Blogg

Kort og godt om GDPR for nettbutikker

Skrevet av 24Nettbutikk | 17.apr.2018 19:43:04

De fleste som jobber med handel eller markedsføring på internett i Europa har antakeligvis fått med seg at det finnes noe som omtales som “GDPR”. Noen har jobbet med å tilpasse bedriften til GDPR i et år, mens andre innser nå at de kanskje bør begynne å tenke på saken, de også. Ytterligere andre har kanskje tenkt at dette ikke gjelder for dem.

Men hva er GDPR egentlig, og hvilke betydning vil den få for folk som oss, som jobber med handel på nett? Og minst like viktig: Må du gjøre noe for å ikke bryte loven i fremtiden?

General Data Protection Regulation

Innføring i Norge

“GDPR” er rett og slett en forkortelse for General Data Protection Regulation, og er en EU-forordning som trer i kraft den 25. mai 2018. At jeg omtaler den som en “forordning” er ikke tilfeldig. Fra før av er nordmenn godt kjent med EU-direktiver, men vi er ikke like vel bevandret med forordninger.

En forordning er EU-lover som blir direkte bindende i hvert enkelt medlemsland, uten at hvert enkelt medlemsland må vedta loven eller skrive den om og tilpasse den til eget lovverk. Direktiver må derimot vedtas og skrives inn i eksisterende lovverk i medlemslandene.

GDPR er altså en forordning, og blir bindende i Norge, gjennom EØS-avtalen, uavhengig av om Stortinget og Justis- og beredskapsdepartementet velger å tilpasse den norsk lovverk.

Hva skal GDPR oppnå?

GDPR har som hovedoppgave å sikre at alle borgere i EU (og EØS) kan velge hvem de ønsker å dele sine personopplysninger med, samtidig som GDPR regulerer hva opplysninger kan brukes til, og hvilke opplysninger det er lov å samle inn. Det settes også krav til hvordan opplysningene må sikres, hvor lenge man kan oppbevare opplysninger om andre, hvem man kan videreformidle opplysningene til, osv.

I korte trekk handler GDPR om å sikre at du, som borger, eier egne personopplysninger. Du bestemmer over opplysningene dine, og hva de kan brukes til. Hverken myndigheter, bedrifter eller andre privatpersoner kan eie opplysninger om deg. De er dine, og du gjør hva du vil med dem (med noen forbehold).

Hvem gjelder GDPR for?

Forstå hva personopplysninger er

GDPR regulerer behandling av personopplysninger om privatpersoner, og ikke bedrifter.

Dette betyr at organisasjonsnummer ikke er en personopplysning, mens et fødselsnummer er det.

Personopplysninger er kort og godt opplysninger som kan knyttes eller er knyttet til et enkeltindivid. Noen eksempler kan være:

E-postadresser og brukernavn, gateadresser, fødselsnummer og andre id-nummer, stedsdata, data som er spesifikk for vedkommendes fysiske, psykiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identitet.

Kort fortalt er personopplysninger all data som på en eller annen måte kan knyttes til en privatperson. Et postnummer vil i de fleste tilfeller ikke kunne identifisere et individ, da det gjerne bor mange mennesker på et postnummer. Derimot kan et postnummer inngå i en fullstendig adresse, og i den konteksten er det en personopplysning.

På samme tid kan man tenke seg at det finnes postnummer i Norge hvor det bare bor noen ytterst få individer. Dersom du vet alder (som i seg selv heller ikke trenger å være en personopplysning) på en ukjent person på et slikt postnummer, vil det ofte være enkelt å identifisere et individ. Kun ved hjelp av to opplysninger som hver for seg er “anonyme”.

Gjelder GDPR for meg?

GDPR gjelder for bedrifter eller andre som samler inn personopplysninger.

For å avgjøre om dataen du eller din bedrift samler inn er personopplysninger, bør du tenke over følgende:

  • Hva slags data samler jeg inn?
  • Kan det tenkes at noen ville klare å identifisere enkeltindivider ved hjelp av dataen jeg har?

