Hvad gør man med GDPR, når man har butikker, ansatte og kunder i flere lande?

Sådan gør koncernen bag Dressmann, Cubus og Bik Bok sig klar til GDPR

GDPR: Få indblik i Varners plan

Marianne Wallin Holsen fortæller om Varners forberedelser til GDPRFoto: Colourbox.

Varner er den norske modegigant bag store kæder som Dressman, Cubus og Bik Bok. Koncernen har butikker i både Sverige, Norge, Danmark, Tyskland, Island, Østrig og Polen. Med så mange butikker, butikker, kunder og ansatte stiller den kommende ændring af EU´s persondataforordning GDPR den 28. maj 2018 store krav.

Blandt de ansvarlig for Varners GDPR-planer er digital media planner Marianne Wallin Holen. "GDPR er en utrolig vigtig udfordring for os. Udover at overholde de juridiske elementer er det vigtigt for os, at kunderne føler sig trygge ved måden vi behandler deres data på. GDPR får mere og mere medieomtale, og det bidrager til behovet for information og kundernes krav stiger. Derfor skal vi være transparente og fortælle tydeligt om, hvad informationen i vores kundeklubber bruges til."

En projektgruppe er ikke nok
For blive klar til ikrafttrædelsen af GDPR i maj 2018, startede Varner allerede i foråret 2017 to projektgrupper: En som fokuserer på ansatte og en som fokuserer på kunder.

"Vi arbejder i to projektgrupper, fordi vi håndterer persondata for både ansatte og medarbejdere. Det er vigtigt for os at kunne fokusere på en begrænset opgaver og at opbygge solide kompetencer. For at udnytte synergier holder vi desuden en række møder på tværs af grænser og de to projektgrupper. Vi arbejder desuden med at anvende de samme retningslinjer og den samme struktur for dokumentation og information", siger Marianne Wallin Holen.

Projektgruppen som fokuserer på ansatte, består af medarbejdere fra HR, sikkerhed, økonomi, it og digital media samt medarbejdere fra alle de kæder, som indgår i Varner-koncernen. 

Involver hele organisationen fra start

Marianne Wallin Holen forsætter: "Vi holder møder med kæderne hver uge og hver måned. Alle systemer og processer i Varner er fælles, uanset om vi taler om Dressmann eller Cubus kundeklub. Det giver ingen mening, at kæderne dokumenterer på hver sin måde. Tilsammen kan vi finde masser af synergier."

Undgå sidste-øjebliks-løsninger
For at være klar til GDPR har Varner udarbejdet en plan med mange delmål, blandt andet for at undgå sidste-øjebliks-løsninger. Koncernen har siden maj 2017 og til nu arbejdet med at kortlægge arbejdsprocesser og systemer. Varner har desuden holdt møder med alle sine leverandører.

"Det er vigtigt at kortlægge, hvad der kan anvendes på tværs af koncernen og kæder, fx skabeloner. Desuden skal alle persondataaftaler være på plads. Det gælder også om at have en tæt dialog med sine leverandører for at sikre, at de også har det nødvendige fokus på de krav og spørgsmål, som GDPR rejser, så der ikke lander noget mellem stolene" forsætter Marianne Wallin Holen.

Næste del af planen fokuserer på at dokumentere rutiner og sikkerhed. Samtidig går man ind i en udviklingsfase for at undersøge hvilke processer og rutiner, som skal tilpasses den nye persondataforordning.

Kommende ansatte skal også involveres
Samtidig vil der også blive fokuseret på at opbygge generelle kompetencer indenfor GDPR i organisationen. Med et stort antal ansatte og aktiviteter i mange lande, er dette et vigtigt fokusområde for Varner.

Marianne Wallin Holen: "Vi er en stor aktør, og der er mange personer i koncernen, som arbejder med data. Derfor er uddannelse meget vigtig for os. Det gælder desuden om at være konsekvent over tid, så også nyansatte får den rette information."

Husk hensyn til lokale forhold
Selvom Varner har aktiviteter i flere europæiske lande, er en stor del af arbejdet med GDPR samlet i Norge. Samtidig skal alt som kommunikeres til de enkelte markeder stemme overens med de lokale markedsvilkår og -krav. En anden udfordring er, at der endnu ikke findes officielle vejledninger og retningslinjer for GDPR. Noget som længe har været på plads i Sverige og Danmark.  

"Udsendelsen af Varners kundekommunikation sker fra Norge, ligesom databehandlingen også sker i Norge. Men lande som Finland og Tyskland har andre og mere strenge krav til kundeklubber. Her skal forbrugerne sende en yderligere bekræftelse via sms eller e-mail for at blive medlem af en kundeklub. I Norge og Sverige er det nok blot at indtaste sin e-mail ", uddyber Marianne Wallin Holen.

Der skal desuden tages hensyn til forskellige processer for identifikation. I Norge anvendes mobilnumre til identifikation i kundeklubber, mens kunder i Sverige anvender deres personnummer.

"Vi skal kunne tage hensyn til og tilpasse os alle sådanne forskelligheder også efter GDRP er trådt i kraft", siger Marianne Wallin Holen.

Overordnet og lokal juridisk bistand
For at lykkes med projektet har Varner indgået en aftale med en advokat med mange års erfaring med persondataforordningen. En vigtig del af arbejdet har været at kortlægge alle landes krav og behov sammen med lokale jurister.

GDPR er et minimumskrav, forskellige lande kan have forskellige yderligere krav. Derfor er lokal juridisk ekspertise afgørende.

"GDPR er en lov indenfor EU, som sætter laveste niveau for håndtering af persondata. Det betyder, at et land sagtens kan have endnu strengere love og krav. Derfor er det meget vigtigt, at man afdækker og tager hensyn til de lokale tillæg til GDPR", slutter Marianne Wallin Holen. 

Faktaboks: Varners vej til overholdelse af GDPR

  • Arbejd systematisk med kortlægning. Indrag arbejdsprocesser, systmer og leverandører, så får du en klar fornemmelse af opgavens omfang.
  • Fokuser på de områder, hvor risikoen er størst. Så bliver det lettere at fokusere og komme i gang.

  • Dokumenter dine valg. Selvom beslutningen viser sig at være forkert, viser du, at du har forsøgt at gøre det rigtige. Det er vigtigt at kunne dokumentere ved en eventuel undersøgelse.

  • Få hjælp til juraen. Vær sikker på, at du kan få enten interne eller eksterne svar omkring alle spørgsmål vedrørende GDRP.

Hold dig opdateret ...

Tilmeld dig vores nyhedsbrev

Få værdiskabende artikler, værktøjer og inspiration til, hvordan du forankrer den digitale transformation i din virksomhed – direkte i din indbakke.