndtere overholdelsen din av GDPR, er dette praktisk umulig. Hver virksomhet drives på forskjellig måte, med ulike retningslinjer, protokoller, ansatte, plasseringer osv. Vi ville således gi en oversikt over GoDaddys innfallsvinkel til GDPR, men det finnes mange nyanser i forskriften, som vi har fremhevet for deg i dette dokumentet, der du må gjøre din egen vurdering avhengig av din bestemte situasjon.

Hva gjør GDPR annerledes?

GDPR er ikke veldig forskjellig fra andre personvernlover rundt om i verden. Det som gjør GDPR svært høyprofilert, er at den rekker utover EU til enhver virksomhet i verden som behandler personopplysninger om EU-personer, og den medfører betydelige straffer (opptil 20 millioner Euro eller 4 % av global årlig omsetning) for manglende samsvar. Så, flere land, større bøter og bredere omfang innebærer mer mediadekning. Det vil ikke si det samme som at det ikke er forskjell – GDPR krever at berørte selskaper gir kundene sine bestemte rettigheter (slik som «retten til å bli glemt» og en «rett til dataportabilitet») og implementerer bestemte konserntiltak for samsvar.

Er virksomheten min berørt?

Det er flere grunner til at virksomheten din kan være berørt. Hvis bedriften din er plassert i eller hvis du gjør forretninger med kunder innenfor Det europeiske økonomiske samarbeidsområdet (EØS) når du selger varer eller tjenester, må du lese videre. Hvis du ikke gjør forretninger i denne regionen eller på annen måte innretter deg mot personer i EU, er sannsynligvis alt allerede i orden (igjen, rådfør deg med dine egne juridiske rådgivere for å bekrefte dette).

Er mitt/mine GoDaddy-produkt(er) og tjeneste(r) i samsvar med GDPR?

Ingen produkter eller tjenester er i seg selv «GDPR-samsvarende». Når de er riktig konfigurert for dine bestemte forretningsbehov og brukes i kombinasjon med andre tiltak, retningslinjer og prosesser (hvorav noen beskrives nedenfor) som du implementerer som nødvendig for din spesifikke virksomhet , kan de brukes på en GDPR-samsvarende måte. Ingen kjenner virksomheten din bedre enn du gjør. Selv om GoDaddy håper å tilby verktøyene og ressursene som hjelper virksomheten din oppnå GDPR-samsvar, og vi er her for deg, er vi ikke egnet til å sikre din overholdelse av alle lover som gjelder for virksomheten din.

Hva betyr det å være GDPR-samsvarende?

GDPR fokuserer sterkt på vernet av personopplysninger. For å gjøre en lang historie kort handler dette om å sikre at personopplysningene for kundene dine er beskyttet og brukes på riktige måter. Nedenfor finner du noen nøkkeldefinisjoner i henhold til loven, som vil hjelpe oss med å definere det respektive ansvaret i forbindelse med håndtering av personopplysninger før vi gir oss i kast med detaljene:

  • Datasubjekt: Personen som oppgir personopplysningene. Dette kan være en kunde, en ansatt eller noen som besøker nettstedet ditt (sistnevnte hvis du samler inn informasjon om dem ved bruk av «informasjonskapsler og lignende teknologi»).
  • Behandlingsansvarlig: Parten som fastsetter formålet med og midlene for behandling av personopplysningene.
  • Databehandler: Parten som behandler personopplysninger på vegne av den behandlingsansvarlige.
  • Behandling: Enhver operasjon eller sett av operasjoner som utføres på personopplysninger, enten på automatiserte måter eller ikke, for eksempel innsamling, opptak, organisering, strukturering, lagring, tilpasning eller endring, gjenopphenting, konsultasjon, bruk, utlevering ved overføring, spredning eller tilgjengeliggjøring på annen måte, innretting eller kombinering, begrensning, sletting eller destruksjon.
  • Personopplysninger: GDPR gjelder kun «personopplysninger», som betyr informasjon forbundet med en identifiserbar person som kan identifiseres individuelt, direkte eller indirekte, med henvisning til en identifikator. Denne definisjonen gir rom for at en lang rekke personlige identifikatorer utgjør personopplysninger, inkludert navn, ID-nummer, posisjonsdata eller nettbasert identifikator, som reflekterer endringer i teknologien og hvordan organisasjoner samler inn informasjon om folk. Generelt er det slik at hvis du bruker dataene til å identifisere en bruker, kunde eller noen andre, er dette personopplysninger.

Hva betyr disse definisjonene for meg?

I vårt forhold finnes det tider der vi er behandlingsansvarlig (når vi samler inn opplysninger fra deg i den hensikt å selge deg produktene og tjenestene våre – slik som ditt navn, adresse, e-postadresse, telefonnummer og kredittkortopplysninger) og ganger da vi er databehandleren og du er behandlingsansvarlig (slik som når du bruker våre driftede tjenester til dine egne forretningsformål og informasjon i dette tilfelle passerer våre servere slik at vi kan levere, administrere og vedlikeholde tjenestene for deg (mer om alt dette nedenfor)).

