Så förbereder sig modejätten Varner för GDPR

Koncernen bakom kedjor som Dressmann, Cubus och Bik Bok berättar om planen för GDPR.

GDPR: Ta del av Varners plan

Marianne Wallin Holen berättar om modekoncernens GDPR-förberedelser. Foto: Colourbox.

Vad har kedjor som Dressmann, Cubus och Bik Bok gemensamt? De ingår alla i den norska modekoncernen Varner som nu verkställer en omfattande GDPR-plan. Med kunder och anställda utspridda över Europa är det ett minst sagt omfattande projekt som kräver ordentliga förberedelser. 

Varner är en norsk modekoncern med rikstäckande kedjor som Dressmann, Cubus och Bik Bok. Koncernen har butiker i Sverige, Norge, Danmark, Tyskland, Island, Österrike och Polen. Med ett stort antal kedjor, butiker, kunder och inte minst anställda gäller det att ha koll på GDPR.

I den här artikeln berättar Marianne Wallin Holen, en av de ansvariga för Varners GDPR-projekt, om koncernens väg mot maj 2018, då den nya dataskyddsförordningen träder i kraft. Fortsätt läsa för att ta del av modekoncernens GDPR-plan.

- GDPR är en otroligt viktig fråga för oss. Utöver de legala aspekterna är det viktigt att kunderna känner sig trygga med att vi behandlar deras uppgifter korrekt. GDPR får mer och mer medialt utrymme, det bidrar till att medvetenheten och kraven från kunderna ökar. Därför måste vi vara transparenta och berätta vad informationen i kundklubbarna används till, inleder Marianne Wallin Holen, Digital Media Manager på Varner.  

Tillsätt interna arbetsgrupper

För att bli redo för den nya dataskyddsförordningen etablerade Varner ett GDPR-projekt som påbörjades i maj. Koncernen har valt att dela upp arbetet i två projektgrupper: en som fokuserar på anställda och en med inriktning på kunder.

- Vi arbetar i två projektgrupper, eftersom vi hanterar personuppgifter från ett stort antal kunder och anställda. Det är viktigt att kunna fokusera på en avgränsad uppgift och bygga upp en gedigen kompetens. För att hitta synergier har vi gemensamma möten och vi samarbetar över gränserna. Vi försöker också att använda gemensamma riktlinjer och struktur för dokumentation och information, säger Marianne Wallin Holen.  

Arbetsgruppen som fokuserar på anställda består av medarbetare från HR, säkerhet, ekonomi, it och digital media. Inom projektgruppen med fokus på kunder arbetar roller från digital media, it och alla kedjorna som ingår i koncernen.

- Vi håller regelbundna möten med kedjorna på vecko- och månadsbasis. Alla system och processer inom Varner är gemensamma, oavsett om det gäller Dressmanns eller Cubus kundklubb. Det finns ingen poäng med att kedjorna sitter och dokumenterar på var sitt håll. Tillsammans kan vi hitta massor av synergier, säger Marianne Wallin Holen.

Sätt upp delmål längs med vägen

Varner har tagit fram en plan med flera delmål för att vara redo när GDPR träder i kraft. Detta har gjorts för att undvika sista minuten-arbete. Koncernen har sedan maj och fram tills nu arbetat med en kartläggningsfas då arbetsprocesser och system har granskats. Varner har också haft möten med samtliga leverantörer.

- Det är viktigt att kartlägga vad som kan användas gemensamt inom koncernen, såsom mallar. Sedan måste alla personuppgiftsbiträdesavtal också vara på plats. Det gäller även att ha en tät dialog med sina leverantörer för att säkerställa att de också har rätt fokus i GDPR-frågan och att ingenting hamnar mellan stolarna, säger Marianne Wallin Holen.

I nästa steg planerar koncernen att arbeta med dokumentation av rutiner och säkerhet. Samtidigt kommer man att gå in i en utvecklingsfas för att undersöka vad som behöver anpassas efter den nya dataskyddsförordningen.

Bygg upp intern kompetens

Parallellt kommer man också att fokusera på att bygga upp den allmänna GDPR-kompetensen inom organisationen. Med ett stort antal anställda och verksamhet i många länder är detta ett viktigt fokus för Varner.  

- Vi är en stor aktör och det är många personer som behandlar information inom verksamheten, därför blir den interna kunskapen en utmaning för oss. Utbildning är därför mycket viktigt. Det gäller också att vara konsekvent över tid, så att även nyanställda får rätt information, säger Marianne Wallin Holen.

Ta hänsyn till lokala avvikelser

Trots att Varner har verksamhet i flera andra europeiska länder är en stor del av arbetet centraliserat från Norge. Samtidigt ska allt som kommuniceras på marknaderna vara i enighet med den lokala marknadens villkor.

En utmaning för Varner är att de norska riktlinjerna och vägledning för GDPR ännu inte finns i officiella versioner, något som t.ex. har varit på plats i Sverige sedan en tid tillbaka. Dessutom skiljer sig reglerna åt i olika länder.

- Vi hanterar utskick av kommunikation till kunder från Norge och även databehandlingen görs härifrån. Det är viktigt att tänka på att länder som Finland och Tyskland har strängare krav för kundklubbar. I dessa länder behöver man ha en extra bekräftelse via e-post/sms. I Norge och Sverige är det inte lika strikt, där räcker det att uppge en e-postadress för att bli medlem, säger Marianne Wallin Holen.

På de olika marknaderna måste man också ta hänsyn till landspecifika önskemål och förhållanden. I Norge används exempelvis mobilnummer som identifiering för kundklubbar, medan det är vanligt i Sverige att använda personnummer.

- Vi måste kunna ta hänsyn till sådana olikheter även efter att GDPR trätt i kraft, säger Marianne Wallin Holen.

Anlita juridisk kompetens

För att lyckas med projektet har Varner ett avtal med en advokat som har mångårig erfarenhet av persondataförordningen. En viktig del i arbetet har varit att kartlägga hur det ser ut i olika länder med hjälp av lokala jurister.

- Även om det handlar om en EU-förordning så kan man faktiskt ha strängare regler, GDPR är alltså en lägsta nivå som länderna ska leva upp till. Därför går det inte att göra likadant som i Norge på alla våra marknader. Se till att du tar hänsyn till de lokala tillägg som kan finnas, säger Marianne Wallin Holen.