Franchise & kæder - Få hjælp her

Svar: Persondataforordning som Webshop ejer

Skovborg + Høgh ApS — Sat, 03 Mar 2018 13:57:14 GMT

Det er relatvit simpelt. HVis du kan svare "ja" til spørgsmålet om, hvor vidt der behandles persondata, så skal der foreligge en databehandler aftale. Det skal der dermed også fra kortindløsnings udbydere.

Det vi gør med langt de fleste af vores webshop kunder er, at vi agere databehandlere omkring hele webshop driften - herunder hosting, kortindløsning, markedsføring, indgående opkaldstrafik, service SMS'er, mails m.m. På den måde skal man blot forholde sig til én enkelt databehandler omkring hele webshoppen. Naturligvis også en til regnskab og hvis virksomheden har andre forretnings ben. Du kan jo høre dit bureau om ikke I kan lave sådan en aftale. :)

Svar: Persondataforordning som Webshop ejer

Anonymous — Sat, 03 Mar 2018 11:52:31 GMT

Tak skal du have, det vil jeg prøve.

Jeg synes personligt det er ufatteligt svært at finde rundt i, specielt når man ikke har voldsomt meget styr på det it-tekniske. Og jeg synes specielt det er svært at finde rundt i hvem der kræver databehandler aftale om hvem der ikke gør.

F.eks. modtager betalingsgateway og udbydere jo også data fra ens webshop. Så man skal vel også have aftaler med udbyderes som Quickpay, Clearhaus, nets/teller, Viabill, mobilepay osv. ? De henter jo oplysninger fra ens ordreinformatoiner og er synlige i virksomhedens backend på disse brugere. Og hvordan kan man slette disse informationer når de ikke længere er nødvendige? det vil de jo ikke være 5 år efter regnskabesåret transaktionen er lavet i.

Svar: Persondataforordning som Webshop ejer

Jesper Nielsen — Sat, 03 Mar 2018 10:25:41 GMT

Ret mig hvis jeg tager fejl - men en plugin der kun kører på dit site hvor dine data ikke sendes til tredjepart kræver ikke databehandleraftale. Men f.eks. Mailchimp eller Google Analytics gør.
Edit: Kristian siger det bedre end jeg kunne :)

Svar: Persondataforordning som Webshop ejer

Skovborg + Høgh ApS — Sat, 03 Mar 2018 10:24:20 GMT

Databehandler aftalen skal indgåes mellem de handlende parter. Dvs. hvis du køber en hosted løsning igennem et webbureau, så er det en aftale mellem din virksomhed og dit bureau.

Der findes ikke en fællesnævner omkring plugin's. For at tage nogle af dem du selv nævner, så behandler WooCommerce ikke dine data da da behandlingen sker hos din hosting udbyder. Mailchimp behandler persondata for dig og derfor skal der foreligge en aftale med dem. Vær opmærksom på, at der skal ekstra dokumentation til, hvis behandlingen sker i 3. lande (udenfor EU). Wordfence behandler IP adresser med tidsstempler og er derfor også databehandlnere.

Det er til en hver tid dit ansvar, at aftalerne er på plads. Om databehandleraftalerne kan indgåes med dit bureau afhænger af den aftale du har med dem. Tag en dialog med dit bureau og find ud af, hvad der skal ske. :)

Med venlig hilsen
Kristian Kristensen

https://flexpage.dk

Svar: Persondataforordning som Webshop ejer

Anonymous — Sat, 03 Mar 2018 10:06:07 GMT

Thomas Hillerup:
Håber ikke jeg kaprer dit opslag. Skulle det føles sådan, så sig til, så sletter jeg opslaget :) Jeg har bare lidt uddybende spørgsmål :)

Flex Page ApS:
Helt lavpraktisk, så vil det være et brud på persondataforordningen, hvis man ikke får en databehandleraftale med sin hosting udbyder, så hvis man er hosted et sted, som ikke vil udarbejde en databehandler aftale, så vil man skulle vælge en anden udbyder for selv at overholde reglerne. Når det er sagt, så er jeg ret sikker på, at de fleste udbydere vil tage hånd om det af sig selv.

Når nu jeg anvender et web-bureau, der har opbygget min side og jeg hvert år betaler for hosting hos dem, samt vedligeholdelsesaftale med backup osv. Er det så dem jeg skal have en databehandler aftale med ? eller er det f.eks. unoeuro/meebox som jeg ved de anvender? Min tanke er jo at min ansvars-del er at have en databehandler aftale med web-bureauet, mens det er deres ansvar at de selv har en databehandleraftale med Unoeuro/meebox?

Ang. Plugins osv. skal man vel have en databehandleraftale med alle udbydere af plugins som behandler persondata: kontaktformularer, wordpress/woocommerce, mailchimp, MonsterInsights, wordfence, google analytics osv.
Man hvad med alle de plugins man bruger på sin side, som ikke har til hensigt at behandle persondata? det kunne f.eks. være en multilanguage, en lagerfunktion, en opsætning af fragtmetoder, nogle til at gøre siden hurtigere, visual composer osv. Skal man også have databehandleraftaler med udbyderne af disse? Og hvad hvis man køber dem samt opsætning af dem gennem et web-bureau, er det så mig eller dem der bærer ansvaret for databehandleraftaler eller web-bureauet?

God dag til jer :)

Svar: Persondataforordning som Webshop ejer

Skovborg + Høgh ApS — Sat, 03 Mar 2018 09:03:39 GMT

nikokj:

Jesper Nielsen:

Jeg følger også lige med for jeg sad i dag og tænkte over det samme problem. Hvis du gemmer navne, adresser, IP adresser eller lignende er det relevant, og der skal være en data ansvarlig - formentlig dig selv. Der er også faktisk et krav om at du skal have en databehandleraftale med hosting selskabet. Der tror jeg det halter lidt i praksis - Dinero feks stiller en generel databehandleraftale til rådighed for deres kunder. Det lyder som en lavpraktisk løsning, men ved ikke hvor mange hosting firmaer der er med på den vogn.

Nu er der forsat noget tid til reglerne træder i kraft, så der er nok en masse virksomheder der får udarbejdet den slags databehandleraftaler inden deadlinen.

Helt lavpraktisk, så vil det være et brud på persondataforordningen, hvis man ikke får en databehandleraftale med sin hosting udbyder, så hvis man er hosted et sted, som ikke vil udarbejde en databehandler aftale, så vil man skulle vælge en anden udbyder for selv at overholde reglerne. Når det er sagt, så er jeg ret sikker på, at de fleste udbydere vil tage hånd om det af sig selv.

Det er ikke kun begrænset til hosting udbydere. Man skal have en databehandler aftale med alle der behandler data for virksomheden. Dvs. teleoperatør, lønbureau, bogholder, eksterne udviklere m.m.

Som der tidligere her i tråden er refereret til, så findes der tjeklister. Det kan dog være svært at lave en generere tjeklist, som er fyldestgørende. Hvis en webshops for eksempel sælger sko, så behandler virksomheden persondata i form af skonummeret. Det handler i høj grad om at få dannet sig et overblik over, hvilke persondata man har, hvor man har det, hvorfor man har det og hvordan man har det. De fire spørgsmål skal besvares i et dokument som kan fremvises ved stikprøvekontrol fra datatilsynet. Man skal samtidig have en politik for, hvordan data slettes, så man ikke opbevare data, som ikke længere er nødvendig. En kunde har retten til at blive glemt. Hvis kunden ønsker at gøre brug af den ret, har virksomheden 30 dage til at få de data slettet, som ikke er nødvendige af hensyn til lovgivningen (eks. regnskabsloven). Her skal man være opmærksom på, at hvis skidtet bryder ned og man er nødt til at restore fra en backup, så skal man også have en procedure for, hvordan disse data slettes igen, som sikre, at det sker.

