Registrering av webbutiken hos GIODO. Skydd av personuppgifter i webbutiken, del 2

Serviceverksamhet

Det brukar sägas att det är nödvändigt att registrera en onlinebutik hos GIODO. Därför undrar människor som driver en e-butik ofta om det faktiskt finns en skyldighet att registrera en webbutik hos GIODO? Är ett företag eller persondatafiler registrerade? Låt oss kolla upp det!

Registrering av webbutiken hos GIODO

I praktiken finns det ingen skyldighet att registrera en webbutik hos GIODO, eftersom GIODO inte registrerar sin verksamhet – detta är en förenkling. Registrering av en onlinebutik hos GIODO, det vill säga på kontoret för generalinspektören för skydd av personuppgifter, kan gälla:

  • personliga datafiler;

  • Informationssäkerhetsadministratör.

Personuppgiftsinsamlingar i webbutiken

Personuppgiftslagen förklarar vad en datamängd är: det förstås som vilken strukturerad uppsättning personuppgifter som helst, tillgänglig enligt specifika kriterier, oavsett om uppsättningen är spridd eller funktionsuppdelad. En till synes svår definition i praktiken innebär vanligtvis alla skapade datakataloger som innehåller personuppgifter. Deras samlingar i onlinebutiken är oftast:

  • kunddata - namn och efternamn, e-postadresser, beställningsadresser;

  • uppgifter om potentiella kunder - personer som har registrerat sig i e-butiken;

  • uppgifter om personer som prenumererar på nyhetsbrevet;

  • personuppgifter lagrade i cookies eller lokal lagring - sammanställda t ex för statistiska analyser;

  • personuppgifter som samlats in i webbutiksundersökningar.

Skyldighet att registrera personuppgifter från onlinebutiken hos GIODO

Personuppgiftslagen ålägger administratören av personuppgifter, det vill säga i det här fallet företagaren, skyldigheten att registrera personuppgifter från onlinebutiken hos GIODO.

40 § i personuppgiftslagen

Den personuppgiftsansvarige är skyldig att anmäla datamängden för registrering till generalinspektören, utom i de fall som avses i art. 43 sek. 1 och la.


Lagen ger dock ett antal undantag från skyldigheten att registrera datamängder för en nätbutik hos GIODO, som även kan användas av en person som driver en nätbutik. Vilka är dessa undantag?

Undantag från skyldigheten att registrera datauppsättningar för nätbutiken hos GIODO

De grundläggande undantagen som kan användas av webbutiken är:

  • undantag från registrering av kunddataset som behandlas enbart i syfte att utfärda en faktura, räkning eller finansiell rapportering;

  • undantag från registrering av datamängden för personer som är anställda i e-butiken, d.v.s. bearbetade i samband med anställning hos dem, tillhandahålla dem tjänster på grundval av civilrättsliga kontrakt, samt angående personer som är associerade med dem eller lärande;

  • ett undantag i omfattningen av personuppgifter som behandlas inom området för mindre aktuella ärenden i vardagen.

Det sista av de ovan nämnda undantagen är en intressant fråga, eftersom lagen inte definierar dessa "smärre aktuella frågor i vardagen" i juridiska termer. Men enligt rättspraxis och litteraturen i ämnet är detta sekundärfrågor, inte av grundläggande betydelse för den personuppgiftsansvarige (t.ex. kontaktuppgifter till företrädare för leveransföretag).

Med hänsyn till ovanstående personuppgifter om kunder, som behandlas i samband med marknadsföring av nätbutiksprodukter, kommer de som regel inte att dra nytta av undantaget. Det finns dock ett undantag – och det gäller företagaren som ska utse och registrera en informationssäkerhetsadministratör.

Artikel 1a. personuppgiftslagen

Skyldigheten att registrera personuppgiftsfiler, med undantag för de filer som innehåller de uppgifter som avses i art. 27 sek. 1 >> vi talar om känsliga uppgifter <<, den dataadministratör som utsett informationssäkerhetsadministratören och anmälde den till riksinspektören för registrering omfattas inte av bestämmelserna i art. 46e stycket. 2.


Den allmänt diskuterade registreringen av en nätbutik hos GIODO är alltså inte registreringen av själva företaget eller en person som driver verksamhet i Riksinspektörens databas, utan en registrering av personuppsättningar som behandlas av butiken. Kom ihåg att bearbetning är enbart lagring av datamängder. Så om vi som butiksoperatör har en samling av till exempel e-postadresser till personer som är registrerade för marknadsföringsinformation kan det bli nödvändigt att registrera denna samling hos GIODO.