Anpassa din e-handel till GDPR

Den främsta förändringen som kommer att märkas för dig är att du tvingas till att veta vilka uppgifter du har lagrat om dina kunder. Du ska även kunna redogöra varför du har sparat dem, vad du gör med dem (på dataskyddsspråk vilka behandlingar du utför), vilken rättslig grund du baserar insamlandet och behandlingen på, samt hur länge de sparas. Du ska också kunna tala om vilka andra personer och organisationer du delar dessa uppgifter med. Allt detta måste du informera dina kunder om!

Du ska också kunna leverera historik på deras samtliga transaktioner efter förfrågan (s.k registerutdrag), och även kunna tillgodose deras önskemål att få sina uppgifter rättade om de är fel och att bli bortglömda, dvs helt raderade ur dina system och register. Dataportabilitet ska även det kunna erbjudas. Det innebär att kunden ska kunna ta med sig sina uppgifter och stoppa in dem i annat system om de vill. Det är dock knappast något som den normala kunden kommer att fråga efter i en vanlig ehandel. Men ändock så har kunden laglig rätt till det så möjligheten måste finnas.

Det säger sig självt att för att klara av allt detta så är det en del saker du behöver göra.

Informera om GDPR och utbilda alla berörda i organisationen

Alla på företaget som berörs av GDPR behöver få information om den nya lagen och de förändringar som behöver göras för att uppfylla alla krav och skyldigheter som företaget har. När ni tagit fram rutiner bör alla i företaget få ta del av dessa så att man vet vad som gäller. Det är också bra om ni tar fram en ansvarig i organisationen för ert GDPR arbete, som alla kan vända sig till med frågor och som håller i arbetet och ser till att det faktiskt blir gjort. För ett enmansföretag är det här såklart inget konstigt, men börjar man vara några stycken så är det lätt hänt att saker ramlar mellan stolar, eller att man tror att inte alla berörs.

Kartlägggning av Personuppgifter

För att kunna göra allt annat behöver du börja med att kartlägga vilka personuppgifter du hanterar och skapa ett register över dem. Registret bör innehålla följande:

  • Namn och adress till Dataskyddsansvarig. Det är ni som företag som samlar in uppgifterna som är datskyddsansvarig
  • Eventuellt dataskyddsombud ( de flesta ehandlare kommer troligen inte behöva ett sådant.)
  • Kategori av registrerad – exempelvis kund
  • Kategori av personuppgift- exempelvis namn, epost, telefonnr, ipnumer osv
  • Syfte till sparandet / behandling av uppgifterna – exempelvis bokföring, kunna fullgöra åtaganden vid köp osv
  • Laglig eller rättslig grund till behandlingen – exempelvis bokföringslagen, konsumentköplagen, berättigat intresse, samtycke osv
  • Kategori av mottagare av personuppgift – vart sparas personuppgifterna- exempelvis ehandelssystem, affärsystem m.m.
  • Personuppgiftsbiträde – vem annan delar ni uppgifterna med , exemplevis bokföringsbyrå, unifaun, 3pl företag, posten
  • Lagringstid – hur länge sparar ni uppgifterna
  • Eventuella tekniska skyddsåtgärder för uppgiften
  • Eventuella organisatoriska skyddsåtgärder för uppgiften

Tänk på att samma uppgifter kan användas till olika behandlingar exempelvis köp, utskick av marknadsföring, bokföring, för att kunna hantera reklamationer, för att kunna ge support m.m. Alla dessa behandlingar bör finnas med i registret och den lagliga grund du stödjer just de behandlingen på, samt den lagringstid just de uppgifterna har.

Så här säger dataskyddsinspektionen

”Enligt dataskyddsförordningen är både personuppgiftsansvariga och personuppgiftsbiträden skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen. ”

Kartlägg och Identifiera risker

När ni kartlagt vilka personuppgifter ni hanterar behöver ni se över riskerna med detta. Vad finns det för risk för att någon obehörig kan komma åt uppgifterna? Vart finns bristerna? Vart kan läckor uppstå? Vad gör ni för att förhindra detta? Här behöver ni titta både på den tekniska och den manuella hanteringen av personuppgifter. Allt ifrån system till mailhantering, till pärmar och postitlappar ska funderas över, och eventuella risksituationer ska täppas till så gott det går.

