GDPR - Hva, hvorfor og hvordan
Quickbutik er fortaler for en sterk beskyttelse av personvern. For å forsikre kunden og sluttkundens rettigheter i henhold til personvernforordningen (GDPR), har vi jobbet hardt med å opprette funksjoner som kan gi kundene våre mer kontroll over dataene som er lagret på plattformen.
Denne siden er opprettet for å liste opp noen av de viktigste prinsippene i personvernforordningen, samt definisjoner og hva forordningen betyr for deg som bruker Quickbutik som plattform. Vennligst les igjennom dette nøye og del det med alle som er involvert i bedriften som jobber med nettbutikken din hos Quickbutik.
Merk: Den nye EU-personvernforordningen er et komplekst regelverk. Denne siden skal ikke ses som juridisk rådgivning. Ta kontakt med en juridisk spesialist for mer spesifikke detaljer om hvordan personvernforordningen påvirker akkurat din bedrift.
1. Informasjon om GDPR
Hva er GDPR?
GDPR er forkortelsen for den nye personvernforordningen (The General Data Protection Regulation) som tredde i kraft 25. mai 2018. Forordningen stiller strengere krav til håndteringen av personopplysninger av medborgere i EU og EES-regionen enn tidligere. Forordningen implementeres i samtlige personopplysningslover innom EU og EES-regionen og gjelder derfor i alle medlemsland uavhengig av nasjonal lovgivning. Forordningen påvirker alle bedrifter som selger til og lagrer personopplysninger om innbyggere i Europa.
Hva er en personopplysning?
I følge personvernforordningen så er en personopplysning all informasjon som kan kobles til et bestemt individ, for eksempel: Navn, bilde, e-postadresse, bankinformasjon, stedsinformasjon og datamaskinens IP-adresse.
Hva må jeg gjøre for min bedrift?
Personvernforordningen gjennomsyrer og påvirker hele din bedrift. Ved eventuell inspeksjon må man kunne vise at man oppfyller forordningens krav på håndtering av personopplysninger i alle områdene der personopplysninger finnes. Det gjelder dels for kundene deres, de ansatte, men også for samarbeidspartnere og leverandører.
Man bør spørre seg selv om hvem som har tilgang til personopplysninger i bedriften, hvor personopplysningene finnes lagret og hva slags opplysninger dere har tilgang til? Svarene må dere ha dokumentert internt.
Finnes personopplysninger kun i nettbutikken?
Nei. Det er ikke bare i forbindelse med ordrer i nettbutikkens at personopplysninger lagres. Personopplysninger kan også lagres ved kundesakssystemer, chat-funksjoner, e-postprogrammer, fysiske papirer, lønningsprogram og fortetningssystemer. Det er deres ansvar å identifisere hvor det kan forekomme håndtering, behandler eller lagring av personopplysninger i deres bedrift.
2. Quickbutik sammen med GDPR.
2.1 Du har tekniske forutsetninger for GDPR
Vi har utviklet og lansert funksjoner for å forsikre at alle butikkeiere kan oppfylle de tekniske kravene hos personvernforordningen. Med Quickbutik kan du:
- Få samtykke. Du kan legge til et fritt antall avmerkingsbokser for de samtykkene du trenger. For eksempel utsendelse av nyhetsbrev og godkjenning av vilkår.
- Anonymisere eller slette kunder. Fra 25 mai 2018 må kunder ta kontakt og be om å bli bortglemt. Vi har skapt muligheten til å gjøre dette. Du kan enten velge å anonymisere kunden gjennom ”dummy-data”, slik at ingen informasjon kan knyttes til kunden, eller ved å slette kundens informasjon helt.
2.2 Vi har gjort det litt lettere å følge loven
I tillegg til det som er nevnt ovenfor så har vi også skapt en unik funksjon. GDPR Compliant, som gjør det lettere for deg som butikkeier å følge loven. Med funksjonen GDPR Compliant får du hjelp med å finne aktiverte funksjoner som påvirker personopplysninger og en veiledning om hva du trenger å tenke på.
Eksempel:
Funksjonen skal kun betraktes som en veiledende hjelp til å følge loven og kan ikke betraktes som fullstendig omfattende.
