Databeskyttelse for agenturer og WordPress Forfatter

Nils Möllers Senest opdateret den 21. oktober 2020
5 Min.
Databeskyttelse for agenturer
Senest opdateret den 21. oktober 2020

Digital markedsudvikling er ikke et nyt anliggende for virksomheder og selvstændige. Det kan desværre ikke nødvendigvis siges om databeskyttelse for agenturer. Hvad skal bureauer og freelancere tage hensyn til i henhold til databeskyttelseslovgivningen? Og hvad med WordPress med ordrebehandling? En oversigt.

Den generelle forordning om databeskyttelse (GDPR) har været i kraft i næsten 2 år – den beskæftiger også alle, der er involveret i WordPress Arbejde. Spørgsmålet om databeskyttelse har imidlertid eksisteret siden 1971. Der er en stigende spænding mellem databeskyttelse og ansvarlig digitalisering af forretningsprocesser. Det gør det så meget desto vigtigere at kende de centrale regler.

Bemærk: Dette grundlæggende bidrag erstatter ikke juridisk rådgivning. For at gennemgå dine handlinger og hjemmeside, bør du altid kontakte et professionelt passende advokatfirma for online lov og databeskyttelse.

Hvornår skal et agentur udpege en databeskyttelsesansvarlig?

Der har tidligere været ophedede diskussioner her. Men vi kan nu notere følgende centrale punkter for tyske agenturer:

  1. Agenturet beskæftiger mere end 20 personer, der behandler personoplysninger
  2. Agenturet udfører behandlinger, som skal vurderes ved hjælp af en konsekvensanalyse af databeskyttelse
  3. Agenturet er aktivt inden for markeds- eller opinionsforskning 
  4. Agenturet behandler særligt beskyttede personoplysninger

Med ønsket om at mindske bureaukratiet havde EU-grupperne indført kravet i den lovgivningsmæssige rådgivning om at øge ordrekravet for en databeskyttelsesansvarlig for virksomheder (BDSG's § 38) til 50 personer. Endelig blev der i midten af 2019 aftalt en grænse på 20 medarbejdere.

I princippet opstår spørgsmålet om, hvorvidt en forhøjelse af grænsen gav mening, da databeskyttelse skal respekteres af enhver virksomhed. Også fra en 1-personers virksomhed.

Hvad skal der iagttages i forbindelse med agentursoftware i henhold til databeskyttelseslovgivningen?

Mange bureauer arbejder med bureausoftware, billet opfindsomhed eller workflow management for at automatisere processer og holde styr på. Disse softwareløsninger behandler typisk personlige data for kunder og andre partnere. Derfor gælder databeskyttelsesreglerne også her.

Agenturerne skal i princippet sikre, at der er et tilstrækkeligt beskyttelsesniveau for de indførte softwareprodukter. Ud over et autorisations- og sletningskoncept skal yderligere teknisk-organisatoriske foranstaltninger (TOM) i overensstemmelse med artikel 32 GDPR overholdes for at kunne bruge den pågældende software i overensstemmelse med databeskyttelse.

Der skal tages hensyn til den økonomiske tilstrækkelighed. For eksempel, fra et økonomisk synspunkt, tom af et lille agentur kan ikke opfylde de samme standarder på alle områder som en stor virksomhed.

I de fleste tilfælde er denne software en cloud-tjeneste. Det er f.eks.:

  • monday.com
  • Google Suite eller
  • Atlassian Jira serviceskranke

, for blot at nævne nogle få. Disse udbydere bør helt sikkert fuldføre ordrebehandling, som værktøjerne behandler personlige data.

Google GDPR
Google stiller egne ressourcer til rådighed for sine cloud-tjenester

I forbindelse med afslutningen af en ordrebehandling (før samarbejdets begyndelse) skal bureauer eller udviklere gennemgå disse tekniske og organisatoriske foranstaltninger i tjenesten.

Kontrakten bør også bl.a.

Er WordPress Udvikling af ordrebehandling?

Mange agenturer fortvivlelse på evalueringen, uanset om de behandler data som processorer eller som (egen) ansvarlig. Faktisk er vurderingen ganske enkel: den registeransvarlige er, hvem der bestemmer formålet med og midlerne til behandling af personoplysninger (artikel 4, punkt 7 GDPR). På den anden side fungerer et bureau som databehandler i overensstemmelse med artikel 4, stk. 8, i GDPR, hvis det behandler personoplysninger på vegne af ordregiveren.

Men problemet er, at agenturer og freelancere ofte tilbyder holistiske tjenester. Så er det ikke altid muligt på en meget klar måde at undersøge, om der ikke er en blanding af ansvar. Den fremherskende opfattelse af databeskyttelsesansvarlige er, at i tilfælde af tvivl, vil ordrebehandlingen blive afsluttet. Desuden er agenturet bedre stillet med hensyn til ansvar end uden en kontrakt om ordrebehandling.

