Svensk Handel har nyligen tagit fram en tolkningsguide för hur handelsföretag kan behandla konsumenters personuppgifter enligt GDPR, både inom och utanför ett lojalitetsprogram. Tolkningsguiden syftar till att underlätta detalj- och e-handelns arbete med dataskyddsfrågor och är en unik produkt framtagen för Svensk Handels medlemmar, i nära samarbete med medlemsföretag och en särskild expertgrupp. I denna artikel ger vi er en exklusiv smygtitt på innehållet och de tolkningar som Svensk Handel gör.
Varför behandlar företag personuppgifter?
Förenklat är svaret på denna fråga ändamålet med ett företags personuppgiftsbehandling. Ändamålsbeskrivningarna är en av de viktigaste delarna i GDPR eftersom det är ändamålen som sätter gränserna för hur personuppgifter senare får lov att behandlas. Många upplever att det är svårt att formulera sina ändamål på ett tydligt (men inte för generellt eller detaljerat) sätt och som dessutom beskriver all personuppgiftsbehandling som utförs för ändamålet. Det här betyder att ett handelsföretag behöver formulera ett antal ändamål för att täcka in sin verksamhet. Uppgifter som har samlats in för ett ändamål får inte användas för ett annat, till exempel uppgifter som samlas in för att fullgöra ett köp får inte automatiskt användas för marknadsföring. En central del i ett detalj- och e-handelsföretags verksamhet är personaliserad marknadsföring. Eftersom profilering och behandling av personuppgifter för marknadsföringsändamål ses som särskilt riskabla är det mycket viktigt att just dessa ändamål blir rätt formulerade och beskrivna.
Svensk Handel har lagt detta pussel och ger elva konkreta förslag på ändamålsbeskrivningar som handelsföretag kan använda sig av, vilka behandlingar som ingår i ändamålet, personuppgifter som är nödvändiga för att uppfylla ändamålet och lämplig laglig grund. Här får du se ett exempel på en av beskrivningarna i guiden.
Lämplig laglig grund för lojalitetsprogram
En annan viktig del i tolkningsguiden är frågan om vilken laglig grund företag kan stödja sin behandling på i ett lojalitetsprogram. Så långt som möjligt vill företag undvika att använda sig av samtycke som laglig grund, dels eftersom det är resurskrävande, dels eftersom ett samtycke när som helst kan återkallas.
Kortfattat är Svensk Handels tolkning att avtalet (dvs. medlemsvillkoren), under vissa förutsättningar, kan användas som grund för personuppgiftsbehandlingen som utförs i ett lojalitetsprogram. En viktig förutsättning är att personuppgiftsbehandlingen ska vara nödvändig för att uppfylla åtaganden enligt medlemsvillkoren. Om avtalet ska användas som en laglig grund måste personuppgiftsbehandling göras till en integrerad del i medlemsvillkoren och det räcker inte att hänvisa till en integritetspolicy. En medlem måste förstå vilken personuppgiftsbehandling som medlemmen accepterar i utbyte mot företagens bonuspoäng, erbjudanden och rabatter.
Information
Transparensen är också en central del i lagen och i tolkningsguiden finns förslag på vilken information som ska lämnas och framför allt hur den ska lämnas. Enligt Svensk Handel är det viktigt att situationsanpassa informationen. Det räcker alltså inte att publicera en integritetspolicy på en webbplats utan det krävs mer aktivitet från företagens sida för att faktiskt se till att informationen kommer kunden till del. Förslagsvis bör information lämnas i olika lager och Svensk Handel ger i tolkningsguiden exempel på olika tillfällen då information ska lämnas. Exempelvis föreslår Svensk Handel hur företag ska lämna tydligare information om personuppgiftsbehandling i sociala medier. I dessa fall bör företag inkludera en länk till den fullständiga integritetspolicyn i företagets profilinformation i respektive social kanal.
Tolkningsguiden är framtagen för Svensk Handels medlemmar som en medlemsförmån. Som medlem når du tolkningsguiden via SvenskHandel.se när du loggar in på Medlemssidorna.
