Ecommerce community
 
 

Ehandel.org granskar Personuppgiftslagen (PUL)

Stefan Pettersson, Tid. Business Developer - 30 Jan-12
 
Personuppgiftslagen (PUL) ger nätbutikerna långtgående möjligheter att samla in kunduppgifter. Men lagen innehåller också skyldigheter som många e-handlare inte tänker på. I tio steg har Ehandel.org analyserat lagen och ger tips på hur nätbutiken efterlever den.
Advert
E-handlare har möjlighet att samla in betydligt fler uppgifter från kunden än vad som behövs för att genomföra transaktionen. Hela förfarandet med insamlingen ryms inom något Datainspektionen benämner "stöd av samtycke". Detta innebär att om det inte passar kunden så får de handla någon annanstans. Eller som Jonas Agnvall, jurist på Datainspektionen uttrycker det; - det finns ingen skyldighet för nätbutiken att sälja till konsumenten.

För vi pratar uteslutande om just konsumenter i denna artikel. Med målet att begränsa omfånget av artikeln ytterligare plockar vi även bort de köp som sker mot faktura och delbetalning. Detta då det är självklart att nätbutiken i de fallen behöver fler uppgifter om kunden än vid direktbetalning.

Att vara nyfiken på kunden är ok - men det kan innebära skyldigheter och ansvar
I praktiken kan nätbutiken begära in uppgifterna bara för att de är nyfikna så länge de inte bryter mot någon annan lag, exempelvis inom diskrimineringslagstiftningen. Vid en beroendeställning eller monopolsituation är det däremot inte tillåtet att neka en kund prisuppgift eller att köpa på grund av att denne inte vill dela med sig av personlig information (Kommentar 22 § PUL 1998:204).

Uppgifter om ett hushåll (istället för en enskild person), det vill säga uppgift som hänförs till en väldigt snäv krets, anses i praxis utgöra personuppgifter (Kommentar 3 § PUL 1998:204).


Att kräva personnummer när en kund vill handla med kort via nätet innebär att nätbutiken blir skadestånds och straffrättsligt ansvarig för den insamlade informationen.

Det är till och med fullt lagligt att exempelvis kräva personnummer av kunden för att ens visa en prisuppgift. Att det är lagligt betyder dock inte att det är en bra idé.

- E-handlare kan ofta underskatta konsumentmakten, säger Jonas Agnvall och fortsätter - Att bli utsatt för en köpbojkott på grund av övernitiska krav på personlig information om kunden är lika onödigt som kostsamt för butiken.

För integritetskänsliga uppgifter finns däremot begränsningar i hur informationen får samlas in och till vad den får användas.

Till integritetskänsliga uppgifter räknas bland annat (13 § PUL 1998:204):
  • Ras eller etniskt ursprung
  • Politiska uppgifter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i fackförening
  • Uppgifter som rör hälsa eller sexualliv


Datainspektionens webbplats är en ovärderlig kunskapskälla vad gäller personuppgiftslagen.

1. Inget tillstånd behövs från Datainspektionen

Efter att PUL infördes behövs inte längre något tillstånd för att samla in kunduppgifter elektroniskt så länge det finns en personuppgiftsansvarig samt ett personuppgiftsombud (36-40 § PUL 1998:204). Det är alltså tillåtet att samla in de uppgifter som önskas så länge det inte bryter mot någon annan lag. Tänk bara på att personuppgiftsansvarig tydligt måste informera den registrerade om vem som har tillgång till uppgifterna samt till vad de kommer att användas (23-26 § PUL 1998:204).

23 § PUL 1998:204 säger "Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna". Med andra ord, samlar ni in personlig information så är ni enligt lag skyldiga att utan anmaning meddela den registrerade vad som har samlats in och till vad det ska användas.

25 § PUL 1998:204 Den information som skall lämnas självmant
25 § Information enligt 23 eller 24 § skall omfatta:
  • a) uppgift om den personuppgiftsansvariges identitet,
  • b) uppgift om ändamålen med behandlingen, och
  • c) all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

Information behöver dock inte lämnas om sådant som den registrerade redan känner till.


