CDESK 3.x obsahuje nástroje a funkcionality, ktoré výrazne pomáhajú pri riešení problematiky GDPR.
Funkcie CDESKu, ktoré vám pomôžu s GDPR
Spracovanie osobných údajov v každom zo spôsobov využitia CDESK-u sa riadi príslušným právnym základom. CDESK je navrhnutý primárne na plnenie zmluvných služieb alebo objednávok a súvisiacej obchodnej činnosti. Údaje v ňom je možné využiť nielen v marketingu, ale tiež k vedeniu samotnej agendy k GDPR. Príkladom je evidencia výkonu práv dotknutých osôb v rámci helpdesk funkcionality alebo pripravovaná správa súhlasov.
CDESK 3.0 – prehľad funkcií, ktoré prispievajú k naplneniu GDPR:
- Riadenie prístupov k údajom v detailnej štruktúre.
- Auditovací modul, logujúci aktivitu používateľov, ako prevenciu k úniku údajov (v prípade, že k úniku dôjde, je možné určiť jeho rozsah).
- Štruktúrované výpisy údajov o dotknutej osobe (vo väzbe na kontakt), s fulltextovým vyhľadávaním v celom systéme.
- Export dát v štruktúrovanej podobe pre zabezpečenie prenositeľnosti údajov.
- Rozšírené regulovanie odosielaných informácií z CDESKu (blokovanie notifikácií rôzneho druhu), aby bolo možné vyhovieť námietke rozsahu odosielaných mailov.
- Používanie výhradne šifrovaných prenosov do/z CDESKu.
- Voliteľné zneprístupnenie jednotlivých modulov, kde sa nachádzajú osobné údaje (napr. Adresár, Požiadavky).
Pripravované funkcie:
- Modul na manažment súhlasov, ktorý môžete využiť v súčinnosti s databázou kontaktov. Evidencia súhlasov, ktoré prichádzajú z rôznych zdrojov, môže byť obtiažna. CDESK preto v krátkej dobe prinesie možnosť uložiť súhlas jednoduchým spôsobom, evidovať udelený rozsah súhlasu a použiť ho pre zostavovanie príjemcov kampaní či iných aktivít. Taktiež nebudete mať problém súhlas preukázať alebo spracovať jeho odvolanie.
- Voliteľná rotácia hesiel.
- Voliteľná dvojitá autorizácia pri vstupe do systému.
- Archív vymazaných údajov, s nastaviteľnou retenciou a možným okamžitým trvalým zmazaním (pre vykonateľnosť „práva na zabudnutie“).
- Podľa účelu, na ktorý CDESK používate, bude možné doplniť oznámenia na plnenie informačnej povinnosti o spracovaní osobných údajov (bežne ich nepotrebujete, keďže sú to obvykle údaje spracovávané za účelom plnenia zmluvy/objednávky a budete o nich informovať v príslušnom dokumente, napr. v zmluve či vo Vyhlásení o ochrane osobných údajov).
- Opatrenia na automatické vymazávanie (retenciu) údajov.
Budeme priebežne reagovať na podnety z praxe a pokiaľ sa ukáže potreba ďalších funkcionalít, zvážime ich zapracovanie.
Zodpovednosť a sprostredkovateľská zmluva
Za ochranu osobných údajov zodpovedá Prevádzkovateľ, čiže vy. Vyplýva to z toho, že ak poskytujete služby vašim zákazníkom vo vašom mene, ste z pohľadu ochrany osobných údajov Prevádzkovateľom. Naša spoločnosť, výrobca produktu CDESK, je váš dodávateľ, ktorý spracováva údaje vo vašom mene. Preto sme, z pohľadu terminológie GDPR, Sprostredkovateľ.
Čo z toho vyplýva? Pokiaľ máte v CDESKU uložené osobné údaje vašich zákazníkov, odporúčame vám s nami uzatvoriť sprostredkovateľskú zmluvu. Jej návrh máme pre vás pripravený.
CDESK a váš GDPR projekt
CDESK pri obvyklom použití obsahuje osobné údaje, čiže informácie, na základe ktorých je možné jednoznačne identifikovať fyzickú osobu. Ide napríklad o meno, priezvisko, adresu, kontaktné údaje (email, telefón), IP adresu, prípadne ďalšie. Pokiaľ je CDESK používaný ako helpdesk, do ktorého môžu zadávať údaje aj vaši zákazníci, znamená to ďalšie vkladanie osobných údajov. Všetky tieto informácie môžu mať závažný spoločenský dopad na dotknutú osobu.
