Categories
Помощни материали

GDPR е тук! И сега?

Loading

Вече е официално! 25 май мина и замина. И докато последните две години отминаха в истерия и неясноти около Общия регламент за защита на данните в ЕС (познат като GDPR), сега всички са притихнали в очакване да видят какво ще последва, когато Регламентът вече е в сила и се прилага.

Не, светът не спря да съществува след влизането му в сила. Земята не спря да се върти и не, бизнесите не се срутиха и не спряха дейностите си. Въпреки това няколко часа след влизането бяха подадени жалби срещу „обичайните заподозрени“ – Facebook и Google. А сега всички си задават въпроса какво следва оттук насетне?

GDPR е вече тук. Какво следва?

Какво означава това за вашия бизнес? Първо и най-важно – приемайте регламента изцяло сериозно! Дотук вашата фирма е трябвало да се подготвя по плана, който сте си направили как да се справи с искането на физическите лица (субекти на данни, споед законодателството) за изпълнение на техните права. Би трябвало отдавна да сте направили оценка на въздействието върху защитата на личните данни и евентуално да имате свой служител, който да се грижи за защитата на данните, готов да отговори на всички клиентски искания и подготвен за следващите стъпки за съвместимост с изискванията на регламента.

Най-важното нещо, което трябва да запомнят всички е, че 25 май не е някакъв край, а по-скоро начало. Но когато стане въпрос за изпълнение на заявките от страна на субектите на данни, трябва да имате изготвен план за действие. При това той трябва не само да е добре документиран (да се чете „разписан“), но и изпробван като работещ и ефективен. Това означава да знаете с абсолютна точност къде се съхраняват данните на субекта, точния процес, необходим за тяхното събиране и подготвяне за предоставянето им. Не е проблем първоначално някоя част или целия процес да се извършва ръчно.

Най-голямото предизвикателство за повечето бизнеси в съвместимостта и изпълнението на точките по регламента няма да са основните общи клаузи и изисквания, както ще е при властелините на данни – големите фирми като Facebook и Google. Вместо това сериозно предизвикателство ще бъде механиката при изпълнение на по-сериозен брой заявки от страна на потребителите в желанието им да упражнят правата си за информираност, достъп, коригиране и заличаване, ограничаване и пр. Един от най-често срещаните въпроси през изминалата година в тази насока е „за какъв обем от заявления трябва да се подготвя“? Не забравяйте, че разполагате само с един месец да отговорите на всяко едно искане и проблемът тук са процесите, които се извършват ръчно. Затова обемът, който трябва да планирате, не трябва да е началният обем, който ще получите или някаква средна стойност, а максималният. И бързо трябва да обмислите колко е това, колко максимум заявления можете да обработите, за да сте наясно в случай на евентуална проверка.

Двата основни елемента на дългосрочна GDPR стратегия

Има доста аспекти, които бизнесът щетрябва да обмисли при изготвянето на своята дългосрочна стратегия за GDPR, но все пак има две основни неща, които задължително трябва да се вземат под внимание:

Автоматизиране на процесите

Как смятате да се справяте с големия брой заявления, свързани с GDPR заявленията? Бързото преминаване към технологии за динамично управление на процесите трябва да е заложено като основа за съвместимостта с изискванията на регламента, като по този начин бизнесът ще може да гарантира, че процесът е добре организиран и се изпълнява от край до край. Това ще позволи бързо автоматизиране и премахване на процесите, които се извършват ръчно.

Единен канал на комуникация

Не е достатъчно да получавате заявления за упражняване на права само чрез обаждане или в сайта. Мнозина точно това очакват и се надяват на това и така изграждат политиките си. Субектите на данни трябва да могат да направи заявлението си както устно, така и писмено. Също така може да го направят към всеки отдел от фирмата, към всеки един служител, с който са в контакт (включително и в социалните мрежи!). Не е нужно заявлението да бъде адресирано към конкретен човек или да постъпва само по един канал за комуникация. Това означава, че трябва бързо да обучите всички служители, които влизат в контакт със субектите на данни как да обслужват такива заявления. Не пропускайте никое звено!

GDPR е тук и вече няма връщане назад. През следващите месеци вероятно ще се наложи да предприемете не едно и две действия, за да запълните пропуските по изискванията, които все още не сте покрили, но моят съвет е да бъдете проактивни. Докато обмисляте следващата фаза от адаптацията към новите изисквания, не забравяйте да разсъждавате над въпроса как да изграждате доверие у клиентите и да им предлагате по-добро преживяване. Това е най-важното в епохата на GDPR.

Categories
Помощни материали

3 промени в CRM за съвместимост с GDPR

Loading

GDPR е вече тук и се прилага, а обхватът му е върху всички граждани на Европейския съюз! Много фирми вече започнаха да променят начина, по който обслужват клиентите си – няма как да не сте заринати с купища имейли за промяна в политиките за поверителност на любимите и най-използвани сайтове и приложения.

Един от най-чувствителните канали за информация във всяка организация, е управлението на взаимоотношенията с клиентите. В най-добрия случай използвате (интегрирана или самостоятелна) платформа за целта или просто набор от инструменти, в които съдържат всички лични данни за клиентите и взаимоотношенията, които имате с тях.

GDPR засяга и променя начина, по който бизнесът може да събира и обработва личните данни на гражданите на Европейския съюз.

Според новия регламент, физическите лица имат следните 8 права, свързани с техните лични данни:

  1. Право на информираност – че личните им данни се събират и обработват, както и да бъдат информирани за начина, по който тези данни се използват.
  2. Право на достъп до всички лични данни, с които разполага бизнесът.
  3. Право на корекция – трябва да е възможно данните да бъдат коригирани, в случай, че са непълни или неточни.
  4. Право на изтриване – трябва да е възможно лесно и надеждно личните данни да бъдат изтрити по молба на субекта на данните.
  5. Право на ограничаване на обработката – трябва да е възможно физическите лица да могат да пожелаят блокиране на обработването на определени лични данни и те да бъдат използвани само за предварително дадените съгласия и целите, за които са предоставени.
  6. Право на преносимост на данните – физическите лица трябва да могат да получат и използват при друг администратор личните данни, с които разполага бизнеса.
  7. Право на възражение – физическите лица имат право да възразят срещу обработката на личните им данни.
  8. Право да не са обект на автоматизирани решения – физическите лица трябва да могат да заявят и да получат човешка намеса, вместо да се разчита на алгоритми за важни решения.

Тези 8 права оказват влияние върху начина, по който се събират и обработват личните данни в CRM платформата.

Получаване на съгласие

GDPR налага изискване бизнесът да има законово основание за обработването на лични данни. Законовото основание обхваща много области и е доста разтегливо понятие, но за маркетолозите основната цел е да получат ясно съгласие от аудиторията си преди да започнат да събират и обработват личните данни.

Ако CRM системата ви помага да събирате данни за контакт, както и да организирате и анализирате тези данни, в нея трябва да можете да създавате формуляри, които са съвместими с изискванията на GDPR. Когато потребител се регистрира при вас или предостави данни в замяна на информация, той трябва да може да потвърди съгласието си да използвате данните му чрез поставяне на отметка във формуляра. Трябва, също така, да е посочено ясно разяснение защо са ви необходими исканите данни и какво възнамерявате да правите с тях.

Ако използвате инструмент като Hubspot или Salesforce, сравнително лесно ще можете да постигнете изискването чрез добавяне на собствени отметки във формулярите за записване и регистрация. Там можете да създавате собствени отметки и текстове, които да обяснят правата на потребителите и обработката на данните, която ще извършвате.

Уверете се, независимо каква CRM система използвате, че в нея има възможност за записване на даденото съгласие, кога и как сте го получили, както и всички актуализации, които са направени за даване или оттегляне на съгласие. Трябва да можете да докажете, че сте получили съгласие за всеки един запис от базата данни.

Управление на абонаментите

GDPR въвежда изискването потребителите да имат право да променят мнението си и да оттеглят вече дадено съгласие. Това трябва да се случва интуитивно и да не е по-сложно, отколкото даването на съгласие. Не може,например, даването на съгласие да е чрез поставяне на отметка, а оттеглянето – чрез обаждане или свързване с оператор. Необходима е функционалност за управление на абонаментите.

Имейл кампаниите, които изпращате трябва да съдържат възможност за прекратяване или управление на абонамента. Евентуално потребителите трябва да бъдат отвеждани на страница в сайта, където да могат да избират дали и какви маркетингови съдържания желаят да получават. Водещите външни платформи предлагат възможност за настройки и прекратяване на абонамента, но ако използвате друга (собствена) услуга, трябва да подсигурите такава възможност.

Управление на данните

За съответствие с GDPR вероятно ще се наложи да бъдат направени редица промени в базата данни с контакти. Подходящ CRM софтуер със съответните функционалности може да помогне много и да спести време и средства в този процес.

След като идентифицирате с какви лични данни разполагате, трябва да направите промени, за да записвате откъде са дошли данните, правното основание да ги притежавате и за какво ще ги използвате.

GDPR налага физическите лица да имат право да поискат достъп до своите данни. CRM софтуерът трябва да предлага възможност за бързо извличане и експортиране на данни за потребител, когато той пожелае достъп. Уверете се, че имате тази функционалност и че можете да извличате личните данни на клиент в CSV файл, който да му предоставите, ако той пожелае това.

GDPR вече се прилага (от 25 май 2018 г.) и е добре да бъдете активни в предприемането на стъпки към съвестимост, вместо да чакате регулаторните органи да започнат да налагат санкции – тогава може да е късно, а може и да сте сред първите, които ще отнесат глобата…

Categories
Помощни материали

От къде да подхванете съвместимостта с GDPR?

Loading

До прилагането на всички изисквания от Регламент (ЕС) 2016/679 или по-популярен като GDPR остава по-малко от месец. Дори вече има публично обсъждане за изменения и допълнения към Закона за защита на личните данни, та малко от малко нещата започнаха да придобиват по-сериозен вид. Доскоро беше само хаос, някакви свободни съчинения и опити за тълкуване на по-спорните точки от Регламента. И санкциите в размер на 20 мнл евро…

Все повече фирми започнаха да се опитват да прилагат едно или друго изискване, други още не знаят от къде да я подхванат…

Ако се чудите какво да правите, ето няколко основни точки, от които можете да започнете.

