כיצד ניתן לרתום את מערכת ה-CRM לטובת רגולציית ה-GDPR?

בתוך כ-100 ימים, רגולציית הפרטיות החדשה של האיחוד האירופי, ה-GDPR תיכנס לתוקפה. רגולציה זו מטילה דרישות קפדניות על הדרך שבה עסקים נוהגים לאסוף, לאחסן ולנהל נתונים אישיים.

הרבה מאוד מן החברות משתמשות במערכת CRM על מנת לעבד ולאחסן את הנתונים שלהם בארגון – הן של עובדי הארגון והן של הלקוחות (הקיימים או הפונציאליים).

אם בשלב הזה החברה בה אתם עובדים אינה מכירה או מתכוננת למאי 2018, המועד בו תיכנס רגולציית הפרטיות לתוקף, הנה מה שצריך לדעת:

רגולציית ה-GDPR מספקת לאזרחי האיחוד האירופי שליטה רבה יותר על הנתונים האישיים שלהם ומבטיחה שהמידע שלהם מוגן היטב ברחבי אירופה, בין אם עיבוד הנתונים מתרחש באיחוד האירופי ובין אם לאו.

נתונים אישיים יכולים להיות שם, כתובת דוא"ל, כתובת מגורים, תאריך לידה, אינטרסים אישיים, מזהים ייחודיים, עקבות דיגיטליים ועוד.

בדרך כלל, זהו סוג הנתונים שאתה שומר במערכת CRM.

הרגולציה מעלה לדיון שתיי נקודות עיקריות שיש לתת את הדעת עליהן – הסכמה והזכות להישכח.

● הסכמה – חברה תידרש להוכיח כי יש בידה הסכמה מצד המשתמש לאסוף עליו פרטים אישיים וליצור קשר עימו. כמו כן, על החברה לציין בבירור, בשלב איסוף הנתונים של אדם, מה הנתונים שנאספים ולמה הם ישמשו. לדוגמה, לשיווק, לתמיכה במוצר או למטרות חשבונאיות.

● הזכות להישכח – הזכות להישכח דורשת מהחברה לאפשר הסרה של כל זכר של אדם כאשר הוא מבקש זאת. וזה לא אומר רק למחוק אותם ממסד הנתונים שלך, אלא גם מכל הקבצים האחרים שעשויים להיות בארכיון.

משמעות הדבר היא שרגולציית ה-GDPR משפיעה על מחלקות רבות בארגון – מחלקות השיווק, המכירות, משאבי אנוש ושירות הלקוחות, וכל הנתונים האישיים צריכים להיות מטופלים בצורה מקצועית יותר.

החדשות הטובות הן שלרגולציה ולמערכות ה-CRM יש הרבה במשותף, שכן הן ה-GDPR והן ה-CRM עוסקים בבניית אמון עמוק יותר ונאמנות ללקוחות חדשים וקיימים באמצעות טיפול מקצועי, "שקוף" ואמין בנתונים האישיים של המשתמשים.

לזקק את התהליך

על מנת לשמור על המצב הנ"ל, חברה המחזיקה נתונים אישיים של משתמשים במערכת CRM, צריכה לוודא מהו התהליך העסקי הקיים בארגון, דרכו מוכנסים הנתונים למערכת. האם התהליך הינו אוטומטי או ידני? על מנת ל"זקק" את התהליך הנ"ל, ההמלצה הינה כי כדאי יהיה לנקות את הנתונים הקיימים במערכת. לשם כך, יש להבין מאיפה הנתונים הקיימים הגיעו, האם יש בהם עוד צורך, האם הנתונים האלו עדיין בתוקף, והאם עדיין יש לארגון הרשאה ליצור קשר עם המשתמשים שהנתונים שלהם מצויים במערכת.

בכל רגע נתון, על הארגון להיות מודע לכל הנתונים והתהליכים העסקיים בהם נתונים אלו מעורבים. כמו כן, מנקודה זו ואילך, על מנת להבטיח כי הנתונים בעתיד נאספים עם הסכמה מפורשת מצד המשתמשים, יש לדאוג למנגנון ניהול הרשאות ה-opt-in עם ציון תאריך הפעילות.

מעבר לגילוי כל שדות הנתונים האישיים במערכת, ניהול אופן השימוש בהם והגישה אליהם, יש צורך בקביעת בקרות אבטחה כדי למנוע, לזהות ולהגיב על פגיעויות והפרות נתונים. אחת הדרישות העיקריות שרגולציית ה-GDPR מעלה הינה היכולת לזהות אירוע של דליפת מידע ולהיות מסוגל לדווח על כך תוך 72 שעות לרשויות.

מערכת CRM התומכת ביכולת של הארגון להכיר את התהליכים העסקיים, את מבנה הנתונים והבקרות עליהם, תהיה חלק מהמערך התומך של הארגון בתהליך המורכב של המוכנות לרגולציה. במידה ומערכת ה-CRM הנוכחית בארגון אינה תומכת בדרישות הרגולציה, יש צורך בהפניית המשאבים והמאמצים לארגון מחדש, לפני שיהיה מאוחר מדי!

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.