All Posts By

a8

GDPR – Evrópsk lög um persónuvernd

By | Blogg

Hvað er GDPR?

Hinn 14. apríl 2016 samþykkti löggjafinn hina almennu persónuverndarreglugerð Evrópusambandsins (e. Genereal Data Protection Regulation, GDPR) endanlega eftir fjögurra ára ferli og var lokagerð hennar birt í Stjórnartíðindum Evrópusambandsins hinn 4. maí 2016.

Reglugerðin tók gildi í Evrópusambandinu frá og með 25. maí 2018 og kom í stað innlendra laga og reglugerða hinnar virtu tilskipunar ESB frá 1995 um gagnavernd og nær til fyrirtækja utan Sambandsins er beina spjótum sínum að neytendum innan ESB.

Þó að almenna persónuverndarreglugerðin haldi að mestu leyti meginreglum og hugtakanotkun tilskipaninnar frá 1995 bætir hún við nýjum meginreglum með óljósum afleiðingum, eins og strangari merkingu hugtaksins um samþykki, kröfur um auðflytjanleika gagna og „rétt til að gleymast“. Um leið vekur hún væntingar um samræmi um alla Evrópu en þessu gætu fjölþjóðleg fyrirtæki tekið fagnandi og einnig um ívilnun frá skráningarbyrði sem hefur reynst þráföst í mörgum löndum (þó að þetta jafnist út með nýrri skyldu um að tilkynna öryggisrof (e. security breaches)).

Fyrirtæki ættu að horfa til framtíðar varðandi nýjar aðstæður varðandi eigin reglufylgni í vöruhönnun, gerð starfsáætlana, stefnu um friðhelgi einkalífs, öryggiskerfi og samninga sem gerðir verða frá þeim tíma þegar reglugerðin tekur gildi — á Íslandi er þar miðað við 15. júlí 2018.

Er vefurinn þinn klár fyrir nýju persónuverndarreglugerð Evrópusambandsins?

Hvers vegna reglugerð?

Frá 1995 hafa Evrópubúar fallið undir innlend (í sumum löndum ríkis- eða svæðisbundin) og yfirgripsmikil lög um upplýsingar um friðhelgi einkalífs sem stýra einkageiranum og eru grundvölluð á „rammatilskipun“ Evrópusambandsins, tilskipun 95/46/EB („gagnaverndartilskipuninni“) með viðbótum frá tilskipun 2002/58/EB („tilskipun um friðhelgi einkalífs á Netinu“) á sviði rafrænna samskipta.

Í janúar 2012 lagði framkvæmdastjórn Evrópusambandsins fram tillögur sem vörðuðu umbætur á lagalegri uppbyggingu á verndun friðhelgis einkalífs í Evrópu til að fjalla um eftirfarandi þætti:

  • útrýma misræmi í innlendum lögum,
  • auka kröfur um að vernda friðhelgi einkalífs einstaklinga betur en áður,
  • uppfæra lögin til að fjalla betur um áskoranir í nútímanum varðandi friðhelgi einkalífs, eins og þær sem komu til vegna Netsins, samfélagsmiðla, smáforrita í farsímum, meiriháttar gagnasöfnunar í tölvuskýjum og markaðssetningu sem byggist á nethegðun fólks en slíkt hafði vart náð að slíta barnsskónum þegar gagnaverndartilskipunin var samin,
  • draga úr kostnaðarsömu stjórnsýsluálagi hjá fyrirtækjum sem þurfa að kljást við mörg gagnaverndaryfirvöld.

Framkvæmdastjórnin lagði fram tillögu um að semja almenna persónuverndarreglugerð sem kæmi í stað tilskipunarinnar frá 1995. Að lokum samþykkti Evrópuþingið og leiðtogaráðið tillöguna eftir ítarleg skoðanaskipti um einstaka efnisþætti almenna persónuverndarfrumvarpsins og meðfylgjandi umræður um sérstaka tilskipun sem stjórna mun alþjóðlegu lögreglu- og dómsmálasamstarfi í sakamálum sem hluta af umbótapakkanum.

Almenna persónuverndarreglugerðin, sem slík, mun hafa bein réttaráhrif um allt Evrópusambandið og hafa innlend gagnaverndaryfirvöld og dómstólar eftirlit með framkvæmd þeirra án þess að krefjast lögleiðingar hennar í innlendri löggjöf (ferli sem tók mörg ár í tilfelli tilskipunarinnar frá 1995 og skilaði það misjöfnum árangri).

Reglugerðir ESB eru notaðar á mörgum öðrum sviðum, eins og við samþykki á lyfjum, þegar settir eru heilbrigðis- og öryggisstaðlar fyrir neysluvörur og samkeppnislög og lög gegn einokun og hringamyndun. Reglugerðir ESB gefa fyrirheit um aukið samræmi í stöðlum og túlkunum en rammatilskipun getur leitt af sér og er það almennt talið til hagsbóta fyrir félög sem stunda viðskipti í fleiri en einu Evrópuríki.

