RODO jak rodeo 26 – CRM a RODO

RODO jak rodeo 26 – CRM a RODO

Trudno sobie wyobrazić pracę w jakimkolwiek systemie CRM, w której nie następuje przekazywanie mu danych osobowych naszych klientów. Przecież to własnie ułatwienie w komunikacji wewnątrz firmy i ich przekazywaniu oraz łatwiejsza obsługa marketingowa potencjalnie zainteresowanych naszą ofertą są głównymi powodami zastosowania rozwiązań informatycznych tego typu. Na to nakłada się słynny skrót „RODO”, którym wciąż jesteśmy straszeni i wokół którego narosło wiele fałszywych mitów. Jak to rozsupłać?

Przede wszystkim – nie panikować. Warto wiedzieć, że całe zamieszanie wokół wejścia w życie unijnego rozporządzenia RODO wynikało raczej z samego faktu, że ktoś przypomniał nam o konieczności zajęcia się jakością przetwarzania danych osobowych, niż wymagań wynikających z treści dokumentu. Te bardzo często są wręcz „luźniejsze” niż dotychczasowe i celowo zostawiają nam wolną rękę. Moim ulubionym przykładem dotyczącym CRM jest tutaj kwestia zastosowania hasła – w „przedmajowych” zasadach i ustawach mieliśmy narzuconą liczbę znaków koniecznych do użycia, obecne dają nam w tym względzie wolną rękę. Dzięki temu nie zestarzeją się, gdy wszyscy będziemy już stosować w tym celu tęczówki lub odciski palców. Jednocześnie RODO nam „ufa”, że sami najlepiej wiemy jak zabezpieczać dane w swojej własnej firmie i nie narzuca takich samych standardów dla wszystkich firm niezależnie od tego, czy były międzynarodowym bankiem czy lokalnym szewcem.

Jakie wobec tego mamy obowiązki?

Pierwszy wydaje się w zasadzie oczywisty, ale od niego trzeba zacząć. Jest to dbałość o powierzone dane – przede wszystkim świadomość, jakie w ogóle dane i gdzie trzymamy. W wielu audytowanych przeze mnie firmach okazywało się to wcale nie takie proste. Zresztą – na marginesie CRM – z ciekawości może odpowiedz sobie na dwa przykładowe pytania: Czy mając na komputerze folder „Stary Pulpit” wiesz czyje dane i jakiego rodzaju tam są? Czy ta lista uczestników wyjazdu sprzed lat z ich PESELami nadal potrzebna jest na pendrive, który możesz zgubić?

Zresztą to drugie pytanie podpowiada nam kolejne zadanie – zgodnie z zasadą privacy by default powinniśmy zbierać minimalną liczbę kategorii danych. Czy na pewno by komuś wysłać coś na mail potrzebujemy jego telefonu? Czy warto wpisywać w umowę numer dowodu osobistego, skoro by odzyskać od niego pieniądze w sądzie potrzebny jest PESEL, który się raczej nie zmieni? Poza tym warto byłoby umieć „z góry” odpowiedzieć na ewentualne pytanie o to, po co nam poszczególny rodzaj określonej danej. Przekładając to na CRM – jeśli umieszcza on na Twojej stronie formularz kontaktowy i prosi na przykład o imię czy numer telefonu, postaraj się jakoś to na wszelki wypadek uzasadnić.

Z kim dzielisz się danymi?

Nie ma nic złego w tym, że powierzasz dane swoich klientów innym podmiotom – tak jak w przypadku biura księgowego czy właśnie CRM. Z drugiej strony pewnie na ich miejscu wolałbyś o tym wiedzieć. Jeśli będzie wyciek danych z księgowości, lepiej nie mieć niemiłego zaskoczenia „nie tylko nie wiedziałem o wycieku, ja nawet nie wiedziałem, że mają moje dane”.

Dlatego właśnie w swojej informującej wyliczance uwzględnij CRM – nie ma wątpliwości, że trzymasz w nim dane. Być może ma do nich dostęp ktoś Ci go „dający” albo może dzieli się z Tobą serwerami, możliwości jest wiele. Na to jeszcze nakłada się kwestia kraju.

Informując o dzieleniu się danymi z innym podmiotem mów też, w jakim jest kraju i dlaczego uważasz, że będzie przestrzegał danych równie dobrze jak Ty. W uproszczeniu możliwe scenariusze są trzy:
1. Firma tworząca CRM jest też z Unii, więc również przestrzega RODO.
2. Firma tworząca CRM jest ze Stanów Zjednoczonych i jak sprawdziłeś, znajduje się na liście firm przestrzegających Privacy Shield – na mocy porozumień między krajami Tarcza Prywatności została uznana za odpowiadającą RODO.
3. Firma tworząca CRM jest z innego kraju – wtedy warto mieć od niej jakieś pisemne gwarancje.

Zbiory

Wraz z wejściem RODO zniknął nieprzystający do życia obowiązek zgłaszania do Generalnego Inspektora Ochrony Danych Osobowych posiadanych w firmie zbiorów danych – swoją drogą GIODO zniknął również, zastąpiony przez Prezesa Urzędu Ochrony Danych, czyli PUODO. Ale na własne potrzeby nadal warto mieć takie zbiory, a CRM bardzo się do tego przyda. Po prostu na jego podstawie spisz w wewnętrzną dokumentację zgodnie z Twoim podziałem, np. „zapytania”, „leady”, „deale”, „archiwum” i w których zbiorach trzymasz już telefon, w których dopiero dane fakturowe itp.

Podobnie znika konieczność upoważniania członków załogi do określonych zbiorów na piśmie – RODO jest tu bliższe współczesności i bierze pod uwagę między innymi CRM-y. Czyli upoważnieniem może być po prostu szerszy lub węższy dostęp określonych osób do zasobów CRM.

RODO a CRM – na koniec

Jak widać, RODO uwzględnia specyfikę istnienia CRM i wychodzi im naprzeciw. A tam, gdzie coś nam „każe” – wynika to po prostu z dobra naszych klientów i nie jest zbyt uciążliwe. Warto w swoim CRM uwzględniać je ze względu na zwykłą logikę, a nie strach przed karami.