Så uppfyller du GDPR – och IMY:s nya krav – som e-handlare
Behandlar du personuppgifter i din e-handel? Då omfattas du av GDPR – och från 2024 har IMY förtydligat vad du som företagare måste informera om. Här får du veta vad som krävs och hur du uppfyller lagen.
Att hantera personuppgifter i e-handeln är inte bara en teknisk fråga – det är en juridisk skyldighet. Som e-handlare ansvarar du för att kundernas uppgifter behandlas på ett lagligt och transparent sätt enligt dataskyddsförordningen, GDPR. Nu har även Integritetsskyddsmyndigheten (IMY) kommit med uppdaterade riktlinjer för hur information till besökare och kunder ska ges.
1. Du är personuppgiftsansvarig – och det innebär ansvar
Så snart du driver en webbutik är du personuppgiftsansvarig för den behandling som sker i din verksamhet – t.ex. insamling av namn, adress och e-post vid köp. Det innebär att du är juridiskt ansvarig för att uppgifterna hanteras på ett korrekt sätt, enligt GDPR:s grundprinciper: laglighet, ändamålsbegränsning, dataminimering, riktighet, lagringsbegränsning och säkerhet.
2. Varje uppgift kräver en rättslig grund
Enligt lagen måste du kunna motivera varje behandling av personuppgifter. De vanligaste rättsliga grunderna för e-handlare är:
- Avtal – t.ex. hantering av beställningar och leveranser
- Samtycke – exempelvis vid utskick av nyhetsbrev eller användning av vissa cookies
- Rättslig förpliktelse – bokföringskrav eller lagstadgad arkivering
- Berättigat intresse – t.ex. viss marknadsföring, men kräver noggrann intresseavvägning
IMY:s nya krav: Du måste fastställa och dokumentera ändamålen innan du påbörjar behandlingen. Detta gäller även om du tycker behandlingen är ”självklar”.
3. Tydlig information är ett krav – inte ett alternativ
Enligt både GDPR och IMY:s vägledning måste du informera användarna om hur deras uppgifter behandlas, i form av en integritetspolicy. Den ska vara lättförståelig, lättillgänglig och helst finnas länkad i sidhuvud eller sidfot.
Din policy bör innehålla:
- Vilka uppgifter du samlar in
- Varför du samlar in dem (ändamål)
- Vilken rättslig grund du stödjer dig på
- Hur länge uppgifterna lagras
- Om uppgifterna delas med tredje part
- Vilka rättigheter kunden har enligt GDPR
- Hur kunden kan kontakta dig vid frågor
4. Kundens rättigheter – och dina skyldigheter
Alla kunder (de registrerade) har enligt GDPR rätt att:
- Få information om behandlingen
- Begära tillgång till sina uppgifter
- Få felaktiga uppgifter rättade
- Bli raderade “rätten att bli glömd”
- Invända mot viss behandling
- Få sina uppgifter överförda till annan aktör (dataportabilitet)
- Lämna in klagomål till IMY
Du som e-handlare måste ha rutiner för att hantera dessa begäranden inom en månad från att de inkommit.
5. Biträden kräver avtal
Om du anlitar externa tjänster – t.ex. ett nyhetsbrevssystem, betalplattform eller molnlagring – som behandlar personuppgifter för din räkning, räknas de som personuppgiftsbiträden.
Du är då skyldig att ha ett biträdesavtal enligt artikel 28 i GDPR. Avtalet ska bland annat reglera vilka instruktioner som gäller, säkerhetsnivåer och vad som sker vid avtalets upphörande.
6. Så skyddar du uppgifterna tekniskt
Du måste genomföra rimliga tekniska och organisatoriska skyddsåtgärder, exempelvis:
- SSL-kryptering av webbplatsen
- Stark autentisering till interna system
- Åtkomstbegränsning till personuppgifter
- Regelbunden säkerhetskopiering
- Rutiner för incidentrapportering
Det räcker inte att ha IT-skydd – du måste också kunna visa upp dokumenterade rutiner.
7. Cookies? Samtycke krävs
Använder du cookies för marknadsföring, analys eller andra icke-nödvändiga funktioner? Då krävs:
- Samtycke innan du placerar dem i användarens webbläsare
- En tydlig och informativ cookiepolicy
- Möjlighet att ändra eller återkalla samtycke
Förkryssade rutor är inte tillåtet. Samtycket ska vara frivilligt, specifikt, informerat och otvetydigt.
8. Överföring till tredje land? Det här gäller
Om du överför personuppgifter utanför EU/EES – exempelvis till USA – måste du säkerställa att det sker enligt kapitel V i GDPR. Det kan innebära att du:
- Använder standardavtalsklausuler (SCC)
- Gör en bedömning av mottagarlandets skyddsnivå
- Vid behov implementerar ytterligare skyddsåtgärder
Detta är särskilt aktuellt för e-handlare som använder amerikanska SaaS-tjänster.
9. Incident? Du måste agera snabbt
Vid en personuppgiftsincident (t.ex. läckta uppgifter eller obehörig åtkomst) gäller:
- Dokumentationsplikt för samtliga incidenter
- Anmälningsplikt till IMY inom 72 timmar om det finns risk för registrerades rättigheter
- Informationsplikt till registrerade vid allvarliga incidenter
10. Samla inte mer än nödvändigt
GDPR bygger på principerna om dataminimering och lagringsbegränsning:
- Samla inte in fler uppgifter än du behöver
- Spara inte uppgifter längre än vad som är nödvändigt
- Rensa regelbundet
Försök alltså undvika att “för säkerhets skull” spara uppgifter som inte längre fyller ett tydligt syfte.
Sammanfattning
- Du måste ha en tydlig integritetspolicy
- Du måste kunna redogöra för varje behandling och varför den sker
- Du måste informera och respektera kundens rättigheter
- Du måste agera snabbt vid incidenter
- Du måste följa IMY:s vägledning – inte bara GDPR:s grundregln
Behöver du hjälp med att säkerställa att din e-handel uppfyller kraven enligt GDPR och IMY:s direktiv? Kontakta oss på marika@paralegalhjalp.se – vi hjälper dig säkra både juridiken och kundernas förtroende.
Avslutning med viktiga insikter
En svensk e-handlare måste följa GDPR genom att bekräfta laglig, säker och transparent behandling av personuppgifter. Det innebär att ha rättslig grund för varje behandling, informera kunderna via en tydlig integritetspolicy, respektera registrerade rättigheter, ha avtal med personuppgiftsbiträden, skydda uppgifterna tekniskt och organisatoriskt, samt hantera cookies korrekt. Överföringar utanför EU kräver särskilt skydd, och incidenter ska rapporteras vid behov. Kort sagt: integritetsskydd ska vara inbyggt i hela verksamheten.
Lämna ett svar