ComplyTo - Alt du skal vide om GDPR som webshop

Svar på 8 spørgsmål og en tjekliste til GDPR for webshops

Mangler du en tjekliste til at komme i gang med GDPR i din webshop? Læs mere her.

ComplyTo hjælper dig som har en webshop med 8 gode råd og en tjekliste til den nye persondataforordning.

En webshop behandler flere forskellige persondata, og med den nye persondataforordning kan det være svært at finde hoved og hale i hvad man skal gøre for at overholde de nye regler.

Derfor kommer ComplyTo her med svar på 8 spørgsmål fra webshops, om hvad du skal være opmærksom på og kan gøre for at overholde den nye persondatalov. Du finder en tjekliste med fem trin til at komme i gang i bunden af artiklen.

Så lad os komme i gang!

1. Hvilken betydning har de nye regler for webshops - og hvad er konsekvenserne ved ikke at overholde dem?

De fleste har sikkert hørt om bøder på helt op til €20 mio. Euro. Men bøder er nok ikke konsekvensen for en almindelig webshop, i hvert fald ikke i starten. Den største konsekvens for en webshop er nok mere, at kunderne forventer, at shoppen har styr på persondataforordningen og behandling af persondata. Hvis ikke en webshop har styr på det, vil kunden muligvis finde en anden shop.

2. Hvilke tiltag skal man lave for at overholde persondataforordningen?

Det bedste du kan gøre er at dokumentere, at du ved hvilke data du har, hvor du har dem og hvilke virksomheder (fx Google, Microsoft, Mailchimp og mange flere) du opbevarer disse data hos. Især mindre virksomheder bruger oftest flere af disse cloud-ydelser. Selvom du opbevarer persondata i fx Dropbox, så er det stadig dig som er ansvarlig for disse data.

3. Hvilke typer aftaler skal du have styr på? Hvad er det for noget dokumentation du skal have? Og er der bestemte elementer der skal fremgå på din webshop?

Det vigtigste dokument du har brug for lige nu ift. GDPR er din privatlivspolitik. Og du bør have en for hver af dine aktiviteter. Det vil fx sige én for webshoppen, én for HR aktiviteter og én for hver enkelt aktivitet, hvor din virksomhed bearbejder persondata.

Derudover skal du bruge databehandleraftaler med alle dine leverandører (fx som nævnt før Google, Microsoft, Mailchimp med flere). Hvis du arbejder med større udbydere af cloud-løsninger, har de formentlig sendt dig en databehandleraftale allerede. Det er dog stadig dit ansvar at sikre, at disse aftaler er på linje med dine behov. Når du underskriver eller accepterer en sådan aftale, vil bøden for et læk af persondata blive sendt til dig og ikke udbyderen. Så du er nødt til at se kritisk på disse aftaler, og dokumentere at du har læst og forstået disse aftaler.

4. Hvad er IKKE tilladt som webshopejer efter GDPR trådte i kraft?

Så længe du følger den lov som også gjaldt før den nye persondataforordning, kan du fortsætte med de fleste aktiviteter. De fleste lande har allerede haft en persondatalov i mange år. Den store forskel på GDPR og de tidligere love er, at du nu skal kunne dokumentere hvordan du behandler de persondata som du opbevarer i din virksomhed.
Du kan stadig sende e-mails til dine kunder. Du kan stadig sende nyhedsbreve (hvis modtageren har givet samtykke hertil - hvilket også var lovpligtigt før persondataforordningen). Du må IKKE sende markedsføringsmails/nyhedsbreve uden samtykke - hvilket i forvejen ikke var lovligt i de fleste lande.

5. Hvad gør du, hvis en kunde vil have sin persondata fjernet? Har kunden “ret til at blive glemt”?

Glem "retten til at blive glemt”, men der er dog andre rettigheder som du skal være opmærksom på.

Retten til at blive slettet fra virksomheders databaser er ikke en absolut ret kunden har. Hvis din webshop har en legitim/forretningsmæssig interesse til at beholde persondata, skal du ikke slette disse, selvom en kunde beder dig om det.
Retten til at blive slettet er mest relevant, hvis du har samtykke til at anvende persondata, som fx til et nyhedsbrev. Så kan personen bede dig om at slette disse oplysninger, hvis han/hun ikke længere ønsker at stå på mailinglisten. Kontaktoplysninger, købshistorik osv. kan virksomheder have, så længe man har en gyldig grund - fx til at overholde regler for bogføring.

Du skal være mere opmærksom på retten til indsigt. Brugeren/kunden har ret til at kræve, at du sender det persondata, du har på den givne bruger/kunde. Derfor bør du vide hvor du opbevarer denne data, og hvordan du trækker det ud, så du kan sende det.

6. Hvordan virker ComplyTo’s løsning? Og er en webshop garanteret at overholde GDPR gennem ComplyTo?

ComplyTo giver et værktøj som sørger for, at du dokumenterer dit arbejde med GDPR. Systemet hjælper dig med at kortlægge hvilke persondata du har. På baggrund af det genererer vores wizard de nødvendige privatlivspolitikker og databehandleraftaler. Derudover har vi et risici og opgaveliste-system, som du bruger til, at din virksomhed bliver ved med at overholde persondataforordningen. Hvis der opstår uoverensstemmelser med din data-mapping og lovgivningen, vil vi underrette dig ved at lave en risici- og opgaveliste, som guider dig igennem.

Vi garanterer ikke overholdelse af reglerne, da det vil kræve, at vi kontrollerer dit data input og dermed ikke vil kunne udbyde vores produkt til en fair pris. Men du kommer mindst 80% i mål.

For de fleste små og mellemstore virksomheder har vi alt du skal bruge. Og du kan altid få en revisor eller advokat til at bedømme resultatet - ligesom at du kan få en revisor til at kigge på dit regnskab og bogføring hvis du ønsker denne ekstra forsikring.

Persondataloven ændres hele tiden, og nye love og praksis vil have indflydelse på det der betragtes som efterlevelse af GDPR fremadrettet. Vi arbejder løbende med at opdatere vores system, så det følger udviklingen, og du som kunde kan være fuldt opdateret.

Med vores GDPR system har du altid nem adgang til alle dine persondatadokumenter, opgaver og aftaler, hvis du beslutter at lægge persondata ind i et nyt system eller ændre din privatlivspolitik. Derfor er det nemt og enkelt at holde dine politikker og databehandleraftaler opdateret.

Læs mere om ComplyTo GDPR her

7. Hvordan dokumenterer man, at kunder og besøgende har accepteret betingelserne for den nye persondatalov på ens hjemmeside? 

Du skal ikke have accept fra brugere af din webshop/website om at de har læst og forstået reglerne. Du skal blot informere dem om de gældende regler på din side igennem dine privatlivspolitikker, og disse skal være let tilgængelige. Kun i tilfælde hvor du har persondata som behandles under samtykke (fx nyhedsbreve), skal du sørge for at personerne aktivt giver samtykket, fx ved tilmelding til nyhedsbreve o.l. (ingen pre-udfyldte checkboxes eller lignende).

8. Er man nødt til at informere alle ens eksisterende kunder om de nye GDPR regler?

Du skal informere dine brugere om hvilke data du har om dem, hvad du bruger data til og hvor længe du opbevarer data. Det gør du i en privatlivspolitik. Din privatlivspolitik bør gives til de berørte - som en webbaseret forretning, er det en god idé at lægge denne ud på hjemmesiden og sende et link til kunderne, når de køber et produkt.

 

Se GDPR tjeklisten for webshops herunder 

Opret din gratis ComplyTo-konto i dag

Registrér nu

En hurtig tjekliste til GDPR for webshops

  1. Du skal vide hvilke persondata du har og hvor.
  2. Dokumentér hvad du gør med persondata.
  3. Sørg for at dine brugere, medarbejdere mf. ved hvordan persondata bliver behandlet i virksomheden. Dette gør du gennem en privatlivspolitik.
  4. Sørg for at have databehandleraftaler på plads med de tredjeparter som har adgang til den persondata du har ansvaret for.
  5. Sørg for at du kan dokumentere, at du løbende arbejder med persondatabehandling. Følg procedurerne, kig på data og husk at slette data, når du ikke længere har brug for den. GDPR er ikke forbi bare fordi det har været d. 25. maj. Det er en løbende proces.

Udfordringen for webshops med produkter relateret til personers helbred og personfølsomme oplysninger

Personfølsomme oplysninger og webshops kort fortalt

Dette blogindlæg er skrevet af vores GDPR ekspert, Sebastian Bayer.

