Intrix CRM i GDPR – iz teorije u praksu

Na temu GDP­R je bilo već toliko prelivene tinte, no ostaje otvoreno pitanje kako uredbu konkretno aplicirati u praksu. Stoga ćemo opisati osnovne principe GDPR i kako se pripremamo unutar Intrix CRM.

Što je GDPR?

Opća uredba europske unije o zaštiti i sigurnosti podataka GDPR (General Data Protection Regulation) je uredba koju je prihvatio Europski parlament i stupa na snagu sa 24.5.2018. Uredba se odnosi na prikupljanje, pohranjivanje i obradu podataka EU državljana, bilo da se obrada unutar EU ili van nje.

Hoće li GDPR imati utjecaj na korisnike Intrix CRM programa?

GDPR će utjecati na sve programe / sustave, koji pohranjuju osobne podatke državljana EU. Osobni podataka bilo koja je informacija u vezi s dotičnim pojedincem. Dotični pojedinac je onaj kojeg je moguće neposredno ili posredno odrediti, navedbom imena, identifikacijskog broja, podataka o lokaciji ili s navedbom jednog ili više čimbenika, koji su značajni za fizičku, duševnu, gospodarsko, kulturno ili društvenu identitetu tog pojedinca.

Podaci iz javno dostupnih baza (FINA, Bonitete, Bisnode, Fininfo, itd.) su javni podaci, osim nekih iznimki. Isto tako podaci osobe, zapisani na web stranici su  javni podataka, no s obzirom na to, da je iz e-mail adrese moguće prepoznati ime osobe je riječ o podatku za kojeg je potrebna suglasnost.

Primjer:

prodaja@intrixcrm.com – javni podatak za kojeg nije potrebna suglasnost GDPR

marko.bauman@intrixcrm.com – osobni podataka, potrebna suglasnost

marko.bauman@gmail.com – osobni podataka, potrebna suglasnost

Što pripremamo da biste unutar Intrix CRM bili GDPR sukladni

Sigurnosti i zasebnost podataka naših naručitelja uvijek uzimamo s najvećim zanimanjem i skrbnošću, zato se i na GDPR već jedno vrijeme pripremamo s konkretnim tehničkim i sadržajnim rješenjima. Među njima možemo ispostaviti sljedeće aktivnosti:

• Priprema aneksa postojećem ugovoru o obradi podataka, do 25.5.2018
• Priprema proširenja / prilagodba logike za ručno praćenje suglasnosti, biti će na raspolaganju svim Intrix korisnicima
• Praćenje mogućih rješenja i postupaka na strani povezanih sistema (mailing sistem) s kojim će biti moguće automatizmom pridobivati suglasnosti
• Priprema naprednih rješenja za automatsko prikupljanje suglasnosti putem web stranice klijenta.

Jer je Intrix jako prilagodljiv i svaki klijent ga koristi u svojoj prilagođenoj inačici(prema načinu rada i djelatnosti iz koje dolazi) će puno primjera biti »po mjeri«, tako da ćemo i prikupljanje suglasnosti i potrebne automatike primjeniti t.j definirati individualno po klijentu.

Tehnički dio

Intrix CRM konstantno prilagođavamo zakonskim zahtjevima i različitim smjernicama informacijskih uredbi, stoga u primjeru GDPR tehnički neće biti većih promjena, jer je Intrix već trenutno skladan sa AZOP 1.

Sljedljivost i jasno vođenje revizijskog slijeda 

Dnevnik aktivnosti je glavni modul za vođenje revizijskih slijedi te se prati detaljna slijed nad svim aktivnostima korisnika u sustavu. Tu sem među drugim vode sljedeće aktivnosti korisnika:

• Prijava
• Pogrešna prijava
• Odjava
• Pogled na listu
• Pogled detaljnog zapisa
• Uređenje zapisa
• Spremanje / pohranjivanje zapisa
• Uvoz
• Izvoz

Tvorba i pohranjivanje revizijskog slijeda skladna je sa GDPR i arhivirana je 5 godina.

Isjek iz revizijskog slijeda t.j. općeg dnevnika aktivnosti. (Postavke -> Dnevnik aktivnosti)

Revizijsku slijed isto tako možemo segmentirati i dobiti specifične željene podatke, npr. Prijave korisnika Samir Kos, kada i što je korisnik Samir izvozio i sl…

Što je novo za nas? Uskladiti smo morali ugovore s ponuđačima masovnih e-mailova (transakcije e-maila i SMS poruka – to su obavijesti koje korisnici Intrixa primaju kao obavjesti iz Intrix CRMa (npr. Obavijesti suradnika o novom sastanku ili podsjetnik o važnoj aktivnosti).

Sadržajni dio

Samo tehnička skladnost Intrixa nije dovoljno da su naši klijenti skladni sa smjernicama GDPR, zato smo razmišljali i o sadržajnom t.j. funkcionalnom dijelu vođenja suglasnosti i drugih posebnosti. Tako će sadržajni dio obuhvatiti uključenje GDPR raširenja, koji će do 25.5. biti na raspolaganju svim korisnicima. Tu će biti moguće više rješenja, od jednostavnih ručnih, do automatiziranih u poveznici s mailing programima i obrascima s vašom web stranicom.

