Det er lovpligtigt at have en privatlivspolitik

Det er lovpligtigt overalt i verden at have en fortrolighedspolitik, hvis man indsamler data, der kan bruges til at identificere en person. Det skyldes, at disse data er lovligt beskyttet af en række vigtige love rundt om i verden, som kræver en fortrolighedspolitik i sådanne tilfælde.

Denne artikel vil se nærmere på nogle af de vigtigste globale love om databeskyttelse, der kræver en fortrolighedspolitik.

Hvad er en privatlivspolitik?

I en privatlivspolitik redegør du for dine praksis i forbindelse med indsamling, brug og håndtering af dine brugeres personoplysninger. De sikrer information og gennemsigtighed.

Hvilken type personoplysninger er personlige nok til at identificere en person? Der er mange oplysninger, der kan falde ind under denne kategori, og her er blot et par eksempler:

• E-mailadresser
• Fornavn og efternavn
• Leverings- eller faktureringsadresser. De fleste e-handelsbutikker har brug for en privatlivspolitik, da hver transaktionsdata ved et køb indebærer personoplysninger fra brugerne.
• CPR-numre
• Fødselsdatoer
• Brugernavne og profilbilleder på sociale medier

Anonyme data (som ikke indeholder personoplysninger) kan også klassificeres som "personligt identificerbare oplysninger", hvis de bruges i forbindelse med en anden type data, der kan føre til identifikation af en person. For eksempel er visse typer IP-adresser lovligt beskyttede personoplysninger i henhold til moderne privatlivslovgivning.

*Redaktørens bemærkning: Videoen ovenfor indeholder forældet indhold vedrørende EU-lovgivning. Artiklens indhold er opdateret pr. 16. juli 2019. Vi beklager eventuelle gener dette måtte medføre.

Privatlivslove, der kræver en privatlivspolitik

Der findes databeskyttelseslove i lande over hele verden. Her er nogle af dem, der har den største rækkevidde og den bredeste indvirkning på virksomheder over hele verden.

Privatlivspolitik påkrævet i USA

I USA findes der på nuværende tidspunkt ingen føderale love, der kræver, at en virksomhed har en privatlivspolitik (undtagen COPPA). Men der findes flere love, herunder føderale og statslige love, der indeholder bestemmelser om databeskyttelse.

FTC (Federal Trade Commission) regulerer databeskyttelse for alle forbrugere i USA, og følgende love har alle betydning for privatlivets fred:

• Loven om amerikanere med handicap
• Cable Communications Policy Act fra 1984
• Loven om beskyttelse af børns privatliv online (COPPA)
• Loven om computersvindel og -misbrug fra 1986
• Loven om computersikkerhed fra 1997
• Loven om kontrol med forbrugerkreditrapportering
• Loven om beskyttelse af privatlivets fred online i Californien (CalOPPA)
• Loven om forbrugerprivatliv i Californien (CCPA), ændret ved loven om privatlivsrettigheder i Californien (CPRA)
• Marylands lov om beskyttelse af personoplysninger (PIPA)
• Virginias lov om beskyttelse af forbrugerdata (VCDPA)
• Louisianas lov om underretning om brud på databasesikkerheden
• New Yorks lov om bekæmpelse af hacking og forbedring af elektronisk datasikkerhed (SHIELD)

Der findes også love om biometri, der tilføjer et nyt beskyttelsesniveau til forbrugernes privatliv og data. Nogle af disse love omfatter:

• Utah: Loven om beskyttelse af genetiske oplysninger (GIPA)
• Texas: Loven om indsamling eller brug af biometriske identifikatorer (CUBI)
• Arizona: HB 2478
• Oregon: Lov om beskyttelse af forbrugeroplysninger (OCIPA)
• Washington State: HB 1493
• Illinois: Lov om beskyttelse af biometriske oplysninger (BIPA)

Consumer Federation of California's Education Foundation gør det klart, at i henhold til CalOPPA skal enhver operatør af et kommercielt websted eller en onlinetjeneste, der indsamler personligt identificerbare oplysninger via internettet om individuelle forbrugere bosiddende i Californien, have en privatlivspolitik på sit websted:

CCPA trådte i kraft den 1. januar 2020, og CPRA-ændringerne til loven træder i kraft den 1. januar 2023. Loven har betydning for, hvad visse virksomheder, der henvender sig til indbyggere i Californien, skal oplyse i deres privatlivspolitikker. Gennemsigtighed er nøgleordet her, ligesom det er at give brugerne ekstra rettigheder, når det gælder kontrol over, hvad der sker med deres personlige oplysninger.