Hvad skal der gøres, når WordPress Hosting?

Emnet databeskyttelse for agenturer omfatter også web hosting. Ud over tilgængeligheden af et SSL-certifikat er det vigtigt, at hosting finder sted i et datacenter, der er certificeret. For eksempel, ifølge ISO/EN 27001. Dette skyldes, at det samme krav i artikel 32 GDPR gælder her: agenturer og udviklere skal sikre tilgængelighed, integritet og fortrolighed gennem et passende sikkerhedsniveau.

Ud over forebyggende foranstaltninger bør der også gennemføres en passende backupstrategi. I praksis har daglige trinvise sikkerhedskopieringer og ugentlige fulde sikkerhedskopier, der er gemt i op til 90 dage, bevist deres værd.

Strategi for sikkerhedskopiering
Automatiske sikkerhedskopieringer øger sikkerheden

Sikkerhedskopieringer bør dog ikke placeres ét sted. Som regel giver datacentre mulighed for at få adgang til flere brandsektioner.

Hvad skal en WordPress side for databeskyttelse?

I princippet skal websteder overholde principperne i den generelle forordning om databeskyttelse. Således:

  • Princippet om dataminimering
  • Overholdelse af retsgrundlag for behandling af personoplysninger
  • Det samme gælder overholdelsen af et passende formål med behandlingen af

Traditionelt bør hvert websted have en omfattende og korrekt fortrolighedspolitik for at overholde oplysningskravene.

WordPress Siden Beskyttelse af personlige oplysninger
Siden Politik om beskyttelse af personlige oplysninger i WordPress Sæt

Desuden skal retsgrundlaget for de forskellige behandlinger skabes, navnlig med hensyn til brugen af tredjepartscookies. Dette krav er meget nemt at implementere med en Cookie Consent Manager. Med hensyn til: WordPress Der bør tages hensyn til følgende aspekter:

Også for visse behandlinger (registreringer, kontaktformularer osv.) samtykkeerklæringer, der opfylder betingelserne i artikel 7 i GDPR.

WordPress Plugin Management
Praktiske: Plugins Og Themes Centralt opdatering i hosting backend

Databeskyttelse for bureauer: Hvornår har du brug for samtykke?

I princippet skal den generelle forordning om databeskyttelse (GDPR) forstås som et forbud, der kræver tilladelse. Det betyder, at ingen personoplysninger må behandles overhovedet. Men da personoplysninger ofte skal behandles, har den europæiske lovgiver defineret såkaldte tilladelsesfakta – i artikel 6, stk. 1, a. a til f GDPR.

GDPR-tekst
Teksten til GDPR på eur-lex.europa.eu

Samtykke er påkrævet, når en af tilladelsessømmen ikke er relevant i overensstemmelse med artikel 6, stk. 1, .b til f GDPR. Et sådant samtykke skal opfylde betingelserne i artikel 7. Det hedder bl.a.:

  • »Hvis behandlingen er baseret på samtykke, skal den registeransvarlige kunne påvise, at den registrerede har givet sit samtykke til behandlingen af sine personoplysninger«
  • "Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagekaldelsen af samtykke påvirker ikke lovligheden af den behandling, der udføres på grundlag af samtykket, før tilbagekaldelsen. Den registrerede vil blive informeret om dette, før han giver sit samtykke. Tilbagekaldelse af samtykke skal være så simpelt som at give samtykke."

Samtykket skal således altid indhentes på en informeret, gennemsigtig, påviselig, frivillig og genkaldelig måde.

Derudover er der en såkaldt betragtning 32 om GDPR. Eksemplerne her i den har til formål at lette udformningen af samtykke til handelspraksis. In-house udviklede løsninger samt relaterede WordPress Plugins – den bør dog regelmæssigt kontrolleres i juridiske formål, f.eks.

Spørgsmål om databeskyttelse for agenturer

Har du spørgsmål om databeskyttelse for bureauer og freelancere? Brug kommentarfunktionen. Du ønsker at blive informeret om nye artikler om emnet online-lovgivning? Følg os derefter på Twitter, Facebook eller via vores nyhedsbrev.

Nils Möllers er grundlægger og administrerende direktør for Keyed GmbH fra Münsterland - som certificeret databeskyttelsesansvarlig og ekspert i databeskyttelse inden for markedsføring, i virksomhedsgrupper og i franchisesystemer. Nils Möllers rådgiver også virksomheder inden for IT-sikkerhed, der ledsager ISO27001.

Lignende artikler

Kommentarer til denne artikel

Skriv svar på en

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *.