Kontohantering

Kontohantering Hjälp

Vad innebär GDPR för min verksamhet?

Vad är GDPR?‌‌

Den allmänna dataskyddsförordningen (GDPR) är en EU-lag som fokuserar på dataskydd och sekretess för alla medborgare och invånare i EU. GDPR reglerar hur företag - inklusive GoDaddy - kan behandla personuppgifter om personer i EU. GDPR trädde i kraft den 25 maj 2018. För en mer detaljerad beskrivning av vad GDPR är och hur GoDaddy följer GDPR, läs informationen i vårt sekretesscenter .

GoDaddy är inte en advokatbyrå

Vi hoppas att det här dokumentet ger dig en överblick över vad GDPR är och vad det kan innebära för dig, men GoDaddy ger ingen juridisk rådgivning och det här är inte en heltäckande guide till GDPR. Alla affärssituationer är olika och GDPR är en mycket komplex lagstiftning. Om du har specifika frågor om din affärsverksamhet och hur den kan påverkas av GDPR (och annan tillämplig dataskyddslagstiftning) rekommenderar vi att du kontaktar en jurist.

Vi är inte experter på din verksamhet

Trots att vi gärna skulle ge dig utförliga råd om hur du ska hantera din efterlevnad av GDPR är det praktiskt taget omöjligt. Varje verksamhet sköts olika, med olika policyer, protokoll, medarbetare, anläggningar osv. Därför presenterar vi en översikt av GoDaddyS tolkning av GDPR, men det finns flera nyanser i bestämmelserna, som vi har markerat i det här dokumentet, där du måste göra egna bedömningar utifrån din specifika situation.

Vad är annorlunda med GDPR?

GDPR skiljer sig inte mycket från annan dataskyddslagstiftning runt om i världen. Anledningen till att GDPR uppmärksammas extra mycket är att den sträcker sig utanför EU till företag i hela världen som hanterar personuppgifter om EU-medborgare och den medför även betydliga påföljder (upp till 20 miljoner EUR eller 4 % av de globala årliga intäkterna) vid överträdelser. Fler länder, högre bötesbelopp och bredare omfattning innebär större intresse i media. Men det finns ändå vissa skillnader – GDPR kräver att berörda företag ger sina kunder vissa rättigheter (som ”rätten att glömmas bort” och ”rätten till dataportabilitet”) och implementerar vissa åtgärder för företagsefterlevnad.

Påverkas min verksamhet?

Det finns några anledningar till att din verksamhet kan påverkas. Om din verksamhet är baserad i eller om du gör affärer med kunder inom det Europeiska ekonomiska samarbetsområdet (EES) när du säljer varor eller tjänster, läs vidare. Om du inte gör affärer inom det området eller på annat vis är inriktad på EU-invånare behöver du inte göra något (kontrollera med din juridiska rådgivare för att bekräfta detta).

Uppfyller mina GoDaddy-produkter och tjänster kraven i GDPR?

Inga produkter eller tjänster ”följer GDPR” i sig. När de är korrekt konfigurerade för dina specifika affärsbehov och används i kombination med andra åtgärder, policyer och processer som du implementerar utifrån din specifika verksamhet (några av dem beskrivs ovan) kan de dock användas på ett vis som överensstämmer med GDPR. Ingen känner till din verksamhet lika bra som du. Trots att GoDaddy hoppas kunna erbjuda verktyg och resurser som hjälper din verksamhet att uppfylla kraven i GDPR och finns här för dig, så kan vi inte säkerställa att du uppfyller tillämpliga lagar för din verksamhet.

Vad innebär det att efterleva GDPR?

GDPR fokuserar på skydda av personuppgifter. För att göra en lång historia kort handlar det om att se till att dina kunders personuppgifter skyddas och används på lämpligt sätt. Innan vi går in på detaljer ger vi några huvuddefinitioner i lagen som hjälper oss att definiera respektive ansvarsområden när det gäller hantering av personuppgifter:

  • Berörd person: Den person som tillhandahåller personuppgifter. Det kan vara en kund, en anställd eller en besökare på din webbplats (det senare om du samlar in uppgifter om dem med ”cookies och liknande tekniker”).
  • Personuppgiftsansvarig: Den part som avgör syftet och metoderna för behandlingen av personuppgifter.
  • Personuppgiftsbiträde: Den part som behandlar personuppgifter för den personuppgiftsansvariges räkning.
  • Behandling: Varje åtgärd eller åtgärder som vidtas beträffande personuppgifter, vare sig på automatisk väg eller annan, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, återvinning, läsning, användning, utlämnande genom översändande, spridning eller annat tillgängliggörande, justering eller kombination, begränsning, radering eller förstöring.
  • Personuppgifter: GDPR gäller endast ”personuppgifter”, vilket innebär all information som är relaterad till en identifierbar person som direkt eller indirekt kan identifieras genom att hänvisa till en identifierande uppgift. Den här definitionen innebär att ett stort antal personliga kännetecken kan utgöra personuppgifter, inklusive namn, id-nummer, platsuppgifter eller webbidentifierare, vilket omfattar teknikförändringar och de sätt organisationer samlar in uppgifter om människor. Om du kan använda uppgifterna för att identifiera en användare, kund eller person är det personuppgifter.

