Przejdź do treści
Strona główna » GDPR i CRM (część 1): Co to jest GDPR i jak wpływa na CRM?

GDPR i CRM (część 1): Co to jest GDPR i jak wpływa na CRM?

Jeśli nie ukrywałeś się pod kamieniem od kilku miesięcy, prawdopodobnie dużo słyszałeś o RODO. O tym, jak gdyby RODO było prawem obowiązującym w Stanach Zjednoczonych, jego standardy mogłyby zapobiec naruszeniu danych przez Equifax (obecnie jednym z największych w historii). O tym, jak RODO nikogo nie oszczędza - o potworach takich jak Google, które dostosowują swoje produkty do zgodności. A nawet o tym, jak Kongres USA, pobudzony skandalem Cambridge Analytica, zastanawiał się nad Markiem Zuckerbergiem, czy Facebook rozszerzy swoje narzędzia prywatności zgodne z RODO na użytkowników na całym Kongresowe przesłuchanie na temat prywatności

Niezależnie od tego, czy ukrywasz się pod skałą, czy też jesteś na dobrej drodze do osiągnięcia GDPR, prawnie konieczne jest, aby Twoja firma również przestrzegała przełomowego prawa do maja 25th. Przy tak wielu zmianach w tak krótkim czasie rozpoczęcie pracy może być przytłaczające. Aby pomóc Ci poruszać się w tej podróży, stworzyliśmy tę serię części 3 na temat GDPR. W nim omówimy wszystko, co musisz wiedzieć, aby spełnić główną część prawa:

  1. Czym jest GDPR i jak wpływa na CRM? (Część 1)
  2. Jak Vtiger pomaga w przestrzeganiu GDPR, w tym potężne zarządzanie zgodą (Part 2)
  3. Jak skonfigurować nowe funkcje prywatności Vtiger zgodnie z GDPR (Part 3)

Ujawnienie

Ta seria obejmuje ogólną zgodność z głównymi zasadami i prawami GDPR (artykuły 5 do 23). Istnieją inne procesy, obowiązki i standardy, których musisz przestrzegać (artykuły 24 do 43) i nie są objęte tą serią.

Ta seria i nadchodzące zmiany produktu pochodzą z kilku różnych źródeł. Z tekstów prawnych i ich ogólnie przyjętych interpretacji. Od rozmów z klientami i ich prawnikami, po inne badania trzeciego stopnia na temat rozwiązań dotyczących problemów związanych z zgodą prawną, którymi się zajmowaliśmy. Ogólne wskazówki, które zostały opracowane, powinny pomóc przeciętnemu przedsiębiorstwu w rozpoczęciu podróży do zgodności, ale nie należy ich traktować jako porady prawnej, którą nadal zalecamy, gdy interpretuje się PKBR dla konkretnego scenariusza.

Jeśli już rozumiesz znaczenie RODO i nie potrzebujesz podstaw, przejdź od razu do sekcji zatytułowanej „Oto jak RODO zmienia Twój biznes”.

Co to jest GDPR?

GDPR to nowe prawo europejskie, które wejdzie w życie w dniu 25th, 2018, regulujące sposób, w jaki przedsiębiorstwa mogą gromadzić, przechowywać i wykorzystywać dane europejskich obywateli. Więcej o tym za chwilę.

Dlaczego wprowadzono rozporządzenie w sprawie PKB?

Mówiąc prościej - aby powstrzymać firmy od masowego gromadzenia i wykorzystywania danych ludzi w sposób, który mógłby im zaszkodzić. Dziś firmy traktują dane w ten sam sposób, w jaki narody imperializmu gospodarczego traktują obce kraje. Przechwytują jak najwięcej i wykorzystują je bez szacunku dla życzeń właścicieli lub z troską o szkodliwy wpływ, jaki ma na nich.

To porównanie może wydawać się surowe, ponieważ nikt nie umiera, gdy firma kupuje listę potencjalnych klientów i rynków do niej bez zgody. Ale kiedy Equifax stracił krytycznie wrażliwe dane ponad 140 milionów ludzi, a następnie zasadniczo zostawił ich, aby poradzili sobie z konsekwencjami, ból był znacznie bardziej namacalny. Ich prywatna tożsamość i przyszłość finansowa były skazane na niepewną przyszłość krążącą na czarnym rynku. Równie łatwo może to być Twoja historia wyszukiwania w Google lub prywatne wiadomości, a mimo to miałbyś niewielkie środki prawne, gdyby tak się stało.

Logiczna reakcja na to jest

Jeśli tylko ktoś dałby mi prawo do wyboru, kto może mieć moje dane, do czego mogą, a czego nie mogą użyć, dopilnuje, aby były bezpieczne, i karał ich za naruszenie tych praw!

I właśnie to robi RODO dla obywateli UE.

Czy muszę spełniać wymogi GDPR?

GDPR dotyczy Ciebie, jeśli spełniasz którykolwiek z poniższych warunków:

  1. Masz klientów w UE
  2. Świadczycie usługi (płatne lub bezpłatne) obywatelom UE
  3. Jesteś rynkiem dla obywateli UE
  4. Monitorujesz działania obywateli UE

Jeśli Twoja firma ma charakter wyłącznie lokalny i poza UE, prawdopodobnie nie musisz martwić się o RODO. Kwiaciarnia w wiejskim Ohio, która sprzedaje i wysyła tylko do lokalnego miasta, prawdopodobnie nie będzie musiała tego przestrzegać, nawet jeśli ktoś z UE zatrzyma się w Twojej witrynie i trafi do Twojego rozwiązania analitycznego.

Ale tylko dlatego, że Twoja firma jest mała, nie oznacza, że ​​RODO nie ma zastosowania. Mała firma SEO, która sprzedaje swoje usługi online i ma już kilku klientów z kilku innych krajów, nawet jeśli nie jest skierowana konkretnie do klientów w UE, prawdopodobnie będzie musiała przestrzegać RODO, ponieważ można to sobie wyobrazić firma SEO z zadowoleniem przyjęłaby biznes od klientów europejskich, gdyby się pojawił.

Jakie prawa muszę spełniać?

Obywatele UE są teraz prawnymi właścicielami nawet tych danych, które są w Twoim posiadaniu. I mają pewne podstawowe prawa związane z tą własnością. Używamy reguły 80/20, aby podsumować poniższe teksty w jednowierszowych. Podobnie jak w przypadku każdego podsumowania, zawsze są pewne zastrzeżenia, więc jeśli jesteś ciekawy, kliknij dołączone linki, aby przeczytać pełny tekst prawny i wyjątki (nie są długie!):

  1. Kiedy zbierasz dane od kogoś, musisz ujawnić, co zamierzasz z nim zrobić i jak długo planujesz je zachować, między innymi, w momencie zbierania (artykuły 7, 12, 13, 14)
    1. Ogólnie nie możesz przechowywać informacji związanych z historią kryminalną (artykuł 10)
    2. Informacje o dzieciach można przechowywać tylko wtedy, gdy opiekun wyrazi na to zgodę (artykuł 8)
    3. Jesteś zobowiązany do uzyskania zgody na przechowywanie i używanie poufnych danych (artykuł 9, 10)
  2. Kiedy używasz danych od kogoś, wszystkie twoje zastosowania powinny być albo wykonane za zgodą na to użycie, w bezpośrednim związku z już uzgodnionymi podczas używania, albo dlatego, że przeszły przez test równoważenia interesów, z kilkoma zastrzeżeniami (artykuł 6)
  3. Musisz odpowiedzieć na następujące żądania praw od kontaktu w ciągu miesiąca 1 żądania (artykuł 12)
    1. Aby wiedzieć, jakie informacje o nich masz i do czego je wykorzystujesz (artykuł 15)
    2. Aby poprawić wszelkie informacje na ich temat (artykuł 16)
    3. Aby usunąć dane, które masz na nich (artykuł 17)
    4. Aby ograniczyć możliwość korzystania z danych bez konieczności ich usuwania (artykuł 18)
    5. Aby wiedzieć, kiedy wymazałeś lub przestałeś używać ich danych (artykuł 19)
    6. Aby przenieść swoje dane na ich konkurenta (artykuł 20)
    7. Aby sprzeciwić się jakiemukolwiek procesowi (artykuł 21)
    8. Aby sprzeciwić się automatycznemu (algorytmicznemu) podejmowaniu decyzji (artykuł 22)
  4. Nie wolno używać ani przechowywać danych dłużej niż to konieczne (motyw 39)
  5. Musisz korzystać z bezpiecznych danych w sposób proporcjonalny pod względem bezpieczeństwa do potencjalnej szkody, która może się zdarzyć osobie, której dane dotyczą, jeśli dane zostaną ujawnione (artykuł 25, 32)

Jak GDPR wpływa na moją działalność?