Samræming og samkvæmni GDPR

Samkvæmt tilskipuninni er til staðar ákveðið stig samræmingar og samkvæmni við túlkun og fullnustu. Nokkrar valfrjálsar álitsgerðir voru, til viðbótar við óformleg samskipti milli viðkomandi yfirvalda, gefnar út hverjar á fætur annarri af hálfu „29. greinar starfshóps um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga“, ráðgjafanefndar sem sett var saman af fulltrúum innlendra eftirlitsyfirvalda (sem eru almennt kölluð „gagnaverndaryfirvöld“) ásamt Evrópsku persónuverndarstofnuninni sem framkvæmdastjórnin skipaði.

Samkvæmt reglugerðinni verður hópur sá að sjálfstæðri og valdamikilli eftirlitsstofnun sem kallast Evrópska persónuverndarráðið og fær það hlutverk að tryggja „samræmda beitingu“ á almennu persónuverndarreglugerðinni. Heill kafli í reglugerðinni (55.–63. gr.) er settur undir samstarf og samkvæmni með verklagsreglum frá mörgum gagnaverndaryfirvöldum til að samræma rannsóknir og koma á framfæri samræmdum ákvörðunum og stefnu sem Persónuverndarráðið skoðar og gefur skýrslu um til framkvæmdastjórnarinnar.

Einn samræmingarþáttur sem ætti að reynast til bóta fyrir fjölþjóðleg fyrirtæki snýr að því að fyrirtæki geta nú starfað með „forystueftirlitsyfirvaldi“ innan þess lands þar sem yfirstjórn fyrirtækisins hefur aðsetur. Yfirvald þetta mun síðan samræma aðgerðir með yfirvöldum í öðrum löndum þar sem fyrirtækið starfar og reyna þannig að ná samstöðu um þætti sem snerta þau öll.

Hvað eru persónugreinanleg gögn?

Reglugerðin skýrir að nokkru leyti og eykur jafnvel stundum við hið ógreinilega hugtak sem persónugreinanlegar upplýsingar þar sem „skráður aðili“ er skilgreindur sem einstaklingur sem hægt er að auðkenna „á hátt sem líklegt er að ábyrgðaraðili eða einhver annar einstaklingur eða lögðaðili gæti notað“, þ.m.t. með tilvísun „til kennitölu, staðsetningargagna, rafrænna auðkenna eða eins eða fleiri þátta sem eru sérstakir fyrir líkamleg, lífeðlisfræðileg, erfðafræðileg, sálræn, efnahagsleg, menningarleg eða félagsleg auðkenni umrædds einstaklings“ (1. mgr. 4. gr.).

Með því að bæta staðsetningargögnum og rafrænum auðkennum við tilfallandi tungumál tilskipunarinnar verður líklegra að reglugerð þessi munu ná yfir ýmis form auðkenna sem notuð er í færanlegum búnaði og smáforritum, dreifikerfum auglýsinga og greiningartækjum vefsetra.

Útvíkkun lögsögu

Hugsanlegt athugunarefni fyrir fyrirtæki utan Evrópusambandsins er að gildissvið lögsögunnar víkkar með tilkomu almennu persónuverndarreglugerðarinnar. Við núverandi lög (sem byggjast á 4. gr. tilskipunarinnar frá 1995) fellur fyrirtæki, sem hefur ekki lagalega staðfestu í aðildarríki ESB, ekki undir gagnaverndarlög þess nema fyrirtæki þetta notist við búnað sem er staðsettur í því landi við vinnslu gagna. Því er almennt engin lögsaga án þess að fyrirtækin hafi starfsmenn eða vefþjóna á jörðu niðri.

Þetta breytist þegar almenna persónuverndarreglugerðin tekur gildi. Hún nær til vinnslu sem fer fram utan Evrópusambandsins þegar hún snýr að framboði á vörum eða þjónustu til skráðra aðila (einstaklinga) í Evrópusambandinu eða eftirliti með framferði þeirra. Því gætu ábyrgðaraðilar vefsíðna með verslunarkerfi eða smáforrit í farsímum sem hýst eru í þriðju löndum (utan bæði ESB og EES) fallið á beinan hátt undir reglugerðina ásamt margs konar þjónustuveitendum sem eru staðsettir í þriðju löndum en skipta við evrópska smásöluaðila.

Þó leikur vafi á um hvort evrópsk eftirlitsyfirvöld eða neytendur muni í raun reyna að stefna stjórnendum sem eru staðsettir í þriðju löndum fyrir dóm vegna brota á reglugerðinni. Útvíkkun á gildissviði lögsögu reglugerðarinnar gæti gert fyrirtækjum í þriðju löndum erfiðara fyrir með að hafa fyrirsvar um samninga og ábyrgðir gagnvart því að farið verði að „öllum viðeigandi lögum“ og er jafnvel hugsanlegt að gagnaverndaryfirvöld eða dómstólar fari fram á við viðskiptavini innan ESB að þeir hætti að skipta við söluaðila í þriðju löndum þegar þeir fara ekki að ákvæðum þessarar reglugerðar.

