Novinky

ČMSS: Jak probíhá implementace GDPR v praxi?

Českomoravská stavební spořitelna, jedna z top bank v České republice, zpracovává v rámci své každodenní agendy enormní množství osobních údajů o klientech. Ty následně shromažďuje a ukládá do svých systémů. I přes vysokou míru zabezpečení a ochrany osobních údajů však společnost ČMSS musela podstoupit několik zásadních kroků a změn směrem k tomu, aby byla v souladu se směrnicemi GDPR.

GDPR v ČMSS

Nařízení GDPR a jeho důležitost

Směrnice GDPR vejde v platnost již brzy a v některých případech s sebou přináší potřebu reimplementovat a poupravit stávající systémy. V případě, že počáteční analýza identifikuje potřebu provést změny v systému, společnostem nezbývá než pro splnění nařízení tyto změny implementovat.

Jaké změny bylo nutné zapracovat do informačního systému Českomoravské stavební spořitelně a jak v praxi vypadala reimplementace směrem k zajištění souladu CRM s GDPR?

 

První krok: Analýza

Při implementaci GDPR ve společnosti ČMSS byla v prvotní fázi analýzy do projektu zapojena konzultační společnost Deloitte, která společně s IT, business garanty a právníky zkoumala a definovala jednotlivé účely evidence a zpracování osobních údajů. Výsledkem této analýzy byly návrhy k zabezpečení souladu informačních systémů s nařízením GDPR ve společnosti ČMSS.

 

Druhý krok: Implementace požadavků

Návrhy vyplývající z analýzy vedly následně v ČMSS k definovaný požadavků na úpravu všech systémů, které obsahují nebo pracují s evidencí osobních údajů osob.

Takovým systémem je i CRM (systém pro řízení vztahů se zákazníky), který jsme ve společnosti ČMSS implementovali ještě v průběhu minulého roku na platformě Microsoft Dynamics CRM. Ve spojitosti s CRM řešením bylo nezbytné z hlediska GDPR zapracovat do systému následující 3 reimplementační požadavky:

 

1) Požadavek na zajištění evidence a zpracování žádostí subjektů údajů

Očekáváný výsledek implementace požadavku: Po novém budou moci pracovníci ČMSS evidovat žádosti subjektů údajů týkajících se GDPR, které jim nařízení GDPR přiznává.

Jedná se o následující žádosti:

  • Právo subjektu údajů na přístup k osobním údajům (Right of access by the data subject)
  • Právo subjektu údajů na opravu (Right to rectification)
  • Právo subjektu údajů na výmaz – “právo být zapomenout” (Right to Erasure)
  • Právo subjektu údajů na omezení zpracování (Right to restriction of processing)
  • Právo subjektu údajů na přenositelnost údajů (Right to data portability)
  • Právo subjektu údajů vznese námitky (Right to object)
  • Právo nebýt subjektem automatizovaného individuálního rozhodování, včetně profilování (Automated individual decision-making, including profiling)

V rámci této implementace v ČMSS byla rozšířena doposud existující agenda CRM pro evidenci a správu Klientských podání, aby nově mohla evidovat i tzv. GDPR žádosti a k nim potřebné náležitosti. 

2) Požadavek na zajištění evidence souhlasu osob pro různé účely v rámci společnosti ČMSS

Očekáváný výsledek implementace požadavku: CRM ve společnosti ČMSS je systém evidující a konsolidující osoby a klienty. Byla navržena nová struktura pro ukládání souhlasu i odvolání souhlasu poskytnutých subjektem údajů. CRM se tak stává pro ostatní systémy zdrojem informací o poskytnutých a odvolaných souhlasech osob.


3) Požadavek na zabezpečení zneplatnění/výmazu dat 

Očekáváný výsledek implementace požadavku: Pokud uběhne lhůta, kdy společnost ČMSS již není oprávněna spravovat osobní údaje osob (a neexistuje žádný oprávněný účel pro zpracovávání osobních údajů subjektu údajů), je potřeba data mazat nebo anonymizovat. Systém CRM bude zabezpečovat provedení těchto operací nad daty, které jsou v tomto systému spravovány. 

 

Výsledný postoj k GDPR?

Je nutno zmínit, že zabezpečení souladu s nařízením GDPR neznamená vždy pro společnosti, kterých se GDPR týká, nutnost reimplementace jejich systémů. Velmi důležitá je počáteční analýza – až ta identifikuje nálezy, které je nutné pro splnění nařízení vyřešit. Způsob řešení či realizace však může být různý, záleží na každé společnosti, jaký přístup k naplnění zákonného nařízení zvolí.

Pokud u vás analýza odhalila potřebu reimplementovat CRM řešení, neváhejte se na nás obrátit se zabezpečením potřebných požadavků. Postaráme se o to, aby byly vaše systémy v souladu s GDPR.

Potřebujeme reimplementovat naše CRM