Gå til innhold

GDPR og nettbutikker


Anbefalte innlegg

Hvis man driver en eller annen nettbutikk så er man vel omfattet av de kravene som framgår av GDPR.

 

Her formulerer datatilsynet et krav om at man må ha en "databehandleravtale" i forhold til den som eventuelt står for driften av nettbutikken.

 

Som eier av nettbutikken så vil man da, så vidt jeg kan bedømme vanligvis både være "behandlingsansvarlig" og "databehandler".

 

Hvis man drifter den tekniske installasjonen selv, da blir jo det hele forholdsvis enkelt ettersom man selv er udiskutabelt ansvarlig for "det hele".

 

Så blir det litt mer komplisert: Man drifter og administrerer en nettbutikk som kjører på en plattform som driftes av andre, eller man leier en nettbutikk som "software as an service", der man selv står for "det administrative" og "kanskje noe av det tekniske", mens tjenesteleverandøren leverer "programvare og teknisk driftsmiljø" i sin helhet.

 

Et eksempel på en slikt opplegg for "Webshop" som jeg ville tro hører inn under kategorien "software as an service" det er "Shopify".

 

Skulle man da kunne argumentere med at "jeg har en databehandleravtale med Shopify?".

 

Ut i fra Shopify sin dokumentasjon så kan det se ut som det ikke er tilfellet,

 

<Sitat:>

 

As a merchant, you are generally the controller of your customers’ data. This means that you collect your customers’ data and choose how it is handled...

As a processor for your customers’ data, Shopify follows your instructions on how to handle that data. ...

 

GDPR-compliant features are built into Shopify's platform, including features to enable you to offer your customers transparency into and control over their personal data, ..

 

<Sluttsitat>

 

https://help.shopify.com/manual/your-account/GDPR

 

Slik som jeg tolker dette så er den som driver en nettbutikk for eksempel i regi av Shopify både "behandlingsansvarlig" og "databehandler". (Ettersom det kan se ut som om Shopify fraskriver seg et slikt ansvar.)

 

Dette betyr at den som driver nettbutikken selv må utarbeide og dokumentere rutiner som tar vare på dataskikerheten både i rollen som "behandlingsansvarlig" og som "databehandler". Videre så må det dokumenteres hvordan teknisk oppbygging og drift, egne rutiner og Shopify sine rutiner utgjør en "samlet helhet" som oppfyller alle de relevante kravene i GDPR.

 

Hvis denne tolkningen av regelverket er riktig, så blir jo det å drive nettbutikk der større eller mindre deler av den tekniske og administrative driften blir ivaretatt av andre til en forholdsvis komplisert sak.

I så fall så blir det kanskje enklere å ha hele driften selv, eller eventuelt å kjøpe/leie inn en "ferdig nettbutikk inklusive administrasjon og drift" slik at man kan skirve en databehandleravtale (som oppfyller kravene GDPR)  med den som ivaretar teknisk/overordnet administrativ drift av nettbutikken.

 

Er det noen på forumet her som har synspunkter på denne problemstillingen. Tenker jeg rett. (Jeg har ikke helt klart å overbevise meg selv, men jeg tror jeg har rett.)  

Endret av arne22
Lenke til kommentar
Videoannonse
Annonse

Her så synes jeg ikke det var så mange kommentarer eller så mye aktivitet rundt et viktig og aktuelt tema så jeg fortsetter litt med mine innspill i håp om at diskusjonen kommer i gang.

 

Jeg googlet litt og fant et norsk firma som ser ut til å levere "ferdig nettbutikk" kanskje noenlunde i samsvar med det som leveres fra Shopify. (Nei, jeg har ikke testet nettbutikkene fra den norske leverandøren.

 

De har laget en veldig bra oversikt over det som GDPR handler om, synes jeg, men samtidig er det noe som mangler eller halter litt.

 

Her er en link til denne beskrivelsen i regi av 24nettbutikk.no:

 

https://www.24nettbutikk.no/blogg/kort-og-godt-om-gdpr-for-nettbutikker

 

Oversikten nederst på siden synes jeg er veldig bra, den gir en "kompakt helhetsbeskrivelse".

 

Det som ikke ser ut til å passe kanskje 100% godt sammen det er jo dette:

 

Dersom du er kunde av 24Nettbutikk kan du i stor grad lene deg tilbake og ikke stresse med GDPR. Vi holder i disse dager på med ombygging av systemer, og lanserer hvert øyeblikk en rekke løsninger som vil sørge for at butikken din vil være i henhold til disse nye kravene. 

 

Samtidig som man skal lene seg godt tilbake, så kommer det en opplisting av en nokså stor mengde nye oppgaver som man skal løse.

 

Det som ikke står beskrevet helt utdypende, det er hvordan den som driver/opererer nettbutikken skal legge opp sine egne rutiner for å oppfylle kravene i GDPR, i forhold til sin rolle som "behandlingsansvarlig".

 

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/databehandleravtale/?id=7371

 

Så kommer den neste interessante problemstilling: Hvem er det egentlig som er "databehandler" hvis kunden selv har en hånd om hvilke data som lagres, hvordan man lagrer og sikrer en backup og hvordan man legger opp ulike sikkerhetsrelaterte rutiner. 

 

Hvis kunden selv står for en stor del av "databehandlingen" med tilhørende sikkerhetsmessige rutiner, nærmest som en "software as a service" løsning, der leverandøren av nettbutikken eventuelt står for hardware og programvare, hva skal det da egentlig stå i denne "databehandleravtalen"?

 

Her er et utdrag fra en veileder fra Datatilsynet:

 

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/databehandleravtale/?id=8293

 

Hvis det nå er slik at nettbitikkeieren/operatøren er "behandlingsanvarlig" mens ansvarer som "databehandler" reelt sett er delt mellom nettbutikkeier/operatør og en "system leverandør, hvordan dokumenterer man dette i en "databehandleravtale".

 

Datatilsynet beskriver det slik:

 

Avtalen må beskrive selve behandlingen, den behandlingsansvarliges plikter og rettigheter, samt databehandlerens forpliktelser etter avtalen.

 

Ender man ikke da opp med å måtte beskrive/dokumentere et nokså komplekst samspill og ansvarsfordeling mellom en nettbutikk/systemoperatør og en systemleverandør, når begge parter tar del i "databehandlerens forpliktelser etter avtalen".

 

For betalingløsningen så fungerer det vel sannsynligvis annerledes, vil jeg tro. Her sørger "behandlingsansvarlig nettbutikk" for at data overleveres videre til en betalingløsning som tar seg av oppgaven som databehandler. Da blir grensesnittet mellom "behandlingsansvarlig" og "databehandler" entydig ok klart. Det samme kan man vel neppe si om en webshop løsning, der administrativt og teknisk ansvar i praksis er delt mellom en "systemoperatør" (nettbutikkeieren) og en "systemleverandør", den som tilbyr tjenesten "nettbutikk".

 

Noen syn på saken eller eventuelt, ennå bedre,  et eksempel på en slik "databehanderavtale"?

Endret av arne22
Lenke til kommentar

Jeg kikket litt gjennom den danske varianten av en "GDPR lovgivning". Det litt merkelige ved "saken" det er jo at det kan se ut som at når men skal lage nasjonale lovtekster, så blir innholdet så mye mindre klart og mindre lettlest enn EU sin originale tekst. Den danske lovteksten inneholder imidlertid en oversettelse av EU sitt originale dokument som jeg synes er meget bra oversatt. (Bedre enn den norske.)

 

I artikkel 26, bilag 1 så beskrives det kanskje noe som kanskje kan ha noe å gjøre med problemstillingen "nettbutikk som Software as a Service" (??):

 

https://www.retsinformation.dk/Forms/R0710.aspx?id=201319#idabc66c41-c4cf-407f-932b-dbdedbce04eb

 

(Artikkel 26 - "Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige...")

 

Edit1:

 

Når det gjelder forholdsvis enkle systemer, for eksempel webbutikker som drives som "Software as an Service" så er det kanskje begrenset hvor omfattende mengde persondata det er som man "behandler" og hvor "følsomme" disse data er. (Når man ser bort fra betalingstjeneste som kanskje leveres av 3'dje part.)  

 

Her gjelder det jo et prinsipp at man skal vurdere "personvernkonsekvenser". Hvis "personverkonsekvensene" er forholdsvis små, så vil jo kravene til datasikkerhet kanskje være noe mindre.

