Nej, det er ikke et krav i GDPR at have en privatlivspolitik på sin hjemmeside

Der er rigtig meget snak om privatlivspolitikker på hjemmesider og om hvordan de skal se ud og hvad de skal indeholde i forhold til GDPR. Men stop lige en halv! Det er slet ikke et krav i GDPR at man skal have en privatlivspolitik på sin hjemmeside, men derfor kan det godt være en god ide alligevel. Forklaring følger.

Lad os starte med at aflive myten om, at det er et krav, at man skal have en privatlivspolitik på sin hjemmeside. Der står ikke noget i hverken Databeskyttelsesloven, Databeskyttelsesforordningen eller Datatilsynets vejledninger, som hverken direkte eller inddirekte siger, at man skal have en privatlivspolitik på sin hjemmeside. Dette kunne man ellers godt foranledes til at tro, når man læser om emnet på diverse hjemmesider og i medierne generelt.

Når det er sagt, så kan en privatlivspolitik, eller måske mere korrekt en persondatapolitik, godt være en god ting at have på sin hjemmeside. Mere om det lidt længere ned i artiklen.

De to krav der faktisk gælder

Det der helt konkret er et krav i GDPR er, at man på indsamlingstidspunktet skal oplyse den registrerede om den forestående behandling af personoplysninger, også bedre kendt som "oplysningspligten" jf. artikel 13 i GDPR. Man har dermed pligt til at oplyse om en række faktuelle ting, herunder formål, tidsperiode, videregivelse, rettigheder mv. i forbindelse med at den registrerede giver oplysningerne.
Har man eks. en kontaktformular på sin hjemmeside, så skal du give oplysningerne om behandlingen til brugeren, inden brugeren sender kontaktformularen. Oplysningerne må altså ikke ligge et sted, hvor brugeren selv skal finde dem.  Dernæst skal oplysningerne være skrevet på en tydelig, kortfattet og letforståelig måde. De oplysninger, du er forpligtet til at give, skal desuden være tydeligt adskilt fra andre oplysninger. Kravet om, at oplysningerne skal være forståelige, indebærer også, at indholdet af oplysningerne skal kunne forstås af et gennemsnitligt medlem af din målgruppe.
Har du to forskellige kontaktformularer, hvor den ene er generel og den anden er tilmelding til eks. et gå-hjem-møde, så skal der være to forskellige oplysningstekster, da der er tale om indsamling til to forskellige formål mv.. Altså skal oplysningsteksten være eksplicit i forhold til den konkrete indsamling af personoplysninger.

Det andet krav der gælder, er kravet om udarbejdelse og implementering af passende databeskyttelsespolitikker jf. artikel 24 i GDPR. Den dataansvarlige skal kunne påvise, at personoplysninger behandles i overensstemmelse med GDPR og en måde at påvise dette på, er ved at vedtage interne politikker og gennemføre foranstaltninger, som lever op til principperne om databeskyttelse.

Privatlivspolitik vs. Databeskyttelsespolitik

Siden vi fik Cookie-lovgivningen tilbage i 2011, har næsten alle hjemmesider fået en cookie-politik / privatlivspolitik. Dvs. privatlivspolitik som begreb er mere eller mindre kendt allerede på hjemmesider og har hidtil været ansporet af oplysningskravet i cookie-lovgivningen. Måske derfor er det nu gået hen og blevet en myte at man skal "opdatere sin privatlivspolitik i forhold til GDPR" eller "din privatlivspolitik skal overholde GDPR", men som jeg startede med at sige indledningsvis, så er der ikke nogle krav i den retning.

Det der måske er sket, er at nogle har forvekslet databeskyttelsespolitikker, som er et internt værktøj til sikring af compliance internt i virksomhederne, med privatlivspolitikker og nu tror at de skal være offentligt tilgængelige. Men det mest sandsynlige er nok, at nogen har syntes at man jo nemt kunne komme omkring oplysningspligten, ved at skrive det hele ind i en privatlivspolitik og så bare linke til den på sin hjemmeside. Problemet er bare, at sådan spiller klaveret ikke.

Når privatlivspolitikken bliver uoverskuelig

Hvis vi lige springer tilbage til kravet om oplysningspligten, så skal vi give oplysningerne til brugeren og det skal være på en tydelig, kortfattet og letforståelig måde. Dvs. det er ikke nok, at vi blot linker til privatlivspolitikken i footeren, hvor brugeren så selv skal finde den, det er ikke at give oplysninger. Dernæst skal det være kortfattet, letforståelig og tydeligt adskilt fra andre oplysninger, så det går altså heller ikke, at man plastre sin privatlivspolitik til, så det bliver tæt på umuligt for brugeren af finde den konkrete information, som eks. knytter sig til en konkret kontaktformular.