Og videre:

  • Kan det tenkes at noen ville klare å identifisere enkeltindivider ved hjelp av dataen jeg har, dersom de ser den i sammenheng med data de kan ha tilgjengelig?

 

Dersom svaret er “ja” på et av de to siste spørsmålene, er det sannsynlig at GDPR gjelder for deg.

Selger du varer gjennom din nettbutikk, er du gjerne avhengig av en adresse, et navn, et telefonnummer og en e-postadresse fra kundene. Dette er i seg selv personopplysninger, og GDPR vil derfor gjelde for deg.

Dersom du kun driver en nettside, uten innsamling av slike opplysninger, bør du vurdere hvorvidt du har andre innsamlinger, f.eks. nyhetsbrevlister, analyseverktøy som analyserer bruksmønster og statistikk på nettsiden, brukerinnlogginger/brukerkontoer eller andre løsninger som samler inn data om besøkende.

Dersom GDPR gjelder for deg, bør du lese videre. Her kommer tips til hva du bør tenke på frem mot 25. mai, og etter det!

Hva må jeg gjøre, dersom GDPR gjelder for min bedrift?

Samtykke

Dersom du samler inn personopplysninger, er sannsynligheten stor for at det kreves at den registrerte (den fysiske personen opplysningene handler om) må samtykke til innsamlingen.

Dette gjelder særlig dersom formålet med innsamlingen er markedsføring, f.eks. ved innsamling av e-postadresser til en nyhetsbrevliste.

Samtykket innhentes ved å spørre vedkommende om det er OK at opplysningene benyttes til tydelig angitte formål, innenfor en angitt tidsperiode. Samtykke må være enkelt å lese, og det kreves at vedkommende eksplisitt viser at de samtykker, f.eks. ved å krysse av i en boks.

Vedkommende skal også motta opplysninger om hvem som er behandlingsansvarlig, hvilke sikkerhetstiltak som finnes for å sikre opplysningene, hvem opplysningene deles med, samt hvordan de kan trekke samtykket senere.

Merk: Avkryssningsboksen kan ikke være forhåndsavkrysset!

Det er opp til behandlingsansvarlig (butikken) å bevise at noen har gitt et samtykke. Det er derfor lurt å dokumentere når og hvordan hver enkelt har samtykket. Pass bare på at denne listen ikke i seg selv er full av unødvendige personopplysninger.

Se eksempel på et samtykkeskjema her.

Lovlig behandling av opplysninger uten samtykke

Dersom du kun samler inn personopplysninger for å gjennomføre en handel (sende ut varer, ta betalt), er ikke et samtykkeskjema nødvendig. Likevel skal vedkommende få informasjon om hva opplysningene benyttes til, hvor lenge de lagres, hvem de deles med, hvordan opplysningene er sikret, samt vedkommendes mulighet til å få tilgang til og endre opplysningene dere har lagret om dem. Dette kan fremkomme i butikkens personvernerklæring og gjerne også i kjøpsvilkår. En avkrysningsboks for å bekrefte at man aksepterer vilkårene er tilstrekkelig her. Dette har de fleste butikker allerede.

Merk: Dersom du også samler inn e-postadresse eller telefonnummer i kassen for bruk til nyhetsbrev eller annen markedsføring, må det samles inn et eksplisitt samtykke for dette. Se kapittel om samtykke for detaljer.

Håndtering av personopplysninger generelt

Personvernerklæring:

Dersom din butikk samler inn personopplysninger, må butikken ha en personvernerklæring. Personvernerklæringen må inneholde

  • Kontaktdetaljer til behandlingsansvarlig
  • En oversikt over alle typer data dere behandler
  • Formålet med behandlingen
  • Behandlingsgrunnlaget deres (hva som gir dere rett til å behandle opplysninger: samtykke, nødvendig for å inngå en avtale, ivaretakelse av berettigede interesser mv.)
  • Hvordan dataen behandles
  • Lagringstid, eller kriteriene som avgjør denne.
  • Hvem dataen deles med, om noen
  • Om dataen deles med tredjepart utenfor EU/EØS
  • Den registrertes rettigheter (rett til tilgang til egne opplysninger, rett til korrigering av feilaktige opplysninger, rett til sletting, rett til dataportabilitet, rett til begrensning av behandlingen, rett til å trekke samtykke, rett til å klage på behandlingen)
  • Informasjon om eventuelle automatiske avgjørelser

Personvernerklæringen skal være en fullstendig liste over all behandling dere gjør, hvorfor dere gjør det og hva som gjør behandlingen lovlig (behandlingsgrunnlaget). Personvernerklæringen skal også inneholde kontaktdetaljer til behandlingsansvarlig, slik at den registrerte kan sende inn spørsmål eller henvendelser om behandlingen.

Erklæringen bør være lett tilgjengelig på nettsiden, f.eks. tilgjengelig som en link i footeren.

Cookie policy:

Dersom butikken din benytter cookies (de fleste gjør det, i større eller mindre grad), må du informere de besøkende om dette. Opprett en informasjonsside om cookies, omtrent som en personvernerklæring. List opp informasjonskapslene dere benytter, formålet med disse, samt dataene disse samler inn. Forklar for kundene hvorfor cookies er viktig, og forklar at cookies er basert på samtykke. Det spesielle med cookies er at de kun kan benyttes dersom kunden har samtykket til dette. Men, dette samtykket gis ved at kunden har cookies påskrudd i nettleseren de benytter. Altså, dersom nettleseren de benytter aksepterer cookies, har kunden per definisjon samtykket. Du trenger med andre ord ikke å samle inn et ekstra samtykke for bruk av informasjonskapsler utover dette.

Sikkerhet:

GDPR stiller en del grunnkrav til sikkerheten rundt behandlingen av personopplysninger. Dette fremkommer i forordningens artikkel 32. Kravene er dessverre ikke særlig spesifikke.

En god huskeregel her er at sikkerhetsnivået må være tilpasset dataen du har samlet inn. Jo mer sensitiv dataen er, desto høyere krav til sikkerhet er det.

Du bør i det minste kryptere data, holde databaser adskilt slik at tilgang til én ikke gir tilgang til alle, ha gode passord og helst to-faktor-autentisering, sørge for SSL-tilkobling til alle punkter hvor personopplysninger samles inn, anonymisere eller pseudonymisere data hvor dette er praktisk mulig, sørge for at kun autorisert personell har tilgang til personopplysninger (begrense hvem som har tilgang til hva i bedriften), samt holde all programvare oppdatert.

Jevnlig testing av sikkerhetsrutiner er lurt, og stilles også opp som et krav.

Merk: I personvernerklæringen skal det informeres om sikkerhetsrutiner. Vær likevel forsiktig med å dele informasjon som lar uærlige krefter utnytte seg av sikkerhetshull.

Deling:

Ikke del personopplysninger med andre enn de du har oppgitt i samtykkeerklæringen. Alle tredjeparter eller andre du deler data med må fremkomme i samtykkeerklæring og i personvernerklæring. Sørg for ha databehandleravtale på plass med disse tredjepartene, og forsikre deg om at tredjeparten også ivaretar sikkerheten rundt opplysningene.

Sletting av opplysninger:

Dersom opplysninger du har samlet inn ikke lenger er nødvendige for det formålet de ble samlet inn, skal disse slettes eller totalt anonymiseres. Det samme gjelder dersom den registrerte trekker samtykket sitt, eller dersom det ikke finnes et godkjent samtykke overhodet.

Et eksempel kan være: For fem år siden samlet du inn en e-postadresse og et navn for å sende over et godt tilbud til en kunde som til slutt takket nei.

Denne dataen er ikke lenger relevant, og kunden ønsket ikke å motta flere tilbud fra deg.

Denne dataen bør derfor slettes.

