Českomoravská stavební spořitelna, jedna z top bank v České republice, zpracovává v rámci své každodenní agendy enormní množství osobních údajů o klientech. Ty následně shromažďuje a ukládá do svých systémů. I přes vysokou míru zabezpečení a ochrany osobních údajů však společnost ČMSS musela podstoupit několik zásadních kroků a změn směrem k tomu, aby byla v souladu se směrnicemi GDPR.
Směrnice GDPR vejde v platnost již brzy a v některých případech s sebou přináší potřebu reimplementovat a poupravit stávající systémy. V případě, že počáteční analýza identifikuje potřebu provést změny v systému, společnostem nezbývá než pro splnění nařízení tyto změny implementovat.
Jaké změny bylo nutné zapracovat do informačního systému Českomoravské stavební spořitelně a jak v praxi vypadala reimplementace směrem k zajištění souladu CRM s GDPR?
Při implementaci GDPR ve společnosti ČMSS byla v prvotní fázi analýzy do projektu zapojena konzultační společnost Deloitte, která společně s IT, business garanty a právníky zkoumala a definovala jednotlivé účely evidence a zpracování osobních údajů. Výsledkem této analýzy byly návrhy k zabezpečení souladu informačních systémů s nařízením GDPR ve společnosti ČMSS.
Návrhy vyplývající z analýzy vedly následně v ČMSS k definovaný požadavků na úpravu všech systémů, které obsahují nebo pracují s evidencí osobních údajů osob.
Takovým systémem je i CRM (systém pro řízení vztahů se zákazníky), který jsme ve společnosti ČMSS implementovali ještě v průběhu minulého roku na platformě Microsoft Dynamics CRM. Ve spojitosti s CRM řešením bylo nezbytné z hlediska GDPR zapracovat do systému následující 3 reimplementační požadavky:
1) Požadavek na zajištění evidence a zpracování žádostí subjektů údajů
Očekáváný výsledek implementace požadavku: Po novém budou moci pracovníci ČMSS evidovat žádosti subjektů údajů týkajících se GDPR, které jim nařízení GDPR přiznává.
Jedná se o následující žádosti:
V rámci této implementace v ČMSS byla rozšířena doposud existující agenda CRM pro evidenci a správu Klientských podání, aby nově mohla evidovat i tzv. GDPR žádosti a k nim potřebné náležitosti.
2) Požadavek na zajištění evidence souhlasu osob pro různé účely v rámci společnosti ČMSS
Očekáváný výsledek implementace požadavku: CRM ve společnosti ČMSS je systém evidující a konsolidující osoby a klienty. Byla navržena nová struktura pro ukládání souhlasu i odvolání souhlasu poskytnutých subjektem údajů. CRM se tak stává pro ostatní systémy zdrojem informací o poskytnutých a odvolaných souhlasech osob.
3) Požadavek na zabezpečení zneplatnění/výmazu dat
Očekáváný výsledek implementace požadavku: Pokud uběhne lhůta, kdy společnost ČMSS již není oprávněna spravovat osobní údaje osob (a neexistuje žádný oprávněný účel pro zpracovávání osobních údajů subjektu údajů), je potřeba data mazat nebo anonymizovat. Systém CRM bude zabezpečovat provedení těchto operací nad daty, které jsou v tomto systému spravovány.
Výsledný postoj k GDPR?
Je nutno zmínit, že zabezpečení souladu s nařízením GDPR neznamená vždy pro společnosti, kterých se GDPR týká, nutnost reimplementace jejich systémů. Velmi důležitá je počáteční analýza – až ta identifikuje nálezy, které je nutné pro splnění nařízení vyřešit. Způsob řešení či realizace však může být různý, záleží na každé společnosti, jaký přístup k naplnění zákonného nařízení zvolí.
Pokud u vás analýza odhalila potřebu reimplementovat CRM řešení, neváhejte se na nás obrátit se zabezpečením potřebných požadavků. Postaráme se o to, aby byly vaše systémy v souladu s GDPR.