Personuppgifter och ehandel

[Seke]

Eftersom detta är ett långt inlägg kommer här en kortversion, för dig som inte har tid att läsa allt:

Vi förväntas som ehandlare deklarera att vi inte lämnar ut personuppgifter till tredje part. I praktiken gör vi alla det i någon mening – till Klarna, Posten m fl. Det går inte att driva ehandel utan att göra kunders personuppgifter tillgängliga för partners. Är det då OK att göra detta utan att inhämta uttryckligt samtycke? Är det OK för vissa partners men inte för andra? Vad är i så fall kriteriet?

Fick just en tankeställare när det kom kritiska röster på vårt diskussionsforum om att vi använder Trustpilot för recensioner och att det skulle innebära att vi ”lämnar ut” kundens mailadress till tredje part. Måste medge att jag tidigare inte har sett något kontroversiellt med Trustpilot-tjänsten utan snarare bara sett en win-win-situation för konsumenterna och ehandlaren med recensionssidan hos tredje part.

Jag fick det här från Trustpilots COO:

– Trustpilot acts as a ‘data processor’, with the company acting as the ‘data controller’. A data processor is an organisation which “processes” personal data on behalf of another organisation. A data controller is an organisation which has full authority to decide how and why personal data is to be “processed”.
– The company retains control over the data provided and the purposes for which it is processed. The company authorises Trustpilot to process the data provided only for the purpose of sending out the specified review invitation emails and nothing else.
– Trustpilot will delete the data within a maximum of 30 days after the invitation email has been sent. Trustpilot will not and does not have the authority to use the data for any other purposes, and will never pass it on to any third parties.

Intressant här att man särskiljer olika roller som ”data controller” och ”data processor”. Som jag förstår det är detta terminologi som används i samband med Dataskyddsdirektivet, som ligger till grund för PUL.

Många av oss skriver på våra hemsidor att vi hanterar personuppgifter enligt PUL och inte lämnar ut dem till tredje part. Det är närmast ett krav på oss att vi ska skriva så för att vi ska få godkänt som ansvarsfull ehandlare av Trygg Ehandel/ehandel.org eller vilken instans det nu kan vara. Frågan är vad man menar närmare bestämt med att ”lämna ut” uppgifter.

När man tänker efter är det ju så att alla ehandlare gör kunders personuppgifter tillgängliga för tredje part. Det skulle inte gå att driva verksamheten annars – jag skulle vilja se den ehandlare som kan sköta allt från ordermottagning till betalning och leverans utan att anlita partners för tjänster – tjänster som kräver att partnern får tillgång till viss information om kunden. I vårt fall får åtminstone Textalk, Specter, DIBS/Klarna/bankerna/PayPal, Posten/DHL och Unifaun samt Trustpilot tillgång till olika uppgifter om kunderna. Allt är fullständigt legitimt och inget är kränkande – partnern behöver kunna processa just de persondata för att kunna leverera tjänsten.

Är detta att ”lämna ut” personuppgifter till tredje part?

Det vore absurt att kritisera ehandlaren för att denne ”lämnar ut” kundens personnummer till Klarna eller kundens adress till Posten, eller för den delen kundens mailadress eller mobilnummer till Unifaun – det behövs ju för leveransavisering via mail eller SMS.

När man kräver av oss å ena sidan att vi inte ska lämna ut personuppgifter till tredje part och å andra sidan att vi ska leverera en tjänst till kunden vilket kräver att vi gör personuppgifter tillgängliga för tredje part så ser det tufft ut för den stackars ehandlaren.

Men det finns en utväg – filosofi! Logik och semantik. Det vi måste göra kan ju rimligen inte vara det vi inte får göra. Det vi gör (att låta partners få tillgång till viss information om kunderna) kan inte vara att ”lämna ut personuppgifter”.

Min tolkning just nu är att

”lämna ut uppgifter till tredje part” = göra uppgifter tillgängliga för tredje part utan att behålla kontrollen över hur de får användas

Detta är givetvis ett stort no-no.

Vad vi alla gör, och som är hedervärt, är att samarbeta med partners som levererar sina avgränsade delar av den tjänst som vi levererar till kunden. För detta får partnern tillgång till uppgifter om kunden och behandlar (som ”data processor”) dessa för ett väl avgränsat och helt legitimt syfte, medan vi (som ”data controller”) behåller kontrollen över uppgifterna och hur de får användas. Detta är inte att ”lämna ut uppgifter till tredje part”.

Det vore kul att höra vad ni andra säger om detta – både ni från Svensk Distanshandel, Trygg Ehandel, ehandel.org, Konsumentverket och Datainspektionen, och ni alla ehandlare och partners.

Kanske är allt detta självklart? Kanske är det uppåt väggarna?

Nästa fråga är om det finns någon gradskillnad mellan partners som är mer eller mindre nödvändiga för att kunna leverera distanshandelstjänsten till kunden (betalningsförmedlare, logistikpartner) och partners som inte är det (recensionstjänster). Det finns kanske också mellannivåer (hyrplattformar, webbhotell, webbaserade affärssystem). Ska man hämta in samtycke från kunden innan man gör data tillgängliga för vissa typer av partners medan det inte behövs för andra?

Tack för att du läste så här långt.

