Novinky

ČMSS: Ako prebieha implementácia GDPR v praxi?

Českomoravská stavební spořitelna, jedna z top bánk v Českej republike, spracuje v rámci svojej každodennej agendy enormné množstvo osobných údajov o klientoch. Tie následne zhromažďuje a ukladá do svojich systémov. Aj napriek vysokej miere zabezpečenia a ochrany osobných údajov však spoločnosť ČMSS musela podstúpiť niekoľko zásadných krokov smerom k tomu, aby bola v súlade so smernicami GDPR. 

GDPR v ČMSS

Nariadenie GDPR a jeho dôležitosť

Smernica GDPR vojde do platnosti už v máji tohto roka a v niektorých prípadoch so sebou prináša potrebu re-implementovať a poupraviť existujúce systémy. V prípade, že počiatočná analýza identifikuje potrebu vykonať zmeny v systéme, spoločnostiam nezostáva nič iné, ako ich implementovať.

Aké zmeny bolo nutné zapracovať do systému na riadenie vzťahov so zákazníkmi Českomoravskej stavebnej sporiteľni a ako v praxi vyzerala re-implementácia smerom k zabezpečeniu súladu CRM s GDPR?

 

Prvý krok: Analýza

Pri implementácii GDPR v spoločnosti ČMSS bola v prvotnej fáze analýzy do projektu zapojená konzultačná spoločnosť Deloitte, ktorá spoločne s IT, business garantmi a právnikmi skúmala a definovala jednotlivé účely evidencie a spracovanie osobných údajov. Výsledkom tejto analýzy boli návrhy na zabezpečenie súladu informačných systémov s nariadením GDPR v spoločnosti ČMSS.

 

Druhý krok: Implementácia požiadaviek

Návrhy vyplývajúce z analýzy viedli následne v ČMSS k zadefinovaniu požiadaviek na úpravu všetkých systémov, ktoré pracujú s evidenciou osobných údajov osôb.

Takým systémom je aj CRM (systém pre riadenie vzťahov so zákazníkmi), ktorý sme v spoločnosti ČMSS implementovali ešte v priebehu minulého roka na platforme Microsoft Dynamics CRM.

V spojitosti s CRM riešením bolo nevyhnutné z hľadiska GDPR zapracovať do systému nasledujúce 3 re-implementačné požiadavky: 
 

1) Požiadavka na zabezpečenie evidencie a spracovanie žiadostí dotknutých osôb

Výsledok implementácie požiadavky: Po novom môžu pracovníci ČMSS evidovať žiadosti dotknutých osôb týkajúcich sa GDPR, ktoré im nariadenie GDPR priznáva.

Ide o nasledujúce žiadosti:

  • Právo subjektu údajov na prístup k osobným údajom (Right of access by the data subject)
  • Právo subjektu údajov na opravu (Right to rectification)
  • Právo subjektu údajov na vymazanie – “právo byť zabudnutý” (Right to Erasure)
  • Právo subjektu údajov na obmedzenie spracovania (Right to restriction of processing)
  • Právo subjektu údajov na prenosnosť údajov (Right to data portability)
  • Právo subjektu údajov na vznesie námietky (Right to object)
  • Právo nebyť subjektom automatizovaného individuálneho rozhodovania, vrátane profilovania (Automated individual decision-making, including profiling)

V rámci tejto implementácie v ČMSS bola rozšírená doteraz existujúca agenda CRM pre evidenciu a správu Klientských podaní, aby mohla po novom evidovať aj tzv. GDPR žiadosti a k nim potrebné náležitosti.

 

2) Požiadavka na zabezpečenie evidencie súhlasu osôb na rôzne účely v spoločnosti ČMSS

Výsledok implementácie požiadavky: CRM v spoločnosti ČMSS je systém evidujúci a konsolidujúci osoby a klientov. Bola navrhnutá nová štruktúra pre ukladanie súhlasu, ako aj odvolanie súhlasu poskytnutého dotknutou osobou. CRM sa tak stáva pre ostatné systémy zdrojom informácií o poskytnutých a zrušených súhlasoch osôb.


3) Požiadavka na zabezpečenie zneplatnenie/výmazu dát

Výsledok implementácie požiadavky: Ak ubehne lehota, kedy spoločnosť ČMSS už nie je oprávnená spravovať osobné údaje osôb (a neexistuje žiadny legitímny účel pre spracovávanie osobných údajov subjektu údajov), je potreba dáta zneplatniť alebo vymazávať. CRM riešenie bude zabezpečovať vykonanie týchto operácií nad dátami, ktoré sú v tomto systéme spravované.

 

Výsledný postoj k GDPR?

Je potrebné spomenúť, že zabezpečenie v súlade s nariadením GDPR neznamená vždy pre spoločnosti, ktorých sa GDPR týka, nutnosť re-implementácie ich systémov. Veľmi dôležitá je počiatočná analýza, ktorá identifikuje nálezy, ktoré je nutné pre splnenie nariadenia vyriešiť. Spôsob riešenia či realizácia však môže byť rôzna – záleží na každej spoločnosti, aký prístup k naplneniu zákonného nariadenia zvolí.

Ak u vás analýza odhalila potrebu re-implementovať CRM riešenia, neváhajte sa na nás obrátiť so zabezpečením potrebných požiadaviek. Postaráme sa o to, aby boli vaše systémy v súlade s GDPR.

Potrebujeme re-implementovať naše CRM