Informera era kunder

Du måste alltid informera dina kunder om vilka uppgifter du registrerar om dem och varför. Det räcker i merparten av fallen med att den registrerade delges information att man har tillgång till uppgifterna. I informationen skall även personens rättigheter finnas med, såsom:

  • Varför man har uppgifterna
  • Vilken typ av uppgifter man registrerar
  • Vilka som har rätt att använda dem (speciellt om man lämnar ut till tredje land)
  • Hur länge man har uppgifterna innan man gallras bort
  • Att man har rätt att raderas ur systemen (med vissa begränsningar)
  • Rätt att klaga till tillsynsmyndighet
  • Rätt att få reda på vart informationen har kommit, om man inte registrerat dem själv
  • Om någon typ av automatiskt beslutsfattande görs på min data.
  • Rätt att få ett utdrag av all information som man har.

Enklast är att göra det genom att skriva en personuppgiftspolicy som läggs på en egen sida i er webbshop. Den ska vara enkel att hitta och gå att komma åt från alla sidor på sajten. Läs mer här om hur du skriver en personuppgiftspolicy

Se till att det finns ett Personuppgiftsbiträdesavtal

Den som samlar in personuppgifter och lagrar dem är personuppgiftsansvarig. Som ehandlare är du personuppgiftsansvarig. De som hanterar/behandlar personuppgifter åt dig kallas för Personuppgiftsbiträde.

I dataskyddsförordningen definieras rollerna så här:

personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter

personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

Som personuppgiftsansvarig är det du som har ansvar över uppgifterna du samlat in, du behöver därför ett ha avtal med den som du delar dem med för att veta att de hanteras i enlighet med GDPR. Detta kallas för personuppgiftsbiträdesavtal.

Du behöver ha ett personuppgiftsbiträdesavtal med alla de som hanterar personuppgifter åt dig. Vanliga exempel är bokföringsbyråer, affärsystem, plattformsleverantörer, frakthanterare, sökmotorer, olika tredjepartstjänster för sök, konverteringshöjande åtgärder som lämnade varukorgar, osv. Oftast har företagen redan tagit fram sådana, som du bara kan skriva på men skulle de inte finnas måste du ta fram ett och se till att personuppgiftsbiträdet skriver på.

Kontrollera att du kan göra de saker kunderna har rätt till

Med GDPR följer några rättigheter för dina kunder. Det viktigaste är:

  • Rätten till information
  • Rätten att få felaktiga uppgifter rättade
  • Rätten till registerutdrag
  • Rätten att bli bortglömd
  • Rätten till begränsning av behandling
  • Rätten att göra invändningar mot behandling
  • Rätten till dataportabilitet

Du måste kontrollera att de system du använder klarar av att erbjuda verktyg för detta, så att du inte står där senare när kunder kommer och vill bli bortglömda och inte kan ta bort dem ur systemen, eller ge dem registerutdrag, eller vilken rättighet de nu vill nyttja. Det är alltid ditt ansvar att se till att du kan följa lagen, så att säga till en kund som vill bli bortglömd eller dataprortabiliterad ” Nej tyvärr jag kan inte göra det för systemet kan inte” duger inte. Du måste se till att det går.

Kodmyran Commerce 6.0 stödjer dessa rättigheter, så som kund till oss kan du ta det lugnt kring detta gällande de personuppgifter som finns hos oss.

Fundera över om du behöver Dataskyddsombud

Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.

Alla företag behöver inte ha detta, men företag som regelbundet och systematiskt hanterar stora mängder personuppgifter eller känsliga personuppgifter ska ha ett sådant. Större ehandlare kan behöva ha ett sådant medan minde knappast behöver det. Ni som ska ha ett dataskyddsombud i era organisationer ska skicka in kontaktuppgifterna till dataskyddsombudet till Datainspektionen.

Rutiner för gallring av uppgifter

Du behöver fundera över hur länge uppgifter ska sparas och skriva rutiner för när de ska tas bort, och därefter även se till att rutinerna efterlevs

Rutiner vid incidenter

Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade. Rutiner för hur detta ska gå till måste tas fram.

Rutiner för eposthantering

Ofta hanterar man även personuppgifter i epost fast man tänker inte på det. Därför bör man tänka igenom och skapa rutiner även för den epost som kommer från kunderna. Det är många gånger också personuppgifter där som ordernummer, kundnummer, osv. Kom alltså också ihåg att det ska stå med i registret över behandlingar.

GDPR-arbetet fortsätter efter 25 maj.

Arbetet med GDPR tar inte slut i och med den 25 maj. Det är snarare då det börjar. Teknik och regler ändras snabbt, så det gäller att ha ständig koll på att företagets rutiner och arbetssätt hänger med förändringarna. Det gäller att man håller koll och att man ständigt uppdaterar rutiner och policys vid förändring. Utse en ansvarig även för detta.

Ja tack, jag vill ha checklistan!

Vi är lite jobbiga och ber om några uppgifter först, som motprestation...

Vi använder endast dina kontaktuppgifter du gav oss för att kontakta dig avseende våra produkter och tjänster.
Läs mer i vår integritetspolicy