E-handel och GDPR - det här gäller

Gdpr inom EU

E-handel och GDPR - det här gäller

Nu har det gått ett tag sedan GDPR trädde i kraft. Här kommer en del information om vad du som driver företag med webshop bör tänka på angående GDPR.

När GDPR varit igång ett tag, kan det vara dags att titta lite på hur det fungerar hos dig, vi ska inte glömma att de krav som gäller för en webbshop också gäller i vanliga butiker.

Dina skyldigheter som Personuppgiftsansvarig

Bortsett från det självklara att bara behandla personuppgifter om man har rätt till det och att göra det på ett säkert sätt så finns det två dominerande skyldigheter: information och dokumentation.

Information

Informationskravet är ganska omfattande men förenklat är det:
Vem du är
Syfte, det vill säga vad du ska ha uppgifterna till
Vilken rättslig grund du stödjer dig på
När du kommer att ta bort uppgifterna
Om du tänker dela med någon och om du delar med någon utanför EU/EES. (T ex Google, Microsoft)
Vilka rättigheter den registrerade har

Du kan hitta fler detaljer t ex i dokumenten på gdpr-sida för småföretag.

Jag vill lyfta fram några saker jag vet det kan finnas en del osäkerhet kring.

Att det är begripligt

I en e-handel möter besökaren oftast bara de skrivna texterna. Besökaren kan vara ”vem som helst” och därför måste vi försöka skriva så att ”vem som helst” kan förstå. Det kanske verkar självklart men att skriva begripligt om något som står i en lagtext är inte lätt. Det kan bli svåra ord och krångliga meningar.

Det finns korta, och svåra artiklar, läs mer om LIX på Wikipedia för den som är intresserad.

Kommentar: LIX baserar sig bl a på ordlängd. Långa ord höjer svårigheten. De saker vi måste informera om innehåller en del långa ord som kan vara nödvändiga, t ex Dataskyddslagen och Personuppgiftsansvarig. Det är alltså inte lätt att komma ner till nivån ”Enkla texter”.

Men kom ihåg att det alltid är avsändarens ansvar att informationen når fram och förstås.

Placering

Det är egentligen självklart men jag säger det ändå: Informationen ska placeras där man ser den, förslagsvis vid formuläret där man samlar in uppgifter. Man ska alltså inte behöva leta. Eftersom informationen ska ges innan man samlar in personuppgifter så är kassan ett naturligt ställe. Där brukar redan finnas information om köpvillkor och annat.

Om man ger besökarna möjlighet att skapa ett konto eller prenumerera på ett nyhetsbrev så informerar på de sidorna om det som är relevant.
Bästa stället att länka till policy och mer omfattande information är i sidfoten. Det finns undersökningar som visar att besökare förväntar sig att ”formell” information finns där.

Rättsliga grunder

För att bli mer begriplig kanske rubriken skulle vara ”När lagen säger att du får”.
Om du inte minns när man får så kommer här en kort påminnelse:
Samtycke – personen vars uppgifter du vill samla in har sagt ett klart och tydligt JA
Avtal – detta kan exempelvis vara köpeavtal eller anställningsavtal
Rättslig förpliktelse – när du är skyldig enligt lag att behandla personuppgifter
Skydd av vitala intressen – här räcker det inte att skälet är viktigt, det ska vara livsavgörande
Allmänt intresse – gäller myndigheter m fl.
Intresseavvägning – verksamhetens nytta är väsentligt större än den skada som kan drabba den registrerade

Se upp för samtycke

En vanlig uppfattning inför lagens införande var att nu skulle man behöva fråga om lov för allt, dvs begära Samtycke. Skulle en nätbutik behöva inhämta Samtycke innan man kunde släppa in besökaren? Inom e-handel är man ju nästan enbart hänvisad till det skrivna ordet och hur skulle man få besökarna välvilligt inställda om man bara visade långa texter och kryssrutor?

Så illa var det ju inte. Samtycke är i verkligheten det sista skälet man vill använda. Bara om man inte kan använda någon annan rättslig grund så ska man överväga Samtycke. Men då kan det förstås vara väldigt värdefullt.

