GDPR, fyra bokstäver som de flesta e-handlare förmodligen önskar inte hade stämplats in i vår tidsanda. Den nya personuppgiftslagen är dock ett faktum och den träder i kraft den 25 maj 2018.
I slutet av förra året besökte vi GDPR-frågan i en helgläsning där e-handlarna fick tala ut om den kommande lagen. Då var det inte många som hade börjat jobba ordentligt med GDPR-frågorna. Får några veckor sedan kontaktade vi e-handlarna igen och - av dem som svarade - så hade alla inlett arbetet, även om ingen var helt klar. Tomas Kull, vd på Mathem, skrev bland annat:
- Vi har påbörjat och kommit en bit i vårt GDPR-projekt, vi är i slutfasen av kartläggningen av våra personuppgifter och våra källor till personuppgifter, inom de närmaste veckorna kommer vi påbörja implementeringen av de rutiner och processer vi under kartläggningen identifierat behöver finnas på plats till i maj då GDPR börjar gälla, sade Tomas Kull den 20 mars.
Ingen av de e-handlare som då svarade på våra frågor verkade vara speciellt nöjd med den information som fanns tillgänglig kring hur man skulle göra för att följa lagen.
Har ni fått någon bra information utifrån som hjälpt er med vilka åtgärder som behöver genomföras?
- Nej, tyvärr inte, inga organisationer verkar ha några svar på frågorna utan alla tar in olika konsulter som endast vill sälja sina tjänster, svarade Peter Borgman, vd på JS Energi.
Sedan dess har dock Svensk Handel släppt sin tolkningsguide, som kan ge stöd i arbetet med GDPR. Problemet med lagen är för det första att den inte prövats, så det finns ingen praxis för vad som faktiskt krävs. Det går inte heller att skapa någon färdig mall för att följa lagen, inte ens för en specifik bransch som e-handeln. Utan de åtgärder man behöver ta till är individuella beroende på hur ens verksamhet ser ut.
Det finns dock några övergripande punkter man behöver ta tag i, som vi ska återkomma till längre ner. Nu, i den hetaste GDPR-ångestperioden, valde vi dock att sträcka ut en hand till e-handelsleverantörerna. Förra fredagen kontaktade vi åtta av de stora betalleverantörerna och sju e-handelsplattformar, med några enkla frågor om GDPR. De fick en ganska kort deadline (till i onsdags) för att svara, och det var endast fyra av plattformarna och en betalleverantör som återkom i tid.
När det gäller e-handelsplattformarna har de som leverantör av i princip hela nätbutiken ett ganska stor ansvar när det kommer till GDPR. Vi frågade till exempel hur de hjälper e-handlarna gällande den nya lagen. Plattformen Kodmyran har varit väldigt proaktiva i frågan och deras vd Katrin Lundgren var snabb med att svara.
- Kodmyran har jobbat med GDPR-införandet i snart ett år nu. Det tar tid att sätta sig in i allt och framför allt att få svar på olika tolkningar av lagen, men det har gjort oss väl förberedda till den 25 maj. Vi har utbildat och certifierat alla i bolaget på dataskyddslagen så att alla hos oss ska vara uppdaterade och veta vad det innebär och kunna svara på handlarnas frågor när de kommer. Plattformen är anpassad så att e-handlarna ska kunna klara av de lagkrav som ställs på dem, säger Katrin Lundgren till Ehandel.se.
Katrin Lundgren berättar också att de håller på att ta fram ett färdigt avtal till e-handlarna, eftersom den nya lagen kräver ett avtal mellan alla parter som hanterar personuppgifter åt varandra. Du som e-handlare är alltså skyldig att ha ett avtal med alla de leverantörer som hanterar dina kunders personuppgifter. Exempelvis plattform, betalleverantör, nyhetsbrevsverktyg, dropshippingleverantör och bokföringsbyråer.
"Kommer spara 100 000-tals kronor"
Johan Lindstedt, vd på plattformen Starweb, berättar om deras arbete med just avtalen, som kan ta upp en hel del tid.
- Dessutom kommer vi att ta steget längre och tillhandahålla färdiga allmänna villkor till våra handlare, som följer GDPR. Vi har alltid försett handlarna med standardiserade allmänna villkor skrivna av jurister tidigare år, men detta blir nästa nivå. Eftersom vi jobbar tillsammans med 100+ olika branscher måste man dock vara medveten om att villkoren är standardiserade och anpassade för ett antal branscher. Det är alltid upp till varje enskild handlare att ansvara för att de nya villkoren passar och är anpassade till just deras verksamhet. Oavsett om villkoren passar rakt av, eller behöver anpassas, kommer det att spara våra handlare 100 000-tals kronor! säger Johan Lindstedt.
E-handelsleverantörerna Wikinggruppen och Jetshop svarar även de att de har färdiga avtal på plats. Jonte Bergman, vd på Wikinggruppen, berättar att de lagt mycket tid på att förbereda olika åtgärder i plattformen men han lägger samtidigt in en brasklapp, som vi har varit inne på tidigare:
- En notis här är ju då att ingen med säkerhet vet vad som gäller. Tills dess att vi har sett en eller flera prejudicerande domar skall man nog vara lite försiktig med att uttala sig stupsäkert kring GDPR, säger Jonte Bergman.
Detta är viktigt att ha med sig när vi nu ska gå igenom lite kort vilka saker du som e-handlare måste göra innan den 25 maj, om du vill följa lagen. Ingen vet stupsäkert vad som faktiskt gäller.
Det du måste göra
Det viktigaste är att du måste informera dina kunder om vilka uppgifter du lagrar om dem och varför du gör det. Du måste alltså kartlägga vad du sparar, vart det sparas, hur länge det sparas och berätta det för kunden.
Du måste också berätta vem du är, tänk fullständig företagsinformation på sajten. Du måste även berätta vilka dina leverantörer är som behandlar dina kunders data, exempelvis betalleverantörer, plattformar, nyhetsbrevsverktyg och så vidare. Du måste även berätta hur länge du som e-handlare kommer att spara personuppgifterna som du samlar in. "För evigt" är inte längre en möjlighet, och har egentligen aldrig varit.
Hur länge ska man då spara datan? Det beror helt på verksamheten och du måste kunna motivera varför. Men den som säljer till exempel en bil för några hundra tusen och den som säljer en plastleksak för 10 kronor, kommer med största sannolikhet att komma fram till olika svar. En väldigt dyr produkt eller någon speciell tjänst kräver förmodligen en längre kundkontakt och därmed en längre lagringsperiod. Det finns även saker i andra lagar man kan luta sig mot som exempelvis reklamationsrätten på tre år. Datainspektionen har dock kommit fram till, gällande den tidigare personuppgiftslagen, att två år är rimligt att spara passiva kunders uppgifter.
Tidigare har det även varit okej, enligt Datainspektionen, att kontakta kunder i marknadsföringssyfte i upp till ett år efter att varan eller tjänsten levererats. Vi vet dock att detta förmodligen inte alltid har följts.
Samtycke och checkboxar
I och med GDPR ändras dock dynamiken rejält då det nu krävs samtycke, eller ett övergripande avtal, för all behandling av kundernas personuppgifter. En personuppgift är allt som kan kopplas till en person, behöver du fråga om det är en personuppgift är det alltså med största sannolikhet det. Likaså är en behandling i princip alla former av lagring.
Jäklar, tänker du kanske, ett samtycke för varje behandling. Det är dock inte så illa som det låter men samtidigt inte heller speciellt smidigt, vilket Jetshops förberedelser tyder på.
- På senaste versionen av Jetshop Commerce kan man att ha valfritt antal checkboxar för att samla in samtycken. Inställningarna görs under GDPR-inställningar i Jetshop admin, berättar Mikaela Lennermar, marknadschef på Jetshop.
Ett bra avtal slipper samtycken?
Innan du sätter morgonkaffet i halsen kan vi snabbt meddela att du kan "baka in" en hel del av de samtycken som krävs i köpvillkoren. De hamnar då inte under samtycke utan den rättsliga grunden blir istället köpeavtalet. Detta gäller dock endast “samtycken” som krävs eller är nödvändiga för att genomföra köpet. Saker som att skicka ut orderbekräftelser, leveransinformation och så vidare. All behandling som måste göras för att hela affären ska kunna genomföras kan bakas in i ett köpeavtal, som dock behöver godkännas förstås.
Att skicka ut nyhetsbrev med reklam kan till exempel kräva ett separat samtycke. Detta är en omdebaterad fråga och vissa har lyckats baka in det i köpeavtalet, vilket förstås är bra. Du kan dock inte bara skriva in alla samtycken du kräver i köpvillkoren utan du måste kunna motivera dem eller luta dig mot någon annan lag eller vad som i GDPR kallas "intresseavvägning".
"En fråga som debateras flitigt"
Lagen är tydlig med att saker som inte ingår i normal behandling ska separeras och kräva ett separat samtycke, vilket i e-handlarnas fall förmodligen ofta kommer att handla om checkboxar. Något som alltså förklarar Jetshops nya checkbox-funktion. Katrin Lundgren vill dock gärna påpeka att checkboxar inte är ett krav:
- Checkboxar är egentligen inget krav men många får det att låta så. Men som sagt, tills vi har ett prejudikat så lär ingen veta med 100 procent säkerhet, och just checkboxar och samtycken är en fråga som debatteras flitigt, säger Katrin Lundgren.
Med lite finess bör man dock kunna få med mycket i köpeavtalet. Tio checkboxar med samtycken är förstås ingen bra köpupplevelse.
Informera, informera, informera
Ta alltså reda på var du sparar personuppgifter, informera kunderna om vem du är och vem du arbetar med, upprätta avtal med alla parter och skriv ett bra köpeavtal med kunderna. Sedan behöver du också ha rutiner för att plocka fram och ta bort data. Kunderna ska kunna få reda på vad du lagrar för information om dem och de ska kunna få den borttagen. Du behöver också, som vi varit inne på, gallra i datan över tid och du behöver även meddela kunderna om du misstänker att deras data läckt ut.
Någonstans måste du även meddela kunderna om deras rättigheter som att de till exempel kan dra tillbaka eventuellt samtycke när som helst, eller få sin data raderad om de så önskar.
Det är de stora punkterna. Tyvärr inser man ganska snabbt att det leder till en hel del arbete. En hel del handlar om att skapa dokument. Dokument med rutiner för hantering av data, dokument med översikt över var du lagrar data, insamlande av samtycken och personuppgiftsbiträdesavtal (avtal med leverantörer). Med lite tur arbetar du med snälla leverantörer som hjälper dig att ta fram avtalet mellan dig och leverantören, och som hjälper till att införa de funktioner som du behöver för att uppfylla lagens krav.
Katrin Lundgren på Kodmyran berättar till exempel att de infört versionshantering av köpeavtalet, eftersom det nu kommer att bli extra viktigt i och med GDPR:
- Eftersom själva köpeavtalet är den viktigaste lagliga grunden för lagring av en e-handlares uppgifter har vi även efter samråd med experter valt att införa versionshantering av köpevillkor och lagring av dessa som de såg ut vid köptillfället, för att absolut inga tvivel ska finnas att slutkunden ingått ett köp enligt avtal med handlaren, säger Katrin Lundgren.
Om e-handelsplattformarna har ett stort ansvar så har även betalleverantörerna det. De bolag som erbjuder betallösningar går nämligen allt mer mot att erbjuda fullständiga kassasidor och som vi har varit inne på är det mycket som ska ske kring GDPR i just kassan. Att berätta vem du är och vilka leverantörer du jobbar med, samt hur du hanterar personuppgifter, bör förmodligen ske på förstasidan i nätbutiken, kanske via en länk till en informationssida.
Men i kassan kommer alltså ökade krav på samtycke när du ber kunderna om att delge sina personuppgifter för behandling. Svea Ekonomi var tyvärr det enda av betalbolagen som svarade oss.
När det gäller er e-handelskassa, vad är er rekommendation till e-handlarna kring att samla in de samtycken som kan krävs vid köp?
- Vi lutar oss mot samtycke för personuppgiftsbehandlingen i avtalet/kontraktet vid köp. De övriga samtycken som kan användas bör till exempel vara för marknadsföring och bör då vara av typen ”opt in”, säger Peter Balod, marknadschef på Svea Ekonomi.
Enligt Peter Balod ska de även ha uppdaterade avtal på plats inför den kommande lagen.
Nästan ingen är helt redo
Känner du att du inte är förberedd på allt detta så är du inte ensam. Enligt en undersökning som genomfördes av analysföretaget IDC, i början av april, så är det inte ens hälften av de små och medelstora företagen i EU som börjat förbereda sig inför GDPR. Endast 29 procen av de små företagen svarade då att de påbörjat arbetet.
Samma undersökning gav dock en klapp på axeln till de nordiska länderna som sägs vara bättre på att förbereda sig än andra länder i Europa. Att alla företag inom EU kommer att följa GDPR till punkt och pricka den 25 maj är alltså inte speciellt troligt.
Det är dock som vi tidigare berättat saftiga böter kopplade till den nya lagen och att inte alls ha koll på vad man gör med de personuppgifter man samlar in är inte att rekommendera. Vi kan nog räkna med att många företag kommer att hamna i trubbel efter den 25 maj på grund av för dåligt dataskydd. Förhoppningsvis är det nätjättar som Google och Facebook som får ta smällen så att vi sedan kan få en praxis för hur man följer lagen på bästa sätt.
Bättre sent än aldrig!
Det är inte för sent att börja kolla på GDPR, du kommer förmodligen vara före många andra om du börjar titta på det seriöst redan idag. Mycket är sunt förnuft och flera av de åtgärder som behöver tas är saker som kunderna förmodligen uppskattar. Som alltid, försök spinna det till något positivt istället för något negativt.
Vi bad e-handelsleverantörerna vi pratade med om tips på länkar till information om GDPR och vi fick dessa nedanför, som ni kan fortsätta att förkovra er i om ni vill.
Kodmyran: Att förbereda sin e-handelssajt för GDPR
Kodmyran: GDPR-anpassningar hos e-handlare
Starweb: GDPR för e-handel
Wikinggruppen: GDPR och Wikinggruppen
Jetshop: Vi skapar tekniska förutsättningar för GDPR