Vad innebär de här definitionerna för mig?

I vår relation finns det tillfällen där vi är personuppgiftsansvariga (när vi samlar in uppgifter från dig för att sälja dig våra produkter och tjänster – som ditt namn, din adress, din e-postadress, ditt telefonnummer och dina kreditkortsuppgifter) och tillfällen när vi är personuppgiftsbiträde och du är personuppgiftsansvarig (som när du använder våra tjänster för dina egna affärssyften och information skickas till våra servrar så att vi kan tillhandahålla, hantera och underhålla tjänsterna för dig [läs mer nedan]).

Vad kräver lagen mer exakt?

Den officiella versionen av GDPR består av 261 sidor, innehåller 173 skäl, 99 artiklar och (som vi nämnde ovan) är både komplex och omfattande, samt vag och tvetydig. Vi tar bara upp några av huvudprinciperna:

  • Transparens

    Vilka uppgifter samlar du in och hur används de? Att förklara detta för dina kunder på ett lättläst och lättförståeligt sätt är en viktig princip i all dataskyddslagstiftning, inklusive GDPR.

    Vi misstänker att du har fått en stor mängd e-postmeddelanden om att ”vi har uppdaterat vår dataskyddspolicy” den senaste tiden. Det är ingen slump. GDPR kräver att företagen uppvisar större transparens och tydlighet när det gäller hur de samlar in och använder kundernas uppgifter (med andra ord att de måste vara mer användarvänliga). Du kan använda en sekretesspolicy för att erbjuda transparens – där du tydligt och på enkelt språk förklarar för kunderna hur du samlar in och använder deras personuppgifter samt hur de kan kontakta dig eller utnyttja eventuella rättigheter.

    GoDaddy tillhandahåller verktyg som gör att du kan inkludera sekretesspolicyer på dina webbplatser och i vissa fall mallar som du kan utgå från. Eftersom vi inte vet hur du sköter din verksamhet är det dock omöjligt för oss att tillhandahålla dig med en sekretesspolicy för fullständig efterlevnad.

  • Kundkontroller och hantering av samtycke

    Att vara transparent är en bra start, men om du använder (eller samlar in) information från dina kunder utöver vad som behövs för att tillhandahålla dem de varor eller tjänster som du säljer, måste du också se till att får möjlighet att ge sitt samtycke till utökad användning och tillhandahålla metoder så att de senare kan återkalla sitt samtycke.

    Det mest uppenbara exemplet här är att använda e-postdresser eller telefonnummer som samlats in för att kommunicera med dina kunder (normalt talar vi om opt-in/opt-out för sådana meddelanden/abonnemang). Den här informationen kan tillhandahållas av kunderna när de skapar ett konto eller köper en produkt eller en tjänst av dig. Det innefattar dock även din insamling av information om personer som besöker dina webbplatser via verktyg som kallas för ”cookies” (och liknande tekniker som pixlar, skript osv.). Förmodligen har du sett cookiemeddelanden när du besöker webbplatser och i likhet med sekretesspolicyer ger dessa cookiemeddelanden en ökad transparens. Med cookiemeddelanden kan enskilda personer lära sig mer om vilka verktyg som används för att samla in information om dem, acceptera eller avvisa sådan användning och/eller på annat vis styra mer specifikt vilka cookies som kan vara acceptabla att använda.

    Enligt GDPR måste dina kunder få rätt att lämna sitt samtycke till sådan insamling (och påföljande användning) och det enda sättet som samtycke kan ges är att du presenterar möjligheten att utöva detta samtycke på ett sätt som är lätt att förstå, specifikt (för den aktuella användningen) och uttryckligt. Förifyllda kryssrutor, tystnad eller inaktivitet kan inte användas för att intyga kundernas samtycke. Om du till exempel har en kryssruta på din webbplats där det står: ”Vi delar dina uppgifter med tredje part i marknadsföringssyfte” kan du inte låta kryssrutan vara förifylld för att visa att personuppgiftsinnehavarna tillåter behandling av deras uppgifter. Kryssrutan måste vara tom för uppgiftsinnehavare inom EES tills de frivilligt anmäler sig eller ger sitt samtycke till sådan behandling.

    Du måste se till att dina kunder har kontroll över sina personuppgifter, kommunikationer och samtycke, inklusive rätten att dra tillbaka sitt samtycke.

  • Rätt att bli bortglömd

    Vi nämnde tidigare att GDPR liknar andra dataskyddslagar i världen – det här är dock en kundrättighet som är unik för GDPR. GDPR ger privatpersoner rätten att glömmas bort (”Rätt till radering” enligt lagen). Det innebär att kunden kan be att få sina personuppgifter raderade (och att de ska ”glömmas”), i de fall de insamlade personuppgifterna inte längre är nödvändiga för de syften de ursprungligen samlades in eller behandlades.

