Alla företag som har relationer med personer inom EU och EES måste nu vara redo att uppfylla de viktigaste GDPR-kraven, eller åtminstone ha en plan för hur de ska uppfylla reglerna.
Trots detta är det fortfarande många företag som har svårt att förstå vad GDPR faktiskt innebär, hur förordningen påverkar deras verksamhet och på vilket sätt de måste anpassa sig. Därför kommer det att ta ett tag innan saker och ting återgår till ”det normala”.
Den långa vägen till att efterleva GDPR
Som företag började vi anpassa oss till GDPR redan för två år sedan. Sedan dess har vi kontinuerligt undersökt hur den nya EU-förordningen påverkar vårt företag. Vi började även uppgradera vår produkt och dela våra GDPR-insikter med våra kunder. Det har gett goda resultat eftersom SuperOffice nu erbjuder en helt GDPR-redo produkt.
Samtidigt insåg vi att det kan vara svårt och ibland en övermäktig uppgift, att förstå all den information vi har förmedlat de senaste åren och att GDPR fortfarande är en krävande uppgift för många.
SuperOffice CRM och de 8 rättigheterna enligt GDPR
Vi vill ge dig en fullständig förståelse för hur ni kan använda SuperOffice CRM för att uppfylla GDPR-reglerna för skydd och behandling av personuppgifter. Därför presenterar vi här ännu mer praktisk information om hur du kan lyckas med detta.
I den här artikeln förklarar vi hur SuperOffice CRM stöder de 8 rättigheterna enligt GDPR genom personuppgifternas hela livscykel – från insamling till utfasning av uppgifterna.
Se hur SuperOffice CRM stöder dessa rättigheter nedan.
Oavsett om det handlar om ett prospekt, en ny kontakt hos en befintlig kund, en samarbetspartner eller en leverantör så börjar det hela med att du samlar in personuppgifter.
Generellt sett är det fortfarande tillåtet att samla in personuppgifter, även enligt GDPR. Den nya förordningen kräver dock att företaget har en rättslig grund för att samla in, behandla och lagra uppgifterna, och denna grund måste dokumenteras. Den rättsliga grunden kan variera beroende på typ av verksamhet, syfte och andra förhållanden, enligt artikel 5. Alla företag är också skyldiga att inom 30 dagar informera en person om att de har lagrat hans eller hennes personuppgifter.
GDPR fastslår också att alla har rätt att protestera mot att uppgifter samlas in, lagras och behandlas. Enligt de nya EU-reglerna har alla individer rätt att motsätta sig direktmarknadsföring. I vissa länder i Europa måste företagen dessutom ha inhämtat uttryckligt samtycke innan de överhuvudtaget får skicka ett marknadsföringsbudskap till någon.
I de fall då ”uttryckligt samtycke” används som rättslig grund för behandling av personuppgifter är det därför viktigt att du kan dokumentera var, när och hur samtycket gavs (artikel 7). Det är särskilt viktigt om en tillsynsmyndighet kräver att få se dokumentationen.
Hur kan SuperOffice CRM hjälpa dig att uppfylla detta?
Artikel i GDPR: 12, 21
Definition: Registrerade har rätt att invända mot att deras personuppgifter behandlas, oavsett om de har gett sitt uttryckliga samtycke eller ej. Registrerade som befinner sig EU har också rätt att förhindra att personuppgifterna används i databaser för direktmarknadsföringsändamål.
SuperOffice-funktionalitet
För att kunna uppfylla en persons rätt att protestera mot att ditt företag behandlar hans eller hennes personuppgifter måste du först och främst kunna dokumentera den rättsliga grund som behandlingen baseras på. Först då har du tillräcklig information och de rätta verktyget för att kunna hantera personens invändning. När du har kontroll över kundernas rättsliga grund vet du också när någon har gjort invändningar.
Du kan använda SuperOffice CRM för att få kontroll över och tillgång till nödvändig dokumentation. Funktionerna för hantering av rättslig grund och prenumerationer hjälper dig varje gång någon ställer en fråga om vilkenrättslig grund som gäller i just deras fall.
- Hantering av innehåller funktioner som du kan använda för att registrera individens samtyckeni företagets databas samt hur samtyckena blev inhämtade (var, när och av vem). Funktionerna gör det också enkelt att registrera den rättsliga grunden.
- Prenumerationshantering hjälper dig att hålla ordning på vilket innehåll en person har tackat ja till att ta emot. Det säkerställer att du inte skickar e-postmarknadsföring till personer som inte har gett sitt samtycke till detta.
Öppenhet är centralt i de nya GDPR-reglerna. Alla företag och organisationer måste nu vara tydliga med vilka uppgifter de lagrar och hur de gör det. De måste även förklara detta på ett enkelt och lättbegripligt sätt i sin personuppgiftspolicy.
Syftet med GDPR är att skydda individer från att deras personuppgifter lagras och används utan deras vetskap. Detta är viktigt, för om de inte vet om och hur deras uppgifter används kan de inte heller göra invändningar. Rätten att bli informerad säkerställer att individer har möjlighet att utöva sin rätt att göra invändningar.
En annan viktig aspekt har att göra med dataintrång.
Ditt företag ansvarar för att personuppgifterna är säkert lagrade och att den personliga integriteten är skyddad. I händelse av en informationsläcka eller ett brott mot datasäkerheten ställer GDPR strikta krav på att företagen måste rapportera sådana händelser och omedelbart vidta åtgärder för att minimera skadeverkningarna. ( I Sverige rapporteras detta till Datainspektionen) Om intrånget är allvarligt och det är stor risk att personernas rättigheter äventyras ska alla registrerade informeras utan onödigt dröjsmål.
Alla händelser som äventyrar datasäkerheten ska identifieras, rapporteras och hanteras på ett eller annat sätt. Och om någon rapporterar en händelse som kan äventyra säkerheten är det mycket viktigt att det meddelandet inte försvinner i ditt e-postsystem.
Hur kan SuperOffice CRM hjälpa dig att uppfylla detta?
GDPR-artiklar: 12, 13, 14, 19
Definition: En registrerad har rätt att veta hur hans/hennes personuppgifter samlas in, används och lagras, och för vilket ändamål – redan innan uppgifterna faktiskt samlas in.
SuperOffice-funktionalitet
Det finns olika funktioner i SuperOffice CRM som hjälper dig att meddela dina kontakter att du lagrar information om dem i din CRM-lösning.
- Automatisk e-post: Varje gång du skapar en ny kontakt kan SuperOffice CRM skicka ett automatiskt e-postmeddelande som informerar kontakten om att du lagrar dennes uppgifter. Du kan så klart själv bestämma vad som ska stå i meddelandet och vad som ska utlösa att det skickas. Meddelandet behöver inte heller skickas automatiskt, men om du låter systemet hantera uppgiften kan du vara säker på att det inte blir bortglömt.
- Urval och Utskick: Du kan också skapa urval och använda utskick för att informera grupper av individer om hur du använder deras uppgifter. Från och med version SuperOffice CRM 8.1 kan du även använda skript för att skapa automatiserade flöden av åtgärder, baserat på företagets behov.
- SuperOffice Formulär: I nästa version av SuperOffice CRM (8.4) får du tillgång till nya funktioner som gör det möjligt att informera personer i förväg när du samlar in deras personuppgifter. Med dessa funktioner kan du skapa särskilda formulär på företagets hemsida eller i dina nyhetsbrev. Formulären innehåller inte bara länkar till er personuppgiftspolicy utan uppdaterar även automatiskt de samtycken som är lagrade i SuperOffice CRM.
För att hjälpa dig att hantera dataintrång och andra personuppgiftsincidenter finns det olika verktyg i SuperOffice Service som hanterar sådana incidenter på ett intelligent sätt, och i enlighet med GDPR.
- Med hjälp av SuperOffice Service kan du ta hand om alla ärenden, förfrågningar och meddelanden på ett och samma ställe. Dessutom kan du kategorisera dem baserat på ärendetyp så att du effektivt kan prioritera och planera hanteringen av varje enskilt ärende. I SuperOffice Service kan du definiera varje enskilt steg i ärendehanteringen så att akuta saker hanteras utan fördröjning. Du kan även spara all relevant dokumentation som beskriver vad som har hänt, när det hände och hur dataläckan eller incidenten hanterades.
- Urval och Utskick: Om händelsen kräver att du måste avisera alla som är berörda av den kan du göra det snabbt genom att definiera ett urval och sedan skapa ett massutskick.
GDPR säkerställer också att alla människor har rätt att få tillgång till sina personuppgifter och veta hur uppgifterna har inhämtats och används av ett företag.
Alla företag måste nu kunna visa upp en kopia på de personuppgifter de har lagrat för varje kontakt, om och när någon begär det. Det innebär att du måste ha ordning på din dokumentation och verktygen för att kunna presentera informationen för de som begär ut den.
Hur kan SuperOffice CRM hjälpa dig att uppfylla detta?
GDPR-artiklar: 12, 15
Definition: En registrerad har rätt att få veta hur hans/hennes personuppgifter har samlats in, vilka uppgifter som finns, hur de lagras och behandlas och för vilket ändamål.
SuperOffice-funktionalitet
För att hjälpa dig att uppfylla dessa krav har SuperOffice CRM flera nya funktioner.