2.3 Lag GDPR-tilpasset kjøpsvilkår gratis
Spør du deg selv om hvordan du kan tilpasse kjøpsvilkårene til loven? Vi har også opprettet et gratis verktøy for å tilpasse kjøpsvilkårene dine til personvernforordningen. Med verktøyet kan du opprette en mal for kjøpsvilkår, som er tilpasset GDPR. Hvis du allerede har kjøpsvilkår, så bruk verktøyet og bruk avsnittet ”personopplysninger i malen som opprettes.
2.4 Databehandleravtale mellom oss
Ifølge personvernforordningen så er en databehandleravtale nødvendig for alle som håndterer personopplysninger på dine vegne. Ettersom vi som plattformsleverandør gjør dette ved å ta vare på dine tekniske system, må en databehandleravtale opprettes.
2.5 Øvrige spørsmål og svar
Er databehandleravtalen med dere alt jeg trenger for min bedrift?
Svaret er sannsynligvis nei, ettersom du sannsynligvis har andre leverandører som behandler personopplysninger for deg også, som for eksempel utsendelse av nyhetsbrev, regnskapsprogrammer, chatprogrammer etc. Du trenger en databehandleravtale med disse leverandørene. Det er viktig at dere sikrer at avtaler med øvrige leverandører har tilstrekkelige krav til tiltak for datasikring. Ta kontakt med leverandøren for å sikre kunnskap om det nye regelverket og at det er enighet om roller og ansvarsfordeling.
Kan jeg anonymisere eller slette kundene mine i Quickbutik?
Ja, dette kan gjøres på egen hånd direkte fra kontrollpanelet.
Kan jeg be om samtykke for behandling av personopplysninger overfor kundene mine?
Ja, det er mulig å opprette valgfritt antall avmerkingsbokser i kassen, som kunden må godta før de kan gjennomføre kjøpet.
Hvordan lagres kundene mine sine personopplysninger?
All data lagres innom EU (Irland) på servere hos vår operatør Amazon Web Services (AWS).
Er dere ansvarlig for den dataen som jeg lagrer hos dere?
Nei, du er ansvarlig for den dataen som Quickbutik lagrer på dine vegne. Kontakt alltid Quickbutiks support hvis du har funderinger rundt spesifikke personopplysninger.
Hvilke personopplysninger kan jeg lagre hos dere?
I vårt vedlegg til databehandleravtalen finnes en oversikt over hvilke spesifikke personopplysninger som kan lagres hos Quickbutik.
3. Hvordan forbereder jeg min bedrift for GDPR?
Datatilsynet har en sjekkliste som som tar opp 16 punkter som behandler personopplysninger man bør ta stilling til. Vi har oppsummert de viktigste punktene som angår deg med e-handel nedenfor med korte beskrivelser av hva du bør tenkte på for å forberede bedriften din best mulig. Vi anbefaler også at du leser sjekklisten til Datatilsynet
Nedenfor har vi oppsummert de viktigste punktene, som angår deg med e-handel, med korte beskrivelser om hva du bør tenke på for å forberede din virksomhet best mulig:
Organisasjonen bør være oppmerksom på EU’s personvernforordning.
Dere bør sørge for at beslutningstakere og nøkkelpersoner i organisasjonen deres (styrelse, ledergruppe, produktinnehavere osv) er medvitne om personvernforordningen. Disse beslutningstakerne og nøkkelpersonene er til syvende og sist ansvarlige og er de som håndterer eventuell bøter.
- i) hvilke personopplysninger dere håndterer
(ii) hvordan personopplysningene samles inn, og
(iii) hvem som opplysningene leveres ut til
Hvis deres bedrift for eksempel har korrigert en feilaktig personopplysning som tidligere har blitt offentliggjort til noen andre, må dere informere mottakeren om dette slik at han eller hun kan korrigere sine egne registre. Dere vil ikke kunne oppfylle dette kravet hvis ikke dere vet hvilke opplysninger dere håndterer, hvor det blir hentet fra og til hvem opplysningene har blitt levert til.
Hvilke personopplysninger håndterer dere?
En bedrift bør inventar og dokumentere:
- Hvilken informasjon leverer dere til den registrerte?
