Zgodnie z treścią RODO, producent, dostawca oprogramowania, czy sam system, jakkolwiek rozbudowany by nie był, nie ponoszą odpowiedzialności za dopełnienie norm określonych w rozporządzeniu. Te kwestie pozostają w gestii administratora oraz podmiotu przetwarzającego dane osobowe, tj. organizacji, która się nimi posługuje. System IT może być narzędziem do osiągnięcia zgodności z RODO, ale sam w sobie nie jest jej definicją.
Pamiętaj!
Wdrożenie RODO w rozumieniu pozyskania nowego oprogramowania mija się z celem i jest niewystarczające.
W kontekście nowych przepisów należy postępować dwutorowo, tzn. zapewnić synergię podejścia prawnego oraz koncepcji organizacyjnej (w tym systemu IT, ale nie tylko). Konieczne są: analiza wewnętrznych procedur, dostosowanie obowiązujących procesów do nowych przepisów (oba etapy najlepiej we współpracy z kancelarią prawną), a dopiero na końcu – przełożenie otrzymanych wniosków na system informatyczny.
Jak wykorzystać oprogramowanie IT w celu uzyskania zgodności procesu biznesowego z RODO?
Z RODO zgodny musi być każdy proces biznesowy, w którym przetwarzane są dane osobowe. Nie istnieje system IT w swej naturze zgodny z RODO. Można go natomiast przystosować, by służył firmie jako narzędzie do osiągania tego nadrzędnego celu. Na tym właśnie polega przewaga oprogramowania Open Source, gdyż takowe można dowolnie kastomizować.
Oto kilka powodów, dla których w kontekście RODO najlepiej sprawdza się oprogramowanie Open Source.
Sugar a RODO
Aplikacja firmy SugarCRM nadaje się raczej dla dużych korporacji o bardzo rozbudowanych wymaganiach. Sugar to jeden z liderów na rynku, stawiany w tym samym szeregu co Salesforce i Microsoft Dynamics CRM. SuiteCRM proponujemy tym firmom, które na rzecz oszczędności na licencjach są w stanie poświęcić pewne udogodnienia z zakresu User Experience.
SugarCRM wydał właśnie najnowszą edycję swojego produktu: Sugar 8.0 (on-premise) tudzież Sugar Spring’18 (chmura producenta). Oba warianty są komplementarne i oferują użytkownikom ten sam pakiet funkcjonalności. Z pewnością najbardziej zauważalnym usprawnieniem jest całkowicie odświeżony interfejs systemu. Nie na tym jednak chcemy się teraz skupić. SugarCRM rozbudował bowiem architekturę swojego produktu o dodatkowy moduł o nazwie Ochrona danych osobowych! Jest to zdecydowanie największa zmiana w kontekście przepisów RODO.
Od 25 maja 2018 każdy z podmiotów przetwarzających lub administrujących danymi osobowymi na dużą skalę, zobowiązany jest wyznaczyć inspektora danych osobowych. Wspomniany obszar systemu Sugar ma za zadanie usprawniać pracę takiej osoby. Z założenia widoczny jest tylko dla osób, którym przypisano rolę Manager Danych Osobowych. Użytkownicy o uprawnieniach z zakresu administrowania danymi osobowymi, posiadają szeroki dostęp do rekordów tworzących moduł. Sam obszar skonstruowano w formie powiązanej relacją z Odbiorcami, Namiarami, Kontaktami i Kontrahentami listy. Dzięki oprogramowaniu Sugar 8.0 możliwe jest zatem uporządkowanie procesu przechowywania informacji o zgodach, ograniczeniach, sprzeciwach, sprostowaniach i innych procesach związanych z obsługą wiedzy na temat Twoich klientów, partnerów i pracowników.
Każdemu z rekordów w ramach modułu Ochrona danych osobowych można nadać właściwy typ, status i priorytet. Ponieważ zgody na przetwarzanie danych osobowych udziela się w określonym celu, a w niektórych przypadkach nawet na wskazany okres – system pozwala śledzić i te bardziej szczegółowe informacje.
