/, CRM, GDPR/Intrix in GDPR – iz teorije v prakso

Intrix in GDPR – iz teorije v prakso

O GDPR je bilo prelitega že ogromno črnila, odprta pa ostajajo predvsem vprašanja o tem, kako se uredbe konkretno lotiti. Zato vam bomo tokrat opisali osnovne zahteve GDPR in kako se na njih pripravimo s pomočjo sistema Intrix.

Kaj je GDPR?

Splošna uredba evropske unije o varovanju osebnih podatkov GDPR (General Data Protection Regulation) je uredba, ki jo je sprejel Evropski parlament in stopi v veljavo s 25. majem 2018. Uredba se nanaša na zbiranje, hrambo in obdelavo podatkov državljanov EU, katerih obdelava poteka znotraj ali zunaj EU.

Bo GDPR vplival tudi na uporabnike sistema Intrix?

GDPR bo vplival na vse sisteme, ki hranijo osebne podatke državljanov EU. Osebni podatek je katera koli informacija v zvezi z določenim ali določljivim posameznikom. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, z navedbo imena, identifikacijske številke, podatkov o lokaciji ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Podatki iz javno dostopnih baz (bizi, bonitete ipd.) so načeloma javni podatki, razen določenih izjem. Tudi podatek osebe, ki je zapisan na spletni strani je načeloma javni podatek, a glede na to, da je iz e-naslova mogoče razbrati ime osebe, gre za osebni podatek, za katerega je potrebno soglasje.

Primer:

prodaja@intera.si – javni podatek, ni potrebnega soglasja GDPR
uros.zohar@intera.si – osebni podatek, potrebno soglasje ali pogodbeno razmerje
uros.zohar@gmail.com – osebni podatek, potrebno soglasje

Kaj pripravljamo, da boste s sistemom Intrix skladni z GDPR?

Varnost in zasebnost podatkov naših naročnikov zmeraj jemljemo z največjo mero resnosti, zato se tudi na GDPR že dalj časa pripravljamo s konkretnimi tehničnimi in vsebinskimi rešitvami. Med njimi lahko izpostavimo naslednje aktivnosti:

  • Priprava aneksa k obstoječi naročniški pogodbi o obdelavi podatkov (do 25. maja 2018)
  • Priprava razširitve za ročno spremljanje soglasij, ki je vsem uporabnikom Intrixa na voljo brezplačno
  • Spremljanje mogočih rešitev in postopkov na strani povezljivih sistemov (predvsem sistemov za množično pošiljanje e-pošte), s katerimi bo mogoče avtomatizirati sistem pridobivanja soglasij
  • Priprava naprednih rešitev za samodejno zbiranje soglasij prek spletne strani

Ker je Intrix zelo prilagodljiv sistem in ga vsak naročnik uporablja v svoji, prilagojeni obliki, bo veliko primerov še zmeraj “po meri”, kjer bomo način zbiranja soglasij in potrebnih avtomatik definirali individualno z naročnikom.

Tehnični del

Sistem Intrix nenehno prilagajamo zakonskim zahtevam in različnim smernicam informacijskih pooblaščencev, zato v primeru GDPR tehnično ne bo večjih sprememb, saj je Intrix že zdaj skladen z ZVOP 1.

Sledljivost in jasno vodenje revizijskih sledi

Dnevnik aktivnosti je glavni modul za vodenje revizijskih sledi – tam se natančno spremljajo vse aktivnosti uporabnikov sistema. Med drugim se vodijo naslednje aktivnosti uporabnika:

  • Prijava
  • Napačna prijava
  • Odjava
  • Pogled na seznam
  • Pogled podrobnosti zapisa
  • Shranjevanje zapisa
  • Urejanje zapisa
  • Uvoz
  • Izvoz

Tvorjenje in hramba revizijskih sledi je skladna z GDPR in se hrani 5 let.

Izsek iz revizijske sledi oz. splošnega dnevnika aktivnosti.

gdpr revizijska sled

Kaj je za nas novega?

Osvežiti smo morali pogodbena razmerja s ponudniki transakcijskih e-poštnih in SMS sporočil – to so obvestila oz. opomniki, ki jih uporabniki Intrixa prejemajo iz sistema Intrix (npr. obvestilo sodelavcu o novem sestanku ali opomnik pred začetkom sestanka).

Vsebinski del

Seveda samo tehnična skladnost sistema Intrix ni dovolj, da so naročniki skladni s smernicami GDPR, zato smo razmišljali tudi o vsebinskem oz. funkcionalnem delu vodenja soglasij in drugih posebnosti. Tako bo vsebinski del zajemal vklop GDPR razširitve, ki bo do 25. maja na voljo vsem uporabnikom. Na voljo bo več možnih rešitev: od enostavnih ročnih do avtomatiziranih v povezavi z mailing sistemi in obrazci na vaši spletni strani.

Vsekakor je dobro, da pri pravnikih preverite, ali v vašem primeru potrebujete privolitve, za katere vrste namenov potrebujete privolitve in kje privolitev po GDPR ni nujno potrebna, ker je že utemeljena z zakonsko podlago.