Nyhetsbrev uten godkjent samtykke:

En god del nettbutikker har store nyhetsbrevlister, som dessverre har blitt samlet inn uten godkjente samtykker. Mange nettbutikker er helt avhengig av markedsføring via e-post. Dersom godkjent samtykke ikke ble samlet inn ved oppmelding, eller dersom du ikke har andre berettigede interesser (jf. GDPR art. 6(1) bokstav f, legitimate interests), er utsendelse av nyhetsbrev til disse faktisk ulovlig etter 25. mai 2018 (og forsåvidt i dag, etter dagens personopplysningslov).

Dette bør du gjøre dersom dette gjelder din bedrift:

Vurder hvorvidt behandlingsgrunnlaget ditt bør fortsette å være samtykke, eller om berettiget interesse kan benyttes. Du bør fortsatt benytte samtykke ved innhenting av nye abonnenter, men berettiget interesse kan benyttes for eksisterende e-postlister, dersom du vurderer det slik.

Dersom du vurderer det slik at samtykke må benyttes: 
Forsøk å samle inn samtykker fra dine abonnenter før 25. mai 2018. Send ut e-post, og forklar kundene dine at du behøver samtykke for å kunne fortsette å dele gode tilbud eller ideer med dem. Lag et webskjema for innsamling av samtykker, og sørg for å dokumentere hvem som samtykker. Alle du nå har samlet inn oppdaterte samtykker fra kan inngå i din oppdaterte nyhetsbrevliste. Her er det en god idé å være selgende og smart i kommunikasjonen, men likevel ærlig og oppriktig. Et samtykke er bare gyldig dersom den som samtykker vet hva de samtykker til og tar et informert valg. Det er dumt å bruke mye tid og energi på å samle inn samtykker som til slutt ender opp med å være ugyldige likevel.

Dersom du vurderer det slik at berettiget interesse kan benyttes: 
Du bør likevel renske opp i e-postlisten din. Vurder om hver enkelt abonnent faktisk responderer (åpner, klikker) på nyhetsbrevene du sender. Dersom de virker interesserte, kan du anta at de er interesserte i å fortsette å være abonnent, såfremt de har hatt anledning til å melde seg av. Vi anbefaler også at du sender ut et skriv, hvor du informerer om nye personvernregler, og tydeliggjør at kundene har anledning til å melde seg av, dersom de ikke lenger ønsker å være din abonnent. I fremtiden bør du likevel innhente samtykke for nye abonnenter, og på den måten sikre at alle som blir meldt opp faktisk har takket aktivt "ja" til dette. 

Kort oppsummert:

Dette virker kanskje som overveldende?

Vel, det er egentlig ikke så omfattende som jeg kanskje får det til å fremstå. Her er en lynrask oppsummering av de viktigste punktene:

  • Finn ut hvilke personopplysningstyper du samler inn.
  • Sørg for å samle inn opplysninger med godkjente samtykker.
  • Sørg for å skrive en personvernerklæring og en cookie-erklæring, og ha disse tilgjengelige på nettsidene dine.
  • Sørg for at du har sikre nettsider, med oppdatert programvare, kryptering og gode passord.
  • Ikke del opplysninger med tredjeparter dersom den registrerte ikke har samtykket til dette.
  • Sørg for å ikke lagre opplysninger du ikke lenger trenger. Slett unødvendige personopplysninger, og personopplysninger der samtykke mangler.
  • Husk at den registrerte eier egne opplysninger. Dersom de ber om at data om dem skal slettes, skal dette gjøres, med mindre du kan dokumentere at du oppbevare data for f.eks. lovpålagte bokføringskrav.
  • Tenk på personvernet når du implementerer nye løsninger i fremtiden!

Vær oppmerksom på at dette ikke er en uttømmende liste over hva du må tenke på i forbindelse med innføringen av GDPR. Dette er ment som en liten innføring til deg som driver med netthandel. Ta gjerne kontakt dersom du har spørsmål du ikke fikk svar på i dette blogginnlegget.

 

Blogginnlegget er skrevet av vår egen Petter Teie Hellum. Petter innehar stillingen personvernombud og data protection officer.