GDPR och e-handel
Har du koll på GDPR och vad som krävs av dig som e-handlare? Har ni all information som behövs om Datainspektionen knackar på? Har ni rutiner på plats om en kund vill bli "glömd"?
Har du koll på GDPR och vad som krävs av dig som e-handlare? Har ni all information som behövs om Datainspektionen knackar på? Har ni rutiner på plats om en kund vill bli "glömd"?
Den här texten innehåller inte juridiska råd. Den är en kort presentation av enstaka delar av lagen med fokus på e-handel.
GDPR (General Data Protection Regulation) är EU:s förordning för skydd av personuppgifter. Dataskyddsregler som gör att vi alla har bättre kontroll över våra personuppgifter och att företag kan verka på rättvisa villkor.
Förordningen gäller för alla företag i EU-länder och internationella företag som samlar in data om personer i EU.
Varje land kan ha egen lagstiftning som kompletterar dataskyddsförordningen. I Sverige kallas denna lag för Dataskyddslagen och ersätter den gamla Personuppgiftslagen (PUL).
Som privatperson (registrerad) har man ett antal rättigheter. Till exempel att få veta när, hur, varför och vilken data som samlas in. Att få sina uppgifter raderade eller rättade. Att kunna slippa direktreklam, m.m.
Läs mer om den registrerades rättigheter (och era skyldigheter) här.
Låt oss dyka lite djupare i detta här nedan.
En personuppgift är all information som enskilt eller ihop med andra uppgifter, kan knytas till en levande person. Till exempel:
Uppgifter som inte räknas som personuppgifter är t.ex. organisationsnummer (ej enskild firma) och e-postadresser som info@företag.se.
Registreringsnumret på en bil är en personuppgift om det går att knyta till en fysisk person.
Registreringsnumret på en firmabil som används av flera kanske inte är en personuppgift.
Läs mer om personuppgifter.
Personuppgiftsansvarig är själva företaget eller organisationen. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig.
En fysisk person kan dock vara personuppgiftsansvarig, till exempel i enskilda firmor.
Som personuppgiftsansvarig ska man:
Personuppgiftsansvarig kan överlåta behandlingen av personuppgifter till ett personuppgiftsbiträde, men ansvaret kan aldrig överlåtas. Du måste se till att behandlingen sker i enlighet med dataskyddsförordningen.
Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning och finns alltid utanför den ansvariga organisationen. Det kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.
Exempel på personuppgiftsbiträden är:
De biträden som den personuppgiftsansvariga anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas. Ett biträdesavtal ska upprättas mellan parterna.
Om ett personuppgiftsbiträde, t.ex. en redovisningsbyrå, anlitar ett underbiträde, t.ex. en molntjänstleverantör, ska det finnas ett skriftligt underbiträdesavtal. Det är personuppgiftsbiträdet som ansvarar för att det upprättas ett sådant avtal.
Läs mer om personuppgiftsansvariga och biträden här.
Ni behöver ha stenkoll på vart kunddata sparas i era olika databaser och system. Det kan till exempel vara på kundkort, orderkort, i e-postlistor eller kundklubbsregister (t.ex. vid tävlingar där kunder lämnar ett mobilnummer eller en e-postadress).
Det kan vara i e-handelssystem, affärssystem/ERP och CRM, men även hos leverantörer och partners (personuppgiftsbiträden). Det kan vara betaltjänster, extern kundtjänst och logistikbolag.
Om en kund begär att bli "glömd", alltså att bli bortplockad från alla era register, så behöver ni ha rutiner för hur detta ska gå till. Ingen information som kan identifiera kunden får finnas kvar någonstans*.
*Viss information ska sparas under viss tid om landets lagar kräver detta. T.ex. bokföringslagen.
Skapa en sida på er webbplats där ni tydligt informerar om vilka uppgifter ni samlar in, varför ni behöver dem, hur de samlas in och vem som har tillgång till dem.
Utifrån er beskrivning av respektive ändamål ska användaren kunna förstå vilken typ av behandling som kommer att utföras.
Vaga eller allmänna beskrivningar, såsom "att förbättra användarnas upplevelse", "marknadsföringsändamål" eller "IT-säkerhetsändamål" är inte tillräckligt precisa.
Att smyga in villkor om behandling av personuppgifter i avtalstext för att maximera insamling och användning av personuppgifter är såklart inte tillåtet.
Läs mer om behandling av personuppgifter.
Tänk på att samtycke måste ges innan ni får samla in personlig data!
Detta bör göras i direkt anslutning till där insamlingen sker, till exempel i kassan eller när man fyller i ett formulär.
Använd en checkbox som besökaren måste kryssa i för att gå vidare (checkboxen får ej vara förifylld), och länka tydligt till informationssidan.
Är ni en myndighet eller folkvald församling (alltså ett offentligt organ)?
Är er kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?
Är er kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?
Om något av detta stämmer så måste ni utse ett dataskyddsombud.
Läs mer om dataskyddsombud här
För en skobutik till exempel, så är kärnverksamheten att sälja skor. De har antagligen ganska få uppgifter om sina kunder, och uppgifter som inte är känsliga. De behandlar inte personuppgifter som en del av sin kärnverksamhet och har endast vissa uppgifter om sina anställda, till exempel för att kunna betala ut löner. Således behöver de inte ha ett dataskyddsombud.
Läs mer om vad som är känsliga uppgifter.
Följer man inte Dataskyddslagen kan man tvingas att betala stora så kallade "administrativa sanktionsavgifter" på upp till 20 miljoner EUR, eller fyra procent av företagets totala omsättning.
I Sverige är det Datainspektionen som håller koll på att reglerna efterföljs.
GDPR:s tillämpning skärptes med EU-domslutet Schrems II som gör det olagligt för företag i EU att lagra personuppgifter hos till exempel Amazons, Googles och Microsofts molntjänster, då de överför personuppgifter till USA.
Tidigare avtalsundantag, Privacy Shield, som gjorde det möjligt att överföra personuppgifter till USA trots GDPR är upphävd. Kontrollera därför noga om de tjänster du använder bryter mot EU-rätten genom att använda amerikanska molntjänster på fel sätt.
Kommentarer
Magnus says:
Test comment 2
Magnus 1 says:
123456test 1
Lämna en kommentar