Exempel på hur samtycke kan vara utformat. (Bild från Datainspektionen)

Ni kan även bli skadeståndsansvariga om informationen ni har lagrat exempelvis stjäls och kunden kommer till skada. Eller om information används på annat sätt än vad kunden i förhand har samtyckt till (49 § PUL 1998:204).

Ehandel.org rekommenderar:
Samla aldrig in fler uppgifter än vad som behövs för att genomföra transaktionen. Ha aldrig personnummer som kundnummer och samla överhuvudtaget aldrig in personnummer om det inte är absolut nödvändigt. Knyt ingen personlig information till själva transaktionen eftersom den då kommer att finnas kvar i bokföringen. Se till att all information förvaras krypterad, följ gällande säkerhetsstandarder och begränsa tillgången till kunders personliga information till de anställda som måste ha tillgång till denna.

2. Personuppgiftsansvarig är ansvarig för informationen

För ett register måste det finnas en juridiskt ansvarig, en så kallad personuppgiftsansvarig. En "personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter" (3 § PUL 1998:204).

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Undantagsvis kan en fysisk person vara personuppgiftsansvarig, till exempel en enskild företagare.

En användare som enbart har rätt att komma åt personuppgifter genom att läsa dem och söka bland dem, men som inte självständigt får ändra, komplettera eller radera uppgifterna är inte personuppgiftsansvarig.

En juridisk person eller en myndighet är personuppgiftsansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter. Om flera juridiska personer i en organisation, exempelvis i en koncern, behöver behandla samma personuppgifter kan ansvarsfördelningen se ut på olika sätt.
  • Om moderbolaget ensamt bestämmer över behandlingen blir moderbolaget personuppgiftsansvarig.
  • Om alla bolag inom en koncern gemensamt bestämmer över behandlingen blir de tillsammans ansvariga för det aktuella registret.

De olika koncernbolagen kan naturligtvis samtidigt var för sig vara personuppgiftsansvariga för andra register som de självständigt bestämmer över.


Personinformationen ni samlar in idag kan lätt bli morgondagens huvudvärk. Samla bara in det ni verkligen behöver för ändamålet.

Personuppgiftsombud
Personuppgiftsombudet har till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för honom eller henne. Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, ska personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten (38 § PUL 1998:204).

Till skillnad från personuppgiftsansvarig måste ett personuppgiftsombud alltid vara en fysisk person. Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten att ett personuppgiftsombud utsetts och vem det är, behöver anmälan enligt 36 § första stycket (36 § PUL 1998:204 "Behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet.") inte göras.

Personuppgiftsbiträde
Det finns även något som heter personuppgiftsbiträde vilket är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar är inte personuppgiftsbiträde.

Ett personuppgiftsbiträde kan vara antingen en fysisk eller en juridisk person. Om en personuppgiftsansvarig till exempel anlitar en servicebyrå blir denna ett personuppgiftsbiträde som får behandla personuppgifter enligt den personuppgiftsansvariges instruktioner. Ett skriftligt avtal måste upprättas. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna (30-32 § PUL 1998:204).

Ansvaret kan inte överlåtas
Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas. Det är alltid den personuppgiftsansvarige som ytterst svarar för att PUL följs och att de registrerade behandlas korrekt. Ansvaret är straff- och skadeståndssanktionerat. Den personuppgiftsansvarige är skadeståndsskyldig gentemot den registrerade, även för åtgärder som en medhjälpare eller ett personuppgiftsbiträde har utfört. Ett biträde kan enligt avtal eller allmänna regler bli skadeståndsskyldigt gentemot den personuppgiftsansvarige.

Information om vem som är personuppgiftsansvarig måste alltid finnas angivet. Med en personuppgiftsansvarig får insamlaren i praktiken dispens från att anmäla registret till Datainspektionen. Undantag finns men hela lagstiftningen är skapad för att flytta ansvaret till insamlaren.

Ehandel.org rekommenderar:
Gör det lätt för er genom att tydligt informera om vem som är personuppgiftsansvarig i era villkor och glöm inte att ange både juridiskt namn och organisationsnummer. Gör ni inte detta kan följden bli att ni har ett olagligt register med personuppgifter. Tänk på att ni är skadestånds- och straffrättsligt ansvariga för information ni delar med tredje part, exempelvis underleverantörer, speditörer, betalväxlar, bokföringsbyrå, revisor med flera.

