Grundlæggende om privatlivspolitikker: Hvad, hvorfor og hvordan (2)

Juridiske dokumenter er ikke ligefrem alles yndlingsemne, især ikke midt i al spændingen ved at starte en ny onlinevirksomhed. Privatlivspolitikker er dog absolut nødvendige for stort set alle hjemmesider og mobilapps.

Denne artikel gennemgår de grundlæggende fakta om privatlivspolitikker – hvad de er, hvorfor du har brug for dem, og hvad de bør indeholde.

Hvad og hvorfor

En privatlivspolitik er en offentlig erklæring for en onlinevirksomhed, der giver forbrugerne følgende oplysninger:

• Hvilke personlige oplysninger der indsamles om brugerne
• Hvordan oplysningerne indsamles og bruges
• Hvordan oplysningerne administreres og beskyttes
• Hvordan en bruger kan få adgang til og kontrollere disse oplysninger

Dette resumé fra eBay giver en grundig oversigt over alle de emner, der dækkes af en typisk privatlivspolitik:

Personlige oplysninger defineres som alle data, der kan bruges til at identificere en person, såsom:

• Navn
• E-mailadresse
• Telefonnummer
• Adresse
• ID-numre
• Kreditkortnumre

Selv anonyme oplysninger, såsom IP-adresser og brugernavne, kan bruges i kombination med andre data til at identificere en person, og derfor betragtes disse også som personlige oplysninger.

Kort sagt skal alle oplysninger, du indsamler fra dine brugere, betragtes som personlige oplysninger og behandles som sådan.

Ifølge FTC betragter vi data som "personligt identificerbare" og dermed berettiget til beskyttelse af privatlivets fred, når de med rimelighed kan knyttes til en bestemt person, computer eller enhed. I mange tilfælde opfylder permanente identifikatorer såsom enhedsidentifikatorer, MAC-adresser, statiske IP-adresser eller cookies dette kriterium.

Lovgivning om privatliv

Hvis din hjemmeside eller mobilapp indsamler personoplysninger fra brugere, er du i de fleste lande lovmæssigt forpligtet til at offentliggøre en privatlivspolitik.

Her er et par eksempler på privatlivsregler, der gælder for de fleste onlinevirksomheder.

USA

1. FTC

Den amerikanske Federal Trade Commission (FTC) opretholder og regulerer en bred vifte af privatlivsbeskyttelse. Selvom de involverede regler er indviklede og vage, forbyder FTC urimelige eller vildledende praksis fra onlinevirksomheder. Dette gælder virksomheder, der:

• Undlader at beskytte brugerdata, hvilket gør dem sårbare over for hackere eller cyberangreb
• Undlader at give behørig meddelelse, når privatlivspolitikken ændres
• Undlader at overholde de offentliggjorte privatlivspolitikker

2. CalOPPA

California Online Privacy Protection Act er en lov i delstaten Californien, der gælder for alle virksomheder, der indsamler oplysninger fra indbyggere i Californien.

De grundlæggende krav omfatter følgende:

• Onlinevirksomheder skal offentliggøre en tydelig privatlivspolitik.
• Privatlivspolitikken skal beskrive, hvilke oplysninger der indsamles fra brugerne, og hvem de deles med.
• Virksomheden skal overholde sin egen privatlivspolitik.

Den Europæiske Union

Den generelle databeskyttelsesforordning (GDPR), der træder i kraft i maj 2018, er et vidtrækkende sæt direktiver, der håndhæves af Den Europæiske Union. Den gælder for enhver organisation, der indsamler personoplysninger fra EU-borgere.

GDPR indeholder en lang række krav vedrørende privatliv på internettet, men på det mest grundlæggende niveau fastsætter den, at:

• Du skal give fuldstændig information om alle oplysninger, der indsamles fra brugerne, herunder oplysninger, der indsamles via cookies.
• Du skal anmode om samtykke til indsamling af oplysninger, herunder placering af cookies.
• Du skal træffe alle mulige foranstaltninger for at beskytte personoplysninger.

Canada

Canadas lov om beskyttelse af personoplysninger og elektroniske dokumenter (PIPEDA) har til formål at beskytte forbrugernes grundlæggende ret til privatlivets fred gennem forskellige regler og krav til onlinevirksomheder. Den gælder for alle organisationer, der indsamler personoplysninger fra canadiske borgere.

De mest bemærkelsesværdige krav omfatter følgende:

• Offentliggøre en offentlig og tilgængelig privatlivspolitik.
• Indsamle og beskytte oplysninger på en retfærdig og lovlig måde.
• Indhent samtykke til indsamling af personoplysninger.

Australien

Den australske informationskommissær vedligeholder og håndhæver et bredt sæt australske privatlivsprincipper (APP'er), der gælder for alle, der indsamler personoplysninger fra indbyggere i Australien.

Blandt disse retningslinjer er følgende bestemmelser vedrørende privatlivspolitikker:

• Virksomheder skal til enhver tid have en opdateret og synlig privatlivspolitik.
• Informer brugerne om, hvilke oplysninger der indsamles, og hvordan de bruges.
• Giv brugerne adgang til at se og ændre deres egne personoplysninger.
• Der skal træffes rimelige foranstaltninger for at beskytte personlige oplysninger.

Som du kan se, er det meget sandsynligt, at du vil blive holdt ansvarlig i henhold til en eller alle de ovenfor beskrevne privatlivslove, uanset hvor du driver din virksomhed. For at begrænse ansvaret anbefales det at følge de minimale privatlivskrav i dem alle, da internettet er en international ramme.

Bedste praksis for forbrugerbeskyttelse

Ud over de lovmæssige krav til udarbejdelse af en privatlivspolitik er det simpelthen god forretningsskik. I dagens verden med cyberangreb og identitetstyveri har forbrugerne brug for at føle sig sikre på, at din virksomhed opbevarer deres personlige oplysninger på en ærlig, gennemsigtig og sikker måde.

Nedenfor finder du en liste over bedste praksis, du bør følge, når du håndterer dine brugeres personlige oplysninger:

• Brug et klart og letforståeligt sprog i din privatlivspolitik.
• Sørg for, at privatlivspolitikken er tydelig og let at finde.
• Undervis de medarbejdere, der håndterer kundedata, for at sikre, at de er velbevandrede i kravene til privatlivsbeskyttelse.
• Gør dit yderste for at opretholde opdaterede interne sikkerhedsforanstaltninger til databeskyttelse.
• Sørg for, at forbrugerne har nem adgang til at se, redigere eller slette deres egne personoplysninger.
• Informer dine brugere rettidigt, hver gang der sker ændringer i din privatlivspolitik.
• Overhold altid omhyggeligt din egen privatlivspolitik.

Hvordan

For at fastlægge præcis, hvilke emner der skal dækkes i din privatlivspolitik, skal du se nærmere på, hvordan du håndterer brugernes personlige oplysninger.

Nedenfor følger en beskrivelse af almindelige klausuler i privatlivspolitikker, samt hvornår de skal anvendes:

1. Hvilke oplysninger indsamles, og hvordan

Denne klausul er afgørende for enhver privatlivspolitik. Her informerer du den besøgende om, præcis hvilke personoplysninger der indsamles, og hvordan de indsamles. Dette omfatter både oplysninger, der leveres direkte af brugeren, og oplysninger, der indsamles automatisk af din hjemmeside.

United Airlines giver en klar liste over hver enkelt personoplysning, de indsamler:

Sørg for at være så grundig som muligt for at undgå misforståelser. Oplysninger, du indsamler via cookies og tredjepartskilder, bør også medtages på listen.

Canva beskriver hver type oplysninger, de indsamler, såsom brugeroplysninger, tredjepartsdata og analysedata:

2. Hvordan oplysninger bruges

Et andet vigtigt punkt er, at din privatlivspolitik skal præcisere, hvordan oplysninger bruges, og hvorfor de er nødvendige. Hvis du f.eks. har brug for at indsamle demografiske oplysninger for at forbedre dine tjenester, skal du forklare dette for brugerne.

Apple beskriver hver enkelt måde, hvorpå de bruger personlige oplysninger, og hvorfor det er nødvendigt, suppleret med et par eksempler:

Fuldstændig åbenhed i dette afsnit vil ikke kun begrænse dit ansvar i henhold til loven. Det vil også hjælpe med at opbygge tillidsfulde relationer til dine kunder.

AT&T har også en grundig punktopstilling over alle de måder, de bruger kundeoplysninger på:

3. Tredjepartsadgang

Hvis din virksomhed deler brugerdata med tredjepartssoftware til ordreafgivelse, analyse, annoncering eller af andre årsager, skal du have en klausul om tredjepartsadgang til oplysninger.

Spotify forklarer behovet for at dele oplysninger med tredjeparter:

I dette afsnit er det nødvendigt at angive, hvilke typer tredjepartspartnere du deler personoplysninger med, og hvorfor. Dette er et godt sted at nævne tjenester som Google Analytics eller software til kreditkortbehandling, som du er nødt til at dele brugeraktivitet med for at tjenesten kan fungere korrekt.

CBS går meget i detaljer for at sikre, at brugerne forstår præcis, hvem der har adgang til deres oplysninger:

4. Cookies

Selvom det anbefales at oprette en separat cookiepolitik, er det også en god idé at medtage en kort klausul i din privatlivspolitik, der dækker cookies.

Lonely Planet giver en detaljeret liste over alle de måder, de bruger cookies på:

Forklar, hvad cookies er, og hvorfor de bruges. Hvis du har en separat cookiepolitik, skal du angive et link til den her. Hvis der ikke er nogen cookiepolitik, er det en god idé at angive de cookies, du bruger, i fortrolighedspolitikken. Sørg for også at medtage tredjepartscookies på denne liste.

GOV.UK har oprettet dette skema over cookies i deres cookiepolitik. Bemærk, hvordan de forklarer, hvad hver enkelt cookie bruges til:

5. Kommunikation

Selvom du ikke sender marketing-e-mails, er det vigtigt at informere brugerne om, hvordan du planlægger at kommunikere med dem. Hvis dit system sender e-mails, sms'er, telefonopkald eller andre typer beskeder, skal du informere brugerne herom.

T-Mobile stiller en præferenceformular til rådighed for deres besøgende, hvor de kan vælge, hvordan de foretrækker at blive kontaktet:

Især når det gælder salgsfremmende meddelelser, bør du også forklare kunderne, hvordan de kan fravælge disse, hvis de ønsker det.

Bed Bath & Beyond tilbyder metoder til at fravælge salgsfremmende udsendelser via både e-mail og almindelig post:

6. Databehandling

Selvom alle virksomheder håndterer data forskelligt, giver dette afsnit dig mulighed for at forklare brugerne, hvordan deres personlige data gemmes, tilgås, beskyttes og administreres.

Nogle af de ting, du kan medtage i denne klausul, er:

• Hvor oplysningerne opbevares
• Hvordan oplysninger beskyttes
• Hvordan brugerne kan se, redigere eller slette deres personlige oplysninger
• Hvornår det er nødvendigt at opbevare oplysninger, efter at en brugerkonto er blevet lukket

Adobe behandler alle ovenstående punkter på en klar og præcis måde:

Selvom du kan beskrive, hvordan en bruger kan slette sin konto, kan du også nævne, at din virksomhed forbeholder sig retten til at slette brugerkonti, men at visse oplysninger kan opbevares på ubestemt tid af juridiske, transaktionsmæssige eller andre årsager.

Facebook beskriver, hvordan en bruger kan ændre kontooplysninger, og forklarer derefter, hvorfor brugerdata muligvis skal opbevares:

7. Virksomhedsoverdragelser

En fremtidig overtagelse eller virksomhedsfusion er en mulighed for ethvert brand. For at være på den sikre side anbefales det at medtage en klausul om virksomhedsoverdragelse i din privatlivspolitik i forventning om en sådan ændring.

Logitech forklarer en oplysning om virksomhedsoverdragelse i et kort afsnit:

Forklar blot brugerne, at i tilfælde af en virksomhedsovertagelse eller fusion vil de personlige oplysninger i kundedatabasen også blive overført til den nye ejer. Det er ideelt at nævne, at din tidligere forpligtelse til brugernes privatliv vil blive opretholdt under og efter overførselsprocessen.

Amazon beskriver processen for virksomhedsoverdragelse, samtidig med at de minder forbrugerne om, at alle eksisterende aftaler vedrørende privatliv vil blive opretholdt:

8. Tvistbilæggelse

I de fleste tilfælde vil juridiske vilkår være dækket af dine vilkår og betingelser. Det kan dog ikke skade at have en klausul om tvistbilæggelse i din privatlivspolitik.

