Bỏ để qua phần nội dung
Trang Chủ » GDPR và CRM (Phần 1): GDPR là gì và nó ảnh hưởng đến CRM như thế nào?

GDPR và CRM (Phần 1): GDPR là gì và nó ảnh hưởng đến CRM như thế nào?

Nếu bạn đã không trốn dưới một tảng đá trong vài tháng qua, có lẽ bạn đã nghe nói nhiều về GDPR. Về việc làm thế nào nếu GDPR là luật đất đai ở Mỹ, các tiêu chuẩn của nó có thể ngăn chặn được vụ vi phạm dữ liệu của Equifax (hiện là một trong những vụ vi phạm lớn nhất trong lịch sử). Về cách GDPR không phụ thuộc vào ai - với những người khổng lồ như Google đại tu các sản phẩm của họ để tuân thủ. Và thậm chí về cách Quốc hội Hoa Kỳ, được tiếp thêm sức mạnh bởi vụ bê bối Cambridge Analytica, đã nói với Mark Zuckerberg về việc liệu Facebook có mở rộng các công cụ quyền riêng tư tuân thủ GDPR của mình cho người dùng trên toàn cầu hay không, trong thời gian của anh ấy. Phiên điều trần của Quốc hội về quyền riêng tư

Cho dù bạn đang ẩn náu dưới một tảng đá, hoặc bạn đang tăng tốc GDPR, điều bắt buộc về mặt pháp lý là doanh nghiệp của bạn cũng phải tuân thủ luật pháp mang tính bước ngoặt vào tháng 5 25th. Với rất nhiều thay đổi trong thời gian ngắn như vậy, bắt đầu có thể cảm thấy quá sức. Để giúp bạn điều hướng hành trình đó, chúng tôi đã tạo chuỗi phần 3 này trên GDPR. Trong đó, chúng tôi sẽ đề cập đến mọi thứ bạn cần biết để tuân thủ phần chính của luật:

  1. GDPR là gì và nó ảnh hưởng đến CRM như thế nào? (Phần 1)
  2. Cách Vtiger giúp bạn tuân thủ GDPR, bao gồm quản lý đồng ý mạnh mẽ (Phần 2)
  3. Cách thiết lập các tính năng bảo mật mới của Vtiger để tuân thủ GDPR (Phần 3)

Tiết lộ

Loạt bài này bao gồm việc tuân thủ chung với các nguyên tắc và quyền chính của GDPR (các bài viết 5 để 23). Có các quy trình, trách nhiệm và tiêu chuẩn khác mà bạn phải tuân thủ (bài viết 24 để 43) và không được bao gồm trong loạt bài này.

Loạt bài này và các thay đổi sản phẩm sắp tới được lấy từ một vài nguồn khác nhau. Từ các văn bản pháp lý và giải thích thường được chấp nhận của họ. Từ các cuộc thảo luận với khách hàng và luật sư của họ, và từ nghiên cứu đại học khác về các giải pháp bao gồm các vấn đề về sự đồng ý pháp lý mà chúng tôi đang giải quyết. Hướng dẫn chung đã được chắt lọc sẽ giúp doanh nghiệp trung bình bắt đầu hành trình tuân thủ, nhưng không nên được coi là tư vấn pháp lý, chúng tôi vẫn khuyên bạn nên tìm kiếm khi diễn giải GDPR cho kịch bản cụ thể của mình.

Nếu bạn đã hiểu tầm quan trọng của GDPR và không cần phải tìm hiểu trước, vui lòng chuyển sang phần có tiêu đề “Đây là cách GDPR thay đổi doanh nghiệp của bạn”.

GDPR là gì?

GDPR là một luật mới của châu Âu, sẽ có hiệu lực vào tháng 5 25th, 2018, quy định cách các doanh nghiệp có thể thu thập, lưu trữ và sử dụng dữ liệu của công dân châu Âu. Thêm vào đó trong một giây.

Tại sao GDPR được ban hành?

Nói một cách đơn giản - để ngăn các doanh nghiệp thu thập và sử dụng bừa bãi dữ liệu của mọi người theo những cách có thể gây tổn hại cho họ. Ngày nay, các doanh nghiệp xử lý dữ liệu giống như cách các nước đế quốc kinh tế đối xử với nước ngoài. Họ nắm bắt càng nhiều càng tốt và khai thác nó mà không tôn trọng mong muốn của chủ sở hữu, hoặc lo lắng về tác hại của nó đối với họ.

Sự so sánh đó có vẻ khắc nghiệt, bởi vì không ai chết khi một công ty mua danh sách khách hàng tiềm năng và thị trường cho nó mà không có sự đồng ý. Tuy nhiên, khi Equifax đánh mất dữ liệu nhạy cảm của hơn 140 triệu người và về cơ bản để họ tự giải quyết hậu quả, thì sự tổn thương còn rõ ràng hơn nhiều. Danh tính riêng tư và tương lai tài chính của họ đã phải chịu đựng một tương lai không chắc chắn lưu hành trên thị trường chợ đen. Đó có thể dễ dàng là lịch sử tìm kiếm trên Google của bạn hoặc các tin nhắn riêng tư, và bạn vẫn sẽ có ít quyền truy đòi pháp lý nếu điều đó xảy ra.

Phản ứng hợp lý cho điều này, sau đó, là

Nếu chỉ có ai đó cho tôi quyền chọn ai có thể có dữ liệu của tôi, họ có thể và không thể sử dụng dữ liệu đó để làm gì, sẽ đảm bảo họ giữ an toàn và trừng phạt họ vì vi phạm các quyền này!

Và đó chính xác là những gì GDPR làm cho công dân EU.

Tôi có phải tuân thủ GDPR không?

GDPR áp dụng cho bạn nếu bạn đáp ứng bất kỳ điều kiện nào sau đây:

  1. Bạn có khách hàng ở EU
  2. Bạn cung cấp dịch vụ cho (trả hoặc miễn phí) cho công dân EU
  3. Bạn tiếp thị cho công dân EU
  4. Bạn theo dõi hoạt động của công dân EU

Nếu doanh nghiệp của bạn là địa phương độc quyền và bên ngoài EU, bạn có thể không phải lo lắng về GDPR. Một cửa hàng hoa ở vùng nông thôn Ohio chỉ tiếp thị và vận chuyển đến thị trấn địa phương không có khả năng phải tuân thủ, ngay cả khi ai đó từ EU ghé thăm trang web của bạn và kết thúc với giải pháp phân tích của bạn.

Nhưng chỉ vì doanh nghiệp của bạn nhỏ không có nghĩa là GDPR không được áp dụng. Một công ty SEO ở thị trấn nhỏ tiếp thị dịch vụ của mình trực tuyến và đã có một vài khách hàng từ một số quốc gia khác, ngay cả khi nó không nhắm mục tiêu cụ thể đến khách hàng ở EU, có khả năng phải tuân theo GDPR vì có thể hình dung rằng công ty SEO sẽ chào đón doanh nghiệp từ các khách hàng châu Âu nếu nó nổi lên.

Tôi có quyền gì để tuân thủ?

Công dân EU hiện sở hữu hợp pháp ngay cả dữ liệu về họ mà bạn sở hữu. Và họ có một số quyền cơ bản đi kèm với quyền sở hữu đó. Chúng tôi đang sử dụng quy tắc 80/20 để tóm tắt các văn bản dưới đây thành một lớp lót. Như với bất kỳ bản tóm tắt nào, luôn có những cảnh báo trước, vì vậy nếu bạn tò mò, hãy nhấp vào các liên kết đi kèm để đọc toàn bộ văn bản pháp lý và các trường hợp ngoại lệ (chúng không dài!):

  1. Khi bạn đang thu thập dữ liệu từ một người nào đó, bạn phải tiết lộ những gì bạn dự định làm với nó và bạn dự định giữ nó trong bao lâu, trong số các thông tin khác, tại thời điểm thu thập (bài viết 7, 12, 13, 14)
    1. Bạn thường không thể lưu trữ thông tin liên quan đến lịch sử tội phạm (bài viết 10)
    2. Bạn chỉ có thể lưu trữ thông tin về trẻ em nếu người giám hộ đồng ý (bài viết 8)
    3. Bạn được yêu cầu phải có sự đồng ý để lưu trữ và sử dụng dữ liệu nhạy cảm (bài viết 9, 10)
  2. Khi bạn đang sử dụng dữ liệu từ ai đó, tất cả việc sử dụng của bạn phải được thực hiện khi có sự đồng ý cho việc sử dụng đó, liên quan trực tiếp đến việc sử dụng đã được thỏa thuận hoặc vì nó đã vượt qua cân bằng kiểm tra lợi ích, với một vài cảnh báo (bài viết 6)
  3. Bạn phải trả lời các yêu cầu quyền sau đây từ một liên hệ trong tháng 1 của yêu cầu (bài viết 12)
    1. Để biết bạn có thông tin gì về họ và bạn sử dụng thông tin gì (bài viết 15)
    2. Để sửa bất kỳ thông tin nào bạn có trên chúng (bài viết 16)
    3. Để xóa dữ liệu mà bạn có trên chúng (bài viết 17)
    4. Để hạn chế khả năng sử dụng dữ liệu của họ mà không phải xóa dữ liệu (bài viết 18)
    5. Để biết khi nào bạn đã xóa hoặc ngừng sử dụng dữ liệu của họ (bài viết 19)
    6. Để chuyển dữ liệu của bạn trên chúng cho đối thủ cạnh tranh (bài viết 20)
    7. Để phản đối bất kỳ quá trình (bài viết 21)
    8. Để phản đối việc ra quyết định tự động (thuật toán) (bài viết 22)
  4. Bạn không được sử dụng hoặc lưu trữ dữ liệu lâu hơn cần thiết (recital 39)
  5. Bạn phải sử dụng dữ liệu bảo mật theo cách tương xứng trong bảo mật với tác hại tiềm ẩn có thể xảy ra với chủ thể dữ liệu nếu dữ liệu bị lộ (bài viết 25, 32)

GDPR ảnh hưởng đến doanh nghiệp của tôi như thế nào?

Cách bạn lưu trữ và xử lý dữ liệu liên lạc

Có các loại dữ liệu 2 để xem xét theo GDPR. Dữ liệu nhạy cảm, và dữ liệu cá nhân. Dưới đây là các ví dụ cụ thể của dữ liệu, được nhóm theo loại.

Không nhạy cảm Nhạy cảm
Không nhận dạng cá nhân Thương hiệu chip yêu thích
Zip code		 Giới Tính
Tôn Giáo
Dân tộc
Liên kết chính trị
Nhận dạng cá nhân Họ tên
Địa chỉ email
tài khoản Facebook		 Số chứng minh nhân dân
Số thẻ tín dụng

Dữ liệu nhạy cảm

Đây là dữ liệu không được công bố công khai và có thể bị lạm dụng để gây hại cho mọi người - như số hộ chiếu hoặc đảng phái chính trị của một số người. GDPR khuyến nghị nên có sự đồng ý cho việc lưu trữ dữ liệu nhạy cảm và sau đó bảo vệ dữ liệu đó theo cách có thể. Những dữ liệu này được bảo vệ tốt nhất bằng cách làm như sau:

  • Mã hóa các trường này trong cơ sở dữ liệu để ngăn chặn việc sử dụng sai nếu vi phạm dữ liệu
  • Che khuất các trường này trong chế độ xem của nhân viên để ngăn chặn việc nhân viên sử dụng sai khi không cần truy cập (ví dụ: chỉ hiển thị các chữ số 4 cuối cùng của CC #)
  • Đăng nhập khi nhân viên hủy bỏ các giá trị để ngăn chặn việc sử dụng sai khi cần truy cập

Dữ liệu nhận dạng cá nhân

Dữ liệu chỉ có thể có hại nếu nó có thể được liên kết lại với một người. GDPR cho phép các liên hệ của bạn yêu cầu bạn xóa dữ liệu nhận dạng cá nhân của họ (theo chủ đề điều kiện nhất định).

