Hej!
Jag ser att det har blivit en diskussion här om integritetsaspekter när det gäller den tjänst som vi anlitar Trustpilot för. Eftersom det är jag som är "skyldig" till att ha kopplat tjänsten till vår webbutik så känner jag att jag måste svara på frågorna vad, varför och hur, och inte minst förklara hur det hänger ihop med skyddet för personuppgifter.
Låt mig först säga att vi givetvis inte har några dolda avsikter med denna tjänst. martinb har i sina inlägg fångat vårt sätt att se det hela väldigt väl. Syftet är att ge kunder möjlighet att återkoppla, och att ge andra möjlighet att läsa omdömena, via en tredje part för att garantera opartiskhet. Vi gör det på ett sätt som skyddar personuppgifterna från oreglerad/kränkande användning.
Det är också bra för Humlegården eftersom vi får feedback, vi kan få reda på en del fel så vi kan rätta till dem, och eftersom folk som funderar på att beställa från oss över nätet för första gången förhoppningsvis känner sig mer trygga och vågar genomföra köpet när de kan se vad andra tycker om oss.
Trustpilot är ett danskt företag med verksamhet i flera länder i Europa, bl a Sverige. Man levererar en tjänst som innebär att kunder som handlat i en webbutik får möjlighet att ge ett omdöme om köpupplevelsen, som blir tillgängligt för andra intresserade att läsa. Omdömena publiceras på en sida hos Trustpilot, och webbutiken kan inte fabricera positiva omdömen eller censurera negativa.
En vecka efter att man lagt en beställning i vår webbutik får man ett mail där man erbjuds att vara med och ge synpunkter på vår service. Detta är givetvis frivilligt. Om man väljer att lämna en recension klickar man på en länk, hamnar hos Trustpilot, registrerar sig hos dem och skriver sitt omdöme.
För att detta ska fungera får Trustpilot tillfälligt tillgång till ordernumret och kundens namn och mailadress, men får bara processa denna information för det avtalade syftet.
Se nedan om begränsningarna för hur Trustpilot får använda informationen:
- Trustpilot acts as a ‘data processor’, with the company acting as the ‘data controller’. A data processor is an organisation which “processes” personal data on behalf of another organisation. A data controller is an organisation which has full authority to decide how and why personal data is to be “processed”.
- The company retains control over the data provided and the purposes for which it is processed. The company authorises Trustpilot to process the data provided only for the purpose of sending out the specified review invitation emails and nothing else.
- Trustpilot will delete the data within a maximum of 30 days after the invitation email has been sent. Trustpilot will not and does not have the authority to use the data for any other purposes, and will never pass it on to any third parties.
Detta är givetvis i linje med Dataskyddsdirektivet och PUL.
Det är så här det fungerar. Säljföretaget får personuppgifterna av kunden och är "data controller" med ansvar att behandla data i enlighet med lag och avtal. Normalt sköter inte säljföretaget allting från kundens beställning till betalning och leverans helt inom det egna företaget utan köper in tjänster från partners för olika delar av verksamheten, och för detta kan partnern behöva begränsad tillgång till personuppgifter. Denna partner är då "data processor" för ett välbestämt och avgränsat syfte.
Vi samarbetar t ex med DHL, Posten och Unifaun för frakter och bokningar av dessa. Kunden får ett aviseringsmail eller aviserings-SMS om leveransen. För detta har en partner fått möjlighet att använda kundens mailadress eller mobilnummer. På samma sätt samarbetar vi med Trustpilot för recensioner.
Detta är inte att "lämna ut" personuppgifter. Att "lämna ut" personuppgifter är att låta tredje part få uppgifterna utan att vi behåller kontrollen över hur de får användas.
Givetvis förutsätter detta att man bara samarbetar med seriösa partners ("trusted third party").
Vi bedömer att Trustpilot är en seriös partner som hanterar informationen ansvarsfullt och i enlighet med vad som är avtalat. Överenskommelsen innebär att Trustpilot får behandla data (namn, mailadress, ordernummer) i det syfte som vi har kommit överens om (att sända ut inbjudan till att utvärdera oss). Ingen annan användning av dessa data är tillåten.
Trustpilot anlitas av ett hyfsat antal webbutiker i Sverige, även om det ännu är långt från lika stort i Sverige som t ex i Danmark och Storbritannien, och jag har inte sett detta som kontroversiellt. Vi har fått över 500 recensioner hittills, och jag har inte tidigare hört några kritiska röster om att vi använder det här systemet. Dock inser jag nu i och med att denna diskussion har uppstått att vi skulle kunna informera om detta bättre. Kanske kunde vi ge kunderna möjlighet redan i kassan att ange om de vill eller inte vill recensera oss via tredje part. Det kan förstås finnas nackdelar med det också och jag vet inte om Trustpilot skulle acceptera det (det skulle kunna tänkas snedvrida urvalet och därigenom försvåra jämförelser mellan oss och andra webbutiker.)
--
Rättat : ändrade "Datalagringsdirektivet" till "Dataskyddsdirektivet"
-- Svante