3. Uppgifternas grad avgör hur de ska lagras

Uppgifterna som samlas in ska lagras med sådan säkerhet att det motsvarar vad som har samlats in. Samlas bara e-postadresser in krävs inte samma säkerhetsnivå som om personnummer samlas in. Ansvaret för uppgifterna ligger hos den personuppgiftsansvarige, som också är skadeståndsansvarig om uppgifterna missbrukas. Tänk på att det för kunden kan vara väldigt privat vad han, eller hon, köper av er och hantera informationen på ett säkert sätt.

Ehandel.org rekommenderar:
Lagra uppgifterna krypterade. Begränsa samtidigt tillgången till uppgifterna. Alla medarbetare kanske inte behöver ha tillgång till alla uppgifter? Är det möjligt kan ni i er bokföring arbeta med transaktioner utan personuppgifter och på så sätt minska risken för informationsläckage. Det är i de flesta system mycket enkelt att exportera data till bokföringen utan att behöva skicka med personuppgifter.


Uppgifter som samlas in får bara lagras tills det att kundförhållandet har upphört.

4. Personliga uppgifter får inte lagras när kundförhållandet upphör

Här har vi något som kan ställa till för många företag. Uppgifterna som samlas in får nämligen bara lagras tills det att kundförhållandet har upphört (9 § PUL 1998:204). Därefter ska de ovillkorligen bort. Datainspektionen säger att återvärvning av tidigare kund får ske i 12 månader efter det senaste kundförhållandet, därefter ska uppgifterna avidentifieras eller raderas.

I de fall kunduppgifterna inte kan tas bort enligt bokföringslagen ska de överföras dit. De får dock inte ligga kvar i något kundregister. Och de får under inga som helst omständigheter användas för marknadsföring, försäljning, undersökningar eller något annat. Det är passiva uppgifter som enbart får finns om bokföringslagen kräver det. Att tekniskt stöd kan saknas för att radera gamla kunduppgifter är inte ett godtagbart undantag från PUL enligt Jonas Agnvall.

Den registrerade har även rätt att begära ett utdrag per år kostnadsfritt ur registret (26 § PUL 1998:204), samt rätten att begära att uppgifterna tas bort, det vill säga "samtycke återkallas" (12 § PUL 1998:204). Felaktiga uppgifter måste även rättas utan fördröjning (28 § PUL 1998:204). Ansvaret för att uppgifterna som samlas in är korrekta ligger hos personuppgiftsansvarig.

Det finns inget särskilt formkrav för hur ett återkallande av samtycke ska ske, utan det kan ske muntligen till den personuppgiftsansvarige (eller någon som företräder denne). Det är dock den som gör återkallandet som har bevisbördan för att det faktiskt skett (Kommentar 12 § PUL 1998:204).

Ehandel.org rekommenderar:
Finns det hos er tekniskt stöd för att radera alla personuppgifter om inte kunden har handlat på tolv månader så har ni förutsättningar att följa PUL. Är svaret däremot nej borde ni begränsa informationen som samlas in om kunden till ett absolut minimum.

5. Undantaget heter kundklubb

Genom att skapa en kundklubb får ni ett pågående förhållande med kunden och omfattas inte av tolvmånadersregeln. Däremot gäller fortfarande PUL fullt ut. Skillnaden mellan att samla in kundinformation och att driva en kundklubb är att det vid sistnämnda anses finnas ett pågående kundförhållande, varför uppgifterna inte heller behöver raderas inom tolv månader. Det pågående kundförhållandet gäller så länge kunden är medlem i kundklubben.


Att ta bort gamla personuppgifter kan visa sig vara svårare än många tror.

6. Svårt att radera uppgifterna på ett korrekt sätt

Det finns två olika sätt att ta bort personuppgifter. Man kan antingen avidentifiera eller förstöra dem.

Avidentifiera
Att avidentifiera personuppgifterna innebär att man avlägsnar alla identifieringsmöjligheter så att de uppgifter som fortsättningsvis behandlas inte längre går att koppla samman med en fysisk person. Krypterade personuppgifter är inte avidentifierade så länge någon kan göra uppgifterna läsbara och därmed identifiera personen.

