Trenger du å lære mer om EUs person­vern­forordning («GDPR-loven»)?

Personvernforordningen er ikke bundet av et bestemt område, noe som betyr at den beskytter innbyggerne i hele EU- og EØS-området. Hvis bedriften din gjør forretninger med innbyggere i disse medlemslandene (f.eks. ved å tilby produkter eller tjenester til dem), og/eller hvis nettstedet ditt samler inn personopplysninger fra innbyggere der, gjelder denne personvernlovgivningen for deg. Det spiller ingen rolle om selskapet ditt er basert i EU.

EUs personvernforordning er slett ikke så ulik det britiske personvernregelverket, siden Storbritannia tok i bruk en egen versjon av EUs personvernforordning med noen få endringer.Da Storbritannia forlot EU i 2020 (brexit), regulerte ikke EUs personvernforordning lenger personvernet i Storbritannia, siden landet jo ikke lenger var medlem av EU. Den britiske personvernforordningen trådte i kraft 30. januar 2020 sammen med en endret versjon av den britiske personopplysningsloven av 2018 og den britiske kommunikasjonsvernforskriften, PECR.

I likhet med EUs personvernforordning gjelder også det britiske personvernregelverket slik:

• det gir innbyggere i Storbritannia et sett med rettigheter i forbindelse med deres personopplysninger og personvern
• det krever innhenting av gyldig samtykke fra brukere, f.eks. for bruk av informasjonskapsler og sporing på et nettsted før det samles inn eller behandles personopplysninger
• det krever sikker lagring og dokumentasjon av samtykke
• det krever at brukerne kan endre eller trekke tilbake samtykket like enkelt som det er å gi det

Begge tekstene bruker en modell der man aktivt må gi samtykke. Det betyr at det i de fleste tilfeller må innhentes samtykke fra brukeren før det kan samles inn eller behandles personopplysninger. Bedriftene må også ha et rettslig grunnlag for databehandling, for eksempel brukersamtykke eller andre alternativer som oppfyllelse av en kontrakt.

Etter EUs personvernforordning har hvert medlemsland sin egen personvernmyndighet som håndhever regelverket. Håndhevingsmyndigheten for den britiske personvernlovgivningen er det britiske datatilsynet (Information Commissioner’s Office). Alt er altså samlet i én sentral myndighet. I likhet med EUs personvernforordning gir ikke den britiske personvernlovgivningen privat søksmålsrett, dvs. mulighet til å saksøke for brudd på personopplysningssikkerheten eller andre overtredelser.

Tre områder som den britiske personvernlovgivningen dekker, men som EUs personvernforordning ikke dekker:

• nasjonal sikkerhet
• etterretningstjenester
• innvandring

Vi kan ikke gi juridiske råd eller garantere samsvar med personvernreglene i spesifikke regelverk, og vi anbefaler at du rådfører deg med en advokat om de spesifikke behovene du har i forbindelse med forretningene dine og overholdelse av personvernreglene. EUs personvernforordning inneholder imidlertid klare retningslinjer og beste praksis. Bedrifter må ha et rettslig grunnlag for å behandle personopplysninger. Brukersamtykke er et vanlig rettslig grunnlag, men det finnes også andre, for eksempel oppfyllelse av en kontrakt eller offentlig interesse. Det sikreste rettslige grunnlaget for mange typer og formål for databehandling er å innhente og håndtere brukersamtykke på en sikker måte, for eksempel med en løsning for samtykkehåndtering (CMS).

Ved bruk av samtykke som rettslig grunnlag må bedriftene i mange tilfeller innhente brukersamtykke før de samler inn og behandler personopplysninger. For at det skal være gyldig, må et samtykke gis fritt, spesifikt og utvetydig av en informert bruker. Brukeren må kunne forstå på et detaljert nivå hva slags bruk av personopplysninger hen samtykker til, og nettstedet kan ikke oppmuntre noen til å gi samtykke ved hjelp av knep og list.

Bedriftene må alltid oppgi tydelig informasjon, for eksempel på en egen side med en personvernerklæring (privacy policy), som forteller brukerne hvilke opplysninger som samles inn, hvorfor de samles inn, og hvordan de kan bli delt, solgt eller brukt. Brukerne må også få vite hvilke personvernrettigheter de har i henhold til gjeldende rett, og de må informeres om hvordan de kan benytte seg av disse rettighetene.

Det er enkelt å installere en plattform for samtykkehåndtering (CMP), for eksempel Cookiebot CMP, og oppsettet er brukervennlig. Det gjør at bedrifter kan gi informasjon om personvern og innhente og lagre gyldig samtykke fra brukere. CMP-plattformen vil også skanne nettsteder for å finne ut hvilke informasjonskapsler og sporingsteknologier som er i bruk, og blokkere bruken av dem inntil det er innhentet brukersamtykke til dem, slik at personvernregelverket blir fulgt. Med geolokaliseringsfunksjoner kan CMP-plattformen tilpasse meldinger og funksjoner basert på hvor brukeren befinner seg, for eksempel for å sikre særskilt overholdelse av EUs personvernforordning. Takket være automatisert samtykkehåndtering holder CMP-plattformen seg også oppdatert på lovverket og teknologien for å bidra til at regelverket følges.