Jeg er helt sikker på, at Røde Kors har haft den bedste intention om at oplyse om behandlingen af personoplysninger, da de skrev deres privatlivspolitik. Problemet er bare, at de behandler så mange oplysninger, at deres privatlivspolitik er blevet så lang, at den ikke længere er hverken kortfattet eller letforståelig.
Hvis jeg eks. gerne vil melde mig som frivillig via formularen på siden https://www.rodekors.dk/bliv-frivillig så kan jeg ikke se noget konkret link eller anden information om behandlingen af personoplysninger i umiddelbar nærhed af formularen på hjemmesiden. Hvis jeg scroller ned til footeren, så er der et link til "Cookies og privatliv", som ved første øjekast blot giver mig en helt masse volapyk om cookies, men hvor der ved nærmere eftersyn er et link til deres persondatapolitik øverst på siden.
På den side der beskriver deres privatlivspolitik https://www.rodekors.dk/saadan-behandler-vi-persondata har de samlet oplysninger om alle behandlinger, hvilket bevirker at denne sider bliver meget lang. Der er godt nok en indholdsfortegnelse, men der er ikke en særskilt beskrivelse af databehandling som "frivillig", så man skal selv forsøge at finde de relevante informationer i den lange tekst, hvilket alt i alt er ret uoverskueligt.

Røde Kors er ikke de eneste der falder i denne fælde. Rigtig mange hjemmesider har nu efter 25. maj fået meget lange privatlivspolitikker, som yderligere nogle gange er flettet sammen med deres cookie-politik og så bliver de virkelig lange. Et andet "dårligt" eksempel er hos danske Sitecore, hvor der ved formularen "Book en demo" godt nok er et link til deres "Fortrolighedspolitik", men siden er på engelsk og meget svær at læse. Så hvis din hjemmeside er på dansk, så er det ikke inden for din målgruppe at vise en engelsk privatlivspolitik.

Persondatapolitik er det rigtige ord

Der bliver på langt de fleste hjemmesider refereret til "privatlivspolitik" som begreb. Det samme gør sig gældende for medier og officielle vejledninger. Problemet med "privatlivspolitik" er, at det i bund og grund er et forkert begreb. Når vi generelt snakker GDPR og beskyttelse af personoplysninger, så rækker dette langt ud over begrebet "privatliv". Begrebet opstod sammen med cookie-lovgivningen og hvis man skal tale om "privatlivspolitik", så giver det for mig kun mening i relation til hjemmesiden, altså hvordan værner hjemmesiden om dit privatliv i forhold til de data der indsamles der.

I min optik, så er gælder en persondatapolitik for hele virksomheden, mens en privatlivspolitik alene relaterer sig til hjemmesiden.

Derfor er en persondatapolitik alligevel smart at have på hjemmesiden.

Når jeg nu lige har prædiket at en privatlivspolitik på hjemmesiden ikke er et krav, hvorfor er en persondatapolitik så alligevel en god ide?

Tænk på din persondatapolitik som to ting:

1) Det er en mulighed for at vise omverdenen, dine kunder og ikke mindst dine mulige kunder, at du har styr på behandlingen af personoplysninger, fordi du kan formulere dig oplysende og gennemsigtigt. Alt peger på, at GDPR får den forventede virkning, at vi alle så småt begynder at stille krav til virksomhederne, som vi giver vores personoplysninger til. Vi vil i bund og grund bare gerne være sikker på hvordan vores oplysninger behandles, så vi kan føle os trygge.

2) En persondatapolitik på hjemmesiden kan også være den oplysningstekst, som du i nødstilfælde eller helt generelt kan henvise til. Personligt henviser jeg til vores persondatapolitik i min mailsignatur, så er jeg på den ene side "sikret" at jeg overholder min oplysningspligt og på den anden side er det også med til at skabe tryghed for dem jeg kommunikerer med og det viser at jeg har styr på tingene.

Når det er sagt, så er persondatapolitikken IKKE blot en side man linker til i alle tilfælde. Har man et konkret tilfælde, så skal det også ledsages af en konkret oplysningstekst. Således sender vi eks. ansøgere en konkret oplysningstekst vedr. ansøgningsprocessen til et job, når de modtager bekræftelsen på at deres ansøgning er modtaget. Vi har også en konkret oplysningstekst når du tilmelder dig vores nyhedsbrev og der kommer også en konkret oplysningstekst på vores generelle kontaktformular (når den en gang komme på hjemmesiden...)

At vi har samlet alle de enkelte tekster under hver deres "fold ud" i vores persondatapolitik, er primært pga. punkt 1) altså gennemsigtighed og troværdighed, og til dels punkt 2) i forhold til at man som bruger så også altid kan se hvad det var man blev oplyst.

Så strengt taget kunne vi have nøjes med vores cookie-politik og så blot have haft de enkelte oplysningstekster der hvor vi anvender dem og det havde været helt i tråd med lovgivningen. Men nu har vi valgt at have en persondatapolitik, for det er alligevel lidt smart :-)

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af cookie-lovgivningen og GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne.