GDPR för ehandlare

Vad innebär GDPR för webbhandlare?

Den 25 maj 2018 börjar en ny lag, GDPR att gälla. Det är en gemensam lag över hela Europa, som skall göra att samma regler gäller överallt i hela Europa. GDPR ersätter personuppgiftslagen, som har varit Svensk lag sedan 1988. Med GDPR får alla som organisationer ett större ansvar på att ha kontroll på sina kunders uppgifter. Med lagen följer ett antal skyldigheter för dig som webbhandlare och krav på att leva upp till rättigheter som kunderna har.

Ansvaret för detta kommer alltid att ligga på dig som enskild handlare oberoende av vilket system ni använder er av. Sannolikt har du som ehandlare också inte bara en ehandelsplattform utan många olika system som kan ha integrerats  där du samlar personuppgifter. Det innebär att någon av dina leverantörer kan inte ta helhetsansvar för dina personuppgifter, utan ansvaret faller helt på dig som handlare, eftersom det är du som samlar in personuppgifterna, oavsett vart de förvaras.

Därför är det viktigt att ni själva lär er om GDPR så att ni blir medvetna om era skyldigheter och att ni skapar rutiner för att följa GDPR i ert företag. Det är också viktigt att ni säkerställer att de leverantörer ni har tar arbetet med GDPR och dataskydd på allvar, så att de kan hjälpa er i era rutiner för att följa GDPR på bästa sätt.

Den främsta förändringen som kommer att märkas för dig är nog att du tvingas till att veta vilka uppgifter du har om dina kunder och varför du har dem. Du måste kunna svara på frågor från kunder om vilka uppgifter du har om dem samt kunna leverera historik på deras samtliga transaktioner efter förfrågan (registerutdrag). Du måste även kunna tillgodose deras önskemål att bli bortglömda, dvs helt raderade ur dina system och register.

Du måste alltid informera dina kunder om vilka uppgifter du registrerar om dem och varför. Det räcker i merparten av fallen med att den registrerade delges information att man har tillgång till uppgifterna. I informationen skall även personens rättigheter finnas med, såsom:

  • Varför man har uppgifterna
  • Vilken typ av uppgifter man registrerar
  • Vilka som har rätt att använda dem (speciellt om man lämnar ut till tredje land)
  • Hur länge man har uppgifterna innan man gallras bort
  • Att man har rätt att raderas ur systemen (med vissa begränsningar)
  • Rätt att klaga till tillsynsmyndighet
  • Rätt att få reda på vart informationen har kommit, om man inte registrerat dem själv
  • Om någon typ av automatiskt beslutsfattande görs på min data.
  • Rätt att få ett utdrag av all information som man har.

Här gäller det att vara uppmärksam på att man lagrar uppgifter på för många olika syften inom en organisation. tex att en tjänst kan ha en viss lagringstid pga. t.ex. bokföringslagen medan en annan tjänst kan man bara lagra uppgifterna kortare perioder. Grundregeln är ju att bara lagra data så länge som man har behov av det.

Prata med dina leverantörer om hur deras system hjälper dig i de processerna, men var medveten om att även om du har en leverantör för din ehandel så har du som handlare fortfarande ansvaret för att skapa rutiner och processer i din verksamhet så att lagen följs.

DU och ingen annan måste alltid kunna svara på hur du hanterar kunduppgifter, t.ex. om du blir anmäld, kan Datainspektionen be dig om ett bevis på hur du hanterar kundernas uppgifter. Detta måste du då enligt lag kunna svara på.  GDPR föreskriver stora böter till de som inte kan leva upp till lagen. Eventuella sanktioner och påföljder kommer att förmildras till de som kan påvisa att de tar arbetet med GDPR på allvar och kan visa upp hur man planerar att leva upp till förordningen fortsättningsvis.

Mer information om GDPR finns att läsa på datainspektionens hemsida (http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/) eller på http://gdpr.se