Hur påverkar GDPR detaljhandeln?

- De fyra viktigaste stegen och personuppgifterna att ha koll på

Så påverkas retail av GDPR

Ta reda på de viktigaste stegen mot GDPR och vilka personuppgifter som detaljhandlare bör fokusera på.

GDPR väntar runt hörnet och för att vara redo i maj 2018 gäller det att förbereda sig ordentligt. Men vilka är de viktigaste stegen som detaljhandlare bör ta? Och vilka personuppgifter är viktigast inom branschen? Det berättar retailexperten Leif Elison från EG i den här artikeln. 

Detaljhandeln är en av de branscher där införandet av GDPR kommer att märkas tydligast. Med otaliga konsumenter, anställda och dessutom ett ständigt växande antal säljkanaler är det lätt att gripas av GDPR-panik.

Men den nya lagstiftningen innebär inte slutet för personlig kundkommunikation och smidig shopping. Retailexperten Leif Elison från EG menar att man istället ska välkomna den nya förordningen med öppna armar och förbereda sig i god tid.

- GDPR införs för att det ska bli smidigare att arbeta inom EU. Den nya förordningen är ett sätt att göra detta säkert. Jag brukar använda metaforen: GDPR tar inte bort sjöfarten, utan ser till att det finns livbåtar och säkerhetsregler, säger Leif Elison på EG.  

1. Börja med en inventering och framtagning av strategi

Retailexperten menar att det första steget bör vara en inventering och framtagning av strategi. Vilka personuppgifter lagrar du idag och vilka ska skyddas framöver? Tänk på att personuppgifter ska begränsas, både gällande omfattning och tidsmässigt. Det är också viktigt att komma ihåg att man inte får lagra mer information eller inte behålla den längre än nödvändigt.

- Som verksamhet måste du bedöma risker, kostnader och allvarlighetsgrad. Dokumentation över sina ställningstaganden kommer att bli otroligt viktigt för verksamheter. Då visar man att man har försökt göra rätt och faktiskt funderat över frågan, säger Leif Elison.

2. Skaffa samtycke för behandling av personuppgifter

Interaktionen hamnar i centrum. För att behandla personuppgifter måste du ha samtycke. Med GDPR har man också rätt att begära ut information som har behandlats. Som privatperson ska du alltså kunna ta reda på vilka uppgifter som finns och om de är korrekta. En annan mycket viktig del är rätten att bli bortglömd på egen begäran.

- Vi vet att man ska kunna bli bortglömd eller begära ut information, den svåra frågan är att lösa detta på ett säkert sätt. Troligtvis kommer man behöva använda Bank-ID eller annan tvåstegsautentisering för att försäkra sig om att det är rätt person bakom skärmen, säger Leif Elison.

3. Gör en plan för att upptäcka och rapportera incidenter

När GDPR träder i kraft gäller det att ha koll på incidenter. Det kan handla om medvetet eller omedvetet dataläckage, t.ex. att ett Excelark med känsliga uppgifter hamnar i fel händer och därmed blir oskyddade. Därför är det viktigt att ha en plan för hur incidenter rapporteras och upptäcks.

- Se till att du har rutiner och riktlinjer på plats. Om personuppgifter läcker ut kan det få stora konsekvenser inom detaljhandeln, eftersom man ofta har stora kundklubbar och därmed lagrar stora mängder data, säger Leif Elison.

4. Glöm inte bort de anställdas personuppgifter

Inom detaljhandeln är det lätt att lägga fokus på konsumenterna. Men Leif Elison menar att man inte får glömma de anställdas personuppgifter. Det gäller att kunna motivera varför man sparar uppgifterna i sina system.

- Ofta tenderar vi att lägga fokus på konsumentsidan av GDPR, men stora detaljhandelskedjor har ofta många anställda, glöm inte dem i förberedelserna, säger Leif Elison.

De viktigaste personuppgifterna inom detaljhandeln:

  • Personnummer. Många detaljhandelskedjor använder idag personnummer som medlemsnummer, här kommer man behöva tänka till framöver. Detta är något som kan bli en tungrodd uppgift för detaljhandlare med stora kundklubbar.

  • Positionsdata. Att utnyttja kundernas positionsdata för att ge riktade och lokala erbjudanden är något de flesta detaljhandlare vill kunna göra. Men detta kommer du behöva ha kundernas samtycke till framöver.

  • IP-adresser och webbkakor. Detta är en fråga som blir aktuellt för alla kedjor som bedriver e-handel, något som de flesta moderna retailers gör idag.
  • Biometriska data. Data som rör fysiska, fysiologiska eller beteendemässiga kännetecken som behandlats tekniskt är känsliga uppgifter. Det kan exempelvis handla om DNA, fingeravtryck eller ansiktsigenkänning. Man kommer alltså även fortsatt kunna använda data för att t.ex. hjälpa konsumenten att hitta rätt storlek. 

Här hittar du den officiella förordningen i sin helhet.

Detta ska du tänka på:

  • Tänk noggrant igenom samtyckesparagrafen ur ett framtidsperspektiv. Fundera över vad du kommer vilja göra framöver och se till att det blir genomförbart.

  • Granska integrationer mellan olika system ordentligt. Respektive it-leverantör kanske lever upp till GDPR, men tänk på att det är du som har helhetsansvaret.

  • Läs igenom skälen i förordningen först, inte bestämmelserna. Skälen är skrivna på ett mer lättförståeligt sätt, hoppa inte över dessa.

  • Titta igenom förordningen när det gäller skydd av personuppgifter. Skäl 77, 78 och 83 ger vägledning för lämpliga åtgärder.

  • Teckna ett personuppgiftbiträdesavtal om din it-leverantör har en molntjänst eller bedriver support, eftersom de då får tillgång till dina databaser, t.ex. vid felsökning.