Разберете с какви данни разполагате и къде са те

Ще ви е нужен не сложен, а задълбочен процес по идентифициране с какви лични данни разполагате, как ги използвате и как ги съхранявате (както и за колко време). Например ако се изпраща имейл бюлетин/нюзлетър, това трябва да се има предвид и да бъде отбелязано. Ето няколко важни детайла:

  • В кои отдели се събират и обработват лични данни.
  • Къде се съхраняват данните – в офиса, при трета страна (обработваща данните), в сайта, в облак…
  • Ако обработката на данни се аутсорсва (външно счетоводство, външен маркетингов отдел и пр.), идентифицирайте обработващия и каква система използва за обработката.
  • От къде идватр данните, от къде се събират (лично в офиса, от сайта, мобилни приложения, други източници).
  • Как се използват различните типове данни и за какви цели се използват те.
  • Кой друг има достъп до данните.
  • Какъв тип съгласие е получено при предоставяне на данните и къде се съхранява документацията.

Тази информация (както и всички затруднения при откриването ѝ) ще ви даде ясна представа за това колко още работа ви остава, за да постигнете съответствие с GDPR. Като допълнение, изключително важно е да имате възможност да изтривате или анонимизирате лични данни при заявка за това.

Разработете или актуализирайте политика за поверителност

Политиката за поверителност трябва ясно да изразява вашето желание за придържане към „духа на закона“ за защита на личните данни. Не е добра идея да твърдите, че сте в съответствие с GDPR, в случай, че не сте. Отбележете отдадеността си за защита на клиентите и ги уверете, че активно работите, за да покриете изискванията на GDPR. И наистина го правете!

Създайте си план за действие

Открийте всяко изскване според GDPR, което все още не сте изпълнили и го възложете на екипа си – да изготви план за действие (и предприемане на реални действия) за постигане на съвместимост. Ето няколко конкретни области:

  • Отчетност и управление.
  • Получаване на съгласие и обработване на лични данни.
  • Лични данни на деца.
  • Известия (за клиенти/за служители).
  • Права и процедури.
  • Поддържане на регистри.
  • Защита на данните на ниво проектиране.
  • Известие при нарушаване целостта на данните.
  • Локализиране на данните.
  • Договорни отношения.

Познаване на потребителите и източниците на данни

Едно от основните ключови изисквания за съвместимост с GDPR е разбирането какви лични данни се събират и къде се съхраняват. Това в началото изглежда много сложно, но ако бъде разделено на отделни елементи, става по-лесно за разбиране и управление. Например:

  • Кои са отделите или екипите, които събират лични данни?
  • Какъв хардуер и софтуер се използва за събиране на лични данни? Той под пряк контрол на фирмата ли е или е разположен в облака?
  • какви са източниците, от които потребителите споделят личните си данни? (напр. уебсайтове, мобилни приложения и пр.)
  • Как се обработват личните данни и с каква цел?
  • Къде се съхраняват данните и ако се споделят извън фирмата, с кого и защо?
  • Поискано ли е съгласието на потребителите за събирането на техните лични данни? Ако да, кога?

Това е добра отправна точка. Тази информация ще ви даде представа за съвместимостта ви с изискванията на GDPR. Всяко затруднение при отговаряне на тези въпроси е добра индикация къде ще срещнете предизвикателство при спазване на изискванията на GDPR, напр. при искане за псевдонимизация или заличаване на данни.

Изключение ли са данните, събрани преди 25 май 2018?

Не. Няма такава клауза в Регламента. Вече съществуващите данни са обект на същите изисквания, както и данните, събрани след 25 май. Някои фирми вече започнаха да искат от потребителите си за съгласието им, в съответствие с новите стандарти. Други може би ще предпочетат да изтрият наличните данни и да започнат отначало по подходящ начин – всеки решава кое е по-добре за бизнеса му.

Кой трябва да е отговорен за съвместимостта с GDPR?

Регламентът не посочва изрично кой във фирмата трябва да се заеме със съвместимостта и изискванията на GDPR. Най-общо казано, идеалният човек е упълномощен и подкрепян от висшето ръководство да ръководи процеса по привеждане на съвместимост, както и следенето за прилагането на изискванията след това. Добре е да има интерес и познания в юридическите теми, да може да води преговори и да изгражда взаимоотношения.

Не мога ли да си купя някакъв инструмент или услуга, чрез която да се случат нещата по-лесно?

За съжаление няма един-единствен инструмент или услуга, които да помогнат и да гарантират 100% съвместимост с всички изисквания на Регламента. Да, има инструменти, които са в полза за различни аспекти, основно по отношение на техническите изисквания, но няма едно-единствено решение, което да ви гарантира 100% съвместимост. Отделно, че има немалко документация, която трябва да изготвите сами, според спецификата и изискванията на бизнеса ви.