Förklaring: Samtycke kan när som helst dras tillbaka och då har man inte längre rätt att fortsätta de behandlingar som stöder sig på Samtycke. Det kan dessutom vara svårt att få Samtycke som måste vara frivilligt, dvs inga i förväg ikryssade rutor på webbsidorna.

Ett exempel: Datainspektionen har tidigare bedömt att en ”typisk” kundrelation kan anses vara i ett år efter man köpt något. Detta för att en verksamhet ska kunna försöka att utveckla förhållandet med sina kunder. Det innebär att man kan skicka marknadsföring till sina kunder under den tiden med stöd av intresseavvägning. När kunden inte hört av sig under 12 månader så försvinner den rätten.

Kommentar: En av den registrerades rättigheter är att kunna säga nej till marknadsföring. Så om någon hör av sig och begär att ni ska sluta, då måste ni sluta.

OBS: Marknadsföringslagen och Swedmas ”god sed” får inte glömmas bort. Där sägs att marknadsföring via e-post till privatpersoner bara får ske med samtycke (opt in). Företag och deras kontaktpersoner får kontaktas med relevant marknadsföring men kan frånsäga sig det när som helst (opt out) Se http://www.swedma.se/

Dokumentation

Nu till det interna arbetet. Där är dokumentationen en viktig del. Lagen kräver att man ska kunna visa att man uppfyller alla krav. Om man inte kan det så är detta ett lagbrott i sig. Man måste alltså inte ha blivit hackad eller ha slarvat bort ett USB-minne med kundregistret på för att bryta mot lagen och därmed riskera straffavgifter. Det räcker att inte ha dokumenterat sitt säkerhetsarbete eller att inte ha gjort skriftliga riskanalyser.

Behandlingsförteckning

Detta är vad som i dagligt tal ofta kallas ”registerförteckning”. Under gamla lagen, PuL, så hade Sverige ett undantag som innebar att vi inte behövde räkna med personuppgifter på papper. Därför blev det naturligt att kartlägga vilka dataprogram man hade där personuppgifter fanns med. Nu, under GDPR, är det lite mer omfattande arbete som krävs.

Så här står det i Artikel 30:

” Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. …”

Om en besökare köper något i en webbshop så går det mesta automatiskt och därmed är behandlingen ”Köp” avklarad genom att man dokumenterar vad nätbutiken gör. Men om någon vill reklamera eller ångra sig, då kanske man har manuella rutiner för att hantera det. Ofta kan man säga att en rutin = minst en behandling och det är dessa som ska dokumenteras i en behandlingsförteckning.

Kommentar: Om ni har ett systemregister så är ni en bra bit på väg men jobbet är inte klart innan ni gått igenom de rutiner där personuppgifter behandlas och förtecknat dem som inte täcks av systemregistret.

Risker och Konsekvensbedömning

Lagen säger att man ska välja säkerhet i förhållande till risk. Man ska dokumentera sina avvägningar, också för att visa att man insett var risk kan finnas.

Det gäller till exempel de behandlingar som utförs med Intresseavvägning som grund. Dessa ska dokumenteras med beskrivning av risk och möjlig skada samt vilka fördelar verksamheten får av behandlingen. Man ska också beskriva hur man resonerat när man gjorde avvägningen.

Kommentar: Glöm ”finspråket”. Det viktiga är att man beskriver så nära verkligheten som möjligt. I enkla fall kan det vara utdrag från mötesprotokoll där man diskuterat frågan. Lagen är till för att skydda de registrerade och därför är innehållet viktigare än formen.

Utbildning

Alla som jobbar i verksamheten ska ha kunskap om dataskydd. Det betyder inte att man måste skicka alla på kurs, ibland kan det räcka att man har en intern genomgång på t ex ett månadsmöte en gång om året.

En del kan behöva djupare kunskap och det är viktigt att beskriva hur man ser till att alla har den kunskap som behövs för just deras uppgifter. Det kan vara genom kurser eller bara genom att läsa informationsmaterial från Datainspektionen och andra. Dokumentationen bevisar att man säkrat kunskapsnivån.

Intern policy

Ni bör ha en policy också för internt bruk. Den på webben säger inte så mycket om hur man ska vara en god medarbetare.

Avtal med partners

Biträdesavtalen är så klart på plats. Inga personuppgifter lämnar verksamheten utan att vara skyddade av avtal.