GDPR - topp 10 för att få din franchise i form?

Data concept: Closed Padlock on digital background

GDPR – topp 10 för att få din franchise i form?



Published 2018-05-16

Franchiseföretag som samlar in och använder uppgifter från europeiska medborgare – oavsett om de är etablerade i EU eller inte – bör redan vara medvetna om att det rättsliga landskapet som gäller för hantering av kunduppgifter har förändrats dramatiskt i och med genomförandet av EU:s allmänna dataskyddsförordning (“GDPR”) som trädde i kraft den 25 maj 2018.

Varför bry sig?

När ett franchiseföretag ombeds identifiera sin mest värdefulla tillgång kommer det allt oftare att peka på sina kunddata.

Att följa dataskyddsreglerna – som tidigare kanske har setts som ett obstruktivt, legalistiskt krav – kan faktiskt vara centralt för att bygga upp förtroende och lojalitet med enskilda kunder. En person som förstår hur hans eller hennes personuppgifter används, och som har ett visst mått av valfrihet när det gäller hur de används, är mycket mer benägen att dela med sig av dessa uppgifter till en organisation. Å andra sidan, på grund av konsumenternas ökade medvetenhet och oro för det potentiella missbruket av kunduppgifter, kan en organisation som är försiktig när det gäller insamling och användning av personuppgifter eller som ger enskilda personer små valmöjligheter mycket väl förlora kunder. I en teknikdriven tidsålder där allt fler människor är medvetna om sina rättigheter till personlig integritet kommer ett varumärke som visar att det “förstår” personlig integritet att ha en fördel gentemot sina konkurrenter.

För franchiseföretag kräver den kommersiella utmaningen och möjligheten att teamen struktureras kring kunden och inte bara kring kanalen, vilket garanterar ett mer integrerat samarbete mellan den företagsägda verksamheten och den franchisetagarägda verksamheten.

Det är av största vikt att franchisegivaren är kristallklar om GDPR för franchisetagarna och ser till att de följer reglerna lokalt. Detta kräver effektiv intern kommunikation som också kan stödjas av interna checklistor för att säkerställa att alla avdelningar är med på tåget.

Vad handlar GDPR om?

Dataskyddsförordningen är särskilt inriktad på att bevara den registrerades grundläggande rätt till dataskydd, och i detta syfte utökar lagstiftningen deras rättigheter. Naturligtvis har enskilda personer en ny rätt till dataportabilitet enligt GDPR och det kommer att bli nödvändigt för företag, där detta är relevant, att ha lämpliga förfaranden på plats för att göra det möjligt för enskilda personer att överföra sina uppgifter till en ny personuppgiftsansvarig. Enligt rätten till radering, mer känt som “rätten att bli bortglömd”, kan enskilda personer begära att deras uppgifter raderas. Om ett dataintrång leder till en hög risk för enskilda personer måste de informeras så snart som möjligt om dataintrånget.

Företagen måste därför känna till de registrerades rättigheter och lätt kunna följa dem, särskilt eftersom de måste utövas kostnadsfritt och inom strikta tidsgränser. Denna efterlevnad kommer också att ske under trycket av att veta att om något går fel kan de registrerade, eller ett representativt organ på deras vägnar, lämna in ett klagomål till individens lokala dataskyddsmyndighet och/eller begära ersättning. En enskild persons möjlighet att begära ersättning kommer också att vara mycket lättare enligt GDPR, så medan böter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen kan utdömas, kan prislappen för bristande efterlevnad av GDPR bli mycket högre om det också finns krav från registrerade personer.

Förutom att se till att du kan reagera effektivt på och hantera rättigheter för registrerade personer finns det ett antal andra viktiga överväganden som kan hjälpa dig att bestämma hur du bäst planerar dina resurser och din budget under de kommande månaderna.

GDPR:s topp 10 checklista

Utan någon särskild prioritetsordning kan du överväga (eller till och med stryka från din lista över saker att göra):

1. Sekretessmeddelande: Har du sett över ditt nyligen?

Sekretessmeddelanden måste vara tydliga och lättlästa och innehålla vissa obligatoriska uppgifter som anges i GDPR.

2. Godkännande: Är dina befintliga rutiner förenliga med GDPR?

Samtycket måste vara “otvetydigt” och om du förlitar dig på samtycke för att behandla uppgifter måste du kunna visa att den registrerade har gett ett giltigt samtycke. Enligt GDPR måste det vara lika lätt att återkalla samtycke som att ge det. Har era system en lämplig lösning för detta?

3. Utanför EU? GDPR kan fortfarande gälla dig – ja, det gäller även amerikanska franchisegivare.

Dataskyddsförordningen gäller för företag utanför EU som (i) tillhandahålla varor och tjänster inom EU (oavsett om det finns en avgift eller inte), eller (ii) övervaka beteendet hos personer som är bosatta i EU. Om GDPR gäller för dig, har du övervägt om du behöver utse ett dataskyddsombud inom EU?

