RODO a CRM - 7 wymagań, których nie pomijaj
CRM przechowuje setki tysięcy rekordów osobowych - imię, email, telefon, historia kontaktów, notatki handlowca. Audyt RODO bez problemu znajduje 5-10 nieprawidłowości w typowym wdrożeniu. Poniżej 7 wymagań, których nie pomijaj.
TL;DR
Każdy CRM przechowujący dane osobowe wymaga: podstawy prawnej, prawa dostępu/usunięcia, hostingu w UE, logu audytowego, DPA z dostawcą, retencji, breach notification.
1. Podstawa prawna przetwarzania
Dla każdej kategorii danych musisz określić podstawę prawną z art. 6 RODO: zgoda, umowa, obowiązek prawny, ochrona życia, interes publiczny, lub uzasadniony interes. Typowo dla CRM: 'realizacja umowy' (klienci), 'uzasadniony interes' (leady), 'zgoda' (marketing).
2. Prawo dostępu, sprostowania, usunięcia
Klient ma prawo: wiedzieć jakie dane przechowujesz (art. 15), poprawić błędne (art. 16), usunąć (art. 17). CRM musi to umożliwiać programatycznie - bez prośby do działu prawnego. Typowo: button 'eksport danych klienta' i 'anonimizacja klienta' w panelu admina.
3. Hosting w UE i transfery danych
Po wyroku Schrems II (2020) transfery danych do USA wymagają specjalnych zabezpieczeń. Najprostsze rozwiązanie: hosting w UE. Salesforce/HubSpot mają datacenters w UE, ale dane czasami trafiają do USA przez subprocessor'ów. Open source CRM hostowany na własnej infrastrukturze w UE = zero ryzyka.
4. Log audytowy zmian danych
Art. 30 RODO wymaga 'rejestru czynności przetwarzania'. W praktyce CRM: log każdej zmiany rekordu osobowego (kto, co, kiedy, dlaczego). Open Mercato ma to wbudowane. W Salesforce - osobny moduł 'Field Audit Trail' (płatny). W Excelu - nie ma. Audyt RODO bez logu = niezgodność.
5. Umowa powierzenia (DPA) z dostawcą
Jeśli używasz SaaS CRM (Salesforce, HubSpot) - dostawca jest 'procesorem' Twoich danych. Wymaga podpisania DPA. Każdy duży dostawca ma swój wzór. Jeśli używasz open source hostowanego przez agencję - DPA z agencją. Jeśli self-hosted - DPA niepotrzebne (nie ma 'dostawcy').
6. Polityka retencji danych
Dane osobowe można przechowywać tylko 'tak długo jak są potrzebne'. Typowe retencje: klienci aktywni - czas relacji + 6 lat (księgowość), leady - 12 miesięcy od ostatniego kontaktu, byli pracownicy - 50 lat (kadry). CRM musi automatycznie anonimizować dane po retencji.
7. Procedura zgłoszenia naruszeń
Art. 33 RODO: 72h na zgłoszenie naruszenia do organu nadzorczego (UODO w Polsce). W praktyce: musisz mieć procedurę 'jak wykryjemy wyciek, kto powiadamia kogo, w jakim formacie'. Większość firm nie ma - i to się okazuje dopiero po incydencie.
Lista kontrolna RODO dla CRM
Krótka lista do walidacji: (1) Mam dokument 'podstawy prawne przetwarzania' per kategoria danych? (2) System pozwala wyeksportować/usunąć dane konkretnego klienta? (3) Hosting w UE? (4) Działający log audytowy? (5) DPA z dostawcą podpisana? (6) Polityka retencji wdrożona? (7) Procedura breach notification gotowa?
Co jeśli czegoś brakuje
Kary RODO sięgają 4% rocznego obrotu lub 20 mln EUR. Polskie UODO nakłada 50-300 tys. zł typowo. Nawet bez audytu - klient może zgłosić skargę i kary lecą. Lepiej zainwestować 1-2 dni w wdrożenie 7 wymagań niż czekać na incydent.
Chcesz audyt RODO Twojego CRM? Pomożemy.
Umów rozmowę