Ni måste informera era kunder om:
- Vilka uppgifter du sparar om dem,
- Om uppgifter om dem som kommer från tredje part sparas, exempelvis om du använder adressuppslagningstjänster och liknande
- Varför, dvs av vilken anledning de sparas, (dvs hur de behandlas på dataskyddsspråk),
- På vilka rättsliga grunder du stödjer behandlingen, ( kan vara lagkrav, avtal, samtycke, intresseavägning m.m.
- Hur länge de sparas
- Vilka deras uppgifter kan komma att lämnas ut till eller lämnas ut till, exempelvis fraktbolag, betaltjänster och liknande. Ni måste informera om vilka som har tillgång till deras uppgifter
Tänk på att ni förmodligen sparar uppgifter för flera typer av behandlingar, exempelvis köp, utskick av marknadsföring, bokföring, för att kunna hantera reklamationer, för att kunna ge support m.m. Alla dessa behandlingar bör finnas med i informationen och den lagliga grund du stödjer just de behandlingen på, samt den lagringstid just de uppgifterna har.
Bra är också att man informerar om hur kundernas personuppgifter skyddas.
Ni måste också informera era kunder om vilka rättigheter de har:
- Att få registerutdrag
- Att få sina uppgifter rättade om de är felaktiga
- Att få bli bortglömd / raderad
- Att de har rätt till dataportabilitet
- Att de har rätt att invända mot behandling som baserar sig på intresseavvägning eller berättigat intresse
- Att de kan återkalla sitt samtycke för behandling av uppgifter om ni använder samtycke som behandlingsgrund
- Att de har rätt att inge eventuella klagomål angående behandling av sina personuppgifter till Datainspektionen
Informerar om allt detta gör ni enklast genom att göra en separat sida på er sajt där denna information finns som är tydlig och lätt att hitta från alla sidor på sajten.
Hur godkänner kunden lagringen/behandlingen av era uppgifter
Något som förmodligen kommer att bli vanligt och som bör vara i enlighet med GDPR är att man har en personuppgiftspolicy/Integritetspolicy på en separat sida där denna information finns. Den bör länkas tydligt på förstasidan, typ i footer , header eller liknande så att kunden enkelt hittar den.
Det bör även finnas en kort sammanfattning av den i era köpvillkor med en länk till den sidan så att man enkelt kan läsa. I köpvillkoren bör också stå att kunden tagit del av din integritetspolicy
När kunden då godkänner köpvillkoren i kassan har den också tagit del av integritetspolicyn ( i alla fall ska de haft möjlighet till det, och i en bästa av världar har kunden läst den…)
Vår plattform Kodmyran Commerce 6.0 är anpassad så att godkännandet av köpvillkoren sparas tillsammans med köpvillkoren som de såg ut vid ordertillfället. Anledningen till att vi valt att göra så är att vi anser att den rättsliga grunden till en stor del av behandlingen av en ehandlares personuppgifter är just köpeavtalet. Därför får inga missförstånd finnas kring vad som är godkänt och när.
Tips till er som är Kodmyrankunder när ni skriver er personuppgiftspolicy och jobbar med GDPR:
Följande lagras hos oss i vårt system:
I kundregistret:
- Namn, adress, personnummer, organisationsnummer, telefonnummer samt e-post
- Geografisk information
- IP-adress, enhetsinformation, logginformation
- Orderlista
- Eventuell notering kan innehålla personuppgifter
I orderregistret:
- Kundnummer
- Namn, adress, telefonnummer samt e-post (observera att både leveransadress och fakturaadress kan finnas
- Geografisk information
- IP-adress, enhetsinformation,
- Betalreferens
- Köpta varor
- Eventuell notering kan innehålla personuppgifter
I bevakningsregistret:
- e-post
Annat som är bra att tänka på är:
Tjänsten återfå lämnad varukorg som vi erbjuder. Den lagrar epostadress och varor lagda i varukorgen (den s.k. preordern). Den sparas i 3 månader efter den blivande kunden lagt varor i korgen. Därefter rensas den
Bevakningar av produkter, den tjänsten lagrar bara epostadressen och den tas bort när varan kommer åter i lager igen.
För bägge dessa lagringar kan man använda sig av den rättsliga grunden Berättigat intresse eller intresseavvägning.
I alla våra grundmallar finns sidan för personuppgiftspolicy upplagd och länkad från förstasidan. Det är bara att fylla i den