Der er ikke lang tid til d. 25 maj, hvor den nye persondataforordning træder i kraft i Europa. Det betyder at dansk persondatalov erstattes med EU-persondatafordningen, også kaldt General Data Protection Regulation (GDPR) eller Databeskyttelsesordningen på Dansk. De nye regler omhandler databeskyttelse, databehandling og meget mere. Alle virksomheder og organisationer der behandler data skal rette efter reglerne efter fra. d. 25 maj.

Der er ingen grund til at være bange, men det er vigtigt du er informeret.

For webshops betyder de nye lovkrav følgende:

    1. Indsaml kun det nødvendige
    1. Fortæl kunderne hvad det du indsamler skal bruges til
    1. Slet info der ikke skal bruges
    1. Kortlæg jeres data
    1. Tjek dit CRM, ERP m.m.
    1. Giv dine kunder ret til at slette og anmode om deres data
  1. Cookies og retten til at afvise cookies

Som bruger, har du under GDPR bl.a. ret til følgende:

  1. Retten til adgang
  2. Retten at blive glemt
  3. Retten til at blive informeret
  4. Retten til at få oplysninger tilrettet
  5. Retten til at begrænse databehandling
  6. Retten til at gøre indsigelse
  7. Retten til at blive underrettet ved datalæk

I dette indlæg gennemgår vi ovenstående punkter, samt hvordan du kan sikre dig at du overholder GDPR reglerne som webshop.

1. Indsaml kun det nødvendige

Bruger du alt hvad du indsamler på checkout? Er der felter du ikke har brug for? Som webshop er der grundlæggende data du skal bruge for, at kunne sende pakker til dine kunder, men typisk indsamler en webshop mere info end de faktisk skal bruge.

I Prestashop er der et modul der hedder “Datamining”. Dette modul indsamler IP adresser fra besøgende.

Hvis ikke du har en legitim hjemmel for at bruge det, så sørg for at deaktivere modulet.

Nøgleordet er identifikation. GDPR dækker primært kun oplysninger som kan identificere brugeren. Kan en email identificere brugeren? Ja. IP adresse? Ja. Telefonnummer? Ja, og så videre.

2. Fortæl kunderne hvad det du indsamler skal bruges til

Hvad skal du bruge en kundes telefonnummer til? Ja, til fragtmanden, men fortæl det! Skriv hvad du skal bruge informationerne til i dine betingelser, således du informere kunden.

Heraf eks.: Telefonnummer videresgives til *Postnord*, for at kunne sende dig en SMS når pakken er leveret. Telefonnummeret videregives ikke til anden tredjepart.

Helt lavpraktisk, skal du skrive hvad du bruger informationerne til, og hvorfor.

Dette kan gøres, der hvor du beder om informationerne (f.eks. Checkout), men også i en privatlivspolitik deklaration på siden.

3. Slet info der ikke skal bruges

I persondataforordningen står der, at man må holde inde med og behandle data, så længe man har et hjemmel for det – altså så længe du har et legitimt behov for det.

Loven sætter altså ikke en specifik dato eller et interval for, hvornår du skal slette data. I Danmark har vi regnskabsloven, der stiller krav til virksomheder om påvisning af dokumentation for regnskab de seneste 5 år.

Betyder det du skal slette data efter 5 år?

Nej, ikke nødvendigvis, men skal du bruge det til noget?

Husk, at der er forskel på at slette en kunde og slette en ordre. I Prestashop, og i generelt de fleste webshop systemer, kan du godt slette en kunde, uden at slette ordren. Sletter du kunden, bruger ordren tilknyttet til en “undefined –” kunde, du stadig har mulighed for at bruge ordren til salgsstatistik, uden det identificerer en konkret kunde.

Læs mere om slettepolitik fra et LinkedIn indlæg her

4. Kortlæg jeres data

For at leve op til kravene er det en god ide, at lave et dokument som kortlægger jeres data. Denne oversigt vil i en dag kunne vise til Datatilsynet, hvis de kommer på besøg, eller i bliver kontaktet. Lav en skabelon, hvor i kortlægger følgende:

    1. Hvad indeholder dater som i har gemt? (F.eks. navn, email, adresse, m.m.)
    1. Hvor ligger dataerne gemt henne? (F.eks. i webshoppens backoffice, heraf i en web database)
    1. Hvem har adgang? (F.eks., medarbejdere, lagerarbejdere, bogholder/revisor m.m.)
    1. Hvordan får man adgang? (F.eks. ved login)
    1. Hvorfor har vi de data liggende? (F.eks. for at opfylde regnskabsloven).
    1. Hvad bruger vi data til? (F.eks. for at kunne sende pakker til kunderne, for at kunne behandle reklamationer og for at
  1. Er der etableret en specifik procedure (manual) for at kunne få adgang? – sletning?