    I de fall rätten föreligger måste du radera innehavarens personuppgifter från dina system (om det inte finns legitima affärsrelaterade eller lagstadgade skäl till att dessa uppgifter ska lagras, till exempel av bokföringsskäl eller lagstadgade skäl).

    Om en kund väljer att sluta gör affärer med dig kanske personen inte längre vill att du ska behålla information som du tidigare har samlat in och lagrat om personen. Trots att det finns begränsningar av den här rätten – med undantag och komplicerade nyanser – måste du överväga hur du ska uppfylla en sådan begäran.

    GoDaddy kommer att enligt vår beskrivning och i enlighet med vår Databehandlingsbilaga att uppfylla förfrågningar från dig (personuppgiftsansvarig) att ta bort dina kunders uppgifter från våra system när en sådan begäran lämnas in.

  • Rätt till dataportabilitet

    Rätten till dataportabilitet är en annan unik rätt för GDPR där personer kan inhämta och återanvända sina personuppgifter för sina egna syften och för olika tjänster. Det innebär att de enkelt kan flytta, kopiera eller överföra personuppgifter from en IT-miljö till en annan på ett säkert sätt utan att användbarheten hos uppgifterna påverkas.

    Låt oss säga att du är evenemangsarrangör. Kunden har uppgivit sina kontaktuppgifter och relevanta personliga önskemål för dig, men beslutar sig sedan för att anlita en annan evenemangsarrangör. Inom EES har kunden rätt att få en elektronisk kopia av sina personuppgifter för att enkelt kunna etablera en ny kontakt med en annan evenemangsarrangör. GoDaddy hjälper dig när du får en sådan förfrågan i den utsträckning kundens personuppgifter finns i och kan exporteras till dig från de produkter och tjänster vi tillhandahåller.

  • Inbyggt sekretesskydd

    Inbyggt dataskydd (eller dataskydd som standard) innebär huvudsakligen att när du tar emot, behandlar, lagrar eller använder personuppgifter måste nödvändiga skyddsåtgärder övervägas och inkluderas – inga särskilda överväganden eller extra steg krävs, endast den minimala mängden nödvändiga data ska samlas in, tas emot på ett säkert sätt (t.ex. krypterat), lagras på en säker plats och endast personer med ett giltigt behov och som har fått nödvändig utbildning ska ha åtkomst till dem. Det innebär att du måste säkerställa att tredje parter också har tillräckliga skydd innan du skickar kunders personuppgifter till dem.

    Det här är i grund och botten samma principer som gäller när du besöker vården. Som patient förväntar du sig att din journal, läkaranteckningar och råd du får ska hållas säkra och konfidentiella. Använd samma försiktighet när det gäller registrerade personer så har du situationen under kontroll.

    När du går igenom din affärsverksamhet måste du granska hur GoDaddyS produkter och tjänster kan användas med tanke på dataskydd. Det är vår förhoppning att våra produkter och tjänster ska kunna konfigureras för att uppfylla dina specifika behov, men du måste göra en egen, oberoende bedömning om användning av våra tjänster är förenligt med tillämpliga lagar för datasekretess och dataskydd.

  • Meddelanden om dataöverträdelser

    Om överträdelser sker i samband med personuppgifter är företagen skyldiga att meddela den behöriga tillsynsmyndigheten inom 72 timmar efter att de blivit medvetna om överträdelsen eller utan onödigt dröjsmål. Kontakta din juridiska rådgivare för mer information om rapportering och vilka steg som ska vidtas.

Vad innebär det för oss?

Som vi har nämnt tidigare utgör GoDaddy ditt personuppgiftsbiträde i de allra flesta fall. Vi behandlar uppgifterna strikt efter vad som krävs för att tillhandahålla de tjänster du har köpt av oss för din räkning eller enligt dina anvisningar. Vill du använda våra tjänster på ett sätt som samlar in data så att du kan sälja dina varor eller samla in tilldelningsinformation eller uppgifter för potentiell försäljning? Inga problem. Vi ser till att uppgifterna behandlas på ett säkert sätt för din räkning.

Som personuppgiftsansvarig kontrollerar du hur data används och lagras, och vi kommer endast att bearbeta dem enligt villkoren i vår tillägg för databehandling för att tillhandahålla och underhålla tjänsterna åt dig. Det innebär att du måste vara noga med din interna policy och anställdas tillgång till poster, inklusive hur du delar data med tredje part och hur lätt någon kan komma åt den registrerades information.

Som du kan se i huvudpunkterna ovan handlar GDPR (och annan dataskyddslagstiftning) om att säkerställa att de uppgifter som vi samlar in och använder för att göra vår verksamhet framgångsrik skyddas ordentligt.