GDPR och dataskydd för WordPress och WooCommerce

Alla företag som på ett eller annat sätt gör affärer i Europa är skyldiga att följa GDPR, EU:s datalagstiftning. Vad innebär det och vad behöver man göra rent praktiskt?

GDPR är till för att skydda Europeiska invånares rätt till ett privatliv. Det har länge funnits motsvarande lagstiftning i Sverige (PuL), men denna har varit mer eller mindre tandlös då det inte funnits några större incitament att följa den. GDPR standardiserar lagstiftningen över hela EU och till skillnad från tidigare lagstiftning kan brott mot lagen innebära en sanktionsavgift på upp till 20M Euro eller 4% av bolagets totala omsättning.

Alla misstänkta övertramp mot GDPR kan anmälas av alla Europeiska privatpersoner och företag till sitt lands motsvarighet till Datainspektionen. Det är sedan upp till dem att undersöka det misstänka brottet. På så sätt kan GDPR komma att användas som ett vapen för att sätta krokben för företag som inte anpassat sig av de företag som har. Att hinna säkerställa att man följer lagstiftningen blir därför av högsta intresse för alla företag.

Vad kommer jag att lära mig?

  • Vad persondata är.
  • Vilka krav som ställs på företag.
  • Vad ni behöver göra i bolaget.
  • Vad ni behöver göra på er webbplats.

Ta mig till GDPR checklistan direkt

Snabbguide till GDPR:

  • Ni får inte samla in fler personuppgifter än nödvändigt.
  • Ni får bara samla in data för i förväg bestämda ändamål.
  • Data får inte sparas längre än nödvändigt.
  • Data bör inte sparas på fler platser än nödvändigt, och så få som möjligt bör ha tillgång till dem.
  • Data får inte lagras utanför EU länder eller länder med motsvarande personskydd i lagstiftningen alternativt frivilliga avtal tex https://www.privacyshield.gov.
  • Användare har rätt att veta vad för data ni har sparat om dem.
  • Användare har rätt att bli bortglömda.
  • Dataläckor måste rapporteras till datainspektionen.
  • Det måste finnas dokumentation för hur ni hanterar personuppgifter.
  • Alla leverantörer som hanterar personuppgifter för er måste följa GDPR, och ni måste ha ett personuppgiftsbiträdesavtal med varje leverantör.
  • Ni bör utse en personuppgiftsansvarig.

GDPR handlar om personuppgifter

Alla uppgifter som skulle kunna leda till identifieringen av idag levande personer är att betrakta som personuppgifter. Ibland lagras uppgifterna på grund av lagliga skäl (anställningsavtal, bokföring) och ibland lagras de för att marknadsföring (marketing automation, CRM, e-post listor). I GDPR innefattas även saker som ej är direkt kopplat till personuppgifter såsom;

  • Platsdata.
  • Online identifierare (till exempel ett användarnamn).

Känsliga personuppgifter

Utöver vanliga personuppgifter så finns det även någonting som betraktas som känsliga personuppgifter. Dessa kan innebära:

  • Ras, etnicitet och ursprung.
  • Genetisk data.
  • Biometrisk data.
  • Politiska åsikter.
  • Religösa eller filosofiska åskådningar.
  • Facklig tillhörighet.
  • Hälsodata.
  • Sexuell läggning & böjelse.
  • Tidigare kriminalitet (domar).

Känsliga personuppgifter kräver att man har särskilt samtycke för hantering och man har ansträngt sig för att ha en högre säkerhet kring, samt vid ett brott mot GDPR ge betydligt högre straff än ett "vanligt" övertramp.

GDPR implementeras i hela företaget

GDPR är inte någonting som kan implementeras som en "snabbfix". Det är ett tankesätt som skall implementeras för att skydda alla kunder och medborgare. GDPR består av 99 artiklar och kompletteras med uppförandekoder, men för att förenkla kan man sammanfatta GDPR till tre breda fält;

  1. Dokumentation, information, kommunikation och samtycke.
  2. Skydd av individens rättigheter (eg. personuppgifter).
  3. Inarbetning av GDPR (eg. dataskydd) i arbetsflöden, även kallat "Privacy by design".

Dokumentation, information, kommunikation och samtycke

Dokumentation

En av de viktigaste sakerna i GDPR är dokumentation. Rent krasst så kan man säga att det krävs väldigt lite automatiserade verktyg och IT projekt för att kunna följa GDPR, det viktigaste är att tillvägagångssättet finns dokumenterat.

