Przede wszystkim – nie panikować
Warto wiedzieć, że całe zamieszanie wokół wejścia w życie unijnego rozporządzenia RODO wynikało raczej z samego faktu, że ktoś przypomniał nam o konieczności zajęcia się jakością przetwarzania danych osobowych, niż wymagań wynikających z treści dokumentu.
Te bardzo często są wręcz „luźniejsze” niż dotychczasowe i celowo zostawiają nam wolną rękę.
Moim ulubionym przykładem jest kwestia formatu hasła do systemu – w „przedmajowych” zasadach i ustawach mieliśmy narzuconą liczbę znaków koniecznych do użycia, obecne przepisy dają nam w tej sprawie swobodę.
Dzięki temu nie zestarzeją się, gdy wszyscy będziemy już stosować w tym celu tęczówki lub odciski palców. Jednocześnie RODO nam „ufa”, że sami najlepiej wiemy, jak zabezpieczać dane w swojej własnej firmie i nie narzuca takich samych standardów dla wszystkich firm niezależnie od tego, czy są międzynarodowym bankiem, czy lokalnym szewcem.
Jakie mamy obowiązki?
Pierwszy wydaje się w zasadzie oczywisty, ale od niego trzeba zacząć. Jest to dbałość o powierzone dane – przede wszystkim świadomość, jakie w ogóle dane i gdzie trzymamy.
W wielu audytowanych przeze mnie firmach okazywało się to wcale nie takie proste. Zresztą pomijając kwestie CRM, nawet na własnych komputerach często mamy problem z zarządzaniem danymi osobowymi. W ramach eksperymentu odpowiedz sobie na dwa przykładowe pytania: Czy mając na komputerze folder „Stary Pulpit”, wiesz, czyje dane i jakiego rodzaju tam są? Czy ta lista uczestników wyjazdu sprzed lat z ich PESELami nadal potrzebna jest na pendrive, który możesz zgubić?
Zresztą to drugie pytanie podpowiada nam kolejne zadanie – zgodnie z zasadą privacy by default powinniśmy zbierać minimalną liczbę kategorii danych.
Czy na pewno, by komuś wysłać coś na mail, potrzebujemy jego telefonu? Czy warto wpisywać w umowę numer dowodu osobistego, skoro by odzyskać od niego pieniądze w sądzie, potrzebny jest PESEL, który się raczej nie zmieni?
Poza tym warto byłoby umieć „z góry” odpowiedzieć na ewentualne pytanie o to, po co nam poszczególny rodzaj określonej danej. Przekładając to na CRM – jeśli umieszcza on na Twojej stronie formularz kontaktowy i prosi na przykład o imię czy numer telefonu, postaraj się przygotować dla zbierania tych danych sensowne uzasadnienie.
Z kim dzielisz się danymi?
Nie ma nic złego w tym, że powierzasz dane swoich klientów innym podmiotom – tak jak w przypadku biura księgowego, czy właśnie CRM. Z drugiej strony pewnie na ich miejscu wolałbyś o tym wiedzieć. Jeśli będzie wyciek danych z księgowości, lepiej nie mieć niemiłego zaskoczenia typu „nie tylko nie wiedziałem o wycieku, ja nawet nie wiedziałem, że mają moje dane”.
Dlatego właśnie w swojej informującej wyliczance uwzględnij CRM – nie ma wątpliwości, że trzymasz w nim dane. Być może ma do nich dostęp ktoś Ci go „dający” albo może dzieli się z Tobą serwerami, możliwości jest wiele. Na to jeszcze nakłada się kwestia kraju.
Informując o dzieleniu się danymi z innym podmiotem mów, w jakim jest kraju i dlaczego uważasz, że będzie przestrzegał danych równie dobrze jak Ty.
W uproszczeniu możliwe scenariusze są trzy:
- Firma tworząca CRM jest też z Unii, więc również przestrzega RODO.
- Firma tworząca CRM jest ze Stanów Zjednoczonych i jak sprawdziłeś, znajduje się na liście firm przestrzegających Privacy Shield – na mocy porozumień między krajami Tarcza Prywatności została uznana za odpowiadającą RODO. Ten przypadek dotyczy Salesforce.
- Firma tworząca CRM jest z innego kraju – wtedy warto mieć od niej jakieś pisemne gwarancje.
Czym są zbiory danych?
Wraz z wejściem RODO zniknął nieprzystający do życia obowiązek zgłaszania do Generalnego Inspektora Ochrony Danych Osobowych posiadanych w firmie zbiorów danych – swoją drogą GIODO zniknął również, zastąpiony przez Prezesa Urzędu Ochrony Danych, czyli PUODO.
Na własne potrzeby nadal warto mieć takie zbiory, a CRM bardzo się do tego przyda. Po prostu na jego podstawie spisz wewnętrzną dokumentację zgodnie z Twoim podziałem, np. „zapytania”, „leady”, „deale”, „archiwum” i w których zbiorach trzymasz już telefon, w których dopiero dane fakturowe itp.
Podobnie znika konieczność upoważniania członków załogi do określonych zbiorów na piśmie – RODO jest tu bliższe współczesności i bierze pod uwagę między innymi CRM-y. Czyli upoważnieniem może być po prostu szerszy lub węższy dostęp określonych osób do zasobów CRM.
RODO a CRM – na koniec
Jak widać, RODO uwzględnia specyfikę istnienia CRM i wychodzi im naprzeciw. A tam, gdzie coś nam „każe” – wynika to po prostu z dobra naszych klientów i nie jest zbyt uciążliwe. Warto w swoim CRM uwzględniać je ze względu na zwykłą logikę, a nie strach przed karami.
Podsumowanie
Wprowadzenie RODO dla klientów powinno być dużym udogodnieniem. Dla firm jest równocześnie wyzwaniem zarówno technologicznym, jak i organizacyjnym. Działania niezgodne z RODO niosą ryzyko kar finansowych, kłopotów, których wolelibyśmy przecież unikać. Szczególnie narażone są tu firmy prowadzące działalność marketingową i sprzedażową, gdyż to one najczęściej zbierają ogromne ilości danych.
Salesforce, którego system CRM (zarządzania relacjami z klientem) jest najlepszym rozwiązaniem tego typu na świecie, nie może pozwolić sobie na wyciek informacji. Obsługuje przecież m.in. rząd Stanów Zjednoczonych, American Express, GE, Phillipsa i 150.000 innych organizacji. Dlatego wprowadzono tam najwyższe standardy bezpieczeństwa, które wciąż są udoskonalane w związku z postępem technologicznym.
Plusem rozwiązania, które proponuje Salesforce, jest operowanie informacjami w ramach jednej platformy. W ten sposób możesz przetwarzać zdarzenia i wszystkie towarzyszące im dane związane z jednym klientem nie wylogowując się z narzędzia. Kolejną zaletą jest fakt, że cała mechanika przetwarzania i wszystkie funkcje, odbywają się w chmurze. Jest to obecnie istotna cecha nowoczesnych rozwiązań.
- Radca Prawny