Hva nøyaktig krever loven?

Den offisielle versjonen av GDPR er 261 sider lang, den inneholder 173 erklæringer, 99 artikler og er (som nevnt) kompleks og ofte bred, vag og tvetydig (er vi ikke heldige?!). Vi skal gå gjennom noen få av hovedprinsippene:

  • Transparens

    Hvilke data samler du inn og hvordan vil de bli brukt? Det er et viktig prinsipp i alle personvernlover, inkludert GDPR, at du forklarer dette til kundene dine på en lesevennlig og lett forståelig måte.

    Vi antar du har mottatt omtrent en million meldinger i e-posten din om at «vi har oppdatert personvernerklæringen vår», eller hva? Dette er ingen tilfeldighet. GDPR krever at selskaper viser større åpenhet og er tydeligere om hvordan de samler inn og bruker kundenes opplysninger (med andre ord, gjør dette mer brukervennlig). Personvernerklæringer er mekanismen du bruker for å tilby åpenhet – den forklarer kundene dine tydelig og i et enkelt språk hvordan du samler inn og bruker personopplysninger og hvordan de kan kontakte deg eller hevde rettigheter de kan være tilkjent.

    GoDaddy tilbyr verktøy som gjør det mulig for deg å innarbeide retningslinjer for personvern på nettstedet ditt, og i noen tilfeller tilbyr vi maler som du kan arbeide fra. Fordi vi ikke kjenner til hvordan du driver virksomheten din, er det imidlertid umulig for oss å utstyre deg med en fullt samsvarende personvernerklæring.

  • Kundekontroller og administrasjon av samtykke

    Åpenhet er en flott begynnelse, men hvis du bruker (eller samler inn) informasjon fra kundene dine utover det som strengt tatt er nødvendig for å levere varene eller tjenestene du selger til dem, da må du også sikre at de blir gitt mulighet til å samtykke til ytterligere bruk, og utstyre dem med kontroller slik at de senere kan trekke tilbake dette samtykket.

    Det mest åpenbare eksemplet her er bruken av e-postadresser eller telefonnumre innsamlet for å kommunisere med kundene dine (vanligvis tenker vi i termer som å velge / velge bort slike kommunikasjoner/abonnementer). Disse opplysningene kan oppgis av kundene dine i forbindelse med at de oppretter en konto eller kjøper et produkt eller en tjeneste fra deg. De omfatter imidlertid også innsamlingen din av opplysninger om enkeltpersoner som besøker nettstedene dine, via verktøy vanlig kjent som «informasjonskapsler» (og lignende teknologier, som piksler, skripter osv.). Du har helt sikkert sett «informasjonskapsel-bannere» når du besøker nettsteder og lignende til bruk for en personvernerklæring, og disse informasjonskapsel-bannerne gir større åpenhet. Ved å vise en informasjonskapsel-banner kan den enkelte lære mer om hvilke verktøy som brukes til å samle inn informasjon om dem, godta eller avvise slik bruk og/eller ellers utøve detaljkontroll over hvilke informasjonskapsler som kan være akseptable for bruk.

    Under GDPR må kundene dine bli gitt retten til å samtykke til slik innsamling (og senere bruk), og den eneste måten man kan gi riktig samtykke på, er hvis du presenterer alternativet til å gi slikt samtykke på en enkelt forståelig og eksplisitt måte som er spesifikk (for den bestemte bruken). Forhåndsavmerkede bokser, taushet eller manglende aktivitet kan ikke brukes til å indikere kundens samtykke. Hvis du for eksempel har en avmerkingsboks på nettstedet ditt som sier «Vi vil dele dataene dine med tredjeparts annonsører», kan du ikke merke denne boksen på forhånd for å inkludere denne behandlingen av datasubjektets opplysninger. Boksen må være uten avmerking for datasubjekter i EØS frem til de frivillig velger inkludering eller uttrykker samtykke til slik behandling.

    Til syvende og sist må du sikre at kundene dine kan utøve kontroll over bruken av personopplysningene, kommunikasjoner og samtykket, inkludert retten til å trekke dette samtykket tilbake.

  • Retten til å bli glemt

    Vi har nevnt tidligere at selv om GDPR er svært lik andre personvernlover rundt om i verden – er dette én rettighet for kundene som er unik for GDPR. GDPR gir enkeltpersoner «retten til å bli glemt» («Retten til sletting» i henhold til loven). Dette betyr at kunden kan be om at deres personopplysninger slettes (og at de «glemmes»), der de innsamlede personopplysningene ikke lenger er nødvendig for formålene de ble samlet inn for eller ellers behandlet for.

