Stäng

Jag vill bli kontaktad


Jag vill kontakta Askås

Telefon: 0533-69 16 00

Säffle (huvudkontor)
Järnvägsgatan 11
661 30 Säffle

Askås 9 - en smart och
GDPR-säkrad e-handelsplattform

Askås och GDPR

Den nya europeiska dataskyddsförordningen GDPR trädde i kraft våren 2018 och på Askås innebar det att en lång utvecklingsprocess och delsträcka gick i mål. Det var även en inledning på en ny tid där vi och våra kunder påbörjade det faktiska jobbet med att leva upp till den nya lagstiftningen.

Text: Patrik Otter

25 maj 2018 infördes GDPR, den nya europeiska dataskyddsförordningen. På Askås inleddes arbetet mot GDPR redan 2017. Dels för att skapa rutiner och arbetssätt internt som matchade den nya lagstiftningen.

Men också i hög utsträckning för att utveckla vår e-handelsplattform och därmed leverera behövlig och effektiv GDPR-funktionalitet till e-handlarna. På denna sida har vi försökt repetera tidigare information och sammanfatta vad vi har gjort, varför vi har gjort det och hur vi ser på GDPR i stort.

Vi hoppas att vårt arbetssätt har varit och är till nytta för våra befintliga kunder och att det skapar förtroende hos alla som ser Askås som en framtida partner och leverantör.

Vilka funktioner har vi utvecklat?

En grundläggande förutsättning för att kunna genomföra en lyckad GDPR-anpassning av Askås e-handelsplattform har varit att ta reda på vad som klassas som en personuppgift och vilka behandlingar av dessa personuppgifter som görs i systemet. Denna utredning, som gjordes tidigt i processen, var en startpunkt för utvecklingen av ny funktionalitet. (se sammanfattning nedan)

Behörighets-funktionen - Ny funktion som ger förutsättningar att styra vilken funktionalitet som enskilda anställda och hela personalgrupper ska ha rätt att hantera i systemet.

GDPR-analys - Funktion som med en knapptryckning skapar en rapport som listar funktioner, anpassningar och externa kopplingar där personuppgifter är inblandade. Denna rapport kan användas som stöd, exempelvis för att skapa avtal-texter för kundmedgivande. (Se avtals-modul nedan).

Avtals-modul - Funktion för att skapa avtal och hämta in medgivanden från kunder på olika platser och vid olika händelser i butiken.

Loggning av personuppgiftsbehandling - När en personuppgift på något sätt ändras i systemet loggas detta. Loggen finns enbart tillgänglig för Askås men kan begäras ut vid behov.

Massuppdatering av lösenord - Verktyg som gör det möjligt för våra kunder att utifrån givna kund-id:n uppdatera lösenordet på en mängd kunder samtidigt.

Gallringsfunktion - Funktionalitet för att sätta upp regler för hur kunduppgifter ska sparas och gallras bort.  

Rätten att bli glömd - En slutkonsument har rätt att kräva att bli fullständigt raderad och att personuppgifter plockas bort ifrån systemet.

Personuppgifts-export - Ny funktion för att exportera ut personuppgifter om en specifik kund.

Loggade sessioner i kundernas backend. - Behörighet och tillgänglighet för Askås personal till våra kunders butiker att regleras hårdare. Syftet är att begränsa exponeringen av personuppgifter.

 

Vilken roll och ansvar har Askås respektive våra kunder?

Askås har rollen som personuppgiftsbiträde och detta regleras i nya och kompletterade avtal mellan oss och våra kunder. Som leverantör och partner har vi utvecklat vår produkt, vår e-handelsplattform, och fortlöpande informerat om detta utvecklingsarbete.

Det är kunderna och inte Askås som är personuppgiftsansvariga gentemot slutkonsumenterna. Kunderna avgör själva hur man vill använda de GDPR-funktioner vi utvecklar. Kunderna sätter egna regler för gallring, skriver egna texter för medgivande och ansvarar för kommunikationen gentemot sina kunder.

 

Grundläggande rådgivning till Askås kunder

Det är aldrig för sent att börja! Är det så att ni ännu inte har kommit igång med ert GDPR-arbete är det utan tvekan hög tid att göra det. Ni kanske är en nystartad verksamhet, ni kanske är ny som Askås-kund eller befintlig kund som ännu inte hunnit ta tag i GDPR.

Detta kan ni börja med redan nu

Texter för kundmedgivanden. Exakt hur och vilka medgivanden ni vill hämta in från era kunder är något ni själva behöver fundera på och bestämma. Ska ni hämta in medgivande på olika ”platser” i butiken eller avser ni att ta in ett samlat medgivande, exempelvis i kassan. De medgivandetexter ni ska presentera för kunderna i butiken föreslår vi att ni färdigställer så tidigt som möjligt.

Gallrings-regler. Hur vill och hur behöver ni spara kunduppgifter? Det finns funktionalitet där ni kan sätta upp regler för hur kunduppgifter ska sparas och gallras bort. Vilka gallringsregler ni kommer att använda avgör ni själva utifrån era behov. Ångerrätt och garantiåtaganden är sådant som kan påverka hur länge ni behöver spara kunduppgifter. I funktionen finns möjlighet att filtrera fram kunder utifrån olika parametrar, exempelvis inaktivitet och agera utifrån detta. Börja tänka igenom hur era gallringsregler ska se ut.

Internt arbete. Att diskutera fram och skapa policy-dokument när det gäller personuppgiftshantering är en grundläggande åtgärd som bör göras. Inventera er egen verksamhet, se över hur ni hanterar dokument, epost och andra system/verktyg som används utanför Askås.

Logga GDPR-insatser. Skapa någon form av logg över olika GDPR-insatser ni genomför. Notera vilka förändringar ni gör i ert arbetssätt, hur ni kommunicerar med era kunder och så vidare.

 Vad är GDPR?

GDPR, General Data Protection Regulation, är en dataskyddsförordning som stärker den personliga integriteten för konsumenter inom EU. Lagstiftningen skärper kraven på alla företag som i någon form samlar in, hanterar och lagrar personuppgifter.

Vad är en personuppgift?

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. (Text från datainspektionen)

 Vad innebär personuppgiftsansvarig?

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. (Text från Datainspektionen)

Vad innebär personuppgiftsbiträde?

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, exempelvis en tjänsteleverantör eller webbhotell. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. (Text från Datainspektionen)

Mer läsning: www.datainspektionen.se/

 

Har du frågor?

Maila till patrik.otter@askas.se