GDPR & e-handel – enkla tips för dig med webbshop

Nu har det gått ett tag sedan GDPR trädde i kraft. Vi tycker att det finns dåligt med information för alla näthandlare därute. När man söker på "GDPR e-handel" så får man nästan uteslutande förslag på gamla sidor om hur man kunde förbereda sig inför 25 maj. Här kommer uppdaterad information om vad du som driver webbshop kan tänka på kring GDPR.

Lagar & regler > GDPR & e-handel

Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några enstaka delar av lagen. Texten har som mål att ge en enkel introduktion eftersom många företag påverkas och behöver ta ställning till om man behöver söka juridisk rådgivning.

Nu när GDPR varit igång ett tag, kan det vara dags att titta lite på hur det har gått. Kanske särskilt med blicken riktat mot dig som säljer på nätet. Vi ska bara inte glömma att de krav som gäller för en webbshop också gäller i vanliga butiker.

Dina skyldigheter som Personuppgiftsansvarig

Bortsett från det självklara att bara behandla personuppgifter om man har rätt till det och att göra det på ett säkert sätt så är det två skyldigheter som är dominerande:
information och dokumentation.

Information

Informationskravet är ganska omfattande. Jag ska inte upprepa det här men förenklat är det:

  • Vem du är
  • Syfte, det vill säga vad du ska ha uppgifterna till
  • Vilken rättslig grund du stödjer dig på
  • När du kommer att ta bort uppgifterna
  • Om du tänker dela med någon och om du delar med någon utanför EU/EES. (T ex Google, Microsoft)
  • Vilka rättigheter den registrerade har

Du kan hitta fler detaljer t ex i dokumenten på vår gdpr-sida för småföretag.
Jag vill lyfta fram några få saker som jag vet att det kan finnas en del osäkerhet kring.


Begriplighet


I en e-handel möter besökaren oftast bara de skrivna texterna. Besökaren kan vara ”vem som helst” och därför måste vi försöka skriva så att ”vem som helst” kan förstå. Det kanske verkar självklart men att skriva begripligt om något som står i en lagtext är inte lätt. Det kan bli svåra ord och krångliga meningar.

 Tips: Om inte din favoritpensionär redan sagt att allt är glasklart, så testa gärna läsbarheten i din text på https://www.lix.se/

När jag testar vår sida, https://vismaspcs.se/behandling-av-personuppgifter som vi försökt få så lättläst och enkel att förstå som möjligt, så blir betyget: ” Textens läsbarhetsindex är 46, vilket innebär att den klassificeras som medelsvår, normal tidningstext.”

Inte så illa men om vi ska ta fullt ansvar för att budskapet når fram så är ju inte ”medelsvår” det vi vill ha.
Det finns en kort, och svår, artikel om LIX på Wikipedia för den som är intresserad.

Kommentar: LIX baserar sig bl a på ordlängd. Långa ord höjer svårigheten. De saker vi måste informera om innehåller en del långa ord som kan vara nödvändiga, t ex Dataskyddslagen och Personuppgiftsansvarig. Det är alltså inte lätt att komma ner till nivån ”Enkla texter”.

Men kom ihåg att det alltid är avsändarens ansvar att informationen når fram och förstås.


Placering


Det är egentligen självklart men jag säger det ändå: Informationen ska placeras där man ser den, förslagsvis vid formuläret där man samlar in uppgifter. Man ska alltså inte behöva leta. Eftersom informationen ska ges innan man samlar in personuppgifter så är kassan ett naturligt ställe. Där brukar redan finnas information om köpvillkor och annat.

Om man ger besökarna möjlighet att skapa ett konto eller prenumerera på ett nyhetsbrev så informerar på de sidorna om det som är relevant.
Bästa stället att länka till policy och mer omfattande information är i sidfoten. Det finns undersökningar som visar att besökare förväntar sig att ”formell” information finns där.


Rättsliga grunder

För att bli mer begriplig kanske rubriken skulle vara ”När lagen säger att du får”.
Om du inte minns när man får så kommer här en kort påminnelse:

  • Samtycke – personen vars uppgifter du vill samla in har sagt ett klart och tydligt JA
  • Avtal – detta kan exempelvis vara köpeavtal eller anställningsavtal
  • Rättslig förpliktelse – när du är skyldig enligt lag att behandla personuppgifter
  • Skydd av vitala intressen – här räcker det inte att skälet är viktigt, det ska vara livsavgörande
  • Allmänt intresse – gäller myndigheter m fl.
  • Intresseavvägning – verksamhetens nytta är väsentligt större än den skada som kan drabba den registrerade

Se upp för samtycke

En vanlig uppfattning inför lagens införande var att nu skulle man behöva fråga om lov för allt, dvs begära Samtycke. Skulle en nätbutik behöva inhämta Samtycke innan man kunde släppa in besökaren? Inom e-handel är man ju nästan enbart hänvisad till det skrivna ordet och hur skulle man få besökarna välvilligt inställda om man bara visade långa texter och kryssrutor?

Så illa var det ju inte. Samtycke är i verkligheten det sista skälet man vill använda. Bara om man inte kan använda någon annan rättslig grund så ska man överväga Samtycke. Men då kan det förstås vara väldigt värdefullt.

Förklaring: Samtycke kan när som helst dras tillbaka och då har man inte längre rätt att fortsätta de behandlingar som stöder sig på Samtycke. Det kan dessutom vara svårt att få Samtycke som måste vara frivilligt, dvs inga i förväg ikryssade rutor på webbsidorna.

