A GDPR (Általános Adatvédelmi Rendelet) hatása a CRM-rendszerek használatára

A GDPR közvetlen alkalmazása az összes olyan hazai vállalkozást érinti, amely valamilyen CRM-rendszerrel (vagy személyes adatokat tartalmazó adatbázissal) rendelkezik. Ahhoz, hogy ezek a cégek elkerüljék az Általános Adatvédelmi Rendeletben meghatározott büntetést, eleget kell tenniük a Rendelet előírásainak.

Ez a cikk arról szól, hogy ezeknek a cégeknek konkrétan minek és hogyan kell eleget tenniük.

 

A CRM-rendszerrel (vagy személyes adatokat tartalmazó adatbázissal) rendelkező vállalkozásoknak, függetlenül attól, hogy ezeket a – személyes adatokat tároló – megoldásokat ténylegesen használják-e, eleget kell tenniük a GDPR előírásainak. Már csak azért is, mert a Rendelet megsértése súlyos büntetést von maga után.

Természetesen ahhoz, hogy egy adott hazai vállalkozás fel tudja mérni, hogy rá is vonatkoznak-e a GDPR előírásai, tisztában kell azzal lennie, hogy mit jelent – a Rendelet szerint – a személyes adat.

Személyes adat

A Rendelet által definiált „személyes adat”, mint csoport, magába foglalja mindazon információkat, amelyek alkalmasak az adott természetes személy (vagy „adatalany”) közvetlen vagy közvetett azonosítására.

Ilyen információ lehet demográfiai adat, pszichográfiai jellemző, de lehet akár az adatalanyhoz kapcsolódó online azonosító is.

Demográfiai adat például a

  • név,
  • lakcím,
  • munkahely és beosztás,
  • e-mail cím,
  • telefonszám.

Pszichográfiai adat többek között a

  • politikai nézet,
  • vallási / felekezeti hovatartozás,
  • egészségügyi állapottal kapcsolatos információ.

Adatalanyhoz kapcsolódó online azonosító lehet a

  • cookie adat,
  • IP-cím.
A GDPR területei

A Rendelet alapvetően 8 területre terjed ki. Ez a 8 terület a következő:

  • a tájékoztatáshoz való jog,
  • az adat töröltetéséhez való jog,
  • az adat továbbviteléhez való jog,
  • adatkezelés,
  • adatvédelem,
  • az adatokról szóló előírások sérüléséről történő értesítés,
  • az adatok felhasználásához való hozzájárulás joga, valamint
  • az adatvédelmi tisztviselő.

A tájékoztatáshoz való jog

A Rendelet értelmében az adatkezelőknek biztosítaniuk kell a náluk meglevő személyes adatok által jellemzett személyek számára, hogy ők kérésre (mindennemű egyéb feltételtől mentesen) megismerhessék a róluk szólókat. Továbbá e tájékoztatási kötelezettség kiterjed arra is, hogy az adatkezelő miért szerezte meg ezeket az adatokat, valamint mi okból és hogyan tárolja.

Az adat töröltetéséhez való jog

Az adat töröltetéséhez való jog kimondja, hogy az adatkezelőnek lehetővé kell tennie az egyének számára, hogy kérhesse a róla szóló személyes adatok törlését. Amennyiben ez a kérés megtörténik, az adatkezelőnek kötelessége az adatot törölni.

Ez a törlési kérés azt is megakadályozza, hogy egy harmadik fél hozzáférjen az adataikhoz, illetve bármilyen módon felhasználja azokat.

Az adat továbbviteléhez való jog

A Rendelet kimondja, az egyéneknek joguk van hozzáférni a – valamilyen elektronikus formátumú – személyes adataikhoz, és ezeket az adatokat szabadon átadhatják egy másik adatkezelőnek.

Adatkezelés és adatvédelem

Minden egyes – személyes adatot tartalmazó – megoldást, informatikai rendszert úgy kell kialakítani és működtetni, hogy azok alkalmasak legyenek bármilyen jogosulatlan hozzáférés megakadályozására.

Továbbá a GDPR rendelkezik arról is, hogy csak és kizárólag azokat az adatokat lehet tárolni, amelyek feltétlenül szükségesek az adott feladat végrehajtására.

Az adatokról szóló előírások sérüléséről történő értesítés

A Rendelet értelmében az adatkezelési és az adatvédelmi előírások sérülése (például az adatokhoz való jogosulatlan hozzáférés, az adat elvesztése (pl. pendrive elvesztése), adatszivárgás stb.) esetén az ügyfeleket és az adatkezelőket – az előírások sérülését követő 72 órán belül – értesíteni kell az előírások sérüléséről.

Az adatok felhasználásához való hozzájárulás joga

A GDPR rendelkezik arról, hogy a személyes adatok felhasználása előtt engedélyt kell kérni az egyéntől a róla szóló adatok felhasználására. Ennek az engedélynek ki kell térni a felhasználás konkrét céljára is. Ennek okán minden egyes felhasználás előtt engedélyt kell kérni az adott felhasználás számára.

Továbbá ezeket az engedélyeket – az elszámoltathatóság okán – dokumentálni is kell.

