Den 25 maj 2018 så kommer den nya EU-dataskyddsförordningen att gälla som lag i Sverige. En lag som ersätter den tidigare personuppgiftslagen (PUL). Vi kommer att titta närmare på den nya lagen framöver, och då gå igenom vad e-handlare behöver ta till för åtgärder.
Först tänkte vi dock höra med e-handlarna hur långt de har kommit i arbetet med de nya krav som lagen ställer. Vi skickade ut några frågor till ett tjugotal e-handlare, stora som små, om den nya lagen. Detta för att få veta hur långt svenska e-handlare har kommit i sitt arbete med GDPR, som lagen heter. Förkortningen står för General Data Protection Regulation.
"Förklarar varför vi tar in datan"
Tanken bakom lagen är som alltid god men den lägger en hel del arbete på företagen. Ola Walfridsson, som är vd för den relativt nystartade nätbutiken Loot Land, svarar följande när vi frågar om hur pålästa de är kring GDPR:
- Tillräckligt mycket för att veta att vi måste uppdatera våra köpvillkor och policies för att förklara varför vi tar in den informationen vi gör. Vi har dock inte så bra koll på hur detta påverkar datainsamlingen via Google Analytics, säger Ola Walfridsson.
Ola berättar att Loot Land just nu håller på att ta fram en lista på vilka uppgifter om kunderna som de samlar in och varför de gör det. Allt för att sedan kunna motivera detta i köpvillkoren.
Men även hos de större bolagen pågår febrilt arbete kring GDPR just nu. Miljardbolaget Ellos jobbar, precis som de mindre e-handelsföretagen, med att sätta sig in i den nya lagen.
- Vi är pålästa, men gör inte anspråk på att ha alla svar ännu. Vi är mitt uppe i att anpassa alla processer och system till förutsättningarna, säger Marita Björk, kommunikationschef på Ellos.
Den nya lagen handlar mycket om att ha koll på vilken data man som företag samlar in, att veta vad man gör med den, samt vara mycket transparent mot användaren - i e-handlares fall kunden - med just användningsområdena. Ola Walfridsson svarar på vad han tycker om den nya lagen:
- Svårt att säga i detta skedet. Som konsument uppskattar jag reklam som faktiskt är riktad till mig istället för generell reklam som inte intresserar mig. Sedan har vi inte kommit så pass långt i vår e-handel att vi riktar vår reklam ner på personnivå, och nu blir det nog aldrig så, beroende på hur lagen fungerar, säger Ola Walfridsson.
Komplett har eget ombud
En större e-handlare, som exempelvis Ellos eller Komplett, har förstås mycket mer resurser att lägga på förberedelser gällande den nya lagen. När vi kontaktar Ingebjørg Tollnes, Kompletts kommunikationschef, berättar hon att de har jobbat med lagen sedan en lång tid tillbaka.
- Från tidigt 2016 har vi på plats vårt eget dataskyddsombud. Hon jobbar nästan heltid med att strukturera rutiner och system som den nya personuppgiftslagen GDPR kräver. Vi har genomfört flera interna kurser för våra medarbetare och har en tät dialog med externa instanser som datatillsynsmyndigheter, säger Ingebjørg Tollnes.
Innan ni sätter kaffet i halsen så kan vi redan nu meddela att man inte måste ha en “Data Protection Officer”, som är det som Komplett pratar om. Är du tillräckligt stor eller behandlar känsliga personuppgifter är det dock enligt lagen ett krav. Stora e-handlare kommer alltså med största sannolikhet att behöva skaffa ett dataskyddsombud, vilket Komplett alltså redan har gjort. Dataskyddsombudet är tänkt att ha det övergripande ansvaret för att GDPR efterföljs.
När ni kommer i kontakt med GDPR kommer ni med stor sannolikhet att mötas av termer som “Personuppgiftsansvarig” och “Personuppgiftsbiträde”. Personuppgiftsansvarig är i e-handlarnas fall helt enkelt det egna företaget. Personuppgiftsbiträde är olika former av leverantörer som exempelvis Klarna eller DIBS, företag som behandlar dina kunders personuppgifter.
Skriftliga avtal krävs med leverantörer
Den Personuppgiftsansvarige måste ha ett skriftligt avtal med alla Personuppgiftsbiträden. Detta kommer dock inte att bli ett problem med stora leverantörer då de med största sannolikhet kommer att skicka ut färdiga avtal till dig som e-handlare. Med mindre leverantörer kan dock e-handlaren själv behöva skriva ihop ett avtal att skicka ut till dessa.
Kajsa Knapp, medgrundare av e-handeln CoolStuff, berättar för Ehandel.se att de har anlitat extern hjälp för att se över deras verksamhet.
- Vi har en konsult som vi jobbat med den senaste tiden för att gå igenom hela företaget och kartlägga vilka processer som måste ändras hos oss för att följa GDPR, säger Kajsa Knapp.
Björn Hansson, teknikchef hos e-handeln Gents, berättar att de har tagit in grundläggande information om lagen men att de ännu inte vidtagit några åtgärder. När vi frågar honom vad de tycker om lagen svarar han följande:
- Bra för konsumenten men väldigt jobbigt för företagen, det kommer att ta resurser och kräva tid som vi måste ta från annat. Det kommer förmodligen också att begränsa möjligheterna att driva trafik och framför allt att försöka få tillbaka kunder som inte handlat på länge, säger Björn Hansson.
Praktiska tolkningen av GDPR ej klar
Linnéa Wiklund, informationsansvarig på Adlibris, berättar att Sveriges största bokhandel på nätet tar hjälp av moderbolaget Bonnier när det kommer till GDPR. Adlibris har dock inte vidtagit några åtgärder ännu då företaget ser att tolkningen av lagen just nu tar form.
- Vår bild är att det fortfarande händer saker kring den praktiska tolkningen av GDPR som kommer att påverka hur vi som företag ska jobba med detta. Arbetet just nu handlar om att följa med i den utvecklingen och att kartlägga vad det innebär för oss, säger Linnéa Wiklund, och tillägger:
- Utmaningen för oss och många andra aktörer handlar om att översätta den goda intentionen till en teknisk implementation som fungerar i praktiken.
Peter Borgman är vd på det snabbväxande e-handelsföretaget JS Energi, som nyligen tog steget ut i Europa. Han har varit mycket intresserad av GDPR den senaste tiden och de håller nu på att se över alla delar av företaget. Även han ser att lagens tolkning just nu är uppe i luften.
- Den stora frågan är hur man ska hantera den befintliga datan, då olika jurister gör olika tolkningar av den frågan. Behöver man hämta in ett samtycke eller inte? säger Peter Borgman.
Om man som företag inte kan baka in behandlingen av personuppgifterna under befintliga avtal, som exempelvis köpvillkor, så kräver varje typ av behandling ett samtycke.
För e-handlare kan man exempelvis se framför sig en klickbar kryssruta för varje form av behandling, som inte faller under den behandlingen som krävs för en normal order.
Är kunderna redo?
Peter Borgman instämmer med flera andra e-handlare om att lagen generellt sett är bra men anser att frågan är ifall konsumenterna är redo för potentiella konsekvenser.
- Nackdelen är att privatpersoner inte har förstått och frågan är om de är villiga att acceptera fler medgivande, krångligare köpprocesser och sämre supportmöjligheter över tid, som lagen kommer att leda till, säger Peter Borgman.
Lagen kommer som sagt att träda i kraft den 25 maj 2018. Företag som inte följer lagen står inför potentiellt mycket stora sanktionsavgifter.
Lagen hotar med saftiga bötesbelopp
Bryter man mot lagen kan man få böter på upp till 10 miljoner euro eller 2 procent av företagets globala årsomsättning. Dessa sanktionsbelopp är dock uppenbart riktade mot de stora nätjättarna så att de inte ska kunna kringå lagen.
För man olovligt ut personuppgifter utanför EU:s gränser, eller bryter mot grundläggande krav, så ökar beloppen till 20 miljoner euro, alternativt 4 procent av omsättningen.
Straffen är alltså potentiellt saftiga och det är precis det som är tanken med dem. EU vill vara säkra på att alla tar lagen på allvar och gör sitt yttersta för att följa den. Ehandel.se kommer oundvikligen att återbesöka detta ämne i fler artiklar framöver.