Jak przechowujesz i przetwarzasz dane kontaktowe

Istnieją typy danych 2 do rozważenia w ramach GDPR. Wrażliwe dane i dane osobowe. Oto konkretne przykłady danych pogrupowanych według typu.

Niewrażliwy Wrażliwy
Nie osobiście się identyfikuje Ulubiona marka żetonów
Kod pocztowy		 Płeć
Religia
Etniczność
Przynależność polityczna
Osobiście się identyfikuje Imię
Adres e-mail
Facebook ID		 Identyfikator krajowy
Numer karty kredytowej

Dane wrażliwe

Są to dane, które nie są publicznie dostępne i mogą zostać wykorzystane do wyrządzenia krzywdy ludziom - na przykład numer paszportu lub czyjeś przynależność polityczna. RODO zaleca uzyskanie zgody na przechowywanie wrażliwych danych, a następnie ich ochronę, jakkolwiek jest to możliwe. Te dane najlepiej chronić, wykonując następujące czynności:

  • Szyfrowanie tych pól w bazach danych, aby zapobiec nadużyciom w przypadku naruszenia danych
  • Przesłonięcie tych pól w widokach pracowników, aby zapobiec niewłaściwemu użyciu przez pracowników, gdy dostęp nie jest konieczny (np .: pokaż tylko ostatnie cyfry 4 numeru CC #)
  • Zaloguj się, gdy pracownicy nie ukrywają wartości, aby zapobiec niewłaściwemu użyciu, gdy dostęp jest konieczny

Osobiście identyfikujące dane

Dane mogą być szkodliwe tylko wtedy, gdy mogą być powiązane z osobą. GDPR pozwala Twoim kontaktom poprosić Cię o usunięcie ich danych osobowych (z zastrzeżeniem określone warunki).

Po usunięciu danych osobowych powiązane informacje, które są ważne przy podejmowaniu decyzji biznesowych, takie jak historie zakupów i zaangażowanie w usługi cyfrowe, są bezpieczne do przechowywania, ponieważ nie są już powiązane z osobą możliwą do zidentyfikowania.

Zachowaj ostrożność w przypadku grup informacji, które nie umożliwiają identyfikacji konkretnej osoby, ponieważ ich grupy mogą zostać zidentyfikowane, jeśli są unikalne dla jednej osoby. Na przykład, jeśli znasz czyjś kod pocztowy, płeć, pochodzenie etniczne i datę urodzenia - razem te właściwości mogą być unikalne dla jednej osoby i możliwe do odniesienia do niej za pośrednictwem innego źródła informacji - dlatego ważne jest, aby upewnić się, że tak się nie stanie w przypadku co zostało z usuniętego zbioru danych.

Limity przechowywania

Nikt nie powinien pozostać w bazie danych na zawsze, tylko dlatego, że dawno temu wypełnili formularz internetowy. Musisz teraz automatycznie przestać używać i ostatecznie usunąć dane umożliwiające identyfikację, gdy nie będą już potrzebne. Odpowiedni limit czasu zależy od przypadku. W naszym przypadku usuniemy nasze dane kontaktowe rok po tym, jak kontakt przestanie się z nami kontaktować.

Jak przedstawiasz formularze stron internetowych

Ujawnienia

Ludzie powinni przesyłać informacje tylko online, jeśli wiedzą, co zamierza z nimi zrobić odbiorca. Twoje formularze internetowe muszą teraz albo bezpośrednio określać, w jaki sposób informacje będą używane, albo odsyłać do informacji o tym, jak będziesz wykorzystywał ich dane. Można to zrobić za pomocą podpowiedzi lub bezpośrednio łącząc się z polityką wykorzystania danych.

Opt-in e-mail

Jeśli chcesz subskrybować kogoś do swojego e-mail marketingu po przesłaniu formularza, muszą teraz również wyraźnie na to wyrazić zgodę. Oznacza to pokazanie niezaznaczonego pola wyboru z wyraźnym językiem, takim jak „Chciałbym otrzymywać e-mail marketingowy od [firmy]”. Po prostu brak pytania lub zaznaczenie wcześniej zaznaczonego pola wyboru już się nie liczy.