Resumé af ekspertens artikel:

Kort og godt, så siger denne artikel, at hvis din webshop sælger produkter rettet mod personers helbred, så er det forbudt, ifølge GDPR, at markedsføre til kunden på baggrund af tidligere køb. For eksempel, hvis en kunde har købt en creme mod fodsvamp, må du ikke efterfølgende reklamere til kunden, at den kan købe andre produkter, der også hjælper mod fodsvamp. Dette er fordi, at du ikke må bruge informationer om personens helbred til markedsføring i henhold til GDPR.

...

Efter Persondataforordningens vedtagelse er der nye regler, du skal være opmærksom på som virksomhed. Det betyder, at der er større fokus på korrekt behandling af personoplysninger, hvad enten disse er givet til dig direkte eller indirekte. Særligt hårdt ramt af dette er webshops, da disse oftest indsamler en stor mængde personoplysninger, for at de kan leve op til deres forpligtelser og have en bred produktportefølje. Dette giver mulighed for, at et produkt en webshop sælger, giver den et dybere indblik i kundernes privatliv.

Har du en webshop der sælger naturmedicin, plejeprodukter, kosttilskud og lignende produkter, der relaterer til personers helbred, er du i risiko for, at de personoplysninger du modtager ikke længere kun anses som almindelige personoplysninger, men derimod som følsomme oplysninger. Og hvis du modtager personfølsomme oplysninger, er der højere krav til din behandling af disse persondata.

Dette skyldes, at oplysninger om salget af ovenstående varer kan lede dig til at drage en konklusion om kundens helbredsforhold. Oplysninger om en persons helbredsforhold er jf. Persondataforordningen defineret som værende følsomme. Dette skyldes anvendelsen af profilering hvor webshoppen bruger tidligere køb til at “gætte på” hvilke andre produkter som kunden er interesseret i.

Denne artikel hjælper dig med at forstå, hvordan sådan en situation opstår, og hvad du som virksomhed skal gøre, for at undgå bøder eller dårlig omtale på grund af at din webshop er på kant med persondataloven.

Hvad er personfølsomme oplysninger?

Når det kommer til personfølsomme oplysninger, er adgangen til at behandle disse persondata mere begrænset. De oplysninger der anses for at være personfølsomme er:

  • Helbredsoplysninger
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Seksuelle forhold eller seksuel orientering
  • Fagforeningsmæssige tilhørsforhold
  • Religiøs eller filosofisk overbevisning
  • Politisk overbevisning
  • Race og etnisk oprindelse

Det er udelukkende disse kategorier af persondata, der ses som følsomme personoplysninger.

Hvornår overgår oplysninger om en solgt vare fra almindelig personoplysning til personfølsom oplysning ifølge GDPR?

Det der adskiller personfølsomme oplysninger (GDPR artikel 9) fra almindelige personoplysninger (GDPR artikel 6) er, at de personfølsomme oplysninger har skærpede krav til de lovlige formål, som sådanne persondata kan indsamles og behandles til. Personfølsomme oplysninger er udtømmende defineret i persondataforordningen og er: Helbredsoplysninger, seksualitet og seksuelle forhold, politisk, religiøs eller filosofisk overbevisning eller fagforeningsforhold. Race eller etnisk oprindelse, behandling af genetiske data, og biometriske data med det formål at identificere en person.  

Hvis du sælger en vare, som kan afsløre noget om en persons helbredsforhold, f.eks. at personen skulle have en bestemt sygdom eller er gravid, så sidder du potentielt inde med følsomme oplysninger om personen, selvom dette ikke var meningen med salget.

Et konkret eksempel er, hvis du fra din webshop sælger en creme mod fodsvamp. Når du sælger dette produkt, står du dermed principielt med en personfølsom oplysning om kunden, da kunden sandsynligvis har fodsvamp. Det samme er tilfældet, hvis du sælger kosttilskud, som har til formål at hjælpe med en bestemt sundhedssituation - eksempelvist forstoppelse.

Hvis du indsamler købsdata med henblik på at sælge andre produkter på baggrund af denne viden om personens helbred, vil du have indsamlet persondata på baggrund af profilering på købsinformation fra dine kunder.

Men det er måske ikke personen der køber som bruger produktet?

