En e-handlare som är verksam i Sverige måste ta hänsyn till flera aspekter av dataskyddsförordningen (GDPR) , eftersom GDPR reglerar hur personuppgifter får behandlas. Nedan följer de viktigaste skyldigheterna och övervägandena:
1. Personuppgiftsansvar
E-handlaren är personuppgiftsansvarig för behandling av personuppgifter som sker på webbplatsen. Det innebär att e-handlaren har det fullständiga ansvaret för att uppgifterna behandlas lagligt, korrekt och transparent.
2. Rättslig grund för behandling
All behandling av personuppgifter måste ha en laglig grund enligt artikel 6 i GDPR. De vanligaste grunderna för e-handlare är:
- Avtal : För att kunna uppfylla ett köpeavtal (t.ex. leverera en beställning).
- Samtycke : För nyhetsbrev, marknadsföring eller cookies som inte är strikt nödvändiga.
- Rättslig förpliktelse : För att uppfylla bokföringskrav.
- Berättigat intresse : Exempelvis för viss direktmarknadsföring, men en intresseavvägning måste göras.
3. Informationsplikt och integritetspolicy
E-handlaren måste informera kunderna om hur deras personuppgifter behandlas, allmänna via en integritetspolicy . Denna ska innehålla:
- Vilka uppgifter som samlas in
- För vilka ändamål
- Vilken rättslig grund som finns
- Hur länge uppgifterna sparas
- Eventuella tredjepartsöverföringar (t.ex. till betaltjänster)
- Rättigheter enligt GDPR
- Kontaktuppgifter till personuppgiftsansvarig
4. Registrerade rättigheter
Kunderna (registrerade) har flera rättigheter enligt GDPR, bland annat:
- Rätt till information
- Rätt till tillgång (registerutdrag)
- Rätt till rättelse
- Rätt till radering (”rätten att bli glömd”)
- Rätt till dataportabilitet
- Rätt att invända mot viss behandling
- Rätt att lämna in klagomål till Integritetsskyddsmyndigheten (IMY)
E-handlaren måste ha rutiner för att hantera dessa rättigheter.
5. Personuppgiftsbiträden
Om e-handlaren anlitar tredjepartsleverantörer som behandlar personuppgifter (t.ex. molntjänster, nyhetsbrevstjänster, betalleverantörer), måste det finnas personuppgiftsbiträdesavtal (biträdesavtal) i enlighet med artikel 28 GDPR.
6. Säkerhet
E-post måste vidta tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter, till exempel:
- Kryptering av dataöverföring (SSL/HTTPS)
- Stark autentisering till internt system
- Säkerhetskopiering
- Begränsad åtkomst till personuppgifter
7. Cookies och spårning
Om webbplatsen använder cookies (särskilt för analys eller marknadsföring) krävs:
- Samtycke från användaren , inhämtat på ett korrekt sätt (inte förkryssade rutor).
- En tydlig cookiepolicy som förklarar vad cookies används till och hur man kan hantera dem.
Observera att dessa regler även styrs av LEK (Lagen om elektronisk kommunikation) .
8. Överföring till tredje land
Om personuppgifter överförs utanför EU/EES (t.ex. till USA) krävs:
- Att överföringen är laglig enligt kapitel V i GDPR, till exempel genom standardavtalsklausuler (SCC).
- Det finns ett tillräckligt skyddsnivå, vilket kan kräva en riskbedömning och kompletterande skyddsåtgärder .
9. Personuppgiftsincidenter
Vid en personuppgiftsincident (t.ex. dataintrång) måste e-handlaren:
- Dokumentera incidenten.
- Anmäla till IMY inom 72 timmar om det finns risk för registrerade rättigheter/friheter.
- Informera de registrerade om risken är hög.
10. Dataminimering och lagringsbegränsning
E-handlaren får inte samla in fler uppgifter än vad som behövs och ska inte lagras längre än vad som motiveras utifrån syftet.
Avslutning med viktiga insikter
En svensk e-handlare måste följa GDPR genom att bekräfta laglig, säker och transparent behandling av personuppgifter. Det innebär att ha rättslig grund för varje behandling, informera kunderna via en tydlig integritetspolicy, respektera registrerade rättigheter, ha avtal med personuppgiftsbiträden, skydda uppgifterna tekniskt och organisatoriskt, samt hantera cookies korrekt. Överföringar utanför EU kräver särskilt skydd, och incidenter ska rapporteras vid behov. Kort sagt: integritetsskydd ska vara inbyggt i hela verksamheten.
Lämna ett svar