GDPR E-handel

GDPR vid e-handel – information till dig med webshop

EU:s allmänna dataskyddsförordning ställer hårda krav på hur företag och andra organisationer hanterar personuppgifter och annan känslig information om såväl kunder som de egna anställda.

Driver du företag inom e-handel och känner dig osäker på hur du ska förhålla dig till GDPR och vad du bör tänka på? Nedan finner du en informativ guide till vad dataskyddsförordningen är och vilka krav den ställer på dig som säljer produkter eller tjänster via webshop.

Vad är GDPR?

GDPR är förkortning för General Data Protection Regulation, vilket är det engelska namnet på den lag som på svenska heter Dataskyddsförordningen. Lagen trädde i kraft i maj 2018 och gäller inom hela EU.

För företag verksamma inom e-handel är GDPR en särskilt viktig lag att hålla koll på då försäljning över nätet automatiskt innebär frekvent hantering av känsliga kunduppgifter.

Syftet med GDPR är att skydda enskilda individers grundläggande rätt till integritet, privatliv och frihet – inom vilka personuppgifter är en viktig del. I takt med att vårt samhälle blir allt mer digitaliserat och att större mängder information överförs och lagras digitalt, ökar riskerna för att känsliga uppgifter blir felaktigt exponerade.

GDPR sätter ett strikt ramverk för hur personuppgifter får hanteras och lagras. Dels i syfte att minimera risken för att de hamnar i orätta händer – exempelvis vid ett dataintrång – men också för att skydda varje människas rätt till ett privatliv.

Vad räknas som personuppgifter?

Till personuppgifter räknas all information som kan användas för att identifiera en människa – till exempel:

  • Namn
  • Personnummer
  • Adress
  • Telefonnummer
  • E-postadress
  • Fingeravtryck
  • Foto eller video
  • Ljudinspelning
  • IP-adress

GDPR inom e-handel: Vilka skyldigheter har du som företagare?

Försäljning av produkter och/eller tjänster över nätet innebär oundvikligen behandling av kunders personuppgifter. För att kunna skicka paket med varor en kund beställt måste du exempelvis ha dennes namn och adress.

Som e-handlare med en webshop blir du personuppgiftsansvarig gentemot de som handlar av dig, vilket inbegriper en del skyldigheter. Inom ramarna för GDPR har du först och främst endast rätt att behandla personuppgifter om det finns sakliga och legitima skäl för det. Vidare måste du också kunna garantera att det görs på ett säkert sätt.

Mer ingående rör dina skyldigheter framförallt information och dokumentation. Det vill säga hur du informerar dina kunder om hantering av personuppgifter, samt hur du dokumenterar de personuppgifter du tar del av.

Detaljerad information om detta finns förstås att läsa i lagtexten för GDPR. För att ge dig en bra överblick har vi nedan sammanställt det viktigaste du behöver känna till om dina skyldigheter gällande information och dokumentation.

Information om behandling av kunders personuppgifter

Som e-handlare och därmed personuppgiftsansvarig gentemot kunder är du skyldig att tillhandahålla tydlig information om:

  • I vilket syfte du behandlar personuppgifter
  • Vem den juridiska person som behandlar uppgifterna är – det vill säga namnet på ditt företag
  • Vem som kommer ta del av uppgifterna – exempelvis en extern part
  • Kundens rättigheter beträffande insamling av personuppgifter
  • Hur länge du kommer att spara uppgifterna och varför
  • Vilket juridiskt stöd du har för att behandla personuppgifter

Enligt GDPR är du förpliktigad att tillhandahålla ovanstående information på ett tydligt och lättbegripligt sätt. I korthet innebär det att informationen ska vara lätt att hitta på webbsidan, samt enkel att förstå.

Vid e-handel är det viktigt att komma ihåg att informationen ska delges kunden innan ett köp genomförs. Således kan det vara lämpligt att placera den vid steget för kassa. Har du en komplett policy som rör behandling av personuppgifter behöver du inte redovisa hela den i kassan, utan kan istället länka till den.

Dokumentation av insamlade personuppgifter

Dokumentation handlar om hur du internt tar hand om de uppgifter du samlar in om enskilda individer. Till enskilda individer räknas såväl kunder som handlar i din webshop, som eventuella anställda i ditt företag.

Vad gäller dokumentation är du som företrädare för företaget och därmed personuppgiftsansvarig, skyldig att ha en förteckning över alla de system i vilka personuppgifter behandlas – ett systemregister. Du ska också dokumentera risk- och konsekvensanalyser som gjorts gällande behandling av personuppgifter. För e-handel kan exempelvis följande system vara aktuella:

Dokumentation är en central del av GDPR eftersom du som företagare inte bara är skyldig att uppfylla alla de krav som ställs i lagen, utan även måste kunna visa hur de uppfylls.

Detta ska du tänka på som företagare med webshop

Försäljning via webshop innebär att personuppgifter kan behandlas i flera olika steg. Dels vid själva köpet, men även vid eventuella returer och reklamationer. Viktigt att tänka på är att varje steg ska dokumenteras var för sig. Som e-handlare ska du alltså ha behandlingsförteckningar för såväl köp, som reklamationer, returer och byten. Det vill säga samtliga steg där hantering av personuppgifter sker. Detta inkluderar givetvis frivillig lagring av personuppgifter i dina betallösningar.

Checklista för GDPR inom e-handel

Vi hoppas att ovanstående information kan vara till hjälp för dig som driver företag med inriktning på e-handel. Värt att tillägga är dock att GDPR förstås inte bara berör e-handlare, utan alla företag och organisationer som hanterar personuppgifter – antingen digitalt eller på papper.

För att sammanfatta det hela och göra det än mer tydligt vad GDPR innebär för dig med webshop, har vi nedan sammanställt en checklista på sådant du kan (och bör) göra för att säkerställa att kraven i GDPR efterföljs:

  • Inventera i vilka av dina system personuppgifter behandlas
  • Se över informationen om personuppgiftshantering till kunder – den måste vara tydlig och lättbegriplig
  • Upprätta en intern personuppgiftspolicy (ta gärna hjälp av en mall för GDPR-policy)
  • Utbilda eventuell personal i GDPR
  • Teckna biträdesavtal som garanterar att personuppgifter är skyddade även om de delas med samarbetspartners
  • Lösenordsskydda alla system
  • Rensa bort samtliga sparade uppgifter som det inte längre finns någon grund för att ha kvar
  • Upprätta strikta rutiner för dokumentation – vad, hur, vem, varför och när?

Avslutningsvis rekommenderar vi dig även att besöka Integritetsskyddsmyndighetens hemsida, där mer utförlig information om GDPR finns.

För vidare läsning om e-handel, återvänd till ämnessidan E-handel.

Vanliga frågor om GDPR för webshop

Vem är skyldig att följa GDPR?

Alla företag och organisationer som behandlar personuppgifter om enskilda individer - såväl kunder som anställda.

När får personuppgifter behandlas?

När det finns saklig grund för det. Företag inom e-handel får exempelvis behandla personuppgifter i samband med köp, returer och reklamationer.

Hur länge får personuppgifter sparas?

Personuppgifter får endast sparas så länge det kan bevisas nödvändigt. Hur länge det är kan variera beroende på verksamhet.

Ställer GDPR samma krav på fysiska butiker som på e-handlare?

Ja, fysiska butiker omfattas av samma skyldigheter och ansvar som e-handlare.