4. Dataskyddsombud: Behöver du utse en? Har du identifierat vem som kommer att vara ditt dataskyddsombud?

En dataskyddsombud kan vara intern eller extern, men de måste ha expertkunskaper i dataskyddslagstiftning och rapportera till styrelsen. Det kan vara möjligt att ha en grupp-DPO för ett franchisenätverk.

5. Anmälan om överträdelse: Hur väl förberedd är du för en dataintrång?

Dataskyddsförordningen inför obligatorisk rapportering av dataintrång, som i allmänhet måste ske inom 72 timmar. Vet du hur snabbt 72 timmar kan passera när tiden är knapp? Dataskyddsmyndigheterna måste underrättas och som nämnts ovan även enskilda personer. Har du en beprövad och testad plan för incidenthantering? Nej? Det är ett nödvändigt måste.

6. Integritet i utformningen och som standard

Dataskydd är inte längre en sidofråga. Den är en central del av varje designprocess och står i centrum. Principerna för dataskydd måste tillämpas och dataminimering är ett centralt krav. Hur ser du till att detta sker när du utvecklar din affärsteknik?

7. Ansvarsskyldighet: Kan du visa att du följer reglerna?

Kan du bevisa att du följer GDPR? Enligt dataskyddsförordningen har en dataskyddsmyndighet befogenhet att gå in i din organisation och be dig bevisa att du följer reglerna. Det går långt utöver de bestämmelser om registerhållning som GDPR också kräver.

8. Processoravtal

GDPR anger obligatoriska villkor som måste ingå i alla avtal med dina externa databehandlare. Alla bearbetningsavtal, både nya och gamla, måste anpassas till varandra. Har du börjat förbereda nya avtalsmallar och (om)förhandla? Lämna det inte för sent!

9. Böter: Upp till 2 % eller 4 % av den årliga omsättningen och skada på varumärkets rykte.

Även om nivån på de böter som företagen kan drabbas av och individens rätt att väcka talan har redan nämnts, är det värt att upprepa det med tanke på de potentiella konsekvenserna. Det är också värt att tänka på att kostnaden för att bli GDPR-kompatibel för alla företag är en bråkdel i förhållande till de böter, kostnader och varumärkesskador som ett företag lätt kan utsättas för om en lämplig GDPR-beredskapsstrategi inte genomförs före den här tiden nästa år.

10. Uppdatera dina franchiseavtal och din dataskyddspolicy

Det är en bra tidpunkt att se över dina standardavtal och policyer för att se till att de är anpassade till din strategi för kundbemötande. Detta måste ses i ett helhetsperspektiv, inklusive hur marknadsföringskampanjer och kundkontaktpunkter, t.ex. appar och e-handelsplattformar, fungerar och det underliggande behovet av att dela uppgifter och inhämta samtycke. Det är viktigt att se till att ansvarsbestämmelserna ses över och att bestämmelserna om uppsägning och efter uppsägning är uppdaterade för att säkerställa kontinuiteten i verksamheten.

Gör brexit att allt detta försvinner för brittiska företag?

Nej. Den 21 december 2016 offentliggjorde den brittiska regeringen en rapport där den bekräftade sin avsikt att tillämpa dataskyddsförordningen trots brexit. Utträdet ur EU kommer troligen att bli en långdragen process, och åtminstone under övergångsperioden kommer Storbritannien att fortsätta att omfattas av EU:s lagar, inklusive EU:s dataskyddslagar.

Dataskyddsförordningen kommer att gälla alla företag – oavsett om de finns i EU eller inte – som erbjuder varor och tjänster till EU-medborgare eller som övervakar EU-medborgares beteende. Brittiska företag som säljer till EU kommer därför fortfarande att omfattas av GDPR-kraven, liksom större internationella företag som är verksamma i Storbritannien och EU. Att Storbritannien lämnar EU kommer inte att ändra på detta.

Den här artikeln publicerades ursprungligen av Gordon Drakes på Fieldfisher.

Varför det är mer lönsamt att skala upp en franchise än att bara växa

Du måste ta de nödvändiga stegen för att lyckas med att skala upp en franchise. Som franchisegivare kanske du fokuserar på att utöka ditt franchisenätverk för att utöka ditt varumärke och öka dina intäkter. Att bara lägga till fler franchiseenheter till ditt nätverk...

Utan ditt franchisesystems DNA kommer det inte att finnas någon replikering och ingen tillväxt. Det är helt enkelt ett evolutionärt faktum.

Ditt DNA finns i handböckerna för franchiseverksamheten. För alla franchisegivare är systemhandböcker tillsammans med utbildning och internkommunikation grunden för att franchisetagarna konsekvent ska kunna leverera på ditt varumärkeslöfte. Tänk på dem som ditt...

Säljer du ditt franchiseföretag? Planera noggrant och var försiktig

Många, om inte de flesta franchisegivare, utvecklar sin verksamhet med ambitionen (och hoppet) om en framtida exit. Det har gått åt mycket tid och pengar för att bygga upp ett varumärke på marknaden, men ännu mer internt med franchisetagarna. Följande artikel tar upp...