 

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/vurdering-av-personvernkonsekvenser/

 

Edit2:

 

Her har vi en artikkel i Dagans Næringsliv som berører en del av disse problemstillingene:

 

https://www.dn.no/etterBors/2018/06/14/2056/Markedsforing/hardt-ut-mot-google-og-facebooks-gdpr-handtering

Endret av arne22
Lenke til kommentar

Et eksempel på en slikt opplegg for "Webshop" som jeg ville tro hører inn under kategorien "software as an service" det er "Shopify".

 

Skulle man da kunne argumentere med at "jeg har en databehandleravtale med Shopify?".

 

Ut i fra Shopify sin dokumentasjon så kan det se ut som det ikke er tilfellet,

 

<Sitat:>

 

As a merchant, you are generally the controller of your customers’ data. This means that you collect your customers’ data and choose how it is handled...

 

As a processor for your customers’ data, Shopify follows your instructions on how to handle that data. ...

 

GDPR-compliant features are built into Shopify's platform, including features to enable you to offer your customers transparency into and control over their personal data, ..

 

<Sluttsitat>

 

https://help.shopify.com/manual/your-account/GDPR

 

Slik som jeg tolker dette så er den som driver en nettbutikk for eksempel i regi av Shopify både "behandlingsansvarlig" og "databehandler". (Ettersom det kan se ut som om Shopify fraskriver seg et slikt ansvar.)

 

 

Les linken litt nøyere så finner du følgende avsnitt som leder fram til databehandleravtalen:

 

 

 

As a processor for your customers’ data, Shopify follows your instructions on how to handle that data. For more information about the roles of data controller and processor, please see Shopify’s GDPR whitepaper. For information about Shopify’s obligations as a data processor for your customer data, see the Data Processing Addendum.

 

Den fremgår som et tillegg til øvrige avtaler som man har med shopify, og er antageligvis veldig grei.

 

Siden Shopify er "bare" databehandler, og bedriften som kjøper nettbutikk derifra er behandlingsansvarlig så må man selvfølgelig ha overordnet oversikt på det man gjør selv *og* det dine databehandlere gjør. For en stor leverandør av hyllevare, slik som shopify - så kan man stort sett forvente at de har orden på sakene - og benytter seriøse underleverandører. (Men gjerne se gjennom listen selv og se etter hva det går i - den ligger åpent ute.)

 

Hele kapitlet "Controller vs. processor status" i whitepaperet er relevant: https://help.shopify.com/assets/pdfs/gdpr-whitepaper.pdf

 

Der går de gjennom ulike tilfeller - til og med et par unntak der *de* er behandlingsansvarlig.

 

Videre går de inn på sine obligasjoner, og nevner underleverandører, vurdering av personvernkonsekvenser (DPIA), varsling ved brudd, og personvernombud.

 

(Forøvrig tilbyr de individuelt framhandlet databehandleravtale for "Plus mechants" - se andre punkt i GDPR-faq-en deres: https://help.shopify.com/manual/your-account/GDPR/gdpr-faq )

 

Ingenting på shopify sine sider er i nærheten av å være fraskriving av ansvar. De er helt tydelige på sin rolle, og gir mye mer veiledning enn det man normalt må kunne forvente.

 

Når det gjelder Shopify sin sikkerhet generelt (også relevant for andre tilsvarende store nettbutikker) - så er jo PCI-standarden til Visa og Mastercard relevant, og setter klare krav om hvor høyt sikkerhetsnivå som forventes. https://www.shopify.com/pci-compliant

 

-------

 

Så ja - du har rett i at det kan være komplisert - men bruker man en stor og seriøs leverandør så er jo det meste av det som er vanskelig allerede i orden.

 

Behandlingsansvaret er helt uproblematisk å plassere - det ligger på den bedriften som har kontakt med, og tilbyr varer/tjenester til privatpersoner. (Shopify er i så måte et fint eksempel da de nevner et unntak i whitepaperet som fint illustrerer poenget - *dersom* kunden finner din nettbutikk via Shopify sin handleopp, er din bedrift databehandler, og shopify behandlingsansvarlig.)