GDPR handlar om att veta vad du har, veta vad du gör med det, veta vart det är lagrat, veta vem som har tillgång till det och veta hur du hanterar säkerheten runt det. Alla tänkbara aspekter måste gås igenom; från gammal e-post konfiguration till listor i excel lagrade på ett USB-minne.

Så många som möjligt i organisationen behöver veta det, men allting behöver vara dokumenterat. En del kommer att bli intern dokumentation, annan information kommer att bli extern dokumentation som publiceras på till exempel er webbplats.

Kommunikation

Det mest grundläggande steget är att se till att alla i organisationen, inhyrda och anställda, är medvetna om hur GDPR påverkar deras arbete. Allt ifrån personen som fixar fruktkorgen till VD och styrelse.

Detta innebär också att policys måste upprättas. Att dessa policys har gåtts igenom måste sedan dokumenteras och arkiveras. Alla kommer inte bli experter på dataskydd över en natt, men samtliga i personalen bör bli uppmärksamma på;

  • Vad persondata är.
  • Vad man får göra med persondata.
  • Hur de inkorporerar dataskydd i utformning av produkter.
  • Hur de inhämtar samtycke.
  • Deras egna rättigheter.
  • Vad en "personuppgiftsincident" innebär.
  • Vilka interna rapportmekanismer finns för att rapportera en incident.

Sekretessinformation

GDPR kräver att organisationen blir mer transparent kring hur man använder sitt data. Därför kommer sekretessinformation vara en text som kommer att finnas på alla företags webbplatser. Texten skall vara skriven på ett sådant sätt att den är lättbegriplig för den tilltänkta målgruppen. Har man en webbplats med olika spel riktade till barn så behövs ett språk barn kan förstå.

Här krävs också att det finns möjlighet för personen som besöker webbsidan att dra in sitt samtycke, inklusive spårning då unika cookies som identifierar en specifik enhet eller person kan räknas som att de samlar persondata. Om man till exempel har ett Marketing Automation verktyg (tex Hubspot) och ett analysverktyg (tex Google Analytics) som sparar persondata på olika sätt så måste användaren ha möjlighet att på ett automatiserat sätt säga att de inte vill ha dessa cookies - och då skall dessa inte heller ges till användaren.

Denna granuläritet hör inte nödvändigtvis till GDPR utan snarare tidigare lagstiftning runt Cookies, men GDPR skapar ett behov av bättre verktyg då moderna marknadsföringsverktyg är till för att spåra användares beteende - och räknas därför in under GDPR. Detta innebär att de "cookievarningar" som finns idag som endast varnar ej blir godkända.

Dataskyddsombud (DPO, Data Protection Officer)

Under GDPR så bör företag ha ett utsett dataskyddsombud. Dataskyddsombudet behöver inte ha några speciella kunskaper eller utbildningar, men är den som är internt ansvarig för att företaget implementerar dataskydd på ett fullgott sätt. För att detta skall bli bra behöver personen vara bekväm med att ta upp svåra frågor och kunna utmana samtliga processer och tillvägagångssätt inom bolaget utan risk för repressalier. Dataskyddsombudet skall vara oberoende (det är t.ex. inte lämpligt att IT-chefen är DPO) och har direkt samverkan med ledningen.

I slutändan är det dock företaget som är ansvarigt för att man följer GDPR, och dataskyddsombudet är primärt en intern funktion som ser till att kraven uppfylls. Att utse en person enbart för syns skull är därför rent av kontraproduktivt - det viktigaste är att företaget följer GDPR.

Samtycke

I GDPR så måste all insamling av personuppgifter ske med personens samtycke.

Samtycke måste vara Aktivt. Samtycke måste ges frivilligt och är initierat av användaren. Det får ej vara ett förvalt standardalternativ.

Samtycke måste vara Granulärt. Det är inte tillåtet med "allt eller inget" alternativ. Till exempel måste man kunna tacka nej till spårnings-cookies, men godkänna cookies för att webbplatsen skall fungera. Ett annat exempel är att samtycke att ta emot ett nyhetsbrev får ej ske per automatik när man skapar ett användarkonto.

Samtycke måste vara Ovillkorat. Användare kan inte bli tvingade att ge samtycke för att i gengäld få någonting. Till exempel kommer det inte längre vara tillåtet att ge bort ett white paper i utbyte mot en e-post adress och sedan bomba ut med nyhetsbrev. Däremot vad som kommer vara tillåtet är att sälja ett white paper för 0 kronor - och då ingår en prenumeration av ett nyhetsbrev som man ger samtycke till. Att man definierar det hela som en affärstransaktion kommer att vara av yttersta vikt för marknadsförare.

Samtycke måste vara Transparent. Användaren måste detaljerat få reda på alla parter som kommer att behandla deras data och varför de gör det.

Samtycke måste vara Rättvist. Samtycke kan inte skapa en orättvis relation mellan användaren och databehandlaren. Till exempel så skulle att tvinga de anställda att använda en intern applikation som övervakar de anställdas geografiska plats även utanför deras arbetstid utgöra grund för en orättvis relation.

Samtycke måste vara Verifierbart och dokumenterat. Det måste kunna gå att bevisa att användaren gav sitt samtycke, hur samtycket gavs, vilken information som gavs, vad de gick med på, när de samtyckte samt om de har dragit in sitt samtycke.

Undantaget: Rättsliga grunder

Personuppgifter får lagras utan samtycke, men endast när man har en rättslig grund.

Lagstiftning gör att företag ibland är skyldiga att registrera personuppgifter. Till exempel måste alla företag uppfylla bokföringsskyldigheten i bokföringslagen. Hit räknas till exempel listor på människor som varit på event och blivit bjudna på saker.

Avtal är ett annat exempel där företag måste registrera och hantera personuppgifter. Det kräver dock att man endast lagrar de uppgifter som behövs för att uppfylla avtalet. Varken mer eller mindre.

Intresseavvägning är en gråzon som kan användas för att avväga mellan individens rättigheter och företagets behov. Till exempel skulle en lista med potentiella kunder med en viss titel inom ett visst segment kunna vara en godkänd lista, medan en lista över personer som varit på event och inte blivit bjudna på saker kanske inte är en godkänd lista.

Skydd av individens rättigheter

En av de viktiga grundpelarna i GDPR är individens rätt över sin data. Européer har alltid haft mer rätt än andra över hur deras information används.

För företag innebär detta att dessa rättigheter måste respekteras, de måste implementeras i arbetsflöden samt om en begäran om utträde eller om vilken data som finns svarat på. Svaret måste även vara handlagt på ett transparent sätt och genomföras inom rimlig tid.

Användarnas rättigheter är:

  • Rätten att bli informerad genom sekretessinformation.
  • Rätten att få tillgång till den data ni har om dem (känt som att "Begära registerutdrag").
  • Rätten att kunna ladda ner sin data och ta den till en annan leverantör.
  • Rätten att korrigera fel i ert data.
  • Rätten att få viss typ av data borttagen (känt som "Rätten att bli bortglömd").
  • Rätten att begränsa dataprocessning (det vill säga hur du använder deras data).
  • Rätten att bestrida er dataprocessning (till exempel för användning i automatiserade processer).

Begära registerutdrag

Att begära registerutdrag (eller Subject Access Request på Engelska) är en rättighet som alla Europeiska invånare haft under lång tid.

Man kan förvänta sig att få begäran om registerutdrag från individer som vill ha:

  • Bekräftelse att du processar deras data.
  • En kopia av all data som ni har om individen.
  • Information om vilka tredje parter ni har lämnat vidare deras data till.

En registerutdragsförfrågan måste genomföras inom rimlig tid. Eftersom det är en rättighet får man heller inte ta ut en avgift för att tillhandahålla informationen. Därför kan det vara en mycket kostsam historia för ett företag om detta får väldigt många förfrågningar om processen hanteras manuellt.

Alla företag måste ha en dokumenterad process för hur en registerutdragsförfrågan hanteras.

"Rätten" att få bli bortglömd

En rätt att få lov att bli bortglömd kan lätt feltolkas av många som ett sätt att kunna censurera och ta bort komprometterande information om sig själv på nätet. Så fungerar det naturligtvis inte.

Rätten att bli bortglömd kan bara användas ifall:

  • Det personliga datat inte längre är nödvändigt.
  • Individen tar tillbaka sitt samtycke för dataprocessning.
  • Dataprocessning inte är nödvändig.
  • Persondatat inhämtades olagligen.
  • Raderandet av persondatat inte bryter mot någon lag.
  • Datat handlar om ett ej myndigt barn.

Detta innebär alltså att det inte går att ta bort sig själv helt ur en kunddatabas hur som helst, men att det går att ta bort sig själv från en leadslista.

Rätten att kunna ladda ner sin data

Om ert företag använder WordPress, WooCommerce så har ni redan i grunden goda möjligheter till data portabilitet. WordPress är byggt för att kunna vara enkelt att migrera till och från på ett enkelt sätt tillskillnad från propreitära lösningar eller hyrlösningar, vilket gör Open Source till det primära valet vid en CMS eller E-handels upphandling.

Om en person gör ett registerutdrag måste ni vara beredda på att kunna tillhandahålla denne med alla dess uppgifter. Olika WordPress och WooCommerce-implementationer kan lagra personuppgifter på olika sätt, och därför kan en standardiserad lösning lösa mycket - men måste ofta anpassas till ert unika behov.

Profilering, aggregering och marknadsföring

Att använda system för att knyta ihop olika datakällor kan vara oerhört kraftigt för både arbetsgivare och marknadsförare. Dessa system kan användas för att kartlägga till exempel:

  • Anställdas arbetsprestation.
  • Människors hälsa.
  • Personliga preferenser.
  • Pålitlighet.
  • Beteende.
  • Plats eller rörelser.

Idag använder sig många av Marketing Automation system. I dessa system aggregeras data från flera olika källor för att ge en helhetsbild av kunder och deras behov. För att få lov att göra detta så måste man som användare dels få lov att tacka nej (genom att till exempel inte acceptera marknadsförings-cookies), men det måste också finnas detaljerad information om hur man kommer att använda deras data.

Detta kommer att ställa krav på till exempel den digitalbyrå ni använder för att guida er kring implementationen av era digitala lösningar. Det går inte längre att förutsätta att man kan använda data hämtat från ett formulär precis hur man vill. Ad-hoc lösningar och efterkonstruktioner kommer ej längre vara acceptabla. Köper man ett Marketing Automation system måste man ha en tydlig plan med varför och hur man skall använda det, och detta måste reflekteras i företagets sekretessinformation.

Rapportera dataläckor

GDPR kräver att företag förbereder för dataläckor. De flesta dataläckor går att undvika, och därför är mycket av "förberedelserna" att betrakta som att GDPR säkra verksamheten, men det handlar också om att förbereda för värsta tänkbara scenario.

Alla dataläckor måste rapporterat till Datainspektionen inom 72 timmar från att man upptäckt läckan. Alla läckor som riskerar att resultera i att individers rättigheter och friheter är komprometteras måste rapporteras. Om läckan påverkar ett stort antal människor eller innehåller känslig persondata måste denna läcka även omedelbart rapporteras till de drabbade individerna.

En rapport måste innehålla följande information:

  • Vilken typ av användardata som har läckt.
  • Hur många individer som påverkats.
  • Hur många datafält som är inblandade.
  • Information om hur läckan upptäcktes, och av vem (Till exempel via intern rapportering eller via kunds klagomål).
  • Information om vem som var ansvarig för läckan.
  • Information om hur läckan hände.
  • Vilka konsekvenser har läckan fått (Till exempel att kontokortsuppgifter läckt och dragningar gjorts på kunders konton).
  • Vilka åtgärder har tagits för att hantera läckan (Till exempel kontakta kunder, nollställa alla lösenord osv).
  • Vilka åtgärder kommer tas för att hantera konsekvenser av läckan.
  • Namn och kontaktinformation till ert Dataskyddsombud.

Tänk på att information som kan skada eller påverka utredningen av dataläckan inte behöver delges i den initiella rapporteringen av dataläckan.

Hosting av data inom EU

Under GDPR så får persondata inte överföras och lagras utanför EU såvida dessa länder inte kan garantera samma nivå på dataskydd. 

Detta innebär till exempel att företag som till använder företag utanför EU för att hosta sina webbplatser kan behöva att se över val av leverantör.

För Amerikanska bolag finns Privacy Shield som är ett frivilligt initiativ för att uppnå samma nivå som EUs lagstiftning. Privacy shield är inte ett perfekt system och har en historik av att bli ifrågasatt, och har under en längre tid blivit ifrågasatt av både Europeiska intressen samt den Amerikanska administrationen. Privacy Shield är därför att betrakta som ett dött projekt som företag som vill undvika onödiga risker bör undvika.

GDPR säkra era leverantörer

Det blir ert företags ansvar att se till att era leverantörer är GDPR säkrade. Ni behöver se till att era leverantörer kan hantera personuppgiftsdata på ett säkert sätt.

GDPR säkra er webb-/reklam-/content-/digitalbyrå

När ni inhandlar olika marknadsföringstjänster är det viktigt att granska deras processer i sömmarna. För oss som arbetar med kod så innebär detta till exempel att vi måste anonymisera persondata när vi flyttar det från produktionsmiljö till en testmiljö på ett automatiserat sätt.

Utöver detta behöver leverantören ha uppsatta processer och dokumentation som säkrar att de hanterar personuppgifter på ett korrekt sätt. Ni behöver utöver detta även teckna ett personuppgiftsbiträdesavtal för er leverantör.

Inarbetning av GDPR i arbetsflöden

GDPR måste implementeras både långsiktigt och kortsiktigt. Långsiktigt så är det i hur man gör allt ifrån att utforma sina IT system till hur marknadsavdelningen arbetar, men kortsiktigt finns det ett par saker ni behöver åtgärda.

Vi vill poängtera att denna listan kanske inte alltid är komplett för alla typer av verksamheter. Vi rekommenderar därför att ni kontaktar ett företag som Systemstrategerna för att guida er när ni gör en bredare GDPR-översyn inom ert företag.

Checklista för GDPR:

Vad Beskrivning Åtgärdad
Datagenomgång Gör en full genomgång av all data ni har och vart ni har den, oavsett om den är Online, Offline, Internt, Externt, Aktiva projekt eller Inaktiva projekt.
Datalagring Se över vart ni lagrar ert data. All datalagring måste ske inom EU, till exempel på vårt hostingföretag Synotio
Dataskydd Se över ert dataskydd och vem som har tillgång till vad. (Tips: ISO 27001 ger ett bra stöd för att uppfylla GDPR krav på dataskydd)
Information Skapa sekretessinformation för alla tjänster och produkter. Informera på webbplatsen varför ni samlar data och hur den kommer att användas.
Dataskyddsombud Utse ett dataskyddsombud som säkrar att ni är GDPR säkrade.
Samtycke Se över era samtyckesprocesser. Hur fungerar formulären på er webbplats? Har webbplatsen möjlighet att granulärt tacka nej till Cookies? Se till att gå igenom era befintliga listor och säkra att samtliga personer i era databaser lämnat samtycke.
Registerutdrag Etablera en skriftlig process för när någon begär ett registerutdrag.
Om möjligt, automatisera detta på webbplatsen
Glöm användare Etablera en skriftlig process för när någon begär att bli borttagen eller vill ändra sitt data. Om möjligt, automatisera detta på webbplatsen
Portabilitet Implementera dataportabilitet.
Om möjligt, automatisera detta på webbplatsen
Profilering Se över eventuella processer som hanterar persondata som spårar beteende i marknadsföringssyfte.
Dataläckor Etablera en skriftlig process för dataläckor.
Leverantörer Säkra att alla era leverantörer som hanterar persondata för er hanterar ert persondata korrekt.
Personbiträde Teckna personuppgiftsbiträdesavtal med samtliga leverantörer som kan hantera persondata. (En mall kan du hitta här)

GDPR säkra WordPress & WooCommerce

För WooCommerce och WordPress genomför vi projekt för kunder för att GDPR säkra sina webbplatser. Vi kan hjälpa till att gå igenom er webbplats för att säkerställa att ni inte sparar uppgifter som kan orsaka er problem i framtiden, men vi kan även tillverka den mjukvara som behövs för att få er webbplats att 

  • Genomgång av installation och databas för att säkra att uppgifter som inte bör lagras inte lagras
  • GDPR säkrad hosting med SSL
  • Genomgång av datainsamling för att säkra samtycke
  • Tillägg för att säkra granuläritet i vilka cookies man som användare får
  • Skräddarsydda plugins för att automatisera registerutdrag och säkra dataportabilitet

Kontakta oss så hjälper vi er att att GDPR-säkra er WooCommerce eller WordPress webbplats.