GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Relevanta dokument
GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR de första månaderna. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

GDPR NYA DATASKYDDSFÖRORDNINGEN

Kerstin Wardman, 25 april 2018

GDPR General data protection regulation Dataskyddsförordningen

GDPR och annat om personlig integritet som man bör tänka på

Status panik? GDPR-update! Disposition

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

GDPR. Dataskyddsförordningen

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

GDPR Presentation Agenda

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Nya Dataskyddsförordningen. Agnes Hammarstrand

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Information om dataskyddsförordningen

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

UPPDATERAD

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

BERGHOLM FÖRSÄLJNING AB

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

I samband med att du söker arbete hos oss och lämnar personuppgifter till oss.

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

GDPR viktiga nyheter jämfört med PuL

EU:s dataskyddsförordning

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Integritetspolicy för Attentec AB

PuL och GDPR en översiktlig genomgång

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Denna integritetspolicy ( Integritetspolicyn ) har tre syften:

MKEF ska säkerställa att personuppgifter ska:

Dataskyddsförordningen

Dataskyddsförordningen

PERSONUPGIFTSPOLICY. Beslutade Behandling av personuppgifter

GUSTAF FAGERBERG AB - INTEGRITETSPOLICY

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Behandling av personuppgifter inom Home Care Hemtjänst

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Behandling av personuppgifter inom Livsro Hemtjänst

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Victoria Behandlingscenter AB Integritetspolicy

Integritetspolicy för personuppgiftshantering

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen

Integritetspolicy. Vilken information vi väljer att samla in om dig beror på hur och varför vår kontakt har uppstått. Exempel på personuppgifter är:

Riktlinjer för dataskydd

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Integritetspolicy SYFTE & BAKGRUND PERSONUPPGIFTER VI BEHANDLAR. Örebro BEHANDLING AV PERSONUPPGIFTER

Information gällande behandling av dina personuppgifter enligt GDPR fr.o.m

INTEGRITETSPOLICY SAMORDNINGSFÖRBUNDET CENTRALA ÖSTERGÖTLAND

Integritetspolicy Din integritet är av yttersta vikt för oss. I följande integritetspolicy förklaras på ett lättförståeligt sätt hur Cyklos AB, org.

AMF Fastigheters integritetspolicy

DATASKYDDSPOLICY FÖR HAGMANS NORDIC AB - FÖRETAGSKONTAKTER

GDPR ur verksamhetsperspektiv

Nya dataskyddsförordningen - i ett HR-perspektiv Emma Bädicker Advokatfirman Delphi

Salinity är personuppgiftsansvarig för behandlingen av personuppgifter inom verksamheten samt på denna och andra webbplatser som drivs av Salinity.

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Integritetspolicy Policy Kunder

GDPR. General Data Protection Regulation. dataskyddsförordningen

CCS Healthcare AB är personuppgiftsansvarig för behandlingen av dina personuppgifter.

Översikt av GDPR och förberedelser inför 25/5-2018

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen GDPR

INTEGRITETSPOLICY FÖR SANDBÄCKEN-KONCERNEN

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi 23 mars 2018

Behandling av personuppgifter vid Göteborgs universitet

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

INTEGRITETSPOLICY BALUNGSTRANDS SÅGVERK AB. Om BALUNGSTRANDS SÅGVERK AB och denna integritetspolicy

Integritetspolicy. Järntorget Byggintressenter Aktiebolag (publ)

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Vad är en personuppgift och behandling av personuppgifter?

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Transkript:

GDPR & eprivacy för e- handlare Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Delphi @IT_advokaten Magentodagen 2018

GDPR&ePrivacy 2 Har ni GDPR-panik?

3 Stay cool! Det finns konkreta tips på vad ni behöver göra

Nya dataskyddsförordningen- GDPR Ersätter personuppgiftslagen ( PuL ) och motsvarande lagar i hela EES Varför? Skydda integriteten! De nya reglerna gäller från och med den 25 maj 2018 Risk för höga böter och andra sanktioner (upp till 4 % av koncernomsättningen) 2018-02-01 GDPR&ePrivacy 4

När gäller GDPR? Gäller all behandling av personuppgifter Personuppgifter varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras Allt som går att kopplas till en individ, t.ex. E-mail adress 83.248.106.125 (en IP-adress) En adressuppgift Köphistorik och cookies som kopplas ihop med personuppgifter Bilder Omdömen i kundtjänst 2018-02-01 GDPR&ePrivacy 5

Förslag till nya eprivacy-regler Förslag till förordning om integritet och elektronisk kommunikation Direktmarknadsföring Retargeting Metadata Hantering av cookies Risk för böter upp till 4 % av omsättningen Skulle ha antagits till 25 maj, men ej klart i tid. 2018-02-01 GDPR&ePrivacy 6

eprivacy: Nya regler för cookies Samtycke behövs inte om nödvändigt för tjänst som begärts, t.ex. onlinejänst, e-handla, spara varukorg; eller att mäta antalet webbplatsbesökare Ordentligt samtycke behövs dock för 3:e parts cookies Vid användning av Google Analytics, bannerreklam, m.m. 2018-02-01 GDPR&ePrivacy 7