Lenke til kommentar

I artikkel 26, bilag 1 så beskrives det kanskje noe som kanskje kan ha noe å gjøre med problemstillingen "nettbutikk som Software as a Service" (??):

 

https://www.retsinformation.dk/Forms/R0710.aspx?id=201319#idabc66c41-c4cf-407f-932b-dbdedbce04eb

 

(Artikkel 26 - "Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige...")[/size]

Nei - som sagt er det helt uproblematisk å plassere ansvaret for databehandlingen ved SaaS (altså hvem som er behandlingsansvarlig) - det ligger hos den som kjøper SaaS-løsningen. (*Med ytterst få unntak.)

 

Art 26, bilag 1 beskriver noe helt annet - tilfeller der to eller flere aktører går sammen *om* noe som hver for seg ville innebære databehandleransvar (altså at hver av de ville selvstendig være behandlingsansvarlig om de gjorde sin del alene). Si for eksempel at to ulike bedrifter innen samme nisje bestemmer seg for å satse på en felles nettbutikk der de fremstår som likeverdige deltakere i nettbutikken - da kan de ende opp med delt databehandleransvar.

Endret av gobblegok
Lenke til kommentar

Mange takk for innspill :-)

 

Rent "teknisk, funksjonelt og fornuftsmessig" så skulle man jo tro at det ble liggende et "hovedansvar" for databehandlingen hos den som kjøper SaaS løsningen, men Datatatilsynet, som sannsynligvis er tolkningsmyndighet, sier motsatt:

 

"Datatilsynet anser derfor en leverandør av skytjenester som en databehandler, uavhengig av hvilken tjeneste som leveres."

 

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/skytjenester---cloud-computing/?id=2157

 

Rent teknisk og funksjonelt så er det jo SaaS leverandøren som leverer hele den tekniske og funksjonelle infrastrukturen. Kjøperen av tjenesten har jo ingen styring eller kontroll over graden av sikkerhet i denne bakenforliggende skytjenesten, og i hvilken grad leverandøren av skytjenester har tilgang til data eller om tjenesten er sikret godt nok.

 

På den annen side så har har kjøperen av skytjenesten vanligvis tilgang til et admin panel der kjøperen av skytjenesten/nettbutikken i nokså stor grad kan styre og påvirke hvordan databehandlingen skjer.

 

Så vidt jeg kan lese ut i fra regelveket så er leverandøren av SaaS i utgangspunktet og formelt sett "databehandler". På den annen side så har jo den som kjøper tjenesten i minst like stor grad "styring og kontroll" med graden av datasikkerhet for nettbutikken.

 

Her er jo situasjonen den at hverken leverandøren av SaaS tjenesten eller den som kjøper SaaS tjenesten har en full og helhetlig kontroll med det som har karakter av "databehandling" og sikkerheten rundt dette.  

Det som man jo praktisk og faktisk ender opp med det er jo et slags "delt databehandleransvar" der man må dokumentere og risikovurdere løsninger som dels ligger hos leverandøren av skytjenesten og dels hos den som kjøper SaaS løsningen. Dette må jo da dokumenteres ut i fra formelle krav og faktiske ansvarsforhold. 

 

Her er ellers en opplisting av "spesielle forhold" som kjøper av SaaS løsning kanskje ikke har helt praktisk kontroll over:

 

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/skytjenester---cloud-computing/?id=2161

 

Det som jeg ellers nevner over det gjelder jo for "nettbutikken som helhet". Når det der i mot gjelder betalingløsningen så gjelder det vel kanskje litt andre og litt spesielle forhold. Her er det jo leverandøren av betalingløsningen som ofte sitter med den detaljerte og kanskje mer eller mindre fullstendige kontroll over "databehandlingen".

Da blir det jo to databehandleravtaler, et "delt databehandleransvar" i forhold til leverandøren av SaaS tjenesten og en i forhold til "et helt databehandleransvar" i forhold til leverandøren av betalingsløsningen. (Forutsatt at det er slik tingene fungerer.)   

 

Hvis det skal bli enklere å drifte en nettbutikk som en SaaS løsning, enn å drifte nettbutikken selv, på egen server, så bør nok leverandøren av SaaS nettbutikk løsningen levere ett eller annet rammeverk som beskriver hvordan dette kan løses på en forholdsvis enkel måte.

Endret av arne22
Lenke til kommentar

Har redigert post #5 for å være hakket tydeligere.

 

Rent "teknisk, funksjonelt og fornuftsmessig" så skulle man jo tro at det ble liggende et "hovedansvar" for databehandlingen hos den som kjøper SaaS løsningen, men Datatatilsynet, som sannsynligvis er tolkningsmyndighet, sier motsatt:

 

"Datatilsynet anser derfor en leverandør av skytjenester som en [/size]databehandler[/size], uavhengig av hvilken tjeneste som leveres."[/size]

 

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/skytjenester---cloud-computing/?id=2157

Det hovedansvaret du etterspør er konseptet "behandlingsansvarlig" (data controller på engelsk) - til syvende og sist er den juridiske enheten som sitter med ansvaret for at databehandlingen oppfyller gjeldende lovverk og er forsvarlig.

 

Rent teknisk og funksjonelt så er det jo SaaS leverandøren som leverer hele den tekniske og funksjonelle infrastrukturen. Kjøperen av tjenesten har jo ingen styring eller kontroll over graden av sikkerhet i denne bakenforliggende skytjenesten, og i hvilken grad leverandøren av skytjenester har tilgang til data eller om tjenesten er sikret godt nok.

 

På den annen side så har har kjøperen av skytjenesten vanligvis tilgang til et admin panel der kjøperen av skytjenesten/nettbutikken i nokså stor grad kan styre og påvirke hvordan databehandlingen skjer.

 

Så vidt jeg kan lese ut i fra regelveket så er leverandøren av SaaS i utgangspunktet og formelt sett "databehandler". På den annen side så har jo den som kjøper tjenesten i minst like stor grad "styring og kontroll" med graden av datasikkerhet for nettbutikken.

 

Her er jo situasjonen den at hverken leverandøren av SaaS tjenesten eller den som kjøper SaaS tjenesten har en full og helhetlig kontroll med det som har karakter av "databehandling" og sikkerheten rundt dette.  

 

Det som man jo praktisk og faktisk ender opp med det er jo et slags "delt databehandleransvar" der man må dokumentere og risikovurdere løsninger som dels ligger hos leverandøren av skytjenesten og dels hos den som kjøper SaaS løsningen. Dette må jo da dokumenteres ut i fra formelle krav og faktiske ansvarsforhold.

Når man kjøper en SaaS nettbutikkløsning og selger produkter til egne kunder, så er det helt klart at man er behandlingsansvarlig. Databehandleravtalen mellom behandlingsansvarlig og underleverandører som driver med databehandling er ikke en deling av dette ansvaret - men en avtale der man avklarer hvilke data som underleverandøren skal behandle og hvordan, og der underleverandøren forplikter seg til å oppfylle "sin" del av problemet.

 

Man har dermed kontroll i form av at avtalen angir hvilke personopplysinger som behandles, at underleverandøren forplikter seg til å behandle personopplysninger forsvarlig, og at behandlingsansvarlig (kjøper av SaaS-nettbutikken) forplikter seg til å oppfylle sitt ansvar som behandlingsansvarlig.

 

(Igjen må jeg nevne whitepaperet til shopify - hele kapitellet "Controller vs. processor status" går i detalj gjennom dette.)

 

Det er ikke aktuelt å risikovurdere enkeltmomenter ved løsningen dersom man kjøper hyllevare / standardtjenester. Da bør det være nok å vurdere leverandøren på helhetlig vis. Momenter som da bør telle sterkt er for eksempel sertifiseringer. En seriøs tilbyder vil ofte ha god nok offentlig tilgjengelig informasjon til at det er relativt enkelt å vurdere at det er forsvarlig å bruke de som leverandør.

 

(

 

-For å ta Shopify som eksempel - bare det at de er PCI-sertifisert og selv tilbyr betalingsløsninger medfører at ting er såpass på stell at man trygt kan anta at de har orden på sine saker når det gjelder sikkerhet og internkontroll overordnet. Spesifikt for GDPR så er jo whitepaperet deres en oppskrift på hvordan *de* sørger for å etterleve kravene i praksis.

-Et annet litt mer generelt eksempel - se for eksempel på amazon aws - en hel haug av sertifiseringer: https://aws.amazon.com/compliance/programs/ (Og igjen - klikk videre til Privacy og GDPR så veileder de deg til hvordan man der holder seg innenfor.)

