Hur GDPR-säkrar jag min e-handelssajt?

E-handel
Foto: Claudio Bresciani/TT

Fråga experten Jag driver en e-handelssajt och undrar vad mitt företag behöver göra med tanke på den nya dataskyddsförordningen, GDPR. Måste vi ha långa avtalstexter i varje nyhetsbrev som vi skickar ut till kunderna?

Johanna Wallnäs, Dataskyddsombud på Svenskt Näringsliv och konsult på Accndo.
Foto: Jan Anjam/Studio Tabild
Johanna Wallnäs, Dataskyddsombud på Svenskt Näringsliv och konsult på Acando.

Företag som driver e-handel på internet är särskilt beroende av att samla in och hantera personuppgifter för att kunna driva sin verksamhet. E-handelsföretag behandlar inte bara personuppgifter vid utskick av nyhetsbrev utan även vid beställningar, köp och kundserviceärenden. I alla dessa situationer måste företaget försäkra sig om att det följer dataskyddsförordningen, GDPR.

Ett antal frågor behöver besvaras: Vilka personuppgifter har företaget och för vilket ändamål, var och hur sparas personuppgifter som företaget behandlar och om företaget för data till tredje part. Dessutom måste e-handelsföretag fundera över hur säkra systemen är och hur företaget hanterar eventuella incidenter.

Det finns ett antal olika ”rättsliga grunder” som e-handelsföretag kan använda sig av för att hantera personuppgifter med stöd av GDPR. De viktigaste är avtal, exempelvis kundavtal och leverantörsavtal, samtycke, intresseavvägning och rättslig förpliktelse, exempelvis bokföringslagen.

E-handelsföretag bör även se över sina köp- eller medlemsvillkor. En viktig grund i GDPR är att företag behöver informera mera. När e-handelsföretag samlar in uppgifter om en person så måste företaget informera personen och i GDPR finns en lång lista över vilken information som ska ges. Företaget behöver därför ta fram en integritetspolicy som sedan kommuniceras till kunderna. I den ska företaget beskriva vilka personuppgifter som behandlas, varför de behandlas, vilka som kan ta del av uppgifterna, hur längre uppgifterna lagras och vilka rättigheter den registrerade kunden har. Policyn bör företaget publicera i e-butiken och företaget kan även hänvisa till den via länk i de nyhetsbrev som företaget skickar ut. E-handelsföretaget kan även hänvisa till policyn i andra medier.

Anpassningsarbetet till GDPR innebär sammanfattningsvis en hel del arbete för e-handelsföretag för att företaget ska behandla personuppgifter på ett korrekt sätt. Mitt tips är att ni ser arbetet med att följa GDPR som ett sätt att stärka er konkurrenskraft. Det finns tydliga exempel på företag som har boostats av GDPR, vilket kan ses som en naturlig utveckling allt eftersom medvetenheten ökar kring GDPR.

Johanna Wallnäs

Johanna Wallnäs