Hvordan påvirker GDPR retail

De fire viktigste trinnene for å sikre personvernet

GDPR og retail

Her er de viktigste trinnene retail må gå for å bli GDPR-klar, og hvilke personopplysninger handelsbransjen må fokusere på. Foto: Colourbox

Hvordan bør retail forberede seg på GDPR, EUs nye personvernforordning? Og hvilke personopplysninger må handelsbransjen konsentrere seg om? Retailekspert Leif Elison i EG gir svar.

 

GDPR, EUs nye personvernforordning, er like om hjørnet. Skal man være GDPR-klar den 25. mai 2018, må man forberede seg allerede nå.

Detaljhandelen er en av bransjene som vil merke GDPR tydeligst. Med utallige kunder, mange ansatte og stadig flere salgskanaler er det lett å få GDPR-panikk.

Den nye forordningen betyr imidlertid ikke slutten for personlig kundekommunikasjon eller en personlig handleopplevelse. Retaileksperten Leif Elison i EG mener at man ikke skal frykte GDPR. I stedet skal man ønske personvernforordningen velkommen og bruke god tid på forberedelser.

– GDPR kommer fordi det skal bli enklere å arbeide innen EU. Den nye forordningen er en måte å gjøre dette på en sikker måte, sier Elison.

Han bruker følgende metafor for å forklare GDPR:

– GDPR tar ikke bort sjøfarten, men passer på at det er livbåter og sikkerhetsregler.

1. Start med å få et overblikk og å lage en GDPR-strategi

Få et overblikk over hvilke personopplysninger du lagrer i dag, og hvilke skal beskyttes fremover? Husk at lagring av personopplysninger skal  begrenses både når det gjelder omfang og hvor lenge de skal lagres. Man får ikke lagre mer informasjon enn det strengt nødvendige.

– Man må bedømme risiko, kost og graden av alvor. Dokumentasjon av dette vil bli svært viktig. Da viser man at man har forsøkt å følge reglene, sier Elison.

2. Få samtykke til å behandle personopplysninger

Interaksjon kommer i sentrum. For å behandle personopplysninger må du ha samtykke. Med GDPR har borgerne også rett til å få utlevert informasjonen so er lagret. Som privatperson skal  du også få vite hvilke opplysninger som er samlet inn og om de er korrekte. En annen viktig del er retten til å bli glemt.

– Vi vet at man har rett til å bli glemt eller få informasjonen utlevert. Et vanskelig spørsmål er hvordan dette skal løses på en sikker måte. Sannsynligvis må man bruke BankID eller annen sikker identifisering for å sikre at det er riktig person bak skjermen, sier Elison.

3. Lag en plan for å oppdage og rapportere hendelser

Når GDPR trer i kraft må man ha kontroll over (uønskede) hendelser. Det kan dreie seg om datalekkasje, som at et regneark med sensitive opplysninger havner på feil hender. Derfor er det viktig å ha en handlingsplan for hvordan hendelser oppdages og rapporteres.

– Pass på at du har rutiner og retningslinjer på plass. Lekker personopplysninger ut, kan de få store konsekvenser, særlig innen retail der man har store kundeklubber og lagrer store datamengder, sier Elison.

4. Glem ikke de ansattes personopplysninger

Innen retail er det lett å legge vekten på kundene, men Elison understreker at man ikke skal glemme de ansattes personopplysninger. Man må huske å begrunne hvorfor man lagrer informasjon om de ansatte i sine systemer.

– Vi har en tendens til å legge vekten på kundenes personvern, men store handelskonsern har ofte mange ansatte. Ikke glem dem i GDPR-forberedelsene, sier Elison.

 

Her er de viktigste personopplysningene innen retail

  • Personnummer.
    Mangebruker i dag personnummer som medlemsnummer. Det må man kanskje endre på fremover, noe som kan bli en kostbar affære.
  • Posisjonsdata.
    Å bruke kundenes posisjon for å gi personlige og lokale tilbud er noe de fleste detaljhandlere ønsker. Fremover trenger du kundenes samtykke for å gjøre dette.
  • IP-adresser og cookies.
    Detteer aktuelt for alle kjeder som driver med ehandel, noe de fleste gjør i dag.
  • Biometriske data.
    Data som omfatter fysiske, fysiologiske eller kjennetegn på adferd og som behandles digitalt er sensitive opplysninger. Det kan for eksempel dreie seg om DNA, fingeravtrykk eller ansiktsgjenkjenning.

 

Tips: Dette bør du tenke på:

  • Tenk nøye gjennom samtykkeparagrafen i et fremtidsperspektiv. Hva vil du gjøre fremover og pas på at det er gjennomførbart.
  • Gjør en grundig sjekk av integrasjoner mellom ulike. Mange IT-leverandører lever opp til GDPR, men det er du som har helhetsansvaret.
  • Les begrunnelsen for forordningen først, ikke paragrafene. Den er skrevet litt mer forståelig.
  • Se igjennom reglene rundt beskyttelse av personopplysninger. Punktene 77, 78 og 83 forklarer passende tiltak.
  • Lag en databehandleravtale med din IT-leverandør.

Her finner du hele den nye EU-forordningen: 

 

Annonse

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Andre leser også
Annonse