Tilskipunin krefst þess að samtök utan Evrópusambandsins tilnefni fulltrúa í Sambandinu ef þau notast við búnað í ESB til að vinna með persónuupplýsingar. Reglugerðin viðurkennir að þetta gæti orðið algengara mál þegar gildissvið lögsögunnar víkkar út. Í 25. gr. er kveðið á um að ábyrgðaraðilar sem eru staðsettir utan ESB en selja til neytenda innan Sambandsins eða taka saman auðkenni þeirra verði að tilnefna fulltrúa í Evrópusambandinu, væntanlega til að svara fyrirspurnum og kvörtunum frá gagnaverndaryfirvöldum eða einstaklingum um friðhelgi einkalífsins, þó að reglugerðin tiltaki ekki skyldustörf fulltrúanna í smáatriðum. Í 25. gr. er þó jafnframt veitt undanþága fyrir ábyrgðaraðila í löndum sem taldir eru veita fullnægjandi lagavernd (eins og Kanada) eða hafa í þjónustu sinni færri en 250 starfsmenn og bjóða íbúum Evrópusambandsins „einungis einstaka sinnum“ vörur eða þjónustu.

Strangari skilyrði fyrir samþykki

Með reglugerðinni, eins og tilskipuninni áður, er þess krafist að staðið sé löglega að vinnslu upplýsinga, en algengasti máti þess er samþykki hvers einstaks skráðs aðila. Í reglugerðinni er þó gengið harðar fram við ásættanleg skilyrði fyrir því að staðfesta samþykki sem er skilgreint sem staðfesting „á því að fyrir liggi óþvinguð, afmörkuð, upplýst og ótvíræð viljayfirlýsing hins skráða aðila um að hann samþykki vinnslu persónuupplýsinga sem varða hann sjálfan“.

Samkvæmt 7. gr. reglugerðarinnar ber stjórnandinn sönnunarbyrði þess að staðfesta samþykki og þýðir það að liggja þarf fyrir einhvers konar sönnun í formi skriflegs samþykkis, að smellt hafi verið á svar í valmynd, eða aðrar dæmigerðar verklagsreglur. Sé samþykkið gert með skírskotun til skriflegrar yfirlýsingar sem einnig snýr að öðrum málum, eins og samningur um notkunarleyfi (e. End user license agreement, EULA) eða notkunarskilmálar, verður friðhelgissamþykkið að vera „auðgreinanlegt í útliti“.

Skráði aðilinn verður að hafa heimild til að draga til baka samþykki sitt hvenær sem er varðandi síðari tíma vinnslu upplýsinga. Reglugerðin kveður einnig á um að samþykki má ekki nota til grundvallar löglegrar vinnslu upplýsinga þar sem „töluverður aðstöðumunur“ er á milli hins skráða aðila og ábyrgðaraðilans.

Viðkvæm gögn

Í 9. gr. er flutt áfram frá tilskipuninni hugtakið um „tiltekna flokka“ sérlega viðkvæmra gagna sem varðar kynþátt eða þjóðerni, stjórnmálaskoðanir, trúar- eða lífsskoðanir, aðild að verkalýðsfélögum, heilbrigði eða ástundun kynlífs. Að þessu leyti er krafist sérstaks samþykkis eða lagaskyldu í því skyni að safna saman eða vinna með slík gögn og þar er krafist öflugra öryggis og meiri gaumur gefinn að geymslumörkum gagnanna. Reglugerðin bætir jafnframt við erfðafræðilegum gögnum og lífkenniupplýsingum við flokk viðkvæmra gagna.

Börn

Fyrirliggjandi tilskipun fjallar ekki beinlínis um friðhelgi einkalífs barna og engin innlend lög eru í Evrópu sem eru sambærileg við Lög um verndun friðhelgis barna á Netinu (COPPA) í Bandaríkjunum. Á hinn bóginn býr nýja reglugerðin yfir sértækum ákvæðum til að vernda friðhelgi barna (8. gr.)

Mikið hefur verið rætt um viðmiðunaraldur fyrir samþykki foreldra og breyttist hann reglulega fram til loka lagasetningarmeðferðarinnar. Viðmiðunaraldurinn var að lokum miðaður sjálfgefið við 16 ára aldur en aðildarríki hafa heimild til að lækka hann niður í 13 ára aldur sem umrædd lög í Bandaríkjunum (COPPA) miða við.

Innlend frávik í viðmiðunaraldri gætu verið áskorun fyrir ábyrgðaraðila vefsetra og smáforrita í farsímum.  Sér í lagi er krafist samþykkis foreldis eða forráðamanns til að vinna persónuupplýsingar um barn undir viðmiðunaraldri þegar boðin er „upplýsingaþjónusta“ þó að þetta ákvæði breyti ekki á beinan hátt sjálfræðisaldri samkvæmt innlendum lögum.

Reglugerðin gerir ráð fyrir að framkvæmdastjórn Evrópusambandsins geti komið á fót sérstökum leiðum til að fá sannreynanlegt samþykki foreldris. Búist er við að framkvæmdastjórn Evrópusambandsins kanni reynslu Alríkisviðskiptastofnunar Bandaríkjanna þar í landi til að auðkenna notagildar leiðir til að fá samþykki foreldris.