Det er naturligvis vigtigt, at man kender forskellen på persondata og personfølsom data. Persondata er (ikke begrænset til) navn, adresse, skonummer, CPR-nr., IP adresse med tidsstempel, nationalitet - kort sagt en hver form for information, som kan bruges til at identificere en fysisk person. Personfølsomme data er helbredsoplysninger, religion, seksualitet.

Alle data man behandler skal kunne henføres til lov, samtykke eller nødvendighed.

Med venlig hilsen
Kristian Kristensen

https://flexpage.dk

Svar: Persondataforordning som Webshop ejer

nikokj — Fri, 02 Mar 2018 22:34:20 GMT

Jesper Nielsen:

Jeg følger også lige med for jeg sad i dag og tænkte over det samme problem. Hvis du gemmer navne, adresser, IP adresser eller lignende er det relevant, og der skal være en data ansvarlig - formentlig dig selv. Der er også faktisk et krav om at du skal have en databehandleraftale med hosting selskabet. Der tror jeg det halter lidt i praksis - Dinero feks stiller en generel databehandleraftale til rådighed for deres kunder. Det lyder som en lavpraktisk løsning, men ved ikke hvor mange hosting firmaer der er med på den vogn.

Nu er der forsat noget tid til reglerne træder i kraft, så der er nok en masse virksomheder der får udarbejdet den slags databehandleraftaler inden deadlinen.

Svar: Persondataforordning som Webshop ejer

nikokj — Fri, 02 Mar 2018 22:31:09 GMT

Hej Thomas

Datatilsynet har udarbejdet en checkliste over hvad de forventer at virksomhederne har tjek på. Vil anbefale dig at udarbejde en skriftlig dokumentation, som du har liggende i dit selskabs arkiv om hvordan din virksomhed forholder sig til netop de punkter.

https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/12_spoergsmaal_-_GDPR.pdf

Svar: Persondataforordning som Webshop ejer

Jesper Nielsen — Fri, 02 Mar 2018 20:42:39 GMT

Jeg følger også lige med for jeg sad i dag og tænkte over det samme problem. Hvis du gemmer navne, adresser, IP adresser eller lignende er det relevant, og der skal være en data ansvarlig - formentlig dig selv. Der er også faktisk et krav om at du skal have en databehandleraftale med hosting selskabet. Der tror jeg det halter lidt i praksis - Dinero feks stiller en generel databehandleraftale til rådighed for deres kunder. Det lyder som en lavpraktisk løsning, men ved ikke hvor mange hosting firmaer der er med på den vogn.

Svar: Persondataforordning som Webshop ejer

Anonymous — Fri, 02 Mar 2018 19:29:45 GMT

Jeg følger lige med her, læser og læser og læser også på det, men det er sku ikke nemt. Og må ærligt indrømme at min virksomhed ikke er i en skala hvor jeg kan bruge en masse penge på juridisk hjælp, eller dyre kurser/medlemsskaber.

Men lige en note som jeg forstår det, så skildrer de ret meget mellem persondata og personfølsom data, og der findes faktisk meget præcise lister for hvad der hører under hvad. Navn og adresse osv, er persondata, men ikke personfølsommme data som kan være helbredsoplysninger, politisk overbesvisning, seksualitet osv. osv.
Jeg tror det er vigtigt at skille dem ad, fordi det at arbejde med personfølsomme data betyder endnu større krav, end persondata. :)

Persondataforordning som Webshop ejer

Thomas Hillerup — Fri, 02 Mar 2018 19:06:32 GMT

Hej Aminoer

Jeg er ved at prøve at blive klog på hvad Persondataforordningen betyder og hvad den for mig som webshop ejer kommer til at betyde.

Først vil jeg lige spørge om der er nogle kloge hoveder som allerede har sat sig ind i det, som også er webshop ejer.

Jeg ved jo som alle andre sikkert også gør, at det har med hvordan jeg håndtere personfølsomme data, i mit tilfælde navne og adresser på mine kunder.

Men hvad mere skal jeg være opmærksom på her??

Hilsen Thomas