I henhold til CCPA (CPRA) skal en virksomhed oplyse, hvilke typer personoplysninger den indsamler, og hvordan den vil bruge hver type. Denne oplysning skal gives, inden der indsamles personoplysninger. Dette kan gøres ved at have en informativ privatlivspolitik, der overholder CCPA.

De rettigheder, som forbrugerne har i henhold til CCPA (CPRA), skal også oplyses i en privatlivspolitik for enhver virksomhed, der falder ind under CCPA's (CPRA's) anvendelsesområde.

Ligesom med CalOPPA er det ligegyldigt, om din virksomhed er registreret eller beliggende i Californien, når det kommer til, om CCPA (CPRA) finder anvendelse. Hvis din virksomhed når ud til indbyggere i Californien – hvilket den sandsynligvis gør – skal du have en privatlivspolitik, der beskriver dine praksis vedrørende beskyttelse af personoplysninger.

CPRA-ændringen til CCPA indeholder nogle specifikke krav til virksomheder, der falder ind under dens anvendelsesområde.

CPRA udvidede kravene i CCPA, så den medfører yderligere krav og forpligtelser.

Fortrolighedspolitik påkrævet i Australien

I Australien er Privacy Act 1988 den lov, der regulerer databeskyttelse. Den australske Privacy Act fra 1988 kræver, at virksomheder i Australien har en privatlivspolitik.

Denne lov regulerer håndteringen af personoplysninger og omhandler indsamling, brug, opbevaring og videregivelse af personoplysninger.

Den indeholder 13 privatlivsprincipper, som alle virksomheder, der er underlagt Privacy Act, skal overholde.

Det første databeskyttelsesprincip er, at der skal være en privatlivspolitik, og at denne skal holdes opdateret.

For at overholde loven skal privatlivspolitikken være i et format, der er let at læse, gratis og indeholde følgende oplysninger:

• Hvilke typer personoplysninger virksomheden indsamler og opbevarer
• Hvordan disse oplysninger indsamles og opbevares
• Hvorfor disse oplysninger indsamles, opbevares og (hvis relevant) videregives til tredjeparter
• Hvordan enkeltpersoner kan få adgang til og rette personoplysninger, der opbevares om dem
• Hvordan enkeltpersoner kan klage over en overtrædelse af de australske privatlivsprincipper eller anden bindende kodeks, og hvordan klager vil blive behandlet
• Om virksomheden sandsynligvis vil videregive personoplysninger til modtagere i udlandet, og i bekræftende fald, hvilke lande disse modtagere sandsynligvis vil være beliggende i, hvis det er praktisk muligt

Privatlivspolitik påkrævet i Storbritannien

Data Protection Act 1998 (eller DPA) er den britiske lov om privatliv, der gør en privatlivspolitik obligatorisk.

Virksomheder, der skal overholde den britiske DPA-lov, skal følge de 8 principper, der er sammenfattet her:

• Alle former for personoplysninger fra brugere skal indsamles på en specificeret og lovlig måde. Oplysningerne må heller ikke behandles på en måde, der er uforenelig med dette formål.
• De personoplysninger, du indsamler, skal være tilstrækkelige, relevante og ikke omfatte mere end nødvendigt i forhold til det formål, hvortil du indsamler personoplysningerne.
• Personoplysningerne skal holdes ajour og være korrekte.
• Enhver form for personoplysninger, der indsamles fra brugere, må ikke opbevares længere end nødvendigt i forhold til det formål, de blev indsamlet til.

En af de vigtigste rettigheder, som DPA giver indbyggere i Storbritannien, er retten til at blive informeret om, hvordan deres data bruges. Det er her, en privatlivspolitik bliver et afgørende krav. Uden den krænker du dine kunders rettigheder ved ikke at være informativ og gennemsigtig.

Hvis du driver forretning i Storbritannien, skal du sørge for at udarbejde en informativ privatlivspolitik, der som minimum indeholder følgende oplysninger:

• Hvilke personoplysninger du indsamler, og til hvilket specifikt lovligt formål
• Hvordan du bruger oplysningerne i overensstemmelse med dette formål
• Hvilke rettigheder brugerne har, og hvordan de kan udøve dem
• Hvor længe du generelt opbevarer data
• Hvordan du opbevarer de indsamlede data sikkert og beskyttet

Privatlivspolitik krævet i Canada

PIPEDA, loven om beskyttelse af personoplysninger og elektroniske dokumenter, er den vigtigste lov i Canada til beskyttelse af brugerdata.

PIPEDA-loven kræver, at virksomheder i Canada har en privatlivspolitik, og at denne politik skal være let at læse og forstå. Det betyder ingen juridisk jargon og alt for komplicerede klausuler.

I henhold til PIPEDA betyder personoplysninger:

alle identificerbare oplysninger om en person, uanset om de er registreret eller ej, og det gælder indsamling, brug og videregivelse af personoplysninger af organisationer i forbindelse med kommercielle aktiviteter.

Alle virksomheder, der falder ind under PIPEDA's anvendelsesområde, er forpligtet til at gøre oplysninger om, hvordan de håndterer personoplysninger, tilgængelige for offentligheden.

Ifølge Canadas Datatilsyn er en god privatlivspolitik en af de vigtigste måder, hvorpå en virksomhed kan opfylde denne forpligtelse og dermed opbygge offentlig tillid og opnå kundeloyalitet.

Nogle af de tips til privatlivspolitik, som Datatilsynet giver, omfatter følgende:

• Vær meget klar og specifik om, hvad din virksomhed rent faktisk gør. Sørg for, at dine læsere kan forstå, hvad du oplyser, og at du ikke blot oplyser generelle oplysninger. Brug ikke juridisk sprog, og hold det enkelt.
• Oplys om alle de valgmuligheder, du tilbyder, når det gælder brugerens kontrol over, hvordan deres personlige oplysninger bruges. Hvis du for eksempel tillader fravalg af personlig markedsføring, skal du gøre det klart, at du tilbyder dette, og hvordan en bruger rent faktisk kan fravælge det.
• Gør det klart, hvordan brugerne kan få adgang til de personlige oplysninger, du har om dem, og hvordan de kan anmode om rettelser eller sletning af dataene.
• Hold din politik opdateret, så den altid nøjagtigt afspejler din faktiske praksis.
• Gør det nemt at kontakte dig, hvis der er spørgsmål.
• Gør din privatlivspolitik let at finde og få adgang til.

Der findes også Digital Charter, som hjælper enkeltpersoner med at tage kontrol over deres personlige oplysninger i en stadig mere digital verden.

Privatlivspolitik krævet i Den Europæiske Union (EU)

Den generelle forordning om databeskyttelse (GDPR) regulerer behandlingen af personoplysninger inden for Den Europæiske Union. Denne forordning stiller strenge, globale krav til virksomheder, der har brugere i EU.

Et af de vigtigste krav i GDPR er, at du har en privatlivspolitik, der er let at få adgang til og forstå.

Et af de vigtigste krav i GDPR er, at du har en privatlivspolitik, der er let tilgængelig og forståelig.

Din GDPR-kompatible privatlivspolitik skal som minimum indeholde følgende oplysninger:

• Hvilke typer personoplysninger du behandler
• Hvordan du behandler dem
• Dit retsgrundlag for behandlingen
• Hvor længe du opbevarer dem, og hvad der sker efter opbevaringsperioden
• Om du deler personoplysninger med tredjeparter
• Om du overfører personoplysninger til udlandet, og i så fald hvilke sikkerhedsforanstaltninger du har iværksat
• De 8 brugerrettigheder, dine brugere har, og hvordan de kan udøve dem
• Kontaktoplysninger for i det mindste din virksomhed samt din databeskyttelsesansvarlige eller EU-repræsentant, hvor det er relevant

Samtykke er meget vigtigt i henhold til GDPR, så hvis denne forordning gælder for dig, bør du sætte dig ind i, hvordan dine krav til samtykke vil ændre sig.

Privatlivspolitik kræves i Brasilien

Brasiliens vigtigste lovgivning om privatlivets fred er den brasilianske generelle databeskyttelseslov (LGPD). LGPD påvirker virksomheder over hele verden, hvis de indsamler personoplysninger fra personer, der befinder sig i Brasilien.

LGPD kræver, at følgende oplysninger offentliggøres via en privatlivspolitik:

• Hvorfor de personlige oplysninger behandles
• Hvorfor behandlingen finder sted, og hvor længe den varer
• Den dataansvarliges identitet og kontaktoplysninger
• Om de personlige oplysninger vil blive delt, og i bekræftende fald til hvilke formål
• Hvad er ansvaret for de dataansvarlige og databehandlere, der vil behandle de personlige oplysninger
• Oplysninger om den enkeltes rettigheder i forbindelse med personoplysningerne

Privatlivspolitik påkrævet i Kina

Kinas lov om beskyttelse af personoplysninger (PIPL) trådte i kraft den 1. november 2021. Et af de vigtigste aspekter ved denne lov er de rettigheder til privatlivets fred, den giver enkeltpersoner i Kina.

