Persondatapolitik: Komplet guide til din virksomhed
En persondatapolitik (også kaldet privatlivspolitik) er det dokument, der fortæller dine kunder, medarbejdere og andre registrerede, hvordan din virksomhed behandler deres personoplysninger. GDPR stiller specifikke krav til indholdet, og en mangelfuld eller generisk politik kan i sig selv udgøre en overtrædelse af forordningen.
Hvad kræver GDPR af din persondatapolitik?
GDPR's Artikel 13 og 14 fastsætter præcist, hvilke oplysninger du skal give de registrerede. Politikken skal indeholde: identitet og kontaktoplysninger på den dataansvarlige (din virksomhed); kontaktoplysninger på en eventuel DPO; formålene med behandlingen og retsgrundlaget for hver type behandling; eventuelle legitime interesser, hvis det er retsgrundlaget; kategorier af modtagere af persondata; om data overføres til tredjelande og i givet fald sikkerhedsgarantierne; opbevaringsperioden eller kriterierne for at fastsætte den; de registreredes rettigheder (indsigt, berigtigelse, sletning, begrænsning, portabilitet, indsigelse); retten til at trække samtykke tilbage; retten til at klage til Datatilsynet; og om der foretages automatiske afgørelser eller profilering.
Undgå de fem mest almindelige fejl
Den hyppigste fejl er at kopiere en generisk skabelon fra nettet uden at tilpasse den til virksomhedens faktiske databehandling. En persondatapolitik for en webshop skal beskrive andre behandlingsaktiviteter end en for et konsulentfirma. Fejl nummer to er at angive vage formål som 'vi behandler dine data for at forbedre vores services'. Formålene skal være specifikke og konkrete. Tredje fejl er at glemme at opdatere politikken, når behandlingsaktiviteterne ændrer sig. Fjerde fejl er at skrive i et sprog, der er så juridisk, at ingen almindelig person forstår det. GDPR kræver klart og letforståeligt sprog. Femte fejl er at placere politikken et sted, hvor ingen finder den, fx gemt bag tre klik på hjemmesiden.
Struktur og opbygning
En god persondatapolitik er struktureret i overskuelige afsnit. Start med en kort introduktion der identificerer den dataansvarlige med firmanavn, CVR-nummer og kontaktoplysninger. Opdel derefter indholdet efter behandlingsaktivitet: webshop-køb, nyhedsbrev, kontaktformular, medarbejderdata osv. For hver aktivitet angives hvilke data der indsamles, formålet, retsgrundlaget og opbevaringsperioden. Afslut med et afsnit om rettigheder, klageadgang og kontaktinformation. Brug overskrifter, korte afsnit og et sprog, som din målgruppe forstår. Det er ikke et juridisk dokument der skal imponere advokater. Det er information til mennesker, der vil vide, hvad der sker med deres data.
Persondatapolitik for hjemmesider
For hjemmesider er der særlige forhold at tage højde for. Du skal oplyse om brugen af cookies og lignende teknologier, og det kan enten ske i persondatapolitikken eller i en separat cookiepolitik med krydshenvisning. Hvis du bruger kontaktformularer, skal du oplyse om, hvad der sker med de indsendte oplysninger, og hvor længe de opbevares. Ved brug af webanalyse (fx Google Analytics) skal du oplyse om, at data indsamles, til hvilket formål, og om der overføres data til tredjelande. Indbedder du indhold fra sociale medier (Facebook, LinkedIn, YouTube), deler du potentielt brugerdata med disse platforme, og det skal også oplyses.
Hvornår og hvordan opdaterer du politikken?
Persondatapolitikken er et levende dokument. Du bør gennemgå den mindst en gang årligt og desuden opdatere den, når du indfører nye behandlingsaktiviteter (fx et nyt nyhedsbrevssystem eller en ny leverandør); ændrer formålet med eksisterende behandling; skifter leverandører der fungerer som databehandlere; begynder at overføre data til nye tredjelande; eller ændrer opbevaringsperioder. Når du opdaterer, bør du angive datoen for seneste revision tydeligt i dokumentet. Væsentlige ændringer bør kommunikeres aktivt til de registrerede, fx via e-mail eller en bemærkning på hjemmesiden.
Hovedpointer
- Persondatapolitikken skal tilpasses din virksomheds faktiske databehandling
- Artikel 13 og 14 angiver præcist, hvad der skal oplyses om
- Skriv i et klart, letforståeligt sprog tilpasset din målgruppe
- Opdater politikken minimum en gang årligt og ved ændringer i behandling
- Gør politikken let tilgængelig, typisk med link i footer og ved dataindsamlingspunkter
- Specifik er bedre end generisk. Beskriv konkrete formål, ikke vage hensigtserklæringer