EG visar steg inför GDPR

När nya dataskyddsförordningen (GDPR) införs den 25 maj 2018 kommer handeln att vara en av de branscher, där införandet kommer att märkas tydligast. Med konsumenter, anställda och dessutom ett ständigt växande antal säljkanaler gäller det att inte gripas av GDPR-panik. Det skriver EG Sverige AB i ett nyhetsbrev .
• Detaljhandeln vinner på att välkomna GDPR och att det kommer bli enklare att arbeta över landsgränser, förklarar EG:s retailexpert Leif Elison och presenterar några steg, som kan behövas för att lyckas.

1. Inventering och strategi
Leif Elison menar, att det första steget bör vara en inventering och framtagning av strategi. Vilka personuppgifter lagrar du idag och vilka ska skyddas framöver? Tänk på att personuppgifter ska begränsas, både gällande omfattning och tidsmässigt. Det är också viktigt att komma ihåg att man inte får lagra mer information eller inte behålla den längre än nödvändigt.
– Som verksamhetsansvarig måste du bedöma risker, kostnader och allvarlighetsgrad. Dokumentation över sina ställningstaganden kommer att bli otroligt viktigt för verksamheter. Då visar man att man har försökt göra rätt och faktiskt funderat över frågan, säger Leif Elison.

2. Skaffa samtycke
Interaktionen hamnar i centrum. För att behandla personuppgifter måste du ha samtycke. Med GDPR har man också rätt att begära ut information, som har behandlats. Som privatperson ska du alltså kunna ta reda på vilka uppgifter som finns och om de är korrekta.
En annan mycket viktig del är rätten att bli bortglömd på egen begäran.
– Vi vet, att man ska kunna bli bortglömd eller begära ut information. Den svåra frågan är att lösa detta på ett säkert sätt. Troligtvis kommer man behöva använda Bank-ID eller annan tvåstegsautentisering, för att försäkra sig om att det är rätt person bakom skärmen, säger Leif Elison.

3. En plan för incidenter
När GDPR träder i kraft gäller det att ha koll på ev incidenter. Det kan handla om medvetet eller omedvetet dataläckage, t ex att ett excelark med känsliga uppgifter hamnar i fel händer och därmed blir oskyddade. Därför är det viktigt att ha en plan för hur incidenter rapporteras och upptäcks.
– Se till att du har rutiner och riktlinjer på plats. Om personuppgifter läcker ut, kan det få stora konsekvenser inom detaljhandeln, eftersom man ofta har stora kundklubbar och därmed lagrar stora mängder data, säger Leif Elison.

4. Även de anställda
Inom detaljhandeln är det lätt att lägga fokus på konsumenterna. Man får dock inte glömma de anställdas personuppgifter. Det gäller att kunna motivera varför man sparar uppgifterna i sina system.
– Ofta tenderar vi att lägga fokus på konsumentsidan av GDPR, men stora detaljhandelskedjor har ofta många anställda, glöm inte bort dem i förberedelserna, säger Leif Elison.

De viktigaste personuppgifterna inom handeln är:
• Personnummer. Många detaljhandelskedjor använder idag personnummer som medlemsnummer, här kommer man behöva tänka till framöver. Detta är något som kan bli en tungrodd uppgift för detaljhandlare med stora kundklubbar
• Positionsdata. Att utnyttja kundernas positionsdata för att ge riktade och lokala erbjudanden är något de flesta detaljhandlare vill kunna göra. Men detta kommer du behöva ha kundernas samtycke till framöver.
• IP-adresser och webbkakor. Detta är en fråga som blir aktuellt för alla kedjor som bedriver e-handel, något som de flesta moderna retailers gör idag.
• Biometriska data, som rör fysiska, fysiologiska eller beteendemässiga kännetecken som behandlats tekniskt är känsliga uppgifter. Det kan exempelvis handla om DNA, fingeravtryck eller ansiktsigenkänning. Man kommer alltså även fortsatt kunna använda data, för att t ex hjälpa konsumenten att hitta rätt storlek.