Odporúčame preto zvážiť zaradenie CDESKu do vášho GDPR projektu:
- Popísať rozsah spracovávaných osobných údajov.
- Popísať, ktoré údaje spracovávate manuálne a ktoré automatizovane.
- Zvážiť, či všetky údaje potrebujete a či sú adekvátne k účelu (tzv. „minimalizácia rozsahu spracovávaných údajov“).
- Určiť právny základ spracovania (na plnenie zmluvy, oprávnený záujem, vyžadovaný súhlas dotknutej osoby, zákonné spracúvanie, atď.).
- Určiť oprávnené osoby, tj. pracovníkov, ktorí majú k údajom prístup.
- Zaškoliť oprávnené osoby a písomne doložiť prenesenie zodpovednosti (poučenie).
- Zvážiť, kto potrebuje prístup k aktuálnemu rozsahu údajov (tzv. „minimalizácia prístupov“).
- Určiť čas potrebný na uchovávanie údajov – určenie času retencie (vymazania).
- Právne ošetriť prevzatie zodpovednosti s dodávateľom a poskytovateľom podpory, ktorý spracováva osobné údaje vo vašom mene. V prípade CDESKu ide o vyššie uvedenú Sprostredkovateľskú zmluvu s našou spoločnosťou.
- Ak poskytujete služby prostredníctvom CDESKu pre klientov, odporúčame rozšíriť vaše zmluvy a formuláre objednávok o súhlas so spracovaním údajov, ktorý bude zahrňovať aj CDESK (môže to byť súčasť vášho „Vyhlásenia o ochrane OÚ“).
- Popísať, ako sú údaje po technickej stránke chránené (najmä, ak poskytujete riešenia typu „on premises“).
- Pripraviť postup na plnenie práv dotknutých osôb.
Bonus: Tip na využitie CDESKu pre vybavovanie žiadostí dotknutých osôb
CDESK môžete efektívne využiť na vybavovanie žiadostí, týkajúcich sa práv dotknutých osôb. Tieto môžu byť doručené na váš e-mail alebo získané importom z formuláru, ktorý máte na vašom webe. Z pohľadu dodržania GDPR legislatívy je kriticky dôležité plniť časové limity a práve v tom vám CDESK, vďaka tiketovaciemu systému, pri vybavení žiadostí pomôže. Odporúčame vám:
- zadať do CDESKu novú oblasť služby (prípadne typ požiadavky)
- nastaviť k tejto oblasti/požiadavke SLA
- určiť predvoleného riešiteľa
- zabezpečiť nasmerovanie e-mailu do CDESKu a nastaviť nové pravidlo pre spracovanie e-mailovej správy.
Pre zjednodušenie odporúčame túto agendu spracovávať pod jednou ad-hoc vytvorenou spoločnosťou, napr. s názvom „Žiadosti GDPR“. Členenie na jednotlivé kontakty bude efektívne až v prípade výrazného zväčšenia agendy.
Jednoduché a spoľahlivé.
Kompatibilita staršej verzie CDESK 2.9 s GDPR
V súčasnosti (máj 2018) podporujeme dve verzie systému CDESK: CDESK 2.9 a CDESK novej generácie 3.x.
Pri staršej verzii 2.9. už neaplikujeme nové opatrenia pre GDPR, napriek tomu je pre spracovanie osobných údajov s nízkou citlivosťou aj naďalej použiteľná. Ide napríklad o osobné údaje spracovávané na základe plnenia zmluvy s dotknutou osobou (§ 13 ods. 1 písm. b) zákona č. 18/2018 Z.z.).
Ak systém CDESK využívate aj na vedenie údajov, ktoré vyžadujú súhlas dotknutej osoby (§ 13 ods. 1 písm. a) zákona č.18/2018 Z.z.), napríklad databáza zákazníkov pre ďalšie spracovanie, potrebujete nad osobnými údajmi vyššiu kontrolu a odporúčame vám prejsť na CDESK 3.0 – technologicky novší produkt, umožňujúci vo vzťahu k GDPR realizovať plnohodnotné opatrenia.