Den av EU framtagna lagen GDPR trädde i kraft den 25:e maj 2018. GDPR står för General Data Protection Regulation vilket på svenska blir "Allmänna Dataskyddsförordningen". Den ställer en rad nya krav på hur personuppgifter får hanteras.
Lagring av personuppgifter kräver samtycke av berörd person eller av målsman för barn. Om behov att se personuppgifter inte finns för någon medarbetare ska denne ej heller kunna se dessa. Privatpersoner har rätt att be om att få ut en kopia av sina uppgifter, kunna rätta felaktiga uppgifter och att när det är möjligt be att få sina uppgifter raderade. Dessutom ställs krav på att du informerar om vilka personuppgifter du lagrar och hur de hanteras och används. Dessutom behöver varje företag som hanterar uppgifter, endera för sina egna kunder eller som biträde för ett annat företag, upprätta ett register över vilken typ av personuppgifter de lagrar. Du kan läsa mer om GDPR hos datainspektionen 
.
Biträdesavtal
Lagen ställer krav på att det finns ett avtal mellan företag för att få lämna över och hantera personuppgifter. I detta fall blir ditt företag personuppgiftsansvarig och E37 personuppgiftsbiträde då E37 tillhandahåller e-handelssystemet som en molntjänst. Vi kommer att ta fram ett biträdesavtal avseende hantering av dina kunders personuppgifter.
Skaffa eller uppdatera din integritetspolicysida
GDPR ställer nya krav på att informera dina besökare och kunder om hur ditt företag lagrar och använder personuppgifter. Detta gäller även dig som inte driver e-handel utan bara använder E37 för att att publicera webbsidor. Kravet på vilken information som lämnas om just cookies blir faktiskt svagare än under personuppgiftslagen (PUL) i och med att det endast blir tredjepartscookies som måste informeras om. Däremot är det möjligt att lagen blir mindre tandlös, så om du inte har en integritetspolicysida eller på annat sätt varnar om cookies är det hög tid att skaffa en nu.
Men cookies är bara en liten del av vad som nu behöver informeras om. Du behöver nu också informera om andra typer av persondata som lagras.
Se guide för hur du sätter en integritetspolicysida, samt ett uppdaterat utkast på hur en sådan text kan se ut. Tänk också på att lägga in en länk till denna sida i någon meny på din webbplats. (När man tidigare enbart informerade om cookies räckte det att visa detta första gången en sida laddades i en webbläsare, vilket alltså inte räcker längre.)
Säkerhetsöversyn – Användare och lösenord
E37 har gjort en säkerhetsöversyn av den persondata vi hanterar som bland annat lett till att vi nu alltid kräver HTTPS för inlogg i admin2 och admin3 och fasar ut admin (den äldre servermiljön, även kallad admin1).
Men skyddet blir aldrig starkare än sin svagaste länk. Se därför över dina användare och lösenord för inloggning i admin. Dela aldrig inlogg/lösenord mellan flera personer, skapa istället nya användare under Kontrollpanelen -> Användare. Passa också gärna på att byta ditt lösenord: Välj ett lösenord som du inte använder på någon annan sajt och som är långt nog, utan att finnas som ett enda ord i en ordlista. Använd gärna siffror och specialtecken blandat med bokstäver i gemener och versaler.
Se dessutom till att radera eventuella gamla användare för medarbetare som slutat jobba hos dig.
Extra kopior av till exempel orderbekräftelser
Några av våra e-handlare skickar idag ut extra orderbekräftelser till sig själva varje gång en order läggs. Detta är onödigt då det innebär att uppgifterna finns på minst en extra plats. Om du använder en e-posttjänst med servrar utanför EU, så som till exempel gmail, så betyder det också att du för varje order i onödan skickar ut personuppgifter till ett tredje land och lagrar uppgifterna hos ett extra företag. För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Du bör därför se över fälten Kopia till epostadress under Kontrollpanelen -> Webbplats E-post -> Fliken Epostmall för respektive epostmall. Om du skickar sådana mejl finns nu en inställning för att ta bort personuppgifter ur dem. På så vis kan du fortfarande få en orderkopia för att se att en order kommit in, men inte bryta mot GDPR. Denna inställning görs under Kontrollpanelen -> Webbshop Allmänt -> Fliken Epost. Om rutan Visa personuppgifter i orderbekräftelsekopia ej är ikryssad visas stjärnor, ("*****"), istället för personuppgifter i epostkopian.
Om du tidigare skickat ut sådana extra mejl med personuppgifter, överväg också om du kan radera dem från din eposttjänst då att de lagras på en extra server de kan läcka ifrån utgör en onödig säkerhetsrisk.
Certifikat för HTTPS
Vi vill rekommendera dig som ännu inte har certifikat för HTTPS på hela din webbplats att skaffa det. Dels för att uppfylla de av GDPR något luddiga kraven på "tillräcklig skyddsnivå" men även för att den marknadsledande webbläsaren Chrome från och med juli 2018 kommer att visa varningen att sidan inte är säker för alla sidor HTTP-sidor.
Redan nu varnar Chrome för att skicka data över HTTP, vilket resulterar i att varningen visas i adressfältet när man till exempel skriver något i den interna sökmotorns sökfält i en butik utan HTTPS.
Kontakta oss på E37 för prisuppgifter för certifikat.
Nya funktioner E37 infört i systemet inför lagändringen
-
Ny inställning för roller – Vem ska kunna se personuppgifter i E37 admin?
