Börja nu  Kontakta säljteamet 
Börja nu  Kontakta säljteamet 

Personligt dataskydd på internet i Frankrike

Checkout
Checkout

Stripe Checkout är ett färdigt betalningsformulär optimerat för konvertering. Integrera Checkout på din webbplats för att på ett enkelt och säkert sätt ta emot engångsbetalningar eller abonnemang.

Läs mer 
  1. Introduktion
  2. Vad är personuppgifter?
  3. Vad är behandling av personuppgifter?
  4. Vilka är de nuvarande reglerna som behandlar skydd av personuppgifter?
    1. Vilken myndighet ansvarar för det personliga dataskyddet i Frankrike?
  5. Vilka är principerna i den allmänna dataskyddsförordningen (GDPR)?
  6. Vad kräver GDPR?
    1. Informera privatpersoner
    2. Inhämta samtycke
    3. Garantera privatpersoners rättigheter
    4. Föra skriftliga register över behandlingsaktiviteter
    5. Säkerställa säkra data
    6. Andra skyldigheter
  7. Börja med Stripe 

Företag som behandlar personuppgifter inom EU är skyldiga att utveckla en dataskyddspolicy. Vad säger lagen om dataskydd? Vad kräver lagen? Måste ett företag utse ett dataskyddsombud (DPO)? I den här artikeln tar vi upp de viktigaste frågorna om dataskydd samtidigt som vi förklarar hur du efterlever reglerna.

Vad innehåller den här artikeln?

  • Vad är personuppgifter?
  • Vad är behandling av personuppgifter?
  • Vilka är de nuvarande reglerna som behandlar skydd av personuppgifter?
  • Vilka är principerna i den allmänna dataskyddsförordningen (GDPR)?
  • Vad kräver GDPR?

Vad är personuppgifter?

Personuppgifter – även kallade "personlig information" – är information som gör det möjligt att direkt eller indirekt identifiera en individ. Personuppgifter kan inkludera för- eller efternamn, personnummer, telefonnummer, e-post- eller IP-adresser, internetbeteenden eller fotografier. Anonymiserade uppgifter (dvs. uppgifter som gör det omöjligt att identifiera den enskilda personen) betraktas inte som personuppgifter. Detsamma gäller uppgifter som rör en juridisk enhet, t.ex. ett företag.

Vad är behandling av personuppgifter?

Behandling av personuppgifter avser ett stort antal processer som tillämpas på personuppgifter. Dessa processer kan inkludera insamling, registrering, organisering, lagring, ändring, konsultation, undertryckande, extrahering, spridning och radering av data. Dessa aktiviteter kan vara datoriserade eller inte.

Exempel på databehandling är arkivering av kunder, insamling av kontaktuppgifter för potentiella kunder och lagring av IP-adresser. Oftast är personuppgifter som behandlas av företag relaterade till kunder, leverantörer, potentiella kunder, anställda och jobbkandidater.

Vilka är de nuvarande reglerna som behandlar skydd av personuppgifter?

Sedan den 25 maj 2018 har den allmänna dataskyddsförordningen (GDPR) fungerat som ramverket för insamling och hantering av data inom EU. GDPR har standardiserat reglerna för alla offentliga och privata enheter som behandlar personuppgifter inom EU. Här är de viktigaste enheterna som är inblandade:

  • Organisationer skapade inom EU, såsom startup-företag, små och medelstora företag, stora företag, föreningar, yrkesorganisationer och offentliga enheter

  • Utländska företag som riktar sig till europeiska medborgare

  • Personuppgiftsbiträden som samlar in och hanterar personuppgifter för andra företags räkning

Till exempel måste ett företag baserat i Kina som behandlar personuppgifter för en individ i Frankrike efterleva GDPR.

Vilken myndighet ansvarar för det personliga dataskyddet i Frankrike?

Den nationella kommissionen för informationsteknik och medborgerliga fri- och rättigheter (Commission nationale de l’informatique et des libertés, CNIL) övervakar skyddet av personuppgifter som samlas in av offentliga och privata enheter. CNIL ger stöd till företag när de efterlever gällande bestämmelser och ansvarar för att sanktionera dem som inte efterlever kraven.

Vilka är principerna i den allmänna dataskyddsförordningen (GDPR)?

GDPR är baserad på flera principer. Behandling av personuppgifter måste vara laglig, transparent, tillfällig och säker och får endast ske när det är nödvändigt (dvs. dataminimering). Här är mer information om varje princip:

  • Lagligt syfte
    Varje gång personuppgifter behandlas måste det finnas en juridisk grund som motiverar det. Därför kan ett företag inte samla in personuppgifter utan ett specifikt och berättigat mål.

  • Transparens
    Alla individer måste informeras om sina rättigheter och om att deras uppgifter samlas in. Det är viktigt att företag underlättar genomförandet av individers rättigheter.

  • Dataminimering
    Ett företag ska endast samla in data som är absolut nödvändiga för att uppfylla dessa mål.

  • Begränsad varaktighet
    Datalagringens varaktighet måste ha ett fast slutdatum. Företaget måste utveckla en tydlig policy för datalagring.

  • Säkerhet
    Företaget måste implementera säkerhetsåtgärder för att skydda de personuppgifter som det samlar in.

Obs! Personuppgiftsbiträden som behandlar personuppgifter för ett företags räkning måste också efterleva GDPR.

Vad kräver GDPR?

GDPR kräver att ett företag tillhandahåller information och transparens till de personer vars uppgifter det samlar in. För att göra det måste företag inhämta samtycke, underlätta implementeringen av kundernas rättigheter, upprätthålla ett behandlingsregister och garantera datasäkerhet.

Informera privatpersoner

Ett företag måste informera alla personer vars personuppgifter det samlar in. Informationen måste kommuniceras tydligt och innehålla följande:

  • Personuppgiftsbiträdets identitet och kontaktuppgifter (t.ex. en verksamhetsansvarig)

  • Orsak till behandling

  • Juridisk grund för behandling (t.ex. personens samtycke, fullgörande av avtal, juridiska krav)

  • Obligatorisk eller frivillig insamling av uppgifter

  • Mottagare av personuppgifter

  • Varaktighet för datalagring

  • Kundens rättigheter

  • Rätt att göra anspråk till CNIL

  • Förekomst av dataöverföring till ett land utanför EU, om tillämpligt

Information som saknas kan bli föremål för böter på upp till 1 500 euro för enskilda firmor och 7 500 euro för företag. Företag måste informera vid tidpunkten för datainsamling, om senare ändringar görs, eller inom en rimlig tidsfrist på en månad (t.ex. för indirekt insamling av data).

Inhämta samtycke

Företag måste också inhämta kundens samtycke om företaget gör följande:

  • Använder cookies

  • Skickar e-postreklam

  • Samlar in känsliga personuppgifter

  • Återanvänder data för andra ändamål

Kunder måste kunna ge oberoende samtycke för alla ändamål om det finns mer än ett syfte. Företag får inte använda kryssrutor som är markerade som standard.

Obs! Brist på samtycke kan ge fem års fängelse och 300 000 euro i böter för enskilda firmor eller 1,5 miljoner euro för företag.

Garantera privatpersoners rättigheter

Företag är skyldiga att respektera rättigheterna för de personer vars uppgifter de behandlar. Dessa inkluderar rätten till åtkomst, rättelse, rätten att bli bortglömd, rätten att invända mot behandling och rätten till dataportabilitet. Det är viktigt för företag att göra det möjligt för individer att enkelt utöva sina rättigheter.

Föra skriftliga register över behandlingsaktiviteter

Ett register över behandlingsaktiviteter kan ge insikt i alla genomförda aktiviteter. Att föra ett skriftligt register är obligatoriskt för företag med fler än 250 anställda.

Säkerställa säkra data

Det är viktigt att skapa robusta mekanismer för att garantera datasäkerhet. Företag kan implementera följande strategier:

  • Obligatorisk kundautentisering och åtkomstbegränsningar

  • System för daglig loggning för att säkerställa att aktiviteter är spårbara

  • Automatisk låsning, brandväggar, antivirusprogram och virtuella privata nätverk (VPN)

  • Regelbunden säkerhetskopiering och arkivering av data som inte används dagligen

Du kan integrera Stripe Checkout direkt på din webbplats för att stärka säkerheten för dina kunders data. Checkout gör det enklare att ange och återanvända kundernas betalningsinformation samtidigt som känsliga kortuppgifter hanteras i full efterlevnad.

Andra skyldigheter

Om ett företag behandlar personuppgifter i stor skala kan det behöva utse ett dataskyddsombud. När ett företags behandlingsverksamhet utgör en förhöjd risk för kundernas fri- och rättigheter blir det dessutom obligatoriskt att göra en konsekvensbedömning av dataskyddet (DPIA).

Om personuppgifter överförs utanför EU (t.ex. uppgifter som överförs till ett dotterbolag i Kina eller en utländsk uppdragstagare) måste företag begära tillstånd från Europeiska kommissionen. Ett beslut om adekvat skyddsnivå måste antas för att företaget ska kunna överföra sina uppgifter.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

  • Ett fel har inträffat. Försök igen eller kontakta supporten.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Checkout

Checkout

Integrera Checkout på din webbplats eller skicka kunder till en Stripe-baserad sida för att på ett enkelt och säkert sätt ta emot engångsbetalningar eller abonnemang.

Dokumentation om Checkout

Bygg ett kodsnålt betalningsformulär och integrera det på din webbplats eller basera den hos Stripe.