- Hantering av rättslig grund: Med de här funktionerna kan du dokumentera den rättsliga grunden, källan till uppgifterna samt när och hur uppgifterna inhämtades, i linje med GDPR. När du har tillgång till detta kan du snabbt och enkelt skicka en korrekt sammanfattning till en kontakt.
- Personuppgiftsrapport: Den här funktionen är tillgänglig i den senaste versionen av SuperOffice CRM (8.3) och ger dig tillgång till alla personuppgifter ni har sparade om en aktuell person. Den är enkel att generera och innehåller en korrekt sammanfattning som bara är relevant för den person som efterfrågar den. För att garantera maximal säkerhet kan du bestämma vem i din organisation som ska ha möjlighet att skapa och distribuera sådana rapporter.
- Delad inkorg i SuperOffice Service: Du kan skapa dedikerade inkorgar i SuperOffice Service där ni tar emot och hanterar alla förfrågningar relaterade till personuppgiftsskydd. På så sätt undviker ni att viktiga förfrågningar tappas bort och kan besvara dem mer effektivt, samtidigt som ni är helt transparenta med hur förfrågningarna har hanterats.
Denna GDPR-rättighet säkerställer att företaget vidtar åtgärder som gör det möjligt för personer att ändra och rätta uppgifter som är inaktuella, felaktiga eller ofullständiga. Företag som arbetar med uppgifter om EU-medborgare måste hädanefter ge personer möjlighet att granska och vid behov rätta sina uppgifter. Personerna måste också få en bekräftelse på ändringarna.
För att kunna rätta något måste man först veta vilka uppgifter ett företag har lagrat om en viss person. När behovet av ändringar har identifierats ska personen också få en bekräftelse på att informationen är uppdaterad.
Hur kan SuperOffice CRM hjälpa dig att uppfylla detta?
GDPR-artiklar: 12, 16
Definition: En registrerad har rätt att få felaktiga och ofullständiga uppgifter rättade.
SuperOffice-funktionalitet
SuperOffice CRM har flera funktioner som hjälper dig att uppfylla dessa krav:
- Delad inkorg i SuperOffice Service: För att kunna lämna ut information och ta emot förfrågningar om rättning av uppgifter behöver du en centraliserad och dedikerad plats där du kan ta emot sådana förfrågningar och följa upp dem. En delad inkorg i SuperOffice Service hjälper dig med detta, eftersom förfrågningar om rättning sparas som kundärenden så att du kan följa upp om de är lösta eller ej.
- Redigeringsfält i SuperOffice: Det har alltid varit möjligt för användare av SuperOffice CRM att redigera information om en kontakt direkt i systemet. Men du kan vilja införa vissa begränsningar angående vem som kan redigera och vad de kan redigera. Om du till exempel använder ett annat system som ”huvuddatabas” är det inte säkert att du vill ge alla användare behörighet att redigera, och då kan du istället definiera vissa godkännanderutiner för radering av uppgifter.
- Personuppgiftsrapport: Denna nya funktion finns i den senaste versionen av SuperOffice CRM. Den gör det möjligt för dig att enkelt skicka en bekräftelse till en kontakt om att hans/hennes uppgifter har blivit rättade.
GDPR ger personer rätt att begära att deras uppgifter raderas från ett företags databas. Men förordningen går längre än så genom att kräva att företag raderar personuppgifter från sina system när de inte längre har rättslig grund för att lagra uppgifterna (artikel 5).
Även om personer inte begär att bli raderade så kan du inte behålla deras personuppgifter för evigt utan rättslig grund. Det innebär att du regelbundet måste rensa bort information och se till att alla uppgifter är lagrade i enlighet med företagets personuppgiftspolicy.
För att uppfylla reglerna fullt ut måste ditt företag se till att ni har verktyg och funktioner som gör det möjligt att:
- spåra alla uppgifter som rör en kontakt
- radera all information på begäran
- skicka en bekräftelse på att uppgifterna är raderade
- automatiskt radera uppgifter när en viss lagringsperiod har löpt ut
Hur kan SuperOffice CRM hjälpa dig att uppfylla detta?
GDPR-artiklar: 12, 17
Definition: En registrerad har rätt att få sina personuppgifter raderade permanent.
SuperOffice-funktionalitet
För att enkelt kunna uppfylla denna rättighet måste ditt företag ha en procedur för att hantera begäranden från personer som vill bli bortglömda.
- Delad inkorg i SuperOffice Service: Du kan skapa dedikerade inkorgar i SuperOffice Service där alla sådana förfrågningar hamnar, så att inget går förlorat. Genom att använda en delad inkorg för personuppgiftsärenden kan ni göra nödvändiga utvärderingar innan ni raderar den aktuella kontakten. Med en inkorg i SuperOffice Service kan ni hantera ärendena på ett effektivare sätt, samtidigt som ni är helt transparenta med hur de hanteras.