Stefnur varðandi friðhelgi einkalífsins og samskipti

Í reglugerðinni (11. gr.) er farið fram á að „gagnsæ og auðveldlega aðgengileg stefna“ og samskipti á skýru og einföldu máli verði aðlöguð skráðu aðilunum, þ.m.t. upplýsingar sem beint er að börnum (eins og reglugerðin skilgreinir þau,  undir 18 ára aldri). Þegar ábyrgðaraðilinn notar sjálfvirkar leiðir verður hann að kveða á um að skráðir aðilar sendi inn þá valkosti sem þeir kusu, beiðnir og kvartanir á rafrænan hátt. Fari ábyrgðaraðilinn að óskum um leiðréttingar eða eyðingar verður hann jafnframt að greina öllum þriðju aðilum að gögnunum frá því, ef hægt er.

Rétturinn til að gleymast

Tilskipunin fól í sér rétt til að fara fram á aðgengi og leiðréttingar og til að andmæla frekari vinnslu persónuupplýsinga í sérstökum tilvikum. Reglugerðin gengur lengra að því er varðar „rétt til að gleymast og eyða upplýsingum“ og einnig til leiðréttingar (17. gr.). Í þessu felst heimild til að láta ábyrgðaraðila eyða gögnum og grípa til réttmætra aðgerða til að tilkynna þriðju aðilum um að þeim beri að eyða gögnum og tenglum þar sem gögnin eru ekki lengur nauðsynleg vegna upphaflegra eða löglegra nota, eða að skráði aðilinn hefur dregið til baka samþykki sitt eða að nefnt vörslutímabili hefur runnið út, einkum í tilfellum þegar gögnum var safnað meðan skráði aðilinn var á barnsaldri (undir 18 ára aldri).

Fjölmargar undantekningar koma þó til og er þessum réttindum ætlað að skapa jafnvægi gegn tjáningarfrelsi, lýðheilsuhagsmunum, lagaskyldum og þörfum vegna sagnfræði- eða vísindalegra rannsókna. Framkvæmdastjórninni er heimilt að samþykkja sértækari reglur en rétturinn til að gleymast verður þangað til á gráu svæði, einkum varðandi samfélagsmiðla.

Auðflytjanleiki gagna

Annar óvissuþáttur varðar nýjan rétt til „auðflytjanleika gagna“ (18. gr.) sem ætlað er að heimila ákveðnum skráðum einstaklingi að krefjast afrits af persónulegum upplýsingum viðkomandi og færa þær til nýs þjónustuveitanda ef gögnin eru tiltæk á skipulögðu og almennt notuðu sniði. Einnig er framkvæmdastjórninni heimilt að samþykkja framkvæmdarráðstafanir og er líklegt að þetta ákvæði reglugerðarinnar verði ónothæft þangað til svo verður.

Bein markaðssetning og gerð persónusniðs

Tilskipunin heimilar þegar skráðum aðilum að hafna notkun persónuupplýsinga í beinni markaðssetningu og krefst það gagnsæi ef teknar eru ákvarðanir með sjálfvirkum hætti, eins og að hafna viðskiptum á grundvelli áhættustigs. Ákvæði þessi eru útvíkkuð í reglugerðinni, í þáttum sem nefndir eru „Réttur til andmæla“ og „Ráðstafanir sem byggjast á gerð persónusniðs“ (19. og 20. gr.)

Höfnun á notkun persónuupplýsinga í markaðssetningu verður að vera „augljóslega aðgreinanleg frá öðrum upplýsingum“. Ákvarðanir með sjálfvirkum hætti verða að fela í sér verndarráðstafanir eins og málskot til mannlegrar íhlutunar og mega þær ekki byggjast einungis á skilgreindum viðkvæmniflokkum persónuupplýsinga eins og kynþætti eða heilbrigði.

Innbyggð eða sjálfgefin friðhelgi einkalífsins

Reglugerðin lætur í ljós nýjar meginreglur sem ábyrgðaraðilar gagna bera ábyrgð á varðandi tilhögun hönnunar og framkvæmdar til að vernda persónuupplýsingar í samkvæmni við reglugerðina og að tryggja að sjálfgefið sé að persónuupplýsingar, sem er safnað og þær notaðar eins og nauðsyn krefur í sértækum tilgangi, séu ekki geymdar lengur en þurfa þykir og séu ekki gerðar tiltækar fyrir of marga einstaklinga. Enn á ný hefur framkvæmdastjórn Evrópusambandsins heimild til að samþykkja ráðstafanir til að setja kjöt á beinin.