Spremljanje soglasij

Prva izmed funkcij v zvezi z GDPR bo spremljanje soglasij. Ta soglasja bo treba pridobiti za vsak namen, ki ga v vašem podjetju vodite.

Na prvem mestu bomo naročnikom ponudili razširitev za ročno spremljanje pridobljenih soglasij. Ta bo v prvi verziji omogočala spremljanja soglasij za kontaktne osebe. Mogoče bo določiti več soglasij po namenu, viru, datumu in trajanju privolitve, k soglasju pa bo mogoče priložiti še dokument – če gre za soglasje, ki smo ga pridobili s podpisom stranke in ga želimo shraniti v sistem kot prilogo.

Sistemsko bo nato poskrbljeno tudi za ustrezno segmentacijo: pripravili boste lahko segment tistih kontaktnih oseb, ki so vam podali privolitev za promocijske aktivnosti (npr. mailing) in jih nato uporabili v promocijske namene.

Primer pregleda soglasij pri osebi Boris Kopitar

gdpr pregled soglasij

Primer vnosa novega soglasja pri Borisu. Priložimo lahko tudi sken oz. sliko pridobljenega soglasja, če je pridobljen v klasični pisni obliki. V spodnjem delu lahko vidimo še dnevnik aktivnosti – kdo in kdaj je soglasje v sistem dodal.

Soglasja bo mogoče tudi uvoziti

Če spremljate pridobljena soglasja v tabeli ali jih boste izvozili iz vašega mailing sistema, jih bo mogoče uvoziti v Intrix za celovito vodenje soglasij. Glede na vašo obliko spremljanja soglasij se za vas pripravi vzorec tabele za uvoz podatkov.

Samodejno spremljanje soglasij – povezava s spletno stranjo ali mailing sistemom

Nekateri soglasij ne boste vodili ročno oz. preko uvozov in boste želeli proces zbiranja soglasij čim bolj avtomatizirati. To bo mogoče urediti prek povezave z obrazcem na vaši spletni strani ali samodejnim beleženjem pridobljenih soglasij iz vašega mailing sistema. Ker so specifike vsakega uporabnika Intrixa različne, je najbolje, da nas v tem primeru kontaktirate in najdemo najboljšo rešitev glede na vaše posebnosti.

Pravica do vpogleda

Po GDPR bo imel vsak posameznik tudi pravico zahtevati vpogled v podatke, ki jih o njem vodite. Ena izmed možnosti je za ta namen izkoristiti funkcijo Izvozi v Word ali Izvozi v Excel, ki vam na izbrani kontaktni osebi ali podjetju izvozi vse aktivnosti s to osebo oz. podjetjem. To lahko pred posredovanjem stranki še spremenite in odstranite nepotrebne vsebine oz. osebne zabeležke.

gdpr zahteva za vpogled

Pravica do spremembe

Posameznik bo imel kadarkoli pravico podati zahtevek za spremembo svojih soglasij. Ena opcija, če bo teh zahtevkov manj, bo enostavno ročno posodobiti dano soglasje. Druga opcija pa bo tudi ta del avtomatizirati in podatke črpati iz mailing sistema ali drugih za to namenjenih obrazcev, ki se prilagodijo vašim specifikam.

Možnost izbrisa in pozabe

Po GDPR bo lahko posameznik zahteval tudi pravico do pozabe oz. izbris podatkov.
Intrix že v osnovi omogoča izbris kateregakoli podatka v sistemu, se pa vsak izbrisan zapis hrani v košu (zaradi varnostnih mehanizmov ni trajno izbrisan), ki ga lahko izprazni le administrator sistema. Tako bo moral vsak administrator sistema Intrix sprejeti pravila praznjenja koša in s tem tudi trajnega izbrisa iz sistema.

Izbrisan podatek se hrani v varnostnih kopijah še 30 dni po izbrisu, nato pa se trajno izbriše.

Ali bo potrebno brisanje podatkov iz sistema CRM, če nimamo soglasja?

Pogosto se pojavlja tudi vprašanje, ali bo treba iz sistema CRM izbrisati posameznika, ki smo ga vodili z namenom priprave ponudbe in z njim opravili nekaj aktivnosti ali obisk. Ti podatki so z vidika sistema CRM ključnega pomena pri poslovanju in nam podajajo uporabno zgodovino aktivnosti z določeno stranko, tudi če se v danem trenutku ne odloči za naš izdelek ali storitev.
Glede tega menimo, da podatke pravnih kupcev in zaposlenih lahko hranite, če ne beležite ravno osebnih podatkov (kot so hobiji, imena hišnih ljubljenčkov …), saj posameznik, s katerim imamo poslovni odnos, z nami sklene pogodbo. Tu lahko pride do razlik, če obdelujemo pravne kupce ali fizične osebe.

Prispevek lahko uporabite kot pomoč in smernice v zvezi z uredbo GDPR v vašem podjetju in nikakor ni pravni nasvet. Odpovedujemo se vsakršni odgovornosti glede pravilnosti ali nepravilnosti navedb v tem članku. Za podrobnejše informacije in nasvete za vaš posel priporočamo, da se obrnete na pravnike.

Avtor: |2018-05-16T14:11:28+00:0009.05.2018|Blog, CRM, GDPR|