Når du sælger varer fra din webshop, adskiller din situation sig potentielt fra, hvis du sælger varer på recept. Dette skyldes, at når en kunde køber en vare på recept hos et apotek, så er apoteket klar over, at det er den person som køber produktet, der skal bruge det. Når en kunde handler hos en webshop, er købet ikke ensbetydende med, at det er kunden der køber varen, som skal anvende varen. Det kan f.eks. være, at en mand køber et produkt til hans kone. Denne manglende sammenhæng mellem kunden og brugeren af produktet medfører, at man kan argumentere for, at salget af f.eks. creme mod fodsvamp ikke anses som en personfølsom oplysning, da det ikke kan påvises, at produktet faktisk er tiltænkt kunden og dermed ikke siger noget om hans/hendes helbredssituation.

Dette er dog ikke en fuldstændig frifindelse. Anvender du informationen, at din kunde køber creme mod fodsvamp, til at markedsføre andre produkter mod fodsvamp til kunden, vil det anses som markedsføring på baggrund af personfølsomme oplysninger, og det er ikke tilladt. Det gælder også selvom det faktisk ikke er kunden der køber produktet, som skal bruge det. Da det aldrig kan fastlægges hvem kunden køber varen til, fokuseres der på hvad du tror den bruges til.

Det betyder, at hvis din webshop markedsfører lignende produkter på baggrund af en kundes køb af fx creme mod fodsvamp, der potentielt afslører noget om kundes helbredsforhold, ses det som, at oplysningen faktisk relaterer sig til kunden. Derfor vil du ikke have hjemmel til den pågældende markedsføring.

Kan jeg faktisk anvende den potentielt personfølsomme oplysning?

Som udgangspunkt er svaret nej. Dette skyldes at der i Persondataforordningen er skærpede krav til, hvilke formål personfølsomme oplysninger må anvendes til. Dermed vil det mest relevante lovlige formål, din webshop kan anvende, være et udtrykkeligt samtykke fra personen til at anvende deres helbredsoplysninger til markedsføring. Men det er nok tvivlsomt om personen vil afgive et sådant samtykke.

Bemærk i øvrigt, at et samtykke til at anvende sådanne information ikke kan være en del af de almindelige forretningsbetingelser. Kunden skal i dette tilfælde aktivt vælge til, at webshoppen må markedsføre sig til kunden på baggrund af dennes helbredsforhold. Derudover skal kunden kunne tilbagetrække dette samtykke lige så nemt, som da det blev afgivet.

Hvad skal jeg gøre?

På baggrund af Bogføringsloven, er du påkrævet at beholde dine bogføringsinformationer i 5 år - hvilket inkluderer dine salgsfakturaer. Dette betyder, at du ikke kan lade være med at registrere kunders køb. Dette er helt udramatisk og almindelig praksis, og vil heller ikke være personfølsomme oplysninger, og formålet med oplysningerne er fakturering og bogføring.

Når vi snakker markedsføring, er det derimod mere væsentligt, at du overvejer, om du anvender købshistorikken (som er en almindelig personoplysning) eller den afledte helbredsoplysning (personfølsomt data) til din markedsføring.

Derfor er det væsentligt, at du i kortlægningen af din virksomheds persondata har et overblik over personoplysningerne, og hvad formålet med disse er. Specifikt i henhold til markedsføring af produkter rettet mod specifikke helbredsproblemer eller sygdomme, lyder anbefalingen, at webshops ikke bør anvende sådanne informationer til markedsføring mod specifikke personer (eksempeltvist i form af direkte email-markedsføring eller visning på webshoppen i retning af; “fordi du tidligere har købt… anbefaler vi…”).

På den måde undgår du at komme i en situation, hvor din webshop potentielt kommer på kant med reglerne, fordi du anvender viden om en kundes helbredstilstand til markedsføringsformål uden at have kundens specifikke tilladelse.

Få flere GDPR guides og nyheder. Tilmeld dig vores nyhedsbrev.

Tilmeld dig nu

Læs også

gdpr compliance ComplyTo

GDPR forklaret - Introduktion til persondataforordningen

Lær mere om GDPR her

Facebooksider og GDPR - I deler ansvaret for persondata

Læs den her
Personers GDPR rettigheder

Hvilke rettigheder har personer efter EU persondataforordningen?

Læs dine rettigheder her

De 3 vigtigste faktorer for at overholde persondataforordningen

Læs dem her