Jak piszesz swoją politykę prywatności

Ilekroć zbierasz od kogoś informacje lub planujesz wykorzystać je w nowym celu, musisz poinformować go o pewnych podstawach, które są zwykle przekazywane za pośrednictwem polityki prywatności. Musi być napisane jasnym, łatwym do zrozumienia językiem i podzielone w taki sposób, aby każde użycie ich danych i celu było napisane osobno. Najważniejsze rzeczy, które należy uwzględnić w tej polityce, to:

  • Co robi Twoja firma i jak się z Tobą skontaktować
  • W jaki sposób korzystasz z ich danych iw jakim celu nie uzyskasz zgody
  • Z kim będziesz udostępniać swoje dane
  • Czy przesyłasz dane poza krajem kontaktu
  • Jak długo planujesz korzystać z danych
  • Wszystkie prawa podmiotu (dostęp, poprawianie, usuwanie, ograniczanie lub przesyłanie danych lub składanie reklamacji)
  • Co się stanie, jeśli kontakt nie dostarczy danych
  • Jeśli podejmujesz automatyczne decyzje za pomocą swoich danych

Jak prowadzisz e-mail marketing

Podwójne opt-in

Aby wysłać komuś e-mail marketingowy, musisz mieć niezbyt sfałszowany dowód, że chcą go otrzymać od Ciebie. Ponieważ każdy może wypełnić formularz w witrynie, twierdząc, że jest kimś innym, najlepszym sposobem uzyskania tego dowodu jest wysłanie e-maila z podwójną opcją.

E-maile z podwójną zgodą działają w ten sposób - gdy ktoś wskaże, że chce otrzymać Twój e-mail (ustnie lub zaznaczając pole w formularzu internetowym), wysyłasz mu wiadomość e-mail zawierającą specjalny link. Jeśli go klikną, ich kliknięcie zostanie zarejestrowane i zostaną dodane do Twojej listy e-mailowej.

Zarządzanie preferencjami i rezygnacja

Za każdym razem, gdy wysyłasz wiadomość e-mail do kontaktu, musi być dla nich tak łatwo zrezygnować, jak to było w przypadku ich włączenia. Zazwyczaj oznacza to umieszczenie linku rezygnacji z subskrypcji na dole wiadomości e-mail. Bardziej niezawodne rozwiązanie pozwoliłoby kontaktom zarządzać swoimi opcjami dostępu do określonych list e-mail ze strony dostępnej ze stopki e-mail.

Jak śledzić klientów na stronach internetowych, e-mailach i dokumentach

Wiele usług cyfrowych udostępnianych klientom będzie śledzić ich działania i udostępniać analizy, dzięki czemu można dowiedzieć się, jak poprawić swoje doświadczenia. Może to być strona internetowa, kampania e-mail lub dokument, który im udostępniłeś. Niezależnie od sposobu śledzenia, w większości przypadków powinieneś poinformować użytkowników, że są śledzeni, i zapewnić im możliwość rezygnacji ze śledzenia.

Podczas korzystania z danych klienta

Korzystasz z danych klientów do wielu celów. Od zwykłego przechowywania, po wysyłanie do nich e-maili marketingowych, sprawdzanie ich historii kredytowej lub dzielenie się nią z osobami trzecimi, które pomogą im lepiej wykorzystać produkty.

Cokolwiek używasz dla danych klienta, powinno być generalnie wykonywane z jednego z trzech powodów:

  1. Otrzymałeś wyraźną uprzednią zgodę na to użycie
  2. Użytkowanie jest związane z innym celem, na który już uzyskałeś zgodę
  3. Cel leży w twoim uzasadnionym interesie i nie narusza praw kontaktu (test bilansujący)

Zawsze zalecamy uzyskanie zgody w jak największej liczbie celów, ponieważ jest to jedyny bezsporny sposób wykorzystania danych kontaktów. Bez względu na to, jaką zgodę uzyskasz w jakimś celu, najlepszym sposobem na jej uzyskanie jest niefalsyfikowalny sposób. Obejmują one zarówno nagraną komunikację, taką jak e-mail, po portal zarządzania preferencjami, do którego osoby kontaktowe mogą się zalogować, aby zarządzać swoimi zgodami. Podobnie jak w przypadku preferencji dotyczących e-maili, ważne jest, aby umożliwić kontaktom cofnięcie zgody przynajmniej tak łatwo, jak ją wyrazili.

Nowe prawa, które musisz ułatwić

Prawo wiedzieć, jakie dane przechowujesz, i możliwość eksportu tych danych

Jeśli kontakt poprosi Cię o informacje, które posiadasz, jesteś prawnie zobowiązany do tego. Ponadto musisz ujawnić, z czego go korzystasz, komu go udostępniasz, jak długo chcesz go zachować i jakie inne prawa mają. Mogą dodatkowo poprosić o kopię wszystkich tych informacji w formacie odczytywalnym maszynowo, takim jak plik CSV lub baza danych, więc system CRM, którego używasz do przechowywania informacji, powinien ułatwiać tworzenie takich plików.

Prawo do aktualizacji swoich informacji

Jeśli kontakt poprosi Cię o zaktualizowanie nieprawidłowych lub brakujących informacji, po potwierdzeniu, kim jesteś, musisz zaktualizować te informacje w swoich systemach. Jest to szczególnie ważne, jeśli używasz tych danych do ręcznego lub algorytmicznego podejmowania decyzji na ich temat.

Prawo do bycia zapomnianym

Kontakt ma prawo do usunięcia Twoich danych. Chociaż najprostszym rozwiązaniem jest usunięcie wszystkich powiązanych z nimi rekordów, jest to zazwyczaj niepożądane, ponieważ może usunąć ważne informacje biznesowe, takie jak dane o zakupach, generowanie przychodów i inne niepoprawne raporty. Idealnym sposobem na to jest usunięcie danych osobowych z rekordu kontaktu, aby nie można było ich już zidentyfikować. Najlepsze rozwiązania CRM zgodne z GDPR ułatwią tego rodzaju kasowanie.

Prawo do sprzeciwu wobec jednego z twoich celów

Kontakt może zażądać, aby nie wykorzystywać ich danych w określonym celu. Może to oznaczać rezygnację z marketingu, żądanie, aby nie było ono udostępniane osobom trzecim lub innym konkretnym celom. Aby to ułatwić, nie wymagając żmudnego zarządzania rekordami, wybierz rozwiązanie CRM, które pozwoli Twoim kontaktom automatycznie zarządzać zgodami na twoje zastosowania, tak aby zespoły odpowiedzialne za działanie na podstawie tego zezwolenia mogły działać tylko na tych, którzy wyrazili na to zgodę.

Prawo do zaprzestania wykorzystywania ich całego rekordu

Kontakty mają wreszcie prawo poprosić Cię o usunięcie ich ze wszystkich form przetwarzania, które wykonujesz. Bez względu na to, jakiego systemu używasz do przechowywania swoich informacji, powinny być w stanie zamrozić swoje rekordy, aby nie mogły być modyfikowane przez użytkowników lub wysyłane pocztą elektroniczną w celach komercyjnych ręcznie lub automatycznie.

Jest tak wiele do zrobienia! Jak Vtiger pomoże mi się spełnić?

Może istnieć wiele nowych przepisów, których należy przestrzegać, ale zmiany wprowadzone w Vtiger by May 9th umożliwiają firmom bezproblemowe wdrożenie zgodności z GDPR. Niezależnie od tego, czy Twoi klienci są w Stanach Zjednoczonych, UE, czy gdziekolwiek indziej, zmiany te pomogą Ci zaprezentować ujawnienia, bezpieczniej przechowywać poufne dane, legalnie wprowadzać na rynek wiadomości e-mail, a Twoi znajomi dostarczać i zarządzać własnymi zgodami z doświadczeniem niedostępnym u innych CRM na rynku już dziś.

Kompletny opis tych zmian można znaleźć w Część 2 tej serii.

Bądźcie czujni!

Podobne posty

Wielkie małe rzeczy – zależne pola/bloki

  • 6 min odczyt

Wielkie małe rzeczy – scal tagi

  • 5 min odczyt

Audyt jakości i jego korzyści dla Twojej firmy

  • 5 min odczyt