General Data Protection Regulation, dataskyddsförordningen och GDPR. Kärt barn har många namn, och i Sverige har den nya europeiska dataskyddslagstiftningen inte mindre än tre stycken. Men vad är egentligen GDPR, och vad innebär den för dig som e-handlare?
I skrivande stund gäller personuppgiftslagen (PUL) för svensk behandling av personuppgifter, men från och med den 25 maj 2018 upphävs PUL och ersätts av GDPR. GDPR är en europeisk förordning, vilket innebär att den blir direkt gällande i alla EU:s medlemsländer den dag den träder i kraft. Och den medför ett par förändringar som är viktiga att känna till.
Till att börja med ställer den hårdare krav på de som behandlar personuppgifter, genom att bland annat kräva att vissa åtgärder vidtas innan en särskilt riskfylld behandling inleds och att alla inträffade säkerhetsincidenter rapporteras till den blivande Integritetsskyddsmyndigheten (före detta Datainspektionen).
En annan nyhet är att individers rättigheter stärks, till exempel genom att en helt ny rättighet – dataportabilitet – införs vilken innebär att man i vissa fall har en rätt att få ut sina personuppgifter i ett allmänt använt format för att sedan kunna överföra dem till en annan tjänst.
För det tredje har det införts en ny möjlighet för Integritetsskyddsmyndigheten att utdöma en så kallad sanktionsavgift i det fall någon bryter mot GDPR. Avgiften – vars storlek ska bestämmas bland annat utifrån överträdelsens allvar, om den skett med avsikt eller inte och vilka åtgärder som vidtagits för att minska skadan – kommer som mest att kunna uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen (beroende på vilket som är högst). Med andra ord kan en allvarlig överträdelse av GDPR innebära att ett företag tvingas gå i konkurs. Och inte nog med det – en rätt för registrerade att begära skadestånd införs också, vilket på många sätt är en större risk än de nya sanktionerna eftersom Integritetsskyddsmyndigheten har begränsade resurser.
Så vad behöver du som e-handlare känna till? Först och främst bör sägas att de krav som gäller för e-handel idag kommer att fortsätta gälla även efter den 25 maj. Men ditt företag måste fortfarande följa GDPR:s krav. Här kommer några tips inför omställningen:
Vilka processer finns inom organisationen där ni på något sätt behandlar personuppgifter? Det kan vara allt från att ni för ett register i en pärm till en stor databas fylld med uppgifter om användare i ett system. Tänk att alla former av manuella register och system som innehåller personuppgifter ska tas i beaktande – och inte bara lagringen av personuppgifter utan även hanteringen av dem utanför system och register.
Behandlas personuppgifterna för berättigade ändamål snarare än för att de ”kan vara bra att ha”? Bygger behandlingen på en laglig grund, till exempel avtal, rättsligt krav eller samtycke? Utförs några extra riskfyllda behandlingar (till exempel profilering av individer), och i så fall, har det gjorts någon riskanalys?
Personuppgifter ska raderas när de inte längre behövs, men om det till exempel finns lagkrav på att de måste sparas en viss tid så gäller det. Ett exempel är fakturor, vilka enligt bokföringslagen ska sparas i sju år (och enligt preskriptionslagen kan behöva sparas i upp till tio år). Finns det ingen laglig grund för att spara uppgifterna ska de raderas eller åtminstone anonymiseras. Och kom ihåg att personuppgifter bara är helt anonyma om de inte längre går att koppla till en individ!
Det rör sig allt som oftast om systemleverantörer, men kan även vara andra företag som levererar tjänster där personuppgiftsbehandling kommer i fråga. Dessa parter är personuppgiftsbiträden, och därför måste ni skriva särskilda avtal med dem (alternativt uppdatera allmänna villkor bilagda till avtalet) för att säkerställa att den behandling de utför åt er sker på ett lagligt och korrekt sätt. Om ni redan har sådana avtal, se över dem en gång till så att de överensstämmer med de nya lagkraven. Tänk på att det även ska skrivas biträdesavtal med eventuella juridiska personer som ni behandlar personuppgifter åt.
De personer vars uppgifter du behandlar har vissa rättigheter, till exempel till utdrag, rättelse och – i vissa fall – radering av uppgifterna (om det inte finns en laglig grund att spara dem, se ovan). För att begäranden om åtgärder ska kunna ske på ett snabbt och smidigt sätt krävs tydliga rutiner för hur ansvarig personal ska gå tillväga, kanske även att ni implementerar funktioner så att individen kan utöva sina rättigheter på egen hand. Detta kan göras genom till exempel en flik där en kund kan komma åt sin kontoinformation och orderhistorik. Ni behöver även formulera en integritetspolicy om hur ni behandlar personuppgifter som ni kan lägga upp på er webbplats.
Rutiner och processer är bara till hjälp om det finns människor bakom som ser till att allt fungerar. Därför måste de anställda utbildas i GDPR, informationssäkerhet i stort och hur de ska tänka när de möts av GDPR i sitt arbete.
Den här listan skrapar så klart bara på ytan, men den är en bra grund att utgå från. Känner du att ditt företag behöver mer hjälp så finns vi på
SiteDirects systerbolag
inTechrity och kan stödja er i arbetet eller sköta det helt åt er. (Psst! Du som är kund hos SiteDirect har dessutom rabatt på flera av våra erbjudanden!)
---
SiteDirect är en innovativ plattform för webb och e-handel, en försäljningsplattform som är skalbar, komplett, enkel och flexibel att jobba med.
Läs mer om GDPR-funktioner i SiteDirectplattformen
SiteDirect GO är en hel svit kraftfulla paket för att synas och skapa försäljning på nätet, från webbplats till avancerad e-handel - allt du behöver för att ditt företag ska kunna växa, oavsett var du befinner dig idag.
Läs mer om SiteDirect GO
