Ingen har nog missat EU:s nya dataskyddslag. Men vilka krav ställer GDPR egentligen på dig som e-handlare? Här är 5 viktiga lärdomar från Advokatfirman Vinge och konsultbolaget Search Integration.
Tisdagen den 31 oktober gästades E-commerce Park av Emelie Svensäter Jerntorp, advokat på Advokatfirman Vinge, och Sara Clifton, grundare och vd på konsultbolaget Search Integration. Under två timmar pratade de om den nya dataskyddsförordningen, GDPR, och vad den innebär för alla e-handlare där ute.
Här är en kort summering av vad de gick igenom och några av de lärdomar vi på parken tar med oss från föreläsningen:
Vad är GDPR?
GDPR är en EU-förordning som träder kraft den 25 maj 2018. Förordningen kommer gälla som lag i alla medlemsländerna och reglerar hur företag och organisationer får behandla personuppgifter.
Vad räknas som personuppgifter?
GDPR gäller enbart personuppgifter, dvs all information som är kopplad till en identifierbar person. Det kan vara personnummer, telefonnummer, kontonummer, bilder, samtalshistorik, taggar, GPR-punkter och resehistorik m.m.
Lagen gäller inte företagsuppgifter som organisationsnummer, växelnummer eller info-mejladresser.
Vad räknas som behandling av personuppgifter?
I princip allt som innebär att du och ditt företag kommer i kontakt med personuppgifter räknas som behandling. Med andra ord: insamling, registrering, lagring, utlämning, bearbetning, framtagning, användning, överföring och radering. Lagen gäller behandling som sker på automatisk väg (exempelvis i en dator).
1. Du – och dina leverantörer – är ansvariga
De som är ansvariga att se till att GDPR följs är den personuppgiftsansvariga och personuppgiftsbiträdena. Och trots att det låter som personer, så handlar det om företag: den ansvariga är det företag som “äger” uppgifterna och bestämmer hur de ska användas, medan biträdena är de företag som behandlar uppgifterna. Det innebär att ditt företag till exempel sannolikt är personuppgiftsansvarig, medan din e-handelsplattform och betalleverantör är personuppgiftsbiträden.
2. Lagen gäller även personuppgifter i t.ex. mejl
I den tidigare – och ännu så länge gällande – lagstiftningen kring personuppgifter finns det en missbruksregel, som innebär att personuppgifter som behandlas i ett ostrukturerat material inte omfattas. Men i och med GDPR försvinner denna regel, vilket gör att personuppgifter i exempelvis mejl omfattas av den nya lagen.
3. Du behöver inte ha samtycke till allt
När du först hör eller läser om GDPR är det lätt att få intrycket av att du måste ha samtycke från allt och alla för att använda någons personuppgifter. Men så är det inte: samtycke är bara en av flera rättsliga grunder som ger dig “tillåtelse” att behandla en persons uppgifter. De viktigaste andra grunderna är:
- Avtal. Du får till exempel behandla anställdas uppgifter för att kunna betala ut lön m.m.
- Rättslig förpliktelse. Du får behandla uppgifter om det är nödvändigt för att uppfylla en lag (t.ex. bokföringsskyldigheten i bokföringslagen).
- Intresseavvägning. Du får även behandla en persons uppgifter om det är nödvändigt för bolagets berättigade intressen och personens intresse av att skydda sina personuppgifter inte väger tyngre än bolagets intresse.
4. Google Analytics kan råka samla in personuppgifter
Som du förmodligen vet så är Google Analytics ett anonymt trackingverktyg för att analysera trender och beteenden i din e-handel. Tanken är att det ska vara på en generell nivå och inte vara bundet till enskilda individer. MEN. När Search Integration nyligen genomförde tester av 100 olika företag såg de att 1 av 4 webbplatser samlade in personuppgifter utan att veta om det (!). Se därför till att kolla igenom hur din Google Analytics är uppbyggd och “felsök” efter exempelvis mejladresser och lösenord för att inte råka bryta mot GDPR av misstag – något du kommer kunna göra själv med Search Integrations nya verktyg.
5. Det finns krav på ändamålsbegränsning, uppgiftsminimering och lagringsminimering
Enligt GDPR måste du alltid ha ett specifikt ändamål för de personuppgifter som du samlar in och får sedan bara behandla uppgifterna utifrån det syftet. Dessutom kräver lagen att du inte ska samla in eller behandla mer personuppgifter än du behöver och inte heller lagra uppgifterna längre än nödvändigt.
Det var bara några av alla saker som togs upp under föreläsningen med Vinge och Search Integration, men förhoppningsvis fick du lite inspiration till att komma igång med förberedelserna inför maj 2018! Och för att få information om föreläsningar eller andra evenemang likt GDPR-eftermiddagen, följ E-commerce Park of Sweden på Facebook.
Notera: Denna text är granskad av advokaten Emelie Svensäter Jerntorp från Vinge, men skriven av E-commerce Parks redaktör och ska inte ses som juridisk rådgivning – varje rättslig fråga måste bedömas individuellt och utifrån lagtext. Behöver ditt företag vägledning och hjälp, kan ni kontakta Vinge eller någon annan advokatbyrå.