Stjórnunarhættir og skjalfesting á friðhelgi einkalífsins

Reglugerðin kastar fyrir róða þeim kröfum sem nú eru í gildi í mörgum löndum um suma ábyrgðaraðila að þeir skrái gagnavinnslustarfsemi sína hjá gagnaverndaryfirvöldum í löndum eða ríkjum. Þess í stað skyldar reglugerðin ábyrgðaraðila, vinnsluaðila og fulltrúa til að hafa skjalahald um meðhöndlun á tilteknum þáttum persónuupplýsinga (28. gr.) og gera skjalfestingu aðgengilega eftirlitsyfirvöldum að beiðni þeirra. Framkvæmdastjórn Evrópusambandsins er heimilt að koma fram með staðlað eyðublað fyrir skjalfestinguna.

Ábyrgðaraðilum ber einnig skylda til, samkvæmt reglugerðinni, að taka sér fyrir hendur „mat á áhrifum gagnaverndar“ þegar vinnsluaðgerðum fylgir tiltekin hætta á röskun á friðhelgi einkalífs (33. gr.); aðgerðir sem bera mikla áhættu í för með sér krefjast fyrirfram samráðs eða heimildar frá eftirlitsyfirvaldinu (34. gr.)

Stofnun verður að skipa gagnaverndarfulltrúa hafi hún 250 eða fleiri starfsmenn eða ef kjarnastarfsemi hennar krefst „reglulegs og skipulegs eftirlits með skráðum aðilum“ (35.–37. gr.) Staða gagnaverndarfulltrúa, óhæði þeirra og skyldustörf eru sams konar og hjá gagnaverndarfulltrúum samkvæmt gildandi lögum í Þýskalandi, Hollandi og Frakklandi.

Tilkynning um og skjalfesting á öryggisrofi

Tilskipunin krefst ekki sérstakrar tilkynningar á öryggisrofum. Reglugerðin tekur hins vegar bæði á tilkynningu til yfirvalda og tilkynningu til einstaklinga sem koma að máli. Í 31. gr. er þess krafist að eftirlitsyfirvaldinu sé tilkynnt um öryggisrof á persónuupplýsingum innan 24 klukkustunda og að einstaklingum sé í kjölfarið tilkynnt um brot sem „líklegt er að hafi skaðleg áhrif á persónuupplýsingar eða friðhelgi einkalífs skráðs aðila“, nema ábyrgðaraðilinn sannfæri yfirvaldið um að gögnin verði gerð óskiljanleg (svo sem með dulkóðun). Reglugerðin krefst einnig tiltölulega umfangsmikillar skjalfestingar á váatvikum.

Öryggismál

Tilskipunin talar almennt um kröfur um viðeigandi tækni- og skipulagslegar ráðstafanir til að tryggja öryggi persónuupplýsinga. Reglugerðin gengur lengra en þetta, ekki aðeins með því að krefjast tilkynningar og skjalfestingar á öryggisrofum, heldur vísar hún einnig til áhættumats og heimilda framkvæmdastjórnarinnar til að samþykkja tiltæk öryggisákvæði (30. gr.)

Siðareglur og vottanir

Reglugerðin hvetur samtök iðnaðarins til að semja siðareglur um gagnavernd og leita vottunar innlendra aðila eða Sambandsins (39. gr.) Þessi leið gæti reynst vænleg, eins og komið hefur í ljós í Bandaríkjunum, á sviðum eins og auglýsingum á Netinu, markaðsrannsóknum, klínískum rannsóknum og varðandi skemmtiefni fyrir börn.

Alþjóðlegir gagnaflutningar

Reglugerðin verndar lagalega tilhögun sem samþykkt var í tilskipuninni varðandi flutning persónuupplýsinga út fyrir ESB eða EES: „ákvarðanir um hvað sé fullnægjandi“ af hálfu framkvæmdastjórnarinnar, samþykki á bindandi reglum fyrir fyrirtæki, föst samningsákvæði („fyrirmyndarsamningar“) og aðrar undanþágur eins og um upplýst samþykki, framfylgd samninga og dómsmál (40.– 45. gr.)

Þetta svið tekur stöðugum breytingum, eins og ESB álítur nýja áætlun ESB og Bandaríkjanna um „einkalífsskjöld“ í kjölfar úrskurðar Evrópudómstólsins í svo kölluðu Schrems-máli en um þessar mundir halda flest fyrirtæki áfram að nota fyrirmyndarsamninga til að flytja gögn til þriðju landa en þau njóta ekki hagræðis af ákvörðunum ESB um „hvað sé fullnægjandi“.

Fullnusta

Reglugerðin sér fyrir, eins og tilskipunin, fullnustu bæði varðandi milligöngu eftirlitsyfirvalda og dómstóla með refsi- og stjórnsýsluviðurlög ásamt úrræðum einkamálaréttar. Reglugerðin gengur þó lengra varðandi stjórnsýsluviðurlögin sem geta numið allt að 20 milljón evrum eða 4% af árlegum tekjum fyrirtækis í ákveðnum tilfellum (79. gr.)

Innlend eftirlitsyfirvöld hafa þegar tekið við að endurskoða breytingar á stjórnsýslu- og rannsóknarmeðferðum sem reglugerðin mun knýja fram. Af því leiðir að sumir munu gera meiri fyrirbúnað en aðrir við beitingu valdheimilda.