-Men la oss ta et tenkt eksempel som er litt mindre: tenkt "enkel" selvutviklet nettbutikk kjøpt fra et lite enkeltpersonforetak. Her er det plutselig grunn til å være mye mer skeptisk, og faktisk både spørre kritiske spørsmål og å gå inn og vurdere momenter i selve løsningen.

 

)

 

 

Det som jeg ellers nevner over det gjelder jo for "nettbutikken som helhet". Når det der i mot gjelder betalingløsningen så gjelder det vel kanskje litt andre og litt spesielle forhold. Her er det jo leverandøren av betalingløsningen som ofte sitter med den detaljerte og kanskje mer eller mindre fullstendige kontroll over "databehandlingen".

 

Da blir det jo to databehandleravtaler, et "delt databehandleransvar" i forhold til leverandøren av SaaS tjenesten og en i forhold til "et helt databehandleransvar" i forhold til leverandøren av betalingsløsningen. (Forutsatt at det er slik tingene fungerer.)

Dersom leverandøren leverer en "nettbutikk som helhet" som en ferdig pakke *med* integrert betalingsløsning valgt av leverandøren, så er det naturlig at leverandøren

løser dette med en databehandleravtale mellom seg og sine underleverandører av betalingstjenester. Altså at alt som må til for at betaling skal kunne skje er omhandlet i databehandleravtalen mellom kjøper og leverandør av nettbutikken, og kjøper kun behøver å forholde seg til den databehandleravtalen.

 

Dersom det er mulig å velge ulike tredjepartsløsninger, så er det igjen naturlig med en databehandleravtale mellom kjøper og tredjepartsleverandøren. Helt uproblematisk for en typisk leverandør av betalingstjenester som *kun* leverer betalingstjenester. (For å gjøre det enkelt som eksempel: se for deg en leverandør som kun rent praktisk gjennomfører kortbetalinger, uten å tilby merverdi til sluttbrukerne ala paypal, klarna eller lignende.)

 

Om man derimot bruker en leverandør som *også* tilbyr merverdi, konto/lommebok eller lignende - så blir det hakket mer komplisert. Da har leverandøren et (mulig) kundeforhold, og selvstendig behandlingsansvar for den databehandlingen de gjør for sin egen del. Samtidig som de igjen opptrer og er databehandler når man kjøper betalingsløsninger fra de. I praksis er det bare databehandler-biten man behøver å se på og vurdere - så igjen - helt normal databehandleravtale med en leverandør - godt nok. (+ litt ekstra for store internasjonale aktører der det er aktuelt at personopplysninger blir behandlet utenfor EU/EØS, men det også løses med avtaler, og leverandøren har antageligvis det i orden... )

 

Hvis det skal bli enklere å drifte en nettbutikk som en SaaS løsning, enn å drifte nettbutikken selv, på egen server, så bør nok leverandøren av SaaS nettbutikk løsningen levere ett eller annet rammeverk som beskriver hvordan dette kan løses på en forholdsvis enkel måte.

Vel... gjør du alt selv så er det enkelt å være helt på bærtur uten at man helt er klar over det selv. Skal det gjøres forsvarlig så krever det mye mer enn når man "bare" kjøper en SaaS-nettbutikk. Det er så mye mer man må tenke over, og så mye mer man kan gjøre feil.

 

Selvfølgelig bør leverandøren tilby et rammeverk for hvordan dette løses. For å ta ditt eksempel - Shopify - man godtar avtalene deres implisitt ved å bruke tjenesten, og databehandleravtalen fremstår som et tillegg til øvrig avtaleverk. (+ mulighet for individuelle avtaler med plusskunder.) De beskriver akkurat hva man må gjøre for å oppfylle kravene til GDPR i en shopify-butikk i whitepaperet. (De gir oppskriften i underkapittelet "Controller obligations")

Lenke til kommentar

"Vel... gjør du alt selv så er det enkelt å være helt på bærtur uten at man helt er klar over det selv. Skal det gjøres forsvarlig så krever det mye mer enn når man "bare" kjøper en SaaS-nettbutikk."