EU:s jätteprojekt Digital Single Market 2018-02-01 GDPR&ePrivacy 8

Konsekvenser av lagarna Dataskydd blir en ledningsfråga Viktigare att följa lagen Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget Ökat fokus på förebyggande åtgärder och dokumentation 2018-02-01 GDPR&ePrivacy 9

Vad innebär GDPR i korthet? Ha koll - Identifiera alla behandlingar och lista dessa i en registerförteckning Inga onödiga uppgifter - Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det. Rensa! Krav på rutiner, dokumentation och policys på plats för att följa reglerna Krav på dataskydd - informationssäkerhet 2018-02-01 GDPR&ePrivacy 10

Vad innebär ett GDPR-projekt? 1. Uppstart. Medvetandehet. Projektgrupp. 2. Inventering över behandlingar registerförteckningen 3. Juridisk bedömning över behandlingarna 4. Rensning av personuppgifter 5. Säkerhetsåtgärder, IT-förändringar 6. Framtagande av dokument juridik och informationssäkerhet 7. Sätt rutiner, ansvar och organisation för efterlevnad på sikt 2018-02-01 GDPR&ePrivacy 11

GDPR att tänka på Ledningen behöver bestämma ambitionsnivå Ni ska följa lagen inte främst 26 maj, utan på sikt Tänk till om ni köper konsulter. Betala inte för att de ska lära sig Inse att: GDPR kräver olika typer av kompetens Ni behöver inleda ett projekt för att förbereda er Arbetet är inte slut med projektet Det kommer kräva tid och resurser 2018-02-01 GDPR&ePrivacy 12

Inventering över era behandlingar Ni behöver inventera alla era behandlingar ni gör Varför? Få koll på om ni behandlar personuppgifter ni inte får göra Veta om uppgifter behöver gallras/rensas Krav enligt lag att ha en registerförteckning Inga formkrav, kan vara ett enkelt excelark Säkerställ att ni har en registerförteckning och uppdaterar den löpande 2018-02-01 GDPR&ePrivacy 13

I praktiken. Register Kundregister Prospekts Register med leverantörer och samarbetspartners Anställningsregister Kandidater (för anställningar) Eventuella andra registrerade, t.ex. nyhetsbrev Annan behandling t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, dokument, whistleblowingsystem, passersystem, sociala medier och hemsidan Även ostrukturerad data, t.ex. mejl och dokument 2018-02-01 GDPR&ePrivacy 14

Fastställ ansvar och få avtal på plats! Ni som bestämmer ändamål och medel med behandlingen är personuppgiftsansvarig Viktigt att fastställa före inventering Den som behandlar uppgifter på annans räkning är biträde, t.ex. molntjänstleverantör Krav på avtal biträdesavtal Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ 2018-02-01 GDPR&ePrivacy 15

Personuppgiftsbiträdesavtal Ha en lista över alla biträden Ha rutin för att bocka av om avtal ingåtts/ ingås Säkerställ att bra avtal ingås: 1. Juridiskt avtal 2. Dokumenterade instruktioner vad ska just det aktuella biträdet göra? Svårt använda EN mall, men ni kan ha malldokument för olika situationer Flera krav i GDPR som är viktiga vid upphandling av IT-system. Ta hjälp! Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ 2018-02-01 GDPR&ePrivacy 16

När är behandling tillåten? Nödvändig för att ett avtal med den registrerade ska kunna fullgöras Nödvändig för att fullgöra rättslig förpliktelse Intresseavvägning (praxis, vägledningar) Samtycke från den registrerade Det finns ytterligare exempel, men ovan är mest relevanta för e-handlare. 2018-02-01 GDPR&ePrivacy 17

Vad är en intresseavvägning? Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse 2018-02-01 GDPR&ePrivacy 18

eprivacy: Direktmarknadsföring Kräver som utgångspunkt den enskildes samtycke Som huvudregel lika för alla kanaler E-post: Samtycke behövs inte om Fått den enskildes e-postadress i samband med försäljning av en produkt eller en tjänst Marknadsföringen avser egna likartade produkter och tjänster Kunden klart och tydligt utan avgift ges möjlighet att invända mot sådan användning både vid insamlingen och vid varje utskick (Opt-out) B2B: Varje land får bestämma 2018-02-01 GDPR&ePrivacy 19

Direktmarknadsföring via e-post B2K enligt nuvarande praxis under PuL Ej kund Inte gjort någonting EJ OK SKICKA Samtycke OK SKICKA Kund Inte gjort någonting EJ OK SKICKA Följt Swedmas regler, bl.a. möjlighet avregistrera sig vid köp Intresseavvägningen OK SKICKA CA 1 ÅR efter köp Samtycke OK SKICKA Kundklubb/lojalitetsprogram Inte gjort någonting EJ OK SKICKA Gett information (kundklubbsvillkor), följt Swedmas regler o.s.v. OK SKICKA TILLS TVÅ ÅRS PASSIVITET* Ovan förutsätter att ni följer övriga krav enligt lag, t.ex. på information och den registrerade alltid ska ha getts en möjlighet att tacka nej till marknadsföring 2018-02-01 GDPR&ePrivacy 20

Profilering Automatisk behandling av personuppgifter bl.a. för att bedöma vissa personliga egenskaper hos en fysisk person Göra urval/marknadsföring baserat på persons beteende, beteendestyrd marknadsföring, kundprofilsanalyser, m.m. Krav på att aktivt informera individer om möjligheten att tacka nej till profilering Huvudregel: Samtycke! 2018-02-01 GDPR&ePrivacy 21

Samtycke Ni ska kunna bevisa Informerat Frivilligt - En möjlighet att inte vara med Klart och tydligt språk Ej gömma i villkor Samtycke inte frivilligt om tvingande för avtalet i Jag har läst och godkänner användarvillkoren. Jag har läst och godkänner användarvillkoren. Jag samtycker till behandling av mina personuppgifter enlighet med Bolagets integritetspolicy. 2018-02-01 GDPR&ePrivacy 22

Hur många rutor? Som huvudregel krävs ett samtycke per ändamål Egna kryssrutor eller Pop-up-rutor för olika ändamål? Faller inom den registrerades rimliga förväntningar? 2018-02-01 GDPR&ePrivacy 23

Vad behöver jag göra på min e-handelssajt? Ha information om hur just ni behandlar personuppgifter Läs mer här om hur vi kommer behandla dina personuppgifter om dig Alltid ge individen möjlighet att tacka nej till marknadsföring och profilering Använd endast samtycken till det som gör utöver vad som följer av lag, t.ex. Ja tack. Jag vill ha nyhetsbrev. Läs mer om hur dina personuppgifter behandlas här. 2018-02-01 GDPR&ePrivacy 24

Kundklubbsalternativet Skapa istället en avtalsrelation - låt din kund bli medlem Avtalet som laglig grund Tydlighet med villkor och vad som ingår och hur länge behandlar data m.m. Kundsklubbsvillkor Vad anses ok vid en kundklubb utan särskilt samtycke och hur länge får data lagras? Oklart enligt nya reglerna 2018-02-01 GDPR&ePrivacy 25

Grundläggande principer Laglighet, korrekthet och öppenhet (transparens) Ändamålsbegränsning Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen Korrekthet Lagringsminimering Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Integritet och konfidentialitet Begränsa åtkomst Krav på säkerhet 2018-02-01 GDPR&ePrivacy 26

Säkerställ att ni inte behandlar de uppgifter ni inte ska ha kvar Radera uppgifter som ni inte ska ha kvar Rätta felaktiga uppgifter Säkerställ åtkomstkontroll Skapa utbildning och rutiner för att undvika att fel uppgifter hanteras Undvik känsliga uppgifter Undvik värderande omdömen eller annan kränkande info 2018-02-01 GDPR&ePrivacy 27

Juridisk dokumentation/ policyer behöver ha Interna policyer för behandlingen, lagringsoch gallringsrutiner (ej formellt krav) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Anställda Kandidater Kontaktpersoner hos leverantörer och samarbetspartners Kunder/kontakter hos kunder Ev. andra registrerade nyhetsbrev, kundklubb, m.m. 2018-02-01 GDPR&ePrivacy 28

Juridisk dokumentation bör ha eller behövs ibland Samtyckestexter Villkor för lojalitetsprogram eller kundklubb Avtal om överföring till land utanför EU Checklista inför upphandling och avtals ingående 2018-02-01 GDPR&ePrivacy 29

Inför de rutiner som krävs! Säkerhet Anpassa er IT-system Ett antal olika rutiner ni behöver få på plats, t.ex. Registerutdrag Dataportabilitet (om aktuellt) Rutiner vid anlitande av biträden/ upphandlingar Rutiner för att dokumentera! Rutiner för anmälan av personuppgiftsincident Rutiner för att göra konsekvensbedömning vid ny behandling 2018-02-01 GDPR&ePrivacy 30

Viktigast av allt.. Vänta inte längre börja nu! Följ reglerna om 1-25 år skapa rutiner för att arbeta rätt 2018-02-01 GDPR&ePrivacy 31

Lycka till och kör hårt! 2018-02-01 GDPR&ePrivacy 32

Agnes Hammarstrand / Partner, Advokat Mobil: 0730-83 50 70 agnes.hammarstrand@delphi.se @IT_advokaten Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden Telefon: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se 2018-02-01 GDPR&ePrivacy 33

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss