GDPR
Kattis Lodén i E-handel

GDPR – Det här är vår bild av den nya lagen

GDPR

Om du ännu inte hört talas om GDPR (General Data Protection Regulation) så är det hög tid nu att du får läsa lite om detta.

Personuppgiftslagen (PUL) ersätts från och med den 25:e maj 2018 med GDPR och har du idag bra koll på PUL så blir arbetet något lättare, men det finns ändå saker att se över och lösa.

I följande artikel ska vi behandla vad du behöver tänka på som kund hos Wikinggruppen och vad vi bistår med.

När du läser detta bör du samtidigt ha i åtanke att lagen ännu är oprövad. Det betyder att även om vi och expertisen på området idag tolkar på ett sätt, kan det bli annorlunda när detta prövas i domstol och det skapas prejudikat.

Det här är alltså hur vi tolkar lagen för stunden, något som kan komma att ändras med tiden.

Vad är då en personuppgift?

Personuppgifter är uppgifter som kan relateras till enskilda individer. Det kan exempelvis vara personnummer, mejladresser, namn och IP-adresser.

Ett namn blir en personuppgift så fort du kan knyta en specifik person till det. Det innebär att om namnet är unikt eller om du kan samköra namnet med en ytterligare uppgift, som exempelvis en adress, och då få fram en specifik individ, räknas dessa tillsammans som en personuppgift.

Även ett telefonnummer till någons tjänstetelefon blir en personuppgift i det fall numret kan knytas till en enskild individ. Detta gäller alltså även om telefonnumret i sig tillhör ett företag.

Vad är inte en personuppgift?

Uppgifter som inte kan relateras till en specifik person. Detta kan exempelvis vara om du sparar information av generell karaktär så som att det oftast är män/kvinnor som handlar en viss typ av produkt. Med andra ord: information som inte går att knyta till en specifik person är inte en personuppgift.

Syfte

Du ska alltid ha ett förutbestämt syfte med varför du ska lagra den data du lagrar. Vissa uppgifter måste du till exempel behålla för att sälja en vara till en kund, och det är data du måste spara en tid av juridiska skäl. Detta är helt okej, men se till att alltid dokumentera det specifika syftet du har med lagringen av varje typ av personuppgift.

Om du vill spara mejladresser till personer för att göra utskick till dessa ska du tydligt dokumentera det för din egen organisation. Du måste dessutom samtidigt inhämta godkännande från varje individ att lagra informationen med just det syfte du angett och du får inte senare använda uppgifterna till något annat än du angett som skäl från början.

En förifylld bockruta är för det ändamålet inte okej – den ska vara tom och aktivt bockas i av din kund!

Ett potentiellt skäl att spara kunduppgifter, i kombination med information om vad som handlats, skulle kunna vara att du säljer elektroniska prylar och att dessa skulle kunna komma att återkallas. Det betyder dock inte att det är okej att använda dessa uppgifter för reklamutskick!

Och det tål att påminnas om igen: detta är vår tolkning av vad lagen innebär utifrån den kunskap vi har idag. Ingen vet säkert förrän det börjar testas i domstol.

Lagra inte mer än du behöver

Lagring av personuppgifter skall ske till ett minimum. Det gäller både att lagra samma info på så få ställen som möjligt och att lagra så lite information som möjligt. Den gamla devisen ”less is more” passar bra i detta fall.

Se även till att så få personer som möjligt har tillgång till personuppgifterna som finns lagrade.

Vi på Wikinggruppen gör som exempel löpande, och flera gånger om dagen, backup av samtliga butiker. Vårt syfte med det är driftsäkerhet. Händer det något kan vi lätt få upp butiken snabbt igen med minimal dataförlust. Vi har därmed inget som helst syfte att använda informationen i din butik för utskick eller liknande, vi sparar bara informationen för att kunna garantera driftsäkerhet för just din butik.

Lagra inte längre tid än vad som krävs

Nästa steg är att fundera över hur länge du får ha information om dina kunder.
Så länge det krävs av lagen, är en bra början för många uppgifter. Bokföringslagen kräver exempelvis att viss information sparas i 7 år. Med det inte sagt att du kan spara information om vad som helst i 7 år, utan detta gäller enbart det som bokföringslagen kräver.

En grundregel är att se personuppgifterna som ett lån, du lånar varje individs uppgifter under en förutbestämd tid och med ett tydligt syfte.

