GDPR i EU
Personoplysninger udført af virksomheder, der driver onlinetjenester
Her kan du læse om den behandling af personoplysninger, der foretages af virksomheder, der driver onlinetjenester.
Definition af onlinetjenester
“Onlinetjenester” benævnes juridisk og formelt “informationssamfundstjenester” i henhold til EU-retten og visse medlemsstaters nationale ret. Den forskriftsmæssige betegnelse er defineret i artikel 1, stk. 1, litra b), i direktiv (EU) 2015/1535, ofte benævnt “meddelelsesdirektivet”.
Onlinetjenester er en tjeneste, der leveres af en virksomhed på afstand, hvilket betyder, at udbyderen og modtageren af tjenesten ikke er på samme sted.
Der er også tale om en tjenesteydelse, som giver leverandøren en økonomisk fordel. For eksempel gennem reklameindtægter, brugerkompensation for brugen eller indsamlede data, der giver en økonomisk fordel. Desuden skal onlinetjenesten leveres elektronisk, f.eks. via internettet eller andre elektroniske transmissionsmidler.
Desuden leveres onlinetjenester på individuel anmodning fra tjenestemodtageren og derfor ikke via massedistribution såsom tv- eller radioudsendelser.
Eksempler på onlinetjenester:
- Sociale medier
- E-handelsplatforme
- Søgemaskiner
Behandling af personoplysninger af virksomheder, der leverer onlinetjenester
Virksomheder, der leverer onlinetjenester, behandler næsten altid personoplysninger. Derfor er det vigtigt at kende reglerne for ikke-krænkelse. Desuden er det vigtigt, at tjenesteudbyderen tilpasser onlinetjenesten til GDPR, f.eks. ved at gennemføre indbygget databeskyttelse. For eksempel ved at have indstillinger for brugeren til at trække deres samtykke tilbage.
Formål med behandlingen af personoplysninger
Virksomheder, der er underlagt GDPR, skal altid have et formål med deres behandling af personoplysninger. Det er vigtigt for udbyderen af en onlinetjeneste at analysere, hvad formålet med behandlingen er, og hvilke personoplysninger der er nødvendige for at opnå det. Dette udgør et grundlæggende grundlag for databeskyttelsesforordningen og er baseret på princippet om formålsbegrænsning som yderligere reguleret i databeskyttelsesforordningens artikel 5, stk. 1, litra b).
Gennemsigtighed over for de registrerede i forbindelse med behandlingen
Virksomhederne skal altid være gennemsigtige over for de registrerede, når de behandler deres personoplysninger. Dette gælder også for udbydere af onlinetjenester.
For eksempel behandler mange mobilapplikationer normalt visse typer personoplysninger, for at brugeren kan registrere sin brugerkonto og bruge tjenesten. I sådanne tilfælde er retsgrundlaget ofte kontrakten med den registrerede i henhold til artikel 6, stk. 1, litra b), i GDPR. Oplysninger om retsgrundlaget skal fremgå af en meddelelse om beskyttelse af privatlivets fred, som brugeren skal bekræfte, at han har læst.
Behandling af personoplysninger til andre formål
Det er almindeligt, at en virksomhed ønsker at behandle personoplysninger, som de har indsamlet i forbindelse med indgåelsen af aftalen, med henblik på at udføre adfærdsmæssig markedsføring. Det er imidlertid ikke tilladt at støtte denne behandling på retsgrundlaget for kontrakter med registrerede, fordi en sådan behandling ikke er nødvendig for indgåelsen eller opfyldelsen af kontrakten. Virksomheden kan dog i stedet anvende samtykke i henhold til artikel 6, stk. 1, litra a), i GDPR eller legitim interesse i henhold til artikel 6, stk. 1, litra f), i GDPR som retsgrundlag for behandlingen.
Strengere regler, når registrerede er børn
Mange onlinetjenester er rettet mod børn eller har mange børn som brugere. F.eks. sociale medier. Det er tilladt at indhente samtykke fra et barn til behandling af personoplysninger i overensstemmelse med databeskyttelsesforordningen, men reglerne er strengere. Aldersgrænsen for et gyldigt samtykke fra et barn vedrørende behandling af barnets personoplysninger i forbindelse med onlinetjenester er 16 år i henhold til artikel 8 i GDPR. Alle EU-lande har dog ret til at sænke aldersgrænsen til mindst 13 år, hvis de ønsker det i deres nationale lovgivning.
Straf for en virksomhed, der informerer børn om behandling af personoplysninger på engelsk
En virksomhed, der driver en mobilapplikation med mange børn som brugere, modtog en bøde udstedt af den hollandske databeskyttelsesmyndighed for sine overtrædelser af GDPR. Virksomheden havde bl.a. informeret de registrerede om behandlingen af personoplysninger på engelsk, selv om de var børn. Virksomheden skulle have formidlet oplysningerne på nederlandsk, da engelsk ikke er landets nationale sprog. Når de registrerede er børn, skal virksomheden sikre, at børnene forstår oplysningerne om behandlingen af deres personoplysninger.
Retsgrundlag, som virksomheder, der driver onlinetjenester, kan anvende
Kontrakt med den registrerede i henhold til artikel 6, stk. 1, litra b), i GDPR
En kontrakt med en registreret betyder, at en virksomhed har ret til at behandle de personoplysninger, der er nødvendige for indgåelse og opfyldelse af kontrakten. For eksempel skal udbyderen af en e-handelsplatform behandle kundens navn og adresse for at kunne fuldføre leveringen af de varer, som kunderne bestiller.
Behandle personoplysninger for at:
Udvikling af en tjeneste
Det er almindeligt at behandle personoplysninger for at udvikle en tjeneste såsom sociale medier eller en markedsplads. I de fleste tilfælde er disse behandlingsaktiviteter imidlertid ikke nødvendige for opfyldelsen af kontrakten, og derfor er kontrakter med registrerede ikke et passende retsgrundlag. Samtykke eller legitim interesse kan være et bedre valg i sådanne tilfælde.
Forebyggelse af kriminalitet
Mange virksomheder arbejder for at forebygge kriminalitet, såsom svig, og mange har også en forpligtelse til at gøre det. Det retsgrundlag, hvorpå virksomheder normalt støtter en sådan behandling i disse tilfælde, er en juridisk forpligtelse eller legitim interesse.
Adfærdsbaseret annoncering
Mange onlinetjenester er gratis for brugeren og finansieres i stedet gennem reklameindtægter og reklame, der er adfærdsmæssig. I sådanne tilfælde er behandlingen af brugernes personoplysninger til markedsføringsformål normalt baseret på samtykke eller legitim interesse som retsgrundlag. Databeskyttelsesrådet afgav en udtalelse om "samtykke eller betal"-modeller .
Det er vigtigt at huske på, at virksomhederne skal foretage en afvejning af interesser for at se, om de har en legitim interesse, samt dokumentere resultatet, inden de anvender dette retsgrundlag til at støtte behandlingen.
Accept af aftalevilkår og samtykke til en bestemt behandling af personoplysninger er ikke det samme
Når en virksomhed driver en onlinetjeneste, skal de have generelle vilkår og betingelser, som bl.a. regulerer virksomhedens og brugerens respektive rettigheder og forpligtelser. For at brugeren skal være berettiget til at bruge onlinetjenesten, skal brugeren acceptere de gældende generelle vilkår og betingelser. Når brugeren gør det, opstår der et kontraktforhold mellem brugeren og virksomheden. Retsgrundlaget for virksomhedens behandling af brugerens personoplysninger for at kunne indgå og opfylde kontrakten bliver således en kontrakt med den registrerede.
Virksomheden må dog kun behandle de personoplysninger, der er nødvendige for indgåelse og opfyldelse af kontrakten. Virksomheden må ikke behandle personoplysningerne til andre uforenelige formål, såsom at udføre adfærdsmæssig markedsføring. I sådanne tilfælde har virksomheden brug for et andet retsgrundlag for behandlingen. For eksempel samtykke eller legitim interesse.
Samtykke er ikke et krav
Bemærk, at det muligvis ikke er et krav, at brugeren skal give sit samtykke til en bestemt behandling for at kunne bruge onlinetjenesten. I dette tilfælde gives samtykket ikke frivilligt, da det har negative konsekvenser for den registrerede, hvis samtykket ikke gives. Som følge heraf er et sådant samtykke ugyldigt.
Læs mere om GDPR
Cookies på hjemmesider
Det er almindeligt, at hjemmesider gemmer cookies på den besøgendes enhed for f.eks. at udføre målrettet markedsføring eller analysere hjemmesidens brug. Cookies kan indsamle personoplysninger, der er omfattet af GDPR, såsom IP-adresser, og i sådanne tilfælde skal virksomheden overholde GDPR. Der er forskel på nødvendige og valgfrie cookies. Hvis virksomheden ønsker at behandle frivillige cookies, skal virksomheden indhente samtykke fra brugeren. Dette adskiller sig fra essentielle cookies, som ikke kræver samtykke for at blive brugt.