Praćenje suglasnosti

Prva između svih funkcija vezanih na GDPR će biti praćenje suglasnosti. Suglasnost je potrebno pridobiti za svoju namjeru – koju radite u vašem poduzeću (obavještavanja i sl.)

Na prvom mjestu ćemo korisnicima ponuditi proširenje za ručno praćene pridobivenih suglasnosti. To proširenje će u prvoj verziji omogućiti pratiti suglasnost za kontaktne osobe, tako da ćete moči opredijeliti više suglasnosti po namjeri, izvoru, datumu i trajanju, te suglasnosti ćete moči priložiti i dokument – ako recimo imate suglasnost koje smo pridobili s potpisom klijenta i želimo ga spremiti kao privitak / prilog.

Sustavno ćemo se brinuti za prikladnu segmentaciju – moći ćete pripremiti segment/parametrizaciju onih konktaktnih osoba koje su vam dale dozvolu za promocijske aktivnosti (npr. Mailing).

Primjer pregleda suglasnosti za osobu Marko Bauman

Primjer unosa nove suglasnosti za Marka Baumana. Priložiti možemo i sken ili sliku pridobivene suglasnosti ako je pridobijena u klasičnom pisanom obliku. U donjem dijelu možete vidjeti i dnevnik aktivnosti – tko i kada je suglasnost dodao.

Suglasnost će biti moguće i uvoziti 

Ako pratite pridobijene suglasnosti u tabeli ili ih izvozite iz vašeg mailing sustava, suglasnosti možete uvesti u Intrix. Prema vašem načinu praćenja suglasnosti se za vas pripremi uzorak tablice (XLS) za uvoz suglasnosti.

Automatsko praćenje suglasnosti – poveznica s web stranicom ili mailing sustavom

Neki od vas suglasnosti nećete željeti voditi ručno ili preko uvoza već ćete proces prikupljanja suglasnosti željeli što više automatizirati. To će biti moguće napraviti preko poveznice s web obrascem na vašoj web stranici ili automatskim bilježenjem iz mailing sustava. Jer su specifičnosti svakog Intrix korisnika različite je najbolje, da nas u tom primjeru kontaktirati i napravimo pregled najboljeg mogućeg rješenja prema vašim specifikama.

Pravo do pogleda

Po GDPR će svaki pojedinac imati pravo zahtjevati (u)pogled u podatke, koje o njemu imate/vodite. Jedna od mogućnosti je koristiti funkciju Izvozi u Word ili izvoz u Excel. Kada ste na kartici kontakt osobe ili poduzeća imate mogućnost izvesti sve aktivnosti te osobe ili poduzeća. To možete pred prosljeđivanjem klijentu još promijeniti ili odstraniti nepotrebne sadržaje ili osobne komentare / bilješke.

Pravo do promjene

Pojedinac će imati pravo dati zahtijev za promjenu svojih suglasnosti. Jedna opcija, ako je tih zahtjeva manje će biti jednostavno ručno ažurirati danu suglasnost. Druga opcija će biti dio automatizama, da podatke crpimo iz mailing sustava ili drugih za to namijenjenih obrazaca (po našim specifikama).

Mogućnost zaborava / izbrisa

Po GDPR će svaki pojedinac moći zahtjevati pravo do zaborava t.j. izbrisa podataka o njemu. Intrix u osnovi omogućava izbris bilo kojeg podataka u sustavu, no svaki izbrisan zapis pohranjuje se u Košu (zbog sigurnosnih mehanizama nije trajno izbrisan), kojeg može isprazniti administrator sustava. Tako će biti potrebno od strane svakog administratora sustava Intrix  prihvatiti pravila praznjenja koša i time trajnog izbrisa podataka.

Izbrisan podatak se pohrani u sigurnosnim kopijama još 30 dana nakon izbrisa, zatim se trajno izbriše.

Je li potrebno brisanje podataka iz sustava CRM ako nemamo suglasnost?

Često imamo pitanje da li je potrebno iz sustava CRM izbrisati pojedinca kojeg smo vodili u svrhu pripreme ponude i za nju napravili nekoliko aktivnosti, možda posjetu itd. Ti podaci su s vidika CRM ključnog značenja pri poslovanju i daju nam korisne informacije, iako se u danom trenutku klijent ne odluči za naš proizvod ili uslugu.

Tu zapravo u okviru GDPR  pravnici imaju različite interpretacije i mišljenja. Ako ste imali upit je došlo do poslovnog kontakta i podaci se mogu bilježiti, no kako trenutno razumijemo ne smijete ga koristiti za mailing.

Ovaj blog možete koristiti kao pomoć i smjernice u vezi uvođenja GDPR u vaše poduzeće i nikako kao pravni savjet. Ograđujemo se svake odgovornosti oko pravilnosti ili nepravilnosti navedbi o GDPR u ovom članku. Za detaljnije informacije i savjete za vaše poslovne aktivnosti predlažemo da se posavjetujete s pravnikom.