Vafrakökur (cookies) o.s.frv.

Reglugerðin leysir ekki af hólmi tilskipunina um friðhelgi einkalífs á Netinu, þ.m.t. breytingar árið 2009 sem leiddu af sér svokallaðar „vafrakökureglur“. Framkvæmdastjórnin athugar nú hvort breytinga sé þörf en ný fyrirtæki ættu að búast við að halda áfram að hlíta reglufylgni við kröfur sem geta verið ólíkar á milli landa varðandi birtingu sprettiglugga (e. pop-up windows) með tilkynningum, tengla á friðhelgisstefnir eða möguleika á að samþykkja vafrakökur (e. Cookies), GIF-hreyfimyndir eða aðra hugbúnaðarþætti á vefsetrum.

Áhrif reglugerðarinnar utan ESB

Reglugerðin mun gilda á Evrópska efnahagssvæðinu til viðbótar öllum 28 aðildarríkjum ESB. Ríkin þrjú í Evrópska efnahagssvæðinu sem eru ekki í ESB (Noregur, Ísland og Liechtenstein) munu falla undir reglugerðina þegar hlutaðeigandi yfirvöld í þeim löndum hafa formlega innleitt gerðina og staðfest hana (15. júlí á Íslandi).

Líklegt er að aðrar þjóðir sem hafa innleitt lög sem byggð eru að miklum hluta á gagnaverndartilskipun ESB frá 1995, þ.m.t. Sviss og Ísrael, munu íhuga alvarlega að gera breytingar í takt við þær sem endurspeglast í reglugerðinni. Að lokum gætu þau orðið að innleiða slíkar breytingar til að viðhalda ákvörðunum ESB um hvað sé fullnægjandi en ólíklegt er að ESB krefjist þess af þeim á allra næstu árum.

Hvað á nú að gera?

Fyrirtæki þurfa að huga að mörgum þáttum sem þurfa að vera komin í lag 15. júlí 2018 þegar almenna persónuverndarreglugerðin tekur gildi hér á Íslandi því að íslensk löggjöf hefur ekki enn fallið beint undir lög ESB um friðhelgi einkalífsins. Hér eru nokkrar tillögur fyrir lönd sem falla ekki undir reglugerðina:

  • Fyrirtæki sem starfa í Evrópu: Undirbúningur fyrir að hlíta ákvæðum reglugerðarinnar.
  • Fyrirtæki sem ekki eiga staðfestu í Evrópu en selja vörur eða þjónustu, eða fylgjast með, neytendum í Evrópu. Undirbúningur fyrir að hlíta ákvæðum reglugerðarinnar og finna fulltrúa til að starfa innan ESB, ef við á.
  • Stofna til eða uppfæra skjalfestingu á meðferð persónulegra upplýsinga þinna og öryggisráðstafana, einnig tilkynningar um váatvik og málsmeðferð við tilkynningu á öryggisrofum og sniðmát fyrir mat á áhrifum á friðhelgi einkalífs og áhættumat. Góðar fyrirmyndir eru tiltækar.
  • Endurskoða hvernig ákvæðum um gagnavernd er fylgt í samningum sem taka gildi í ESB frá og með 25. maí 2018 en á Íslandi 15. júlí 2018.
  • Athuga hvort ekki bæri að staðfesta alþjóðlega samþykkta öryggisstjórnunarstaðla (ISO 27001/27002) þar sem auðveldara er að skilja þá í Evrópu og verður líkast til vísað til þeirra í framkvæmdarráðstöfunum framkvæmdastjórnar Evrópusambandsins.
  • Endurskoða og uppfæra stefnu þína varðandi friðhelgi einkalífsins og samskipti þar sem fresturinn til breytinga nálgast (15. júlí á Íslandi) að því er varðar áheyrendur í ESB.
  • Ráða til starfa og þjálfa einstaklinga sem gætu tekið að sér störf gagnaverndarfulltrúa eða greina aðila utan fyrirtækis sem gætu tekið það að sér.
  • Endurskoða áætlanir um vöruþróun og markaðssetningu á ESB-markaði í ljósi hugsanlegrar reglufylgni.

Hvernig get ég vitað hvort vefurinn minn standist lög Evrópusambandsins um persónuvernd á netinu?

Panta GDPR úttekt á vefsíðunni minni?

Viltu reka öfluga netverslun?

By | Blogg

Öflug netverslun sem selur meðan þú sefur

Viltu fá öflugustu og best útbúnu vefverslun sem völ er á? WordPress Woocommerce netverslun hjá Allra Átta er lausnin en slík þjónusta er ein af mörgum viðbótum sem viðskiptavinum býðst við vefsíðugerð, markaðssetningu og aðra hefðbundna þjónustu fyrirtækisins. Woocommerce netverslun svipar mjög til hýstra verslunarsmáforrita eins og Shopify en er í eðli sínu mun sveigjanlegri þar sem verslunin er hýst hjá Allra Átta og hægt að sérsmíða ýmiskonar virkni sem og nýta sér hundruða Plugins til að gera þína netverslun eins öfluga og flotta og kostur er.

