GDPR - Hva, hvorfor og hvordan

Quickbutik forsvarer målrettet din personlige integritet på nett. For å sikre kunden og sluttkundens rettigheter i samsvar med den nye personvernforordningen (GDPR), har vi de siste ukene jobbet hardt for å lage funksjoner som gir kundene våre mer kontroll over data som lagres på plattformen.

Denne siden er opprettet for å liste noen av de viktigste prinsippene i personvernforordningen, definisjoner og hva forordningen innebærer for deg som bruker plattformen Quickbutik. Vennligst les denne informasjonen nøye, og del videre med alle i selskapet som jobber med nettbutikken din hos Quickbutik.

Vennligst merk: EU-s nye personvernforordning er et sammensatt regelverk. Denne siden skal ikke betraktes som juridisk rådgivning. Kontakt en juridisk rådgiver for mer spesifikke detaljer om hvordan personvernforordning påvirker selskapet ditt. 

1. Informasjon om GDPR

Hva er GDPR?

GDPR er forkortelsen for EUs nye personvernforordning (The General Protection Regulation) som trær i kraft 25. mai 2018.  Personvernforordningen stiller strengere krav til håndtering av personopplysninger for innbyggere i EU og EØS-regionen. Personvernforordningen blir iverksatt i alle personopplysningslover i EU og EØS-regionen og er derfor gjeldende i samtlige medlemsstater, uavhengig av nasjonal lovgivning. Den nye forordningen berører alle selskaper som selger til og lagrer personopplysninger om borgere i Europa. I Sverige vil GDPR erstatte Personopplysningsloven (PUL).

Hva er en personopplysning?
Ifølge personvernforordningen er en personopplysning all informasjon som kan knyttes til en bestemt person, f.eks. navn, bilde, e-postadresse, bankinformasjon, posisjonsinformasjon og datamaskinens IP-adresse.  

Hva trenger jeg gjøre for selskapet mitt?
Personvernforordningen gjennomsyrer og påvirker hele selskapet deres. I tilfelle av en inspeksjon må dere kunne vise at dere overholder forordningens krav til håndtering av personopplysninger på alle områder der personopplysninger er tilgjengelige. Dette gjelder delvis overfor deres kunder, deres ansatte, men også overfor partnere og leverandører.

Dere bør stille spørsmål om hvem som har tilgang til personopplysninger i selskapet, hvor personopplysninger lagres og hva slags data dere har tilgang til. Svarene bør også dokumenteres internt.

Er det kun personopplysninger i nettbutikken?
Nei, det er ikke bare i forbindelse med bestillinger i nettbutikken som personopplysninger lagres. Disse kan også lagres i kundens forretningssystemer, chatsystemer, e-postklienter, fysiske papirer, lønnsprogrammer og forretningsprogrammer. Ansvaret ligger på dere å identifisere hvor det forkommer håndtering, behandling eller lagring av personopplysninger i virksomheten


2. Quickbutik og GDPR.

2.1 Du har teknisk grunnlag for GDPR

Vi har utviklet og lansert nye funksjoner for å sikre at alle butikkeiere oppfyller de tekniske kravene i personvernforordningen. Med Quickbutik kan du:

  • Få samtykke. I kassen kan du legge til et gratis antall avmerkingsbokser for de samtykker du trenger. For eksempel, for utsendelse av nyhetsbrev og godkjenning av vilkår og betingelser.
  • Anonymisere eller slette kunderEtter 25. mai 2018 skal en kunde kunne høre fra seg og be om å bli slettet. Vi har skapt muligheten for deg å gjøre dette. Du kan enten velge å anonymisere kunden gjennom "dummy data", slik at ingen informasjon kan knyttes til kunden, eller ved å slette kundens informasjon fullstendig. Funksjonen kan brukes fra 25. mai 2018.


2.2 Vi har gjort det enkelt å følge loven

I tillegg til det ovennevnte, har vi også laget en unik funksjon, GDPR Compliant, som gjør det enklere for deg som butikkeier å følge loven. GDPR Compliant funksjonen hjelper deg å finne aktiverte funksjoner som berører personopplysninger og en veiledning om hva du bør tenke på.

For eksempel: 


Funksjonen er bare en veiledning og hjelp for å følge loven, og kan ikke betraktes som     dekkende.


2.3 Opprett GDPR-tilpassede kjøpsbetingelser gratis

Lurer du på hvordan du kan tilpasse kjøpsbetingelsene dine til den nye loven? Vi har også laget et nytt gratis verktøy som gjør det enklere å tilpasse kjøpsbetingelser til den nye personvernforordningen. Med verktøyet kan du lage en GDPR-tilpasset mal for kjøpsbetingelsene dine. Hvis du allerede har kjøpsbetingelser, bruk verktøyet og særlig delen "Personopplysninger" i malen som er opprettet.

2.4 Personopplysningsbistandsavtalen mellom oss

Ifølge personvernforordningen er en personopplysningsbistandsavtale nødvendig for alle som behandler personopplysninger på dine vegne. Ettersom vi som din plattformleverandør gjør dette ved å tilby tekniske systemer, må det derfor opprettes en personopplysningsbistandsavtale.

Vi vedlegger en personopplysningsbistandsavtale som et tillegg til de nye generelle vilkårene som trer i kraft 25. mai 2018.

2.5 Andre spørsmål og svar

Er personopplysningsbistandsavtalen med dere alt jeg trenger for virksomheten min?
Svaret er trolig nei, og det er mer sannsynlig at du har flere leverandører som behandler personopplysninger for deg, f.eks. nyhetsbrev, bokføringsprogrammer, chatprogrammer etc. Dere trenger opprette en personopplysningsbistandsavtale med disse leverandører. Det er viktig å sikre at avtalene med andre leverandører har tilstrekkelige krav på databeskyttelsestiltak. Kontakt leverandøren for å sikre kunnskapen om det nye regelverket, og at dere er enige om roller og ansvarsfordeling.

Kan jeg anonymisere eller slette mine kunder i Quickbutik?
Ja, dette kan du gjøre direkte fra kontrollpanelet.

Kan jeg be om samtykke for behandling av personopplysninger ut til kundene mine?
Ja, det er mulig å opprette valgfritt antall avmerkingsbokser (checkbokser) i kassen, som kunden må samtykke til, før de kan fullføre kjøpet.

Hvordan lagres personopplysninger til kundene mine?
All data lagres i EU (Irland) på servere hos vår driftsleverandør Amazon Web Services (AWS).

Er dere ansvarlige for dataen som jeg lagrer hos dere?
Nei, du er ansvarlig for data som Quickbutik lagrer på dine vegne. Kontakt alltid Quickbutiks support hvis du har spørsmål om spesifikke personopplysninger.

Hvilke personopplysninger får jeg lagre hos dere?
I vårt vedlegg til personopplysningsbistandsavtalen har vi laget en liste over hvilke spesifikke personopplysninger som får lagres hos Quickbutik.


3. Hvordan forbereder jeg virksomheten min for GDPR?

Datainspektionen har utarbeidet en sjekkliste med 13 spørsmål som behandleren av personopplysninger bør vurdere. Vi anbefaler at dere vurderer disse punktene og forbereder virksomheten deres på innføringen av den nye personvernforordningen, som trer i kraft fra 25. mai. I tillegg anbefaler vi at dere også leser den inngående sjekklisten med Datainspektionens kommentarer.

Vi har nedenfor oppsummert de viktigste punktene som berører deg med netthandel, med korte beskrivelser av alt dere bør vurdere for å forberede virksomheten best mulig:

  1. Virksomheten bør være klar over EUs nye personvernforordninga
    Dere må sørge for at beslutningstakere og nøkkelpersoner i virksomheten deres (styre, ledergruppe, produkteiere, etc.) er klare over at personopplysningsloven (PUL) vil bli erstattet av personvernforordningen. Disse beslutningstakere og nøkkelpersoner er til syvende og sist ansvarlige, og vil måtte betale eventuelle bøter.

  1. Hvilke personopplysninger lagrer dere?
    Virksomheten deres bør inventere og dokumentere:

    i) hvilke personopplysninger dere behandler
    ii) hvordan personopplysninger blir samlet inn, og
    iii) hvem opplysninger gis ut til

    For eksempel, hvis virksomheten har korrigert en feilaktig personopplysning som tidligere gitts ut til noen andre, må dere informere mottakeren slik denne kan rette opp i sine egne poster. Dere vil ikke kunne oppfylle dette kravet hvis dere ikke har oversikt over opplysningene dere håndterer, hvor de ble samlet inn og hvem de er gitt videre til.


  2. Hvilken informasjon gir dere til den registrerte?

    Ved innsamling av personopplysninger, må viss informasjon gis til den registrerte. Derfor bør dere granske informasjonen som dere gir til den registrerte, og vurdere hvilke endringer i informasjonen som kan være nødvendig å gjøre.

     Reglene i personvernforordningen innebærer blant annet at dere må informere den registrerte om følgende i) rettsgrunnlaget for behandlingen ii) hvor lenge personopplysninger lagres, og iii) muligheten for å klage til tilsynsmyndigheten, i tilfelle den registrerte anser at vedkommendes personopplysninger er blitt feilhåndtert (tilsynsmyndigheten i Sverige er Datainspektionen).


  1. Hvordan skal du imøtekomme de registrerte rettigheter?
    Dere bør se over deres rutiner for å sikre at dere kan oppfylle den registrertes rettigheter i henhold til personvernforordningen.

    De viktigste rettighetene for den registrerte er:

    • Få tilgang til personopplysninger som er lagret
    • Få feilaktige personopplysninger korrigert
    • Få personopplysninger slettet
    • Motsette seg bruk av personopplysninger for direkte markedsføring
    • Motsette seg bruk av personopplysninger for automatisert beslutningstaking og profilering
    • Flytte personopplysninger

      Quickbutik vil sørge for at butikkeierne fra et teknisk perspektiv har muligheten til å sikre rettighetene til de registrerte i samsvar med personvernforordningen, for eksempel ved å arrangere tekniske løsninger for butikkeieren, slik at dere kan slette eller korrigere personopplysninger.

  2. Hvilket rettsgrunnlag har dere for behandling av personopplysninger?

    Det er viktig at dere undersøker følgende:

    - hva slags informasjon dere behandler 2) utfra hvilket rettsgrunnlag dere gjør det med

    Konklusjonene for de ovennevnte spørsmålene bør dokumenteres. Forordningen stiller krev at dere skal informere om rettsgrunnlaget, og allerede under innsamlingen av opplysninger. Det er derfor viktig at dere fra begynnelsen er klare over hvilket rettsgrunnlag behandlingen har.

    Datainspektionen har skrevet om seks rettsgrunnlag dere kan basere datainnsamlingen på.
    Les dem her (svenska):
    https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/rattslig-grund-for-personuppgiftsbehandling/

  3. Hvordan innhenter dere samtykke? 
    Dere bør undersøke hvordan dere i) innhenter samtykke ii) hvilken informasjon dere gir ut, og iii) hvordan dere lagrer informasjon om at samtykke er gitt av den registrerte.

    Personvernforordningen stiller tydelige krav om at samtykke må være gyldig, det vil si et frivillig, spesifikt og entydig uttrykk fra den registrerte, som skal ha fått tydelig informasjon om behandlingen. Det kan ikke være tvil om at behandlingen av personopplysninger aksepteres, derfor godtas ikke en forhåndsmerket krysningsrute som samtykke.

  4. Behandler dere personopplysninger om barn?
    Hvis dere tilbyr tjenester til barn, må dere vurdere hvordan dere skal få samtykke fra de foresatte i forbindelse med behandlingen av barnets personopplysninger. Personvernforordningen introduserer en forsterket beskyttelse for barns personopplysninger.

  5. Hva bør dere gjøre ved hendelser med personopplysninger?
    Dere må sørge for at dere er i stand til å oppfylle de nye forpliktelsene i forordningen ved å ha tilstrekkelige rutiner på plass for å oppdage, rapportere og rette hendelser og avvik med personopplysninger. Dere bør også vurdere hvilken risiko en slik hendelse kan medføre, og om dere trenger rapportere hendelsen til Datainspektionen.

    En hendelse med personopplysninger kan f.eks. være hvis dere blir utsatt for databrudd eller på annen måte mister kontrollen over opplysninger dere behandler.

  6. Hvem er ansvarlig for datasikkerhet i deres virksomhet?
    Bestem hvor i virksomheten ansvaret for datasikkerhetsproblemer skal ligge. Hvis du driver selskapet alene, er det du som er ansvarlig. Hvis personvernforordningen stiller krav, må dere også formelt utse en representant for datasikkerhet.

  7. Driver dere virksomheten i flere land?
    Om er organisation bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför.