Personuppgifter och ehandel

[GregerA]

Jag läste både den korta och den långa versionen

Frågeställningen är intressant och relevant, men jag tror inte att vi e-handlare har så mycket att frukta. En del av svaret har du ju redan fått från Trustpilot med ”Data controller” och ”Data processor”. Man kan väl kort säga att man outsourcar en del av sin databehandling.

I samband med en annan tråd så kollade jag lite på Datainspektionens hemsida häromdagen, och det är tydligt att samtycke inte alltid behövs.

Det är tillåtet att behandla personuppgifter utan samtycke bland annat om behandlingen är nödvändig för att

– fullgöra ett avtal med den registrerade personen,
– den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet,
– en arbetsuppgift av allmänt intresse ska kunna utföras,
– en arbetsuppgift i samband med myndighetsutövning ska kunna utföras, eller
– efter en intresseavvägning om den personuppgiftsansvarige har ett berättigat intresse av att behandla personuppgifterna och detta intresse väger tyngre än den registrerade personens intresse av skydd för sin personliga integritet.

Sedan skall man skilja på personuppgifter – och känsliga personuppgifter. Det senare handlar t.ex om hälsotillstånd, politisk uppfattning, sexuell läggning mm. Sådana uppgifter har vi e-handlare knappast något intresse av, så det kan vi bortse från. (Skulle möjligen vara typ Lastbryggan som får se upp lite)

Personuppgifter, inkl personnummer, är ju namn, adress, telefonnummer och epostadress. Dessa är nödvändiga för att behandla en order, och något uttryckligt samtycke behövs inte. Att vi använder externa tjänsteleverantörer bör inte komplicera saken, så länge vi inte ger den externa parten rätt att nyttja uppgifterna för andra ändamål än att serva oss.

För den intresserade finns det ganska många exempel på DI:s hemsida.
http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/

Edit: Kan ju också tillägga att för t.ex betaltjänsterna Klarna, Svea, Payson, Paypal och en del andra så godkänner ju kunden även att han ingår ett avtal med denna part i samband med köpet, medan han vid kortbetalning via DIBS/Auriga + eget inlösenavtal bara ingår ett avtal med dig. Dock har han redan ett avtal med sin bank som ju finns i andra ändan.

[GregerA]

Fanns det inte mer att tillföra? 😮

[Parvelito]

Jo, massor av tankar på främst säkerheten. Vad har man för ansvar att skydda kundernas uppgifter, och hur gör man rent praktiskt?

I veckan fick vi ju se hur ett rätt så enkelt hack ledde till att man på Twitter utgav sig för att vara riksdagsman som anklagade ett politiskt parti för ett grovt grundlagsbrott.

Och all den här transparensen, delandet av uppgifter mellan olika tjänster och det faktum att vi dessutom lägger en massa saker i ”molnet” är en väldigt komplex fråga. Den gamla rullen Nätet med Sandra Bullock är inte så långt ifrån verkligheten idag.

[J-Lan]

@Parvelito 26880 wrote:

Jo, massor av tankar på främst säkerheten. Vad har man för ansvar att skydda kundernas uppgifter, och hur gör man rent praktiskt?

Detta blir en necropost av rang men jag har inte hittat frågan ”Vad har man för ansvar att skydda kundernas uppgifter[?]” i någon annan tråd.

Jag spenderar väldigt mycket tid på ”internets slumområden”, det vill säga olika forum där det sprids information om, bland annat, sårbara hemsidor. Om jag bedömer att jag kan föreslå åtgärder som löser problemet kontaktar jag ägaren (först via mail och ett par dagar senare per telefon) och erbjuder mina tjänster. Om dygnet haft fler timmar hade jag kontaktat alla.

På senare tid har det dykt upp en del svenska webshopar. Problemet är näst intill uteslutande orsakat av att någon som inte kan koda ändå gett sig på att göra det. Men ett än större problem är att ägarna inte verkar bry sig om problemet.

2015 skärper EU tydligen dataskyddet och då kan ehandlare vars sidor läcker personuppgifter tvingas böta 2% av årsomsättningen (upp till 1 miljon euro). Vad gäller fram till dess? Hur ska man få ehandlare som använder fulkodad webshop att förstå allvaret i att läcka tusen och åter tusan kompletta profiler (namn, adress, telefonnummer, epost, lösenord i klartext osv) och på så vis bidrar till att andra konton (facebook, paypal, twitter, spotify, instagram, amazon, ebay etc etc etc) kapas.

Med vänliga hälsningar
Rådvill penetrationstestare som trodde han skulle välkomnas med öppna armar

[fiddur]

Man måste givetvis kolla upp avtalen med alla leverantörer, så att man vet att ingen av dem tar sig rätten att använda personuppgifter till annat än just det som man anlitar dem för.

För transparens skulle jag säga att information om vilka leverantörer som kan få tillgång till köparens uppgifte, och t ex det om att Trustpilot raderar informationen om kunder som inte valt att logga in där efter 30 dagar, är bra att ha med på samma ställe som man informerar om att man följer PUL. Det är sympatiskt och betryggare oroliga köpare.

[Johan Rubank]

Den som använder sig av datan från vad vi e-handlare skickar är ju Posten, den enda vad jag vet som aktivt samlar dessa data. Det är dels sådant som har att göra med hur mycket och vilken frekvens vissa områden får leveranser. Dom berättade om detta på ett seminarium för e-handlare där om ville visa hur bra dom är på att pricka in reklam för den som vill och behöver.Gissar ett det ligger på rätt sida om det gråa sträcket dock.

[Författare]

Inlägg