Við getum hannað fyrir þig þitt eigið útlit og viðmót, sem og nýtt okkur tilbúin sniðmát. Við getum einnig fiktað við hugbúnaðarkóða og gagnagrunn verslunarinnar ef þér sýnist svo. Hafir þú ekki forritunar þekkingu geturðu fengið sérfræðinga Allra Átta til að gera slíkar ýmsar breytingar á virkni og alltaf hægt að bæta og breyta útliti og viðmóti.

Þessi tæki eru oft ókeypis en þú þarft þó að reka eigin netþjón og hæfni til að setja upp hugbúnaðinn og tryggja öryggi hans — eða fá Allra Átta til að sjá um að gera það fyrir þig. Með viðbótarfjárfestingu geturðu fengið algjörlega sérsniðna verslun í hendur.

Stækkaðu vefinn og bættu við Netverslun

Eigir þú þegar blogg eða vefsíðu frá WordPress eða leitað hjálpar Allra Átta við vefsíðugerð — eða hafir þú áður notað WordPress og þekkir til forritsins — er WooCommerce besta leiðin til að bæta sérsniðinni vefverslun við síðuna þína. Aðeins þarf að setja upp WooCommerce viðbótina eins og aðrar viðbætur við WordPress og þú færð nýja einingu á vefsíðuna fyrir vörur og pantanir.

Þú stjórnar auðveldlega þínum pöntunum í WooCommerce

Vöruskrárnar í WooCommerce virka svipað og annað sem þú gerir í WordPress blogginu — aðeins með aukareitum fyrir vörulýsingu, verðlag, stærðir og svo framvegis. Reitirnir koma fram á nýrri verslunarsíðu vefsetursins þíns þar sem gestir geta leitað að vörum, sett þær í flokka, merkt við þær og bætt þeim við verslunarkerruna sína. Þú stjórnar síðan pöntunum þeirra innan WordPress með svipaðri síðu sem að þessu sinni birtir þér einum upplýsingar um kaup viðkomandi aðila.

Fullkomin tölfræði sem sýnir þér sölur eftir tímabilum

Þarftu fleiri þætti í verslunina? WooCommerce hefur eigin viðbætur sem heimila þér að bæta við eftirlætis greiðsluþjónustu þinni, samþættingar og aðra þætti í versluninni þinni. Þú gætir einnig skoðað staðlaða síðu WooCommerce yfir viðbætur — góðar líkur eru á því að þú finnir þar tæki eða úrræði sem henta þörfum þínum, jafnvel þó að viðbæturnar séu ekki sérstaklega hannaðir fyrir verslunarumhverfi. Þú getur bætt WooCommerce við vefsíðuna þína hvenær sem er eða sett vefverslunina upp samhliða hinni eiginlegu vefsíðugerð.

Tölfræðin er innbyggð í Woocommerce svo þú getur alltaf séð hvernig salan gengur eftir mánuðum, fjöldi pantana, heildarsala, pantanir sem ekki kláruðust ofl ofl.

Hér hefurðu fullkomna yfirsýn yfir verslunarreksturinn á netinu.

Sendu 5 stjörnu fréttabréf

By | Blogg

8 mikilvæg atriði

þegar senda á 5 stjörnu fréttabréf
    

1. Fyrirsögn á tölvupósti sem er bæði skýr og nær athygli fólks

Radicati-hópurinn greindi frá því að 1,9 milljarður tölvupósta berist á milli manna á hverjum degi, að viðbættum amapósti (e. spam). Til að fanga athygli viðtakenda þarftu að búa til athyglisgrípandi fyrirsögn á tölvupóstinn til að markhópurinn opni póstinn og lesi hann.

Fjallaðu um athugunarefni lesenda: Settu sjálfan þig í spor lesenda og skrifaðu fyrirsagnir sem fjalla um þarfir þeirra. Hvað er áhugavert við vöru þína eða þjónustu frá sjónarhóli þeirra?

  • Skrifa á persónulegum nótum: Athugaðu hvort ekki sé hægt að nota skírnarnafn viðtakanda í fyrirsögn tölvupóstsins. Fjöldi þeirra sem slá á tengla og fara áfram á marksíðu eykst umtalsvert á þennan hátt.
  • Nota málfar sem hvetur til aðgerða: Nota skal orð sem hvetja til aðgerða til að hvetja lesendur þína til gagnvirkni. Þú vilt nota slík orð til að hvetja þá til að opna tölvupóst þinn tafarlaust þegar hann birtist þeim með því að sannfæra þá um að boðskapur þinn sé bæði brýnn og athyglisverður.
  • Talaðu geinilega: Útskýrðu greinilega hvaða efni er í tölvupóstinum. Þú vilt að lesandinn skilji nákvæmlega hvað hann fær í hendur við að opna tölvupóstinn.
  • Farðu yfir fyrirsagnirnar til glöggvunar: Skýr og auðskiljanleg fyrirsögn er mikilvæg til að lesandi tölvupósts slái á tengla til að halda áfram á vefslóð.
  • Vertu stuttorður: Lesendur sem notast við færanleg tæki (eins og snjallsíma) forðast að opna tölvupósta með of langri fyrirsögnin. Við mælum með að nota færri en 50 orð í hverja fyrirsögn
  • Vertu samkvæmur sjálfum þér: Fyrirsögn tölvupóstsins lofar lesendum einhverju sem þú verður að standa við í textanum sjálfum. Vertu alveg viss um að þú standir við það loforð.