Ett exempel: Datainspektionen har tidigare bedömt att en ”typisk” kundrelation kan anses vara i ett år efter man köpt något. Detta för att en verksamhet ska kunna försöka att utveckla förhållandet med sina kunder. Det innebär att man kan skicka marknadsföring till sina kunder under den tiden med stöd av intresseavvägning. När kunden inte hört av sig under 12 månader så försvinner den rätten.

Kommentar: En av den registrerades rättigheter är att kunna säga nej till marknadsföring. Så om någon hör av sig och begär att ni ska sluta, då måste ni sluta.

Det finns mer att säga i detta ämne men utgå alltid från att Samtycke är det man väljer först när inget annat är möjligt.

OBS: Marknadsföringslagen och Swedmas ”god sed” får inte glömmas bort. Där sägs att marknadsföring via e-post till privatpersoner bara får ske med samtycke (opt in). Företag och deras kontaktpersoner får kontaktas med relevant marknadsföring men kan frånsäga sig det när som helst (opt out) Se http://www.swedma.se/

Dokumentation

Nu till det interna arbetet. Där är dokumentationen en viktig del. Lagen kräver att man ska kunna visa att man uppfyller alla krav. Om man inte kan det så är detta ett lagbrott i sig. Man måste alltså inte ha blivit hackad eller ha slarvat bort ett USB-minne med kundregistret på för att bryta mot lagen och därmed riskera straffavgifter. Det räcker att inte ha dokumenterat sitt säkerhetsarbete eller att inte ha gjort skriftliga riskanalyser.

(Jag vet att du vill sluta läsa nu men det vore inte smart. Hämta lite kaffe och rensa huvudet. Det här är inte så jobbigt som det låter.)

Behandlingsförteckning

Detta är vad som i dagligt tal ofta kallas ”registerförteckning”. Under gamla lagen, PuL, så hade Sverige ett undantag som innebar att vi inte behövde räkna med personuppgifter på papper. Därför blev det naturligt att kartlägga vilka dataprogram man hade där personuppgifter fanns med. Nu, under GDPR, är det lite mer omfattande arbete som krävs.

Så här står det i Artikel 30:

” Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. …”
– Artikel 30

Om en besökare köper något i en webbshop så går det mesta automatiskt och därmed är behandlingen ”Köp” avklarad genom att man dokumenterar vad nätbutiken gör. Men om någon vill reklamera eller ångra sig, då kanske man har manuella rutiner för att hantera det. Ofta kan man säga att en rutin = minst en behandling och det är dessa som ska dokumenteras i en behandlingsförteckning.

Kommentar:  Om ni har ett systemregister så är ni en bra bit på väg men jobbet är inte klart innan ni gått igenom de rutiner där personuppgifter behandlas och förtecknat dem som inte täcks av systemregistret.

Risker och Konsekvensbedömning

Lagen säger att man ska välja säkerhet i förhållande till risk. Man ska dokumentera sina avvägningar, också för att visa att man insett var risk kan finnas.

Det gäller till exempel de behandlingar som utförs med Intresseavvägning som grund. Dessa ska dokumenteras med beskrivning av risk och möjlig skada samt vilka fördelar verksamheten får av behandlingen. Man ska också beskriva hur man resonerat när man gjorde avvägningen.

Kommentar: Glöm ”finspråket”. Det viktiga är att man beskriver så nära verkligheten som möjligt. I enkla fall kan det vara utdrag från mötesprotokoll där man diskuterat frågan. Lagen är till för att skydda de registrerade och därför är innehållet viktigare än formen.

Utbildning

Alla som jobbar i verksamheten ska ha kunskap om dataskydd. Det betyder inte att man måste skicka alla på kurs, ibland kan det räcka att man har en intern genomgång på t ex ett månadsmöte en gång om året.

En del kan behöva djupare kunskap och det är viktigt att beskriva hur man ser till att alla har den kunskap som behövs för just deras uppgifter. Det kan vara genom kurser eller bara genom att läsa informationsmaterial från Datainspektionen och andra. Dokumentationen bevisar att man säkrat kunskapsnivån.

Kommentar: Om du anteckna att du läst den här artikeln så är det en liten detalj men den visar att verksamheten investerar tid i att hålla kunskapen vid liv.

Till slut – ett par viktiga saker ni säkert redan gjort

Intern policy

Ni bör ha en policy också för internt bruk. Den på webben säger inte så mycket om hur man ska vara en god medarbetare.

Avtal med partners

Biträdesavtalen är så klart på plats. Inga personuppgifter lämnar verksamheten utan att vara skyddade av avtal.

 Lästips: Personuppgiftsbiträdesavtal & GDPR

Avslutning
Jag började skriva den här texten och tänkte ha e-handel i fokus men insåg snabbt att de frågor som många behöver följa upp gäller ”alla”. Vi har nytta av att fundera kring de här delarna av dataskyddet och GDPR, vi sitter alla i samma båt, och jag hoppas att mitt försök att hjälpa till att ro kan vara till nytta.

Lev ut din passion

Här är bokföringsprogrammet för dig som driver företag eller som har en helt-fantastisk-affärsidé-du-måste-förverkliga-nu. Bokföringen puttrar på tryggt och säkert i bakgrunden och skapas av sig självt, simsalabim.

Visma eEkonomi

Lev ut din passion