Dataskyddsförordningen inom e-handel: Så kan företag uppfylla lagkraven för onlinebutiker

Checkout
Checkout

Stripe Checkout är ett färdigt betalningsformulär optimerat för konvertering. Integrera Checkout på din webbplats för att på ett enkelt och säkert sätt ta emot engångsbetalningar eller abonnemang.

Läs mer 
  1. Introduktion
  2. Varför infördes GDPR?
  3. Vilka är de viktigaste bestämmelserna i GDPR?
    1. Principer för behandling av uppgifter
    2. Laglig behandling
    3. Den registrerades rättigheter
    4. Den personuppgiftsansvariges ansvar
  4. Vilken betydelse har GDPR inom e-handel?
  5. Vilka krav måste e-handelsföretag uppfylla för att efterleva GDPR?
    1. Integritetspolicy
    2. Policy för cookies
    3. Tekniska och organisatoriska åtgärder
    4. Samtycke till reklam- och informationserbjudanden
    5. Databehandlingsavtal
    6. Utnämning av dataskyddsombud
  6. Vilka straffavgifter utgår om företag inte följer GDPR?

Sedan 2018 har den allmänna dataskyddsförordningen (GDPR) reglerat alla aspekter av dataskydd i Europa och nationellt. I synnerhet bör e-handelsföretag som driver en webbutik se till att de uppfyller de många kraven när de behandlar personuppgifter.

I den här artikeln får du veta varför GDPR infördes, vilka de viktigaste reglerna är och vad det innebär för e-handelsföretag. Vi förklarar också de krav som företag måste uppfylla för att följa GDPR och de straffavgifter som kan tillämpas om de inte gör det.

Vad innehåller den här artikeln?

  • Varför infördes GDPR?
  • Vilka är de viktigaste bestämmelserna i GDPR?
  • Vilken betydelse har GDPR inom e-handel?
  • Vilka krav måste e-handelsföretag uppfylla för att följa GDPR-reglerna?
  • Vilka straffavgifter utgår om företag inte följer GDPR?

Varför infördes GDPR?

GDPR infördes för att standardisera dataskyddet i hela Europeiska unionen (EU) och för att förbättra skyddet av personuppgifter i en alltmer digital värld. Före GDPR hade EU:s medlemsländer olika dataskyddslagar. Detta resulterade i betydande skillnader i skyddsnivån och utgjorde en utmaning för företag som är verksamma i flera länder. GDPR fastställer ett enda ramverk som gäller för alla EU-länder.

Det primära syftet med GDPR är att skydda enskilda personer när det gäller behandling av personuppgifter. Syftet med förordningen är att öka medborgarnas tillit för hur deras uppgifter hanteras. GDPR gör det möjligt för företag i EU att arbeta mer effektivt eftersom de kan följa enhetliga dataskyddslagar.

I Tyskland reglerades dataskyddet av den federala dataskyddslagen (BDSG) fram till införandet av GDPR. Denna lag har anpassats och betraktas nu som ett komplement till GDPR – särskilt på områden där GDPR ger medlemsstaterna ett visst handlingsutrymme.

Vilka är de viktigaste bestämmelserna i GDPR?

Dataskyddsförordningen innehåller flera viktiga bestämmelser i 11 kapitel och 99 artiklar. Här är en översikt över de viktigaste:

Principer för behandling av uppgifter

Artikel 5 i GDPR reglerar principerna för behandling av personuppgifter. Uppgifterna måste bland annat

  • behandlas på ett lagligt och öppet sätt för den registrerade
  • samlas in och behandlas för särskilda, uttryckligt angivna och legitima ändamål
  • behandlas endast i den utsträckning som är nödvändig för respektive ändamål
  • vara uppdaterade och korrekta
  • raderas om det inte längre behövs för ändamålet med behandlingen
  • skyddas av tekniska och organisatoriska åtgärder för att förhindra obehörig åtkomst, förlust eller förstörelse.

Laglig behandling

Artikel 6 i GDPR anger att uppgifter endast får behandlas om en av följande rättsliga grunder gäller:

  • Den registrerades samtycke
  • Avtal med den registrerade
  • Behandlingen är nödvändig för att uppfylla en rättslig förpliktelse
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse
  • Behandlingen är nödvändig för att trygga den personuppgiftsansvariges eller en tredje parts berättigade intressen, såvida inte den registrerades intressen eller grundläggande rättigheter åsidosätts.

Den registrerades rättigheter

Kapitel 3 i dataskyddsförordningen reglerar de registrerades olika rättigheter när det gäller hanteringen av deras uppgifter.

  • Den registrerade har rätt att få veta vilka personuppgifter som lagras om honom eller henne, hur de behandlas och med vem de delas (artikel 15 i GDPR).
  • Felaktiga eller ofullständiga personuppgifter ska rättas på begäran av den registrerade (artikel 16 i GDPR).
  • Den registrerade kan under vissa förutsättningar begära att hans eller hennes uppgifter raderas (artikel 17 i GDPR).
  • Den registrerade har rätt att motta sina uppgifter från den personuppgiftsansvarige i ett strukturerat, allmänt vedertaget och maskinläsbart format (artikel 20 i GDPR).
  • Den registrerade kan invända mot behandlingen av sina uppgifter av vissa skäl, särskilt behandling för direkt marknadsföring (artikel 21 i GDPR).

Den personuppgiftsansvariges ansvar

I kapitel 4 finns en förteckning över de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter. Dessa omfattar bland annat följande skyldigheter:

  • Personuppgiftsansvariga måste se till att de som behandlar personuppgifter för deras räkning också uppfyller kraven i GDPR (artikel 28 i GDPR).
  • Dataintrång måste rapporteras av de ansvariga till den behöriga tillsynsmyndigheten inom 72 timmar om de leder till en risk för enskilda personers rättigheter och friheter (artikel 33 i GDPR).
  • För de typer av databehandling som utgör en hög risk för de registrerades rättigheter och friheter måste personuppgiftsansvariga göra en konsekvensbedömning avseende dataskydd (artikel 35 i GDPR).

Vilken betydelse har GDPR inom e-handel?

GDPR är avgörande för e-handelsföretag eftersom de behandlar stora mängder personuppgifter. Kundinformation som namn, adress, betalningsinformation och orderhistorik är viktiga för en webbutiks verksamhet. Detta innebär att GDPR har en betydande inverkan på utformningen och det rättsliga ramverket för affärsmodeller för e-handel.

Vårdslös hantering av personuppgifter i onlinebutiker kan leda till ett brott mot dataskyddslagen, vilket leder till rättsliga tvister, rättsliga sanktioner och skada på företagets image. Därför är det viktigt att i synnerhet näthandelsaktörer känner till dataskyddsförordningen och de skyldigheter som den medför.

Ett företag får till exempel inte samla in telefonnummer om det inte behövs för beställning och leverans. Endast uppgifter som är nödvändiga för leverans och betalning av beställda varor kan samlas in.

På samma sätt kan marknadsföringsinformation, t.ex. e-postadresser för nyhetsbrev, samlas in och användas endast med kundens uttryckliga samtycke. Kreditkortsinformation bör också lagras endast så länge som det är nödvändigt för att slutföra betalningsprocessen. Information som födelsedatum får endast samlas in om det är nödvändigt för att verifiera ålder, till exempel vid försäljning av varor med åldersbegränsningar. Läs mer om e-handelsbetalningar.

Vilka krav måste e-handelsföretag uppfylla för att efterleva GDPR?

För att efterleva GDPR måste e-handelsföretag uppfylla en mängd olika krav. Dessa härrör till stor del från de registrerades ovannämnda rättigheter (kapitel 3 i GDPR) och de personuppgiftsansvarigas skyldigheter (kapitel 4 i GDPR).

Integritetspolicy

E-handelsföretag måste tillhandahålla en omfattande integritetspolicy. Den ska på ett öppet och heltäckande sätt redogöra för vilka personuppgifter som samlas in, för vilket ändamål, hur uppgifterna behandlas och vilka rättigheter de registrerade har. Integritetspolicyn måste vara lätt att hitta (t.ex. i webbplatsens sidfot eller som en direktlänk när du går in på sidan). Artikel 13 i GDPR anger all information som krävs i en upplysning om dataskydd som följer GDPR. I upplysningen ska föjande ingå:

  • Den personuppgiftsansvariges namn och kontaktuppgifter
  • Dataskyddsombudets namn och kontaktuppgifter i förekommande fall
  • Den rättsliga grunden och ändamålen med behandlingen av personuppgifter
  • Uppgift om den personuppgiftsansvariges berättigade intressen, om behandlingen av uppgifterna grundar sig på dessa (se artikel 1.1 f i GDPR)
  • Mottagare av personuppgifterna vid utlämnande
  • Varaktigheten för lagring av personuppgifter
  • De registrerades rättigheter, inklusive rätten till tillgång, rättelse, radering, invändning mot, återkallelse och begränsning av behandling
  • Beskrivning av konsekvenserna om personuppgifter inte lämnas ut.