2. Vörumerkjastjórnun fyrirtækisins

Vertu viss um að sniðmát markaðssetningar fyrirtækisins endurómi heildar vörumerkingu fyrirtækisins. Þú vilt að fólk sem opnar tölvupóstinn átti sig á því hver þú ert og muni hvers vegna það opnaði áður tölvupóstinn þinn.

Auðveldasta leiðin til að tryggja samræmdan tölvupóstsstíl er að búa til og notfæra sér reglulega sérstök sniðmát fyrir tölvupóst. Við hönnun sniðmáts þarf að hafa í huga liti fyrirtækisins, fyrirtækismerki (e. logo) og aðra þætti vörumerkjastjórnunar fyrirtækisins.

3. Viðeigandi þættir

Í gagnasafni þínu eru mjög líklega geymdir bæði viðskiptavinir og mögulegir viðskiptavinir sem eru staddir á einhverju stigi í kaupferlinu. Við hönnun á fimm stjörnu tölvupóstreynslu ættirðu að velta vel fyrir þér hvernig þú flokkar skrár þínar og tengja tölvupóstáætlanir þínar saman til að leggja mesta áherslu á þarfirnar sem finna má í skránum.

4. Það sem skiptir máli og samhengi hlutanna

Í tölvupósti þínum þarf þegar í stað að fjalla um meginefni póstsins og hvers vegna mikilvægt sé að lesa hann. Best er að geta þess sem skiptir mestu máli, „tilboðið“ sjálft, þegar í fyrstu setningu tölvupóstsins til að styrkja mikilvægi boðskaparins.

Einnig eru margir sjónrænir þættir sem geta bætt tölvupóstinn þinn. Til dæmis er gott að lágmarka núning á síðunni með því að fjarlægja drasl og fjöldaskilaboð af síðunni. Gott er að hafa hnapp til að niðurhala tilboði þínu á áberandi stað.

5. Augljóst og einbeitt kall til aðgerða

Tölvupósturinn þinn ætti að vera eitt ákveðið markmið með að ná til fólks, hvort sem það er gert til að niðurhala tilboði, skrá sig á vefnámskeið, kaupa vöru eða bóka fund. Hnappurinn sem kallar til aðgerða er hlekkurinn sem leysir þessa aðgerð úr læðingi. Því verðurðu að vera viss um að hnappur þessi standi á áberandi stað í tölvupósti þínum.

Taka á eftir hnöppum sem kalla til aðgerða. Til að auka hlutfall þeirra sem slá á tengla í tölvupósti verða hnappar þessir að vera mjög greinilegir, miðla augljósu gildi og knýja gest þinn til að slá á þá. Þá þarf að hanna rétt, nota sterkt orðaval og gagnorðar setningar til að ná marki þínu.

6. Viðeigandi myndefni

Að setja inn myndir er annað úrræði til bæta markaðssetningu þína með tölvupósti. Sjónrænar vísbendingar eru stórkostlegt úrræði til að tryggja að hver þáttur sniðmáts tölvupóstsins nái að tengjast lesendum þínum.

Fólki líkar einfaldlega við myndir, hugsanlega vegna þess að 90% upplýsinga sem rata til heilans eru sjónrænar og heilinn vinnur þær upplýsingar 60 000 sinnum hraðar en texta.

7. Hnappar og tenglar til að deila á samfélagsmiðla

Hnappar og tenglar til að deila á samfélagsmiðla eru stórkostleg úrræði til að auka við tölvupóstsmarkaðssetningu þína og ná í nýjar hugsanlegar ábendingar um viðskiptavini, með mjög lítilli viðleitni af þinni hálfu.

Bættu við hnöppum til að deila á samfélagsmiðla við tölvupóstssniðmátið þitt svo að lesendur gæti deilt efni þínu innan dreifikerfis þeirra.

8. Tengill til að hætta í áskrift

Til að gera fimm stjörnu tölvupóst er þetta atriði það eina sem er skylda í tölvupósti þinum, þú VERÐUR að hafa tengil, sem hægt er að slá á til að hætta að fá póstana þína, neðst í hverjum tölvupósti sem notaður er til markaðssetningar.

Að senda tölvuóst án slíks tengils brýtur í bága við reglugerðir um amapóst (spam).

Samkvæmt rannsóknum kjósa 77% lesenda að þiggja markaðsefni með milligöngu tölvupósta frekar en með nokkrum öðrum leiðum!

Með því að fylgja þessum skrefum hefurðu lært hvernig þú getur hannað fyrirsögn sem vekur eftirtekt.