Den nye persondataforordning, der træder ikraft til maj, har drakoniske bøderammer. Men alle
overtrædelser er ikke lige dyre. Heller ikke dem der stammer fra websites og apps mm.

20 mio. euro – eller, hvis din virksomhed er meget stor, 4% af din samlede omsætning. Så stor bøde risikerer du at få fra 25. maj 2018, hvis du forbryder dig mod den nye persondataforordning. Et regelsæt, der også er kendt under den engelske forkortelse GDPR. Og som skal sikre kunders og brugeres privatliv på blandt andet nettet.

Hvor store bøderne bliver i praksis, og hvad præcist der skal til for at ramme max., er der af gode
grunde – reglerne er jo ikke trådt i kraft endnu, og den officielle fortolkning ikke fastlagt – ikke nogen der kender svarene på. Men selve forordningsteksten beskriver, hvad der afgør, hvor hårdt
hammeren skal falde. Vi har læst den med et digitalt forretningsperspektiv for øje.

Sådan nås bødemax

Konklusionen er, at bødeudmålingen svinger sig helt op mod max, hvis du f.eks. logger personhenførbare oplysninger om brugerne af dit site, uden at fortælle om det, og uden – i hvert fald for en lang række oplysningers vedkommende – at få deres tydelige accept. Særligt hvis oplysningerne handler om f.eks. politisk tilhørsforhold eller religiøs overbevisning, særligt hvis du gør det over lang tid, overfor mange brugere, hvis skaden på brugerne er stor, hvis du gør det bevidst (eller bare beslutter at blæse på reglerne), og hvis du tjener penge på det. Og er du blevet taget før uden at have gjort noget ved det, er det ekstra belastende.

Relaterede services: Vi hjælper dig med at leve op til de nye persondata-regler – læs hvordan

Her er historien med lidt flere detaljer.

Tre onde områder

Nej, det er ikke alle overtrædelser, der kan koste dig 20 mio. euro eller mere. For de fleste er bøderammen “kun” 10 mio. euro eller to procent af din virksomheds omsætning. Men forordningen lister fire områder op, som får bøderammen til at stige til de helt høje 20 mio euro eller fire procent af omsætningen. Det er den højeste af de to, der gælder. Og uheldigvis går de tre af de fire områder rent ind i din digitale tilstedeværelse.

1. “Ja tak”

Det første område handler om samtykke. Brugeren skal have klar besked om, hvad du registrerer, og sige højt og tydeligt ja tak. Ikke noget med f.eks. i jurasprog at tale udenom, og ikke noget med at lade brugeren “passivt” acceptere registreringen. I forhold til de digitale kanaler betyder det, at du skal sørge for at informere godt og grundigt om registreringen, og have brugerens klare accept, hvis f.eks. dit site så meget som logger hans IP-adresse, når han besøger dit site.

Der er dog lidt rum for fortolkning her. Hvis en bruger giver dig dit navn og adresse, så du kan sende ham en vare, han har købt, f.eks., har du en legitim interesse i oplysningerne, og når du har sådan en, kan du klare dig uden. Hvor meget legitim interesse der skal til, for at håndtere hvilke typer person-oplysninger, er fortsat uklart.

2. “Slet mig, please”

Det andet område du ikke må forbryde dig mod, er brugerens rettigheder når først han er blevet registreret. F.eks. skal brugeren kunne få oplyst alt, hvad du ved om ham, og han skal blandt andet kunne få rettet, slettet eller eksporteret sine oplysninger fra dit site. Med lidt undtagelser, som fakturereringsoplysninger, f.eks., og andre ting, som anden lovgivning siger, du ikke må slette.

Dette punkt kræver typisk arbejde at få på plads. Ihvertfald hvis det skal ske nogenlunde automatisk. Et første tip er her: gem kun personhenførebare oplysninger, hvis du faktisk har noget at bruge dem til. Og sørg så for at tilrette de systemer som oplysningerne gemmes i, så det bliver let for dig at finde og håndtere brugeroplysninger, hvis brugeren f.eks. skulle ringe og spørge.

3. Europæisk cloud

Udover disse to skal du også sørge for at sikre, at persondata forbliver på sikker grund – det vil normalt sige EU plus et par stykker til (sørg for, at du har styr på hvilke cloudtjenester du bruger, og hvor de ligger!).

Bouncerate bedre end sex

Selv hvis du forbryder dig mod disse tre slemme områder, er du dog ikke sikker på at udløse den fulde bøde.

– Bouncerate bedre end sex

F.eks. skal der i bødeudmålingen lægges vægt på, hvilke oplysninger bruddet handler om. Og her det særligt slemt, hvis du har registret f.eks. brugerens etniske eller politiske tilhørsforhold, religion, seksuelle orientering, og et par stykker til af samme kaliber. Registrering af hvilke sider en bruger har besøgt på dit site, f.eks., eller om han bouncer eller ej, om hvad han har købt hos dig eller hvilke services han har valgt at signe op til, lyder altså ikke, som om de umiddelbart falder med i samme kategori (afhængigt af hvad der står på de sider han har set, hvad han har købt osv. selvfølgelig – og sikkert også af, hvad du ellers er i stand til at udlede af de oplysninger, du har logget om ham).

– Mange og længe slår få og kort

Ifølge forordningen er det heller ikke ligegyldigt, hvor mange brugere du har registreret ulovligt. Eller hvor længe det har stået på. Lang tid og mange brugere er dyrt, kort tid og få brugere billigere.

– Stor skade slår lille

Det gør også en forskel, hvor stor skaden på brugerne er. Hvis registreringen aldrig bliver brugt til noget, men bare ligger passivt hen, gør det mindre, end hvis du rent faktisk bruger den, synes logikken at lyde.  F.eks. kunne jeg tænke mig, at det at give nogen brugere bedre eller ringere tilbud end andre, ud fra hvad du ved om dem, vil få bøden for regelbrud til at stige.

Læs også: Det betyder persondataforordningen for de digitale kanaler. Seks nedslag, du skal forholde dig til

– Gør du det bevidst, er det slemt. Tjener du penge på det, er det værre.

Bryder du reglerne bevidst – eller ignorerer du simpelthen de nye regler, og tænker “det går nok” – får bødetakseringen et nøk op. Og det gælder i særlig grad, hvis du på en eller anden måde tjener penge på det.

– God vilje trækker op

På positivsiden fortæller forordningen, at god vilje fra din side trækker op. Hvis du lægger dig i selen for faktisk at følge reglerne, kommer det dig til gode, når bøden skal fastsættes. Jo mere du har gjort, for at undgå krænkelsen, og jo mere du har gjort, for at mindske konsekvenserne, des bedre. Ligesom det taler til din fordel, hvis du giver besked til datatilsynet, i det øjeblik du opdager fejlen, og iøvrigt samarbejder godt.

Dette sidste punkt er vigtigt. Du kommer rigtigt langt, ikke bare med hensyn til at undgå de helt høje strafudmålinger, men også i bestræbelserne for slet ikke at komme til at bryde reglerne, hvis du tænker dig godt om og gør det nu. Spørg f.eks. dig selv: hvilke data har jeg overhovedet brug for, for at drive min digitale forretning fremad? Og hvor stor værdi har de?  Hvordan indretter jeg mine brugerdialoger, så brugeren er i førersædet? Og hvordan sikrer jeg et teknisk setup, hvor der er styr på data, så de kan slettes, rettes, blokeres mm?

Sådan kan eCapacity hjælpe

Synes du stadig det er en stor mundfuld, hjælper vi hos eCapacity gerne til. Vi er eksperter i at skabe et tekniske setup i dine digitale kanaler, der sætter dig i stand til at styre og udnytte dit databrug; tag management, datalag, analytics, retargeting, AI og personalisering mm. Og vi har ti års erfaring med kommercielle og strategiske digitale spørgsmål, der kan gøre din forretning til en succes. Ring eller skriv til mig (mine kontaktinformationer står lige her eller tag fat i Andreas Petersson på +45 51 71 43 63 eller ap@ecapacity.dk. Han styrer vores analyseafdeling og har det store teknologiske overblik.

Gratis white paper – bestil på den grønne knap

Indlægget her er en del af white paper’et ”Persondata, Analytics og Tag Management”.  White paper’et er på 28 sider og gratis. Klik på den grønne knap her på siden, hvis du have dit eget eksemplar tilsendt som PDF.