Denne artikel er målrettet virksomheder, som har en webshop, og via denne behandler personoplysninger.
Hvilke behandlingsaktiviteter har en webshoping?
Ifølge databeskyttelsesforordningens artikel 30, så skal man føre en fortegnelse.
Du skal derfor have kortlagt din behandling af personoplysninger når du laver fortegnelsen for din webshop.
I dette afsnit opremser vi nogle af de typiske behandlingsaktiviteter hos en webshop.
Her er definitionen af en behandlingsaktivitet:
En behandling (af personoplysninger) er enhver aktivitet eller række af aktiviteter, som personoplysninger eller en samling af personoplysninger gøres til genstand for.
Cookies
Din hjemmeside sætter cookies i dine brugeres browsere. Dette er personhenførbare oplysninger, som eksempelvis kan give dig oplysninger omkring registrerede brugeres aktivitet på din webshop.
Nyhedsbrev
Man kan tilmelde sig til et nyhedsbrev med sit navn og mailadresse, og derfor behandles der personoplysninger. Tilmelding til et nyhedsbrev sker ved at brugeren giver sit samtykke, og derfor skal du efterleve kravene til samtykke, herunder oplysningspligten.
Når brugeren tilmelder sig nyhedsbrevet, så skal du huske at få brugerens aktive samtykke til dette.
Hvis tilmeldingen til dette sker i forbindelse med køb af en vare på din webshop, så skal du have et afkrydsningsfelt a la “ja tak, jeg vil gerne modtage nyhedsbrevet”, så du får et aktivt samtykke.
Hvis tilmelding til nyhedsbrevet sker uafhængigt af et køb fx ved at tilmelde sig til nyhedsbrevet på forsiden, så behøver du ikke et afkrydsningsfelt a la “ja tak,..”, hvis formålet med at afgive sin mail klart sker for tilmelding af nyhedsbrevet. Du skal stadig efterleve kravene til samtykke.
Når dine brugere tilmelder sig nyhedsbrevet, så sørg for at de får en mail, hvor de efterfølgende kan bekræfte tilmeldelsen, så du er sikker på, at vedkommende selv har tilmeldt sig.
Kontaktformular
Brugere kan skrive til dig via en kontaktformular, hvilket som minimum indeholder din mailadresse og evt. en besked. Her behandler du personoplysninger om afsenderen, som ender i din mail indbakke eller i dit kundestyringssystem.
Brugere, som kontakter dig via kontaktformularen vil oftest være potentielle kunder og ikke eksisterende kunder. Hvis henvendelserne ender med at blive til kunder, så kan det være relevant at gemme oplysningerne i kundestyringssystemet fx hvis det er med til at dokumentere, at I har indgået en aftale.
Hvis kontakten blot ender som en forespørgsel fra en interesseret, som dog ikke ønskede at købe, så er der ikke behov for at gemme kontakten (personoplysningerne) i særlig lang tid.
Det er helt normalt at kommunikere via mail med potentielle kunder og eksisterende kunder.
Mailudvekslingen kan have forskellige formål, og vil derfor være forskellige behandlingsaktiviteter afhængigt at formålet. Her er der nogle eksempler til illustration:
- Mails med forespørgsler om produktet (potentiel kunde)
- Mails med aftale om at købe produktet (kunde)
- Mails vedrørende fejl på det købte produkt (reklamation)
Formålet som du behandler persondata efter definerer hvordan, at du skal behandle personoplysningerne i din virksomhed.
Chatservice
Du kan kommunikere med hjemmesidebesøgende via en chat på din hjemmeside eller for brugere, som har logget ind på deres profil i webshoppen.
Chatten med hjemmesidebesøgende på din hjemmeside vil oftest være potentielle købere, som har afklarende spørgsmål omkring produkter. Her vil der være behov for at behandle deres personoplysninger i en kortere periode.
Brugere på webshoppen, som er logget ind har formentlig spørgsmål til deres eksisterende ordre, og behandlingen af deres personoplysninger har derfor et andet formål, og er derfor en anden behandlingsaktivitet.
Brugerkonto
Hvis brugere kan registrere sig på hjemmesiden med en brugerkonto, så får du her kontaktoplysningerne fra brugeren. Her vil de fleste webshops gemme alle kundens ordrer, og mange webshops vil også tracke brugerens adfærd i webshoppen.
Vær særligt opmærksom på den registrerede ret til at blive glemt.
Medlemsklub
Hvis man kan tilmelde sig en medlemsklub med købsfordele, så er dette en behandlingsaktivitet. Tilmeldingen til medlemsklubben foregår formentlig via samtykke, som til enhver tid kan trække samtykket tilbage.
Købshistorik
Kundens køb registreres, og fakturaen skal bruges til regnskabet, og opbevares jf. Bogføringslovens regelsæt.
Betaling
Ved køb af en vare på din webshop, så behandles kundens betalingsoplysninger.
Du anvender formentlig en betalingsgateway, og udbyderen af denne er særskilt dataansvarlig. Vær opmærksom på hvilke betalingsoplysninger som hhv. webshoppen og betalingsgateway’en behandler, så du kan oplyse kunderne om dette i din persondatapolitik.
Lagerstyring
Varen/-erne skal findes på lageret via en ordreseddel. Her behandles både ordrenummer og/eller kontaktoplysninger på køberen, og derfor behandles der personoplysninger.
Hvis du har udliciteret driften af dit lager, så overlader du derfor behandlingen af disse personoplysninger til en tredjepart, som vil være databehandler.
Vareafsendelse
Du sender varen til kunden via et fragtfirma, og videregiver derfor personoplysningerne til fragtfirmaet, så fragtfirmaet kan udføre deres opgave “at levere varen til kundens adresse”. Fragtfirmaet er dataansvarlig i denne behandlingsaktivitet.
Returvarer
Du modtager returvarer fra kunder (fx fordi tøjet ikke passede alligevel) og behandler her personoplysninger, så du kan returnere pengene for varerne til kunden.
Reklamation
En kunde klager over kvaliteten af et produkt, og du har derfor en reklamation, og skal følge købelovens regler herom. Det betyder også, at du er nødsaget til at registrere oplysningerne i din kundesag.
Du kan ikke efterkomme sletning af registrerede kunders oplysninger, hvis der er en eksisterende sag om reklamationsret. Derfor skal reklamation være sin egen særskilte behandlingsaktivitet, da formålet med behandlingen af personoplysningerne er ‘reklamation’.
Hvilke databehandlere bruger en webshop?
En databehandler behandler personoplysninger på vegne af den dataansvarlige.
Din webshop er dataansvarlig for kundens personoplysninger, som behandles for at kunne håndtere varekøbet.
Følgende situationer er eksempler på brugen af en databehandler:
- Du anvender en leverandør som udarbejder personaliserede produkter på dine vegne fx indgravering af personoplysninger på et skilt.
- Du har udliciteret styringen af dit lager til en tredjepart, som sørger for at håndtere dine kunders ordrer.
- Du anvender et cloudbaseret system til kundestyring, hvor alle kundens kontaktoplysninger og ordrer fremgår.
- Du anvender et chatplugin til din webshop, hvorigennem du kan chatte med dine kunder.
- Du anvender et cloudbaseret mailsystem fx Outlook eller Google.
- Du anvender en tredjepart til hosting af din hjemmeside.
Hvilke partnere er ikke databehandlere?
Du bruger et fragtfirma til at levere kundens varer. Fragtfirmaets opgave er at levere en vare, og i denne forbindelse er firmaet nødt til at behandle kontaktoplysninger. I det øjeblik, at du giver fragtfirmaet pakken, så har fragtfirmaet ansvaret for behandlingen af disse personoplysninger.
Når du bruger fx Nets til at facilitere en betaling via din webshop, så er Nets dataansvarlig. De er underlagt særlige lovkrav, som dikterer hvordan, at de skal behandle oplysninger. Derfor er Nets ikke databehandler, men dataansvarlig. Hvis din webshop på nogen måde selv behandler betalingsoplysninger, som er personhenførbare, så har webshoppen naturligvis ansvaret for denne behandling.
Hvad skal webshopejere være opmærksom på?
Brug SSL-certifikat
Du ved det allerede, men sørg for at have et SSL-certifikat på din hjemmeside, så du ikke sender ukrypteret information over nettet. Uden SSL-certifikat på din hjemmeside, så kan hackere potentielt aflure information i kontaktformular, indkøbskurven, mv. Informationen kan misbruges af hackerne til at begå snyd.
Samtykke
Du ved det allerede, men sørg for at have et SSL-certifikat på din hjemmeside, så du ikke sender ukrypteret information over nettet. Uden SSL-certifikat på din hjemmeside, så kan hackere potentielt aflure information i kontaktformular, indkøbskurven, mv. Informationen kan misbruges af hackerne til at begå snyd.
Efterlevelse af ‘de registreredes rettigheder’
Når du har en webshop, så skal du være opmærksom på, at dine besøgende, brugere og kunder har rettigheder, som du skal efterleve.
Du skal efterleve følgende rettigheder:
- De har ret til indsigt i de personoplysninger, som er registreret om dem. De har også ret til at få udleveret en kopi af de disse data.
- De har ret til at få slettet deres personoplysninger. Dette kan dog ikke altid efterleves pga. særlige forhold eller andre regelsæt fx bogføringsloven.
- De har ret til at få behandlingen af deres persondata begrænset i særlige tilfælde
- De har ret til at gøre indsigelse mod behandling af personoplysninger i særlige tilfælde.
- De har ret til at klage over din behandling af deres personoplysninger til Datatilsynet.
Hvordan kan en webshop fremme GDPR og forretningen på samme tid?
Det er et lovkrav, at du kommunikerer til dine brugere om webshoppens brug af cookies, samt efterlever din oplysningspligt, hvilket typisk gøres via en persondatapolitik.
Det kan dog virke, som en sur pligt for mange at efterleve disse pligter, men det har også nogle fordele for din webshop.
Troværdighed
Det signalerer troværdighed når du klart og tydeligt efterlever GDPR-reglerne, samt cookiereglerne. Det understøtter derfor troværdigheden for resten af din forretning.
Mange hjemmesider vælger en minimumsmodel, hvor de fortæller så lidt som muligt om behandlingen af personoplysninger, og mange prøver også at skære hjørnerne af i efterlevelsen af reglerne.
Vi anbefaler klart, at du følger reglerne, og at du tydeligt giver den rette information til dine brugere.
Vær åben om brugen af personoplysninger, så dine brugere opnår en god indsigt om din behandling af deres data.
Brugerne vil huske dit gode eksempel fra din webshop når de læser persondatapolitikken hos konkurrenterne, som ikke gør det ordentligt. Du opbygger herigennem din autoritet, som en troværdig webshop.
SEO
Med en webshop, så lever du af, at din hjemmeside kommer frem i søgeresultaterne. Derfor arbejder du også med søgemaskineoptimering, og ved hvor stor en effekt, at dette kan have på din forretning.
Når din virksomhed har en persondatapolitik og cookiepoltik, så fremmer du ikke kun brugernes tillid til din hjemmeside, men også Google’s. Google har ikke råd til at sende besøgende til din hjemmeside, hvis du ikke behandler de besøgende ordentligt på din hjemmeside.
Persondatapolitikken og cookiepolitikken signalerer til Google, at du efterlever reglerne. Hvis du ikke har disse politikker på din hjemmeside, så er det netop et tegn til Google om, at du skjuler noget, og ikke efterlever reglerne.
Opsummering
I denne artikel har vi forsøgt at kaste lys over hvilke behandlinger af personoplysninger, som en webshop kan have, samt nogle af de forhold som webshoppen skal være opmærksom på.
Hvis du vil se en tjekliste til at implementere GDPR-reglerne, så kan du læse artiklen ‘GDPR i din virksomhed’, hvor vi gennemgår nogle af de krav, som alle virksomheder skal efterleve.