Ett av de nya kraven i GDPR är att personuppgifter inte ska vara åtkomliga för användare som inte har ett faktiskt behov av att se dem. Om ditt företag har medarbetare som endast arbetar med artikeltexter och innehållssidor men aldrig hanterar någon order så behöver de inte heller kunna se personuppgifter och får då enligt lagen inte heller ha tillgång till dem. Vi har därför lagt till en inställning för användare som avgör om de ska få se personuppgifter eller ej. För de som inte ska se personuppgifter så kommer sidor i admin som visar personuppgifter att ersätta namn, adresser och personnummer med stjärnor.
Exempel på hur sidan Order i admin kommer att se ut för någon utan rättigheter att se personuppgifter.
Denna funktion kommer även påverka vilka rapporter användare utan behörighet kan ta fram; utan rättigheter får du inte längre ta ut rapporter som innehåller personuppgifter så som till exempel epost-adresser.
Bevakningar - epostlista, Epostlista, Lista med slutförda order med orderstatus, Orderrapport – bästsäljande kunder från orderhistorik och Orderrapport för digitala betalsätt är exempel på rapporter som innehåller personuppgifter och därför endast visas för användare som får se sådana.När börjar denna uppdatering gälla?
Förvalt har ingen användare rätt att se personuppgifter. Redan idag kan du som är satt som "Administratör" gå in på Kontrollpanelen -> Säkerhet Användare och under Behörighet att se personuppgifter ge behörighet till dig själv och/eller andra användare som ska ha det.
Från och med den 7/5 2018 började inställningarna gälla och användare som inte fått behörighet satt kommer att börja se den anonymiserade versionen med stjärnor istället för personuppgifter. Den 21/5 2018 låstes systemet ytterligare och endast admin-användare som redan har fått rätt att se personuppgifter permanent kan ge andra rätt att se personuppgifter, oavsett om de är administratörer.
Vi som jobbar på E37 behöver typiskt ej se dessa personuppgifter, så när vi loggar in i ert adminverktyg för att lösa supportärenden kommer vi endast se den anonymiserade versionen. Om vi för något supportärende ändå behöver se fullständiga uppgifter så kommer vi med en nybyggd funktion kunna be er om att temporärt ge oss behörighet att se uppgifterna. Om någon medarbetare temporärt under till exempel semestertider har ändrade arbetsuppgifter så är det också lätt att då ge dem tillfällig behörighet.
Tilldelning av och datum för personuppgiftsbehörighet till adminanvändare loggas.
Dessa inställningar görs under Kontrollpanelen -> Användare. - Begära ut sina uppgifter
Vi kommer lägga till en ny funktion för att få ut personuppgifter att lämna ut till de som som begär att få se sin data. Tänk på att detta bara är den data som vårt system har lagrat; om samma kund också till exempel har e-postat er support eller signat upp för nyhetsbrev med en tredjepartstjänst så kommer det troligen också räknas som personuppgifter som ni har sparade. Du bör naturligtvis också tänka på att säkerställa att den som ber att få ut sin information faktiskt är den de utger sig för att vara. - Rätten att bli glömd
Vi lägger också till en ny funktion för att kunna radera personuppgifter för den som kräver att få bli glömd. Naturligtvis gäller kravet inte kunder som har en order som ska levereras eller fortfarande ska betalas, då dessa personuppgifter är kritiska för att ni ska kunna göra ert åtagande. För att inte ställa till det med orderhistorik och liknande kommer en order från en kund som vill bli glömd rensas från de identifierande uppgifterna som går att binda ordern till en person så att kunden raderas men ordern sparas anonymiserad. - Radera gamla uppgifter
Vi passar också på att lägga till en funktion för att radera gammal information. Detta då nya lagen ställer krav på att inte lagra personuppgifter längre än de faktiskt behövs. Vi kommer även att lägga till funktioner för att söka på och göra urval av äldre kunder som är inaktiva och därmed lämpliga att radera. Tänk på att om du synkar ditt kundregister från ett affärssystem så är det där kunderna ska tas bort. Se även Datainspektionens svar på frågan Hur länge får uppgifterna i ett kundregister sparas? enligt PUL då dessa lagar egentligen inte är nya i Sverige, det som är nytt är att det satts en straffsats så att lagen ska bli mindre tandlös. - Godkännande för direktmarknadsföring
Enligt en del tolkningar av lagen krävs alltid samtycke för att skicka ut direktmarknadsföring via till exempel e-post. GDPR kräver som utgångspunkt den enskildes samtycke för direktmarknadsföring. Detta betyder att man ska göra ett aktivt val för att få personuppgifter sparade för marknadsföring. Om detta även gäller för dina kunder är i nuläget lite oklart, då det handlar om en så kallad intresseavvägning. Vi på E37 är inte advokater, men vi är bra på att utveckla e-handelssystem. Så istället för att försöka gräva i lagtexten har gjort det vi är bra på: Vi har tagit fram en inställning i admin som lägger till en checkruta i kassan för att godkänna att ta emot e-postutskick. Checkrutan finns som förval ej med i kassan, se guide om hur den aktiveras. Den går såklart bra att slå på checkrutan även före den 25:e maj för att börja samla e-postadresser från kunder som har gett godkännande.
Då dessa fem nya funktioner behövs för att följa GDPR kräver de naturligtvis inte några nya moduler eller innebär extra kostnader för dig. De ingår som standard för alla E37s e-handelskunder.
Ovanstående text är en sammanställning av vad vi har kunnat läsa oss till ifrån en rad olika källor samt tolkningar från våra rådgivare. Dessa råd kan därför tyvärr inte ses som juridisk rådgivning eller som en komplett lista på vad ditt företag behöver göra inför GDPR. Vi rekommenderar dig att läsa igenom informationen ifrån Datainspektionen och branschorganisationer och/eller kontakta din egen jurist för att klargöra otydligheter.