Dagenshandel.se har talat med Leif Elison, GDPR-expert på IT-tjänsteföretaget EGom vad handlare behöver tänka på inför den 25 maj 2018.Han inleder med att säga att medvetenheten om vad GDPR innebär måste genomsyra alla nivåer inomett detaljhandelsföretag:

–Handlaren behöver sätta sig in i en rad olika situationer, där man kommer att behöva hanteradataskyddsfrågorna. Därför behöver både den högsta ledningen och medarbetarna i butiken hautarbetade rutiner för vad de ska göra i olika situationer, säger han.

Han förklarar att EG som leverantör och samarbetpartner med handlare arbetar på flera plan:

–Det vår skyldighet att leverera produkter med inbyggt dataskydd, där uppgifter som inte längrebehövs eller som inte längre får sparas raderas med automatik. Det ska också finnas en gränsyta motkonsumenten, säger han.

Med detta menar han att det exempelvis behövs ett enkelt och säkert sätt för den konsument som villutnyttja sin rätt att blir glömd att radera alla sina uppgifter ut handlarens system.

Då krävs en webbsida med tvåstegsautenticering, så att det är absolut säkert attraderingen gäller rätt person.

En minst lika viktig uppgift är att hjälpa kunden att skapa goda rutiner och tänka klokt kring GDPR-implementeringen. Handlare får inte behålla personuppgifter längre än nödvändigt eller lagra information i onödan. Butiksmedarbetare och kundtjänst ska kunna tala om för en kund exakt hur kunden ska gå till väga för att radera sina uppgifter. De ska också kunna ange vilka personuppgiftersom sparas och i vilket syfte.

GDPR gäller retroaktivt. En komplikation i sammanhanget är att många företag har sparat transaktionsuppgifter, som måste sparas enligt bokföringslagen, och personuppgifter tillsammans.

Syftet har varit att kunna rikta erbjudanden till personer med ett visst köpmönster.

– Transaktionsuppgifterna får inte raderas, och då måste systemet skydda personuppgifterna så väl attde inte kan komma ut. Transaktionen kan ha en anonym nyckel så at man kan radera kopplingen till personuppgifter. Då går det fortfarande att få bra statistik över köpmönster, men inte att rikta budskap direkt.

Att kunderna enligt GDPR måste ge sitt samtycke till vad som samlas in och hur det används gäller inte bara nya avtal. Leif Elison framhåller att också befintliga kundklubbsmedlemmar måste kontaktas och på ett klart och tydligt sätt informeras och deras samtycke måste hämtas in på nytt.

Detta kan man göra på två sätt – antingen på ett byråkratiskt sätt där man hänvisar till paragrafer, eller också kan man göra det på ett mer säljande sätt, där kunden enkelt, lättförståeligtattligt och trevligt informeras.

– Mitt tips är att företagen verkligen ska lägga ner omsorg på formuleringarna, så attkunden lockas att ge sitt samtycke. Det ska ju innebära intressanta fördelar för kunden att lämna sina personuppgifter. Se också till att tänka igenom samtyckesparagrafen ur ett framtidsperspektiv: vad kommer ni vilja göra längre fram? Det är viktigt att inte bara tänka här och nu, säger han.

Till sist framhåller han att detaljhandelsföretagen också måste tänka på att ställa rätt krav påsystemleverantörerna:

– Leverantörer som supportar företagens system måste vara behöriga att hantera personuppgifter, de ska vara så kallade personuppgiftsbiträden. Ännu finns inga uppförandekoder på plats, men han räknar med att sådana snart ska finnas.

Artikeln är en del av vårt tema om Koll på GDPR.