    Der rettigheten foreligger må du slette datasubjektets personopplysninger fra systemet ditt (med mindre det finnes legitime forretningsformål eller juridiske grunner til at slike data må bevares, f.eks. av hensyn til økonomirapportering eller juridisk begrunnet retensjon).

    Hvis en kunde for eksempel bestemmer seg for å slutte å handle med deg, kan det være at de ikke lenger ønsker at du beholder informasjon om dem som ble innhentet tidligere og lagret av deg. Selv om det er begrensninger på denne rettigheten – med unntak og kompliserte nyanser – må du, som relevant, ta hensyn til hvordan og din evne til å imøtekomme denne forespørselen når den foreligger.

    GoDaddy vil for eget vedkommende, som vi har beskrevet og i samsvar med tillegget vårt om databehandling, imøtekomme forespørsler vi mottar fra deg (den behandlingsansvarlige) om å fjerne informasjon om kunder fra systemet vårt når slik henstilling foreligger.

  • Retten til dataportabilitet

    Retten til dataportabilitet er en annen rettighet som er unik for GDPR, som gir personer rett til å innhente og bruke om igjen personopplysningene sine for sine egne formål på tvers av forskjellige tjenester. Den gjør det mulig for dem å enkelt flytte, kopiere eller overføre personopplysningene fra ett IT-miljø til et annet på en trygg og sikker måte, uten at anvendeligheten påvirkes.

    La oss si at du er en selskapsarrangør. Kunden din oppgir alle sine kontaktopplysninger og relevante personlige preferanser til deg, men de flytter og bestemmer seg for å leie inn en ny arrangør. I EØS skal de kunne få en elektronisk kopi av sine personopplysninger for enkelt å kunne etablere seg med en ny arrangør. GoDaddy er her for å bistå deg med slike henvendelser i den grad din kundes personopplysninger finnes innenfor og kan eksporteres til deg fra produktene eller tjenestene vi leverer.

  • Personvern som design

    Personvern som design (eller som standard) betyr i hovedsak at når du innhenter, behandler, lagrer eller bruker personopplysninger, er de nødvendige beskyttelsene tatt hensyn til og inkludert – ingen spesielle hensyn, ingen ytterligere trinn trengs, kun minimum nødvendige opplysninger samles inn, mottas sikkert (f.eks. kryptert), lagres på et sikkert sted, og kun personer med et gyldig behov som har mottatt skikkelig opplæring, har tilgang til dem. Dette omfatter å påse at tredjeparter også har beskyttelsene på plass før du sender dine kunders personopplysninger til dem.

    Dette er i grunnen omtrent det samme som en pasient på legens venterom. Som pasient forventer du at legejournalen din, nedskrevne notater og råd du har fått, holdes trygge og konfidensielle. Vær like årvåken når det gjelder datasubjekter, og du vil holde deg i god orden.

    Enhver undersøkelse av forretningsvirksomheten din skal inkludere hvordan GoDaddys produkter og tjenester kan brukes, med hensyn til personvern. Selv om vi håper produktene og tjenestene våre kan konfigureres for å innfri dine spesifikke behov, er det opp til deg å ta en uavhengig avgjørelse om bruken av våre tjenester er tilstrekkelig til at du holder deg i samsvar med gjeldende personvern- og databeskyttelselover.

  • Varslinger om databrudd

    Hvis det uheldigvis skulle forekomme et personvernbrudd, har selskaper en plikt til å varsle tilsynsmyndigheten innen 72 timer etter at de ble kjent med bruddet eller uten unødvendig opphold. Hvis du trenger flere opplysninger om hvordan du melder fra og hvilke tiltak du må iverksette, må du snakke med advokaten din.

Så, hvor står vi etter dette?

Som tidligere nevnt er GoDaddy det aller meste av tiden din databehandler. Vi vil behandle data som strengt nødvendig for å levere tjenestene du har kjøpt fra oss, på dine vegne eller som for øvrig instruert. Bruker du tjenestene våre på en måte som samler inn opplysninger slik at du kan selge varene dine eller hente inn avtaleopplysninger eller salgsmuligheter? Ikke noe problem. Vi vil påse at dataene behandles på en trygg og sikker måte på dine vegne.

Som behandlingsansvarlig kontrollerer du hvordan dataene brukes og lagres, og vi vil kun behandle dem i henhold til vilkårene i vårt databehandlingstillegg levere og vedlikeholde tjenestene på dine vegne. Dette betyr at du må følge nøye med dine interne retningslinjer og ansattes tilgang til oppføringer, inkludert hvordan du deler data med tredjeparter og hvor enkelt noen kan få tilgang til den registreredes informasjon.

Som du kan forstå fra hovedpunktene ovenfor, handler GDPR (og andre personvernlover) i sin helhet om å påse at data vi samler inn og bruker for vellykket å gjennomføre virksomheten vår, er skikkelig sikret og beskyttet.