Każda z poszczególnych pozycji jest klikalna i zawiera szeroki kontekst przetwarzanych przez firmę danych osobowych. Z poziomu tego widoku można administrować informacjami takimi jak: status, typ, priorytet, źródło, przeznaczenie, czy data wyrażenia i data wygaśnięcia zgody.
W dalszej części uwidocznione są pozostałe obszary systemu pozostające w relacji z rekordem w ramach modułu Ochrona Danych Osobowych. W ten sposób uwidocznione są wszystkie przechowywane, powiązane z konkretną osobą informacje. Usprawnia to miedzy innymi procedurę reagowania na wniosek o udostępnienie wiedzy na temat przetwarzanych przez firmę danych.
Użytkownik posiadający właściwe uprawnienia może również bezpośrednio z tego miejsca w systemie usuwać informacje na wniosek osoby, której one dotyczą. Po wybraniu opcji „Zaznacz do usunięcia” pojawia się lista przechowywanych danych osobowych.
Zaledwie kilka klików wystarczy, aby na trwałe usunąć odpowiednie dane. Po wykonaniu tej czynności w miejscu, w którym wcześniej znajdowała się niepożądana informacja, system wyświetla baner „Wartość usunięta”.
Dzięki opisanej funkcji w prosty sposób wywiążesz się ze zobowiązania nałożonego przez RODO, tj. usunięcia danych na wniosek osoby, której one dotyczą. Jednocześnie zachowasz ślad po tym, że do pewnego czasu Twoja firma była w posiadaniu rzeczonej informacji.
RODO a Kampanie E-mail w systemie Sugar
Ważny element systemu, w kontekście zapewnienia zgodności procesów biznesowych z przepisami RODO, stanowi mechanizm opt-in oraz opt-out dla kampanii marketingowych. Korzystając z oprogramowania Sugar istnieje możliwość takiego przygotowania formularzy web-to-lead, aby zapewnić zgodną z RODO procedurę zapisu do i wypisu z newslettera. W praktyce polega to na dołączeniu do pola „adres e-mail” odpowiedniego check-boxu.
W ten sposób w dość wygodny sposób odróżnisz adresy E-mail, na które możesz kierować przekaz reklamowy od tych, które powinny być wykorzystywane wyłącznie w celach komunikacji biznesowej, zgodnie z podstawową treścią zgody na przetwarzanie danych osobowych.
PAMIĘTAJ!
Ponieważ Sugar pozostaje systemem o otwartym kodzie, we współpracy z wykwalifikowaną firmą wdrożeniową dokonasz w nim dowolnych przeobrażeń. Zaproponowany przez producenta moduł Ochrona Danych Osobowych, można opatrzyć dodatkowymi automatyzacjami (przy pomocy narzędzia Process Author lub dzięki pracom deweloperskim).
SuiteCRM a RODO
Producent SuiteCRM w dostosowaniu systemu do przepisów RODO skupił się przede wszystkim na elemencie kampanii mailingowych. Podobnie jak w przypadku Sugar 8.0, do aktualnej wersji oprogramowania SuiteCRM, dodano mechanizm potwierdzonego opt-in (double opt-in). Po wypełnieniu formularza web-to-lead (przygotowanego w SuiteCRM), na wskazany adres E-mail trafia automatycznie generowana wiadomość z linkiem do potwierdzenia intencji zapisu. Jeżeli osoba, która wypełniła formularz, nie potwierdzi w ten sposób zgody na wykorzystanie maila, żadne treści nie będą mogły być na niego kierowane. Jest to zabezpieczenie, które blokuje możliwość podania cudzego maila do komunikacji marketingowej. Tylko osoba, która ma dostęp do skrzynki pocztowej może zwrotnie potwierdzić wyrażenie zgody.