Hvis du falder ind under PIPL's anvendelsesområde, skal du oplyse en række ting i en privatlivspolitik, herunder følgende:

• Navn og kontaktoplysninger på din virksomheds databehandler
• Oplysninger om tredjeparter, der kan modtage dataoverførsler
• Hvilke rettigheder enkeltpersoner har i henhold til PIPL, og hvordan de kan udøves
• Hvilke typer personoplysninger du indsamler, hvorfor du indsamler dem, hvordan du opbevarer dem, og hvor længe

Privatlivspolitik påkrævet i Singapore, Malaysia, Sydkorea og Vietnam

I Sydøstasien kræver forskellige nationale love, at virksomheder har en fortrolighedspolitik. Nogle af disse love omfatter følgende:

• I Singapore er det loven om beskyttelse af personoplysninger fra 2012 (PDPA).
• Den kaldes også Personal Data Protection Act (PDPA) i Malaysia. Malaysias PDPA-lov trådte i kraft i november 2013.
• I Sydkorea kaldes den Personal Information Protection Act og trådte i kraft i 2012.
• I Vietnam er det artikel 21 i loven om informationsteknologi

Da disse love ikke er helt så strenge som nogle af lovene i EU og USA på nuværende tidspunkt, kan du stort set sikre, at du overholder dem, ved at sikre, at du overholder kravene i GDPR eller CalOPPA.

Krav til privatlivspolitik andre steder i verden

Der er en række andre lande i verden, der har privatlivslove, der kræver en privatlivspolitik. Se vores artikel "Privatlivslove efter land" for at se nogle af de andre love samt få et mere omfattende overblik over nogle af de ovennævnte love.

Krav til privatlivspolitik fra tredjeparter

Tredjeparter kræver ofte en privatlivspolitik, hvis du bruger deres tjenester.

Hvis din app f.eks. indsamler personlige oplysninger, gælder følgende krav til privatliv fra tredjeparter:

Alle iOS-apps skal have en privatlivspolitik. Apples retningslinjer for App Store-gennemgang angiver dette udtrykkeligt:

Android-apps har samme krav om at have en privatlivspolitik. Distributionsaftalen for udviklere fra Google Play Store kræver, at du har privatlivsprocedurer og -meddelelser på plads:

Selv hvis du driver en simpel hjemmeside og kun bruger Google Analytics, skal du stadig have en privatlivspolitik. Google Analytics' servicevilkår kræver, at alle brugere af Analytics har en privatlivspolitik på plads:

Facebooks platformspolitik for udviklere kræver, at du har en privatlivspolitik for de Facebook-apps, du måtte udvikle:

Hvis du bruger Login with Amazon, kræver Amazons udviklervejledning til hjemmesider, at du har en privatlivspolitik tilgængelig, før du kan bruge login-funktionen:

Hvis en tredjepartstjeneste ikke udtrykkeligt kræver, at du har en privatlivspolitik for at kunne bruge tjenesten, kan du være sikker på, at der er en eller anden form for klausul i brugsbetingelserne, der kræver, at du overholder alle gældende love, når du bruger tjenesten.

Hvis din hjemmeside eller app indsamler personoplysninger og udløser en af de eksisterende privatlivslove, der kræver en privatlivspolitik, vil denne klausul kræve, at du overholder den pågældende lov for at kunne bruge tjenesten. Det er en indirekte, men effektiv måde at kræve overholdelse på.

I nogle tilfælde kan en tredjepartstjeneste, selvom du ikke indsamler personlige oplysninger, stadig kræve, at du inkluderer en privatlivspolitik, der angiver dette, blot for at sikre gennemsigtighed.

Du skal være opmærksom på de love, der beskytter dine brugere, uanset hvor de befinder sig. Sørg for at læse og gennemgå alle vilkår og betingelser eller brugsbetingelser for at finde ud af, hvilke krav tredjeparter stiller til de tjenester, som din hjemmeside eller app måtte benytte.

Resumé

*Redaktørens bemærkning: Ovenstående præsentation indeholder forældet indhold vedrørende EU-lovgivning. Artiklens indhold er opdateret pr. 16. juli 2019. Vi beklager eventuelle gener dette måtte medføre.

Hvis du indsamler personoplysninger fra hvor som helst i verden og fra personer over hele verden, er det så godt som sikkert, at du skal have og offentliggøre en privatlivspolitik. Hvis du er omfattet af en lov, der kræver dette, skal du oprette og vise en privatlivspolitik, der overholder lovgivningen.

Mange af lovene har overlappende krav, hvilket betyder, at hvis du overholder den ene, overholder du muligvis også den anden. Du skal dog stadig være opmærksom på alle jurisdiktionslove, du skal overholde for at sikre fuld overholdelse.