GDPR - Vad, varför och hur

Quickbutik är förespråkare för ett starkt skydd av den personliga integriteten. För att säkerställa kunden och slutkundens rättigheter i enlighet med den nya dataskyddsförordningen (GDPR), har vi under de senaste veckorna jobbat hårt för att skapa funktioner som kan ge våra kunder mer kontroll över den data som lagras på plattformen.

Denna sidan har skapats för att lista några av de viktigaste principer i dataskyddsförordningen, likaså definitioner och vad förordningen innebär för dig som använder Quickbutik som plattform. Vänligen läs igenom detta noggrant och dela det med alla involverade i ert företag som arbetar med er webbutik hos Quickbutik.

Observera: Nya EU-dataskyddsförordningen är ett komplext regelverk. Denna sida skall inte ses som juridisk rådgivning. Vänligen konsultera en juridisk specialist för mer specifika detaljer om hur dataskyddsförordningen påverkar just ert företag.

1. Information om GDPR

Vad är GDPR?
GDPR är förkortningen på den nya dataskyddsförordningen (The General Data Protection Regulation) som träder i kraft den 25 maj 2018. Förordningen ställer skärpta krav till hanteringen av personuppgifter av medborgare i EU och EES-regionen. Förordningen implementeras i samtliga personuppgiftslagar inom EU och EES-regionen och gäller därför i alla medlemsländer oberoende av nationell lagstiftning. Förordningen påverkar alla företag som säljer till och lagrar personuppgifter om borgare i Europa.  

I Sverige kommer GDPR att ersätta Personuppgiftslagen (PUL).

Vad är en personuppgift?
Enligt dataskyddsförordningen är en personuppgift all information som kan kopplas till en specifik individ, exempelvis som: Namn, bild, e-postadress, bankuppgifter, platsinformation och datorns IP-adress.

Vad behöver jag göra för mitt företag?
Dataskyddsförordningen genomsyrar och berör hela ert företag. Man behöver vid eventuell inspektion kunna visa att man uppfyller förordningens krav på hantering av personuppgifter i alla områden där personuppgifter finns. Det gäller dels för era kunder, era anställda, men även för samarbetspartners och leverantörer.

Man bör fråga sig vem som har tillgång till personuppgifter i företaget, vart personuppgifter finns lagrade och vilken typ av uppgifter ni har tillgång till? Svaren behöver ni ha dokumenterat internt.

Finns bara personuppgifter i webbutiken?
Nej. Det är inte endast i samband med beställningar i webbutiken som personuppgifter lagras. Personuppgifter kan även lagras vid kundärendesystem, chattsystem, e-postprogram, fysiska papper, löneprogram och affärsprogram. Det är ert ansvar att identifiera var det kan förekomma hantering, behandling eller lagring av personuppgifter inom er verksamhet.


2. Quickbutik ihop med GDPR.

2.1 Du har tekniska förutsättningar för GDPR

Vi har utvecklat och lanserat nya funktioner för att säkerställa att alla butiksägare kan uppfylla de tekniska kraven i dataskyddsförordningen. Med Quickbutik kan du:

  • Få samtycken. Du kan i kassan lägga till ett fritt antal checkboxar för de samtycken du behöver. Exempelvis för utskick av nyhetsbrev och godkännande av villkor.
  • Anonymisera eller radera kunder. En kund skall efter den 25 maj 2018 kunna höra av sig och begära att bli bortglömd. Vi har skapat möjligheten för att du skall kunna göra detta. Du kan antingen välja att anonymisera kunden genom “dummy-data”, så ingen information går att koppla till kunden, eller genom att kundens uppgifter raderas helt och hållet. Kan användas från och med 25 maj 2018.
  • Automatisera anonymiseringen. Ställ in så att personuppgifter automatiskt anonymiseras efter en viss tid från det att uppgifterna har lagts till i systemet. Alla personuppgifter raderas, men övrig orderinformation finns kvar för att hålla försäljningsstatistik intakt. Kan användas från och med 25 maj 2018.


2.2 Vi har gjort det lite enklare att följa lagen

Förutom ovanstående har vi även skapat en unik funktion, GDPR Compliant, som gör det enklare för dig som butiksägare att följa lagen. Med funktionen GDPR Compliant får du hjälp med att hitta aktiverade funktioner som berör personuppgifter och en vägledning om vad du behöver tänka på. 

Exempel: 


Funktionen skall endast anses som en vägledande hjälp att följa lagen och kan inte anses vara fullständigt täckande.


2.3 Skapa GDPR-anpassade köpvillkor gratis

Frågar du dig själv hur du kan anpassa dina köpvillkor till den nya lagen? Vi har även skapat ett nytt gratisverktyg för att anpassa dina köpvillkor till den nya dataskyddsförordningen. Med verktyget kan du skapa en mall för köpvillkor, som är anpassade för GDPR. Har ni redan köpvillkor, så använd verktyget och ta specifikt del av avsnittet "Personuppgifter" i mallen som skapas.

2.4 Personuppgiftsbiträdesavtal mellan oss

Enligt dataskyddsförordningen är ett personuppgiftsbiträdesavtal nödvändigt för alla som hanterar personuppgifter åt dina vägnar. Då vi som plattformsleverantör gör detta genom att tillhandahålla dina tekniska system, måste ett personuppgiftsbiträdesavtal därför upprättas. 

Vi kommer att bifoga ett personuppgiftsbiträdesavtal som ett tillägg till våra nya allmänna användarvillkor som träder i kraft 25 maj 2018.


2.5 Övriga frågor och svar

Är personuppgiftsbiträdesavtalet med er allt jag behöver för min verksamhet?
Svaret är troligtvis nej, då du med stor sannolikhet också har andra leverantörer som behandlar personuppgifter åt dig, som till exempel vid nyhetsbrevsutskick, bokföringsprogram, chattprogram m.m. Ni behöver ha ett personuppgiftsbiträdesavtal med dessa leverantörer. Det är viktigt att ni ser till att avtalen med övriga leverantörer har tillräckliga krav på åtgärder för dataskydd. Ta kontakt med leverantören för att säkerställa kunskap om det nya regelverket och att det finns samstämmighet om roller och ansvarsfördelning.

Kan jag anonymisera eller radera mina kunder i Quickbutik?
Ja, detta kan göras på egen hand direkt från er kontrollpanel.

Kan jag begära samtycke för personuppgiftsbehandling ut mot mina kunder?
Ja, det är möjligt att skapa valfritt antal kryssrutor (checkboxar) i kassan, som kunden måste samtycka till innan de kan genomföra köpet.

Hur lagras mina kunders personuppgifter?
All data lagras inom EU (Irland) på servrar hos vår driftleverantör Amazon Web Services (AWS).

Ansvarar ni för den data som jag lagrar hos er?
Nej, du ansvarar för den data som Quickbutik lagrar på ditt uppdrag. Kontakta alltid Quickbutiks support om du har funderingar kring specifika personuppgifter.

Vilka personuppgifter får jag lagra hos er?
I vår bilaga till personuppgiftsbiträdesavtalet finns en översikt över vilka specifika personuppgifter som får lagras hos Quickbutik.


3. Hur förbereder jag min verksamhet för GDPR?

Datainspektionen har tagit fram en checklista som tar upp 13 frågor som den som behandlar personuppgifter bör ta ställning till. Vi rekommenderar att ni tar ställning till dessa punkter för att förbereda er verksamhet inför införandet av den nya dataskyddsförordningen som träder i kraft från och med 25 maj. Vi rekommenderar även att ni läser den fördjupade checklistan med Datainspektionens kommentarer. 

Vi har nedan sammanfattat de viktigaste punkterna, som berör dig med e-handel, med korta beskrivningar av vad ni bör fundera över för att förbereda er verksamhet bäst möjligt: 

  1. Organisationen bör vara medvetna om EU:s nya dataskyddsförordning
    Ni bör se till att beslutsfattare och nyckelpersoner inom er organisation (styrelse, ledningsgrupp, produktägare osv.) är medvetna om att personuppgiftslagen (PUL) kommer att ersättas av dataskyddsförordningen. Dessa beslutsfattare och nyckelpersoner är ytterst ansvariga och är de som kommer hantera eventuella bötesbelopp.

  1. Vilka personuppgifter hanterar ni?
    Er verksamhet bör inventera och dokumentera:

    i) vilka personuppgifter ni hanterar
    ii) hur personuppgifterna samlas in, och
    iii) vem som uppgifterna lämnas ut till.

    Om er verksamhet till exempel har rättat en felaktig personuppgift som tidigare har lämnats ut till någon annan, behöver ni informera mottagaren om detta så att denne i sin tur kan rätta sina egna register. Ni kommer inte att kunna uppfylla detta krav om ni inte vet vilka uppgifter som ni hanterar, varifrån de samlades in och till vem uppgifterna har lämnats ut.

  2. Vilken information lämnar ni till den registrerade?
    När man samlar in personuppgifter måste man lämna viss information till den registrerade. Ni bör därför granska den information som ni lämnar till de registrerade och fundera öve vilka förändringar av den information som kan bli nödvändig att göra.

    Dataskyddsförordningens regler innebär bland annat att ni kommer att behöva informera den registrerade om i) den rättsliga grunden för behandlingen, ii) hur länge personuppgifterna lagras och iii) om möjligheten att lämna klagomål till tillsynsmyndigheten vid vad den registrerade anser för att vara felaktig hantering av den registrerades personuppgifter (i Sverige är tillsynsmyndigheten Datainspektionen).


  1. Hur ska ni tillmötesgå de registrerades rättigheter?
    Ni bör se över era rutiner för att säkerställa att ni kan uppfylla de rättigheter som den registrerade har enligt dataskyddsförordningen.

    De viktigaste rättigheterna för den registrerade är att:

    - Få tillgång till sina personuppgifter som finns lagrade
    - Få felaktiga personuppgifter rättade
    - Få sina personuppgifter raderade
    - Invända mot att personuppgifterna används för direktmarknadsföring
    - Invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
    - Flytta personuppgifterna

    Quickbutik kommer att se till att butiksägarna utifrån ett tekniskt perspektiv har möjlighet att säkerställa de registrerades rättigheter i enlighet med dataskyddsförordningen, exempelvis genom att ordna tekniska lösningar för butiksägaren, så ni kan radera eller rätta personuppgifter.


  2. Med vilket rättsligt stöd behandlar ni personuppgifter?
    Det är viktigt att ni undersöker

    1) Vilken typ av uppgifter som ni behandlar och 2) med vilket rättsligt stöd ni gör detta.

    Slutsatserna för de ovanstående frågor bör dokumenteras. Med förordningen följer krav på att man ska kunna informera om den rättsliga grunden redan när uppgifterna samlas in. Det är därför viktigt att man från har klart för sig med vilket stöd behandlingen sker.

    Datainspektionen har skrivit om de sex rättsliga grunderna, som ni kan basera er insamling av uppgifter på. Läs dem här: https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/rattslig-grund-for-personuppgiftsbehandling/


  3. Hur inhämtar ni samtycke?
    Ni bör undersöka på vilket sätt ni i) inhämtar samtycke, ii) vilken information ni lämnar och iii) hur ni sparar uppgiften om att samtycke har lämnats av den registrerade.

    Dataskyddsförordningen ställer tydliga krav på att ett samtycke måste vara giltigt, det vill säga en frivillig, specifik och otvetydig viljeyttring från den registrerade, som ska ha fått tydlig information om behandlingen. Det får inte råda tvekan om att behandlingen av personuppgifter godtas, därför godtas inte en på förhand ikryssad ruta som ett samtycke.

  4. Behandlar ni personuppgifter om barn?
    Om ni erbjuder tjänster till barn måste ni fundera på hur ni ska kunna inhämta vårdnadshavares samtycke i samband med behandling av barnets personuppgifter. Med dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter.

  5. Vad ska ni göra vid personuppgiftsincidenter?
    Ni bör se till att ni kan leva upp till de nya skyldigheter i förordningen genom att ni har tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Ni bör även fundera över vilka risker en sådan incident kan medföra och om ni behöver anmäla händelsen till Datainspektionen.

    En personuppgiftsincident kan vara om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar.

  6. Vem ansvara för dataskyddsfrågor i er organisation?
    Bestäm var i er organisation som ansvaret för dataskyddsfrågor ska ligga. Driver du bolaget ensamt, är du ansvarig för det. Om det krävs enligt dataskyddsförordningen måste ni även formellt utse ett dataskyddsombud.

  7. Har ni verksamhet i flera länder?
    Om er organisation bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför. 


5. Vart kan jag läsa mer om dataskyddsförordningen?

På verksamt.se finns information för småföretag kring GDPR och även en guide som tar upp de viktigaste punkterna som hjälper dig med vad ni behöver tänka på för just ert företag. Fördjupande information om Dataskyddsförordningen/GDPR finns på Datainspektionens officiella hemsida.