Når man samler inn personopplysninger må man gi viss informasjon til den registrerte. Dere bør derfor gå gjennom informasjonen dere gir til de registrerte og vurdere hvilke endringer av informasjonen som kan være nødvendig å gjøre.
Personvernforordningens regler innebærer blant annet at dere må informere den registrerte om i) det juridiske grunnlaget for behandlingen ii) hvor lenge personopplysningene lagres og iii) om muligheten til å klage til datatilsynet om hva den registrerte anser som feil behandling av registrerte personopplysninger.
- Hvordan skal dere møte rettighetene til de registeret?
Dere bør se gjennom prosedyrene for å forsikre om at dere oppfyller rettighetene til den registrerte har i følge personvernforordningen.
De viktigste rettighetene for den registrerte er å:
Få tilgang til sine personopplysninger som finnes lagres
- Få feilaktige personopplysninger rettet
- Få sine personopplysninger slettet
- Innvende mot at personopplysningene brukes for direktemarkedsføring
- Innvende mot at personopplysningene brukes for automatisert beslutningstaking og profilering
- Flytte personopplysningene
Quickbutik vil sikre at butikkeiere fra et teknisk perspektiv har mulighet til å sikre at de registertes rettigheter i henhold med personvernforordningen, for eksempel ved å tilrettelegge tekniske løsninger for butikkeieren, slik at dere kan slette eller korrigere personopplysninger.
- Med hvilken juridisk støtte behandler dere personopplysninger?
Det er viktig at dere undersøker
1) Hvilken type av opplysninger som dere behandler og 2) med hvilken juridisk støtte dere gjøre det med.
Konklusjonene for spørsmålene ovenfor bør dokumenteres. Med forordningen følger det med krav på hva man skal kunne informere om det juridiske grunnlaget allerede når opplysningene samles inn. Derfor er det viktig å være tydelig om støtten som behandlingen foregår med.
Du kan lese om personvernprinsippene her. https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/
- Hvordan får dere får samtykke?
Dere bør undersøke hvordan dere kan i) innhente samtykke, ii) hvilken informasjon dere utleverer og iii) hvordan dere lagrer opplysningene om samtykke har blitt utlevert av den registrerte.
Personvernforordningen stiller tydelige krav til at et samtykke må være gyldig, det vil si et frivillig, spesifikk og utvetydig uttrykk fra den registrerte, som skal ha fått tydelig informasjon om behandlingen. Det kan ikke være noen tvil om at behandlingen av personopplysninger godtas, derfor godtas ikke en avmerkingsboks som er krysset i på forhånd som samtykke.
- Behandler dere personopplysninger om barn?
Hvis dere tilbyr tjenester til barn må dere vurdere hvordan dere skal få inn samtykke fra foresatte i forbindelse med behandling av barnets personopplysninger. Med personvernforordningen innfører en forsterket beskyttelse av barns personopplysninger.
- Hva skal dere gjøre med personopplysningsbrudd?
Dere bør sikre at dere kan leve opp til de forpliktelsene i forordningen ved å ha tilstrekkelige rutiner på plass for å kunne oppdage, rapportere og undersøke personopplysningbrudd. Dere bør også vurdere over hvilke risikoer et slikt brudd kan medføre, og om dere må rapportere hendelsen til Datatilsynet.
Et personopplysningsbrudd kan være om dere blir utsatt for en form av hacking og mister kontrollen over de opplysningene dere behandler.
- Hvem er ansvarlig for personvernspørsmål i organisasjonen deres?
Bestem hvor i organisasjonen ansvaret for personvernspørsmål skal ligge. Hvis du driver bedriften, er det du som er ansvarlig for det. Hvis det er påkrevd i personvernforordningen, må dere også formelt utse en personvernombud.
- Har dere bedrifter i flere land?
Hvis organisasjonen deres opererer i flere ulike EU-land bør dere finne ut hvilken personvernforordning som er ansvarlig for tilsynet av de personopplysningene dere utfører.
- Hvor kan jeg lese mer om personvernforordningen?
På bedrift.no finner du informasjon om GDPR. https://www.dinbedrift.no/. Fordypet informasjon om Personvernforordningen/ GDPR finner du på Datatilsynets offisielle hjemmeside. https://www.datatilsynet.no/