Her er et eksempel fra Eventbrite:

Her beskriver du din virksomheds proces for tvistbilæggelse og informerer forbrugerne om, hvordan de kan indlede processen, hvis de har klager.

eBays klausul om tvistbilæggelse er kort og enkel:

9. Børn under 13 år

Medmindre din virksomhed er rettet mod børn, er dette afsnit ligetil, men nødvendigt. I det usandsynlige tilfælde, at et barn under 13 år kommer ind på din hjemmeside eller mobilapp, bør noget i stil med følgende afsnit fra Instagram medtages i din privatlivspolitik:

Hvis dine tjenester imidlertid er beregnet til børn eller teenagere, skal du have en separat og detaljeret fortrolighedspolitik for børn, der overholder bestemmelserne i Children's Online Privacy and Protection Act (COPPA).

The Walt Disney Company giver et godt eksempel her:

10. Ændringer i privatlivspolitikken

Du har ret til at foretage ændringer i dine tjenester og din privatlivspolitik når som helst. Informer dine brugere om, at der vil ske ændringer over tid.

Her er et eksempel fra WhatsApp:

En anden bestemmelse i denne klausul er, at du skal "informere kunderne om eventuelle ændringer i din privatlivspolitik på det tidspunkt, hvor ændringerne træder i kraft, eller inden de træder i kraft. Det anbefales også at informere dem om, hvordan denne kommunikation vil foregå.

CBS informerer brugerne om, hvordan de vil blive informeret om ændringer i privatlivspolitikken:

11. Kontakt

Lad ikke kundernes spørgsmål og bekymringer om deres privatliv stå ubesvarede. Giv dem en nem måde at kontakte dig på vedrørende privatlivsspørgsmål. Hvis det er muligt at oprette en dedikeret e-mail eller afdeling til at håndtere disse spørgsmål, er det endnu bedre.

Det amerikanske udenrigsministerium tilbyder to måder at kontakte dem på vedrørende privatlivsspørgsmål:

Ovenstående er de mest almindelige klausuler, du vil finde i en typisk privatlivspolitik. Her er et par flere afsnit, som du kan vælge at medtage i din virksomheds politik:

• Sikkerhed – Et kort afsnit, der minder brugerne om, at selvom du gør dit bedste, er der intet sikkerhedssystem, der kan garantere 100 % beskyttelse af oplysninger på internettet.
• Valgmuligheder for annoncering – Hvis din virksomhed bruger remarketing-software, er det nødvendigt at informere brugerne om mulighederne for at fravælge dette.
• Overholdelse af love og regler – Fortæl kunderne, at du i tilfælde af en juridisk tvist eller en stævning muligvis bliver nødt til at dele personlige oplysninger med offentlige myndigheder.

Hvor

Et krav i de fleste privatlivslove er, at din privatlivspolitik skal være tydelig og let at finde. Mange hjemmesider placerer et tydeligt link i navigationsfoden, så det vises på hver side.

Apple inkluderer linket til privatlivspolitikken i foden sammen med andre vigtige links:

Mobilapps har ikke altid mulighed for at placere et link til privatlivspolitikken på hver eneste grænseflade, men et tydeligt link på tilmeldings- eller login-siden samt et afsnit om privatliv i indstillingsgrænsefladen anses normalt for tilstrækkeligt.

Snapchat har et link til privatlivspolitikken i tilmeldingsgrænsefladen:

Med flere og flere regler, der kræver brugerens samtykke, inkluderer mange virksomheder nu deres privatlivspolitik i registrerings- eller login-processen, hvor brugerne skal give deres samtykke til privatlivspolitikken, før de kan fortsætte med tjenesten.

I dette eksempel fra Samsung indebærer et klik på knappen "Opret din konto" automatisk accept af privatlivspolitikken:

Her er et andet eksempel fra Canvas, der kræver, at besøgende aktivt klikker og accepterer privatlivspolitikken, før de registrerer sig:

Nu hvor du kender til hvad, hvorfor, hvordan og hvor i forbindelse med privatlivspolitikker, er du klar til at oprette din egen. Prøv vores generator til privatlivspolitikker for hurtigt at få en skræddersyet politik, der passer til din virksomhed.