Förstöra
Att förstöra personuppgifterna innebär att se till att de inte går att återskapa. Det är viktigt att känna till vad som krävs rent tekniskt för att uppgifterna verkligen ska förstöras. Det är till exempel inte tillräckligt att radera den fil som innehåller personuppgifterna. Det är nämligen inte säkert att ett sådant kommando verkligen raderar all information, filen kan exempelvis ligga kvar i datorns "papperskorg". I stället krävs säker omformatering av lagringsmediet eller total överskrivning så att personuppgifterna inte kan tolkas i efterhand. Det är dock inte heller säkert att vanlig formatering raderar alla uppgifter utan det kan krävas särskild utrustning eller specialprogramvaror. Hur långtgående tekniska åtgärder som bör vidtas är bland annat beroende av informationens känslighet. Kravet att radera personlig information gäller även på säkerhetskopior efter proportionsprincipen. Ju känsligare personlig information som har lagrats desto större krav på att den verkligen raderas.

Vad gäller för utskrifter?
Personuppgifter i pappersform omfattas normalt inte av PUL och behöver inte förstöras, om de inte utgör ett sådant manuellt register som avses i andra stycket 5 § PUL 1998:204 (behandling får inte utföras om den innebär en kränkning av den registrerades personliga integritet. Lag 2006:398).

Några praktiska exempel

Kunder
I ett förhållande mellan säljare och kund bör personuppgifterna inte längre bevaras om mellanhavandet mellan säljaren och kunden har avslutats, till exempel då en vara har levererats och är helt betald.

Om säljaren ska kunna fullgöra eventuella garantiåtaganden kan det motivera att vissa personuppgifter bevaras tills garantin har gått ut.

Att kunden har möjlighet att reklamera varan innebär inte med automatik att uppgifter om kunden får bevaras under den tid som reklamationsfristen löper. Om varan är en sällanköpsvara eller en förbrukningsvara kan ha betydelse för bedömningen av hur länge uppgifterna får bevaras för reklamationsändamål.

Direktmarknadsföring
Om det finns ett kundförhållande mellan kunden och den personuppgiftsansvarige får den personuppgiftsansvarige skicka reklam till kunden, om nu inte kunden har motsatt sig det. I ett svar från 2007 bedömer Datainspektionen att "en förening får behandla uppgifter om sina egna före detta medlemmar för återvärvningskampanjer i tre månader från det att medlemmen uteslutits ur föreningen. Därefter bör uppgifterna gallras". Efter tre månader bör uppgifterna alltså tas bort, efter tolv månader måste de bort.

Kreditbedömningar
Kreditgivare gör ofta kreditbedömningar av sina kunder med stöd av uppgifter som inhämtas från kreditupplysningsföretag. En sådan kreditbedömning bör alltid göras på så aktuell information som möjligt. Därför får inte informationen bevaras i ett kundregister för att senare utnyttjas för en ny kreditbedömning.

Ehandel.org rekommenderar:
Med tanke på hur svårt det är att radera personlig information på ett korrekt sätt bör man ifrågasätta exakt vilken information som verkligen behövs för ändamålet.


Om tekniskt stöd finns kan ni erbjuda de kunder som vill att handla utan att registrera sig.

7. PULs grundläggande krav

9 § PUL 1998:204 Grundläggande krav på behandlingen av personuppgifter
9 § Den personuppgiftsansvarige skall se till att:
  • a) personuppgifter behandlas bara om det är lagligt,
  • b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,
  • c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål
  • d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,
  • e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,
  • f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,
  • g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,
  • h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och
  • i) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Ehandel.org rekommenderar:
Samla inte in mer information än ni verkligen behöver. Att hantera informationen på ett korrekt sätt kan bli kostsamt.

8. Risker för den som bryter mot PUL

Den som i strid mot PUL behandlar personuppgift kan dömas till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år om brottet skett uppsåtligen eller av grov oaktsamhet (49 § PUL 1998:204 samt tillägg SFS 1999:1210). I ringa fall döms inte till ansvar.

Den personuppgiftsansvarige kan bli skadeståndsskyldig mot den registrerade för skada och kränkning av den personliga integriteten, som en behandling av personuppgifter i strid med denna lag, har orsakat.

PUL 1998:204 tillägg 47 § SFS 2009:827 säger även "Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas. Beslut om utplånande får inte meddelas om det är oskäligt." I praktiken innebär detta att staten kan radera ert kundregister om det bryter mot PUL. Vad som anses oskäligt defineras inte, men av tidigare lagtexter att döma ligger denna nivå långt över nätbutikens önskemål om att ha ett kundregister.

Ehandel.org rekommenderar:
Följ lagen. Skadestånd och fängelse är verkligen avskräckande, för att inte tala om den negativa publicitet ett sådant här mål skulle innebära.

9. Steg för steg-lista för att följa PUL
  1. Utse en personuppgiftsansvarig (företaget om ej enskild firma) och informera tydligt om vem det är med organisationsnummer, juridiskt namn och kontaktuppgifter.
  2. Utse ett personuppgiftsombud (alltid fysisk person) och anmäl denne till Datainspektionen.
  3. Definera vilken information ni behöver för ändamålet och ta fram informationstext för detta.
  4. Dokumentera rutiner för hur den personliga informationen ska hanteras, lagras och gallras. Beroende på hur känslig information ni väljer att samla in kan även era säkerhetskopior komma att påverkas då lagen säger att information inte ska kunna återskapas när uppgifterna har gallrats bort. Det finns en proportionsprincip så vårt tips är att hålla sig inom den med god marginal.
  5. Om ni behöver dela med er av uppgifterna till tredje part måste ni upprätta skriftligt avtal för personuppgiftsbiträde. Avtalet ska reglera vilka personuppgifter som avses, vad de ska användas till och hur de ska hanteras. Den registrerade ska även informeras.
  6. Dokumentera rutiner för hur ni säkerställer att personinformationen som lagras är korrekt, samt hur ni tillser detta löpande.
  7. Dokumentera hur registerutdrag, ändring eller gallring av den registrerade sker.


Genom att skapa en kundklubb slipper ni kravet om att rensa uppgifter så länge kunden är medlem.

10. Tips! Erbjud snabbkassa och kundklubb

Ett förhållandevis enkelt sätt att begränsa de belastningar PUL kan ge är att låta kunder handla kontant (kort, direktbetalning via bank, postförkott, mobilbetalning, mikrobetalning med flera) utan att registrera sig. I USA är detta ett mycket vanligt sätt att handla online på. Normalt är att kunden efter köpet erbjuds att gå med i kundklubben och då får någon fördel, exempelvis rabatt eller fraktfritt på nästa köp, bonuspoäng eller förbättrad garanti. Gör registreringen valfri och frivillig för kunden.

För att kunna bygga ett kundregister som inte behöver gallras efter tolv månader skapar ni en kundklubb. Ni måste fortfarande följa PUL, men ni anses genom en kundklubb ha ett pågående kundförhållande med kunden så länge de är medlem i kundklubben. Utträder kunden måste ni inom tolv månader gallra dennes personliga uppgifter. I praktiken har de flesta nätbutiker redan idag en kundklubb eftersom de automatiskt sparar kundernas personliga information, den är bara döpt till fel namn. Rättsfall saknas idag, men den enkla åtgärden att döpa om registret till en kundklubb känns i sammanhanget som en billig försäkring om minsta tveksamhet finnes.

Ehandel.org slutsats

Behovet av en lag som PUL är uppenbar. Däremot finns det områden i PUL där nyttan inte står i proportion till nackdelarna. Vi tänker då speciellt på Datainspektionens tolkning av PUL där personuppgifter måste förstöras, eller avidentifieras, senast tolv månader efter att kundförhållandet har upphört. Problemet är förstås att detta krav inte är kompatibelt med vare sig andra lagar, konsumentens eller nätbutikens intressen.

Konsumenten har exempelvis tre års reklamationsrätt enligt svensk lag. Men hur ska nätbutiken kunna veta att det är rätt kund som reklamerar produkten om personuppgifter inte får sparas? Att kvitton kopieras och används för reklamationer är inget nytt för de som har jobbat inom detaljhandeln. Utan sparade kunduppgifter finns risk att detta även sprider sig bland nätbutikerna. Köp billigt på nätet men reklamera lokalt hos en kedja som även säljer på nätet.

Det finns även exempel där kunder inte längre har kvar originalkvittot men tack vare nätbutikens sparade kundhistorik ändå kan reklamera en produkt långt efter inköpet. Många produkter har idag internationell garanti som ofta kan variera mellan tre och fem år. Hur många konsumenter sparar kvitton så länge?

Både konsumenten och nätbutiken har allt att tjäna på att nätbutiken inte tvingas radera konsumentens personuppgifter. Genom att spara uppgifterna kan nätbutiken ge konsumenten bättre service. Det kan handla om allt från utökade garantier, återkallande av riskobjekt (en av de största tv-tillverkarna återkallade nyligen en fem år gammal tv-modell som kan fatta eld, men de kommer förstås inte få in några tv-apparater då inga sparade personuppgifter finns), service och reservdelar, möjlighet att återbeställa och mycket mer.

Ser vi på PUL ur ett konsumentperspektiv räcker det med att nätbutiken inte får använda våra personuppgifter till något annat än att serva oss i enlighet med vårt ursprungliga köp. Behovet av att uppgifterna ska raderas ser vi inte alls så länge nätbutiken inte har samlat in fler uppgifter än vad som behövdes för transaktionen, och dit hör inte personnummer vid direktbetalning med kort eller bank. Att tvinga nätbutiken att radera personuppgifterna är en dålig idé och direkt skadligt för både nätbutikens och konsumentens intressen.

Ehandel.org uppmanar därför lagstiftarna att ta bort kravet på att personuppgifter ska förstöras eller avidentifieras per automatik efter en viss tid, så länge inte konsumenten begärt detta.

Diskutera gärna PUL nedan och låt oss veta hur ni ser på lagen


Fler artiklar om PUL på Ehandel.org:
Expertpanelen svarar - Vad är egentligen en personuppgift?

Läs mer här:
http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/
https://lagen.nu/1998:204#P49
http://www.datainspektionen.se/Documents/faktabroschyr-allmannarad-inforad.pdf

Stefan Pettersson

Tid. Business Developer

Partneransvarig på Ecommerce.org 2011-03-07 till 2014-06-30.

Vill du kontakta mig så finns jag på Linkedin.

 
 
COMMENTS
SHARE
 
LATEST COMMENTS
daniel larsson

Börja med content planen... https://expandtalk.se/content-marketing/c...

#5 Content Marketing Ideas for October 2016 1 comment
Alan Jordan

If someone wants his website to be visible to all then these tips are ...

#5 Basics to Make a Website Accessible 1 comment
Johannes Hannus

Vi har provat varubrev ett par gånger men tyvärr 'försvinner' minst 5%...

#Nya hot mot e-handlarna ställer krav på trygga transporter 3 comments
Birgitta Wangeskog

Om det är möjligt så verkar det säkrare att använda brevlådan för då v...

#Nya hot mot e-handlarna ställer krav på trygga transporter 3 comments
Per Ledin

Ingen belyser problemet med tjänsten varubrev Posten pushar för. Vi e-...

#Nya hot mot e-handlarna ställer krav på trygga transporter 3 comments
Birgitta Wangeskog

Bra med fler aktörer som tar ett helhetsgrepp på betalningar det gynna...

#Dibs utmanar Klarna med enklare betalningar 1 comment
Kent Markström

Hur bra som helst, och smidigt

#Storbankerna leder vägen för mobila betalningar 1 comment
Håkan Kuyumcu

Äntligen något som går åt rätt håll i utvecklingen av användarvänlighe...

#Riskbedömning gör att kunderna slipper 3D Secure 1 comment
Jacob Falck

Alle elsker å få en pakke Alle elsker å åpne en pakke Det som fikk f...

#"E-handlare måste lägga mer kärlek på paketet" 1 comment
irma r

jag är tom på mina tankar ...34 872 kr är borta från mitt konto... jag...

#Playstation Network (PSN) hackat – 77 miljoner användarkonton berörs 1 comment
Advert
 
 
Ecommerce.org is owned and managed by Ecommerce Org AB (org.nr: 556814-8786) All rights reserved. Copyright © Ecommerce Org AB 2009 - 2016
This website requires javascript and the latest version of Chrome, Firefox or Safari. Internet Explorer not fully supported.
SPONSORED LINKS
Vi kan e-handel
Shopping