FAQ RODO i CRM
Najczęściej zadawane pytania
Co to jest RODO?
RODO, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych (ang. General Data Protection Regulation, GDPR) to rozporządzenie Unii Europejskiej, zawierające przepisy, dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Celem wprowadzenia rozporządzenia było ujednolicenie prawa ochrony danych osobowych na terenie całej Unii Europejskiej oraz zapewnienie swobodnego przepływu danych. Nowe przepisy muszą być stosowane od 25 maja 2018 r.
Czy RODO mnie dotyczy?
Przepisy RODO dotyczą wszystkich podmiotów, które przetwarzają dane osobowe. Tym samym obowiązują każdą firmę, która w procesie obsługi klientów, działań marketingowych czy sprzedażowych, przetwarza dane osobowe.
Czym są dane osobowe w świetle RODO?
Zgodnie z art. 4 ust. 1 RODO dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:
Czym są "szczególne" kategorie danych osobowych?
Szczególne kategorie danych osobowych to pojęcie, które zastępuje dotychczas obowiązujące „wrażliwe” kategorie danych osobowych (pojęcie z polskiej Ustawy o Ochronie Danych Osobowych). Art. 9 ust. 1 RODO wymienia dane, które zalicza się do kategorii szczególnych, jednocześnie zabraniając ich przetwarzania co do zasady. Są to dane, dotyczące:
Kto jest administratorem danych osobowych?
Zgodnie z unijnym rozporządzeniem, administratorem danych osobowych może być każdy podmiot – osoba fizyczna, osoba prawna, organ publiczny, jednostka organizacyjna lub jakikolwiek podmiot nieposiadający osobowości prawnej. Taki podmiot staje się administratorem, jeśli samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych. Tym samym administratorem danych osobowych jest każda firma, w której ustala się cele i sposoby przetwarzania danych osobowych.
Kim jest procesor danych osobowych?
Mianem procesora określa się podmiot przetwarzający dane osobowe. Nie decyduje on o celu i sposobie ich przetwarzania, a jedynie o narzędziach ku temu służących. Procesor to podmiot, który na zlecenie administratora przechowuje, utrwala, organizuje, modyfikuje, udostępnia, niszczy czy usuwa dane osobowe.
Jak system CRM chroni dane osobowe?
Jako dostawcy oprogramowania dla firm bardzo wysoko cenimy sobie kwestie bezpieczeństwa danych naszych klientów. W ramach ochrony danych dbamy o:
- Bezpieczeństwo systemów – nasze systemy wykorzystują zabezpieczenia protokołu SSL, które chronią przed nieautoryzowanym dostępem do zasobów systemu.
- Bezpieczeństwo logowania – systemy wymuszają utworzenie silnego i unikalnego hasła, blokują też dostęp po kilkukrotnym podaniu błędnego hasła.
- Uprawnienia pracowników – kontrola dostępu dzięki tworzeniu poziomów uprawnień dostępu.
- Monitorowanie przetwarzania danych – systemy zapisują datę i godzinę utworzenia kartoteki kontrahenta. Dostępna jest pełna historia każdej edycji danych wraz z osobą, która zmian dokonała.
- Możliwość usunięcia danych z systemu – zgodnie z RODO, każdy konsument ma prawo do tego, aby jego dane przestały być przetwarzane.
Co mogę zrobić, aby zapewnić ochronę danych moich klientów?
- Po pierwsze – dbaj o bezpieczeństwo systemu. Nie zapisuj haseł w przeglądarce, nie udostępniaj ich osobom postronnym i staraj się regularnie zmieniać hasła do systemu jak i do poczty e-mail.
- Po drugie – zapewnij swoim pracownikom niezbędną wiedzę i przeszkolenie w zakresie prawa ochrony danych osobowych.
- Po trzecie – przechowuj dane w jednym, dobrze chronionym miejscu, jakim jest system CRM. Nie trzymaj delikatnych danych na dyskach twardych i niezabezpieczonych serwerach. Nie przechowuj danych osobowych w otwartych szufladach, szafach czy katalogach.
- Po czwarte – zbieraj tylko te dane, które są absolutnie niezbędne. Minimalizacja danych polega na gromadzeniu danych wyłącznie w sytuacji, kiedy są one niezaprzeczalnie potrzebne np. do procesu sprzedaży lub działań marketingowych.
- Po piąte – zapoznaj się z treścią RODO, a nie tylko z publikacjami internetowymi.
- Po szóste – wprowadź własną politykę ochrony danych osobowych. Zastanów się, jak możesz zmienić podejście do danych, zapewniając klientom pełną ochronę ich tożsamości i zachowując płynność procesów sprzedażowych. Zaprojektuj własny, wewnętrzny zbiór zasad, dotyczących przetwarzania danych osobowych, który będzie zgodny z przepisami prawa i wartościami wyznawanymi przez Twoją firmę.
Jakie kary grożą za nieprzestrzeganie RODO?
Środki administracyjne:
- Ostrzeżenia dla administratora bądź podmiotu przetwarzającego
- Upomnienia dla administratora bądź podmiotu przetwarzającego
- Nakaz spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy rozporządzenia (np. prawo do bycia zapomnianym)
- Zakaz lub ograniczenie przetwarzania danych
- Inne – m. in. cofnięcie certyfikacji lub nakaz zawiadomienia osoby, której dane naruszono.
Administracyjne kary pieniężne:
- Kary pieniężne w wysokości do 10 mln euro, lub 2 % całkowitego rocznego obrotu światowego przedsiębiorstwa z poprzedniego roku.
- Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy (art. 58. ust. 2.) podlega administracyjnej karze w wysokości do 20 mln euro, lub 4% całkowitego rocznego obrotu światowego przedsiębiorstwa z poprzedniego roku.
W rzeczywistości jednak kary będą ustalane wedle skali, charakteru i indywidualnej sytuacji każdego podmiotu. Nie należy się więc spodziewać wysokich kar pieniężnych w przypadku niewielkich uchybień. Nie mniej jednak zabezpieczenie danych osobowych powinno być priorytetem.
Jak zarządzać uprawnieniami dostępu do danych osobowych?
Uprawnienia w systemie CRM pozwalają na zarządzanie informacjami, do których mają dostęp poszczególni pracownicy. System pozwala na utworzenie różnych profili np. profil „kierownik” lub „specjalista”. Do każdego profilu przydzielane są uprawnienia, a na ich podstawie użytkownik ma dostęp do wybranych lub wszystkich informacji w systemie. Dostęp do danych osobowych powinni mieć tylko uprawnieni pracownicy, których charakterystyka pracy wymusza korzystanie z nich.