Khi dữ liệu cá nhân bị xóa, thông tin liên quan quan trọng đối với việc ra quyết định kinh doanh, như lịch sử mua hàng và sự tham gia với các dịch vụ kỹ thuật số của bạn sẽ được lưu trữ an toàn vì chúng không còn liên quan đến một người có thể nhận dạng được.

Hãy cẩn thận với các nhóm thông tin không nhận dạng cá nhân, vì các nhóm thông tin đó có thể trở thành thông tin nhận dạng nếu nhóm đó là duy nhất đối với một người. Ví dụ: khi bạn biết mã zip, giới tính, dân tộc và ngày sinh của ai đó - cùng với nhau, những thuộc tính đó có thể là duy nhất đối với một cá nhân và liên quan đến họ thông qua một số nguồn thông tin khác - vì vậy điều quan trọng là phải đảm bảo điều đó không xảy ra với những gì còn lại trong tập dữ liệu đã xóa của bạn.

Giới hạn lưu trữ

Không ai phải ở trong cơ sở dữ liệu của bạn mãi mãi, chỉ vì họ đã điền vào biểu mẫu web của bạn một lần. Bây giờ bạn phải tự động ngừng sử dụng và cuối cùng xóa dữ liệu nhận dạng cá nhân khi không còn cần thiết. Giới hạn thời gian thích hợp để sử dụng khác nhau tùy theo từng trường hợp. Trong trường hợp của chúng tôi, chúng tôi sẽ xóa dữ liệu liên hệ của chúng tôi một năm sau khi liên hệ ngừng tham gia trực tiếp với chúng tôi.

Cách bạn trình bày các mẫu trang web

Tiết Lộ

Mọi người thực sự chỉ nên gửi thông tin trực tuyến nếu họ biết người nhận sẽ làm gì với nó. Vì vậy, biểu mẫu web của bạn bây giờ phải nêu trực tiếp cách sử dụng thông tin hoặc liên kết đến thông tin về cách bạn sẽ sử dụng dữ liệu của họ. Điều này có thể được thực hiện thông qua các chú giải công cụ hoặc bằng cách liên kết trực tiếp đến chính sách sử dụng dữ liệu.

Chọn tham gia email

Nếu bạn muốn đăng ký một người nào đó để tiếp thị qua email của bạn sau khi gửi biểu mẫu, giờ đây họ cũng phải đồng ý rõ ràng với nó. Điều đó có nghĩa là hiển thị một hộp kiểm chưa được đánh dấu với ngôn ngữ rõ ràng như tôi muốn nhận email tiếp thị từ [công ty]. Đơn giản là không hỏi hoặc cung cấp hộp kiểm được đánh dấu trước không còn được tính nữa.

Cách bạn viết chính sách bảo mật của bạn

Bất cứ khi nào bạn thu thập thông tin từ ai đó hoặc dự định sử dụng nó cho mục đích mới, bạn cần thông báo cho họ về một số điều cơ bản thường được truyền đạt thông qua chính sách bảo mật. Điều này phải được viết bằng ngôn ngữ rõ ràng, dễ hiểu và được phân đoạn sao cho mỗi lần sử dụng dữ liệu và mục đích của chúng được viết riêng. Những điều quan trọng nhất cần đưa vào chính sách này là:

  • Công ty của bạn làm gì và làm thế nào để liên lạc với bạn
  • Cách bạn sử dụng dữ liệu của họ và cho mục đích gì bạn sẽ không tìm kiếm sự đồng ý
  • Bạn sẽ chia sẻ dữ liệu của họ với ai
  • Cho dù bạn sẽ chuyển dữ liệu bên ngoài quốc gia của liên hệ
  • Bạn dự định sử dụng dữ liệu trong bao lâu
  • Tất cả các quyền của chủ thể (truy cập, sửa, xóa, hạn chế hoặc dữ liệu cổng hoặc khiếu nại)
  • Điều gì xảy ra nếu liên hệ không cung cấp dữ liệu
  • Nếu bạn đưa ra quyết định tự động với dữ liệu của họ

Cách bạn tiến hành tiếp thị qua email

Chọn tham gia kép

Để gửi email tiếp thị cho ai đó, bạn phải có bằng chứng không thể giả mạo rằng họ muốn nhận nó từ bạn. Bởi vì bất kỳ ai cũng có thể điền vào một biểu mẫu trên trang web của bạn tự xưng là người khác, cách tốt nhất để có được bằng chứng đó là với một email chọn tham gia kép.