[GregerA]

Jag läste både den korta och den långa versionen

Frågeställningen är intressant och relevant, men jag tror inte att vi e-handlare har så mycket att frukta. En del av svaret har du ju redan fått från Trustpilot med ”Data controller” och ”Data processor”. Man kan väl kort säga att man outsourcar en del av sin databehandling.

I samband med en annan tråd så kollade jag lite på Datainspektionens hemsida häromdagen, och det är tydligt att samtycke inte alltid behövs.

Det är tillåtet att behandla personuppgifter utan samtycke bland annat om behandlingen är nödvändig för att

– fullgöra ett avtal med den registrerade personen,
– den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet,
– en arbetsuppgift av allmänt intresse ska kunna utföras,
– en arbetsuppgift i samband med myndighetsutövning ska kunna utföras, eller
– efter en intresseavvägning om den personuppgiftsansvarige har ett berättigat intresse av att behandla personuppgifterna och detta intresse väger tyngre än den registrerade personens intresse av skydd för sin personliga integritet.

Sedan skall man skilja på personuppgifter – och känsliga personuppgifter. Det senare handlar t.ex om hälsotillstånd, politisk uppfattning, sexuell läggning mm. Sådana uppgifter har vi e-handlare knappast något intresse av, så det kan vi bortse från. (Skulle möjligen vara typ Lastbryggan som får se upp lite)

Personuppgifter, inkl personnummer, är ju namn, adress, telefonnummer och epostadress. Dessa är nödvändiga för att behandla en order, och något uttryckligt samtycke behövs inte. Att vi använder externa tjänsteleverantörer bör inte komplicera saken, så länge vi inte ger den externa parten rätt att nyttja uppgifterna för andra ändamål än att serva oss.

För den intresserade finns det ganska många exempel på DI:s hemsida.
http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/

Edit: Kan ju också tillägga att för t.ex betaltjänsterna Klarna, Svea, Payson, Paypal och en del andra så godkänner ju kunden även att han ingår ett avtal med denna part i samband med köpet, medan han vid kortbetalning via DIBS/Auriga + eget inlösenavtal bara ingår ett avtal med dig. Dock har han redan ett avtal med sin bank som ju finns i andra ändan.

[GregerA]

Fanns det inte mer att tillföra? 😮

[Parvelito]

Jo, massor av tankar på främst säkerheten. Vad har man för ansvar att skydda kundernas uppgifter, och hur gör man rent praktiskt?

I veckan fick vi ju se hur ett rätt så enkelt hack ledde till att man på Twitter utgav sig för att vara riksdagsman som anklagade ett politiskt parti för ett grovt grundlagsbrott.

Och all den här transparensen, delandet av uppgifter mellan olika tjänster och det faktum att vi dessutom lägger en massa saker i ”molnet” är en väldigt komplex fråga. Den gamla rullen Nätet med Sandra Bullock är inte så långt ifrån verkligheten idag.

[J-Lan]

@Parvelito 26880 wrote:

Jo, massor av tankar på främst säkerheten. Vad har man för ansvar att skydda kundernas uppgifter, och hur gör man rent praktiskt?

Detta blir en necropost av rang men jag har inte hittat frågan ”Vad har man för ansvar att skydda kundernas uppgifter[?]” i någon annan tråd.

Jag spenderar väldigt mycket tid på ”internets slumområden”, det vill säga olika forum där det sprids information om, bland annat, sårbara hemsidor. Om jag bedömer att jag kan föreslå åtgärder som löser problemet kontaktar jag ägaren (först via mail och ett par dagar senare per telefon) och erbjuder mina tjänster. Om dygnet haft fler timmar hade jag kontaktat alla.

På senare tid har det dykt upp en del svenska webshopar. Problemet är näst intill uteslutande orsakat av att någon som inte kan koda ändå gett sig på att göra det. Men ett än större problem är att ägarna inte verkar bry sig om problemet.

2015 skärper EU tydligen dataskyddet och då kan ehandlare vars sidor läcker personuppgifter tvingas böta 2% av årsomsättningen (upp till 1 miljon euro). Vad gäller fram till dess? Hur ska man få ehandlare som använder fulkodad webshop att förstå allvaret i att läcka tusen och åter tusan kompletta profiler (namn, adress, telefonnummer, epost, lösenord i klartext osv) och på så vis bidrar till att andra konton (facebook, paypal, twitter, spotify, instagram, amazon, ebay etc etc etc) kapas.

Med vänliga hälsningar
Rådvill penetrationstestare som trodde han skulle välkomnas med öppna armar

[fiddur]

Man måste givetvis kolla upp avtalen med alla leverantörer, så att man vet att ingen av dem tar sig rätten att använda personuppgifter till annat än just det som man anlitar dem för.

För transparens skulle jag säga att information om vilka leverantörer som kan få tillgång till köparens uppgifte, och t ex det om att Trustpilot raderar informationen om kunder som inte valt att logga in där efter 30 dagar, är bra att ha med på samma ställe som man informerar om att man följer PUL. Det är sympatiskt och betryggare oroliga köpare.

[Johan Rubank]

Den som använder sig av datan från vad vi e-handlare skickar är ju Posten, den enda vad jag vet som aktivt samlar dessa data. Det är dels sådant som har att göra med hur mycket och vilken frekvens vissa områden får leveranser. Dom berättade om detta på ett seminarium för e-handlare där om ville visa hur bra dom är på att pricka in reklam för den som vill och behöver.Gissar ett det ligger på rätt sida om det gråa sträcket dock.

[Författare]

Inlägg