Læs mere her

Denne kortlægning er utrolig vigtig, hvis i en dag bliver kontaktet, da den fortæller Datatilsynet, at GDPR faktisk er noget i har kigget på og taget hensyn til, også selvom i måske ikke helt har opfyldt alle kravene.

5. Tjek dit CRM, ERP m.m.

Du skal have kontrol over hvor persondata gemmes, hvordan de anvendes og hvem de kan administreres af. Hvis du bruger et CRM system eller ERP system, så sørg for at sikre systemet lever op til GDPR kravene.

Har du andre leverandører som du mener ligger inde med jeres kundedata, er det en rigtig god ide også at kontakte disse.

HUSK! Det dit ansvar at sikre, at de tjenester du bruger lever op til GDPR.

6. Giv dine kunder ret til at slette og anmode om deres data

Artikel 59 i forordningen (På Dansk) siger

“Der bør fastsættes nærmere regler, som kan lette udøvelsen af de registreredes rettigheder i henhold til denne forordning, herunder mekanismer til at anmode om og i givet fald opnå navnlig gratis indsigt i og berigtigelse eller sletning af personoplysninger og udøvelsen af retten til indsigelse. Den dataansvarlige bør også give mulighed for elektroniske anmodninger, navnlig hvis personoplysninger behandles elektronisk. Den dataansvarlige bør være forpligtet til at besvare sådanne anmodninger fra en registreret uden unødig forsinkelse og senest inden for en måned og begrunde det, hvis vedkommende ikke agter at imødekomme sådanne anmodninger.”

Med andre ord:

    • 1. Din kunde skal have mulighed for at kunne få indsigt i deres data
  • 2. Din kunde skal have mulighed for at anmode om sletning af deres data

Heraf forklaret:

Pkt 1. Du skal på din webshop kunne give kunden mulighed for at downloade deres data, så de kan se hvad du præcist holder inde med oplysninger omkring dem. Dette kan enten ske ved en direkte knap, eller ved en anmodning som skal imødekommes seneste inden for en måned, og hvis ikke, så begrunde hvorfor.

Pkt. 2. Du skal på din webshop kunne give kunden mulighed for at slette deres data. Enten via en knap der eksplicit sletter deres data, eller ved en formular, hvor kunden anmoder, og hvor du skal imødekomme anmodningen uden unødig forsinkelse.

I Prestashop kan Bulldesign hjælpe med, at opfylde disse krav ved at implementere de to knapper under kundens konto. Hvis din webshop ikke har login funktion, kan vi også implementere formularer til dette, og instruere dig i hvordan du henter og sletter kundens data.

7. Cookies og retten til at afvise cookies

Det er slut med at vise Cookie-bannere, som blot indirekte sætter cookies på sessioner, selvom man ikke har accepteret og givet samtykke. Derudover kan man heller ikke mere skrive “Ved at fortsætte på siden accepterer du cookies…”. Altså, en underforstået accept af cookies er no-go ifølge GDPR.

Med de nye regler er det krav, at kunden giver et direkte samtykke (heraf f.eks. klik på en knap), for at du må kunne sætte cookies på kundens browser. Derudover bør du have en klar cookiedeklaration, som kunden kan læse, hvis kunden ønsker at se hvilke cookies der bruges.

Udover dette skal kunden have mulighed for at fjerne de cookies som du har gemt, efter kunden har accepteret.

Bulldesign kan hjælpe dig med at opfylde kravene for cookies, ved at implementere en GDPR compliant cookiebar.  Brugere skal klikke på “Jeg accepterer” knappen i cookieboksen for at give sit samtykke. Så snart brugerne giver deres samtykke, forsvinder cookieboksen, og alle moduler, der bruger cookies, aktiveres og fungerer som normalt (Facebook tracking, Adwords tracking m.m.). Så længe brugeren ikke trykker på “Accept” knappen, vil modulerne ikke tracke noget.

Vi indsætter et link som en kunde kan trykke på, f.eks. i din footer, hvilket udløser, hvor kunden kan genvælge de valg der er foretaget, og evt. fjerne sin accept af cookies.

I din cookiepolitik/dekleration er det vigtigt du versionere den (f.eks. version 1.1), da du skal kunne dokumentere hvilken version af cookiepolitikken som brugeren har accepteret (f.eks. hvis du på et tidspunkt ændrer indholdet). Husk også at nævne hvornår cookiedeklerationen senest blev ændret (dato).

Har cookies effekt på Google Analytics?

Cookie-sletning eller en ikke-accept af cookies påvirker kun Google Analytics-rapporter. Ingen data går tabt i sig selv; Det, som derimod ikke trackes er brugeren lokation (IP adresse), identificering om brugeren er ny bruger eller har besøgt siden før m.m. – heraf brugeraktiviteten.

Du kan altså stadig tracke salg og besøgstal på en besøgende, selvom kunden ikke har accepteret cookies.

Brud på GDPR

Hvis en virksomhed ikke håndterer GDPR korrekt og lever op til reglerne, risikerer den at få markante sanktioner, straffe og bøder. Der kan uddeles bøder på helt op til 20.000.000 EUR. Læs mere her

Skal du være bange?

»Det er ikke fordi, vi nu vil ud og give bøder til højre og venstre. Generelt ønsker vi en pragmatisk tilgang til databeskyttelse. Det væsentlige er, at virksomhederne bliver bedre til at håndtere opgaven.« Citat fra Datatilsynet i et interview med DI Business.

Der er altså ingen grund til at frygte de store bøder, men det er klart, at du skal leve op til kravene, og hvis ikke inden 25. maj, så bør du som minimum have deklareret, at det er noget der arbejdes på. På papiret kan det blive dyrt hvis man læser det, men der er altså ingen grund til at frygte millionbøder.

I forordningen oversat på Dansk, står der også:

“Retssystemerne i Danmark og Estland giver ikke mulighed for administrative bøder som fastsat i denne forordning. Reglerne om administrative bøder kan i Danmark anvendes ved, at bøder pålægges af de kompetente nationale domstole som en strafferetlig sanktion

Husk GDPR er en seriøs lov, så derfor betyder det også at det er noget de fleste, hvis ikke alle webshops kommer til at overholde. Deraf bliver brugeren indforstået i cookies, og det bliver langt hen ad vejen mere normalt at acceptere cookies, da brugeren selvfølgelig er inde på din webshop for at købe, og det er nok ikke cookies som skal stå i vejen, hvis noget.

Bulldesign GDPR Implementering på Prestashop

  • Implementering af GDPR Compliant Cookiebar
  • Link i din footer hvor kunden kan trykke for at blive glemt af alle marketing cookies m.m. (Retten til at blive glemt)
  • Knap til sletning af data på Prestashop kontoside (Retten til at blive slettet)
  • Knap til download af data på Prestashop kontoside (Retten til at hente egne personlige oplysninger)
  • Mulighed for at webshoppen kan anonymisere kundedata og ordredata manuelt og/eller baseret på forespørgsler.
  • En cookiedeklaration som vi udarbejder, med specification af alle jeres cookies (EU krav). Indsættes på hjemmesiden.
  • Privatlivspolitik side
  • Opdatering af handelsbetingelser efter nye krav
  • Gennemgang af login på din webshop
  • Dokument: Kortlægning/fortegnelse af data (komplet dokument med fortegnelse og grundlag for dataopbevaring)
  • Dokument: Tekniske- & organisatoriske foranstaltninger

Pris 5.995,- + moms

Denne service ydes til Prestashop 1.6, Prestashop 1.7, ThirtyBees og til WooCommerce (WordPress).
Kontakt os her og bestil GDPR Prestashop Implementeringen.

Disclaimer:
Bulldesign ApS kan ikke stilles til ansvar, hvis ikke din webshop opfylder GDPR krav, da det er på eget ansvar at opfylde GDPR kravene. Bulldesign yder sit bedste for rådgivning om GDPR, og for at gøre din webshop GDPR compliant.
Ansvarsfraskrivelse: Indholdet i dette blogindlæg kan ikke betragtes som juridisk rådgivning eller praksis og bør kun bruges som information.
– Læs den danske version af fordordningen (GDPR) her:
– Læs på andre sprog her