Digital marknadsutveckling är inte en ny fråga för företag och egenföretagare. Tyvärr kan detta inte nödvändigtvis sägas om dataskydd för byråer. Vad måste byråer och frilansare ta hänsyn till enligt dataskyddslagstiftningen? Och hur är det WordPress med orderbehandling? En översikt.
Den allmänna dataskyddsförordningen (PUL) har varit i kraft i nästan två år – det sysselsätter också alla dem som är WordPress Arbete. Frågan om uppgiftsskydd har dock funnits sedan 1971. Det finns en ökande spänning mellan dataskydd och ansvarsfull digitalisering av affärsprocesser. Detta gör det ännu viktigare att känna till de centrala reglerna.
När måste en byrå utse ett dataskyddsombud?
Här har det förekommit häftiga diskussioner tidigare. Vi kan dock nu svensk Organ:
- Byrån sysselsätter mer än 20 personer som behandlar personuppgifter
- Byrån utför behandlingar som måste bedömas med hjälp av en konsekvensbedömning för uppgiftsskydd
- Byrån är verksam inom marknads- eller opinionsforskningen
- Byrån behandlar särskilt skyddade personuppgifter
I och med att man ville minska byråkratin hade unionsgrupperna infört kravet i lagstiftningsrådgivningen att öka orderkravet för ett företags dataskyddsombud (BDSG 38 §) till 50 personer. Slutligen kom man överens om en gräns på 20 anställda i mitten av 2019.
I princip uppstår frågan om det var meningsfullt att höja gränsen, eftersom dataskyddet måste respekteras av varje företag. Även från ett 1-personers företag.
Vad bör iakttas när det gäller programvaror från byrån enligt dataskyddslagstiftningen?
Många byråer arbetar med byråprogramvara, biljettfundagentlighet eller arbetsflödeshantering för att automatisera processer och hålla koll. Vanligtvis bearbetar dessa programvarulösningar personuppgifter om kunder och andra partners. Därför gäller dataskyddsförordningarna även här.
I princip måste byråerna se till att det finns en adekvat skyddsnivå för de programvaruprodukter som introduceras. Utöver ett begrepp för tillstånd och strykning måste ytterligare tekniska-organisatoriska åtgärder (TOM) vidtas i enlighet med artikel 32 PUL för att kunna använda respektive programvara i enlighet med dataskydd.
Ekonomisk tillräcklighet måste beaktas. Till exempel ur ekonomisk synvinkel kan TOM av en liten byrå inte uppfylla samma normer på alla områden som de som ett stort företag.
I de flesta fall är den här programvaran en molntjänst. Dessa är till exempel:
- monday.com
- Google Suite eller
- Atlassian Jira-servicedisk
, för att bara nämna några. Dessa leverantörer bör definitivt fullständig orderbehandling, eftersom verktygen behandla personuppgifter.
I samband med slutförandet av en orderbehandling (innan starten av samarbetet), måste byråer eller utvecklare granska dessa tekniska och organisatoriska åtgärder av tjänsten.
Kontraktet bör också bland annat omfatta följande ämnen: hjälp vid de berörda personernas rättigheter, kvalitetsnormer, om sådana finns, befintliga underleverantörer.
Är WordPress Utveckling av orderbehandling?
Många byråer misströstar på utvärderingen, huruvida de bearbetar data som processorer eller som (eget) ansvarigt. Bedömningen är faktiskt ganska enkel: den registeransvarige är vem som beslutar om ändamål och medel för behandling av personuppgifter (artikel 4.7 PUL ). Som bearbetningsföretag i enlighet med artikel 4.8 PUL å andra sidan agerar en byrå när den behandlar personuppgifter för uppdragsgivarens räkning.
Men problemet är att byråer och frilansare ofta erbjuder holistiska tjänster. Då är det inte alltid möjligt att på ett mycket tydligt sätt undersöka om det inte finns någon blandning av ansvar. Den rådande uppfattningen hos uppgiftsskyddsombuden är att i tveksamma fall kommer orderbehandlingen att slutföras. Dessutom har byrån det bättre i fråga om ansvar än utan avtal om orderhantering.
Vad bör göras när WordPress Hosting?
Ämnet dataskydd för byråer omfattar även webbhotell. Förutom att ett SSL-certifikat finns till plats är det viktigt att hosting sker i ett datacenter som är certifierat. Till exempel enligt ISO/EN 27001. Här gäller samma krav i artikel 32. PUL : Byråer och utvecklare måste garantera tillgänglighet, integritet och sekretess genom en tillräcklig säkerhetsnivå.
Förutom förebyggande åtgärder bör en lämplig strategi för säkerhetskopiering också genomföras. I praktiken har dagliga inkrementella säkerhetskopieringar och veckovisa fullständiga säkerhetskopieringar som lagras i upp till 90 dagar visat sitt värde.
Säkerhetskopior bör dock inte placeras på en plats. Som regel erbjuder datacenter möjlighet att få tillgång till flera brandsektioner.
Vad ska en WordPress sida för dataskydd?
I princip måste webbplatserna följa principerna i den allmänna dataskyddsförordningen. Således är den:
- Principen om dataminimering
- Iakttagande av rättsliga grunder för behandling av personuppgifter
- Detsamma gäller iakttagandet av ett lämpligt syfte med bearbetning av
Traditionellt sett bör varje webbplats ha en heltäckande och korrekt sekretesspolicy för att kunna uppfylla informationskraven.
Dessutom måste de rättsliga grunderna för de olika behandlingsåtgärderna skapas, särskilt när det gäller användningen av cookies från tredje part. Detta krav är mycket enkelt att genomföra med en Cookie Consent Manager. När det gäller WordPress följande aspekter bör beaktas:
- Automatiserade WP-Core-uppdateringar
- Regelbundna Plugin - & Theme Uppdateringar
- Effektiv Hacker & Malware Protection
Också, för viss behandling (registreringar, kontaktformulär, etc.) förklaringar om samtycke som uppfyller villkoren i artikel 7 PUL Uppfylla.
Dataskydd för byråer: När behöver du samtycke?
I princip ska den allmänna dataskyddsförordningen (GDPR) förstås som ett förbud som omfattas av tillstånd. Det innebär att inga personuppgifter får behandlas alls. Men eftersom personuppgifter ofta måste behandlas har den europeiska lagstiftaren definierat så kallade tillståndsvisioner – i artikel 6 punkt 1 lit. a till f PUL .
Samtycke krävs närhelst en av tillståndssebees i enlighet med artikel 6.1 tänd.b till f PUL är inte relevant. Ett sådant samtycke måste uppfylla villkoren i artikel 7. Bland annat står det:
- "Om behandlingen grundar sig på samtycke måste den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandlingen av hans eller hennes personuppgifter"
- "Den registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket påverkar inte lagligheten av den behandling som utförs på grundval av samtycket fram till återkallandet. Den registrerade ska informeras om detta innan samtycke ges. Återkallandet av samtycket är lika enkelt som att ge sitt samtycke."
Samtycke måste således alltid inhämtas på ett informerat, öppet, påvisbart, frivilligt och återkalleligt sätt.
Dessutom finns det ett så kallat skäl 32 på PUL . De exempel som anges i den är avsedda att underlätta utformningen av samtycke för affärsmetoder. In-house utvecklade lösningar, samt relaterade WordPress Plugins – den bör dock regelbundet kontrolleras för juridiska ändamål, till exempel av en lämplig advokatbyrå.