 

Nå mener jeg å ha sett en del eksempler på nettbutikker som har blitt startet opp uten så veldig mye mer enn det å kjøpe en SaaS nettbutikk. Man åpner en konto, betaler, klikker i vei og så har man en nettbutikk. Slik bør det nok kanskje helst ikke være, men jeg har vel inntrykk av at det forekommer. (Eller man leier inn noen til å sette opp nettbutikken, og så drifter man selv.) 

 

Jeg noterer meg ellers at Amazoon faktisk uttrykker seg litt i de samme baner som meg, at ansvaret egentlig kan flyttes litt fram og tilbake avhengig av hvordan tjenestene organiseres og hvordan de drives. (Min copy paste under dreier seg jo ikke spesielt om nettbutikk.)

Sitat:

 

AWS acts as both a data processor and a data controller under the GDPR.

  • AWS as a data processor – When customers and AWS Partner Network (APN) Partners use AWS services to process personal data in their content, AWS acts as a data processor. Customers and APN Partners can use the controls available in AWS services, including security configuration controls, for the handling of personal data. Under these circumstances, the customer or APN Partner may act as a data controller or data processor itself, and AWS acts as a data processor or sub-processor. AWS offers a GDPR-compliant Data Processing Addendum (DPA) that incorporates AWS’ commitments as data processor.
  • AWS as a data controller – When AWS collects personal data and determines the purposes and means of processing that personal data – for example, when AWS stores account information for account registration, administration, services access, or contact information for the AWS account to provide assistance through customer support activities – it acts as a data controller.

 

https://aws.amazon.com/compliance/gdpr-center/

 

At den som driver nettbutikken blir "Controller" eller "Behandlingsanvarlig", det er vel rimelig klart.

Det du (gooblegok) sier over det er vel egentlig at den som leverer en nettbutikk som SaaS er "processor" og at den som driver butikken er en "controller". Sistnevnte har også et hovedansvar for at nettbutikken oppfyller kravene i GDPR.

 

Sitat fra Shopify white paper:

 

"Under the GDPR, in most cases the merchant collects information from their customers as a controller. Generally, Shopify acts as a processor for the merchant with respect to such customer personal data (or, if the merchant acts as a processor, Shopify acts as a subprocessor)" (Side 7, øverst)

 

https://help.shopify.com/assets/pdfs/gdpr-whitepaper.pdf

 

Dette er også i samsvar med veilederen fra Datatilsynet som gjør alle tilbydere av "cloud tjenester" inklusive nettbutikk som SaaS til en "processor". 

 

Det betyr i så fall at det må foreligge en databehandleravtale som kan være Shopify sine standardvilkår, og at den som har/eier nettbutikken er ansvarlig for å utarbeide og dokumentere en helhetlig sikkerhetsmessig god nok løsning som oppfyller kravene i GDPR.

 

Da er vi faktisk enige forutsatt at det ikke foreligger noen missforståelser.

 

Jeg noterer meg ellers formuleringen helt til sist i Shopify sitt whitepaper der det framgår at lagringen av data skjer i Europa og at den skjer i samsvar med europeisk regelverk.

 

Shopify White Paper, side 28:

 

"As described in the Data transfers section of this document, Shopify has structured its data flows so that merchants transfer data to Shopify's Irish affiliate within Europe."

 

Shopify Data Processing Addendum:

 

https://www.shopify.com/legal/dpa

 

Og litt mer generell info for senere bruk:

 

https://wemakewebsites.com/blog/what-does-gdpr-mean-ecommerce-business

Endret av arne22
Lenke til kommentar

Jeg takker "gobblegok" så meget for de mange gode innspill over, og så forsøker jeg å summere opp:

 

Hvis man oppretter og drifter en webshop som SaaS for eksempel Shoppify da gjelder det disse prinsippene:

 

  1. Den som eier/driver butikken er selv "behandligsansvarlig" eller "controller".
  2. Shopify er "dataprocessor" eller "databehandler".
  3. Den som eier/driver nettbutikken må selv dokumentere hvordan sikkerheten i forhold til persondata er ivaretatt.
  4. Den som eier/driver kan da støtte seg på den dokumentasjon som finnes fra Shopify og som fungerer som "databehandleravtale", og bygge opp og dokumentere egne rutiner i forhold til dette.
  5. Betalingsløsningen vil ofte kunne være en egen separat løsning, som krever en egen databehandleravtale.
Endret av arne22
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...