Az adatvédelmi tisztviselő

Amennyiben az adott vállalkozás

  • közfeladatot lát el és adatkezelést, adatfeldolgozást végez, vagy
  • alaptevékenysége olyan adatkezelési műveleteket foglal magába, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus nagymértékű megfigyelését teszik szükségessé, vagy
  • fő tevékenységei különleges személyes adatok nagy számban történő kezelését foglalják magukba,

a vállalkozásnak kötelező kijelölnie adatvédelmi tisztviselőt.

Ugyanakkor, ha az adott vállalkozás nem köteles adatvédelmi tisztviselőt kijelölni, belső átvilágítást és elemzést kell készítenie, és ezt dokumentálnia is kell, hogy bizonyítani tudja, a működése során a Rendelet minden előírását figyelembe veszi.

A GDPR rendelkezései után következzék az, ahogyan ezek a rendelkezések hatnak a CRM-rendszerek használatára.

A CRM-rendszer adatállománya

A GDPR előírásainak való megfeleléshez az 1. lépés mindjárt az, hogy meg kell vizsgálni a CRM-rendszer adatállományát.

Az adatállomány átvilágítását a gazdasági tevékenységek végzésének figyelembe vételével kell megvalósítani. Azaz, ha a gazdasági tevékenység végzéséhez elegendő a személy neve, lak-/tartózkodási helye, e-mail címe (és/vagy telefonszáma), akkor a CRM-rendszer csak és kizárólag ezeket az információkat tartalmazhatja.

Amennyiben egyéb személyes adatokat is tárolni szeretnének benne, akkor minden egyes további adat tárolására engedélyt kell kérni. Az elszámoltathatóság miatt dokumentálni kell, hogy milyen engedély alapján mikor és hogyan került az adott személyes adat a CRM-rendszerbe. (Célszerű ennek érdekében egy „Adatforrás” mezőt létrehozni a CRM-rendszerben, ami ezeket az információkat tartalmazza.)

Az adott adat tárolásának időtartama

Nem csupán a tárolható személyes adatok korlátozottak, hanem azok tárolásának az időtartama is. Ennek a jelentőségét egyrészt az adja, hogy például egy termékhez milyen hosszúságú jótállási idő tartozik. Könnyen belátható, hogy a jótállás teljes időtartamára meg kell őrizni az adatokat.

Másrészt abból fakad, hogy hol, milyen rendszerben és milyen kapcsolódó megoldásokkal működik a CRM-rendszer. Ugyanis, ha például a CRM-rendszer e-mail küldővel működik együtt, és azon az e-mail rendszeren keresztül már mentek ki levelek, akkor már nem csupán a CRM-rendszer tartalmazza azt az adott személyes adatot, hanem az e-mail rendszer is. Azaz az adott személyes adat törlésekor nem elegendő csupán a CRM-rendszer „frissítése”.

A biztonsági mentés és az archiválás

Az előző ponttal függ össze a biztonsági mentések és archiválások rendszere, amelyek tovább bonyolítják ezt az egyébként sem egyszerű helyzetet. Amennyiben egy CRM-rendszer használ bármilyen biztonsági mentést, illetve archiválást, akkor azoknak a folyamatát, megoldásait és célterületeit is fel kell térképezni, ugyanis egy adott személyes adat CRM-rendszerből történő törlésekor a vállalkozásnak biztosítani kellene tudnia, hogy a mentések és archiválások célhelyén sem tárolódik tovább az adott adat.

Eme és az előző pont okán a CRM-rendszer belső házirendjében célszerű rögzíteni, hogy egy adott személyes adat mennyi ideig tárolandó, és ezen időintervallum letelte után honnan és milyen módon kell eltávolítani az adott személyes adatot.

Az adat töröltetésének biztosítása

Az adott személyes adatot nem csupán akkor kell törölni az összes rögzítés/tárolás helyéről, ha lejár a tárolási idő, hanem akkor is, ha azt az egyén (akit az adott személyes adat jellemez) kéri. (Kivéve persze, ha törvényi előírás okán kötelező eme adatok tárolása.)

Természetesen az egyén nem csupán az adat törlését kérheti, hanem annak módosítását is. Ilyen esetekben szintén végre kell hajtani a kérést. Ez felveti ugyanazokat a problémákat, amelyek a törlésnél szóba kerültek.

Ugyanakkor ez kifejezetten pozitív helyzet is, ugyanis minden CRM-rendszer csak annyit ér, amennyire jó, naprakész stb. adatokat tartalmaz, és a módosítási kérés (végrehajtása) – értelemszerűen – jobb minőségű adatot eredményez.

Adatokhoz való hozzáférések rendszere

A GDPR előírásainak való megfelelés erőteljesen rávilágít az adatokhoz való hozzáférések tisztázásának fontosságára.

Ennek megfelelően egy jó CRM-rendszer lehetőséget biztosít arra, hogy meghatározzák a felhasználói hozzáférések különböző szintjeit. Ez azt jelenti, hogy le lehet szabályozni, hogy egy adott adatot ki láthat, ki módosíthat, illetve ki törölhet.

Dióhéjban ennyi lenne, hogy a GDPR előírásai miként hatnak a CRM-rendszerek használatára.

Ha tudni szeretné, hogy a CRM-rendszere miként felelhet meg a GDPR előírásainak, vagy maradtak volna még Önben kérdések, illetve újabbak merültek volna fel, kollégáimmal örömmel állunk a rendelkezésére.
Addig is jó munkát kívánok!

Nyomtatás   E-mail