-
Kilde: Arkiv
GDPR og webshop
Som webshopejer skal man have styr på alt vedrørende GDPR og samtykke. Måske er du stadig usikker på, om du har husket det hele. Dette indlæg er for dig, der ønsker en hurtig og effektiv guide til at gøre din webshop GDPR-kompatibel.
-
Udgivet i december 2022 af
Sabrina Langvad
Support hos Sumoshop
GDPR (General Data Protection Regulation) er en EU lov, som beskytter vores personfølsomme oplysninger både online og offline. Som webshopejer er du ansvarlig for at sikre, at du har indgået aftaler med alle, du udveksler oplysninger med, for at sikre, at de overholder GDPR. Bemærk forskellen på dataansvarlig og databehandler. Datatilsynet siger, at dataansvarligen bestemmer hvorfor og hvordan oplysningerne bruges, mens databehandleren behandler dem på vegne af dataansvarligen.
Datatilsynet skriver selv følgende:
"Kort kan man sige, at den dataansvarlig afgør hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysningerne behandles. En databehandler er derimod den, der behandler personoplysninger på vegne af den dataansvarlige – altså efter en instruks fra den dataansvarlige."
Som webshopejer er du ansvarlig for håndtering af personfølsomme oplysninger. Det betyder, at du skal sørge for at have aftaler med alle, du deler sådanne oplysninger med. Disse aftaler sikrer, at dine samarbejdspartnere også overholder GDPR-lovgivningen.
Hvordan sikrer du så, at din webshop er GDPR-venlig?
Du kan med fordel starte med at danne dig et overblik over hvilke parter du deler personhenførbare data med - herunder kan bl.a. nævnes:
— Webshop-systemet
— Betalingsgateway
— Diverse markedsføringsplatforme
— Fragt & Leverings system(er)
— Evt. eksternt POS/ERP system som er synkroniseret med webshoppen m.fl.
Når du har overblikket skal du sikre at din virksomhed har indsamlet og underskrevet de nødvendige databehandleraftaler hos de respektive virksomheder.
Husk at sørge for en cookie-popup boks på din webshop. Besøgende skal have mulighed for at vælge, hvilke cookies de vil acceptere. Du skal være opmærksom på, at boksen skal håndtere 4 typer cookies: nødvendige, funktionelle, statistiske og markedsføring. Det er dit ansvar at undersøge, hvilke cookies din webshop bruger, og hvordan de skal kategoriseres. En lille popup i bunden af webshoppen, der oplyser om brugen af cookies, er ikke længere nok.
Hvis du vil vide mere om forskellen på de forskellige cookies, kan du læse indlægget her: Cookies - Klassificering, typer og lovgivning
En ting, du også skal beslutte, er hvad der skal ske med kundens ordredata når de afgiver en ordre. Du kan for eksempel vælge at anonymisere dem efter en vis periode. Hos SUMOshop er det standard at ordrer bliver anonymiseret efter 3 år, fordi det ikke kan forsvares at gemme følsom information om kunderne.
GDPR sørger også for, at dine kunder altid har ret til at vide hvilken information du har om dem og hvorfor - og at bede om at få det slettet. Sørg for at dette er klart beskrevet i din privatlivspolitik, som du kan placere online på din webshop. Det anbefales også at du har en fast procedure for at håndtere sådanne henvendelser, ikke kun på webshoppen, men alle steder hvor du har opbevaret personlig information.
Kort opsummeret kunne en handlingsplan altså være følgende:
— Sørg for at have overblik over alle dine samarbejdspartnere med tilhørende underskrevet databehandleraftaler.
— Få styr på din cookie-popup og klassificeringen af alle cookies som din webshop benytter.
— Opdatér din virksomheds privatlivspolitik og læg den evt. online på din webshop hvis den ikke allerede er det. Hav altid in mente, at du skal kunne forsvare hvert enkelt element (navn, efternavn, e-mail, adresse mv.) og hvorfor det er nødvendigt at indsamle denne information om en person samt hvad informationerne bruges til.
— Få fastsat en procedure for håndteringen af henvendelser fra personer som efterspørger en oversigt over personhenførbare data din virksomhed har indsamlet - samt procedure for en evt. forespørgsel på at få disse slettet.
Med ovenstående på plads er du godt på vej til at få dig en GDPR venlig virksomhed og webshop.
Datatilsynet skriver selv følgende:
"Kort kan man sige, at den dataansvarlig afgør hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysningerne behandles. En databehandler er derimod den, der behandler personoplysninger på vegne af den dataansvarlige – altså efter en instruks fra den dataansvarlige."
Som webshopejer er du ansvarlig for håndtering af personfølsomme oplysninger. Det betyder, at du skal sørge for at have aftaler med alle, du deler sådanne oplysninger med. Disse aftaler sikrer, at dine samarbejdspartnere også overholder GDPR-lovgivningen.
Hvordan sikrer du så, at din webshop er GDPR-venlig?
Du kan med fordel starte med at danne dig et overblik over hvilke parter du deler personhenførbare data med - herunder kan bl.a. nævnes:
— Webshop-systemet
— Betalingsgateway
— Diverse markedsføringsplatforme
— Fragt & Leverings system(er)
— Evt. eksternt POS/ERP system som er synkroniseret med webshoppen m.fl.
Når du har overblikket skal du sikre at din virksomhed har indsamlet og underskrevet de nødvendige databehandleraftaler hos de respektive virksomheder.
Husk at sørge for en cookie-popup boks på din webshop. Besøgende skal have mulighed for at vælge, hvilke cookies de vil acceptere. Du skal være opmærksom på, at boksen skal håndtere 4 typer cookies: nødvendige, funktionelle, statistiske og markedsføring. Det er dit ansvar at undersøge, hvilke cookies din webshop bruger, og hvordan de skal kategoriseres. En lille popup i bunden af webshoppen, der oplyser om brugen af cookies, er ikke længere nok.
Hvis du vil vide mere om forskellen på de forskellige cookies, kan du læse indlægget her: Cookies - Klassificering, typer og lovgivning
En ting, du også skal beslutte, er hvad der skal ske med kundens ordredata når de afgiver en ordre. Du kan for eksempel vælge at anonymisere dem efter en vis periode. Hos SUMOshop er det standard at ordrer bliver anonymiseret efter 3 år, fordi det ikke kan forsvares at gemme følsom information om kunderne.
GDPR sørger også for, at dine kunder altid har ret til at vide hvilken information du har om dem og hvorfor - og at bede om at få det slettet. Sørg for at dette er klart beskrevet i din privatlivspolitik, som du kan placere online på din webshop. Det anbefales også at du har en fast procedure for at håndtere sådanne henvendelser, ikke kun på webshoppen, men alle steder hvor du har opbevaret personlig information.
Kort opsummeret kunne en handlingsplan altså være følgende:
— Sørg for at have overblik over alle dine samarbejdspartnere med tilhørende underskrevet databehandleraftaler.
— Få styr på din cookie-popup og klassificeringen af alle cookies som din webshop benytter.
— Opdatér din virksomheds privatlivspolitik og læg den evt. online på din webshop hvis den ikke allerede er det. Hav altid in mente, at du skal kunne forsvare hvert enkelt element (navn, efternavn, e-mail, adresse mv.) og hvorfor det er nødvendigt at indsamle denne information om en person samt hvad informationerne bruges til.
— Få fastsat en procedure for håndteringen af henvendelser fra personer som efterspørger en oversigt over personhenførbare data din virksomhed har indsamlet - samt procedure for en evt. forespørgsel på at få disse slettet.
Med ovenstående på plads er du godt på vej til at få dig en GDPR venlig virksomhed og webshop.