GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Transkript

1 GDPR & eprivacy för e- handlare Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

2 GDPR&ePrivacy 2 Har ni GDPR-panik?

3 3 Stay cool! Det finns konkreta tips på vad ni behöver göra

4 Nya dataskyddsförordningen- GDPR Ersätter personuppgiftslagen ( PuL ) och motsvarande lagar i hela EES Varför? Skydda integriteten! De nya reglerna gäller från och med den 25 maj 2018 Risk för höga böter och andra sanktioner (upp till 4 % av koncernomsättningen) GDPR&ePrivacy 4

5 När gäller GDPR? Gäller all behandling av personuppgifter Personuppgifter varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras Allt som går att kopplas till en individ, t.ex. adress (en IP-adress) En adressuppgift Köphistorik och cookies som kopplas ihop med personuppgifter Bilder Omdömen i kundtjänst GDPR&ePrivacy 5

6 Förslag till nya eprivacy-regler Förslag till förordning om integritet och elektronisk kommunikation Direktmarknadsföring Retargeting Metadata Hantering av cookies Risk för böter upp till 4 % av omsättningen Skulle ha antagits till 25 maj, men ej klart i tid GDPR&ePrivacy 6

7 eprivacy: Nya regler för cookies Samtycke behövs inte om nödvändigt för tjänst som begärts, t.ex. onlinejänst, e-handla, spara varukorg; eller att mäta antalet webbplatsbesökare Ordentligt samtycke behövs dock för 3:e parts cookies Vid användning av Google Analytics, bannerreklam, m.m GDPR&ePrivacy 7

8 EU:s jätteprojekt Digital Single Market GDPR&ePrivacy 8

9 Konsekvenser av lagarna Dataskydd blir en ledningsfråga Viktigare att följa lagen Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget Ökat fokus på förebyggande åtgärder och dokumentation GDPR&ePrivacy 9

10 Vad innebär GDPR i korthet? Ha koll - Identifiera alla behandlingar och lista dessa i en registerförteckning Inga onödiga uppgifter - Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det. Rensa! Krav på rutiner, dokumentation och policys på plats för att följa reglerna Krav på dataskydd - informationssäkerhet GDPR&ePrivacy 10

11 Vad innebär ett GDPR-projekt? 1. Uppstart. Medvetandehet. Projektgrupp. 2. Inventering över behandlingar registerförteckningen 3. Juridisk bedömning över behandlingarna 4. Rensning av personuppgifter 5. Säkerhetsåtgärder, IT-förändringar 6. Framtagande av dokument juridik och informationssäkerhet 7. Sätt rutiner, ansvar och organisation för efterlevnad på sikt GDPR&ePrivacy 11

12 GDPR att tänka på Ledningen behöver bestämma ambitionsnivå Ni ska följa lagen inte främst 26 maj, utan på sikt Tänk till om ni köper konsulter. Betala inte för att de ska lära sig Inse att: GDPR kräver olika typer av kompetens Ni behöver inleda ett projekt för att förbereda er Arbetet är inte slut med projektet Det kommer kräva tid och resurser GDPR&ePrivacy 12

13 Inventering över era behandlingar Ni behöver inventera alla era behandlingar ni gör Varför? Få koll på om ni behandlar personuppgifter ni inte får göra Veta om uppgifter behöver gallras/rensas Krav enligt lag att ha en registerförteckning Inga formkrav, kan vara ett enkelt excelark Säkerställ att ni har en registerförteckning och uppdaterar den löpande GDPR&ePrivacy 13

14 I praktiken. Register Kundregister Prospekts Register med leverantörer och samarbetspartners Anställningsregister Kandidater (för anställningar) Eventuella andra registrerade, t.ex. nyhetsbrev Annan behandling t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, dokument, whistleblowingsystem, passersystem, sociala medier och hemsidan Även ostrukturerad data, t.ex. mejl och dokument GDPR&ePrivacy 14

15 Fastställ ansvar och få avtal på plats! Ni som bestämmer ändamål och medel med behandlingen är personuppgiftsansvarig Viktigt att fastställa före inventering Den som behandlar uppgifter på annans räkning är biträde, t.ex. molntjänstleverantör Krav på avtal biträdesavtal Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ GDPR&ePrivacy 15

16 Personuppgiftsbiträdesavtal Ha en lista över alla biträden Ha rutin för att bocka av om avtal ingåtts/ ingås Säkerställ att bra avtal ingås: 1. Juridiskt avtal 2. Dokumenterade instruktioner vad ska just det aktuella biträdet göra? Svårt använda EN mall, men ni kan ha malldokument för olika situationer Flera krav i GDPR som är viktiga vid upphandling av IT-system. Ta hjälp! Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ GDPR&ePrivacy 16

17 När är behandling tillåten? Nödvändig för att ett avtal med den registrerade ska kunna fullgöras Nödvändig för att fullgöra rättslig förpliktelse Intresseavvägning (praxis, vägledningar) Samtycke från den registrerade Det finns ytterligare exempel, men ovan är mest relevanta för e-handlare GDPR&ePrivacy 17

