Den här texten innehåller inte juridiska råd. Den är en kort presentation av enstaka delar av lagen med fokus på e-handel.

Vad är GDPR och vem gäller det?

GDPR (General Data Protection Regulation) är EU:s förordning för skydd av personuppgifter. Dataskyddsregler som gör att vi alla har bättre kontroll över våra personuppgifter och att företag kan verka på rättvisa villkor. 

Förordningen gäller för alla företag i EU-länder och internationella företag som samlar in data om personer i EU.

Varje land kan ha egen lagstiftning som kompletterar dataskyddsförordningen. I Sverige kallas denna lag för Dataskyddslagen och ersätter den gamla Personuppgiftslagen (PUL).

Vad innebär GDPR för privatpersoner? 

Som privatperson (registrerad) har man ett antal rättigheter. Till exempel att få veta när, hur, varför och vilken data som samlas in. Att få sina uppgifter raderade eller rättade. Att kunna slippa direktreklam, m.m.

Läs mer om den registrerades rättigheter (och era skyldigheter) här.

Vad innebär GDPR för dig som bedriver e-handel?

• Du måste känna till vilken data som samlas in och vilka system som hanterar den informationen.
• Du måste informera om hur ni behandlar personuppgifter, vilka uppgifter som samlas in och varför ni gör det.
• Du måste ha ha rutiner på plats för att tillgodose den registrerades rättigheter.
• Du behöver upprätta avtal mellan personuppgifts­ansvarig och personuppgifts­biträden.
• Du måste i vissa fall utse ett dataskyddsombud som ansvarig för att lagen följs.

Låt oss dyka lite djupare i detta här nedan.

Vad räknas som personuppgifter?

En personuppgift är all information som enskilt eller ihop med andra uppgifter, kan knytas till en levande person. Till exempel:

• namn
• personnummer
• adress
• telefonnummer
• platsinformation
• bilder
• ljudupptagningar
• bankuppgifter
• organisationsnummer vid enskild firma
• IP-adresser och cookies, om de kan kopplas till en fysisk person
• E-postadresser som förnamn.efternamn@företag.se

Uppgifter som inte räknas som personuppgifter är t.ex. organisationsnummer (ej enskild firma) och e-postadresser som info@företag.se.

Registreringsnumret på en bil är en personuppgift om det går att knyta till en fysisk person.
Registreringsnumret på en firmabil som används av flera kanske inte är en personuppgift.

Läs mer om personuppgifter.

Vad är personuppgifts­ansvarig och personuppgifts­biträden?

Personuppgiftsansvarig är själva företaget eller organisationen. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig.
En fysisk person kan dock vara personuppgiftsansvarig, till exempel i enskilda firmor.

Som personuppgiftsansvarig ska man: 

• ha stöd i förordningen för att få behandla personuppgifter.
• bara samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål.
• inte behandla fler personuppgifter än vad som behövs för ändamålen.
• se till att personuppgifterna är riktiga.
• radera personuppgifterna när de inte längre behövs.
• skydda personuppgifter, så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs.
• kunna visa att man lever upp till dataskyddsförordningen och hur man gör det.

Personuppgiftsansvarig kan överlåta behandlingen av personuppgifter till ett personuppgiftsbiträde, men ansvaret kan aldrig överlåtas. Du måste se till att behandlingen sker i enlighet med dataskyddsförordningen.

Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning och finns alltid utanför den ansvariga organisationen. Det kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.

Exempel på personuppgiftsbiträden är:

• företag som anlitas för att lagra uppgifter åt ett annat.
• företag som tar hand om utskick av marknadsföring för uppdragsgivarens räkning.
• molntjänstföretag som anlitas för att hantera och lagra personuppgifter åt uppdragsgivaren.
• fraktbolag.

De biträden som den personuppgiftsansvariga anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas. Ett biträdesavtal ska upprättas mellan parterna.

Om ett personuppgiftsbiträde, t.ex. en redovisningsbyrå, anlitar ett underbiträde, t.ex. en molntjänstleverantör, ska det finnas ett skriftligt underbiträdesavtal. Det är personuppgiftsbiträdet som ansvarar för att det upprättas ett sådant avtal.

Läs mer om personuppgiftsansvariga och biträden här.

Vart sparar ni data om era kunder?

Ni behöver ha stenkoll på vart kunddata sparas i era olika databaser och system. Det kan till exempel vara på kundkort, orderkort, i e-postlistor eller kundklubbsregister (t.ex. vid tävlingar där kunder lämnar ett mobilnummer eller en e-postadress).

Det kan vara i e-handelssystem, affärssystem/ERP och CRM, men även hos leverantörer och partners (personuppgiftsbiträden). Det kan vara betaltjänster, extern kundtjänst och logistikbolag.

Om en kund begär att bli "glömd", alltså att bli bortplockad från alla era register, så behöver ni ha rutiner för hur detta ska gå till. Ingen information som kan identifiera kunden får finnas kvar någonstans*.

*Viss information ska sparas under viss tid om landets lagar kräver detta. T.ex. bokföringslagen.

Informera tydligt om hur, vad och varför

Skapa en sida på er webbplats där ni tydligt informerar om vilka uppgifter ni samlar in, varför ni behöver dem, hur de samlas in och vem som har tillgång till dem.

Utifrån er beskrivning av respektive ändamål ska användaren kunna förstå vilken typ av behandling som kommer att utföras.

Vaga eller allmänna beskrivningar, såsom "att förbättra användarnas upplevelse", "marknadsföringsändamål" eller "IT-säkerhetsändamål" är inte tillräckligt precisa.

Att smyga in villkor om behandling av personuppgifter i avtalstext för att maximera insamling och användning av personuppgifter är såklart inte tillåtet.

Läs mer om behandling av personuppgifter.

Tänk på att samtycke måste ges innan ni får samla in personlig data!
Detta bör göras i direkt anslutning till där insamlingen sker, till exempel i kassan eller när man fyller i ett formulär. 
Använd en checkbox som besökaren måste kryssa i för att gå vidare (checkboxen får ej vara förifylld), och länka tydligt till informationssidan.

Måste man ha ett dataskyddsombud?

Är ni en myndighet eller folkvald församling (alltså ett offentligt organ)?

Är er kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?

Är er kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?

Om något av detta stämmer så måste ni utse ett dataskyddsombud.

Läs mer om dataskyddsombud här

För en skobutik till exempel, så är kärnverksamheten att sälja skor. De har antagligen ganska få uppgifter om sina kunder, och uppgifter som inte är känsliga. De behandlar inte personuppgifter som en del av sin kärnverksamhet och har endast vissa uppgifter om sina anställda, till exempel för att kunna betala ut löner. Således behöver de inte ha ett dataskyddsombud.

Läs mer om vad som är känsliga uppgifter.

Vad händer om man inte följer lagen?

Följer man inte Dataskyddslagen kan man tvingas att betala stora så kallade "administrativa sanktionsavgifter" på upp till 20 miljoner EUR, eller fyra procent av företagets totala omsättning.
I Sverige är det Datainspektionen som håller koll på att reglerna efterföljs.

Schrems 2 (skrivet som Schrems II)

GDPR:s tillämpning skärptes med EU-domslutet Schrems II som gör det olagligt för företag i EU att lagra personuppgifter hos till exempel Amazons, Googles och Microsofts molntjänster, då de överför personuppgifter till USA.

Tidigare avtalsundantag, Privacy Shield, som gjorde det möjligt att överföra personuppgifter till USA trots GDPR är upphävd. Kontrollera därför noga om de tjänster du använder bryter mot EU-rätten genom att använda amerikanska molntjänster på fel sätt.