Email chọn tham gia kép hoạt động như thế này - khi ai đó chỉ ra rằng họ muốn nhận email của bạn (bằng lời nói hoặc bằng cách chọn hộp trên biểu mẫu web), bạn sẽ gửi cho họ một email có chứa một liên kết đặc biệt. Nếu họ nhấp vào nó, nhấp chuột của họ sẽ được ghi lại và họ sẽ được thêm vào danh sách email của bạn.

Quản lý sở thích và từ chối

Bất cứ khi nào bạn gửi email đến một liên hệ, họ phải dễ dàng từ chối như họ đã chọn tham gia. Điều đó thường có nghĩa là bao gồm một liên kết hủy đăng ký ở cuối email. Một giải pháp mạnh mẽ hơn sẽ cho phép các liên hệ quản lý các lựa chọn tham gia của họ trong danh sách email cụ thể từ một trang có thể truy cập từ chân trang email.

Cách bạn theo dõi khách hàng trên các trang web, email và tài liệu

Nhiều dịch vụ kỹ thuật số bạn cung cấp cho khách hàng sẽ theo dõi hành động của họ và cung cấp cho bạn các phân tích, để bạn có thể tìm hiểu cách cải thiện trải nghiệm của họ. Đó có thể là một trang web, chiến dịch email hoặc tài liệu bạn đã chia sẻ với họ. Bất kể cách thức theo dõi được thực hiện như thế nào, trong hầu hết các trường hợp, bạn nên cho người dùng biết rằng họ đang bị theo dõi và cung cấp cho họ khả năng từ chối theo dõi của bạn.

Khi bạn sử dụng dữ liệu khách hàng

Bạn sử dụng dữ liệu khách hàng cho một số mục đích. Từ việc đơn giản là lưu trữ nó, gửi email tiếp thị cho họ, đến kiểm tra lịch sử tín dụng của họ hoặc chia sẻ nó với các bên thứ ba sẽ giúp họ sử dụng sản phẩm của bạn tốt hơn.

Bất cứ điều gì bạn sử dụng dữ liệu khách hàng thường được thực hiện vì một trong ba lý do sau:

  1. Bạn đã nhận được sự cho phép rõ ràng trước cho việc sử dụng đó
  2. Việc sử dụng có liên quan đến mục đích khác mà bạn đã nhận được sự đồng ý cho
  3. Mục đích là vì lợi ích hợp pháp của bạn và không vi phạm quyền của người liên hệ (bài kiểm tra cân bằng)

Chúng tôi luôn khuyên bạn nên lấy sự đồng ý cho nhiều mục đích nhất có thể, vì đây là cách duy nhất không thể chối cãi để sử dụng dữ liệu danh bạ của bạn. Dù bạn nhận được sự đồng ý vì mục đích gì, thì cách tốt nhất để có được sự đồng ý đó là theo một số cách không thể giả mạo. Những phạm vi này bao gồm từ giao tiếp được ghi lại như email, đến cổng quản lý tùy chọn mà các liên hệ có thể đăng nhập để quản lý sự đồng ý của họ. Giống như với các tùy chọn email, điều quan trọng là để các liên hệ thu hồi sự đồng ý của họ ít nhất là dễ dàng như họ đã cung cấp.

Các quyền hợp pháp mới bạn phải tạo điều kiện

Quyền được biết dữ liệu nào bạn lưu trữ và khả năng xuất dữ liệu đó

Nếu một người liên hệ hỏi bạn về thông tin bạn giữ trên họ, bạn có nghĩa vụ pháp lý phải làm như vậy. Ngoài ra, bạn phải tiết lộ những gì bạn sử dụng nó cho, bạn chia sẻ với ai, bạn dự định giữ nó trong bao lâu và các quyền khác mà họ có. Họ cũng có thể yêu cầu một bản sao của tất cả các thông tin này ở định dạng máy có thể đọc được như tệp CSV hoặc cơ sở dữ liệu, vì vậy hệ thống CRM mà bạn sử dụng để lưu trữ thông tin của họ sẽ tạo điều kiện cho việc tạo các tệp đó.

Quyền cập nhật thông tin của họ

Nếu một liên hệ yêu cầu bạn cập nhật thông tin không chính xác hoặc thiếu, một khi bạn có thể xác nhận họ là ai, bạn được yêu cầu cập nhật thông tin đó trong hệ thống của mình. Điều này đặc biệt quan trọng nếu bạn sử dụng dữ liệu đó để đưa ra quyết định bằng tay hoặc bằng thuật toán về chúng.

Quyền bị lãng quên

Một liên hệ có quyền xóa dữ liệu của bạn trên đó. Mặc dù giải pháp đơn giản nhất là xóa tất cả các hồ sơ của bạn được liên kết với chúng, nhưng điều này thường không mong muốn vì nó có thể xóa thông tin kinh doanh quan trọng như dữ liệu mua hàng, kết xuất doanh thu và các báo cáo khác không chính xác. Cách lý tưởng cho vấn đề này là xóa thông tin nhận dạng cá nhân khỏi hồ sơ của người liên hệ để bạn không còn nhận dạng được họ. Các giải pháp CRM tuân thủ GDPR tốt nhất sẽ tạo điều kiện cho loại hình xóa này.

Quyền phản đối một trong những mục đích của bạn

Một liên hệ có thể yêu cầu bạn không sử dụng dữ liệu của họ cho một mục đích cụ thể. Điều đó có thể có nghĩa là từ chối tiếp thị, yêu cầu nó không được chia sẻ với bên thứ ba hoặc bất kỳ mục đích cụ thể nào khác. Để tạo điều kiện thuận lợi cho việc này mà không yêu cầu quản lý hồ sơ khó khăn, hãy chọn giải pháp CRM cho phép các liên hệ của bạn tự động quản lý sự đồng ý của họ đối với việc sử dụng của bạn, để các nhóm chịu trách nhiệm hành động theo sự cho phép đó chỉ có thể hành động đối với những liên hệ đã đồng ý.

Quyền ngừng sử dụng toàn bộ hồ sơ của bạn

Liên hệ cuối cùng có quyền yêu cầu bạn đưa họ ra khỏi tất cả các hình thức xử lý mà bạn làm. Bất kỳ hệ thống nào bạn sử dụng để lưu trữ thông tin của họ đều có khả năng đóng băng hồ sơ của họ để người dùng của bạn không thể sửa đổi chúng hoặc gửi qua email cho mục đích thương mại theo cách thủ công hoặc tự động.

Có rất nhiều việc phải làm! Vtiger sẽ giúp tôi tuân thủ như thế nào?

Có thể có rất nhiều quy định mới để tuân thủ, nhưng những thay đổi đến Vtiger vào tháng 5 9th cho phép các doanh nghiệp dễ dàng triển khai tuân thủ GDPR. Cho dù khách hàng của bạn ở Mỹ, EU hay bất kỳ nơi nào khác, những thay đổi này sẽ giúp bạn trình bày các tiết lộ, lưu trữ dữ liệu nhạy cảm một cách an toàn hơn, tiếp thị email một cách hợp pháp và để các liên hệ của bạn cung cấp và quản lý sự đồng ý của họ với trải nghiệm không có sẵn với bất kỳ ai khác CRM trên thị trường hiện nay.

Bạn có thể tìm thấy một hướng dẫn đầy đủ về những thay đổi này trong Phần 2 của loạt bài này.

Hãy theo dõi!

bài viết liên quan

Big Little Things – Các trường/khối phụ thuộc

  • Đã đọc 6 phút

Big Little Things – Hợp nhất các thẻ

  • Đã đọc 5 phút

Kiểm toán chất lượng và lợi ích của nó đối với doanh nghiệp của bạn

  • Đã đọc 5 phút