Under EUs personvernforordning har forbrukerne følgende rettigheter:

• Rett til innsyn – for å se eller innhente personopplysninger som er samlet inn om dem
• Rett til retting – for å få ufullstendige eller feilaktige opplysninger om dem rettet
• Rett til sletting – for å be om sletting av personopplysninger (også kalt retten til å bli glemt)
• Rett til begrensning av behandling – for å begrense hvilke personopplysninger om dem som kan behandles, og hvorfor de behandles
• Rett til å protestere (på behandling) – for å reservere seg mot at personopplysningene behandles i det hele tatt
• Rett til å bli informert – om retting, sletting eller begrensning av behandling
• Rett til dataportabilitet – for å motta en kopi av personopplysningene sine i et rimelig anvendelig format som kan brukes andre steder
• Rett til automatiserte individuelle avgjørelser, herunder profilering – for å reservere seg mot at det brukes teknologi til å treffe avgjørelser om brukeren

Personvernforordningen håndheves av en personvernmyndighet i hvert medlemsland i EU eller EØS.

Bøter etter EUs personvernforordning kan være opptil 4 % av en bedrifts globale årlige omsetning eller høyst 20 millioner euro. Størrelsen på boten bestemmes vanligvis av overtredelsens natur, alvorlighetsgrad og varighet.

EUs personvernforordning gir ikke privat søksmålsrett, så forbrukere kan ikke saksøke bedrifter som bryter personvernet. Annen straff kan være nødvendig for å endre eller avslutte databehandling. Dette kan føre til en grense for eller tap av data og inntekter. Brudd på personopplysningssikkerheten kan også ha en betydelig negativ innvirkning på brukernes tillit og bedriftens omdømme.

I henhold til EUs personvernforordning er rettslig grunnlag eller «behandlingens lovlighet» lovlige grunner til at bedrifter eller andre organisasjoner kan samle inn og behandle personopplysninger.

Brukersamtykke er et rettslig grunnlag, skjønt EUs personvernforordning angir i alt seks slike. En «registrert» er en person som får personopplysningene sine behandlet – f.eks. når vedkommende handler i en nettbutikk, besøker et nettsted, bruker en app osv.

– den registrerte (f.eks. brukeren) har gitt samtykke– for å oppfylle en kontrakt med den registrerte
– for å overholde en rettslig forpliktelse som den behandlingsansvarlige (f.eks. bedriften) er underlagt– for å verne om den registrertes eller en annen fysisk persons vitale interesser
– i offentlig interesse eller hvis den behandlingsansvarlige utøver offentlig myndighet
– berettigede interesser hos den behandlingsansvarlige eller en tredjepart, f.eks. for individuell, kommersiell eller sosial nytte

Berettiget interesse brukes ofte til å begrunne databehandling, men kan være vanskelig å bevise i tilstrekkelig grad. Det sikreste rettslige grunnlaget for mange typer og formål for databehandling er å innhente og håndtere brukersamtykke på en sikker måte, for eksempel med en løsning for samtykkehåndtering (CMS).

Generelt kan personopplysninger vise til all informasjon som er knyttet til en person, og som gjør at personen kan bli direkte eller indirekte identifisert. Det kan bety åpenbare opplysninger eller data som navn, ID-numre eller e-postadresser, eller mindre åpenbare data som kanskje ikke kan identifiseres annet enn i kombinasjon med andre opplysninger eller data, for eksempel IP-adresser eller informasjon om informasjonskapsler i nettlesere.

Det finnes også en tilleggskategori med «sensitive» personopplysninger. Det er informasjon som identifiserer en person, men som også kan forårsake skade hvis den brukes på feil måte. Dette kan omfatte opplysninger som kjønn, livssyn, politisk tilhørighet eller medisinsk informasjon. Noen tekniske opplysninger, for eksempel biometriske data eller geolokaliseringsdata, kan også kvalifisere som personopplysninger hvis formålet er å bruke dem til å identifisere en person.

Vi kan ikke gi juridiske råd, og vi anbefaler at du rådfører deg med en advokat om den spesifikke situasjonen for bedriften din og databehandlingen deres.

Generelt er det viktig å vite hvilket regelverk du må overholde. Du kan ha forskjellig ansvar etter for eksempel den britiske personvernlovgivningen og EUs personvernforordning eller personvernlovgivningen i USA.

Men i tillegg til å være et lovkrav, skaper det gode brukeropplevelser å være åpen med brukerne om innsamling og bruk av data, og når man ber om og respekterer de samtykkevalgene brukerne foretar. Det bygger tillit til bedriften din og bidrar til høyere engasjement og langsiktige relasjoner.

Det er absolutt mulig at bedrifter som driver virksomhet i flere regioner eller land, må følge flere sett med regelverk. Overholdelse av EUs personvernforordning bidrar ofte vesentlig til at bedrifter også overholder annen lovgivning på grunn av dets omfang og spesifisitet.

Overholdelse av delstatslovgivningen i USA kan for eksempel være noe helt annet på grunn av særskilte krav og modellen der man reserverer seg mot samtykke. Vi kan ikke gi juridiske råd, og vi anbefaler at du rådfører deg med en advokat om den spesifikke situasjonen for bedriften din og databehandlingen deres.

En løsning for samtykkehåndtering som Cookiebot CMP kan gjøre det mulig å presentere forskjellige alternativer for brukere i forskjellige land ved hjelp av geolokaliseringsfunksjoner. Dette kan gjøre deg i stand til å oppgi riktig informasjon om personvern og innhente samtykke på riktig måte for å overholde forskjellige regelverk.

Vi kan ikke gi juridiske råd eller garantere samsvar med personvernreglene i spesifikke regelverk, og vi anbefaler at du rådfører deg med en advokat om den spesifikke situasjonen for bedriften din og databehandlingen deres. Men det er viktig å vite hvilket regelverk du må overholde, og hvilke krav det stiller til forbrukerrettigheter, opplysning, samtykke og databruk. Det er også viktig å vite hvilke informasjonskapsler og andre sporingsteknologier som brukes på nettstedet ditt, slik at du kan innhente korrekt samtykke. Det er viktig å sørge for at brukerne er godt informert om samtykkevalgene sine, og det er også viktig å presentere alle valgalternativene likt. Det skal ikke brukes mørke felter eller mønstre, eller andre elementer, for å påvirke eller lure brukerne til å gi samtykke. Dessuten må du sørge for at det ikke samles inn og behandles mer data, eller flere opplysninger, enn det som er nødvendig for de formålene som er oppgitt. Sørg for at opplysningene er korrekte, og for at de bare lagres så lenge det er nødvendig for å oppfylle behandlingsformålet. Oppretthold de nødvendige standardene for sikkerhet og personvern, og sørg for at det er innført prosesser for å opprettholde ansvarsfordelingen.

En plattform for samtykkehåndtering (CMP) kan hjelpe deg med ikke bare å innhente og lagre samtykke på riktig måte, men også med å sikre at du legger frem og har korrekt og oppdatert informasjon om hvilke databehandlingstjenester som er i bruk (f.eks. cookies).

Det trenger ikke å skje, selv om vi ikke kan garantere for hvordan individuelle CMP-implementeringer vil virke i praksis. Det er mange måter å optimalisere plattformen for samtykkehåndteringen (CMP) på for å øke samtykkegraden og dataflyten. Det er viktig å ha et flott brukergrensesnitt som passer til bedriftens profil, som har et klart budskap, og som tilbyr brukervennlig funksjonalitet. Det er også viktig å gjøre det enkelt for brukerne å forstå hvordan dataene deres behandles, og hvilke valgalternativer de har for samtykke. Cookiebot CMP har også verktøy som analyserer og optimaliserer CMP-plattformens ytelse, slik at du oppnår maksimal datafangst. Det bør også bemerkes at mange ledende annonsører i økende grad insisterer på at man dokumenterer samtykke før de gjør forretninger med bedrifter. Det kan altså påvirke annonseinntektene hvis det ikke innhentes korrekt samtykke.

Gratisabonnementet omfatter ikke følgende standardfunksjoner for Premium-abonnementet:

• tilpasning av banner
• tilpasning av erklæring
• flere språk
• dataeksport
• geolokalisering
• massesamtykke
• samtykkestatistikk
• internt domenealias for utvikling, testing og oppsett

Ta en titt på siden Plans & Pricing (Abonnementer og priser) for å få mer informasjon eller foreta en fullstendig sammenligning.

Vi har ingen kontrakter for Cookiebot CMP, og det er ingen skjulte avgifter eller langsiktige forpliktelser. Du kan avbryte abonnementet når som helst.

Det avhenger av bedriftens behov og antall domener og undersider du har.

Ta en titt på siden «Plans & Pricing» (Abonnementer og priser) for å få mer informasjon tilpasset bedriftens særskilte behov.

Ja, du kan når som helst avbryte den gratis prøveversjonen eller abonnementet hvis du tidligere har registrert deg. Du kan gjøre dette via siden «My account» (Min konto). Hvis du nedgraderer eller avbryter abonnementet, får dette virkning når gjeldende faktureringsperiode er over.