Policy för cookies

Behandling av personuppgifter som inte är nödvändig för att fullgöra avtalet kräver informerat samtycke från användaren. Detta gäller särskilt användningen av cookies som är textfiler som lagras tillfälligt i användarens webbläsare. Tekniskt nödvändiga cookies används till exempel för att visa lämpligt språk på webbplatsen för användaren eller för att spara innehållet i kundvagnen.

Cookies är nödvändiga för att webbplatser ska fungera korrekt, och de används för att skapa användarprofiler för riktad reklam. Detta kan vara kritiskt i vissa fall eftersom statistiska och personliga data lagras. Av denna anledning måste användarna få möjlighet att samtycka till lagring och behandling av cookies. En enkel "cookie-banner" är endast tillräcklig om den erbjuder möjligheten att avvisa eller justera cookie-inställningar.

Tekniska och organisatoriska åtgärder

För att skydda personuppgifter från bland annat tredje part måste onlinebutiker vidta tekniska säkerhetsåtgärder. Dessa inkluderar kryptering av dataöverföringen, till exempel genom HTTPS-protokollet (Hypertext Transfer Protocol Secure) (artikel 32 i GDPR). Detta kräver ett SSL-certifikat (Secure Sockets Layer) eller TLS-certifikat (Transport Layer Security). Onlinebutiker måste också se till att personuppgifter lagras på ett säkert sätt (t.ex. i krypterade databaser). Säkerhetskopiering av data är också obligatoriskt.

Samtycke till reklam- och informationserbjudanden

Kundernas e-postadresser kan inte automatiskt användas för att skicka nyhetsbrev, reklam eller informationserbjudanden. Detta kräver aktivt samtycke från kunderna. I och med ikraftträdandet av dataskyddsförordningen krävs det en process med så kalld double opt-in enligt artikel 7 and Article 8 i regelverket. "Opt-in" kan översättas som "att besluta om något" eller "att välja". "Double opt-in" kräver att kunderna bekräftar två gånger. De måste först tillfrågas om de till exempel vill ta emot ett nyhetsbrev. Om detta bekräftas genom registrering – och tillhörande överföring av e-postadressen – följer ett andra steg där företag måste skicka en bekräftelselänk som du måste klicka på för att aktivera erbjudandet.

Databehandlingsavtal

Om externa tjänsteleverantörer behandlar personuppgifter från en webbutik måste databehandlingsavtal ingås. Detta är det obligatoriska kravet för överföring av uppgifter till tredje part. Dataskyddsavtal säkerställer att tredje part också följer GDPR. Betaltjänsteleverantörer eller leverantörer av molntjänster och SaaS-lösningar (software-as-a-service) är vanliga tjänsteleverantörer för onlinebutiker.

Det är här Stripe Checkout kan hjälpa dig: ett färdigt betalningsformulär som möjliggör en smidig kassaprocess. Checkout kan integreras på din webbplats eller omdirigera kunder till en Stripebaserad sida. Där kan betalningar eller abonnemang tas emot på ett enkelt och säkert sätt och i enlighet med GDPR.

Utnämning av dataskyddsombud

Enligt artikel 37 i GDPR är det under vissa förutsättningar obligatoriskt att utse dataskyddsombud för en webbutik. De övervakar efterlevnaden av GDPR och fungerar som en kontakt för tillsynsmyndigheter och registrerade.

Vilka straffavgifter utgår om företag inte följer GDPR?

Enligt artikel 83 i GDPR kan företag bli föremål för höga böter om de bryter mot dataskyddsreglerna. Beloppet kan uppgå till 20 miljoner euro eller 4 % av företagets årliga globala omsättning. Ett exempel på en administrativ förseelse att avsiktligt, medvetet eller av oaktsamhet dölja avsändaren i ett meddelande eller meddelandets kommersiella natur. Detsamma gäller insamling, behandling eller lagring av personuppgifter som strider mot lagen. Dessutom ska de registrerade alltid informeras när uppgifter samlas in.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Checkout

Checkout

Integrera Checkout på din webbplats eller skicka kunder till en Stripe-baserad sida för att på ett enkelt och säkert sätt ta emot engångsbetalningar eller abonnemang.

Dokumentation om Checkout

Bygg ett kodsnålt betalningsformulär och integrera det på din webbplats eller basera den hos Stripe.