I den här artikelserien presenterar vi stöd till företagare kring den juridik som omger e-handel. Det handlar om krav på information, personuppgiftshantering, marknadsföring, leverantörsavtal och köpvillkor med mera. Särskilt nyttigt för dig som avser starta en webbutik och är ny ”att sälja saker på nätet”, men även för dig som ser ökad trafik på din webbplats. Utmaningar är också möjligheter.
Läs del ett i vår artikelserie här.
***
Du har kanske hört det förut? ”Data är den nya oljan”. Det sägs att den som samlar in och använder data för att generera verksamhetsnytta och innovation blir vinnare.
Det är ingen tvekan om att data blir allt viktigare för de flesta verksamheter, men för e-handlare som vill bli verkliga vinnare bör mantrat vara ”rätt hanterad data är den nya oljan”. Å andra sidan finns det exempel på att felaktig hantering av kunddata har resulterat i kraftig badwill och förlust av kunder som ett resultat av e-handlarens agerande kommit ut i exempelvis sociala medier.
Gör rätt från början!
En viktig framgångsfaktor för den som vill kunna dra nytta av data över tid är att investera i att säkerställa efterlevnad av bestämmelserna i den europeiska dataskyddsförordningen, GDPR, som gäller för alla som hanterar personuppgifter i sin verksamhet. För många kan det kanske uppfattas om en övermäktig (och kanske onödig) uppgift att ta höjd för GDPR redan i uppstarten av en verksamhet – det finns ju så mycket annat som måste göras som är roligare, dessutom är tid och pengar en bristvara.
Till dig som tycker att GDPR kan vänta vill vi påminna om det gamla uttrycket ”genvägar är senvägar”. Med rätt angreppssätt från början kommer du att kunna tjäna stort i slutänden. Vi har sett alltför många exempel där ett sent uppvaknande i dataskyddsfrågor har lett till höga kostnader och stora förseningar till följd av att system måste byggas om.
En annan viktig aspekt när det gäller GDPR är förstås att vi alla blir mer och mer uppmärksamma på hur våra uppgifter hanteras av företag, myndigheter och andra organisationer. Vi kan redan nu se att e-handlare och andra som är beroende av data delas upp i ett A-lag och ett B-lag, där A-laget hanterar data på ett transparent sätt och därmed för nya och nöjda kunder, medan B-laget får svårt att hitta en bra utväxling. Transparens bygger förtroende och ”ambassadörer”, vilket bygger din affär.
Om argumenten ovan inte har gjort dig intresserad av att jobba med GDPR återstår bara att påminna om du också kan bli tvungen att betala sanktionsavgifter eller skadestånd om du bryter mot GDPR, även om vi inte tycker att detta ska vara den primära drivkraften för att hantera data på rätt sätt.
7 steg för att komma igång
Men hur kommer man då igång med sitt GDPR-arbete? Vårt förslag är att du som etablerar en e-handelsverksamhet jobbar enligt följande:
- Skapa en medvetenhet i organisationen. Om dina medarbetare inte översiktligt förstår GDPR och inte vet varför det är viktigt att arbeta med dataskydd, blir det svårt att få arbetet långsiktigt hållbart.
- A och O i dataskyddsarbetet är att ha koll på vilka personuppgifter som behandlas. Det bästa sättet att skaffa den kollen är att upprätta en så kallad registerförteckning (eller förteckning över personuppgiftsbehandlingar) inte bara är ett bra kartläggningsverktyg utan även ett krav enligt GDPR. Dessutom har vi sett att det är en bra grund för diskussion och en utbildning för organisationen, som därigenom uppfyller punkten 1 ovan!
- Dubbelkolla att allt i registerförteckningen stämmer – har du fel uppgifter i förteckningen får du svårt att hamna rätt. Dessutom bör du då och då, i vart fall om du göra några ändringar i dina system eller flöden, också se till att förteckningen är korrekt. Om du inte kan hantera allt själv, är det bra att utse någon med bra inblick att hantera för de personuppgifter som denne ansvarar för. Exempelvis för processerna kring marknadsföring, köp eller anställda.
- Med utgångspunkt i registerförteckningen bör du stämma av att dina personuppgiftsbehandlingar är ok enligt GDPR. Då tvingas du att systematiskt gå igenom de centrala områdena i GDPR, och vidta åtgärder om det är något som behöver fixas för att du ska hamna rätt.
- Informera de registrerade. För dig som e-handlare blir det viktigaste verktyget antagligen din ”integritetspolicy”, dvs. den information som du lämnar på din webb eller på annat sätt. Mycket av innehållet i denna får du gratis genom att göra arbetet under punkt 2. Tänk på att all information till kunderna måste ges INNAN ni samlar in data.
- Sätt upp och dokumentera de processer som krävs för att du ska kunna efterleva GDPR. Det kan t.ex. handla om att ha hand om önskemål från registrerade (som vill ha registerutdrag, tacka nej till framtida marknadsföring eller som vill att du raderar deras uppgifter), hur och när du raderar/gallrar uppgifter från dina system eller vilka principer som ska gälla för tilldelning av behörigheter i systemen. Tänk på att ha biträdesavtal med era leverantörer, så att ni kan säkerställa att de gör ett lika bra GDPR-jobb som ni gör
- Se till att du har en beredskap för att hantera personuppgiftsincidenter, t.ex. obehörig åtkomst till eller förlust av personuppgifter. Vid en incident har du 72 timmar på dig att anmäla incidenten till Integritetsskyddsmyndigheten, och har du inte någon plan på plats rinner timmarna fort iväg.
Nu har du börjat få bra ordning på det hela, men du är inte i mål om du vill efterleva GDPR hela vägen. Du måste även kunna visa att du följer GDPR. En del är att dokumentera det arbete du gjort ovan. För att nå dit behöver du antagligen sjösätta ett dataskyddsprogram, men det lämnar vi till ett annat inlägg – här och nu fokuserar vi ju på hur du kommer igång med ditt arbete.
Övermäktigt? Njae, GDPR är precis som elefanten – man får ta det bit för bit.
Krångligt? Njae, inte om man som vi – tillsammans med våra kunder – har gått igenom processen förut. Fastnar du, finns givetvis hjälp att få av oss. Kontakta oss här så berättar vi mer!
Läs våra andra artiklar i denna artikelserie:
Starta en e-handel – vad är allmänna villkor och varför behöver man det?