18 Vad är en intresseavvägning? Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse GDPR&ePrivacy 18

19 eprivacy: Direktmarknadsföring Kräver som utgångspunkt den enskildes samtycke Som huvudregel lika för alla kanaler E-post: Samtycke behövs inte om Fått den enskildes e-postadress i samband med försäljning av en produkt eller en tjänst Marknadsföringen avser egna likartade produkter och tjänster Kunden klart och tydligt utan avgift ges möjlighet att invända mot sådan användning både vid insamlingen och vid varje utskick (Opt-out) B2B: Varje land får bestämma GDPR&ePrivacy 19

20 Direktmarknadsföring via e-post B2K enligt nuvarande praxis under PuL Ej kund Inte gjort någonting EJ OK SKICKA Samtycke OK SKICKA Kund Inte gjort någonting EJ OK SKICKA Följt Swedmas regler, bl.a. möjlighet avregistrera sig vid köp Intresseavvägningen OK SKICKA CA 1 ÅR efter köp Samtycke OK SKICKA Kundklubb/lojalitetsprogram Inte gjort någonting EJ OK SKICKA Gett information (kundklubbsvillkor), följt Swedmas regler o.s.v. OK SKICKA TILLS TVÅ ÅRS PASSIVITET* Ovan förutsätter att ni följer övriga krav enligt lag, t.ex. på information och den registrerade alltid ska ha getts en möjlighet att tacka nej till marknadsföring GDPR&ePrivacy 20

21 Profilering Automatisk behandling av personuppgifter bl.a. för att bedöma vissa personliga egenskaper hos en fysisk person Göra urval/marknadsföring baserat på persons beteende, beteendestyrd marknadsföring, kundprofilsanalyser, m.m. Krav på att aktivt informera individer om möjligheten att tacka nej till profilering Huvudregel: Samtycke! GDPR&ePrivacy 21

22 Samtycke Ni ska kunna bevisa Informerat Frivilligt - En möjlighet att inte vara med Klart och tydligt språk Ej gömma i villkor Samtycke inte frivilligt om tvingande för avtalet i Jag har läst och godkänner användarvillkoren. Jag har läst och godkänner användarvillkoren. Jag samtycker till behandling av mina personuppgifter enlighet med Bolagets integritetspolicy GDPR&ePrivacy 22

23 Hur många rutor? Som huvudregel krävs ett samtycke per ändamål Egna kryssrutor eller Pop-up-rutor för olika ändamål? Faller inom den registrerades rimliga förväntningar? GDPR&ePrivacy 23

24 Vad behöver jag göra på min e-handelssajt? Ha information om hur just ni behandlar personuppgifter Läs mer här om hur vi kommer behandla dina personuppgifter om dig Alltid ge individen möjlighet att tacka nej till marknadsföring och profilering Använd endast samtycken till det som gör utöver vad som följer av lag, t.ex. Ja tack. Jag vill ha nyhetsbrev. Läs mer om hur dina personuppgifter behandlas här GDPR&ePrivacy 24

25 Kundklubbsalternativet Skapa istället en avtalsrelation - låt din kund bli medlem Avtalet som laglig grund Tydlighet med villkor och vad som ingår och hur länge behandlar data m.m. Kundsklubbsvillkor Vad anses ok vid en kundklubb utan särskilt samtycke och hur länge får data lagras? Oklart enligt nya reglerna GDPR&ePrivacy 25

26 Grundläggande principer Laglighet, korrekthet och öppenhet (transparens) Ändamålsbegränsning Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen Korrekthet Lagringsminimering Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Integritet och konfidentialitet Begränsa åtkomst Krav på säkerhet GDPR&ePrivacy 26

27 Säkerställ att ni inte behandlar de uppgifter ni inte ska ha kvar Radera uppgifter som ni inte ska ha kvar Rätta felaktiga uppgifter Säkerställ åtkomstkontroll Skapa utbildning och rutiner för att undvika att fel uppgifter hanteras Undvik känsliga uppgifter Undvik värderande omdömen eller annan kränkande info GDPR&ePrivacy 27

28 Juridisk dokumentation/ policyer behöver ha Interna policyer för behandlingen, lagringsoch gallringsrutiner (ej formellt krav) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Anställda Kandidater Kontaktpersoner hos leverantörer och samarbetspartners Kunder/kontakter hos kunder Ev. andra registrerade nyhetsbrev, kundklubb, m.m GDPR&ePrivacy 28

29 Juridisk dokumentation bör ha eller behövs ibland Samtyckestexter Villkor för lojalitetsprogram eller kundklubb Avtal om överföring till land utanför EU Checklista inför upphandling och avtals ingående GDPR&ePrivacy 29

30 Inför de rutiner som krävs! Säkerhet Anpassa er IT-system Ett antal olika rutiner ni behöver få på plats, t.ex. Registerutdrag Dataportabilitet (om aktuellt) Rutiner vid anlitande av biträden/ upphandlingar Rutiner för att dokumentera! Rutiner för anmälan av personuppgiftsincident Rutiner för att göra konsekvensbedömning vid ny behandling GDPR&ePrivacy 30

31 Viktigast av allt.. Vänta inte längre börja nu! Följ reglerna om 1-25 år skapa rutiner för att arbeta rätt GDPR&ePrivacy 31

32 Lycka till och kör hårt! GDPR&ePrivacy 32

33 Agnes Hammarstrand / Partner, Advokat Mobil: Advokatfirman Delphi / Östra Hamngatan 29 / Göteborg / Sweden Telefon: + 46 (0) / Fax: +46 (0) / delphi.se GDPR&ePrivacy 33