Varner kler seg for GDPR

Slik tilpasser kleskjempen bak Dressmann, Cubus og Bik Bok seg EUs personvernforordning

Slik forbereder Varner seg på GDPR

Personvern: Les Varners plan for å bli klar for GDPR. Foto: Colourbox.

Motekjempen Varner kler seg nå for EUs nye personvernforordning. Med butikkjeder i flere europeiske land, med kunder og ansatte, er dette et omfattende og komplisert prosjekt. 

Den norske motekjempen Varner har landsdekkende kjeder i, som Dressmann, Cubus og Bik Bok, i land Sverige, Norge, Danmark, Tyskland, Island, Østerrike og Polen.

Med nesten 1600 butikker, kunder og ansatte, gjelder det å ha kontroll over hvordan GDPR, EUs nye personvernforordning, påvirker de ulike forretningsområdene.

– GDPR er et svært viktig prosjekt for oss. I tillegg til kravene som ligger i forordningen, er det viktig at kundene er helt trygge på at vi behandler deres informasjon korrekt. Det skrives stadig mer om GDPR, noe som bidrar til at bevisstheten til og kravene rundt forordningen øker. Det betyr at vi vise hvordan vi behandler dataene i kundeklubbene og kundene må ha innsikt i hva vi bruker dataene til, sier Marianne Wallin Holen.

Hun er Digital Media Manager i Varner og en av de ansvarlige for motekjempens store GDPR-prosjekt.

Tiden er knapp, EUs nye personvernforordning trer i kraft den 25. mai 2018, om seks måneder i skrivende stund.

 

To arbeidsgrupper

For å bli ferdig har Varner etablert et GDPR-prosjekt som startet opp i mai 2017. Varner har delt opp arbeidet i to grupper – en som fokuserer på de ansatte og en som fokuserer på kundene.

– Vi arbeider i to prosjektgrupper, siden vi håndterer personopplysninger til et stort antall både kunder og ansatte. Det er viktig å avgrense oppgavene og bygge opp en stor kompetanse. For å finne synergier har vi fellesmøter og vi samarbeider også over grensene. Vi forsøker også å bruke like retningslinjer og struktur for dokumentasjon og informasjon, forteller Wallin Holen.

Prosjektgruppen for fokuserer på ansatte består av medarbeidere fra HR, sikkerhet, økonomi.IT og digital media. Gruppen som jobber med kundedata kommer fra IT, digital media og kjedene.

– Vi har ukentlige møter med kjedene. Alle system og prosesser i Varner-gruppen er standardiserte og like, uansett om det gjelder Dressmanns eller Cubus' kundeklubb. Det er ingen grunn for at man sitter og dokumenterer på hver sin tue, fortsetter Wallin Holen.

 

Del opp prosjektet

Varner har lagt en plan med flere delmål for å være ferdig når GDPR trer i kraft.

Siden mai har konsernet kartlagt systemer og arbeidsprosesser. Kleskjempen har også hatt møter med samtlige leverandører.

– Det er viktig å få et overblikk over alt som kan brukes felles i hele konsernet. Deretter må man få på plass databehandleravtaler. I tillegg må man ha en tett dialog med leverandørene for å sikre at de også følger personvernforordningen og at ingen ting havner mellom to stoler, sier Wallin Holen.

Neste punkt på Varners GDPR-agenda er å jobbe med dokumentasjon av rutiner og sikkerhet. Samtidig går man inn i en utviklingsfase for å undersøke hva som må endres slik at man følger den nye forordningen.

 

Bygg opp intern kompetanse

Parallelt må man også passe på å bygge opp generell kompetanse rundt GDPR i hele organisasjonen. Med over 12 000 ansatte i mange land, er dette et viktig område for Varner.

– Vi er en stor aktør, med mange folk som behandler informasjon. Riktig kunnskap internt er en utfordring, så opplæring er svært viktig, sier Wallin Holen som understreker at også nyansatte må få riktig informasjon.  

 

Ta hensyn til lokale forskjeller

Selv om Varner har virksomhet i flere europeiske land, er en stor del av arbeidet sentralisert fra Norge. Samtidig skal alt som kommuniseres i de ulike markedene være i samsvar med de lokale markedenes vilkår.

En utfordring for Varner er at det ikke finnes offisielle retningslinjer eller veiledning for GDPR i Norge, mens det eksempelvis har vært slike retningslinjer på plass i Sverige i lang tid. Dessuten er det ulike regler rundt behandling av personopplysninger i de ulike landene.

– Kundekommunikasjonen til hele Europa håndteres fra Norge, også databehandlingen gjøres herfra. For eksempel har Finland og Tyskland strengere krav til kundeklubber enn Norge og Sverige. I Finland og Tyskland behøver man en ekstra bekreftelse via epost eller sms når man melder seg inn i en kundeklubb. I Norge og Sverige trenger man bare å oppgi en epostadresse for å melde seg inn i en klubb, forklarer Wallin Holen.

For de ulike markedene må man også ta hensyn til forholdene som råder i de ulike landene. I Norge bruker man for eksempel mobilnummeret som identifisering, mens det er vanlig å bruke personnummer i Sverige.

– Slike forskjeller må vi fortsatt ta hensyn til også etter at GDPR har trådd i kraft.

 

Bruk advokat

For å lykkes med GDPR-prosjektet, har Varner inngått avtale med et advokatfirma som har mange års erfaring med personopplysningslovgivning. En viktig del av arbeidet har vært å kartlegge hvordan det ser ut i de ulike landene ved hjelp av lokale jurister.

– Selv om det handler om en EU-forordning, kan man ha strengere lokale regler. GDPR er de minste kravene man må overholde. De forskjellige landene kan velge strengere regler rundt behandling av personopplysninger. Derfor kan vi ikke overføre de norske reglene på alle markedene. Pass på at man følger de lokale reglene som finnes, sier Wallin Holen.

Varners GDPR-råd

  • Arbeid systematisk med kartlegging. Ta med arbeidsprosesser, system og leverandører, slik får du en følelse av omfanget.  
  • Fokuser på de områdene du mener risikoen er størst. Da blir det enklere å fokusere og komme i gang.
  • Dokumentér valgene som er tatt. Selv om man har valgt feil, har man vist at man har prøvd å gjøre det riktige, noe som er viktig i tilfelle en revisjon.
  • Bruk juridisk ekspertise. Pass på at du kan få svar når du er usikker på spørsmål omkring GDPR, enten ved hjelp av en intern eller ekstern ressurs.

 

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Annonse
Annonse

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Annonse
Annonse