Behandla personuppgifterna säkert

Om du på något vis råkar läcka personuppgifter till en part som inte ska ha tillgång till dem, skall du anmäla detta till datainspektionen inom 72 timmar från det att du upptäckt läckan.

Skulle vi på Wikinggruppen upptäcka ett intrång gäller samma sak för oss, även om det är personuppgifter som finns i din butik.

Vad har individen för rättigheter?

GDPR syftar till att ge individen mer kontroll över de av sina uppgifter som behandlas av olika organisationer.

Det skall därmed alltid vara tydligt och framgå för kunden när dom handlar hos dig vilken information du sparar, och varför. Individen skall dessutom alltid kunna välja om dom vill att du skall få behandla deras information eller inte i de fall det exempelvis handlar om att du vill använda informationen för reklamutskick.

Återigen – det hela ska ses som ett lån av information, av personuppgifter, där du anger hur länge och varför du tänker låna uppgifterna.

Eftersom ”lånet” skall vara både tydligt och valbart för dina kunder bör du ha en kryssruta per skäl/uppgift du vill lagra. Det är möjligt att det kommer visa sig att det går bra att godkänna flera uppgifter genom att bocka i en enda ruta, men det vet vi först någon gång efter 25.e maj 2018. Vi rekommenderar dig därför att vara på den säkrare sidan genom att göra det extremt tydligt för kunden vilken information du vill spara och inte försöka klumpa ihop allt till en ruta för godkännande.

Varje individ har också rätt till sin egen data. Det innebär att kunden kan kontakta dig och begära ut vilken information som finns om denne i ditt system och att du då är skyldig att lämna ut den.

Kunden har vidare rätt att få felaktiga personuppgifter rättade, samt att helt raderas. Dock ska man komma ihåg att rätten att bli raderad inte gäller om du har uppgifterna av juridiska skäl, exempelvis för att upprätthålla ett avtal er emellan.

Om du behöver hjälp med att få ut data, ändra eller ta bort data på individnivå, kan du kontakta vår support så hjälper vi dig.

Vad händer om jag inte följer GDPR?

Du riskerar böter på upp till 20 miljoner euro, alternativt 4% av den globala omsättningen. Man ska dock inte glömma att även om du skulle få en mindre bot, kommer ditt stora problem vara att din trovärdighet som varumärke och mot marknaden skadas.

Vad behöver jag göra just nu?

  • Du kommer exempelvis att behöva städa upp i dina mejl- och smslistor. Har du idag inte dokumentation som visar att (och när) varje specifik individ godkänt att du lagrar, och eventuellt i marknadsföringssyfte använder, deras uppgifter – kan du lika gärna ta bort personen och dess uppgifter ur din lista.
  • Du behöver se över varje enskild typ av personuppgift du sparar, behöver du verkligen allt? Om inte, se till att rensa upp.
  • Du behöver utbilda dina kollegor så att även de har koll på GDPR. Det kan ju vara så att någon kreativ kollega har sparat ner kundregistret på sin laptop. Det är inte okej om du inte har ett bra, dokumenterat, syfte med det. Men även då, är det säker lagring?
  • Se till att få ett godkännande från de som finns i dina register, där de tydligt accepterat att de behandlas i dina register och i vilket syfte det sker.

Biträdesavtal

Vi kommer behöva upprätta ett biträdesavtal mellan oss och våra kunder som använder vår e-handelsplattform samt även kunder som använder vårt FSY system. Detta sker genom att vi lägger till personuppgiftsbiträdesavtalet som ett tilläggsavtal till våra generella abonnemangsvillkor samt informerar samtliga kunder om detta.

Summering

  • En personuppgift är information som kan knytas till en  specifik individ.
  • Ha ett förutbestämt syfte med varför du lagrar personuppgifter.
  • Se till att ha ett godkännande från varje individ som du sparar data om.
  • Lagra minimalt med data, se till att så få som möjligt har tillgång till personuppgifter.
  • Lagra uppgifterna bara under så lång tid som du sagt att du ska eller måste.
  • Lagra datan säkert.
  • Individens rätt att bli bortglömd, ändrad eller upplyst om sin info väger tungt.
  • Se till att ha biträdesavtal med alla dina partners.

Välkommen att läsa mer om GDPR och E-handel på wikinggruppen.se

Mail

Lämna ett svar

Din e-postadress kommer inte publiceras.

Nyhetsbrev

Anmäl er till vårt inspirerande nyhetsbrev som kommer en gång i månaden.