- Radera en enskild kontakt: I den senaste versionen av SuperOffice CRM (8.3) visas all information om en kontakt i ett och samma fönster. Det gör det lättare att radera enskilda kontakter. När en kontakt har raderats blir alla uppgifter automatiskt anonymiserade i övriga delar av SuperOffice. Därmed riskerar du inte att förlora relevanta uppgifter som påverkar ditt företag. Kom ihåg att raderingsbehörighet endast bör ges till de personer som hanterar sådana förfrågningar.
- Massradering av kontakter i ett urval: Den här funktionen, som finns i SuperOffice CRM 8.3 och senare versioner, ger dig möjlighet att radera flera kontakter samtidigt. Du kan exempelvis identifiera ett antal kontakter eller företag som du inte längre vill ha kvar i SuperOffice CRM och sedan radera dem i ett svep istället för en och en. Det sparar mycket tid!
- Återställa felaktiga raderingar från papperskorgen. Ibland kan det hända att man raderar något av misstag. Om en kontakt eller ett företag har raderats av misstag kan du ångra raderingen via ”papperskorgen”. Även om en raderad kontakt eller ett företag direkt blir osynligt för alla användare är de fortfarande åtkomliga i papperskorgen i några dagar. Där kan du återställa personen eller företaget.
- SuperOffice SAINT: Ett annat sätt att enkelt hitta personer som måste raderas från databasen är att använda SuperOffice SAINT, som hjälper dig att skapa urval och hitta exakt de kunder som passar in på sökkriterierna. SuperOffice CRM hittar dessa kontakter och placerar dem i ett dynamiskt urval, där du kan bestämma vad du ska göra med dem.
- Automatisk radering av personer: Du kan skapa ett CRM-skript som raderar kontakter om de uppfyller vissa kriterier som du har definierat för personer som ska raderas från företagets databas. Kriteriet kan vara kontaktens kategori kombinerat med avsaknad av samtycke eller aktiviteter under en viss period, med mera. Sådana automatiska processer säkerställer att databasen inte innehåller inaktuella uppgifter och minskar arbetsbördan för ditt CRM-team.
GDPR ger individer rätt att överföra sina personuppgifter till andra tjänsteleverantörer eller att återanvända dem för andra syften. Registrerade har även rätt att få sina uppgifter överförda direkt från ett personuppgiftsbiträde till ett annat, utan att själva behöva hantera uppgifterna.
Om ditt företag får en sådan begäran måste ni kunna presentera en sammanställning av de uppgifter som finns i databasen i ett strukturerat, allmänt använt och maskinläsbart format.
I de flesta fall handlar det om personer som vill byta bank eller försäkringsbolag.
Hur kan SuperOffice CRM hjälpa dig att uppfylla detta?
GDPR-artiklar: 12, 20
Definition: En registrerad har rätt att flytta, kopiera eller överföra personuppgifter från ett personuppgiftsbiträde till ett annat, på ett säkert sätt och i ett allmänt använt format.
SuperOffice-funktionalitet
Denna rättighet är egentligen bara relevant för användare av SuperOffice CRM där lösningen är integrerad med ett annat system som samlar in personuppgifter utan mänsklig inblandning. Om dessa uppgifter överförs till SuperOffice CRM via en integration är det nödvändigt att också kunna leverera en datarapport till individer som gör en förfrågan.
Det finns inga specifika funktioner i SuperOffice CRM som direkt stöder just denna GDPR-rättighet. Det finns dock andra möjligheter att skapa en rapport som visar vilka uppgifter ni har lagrat om en viss person:
Skapa ett urval av de uppgifter som är knutna till personen som begärt en överförbar rapport och exportera alla datafält till en Excel-fil.
GDPR ger individer rätt att invända mot eller begränsa företags användning av deras personuppgifter.
Alla personer kan begära en sådan begränsning muntligt eller skriftligt, och personuppgiftsbiträdet har då en kalendermånad på sig att besvara begäran. Företaget kan sedan behålla en datafil som innehåller uppgifter om en person som har motsatt sig behandling, men företaget får inte använda denna information på något sätt.
Hur kan SuperOffice CRM hjälpa dig att uppfylla detta?
GDPR-artiklar: 12, 16, 21
Definition: Registrerade personer har rätt att invända mot att myndigheter eller företag behandlar deras personuppgifter utan deras uttryckliga samtycke. De har också rätt att invända mot att personuppgifterna inkluderas i databaser för direktmarknadsföringsändamål.
SuperOffice-funktionalitet
Det finns inga specifika funktioner i SuperOffice CRM som direkt stöder just denna GDPR-rättighet. Det troligaste och mest relevanta scenariot är att en person invänder mot att inkluderas i en distributionslista för e-postmarknadsföring.
Det finns dock några verktyg i SuperOffice CRM som kan hjälpa dig med detta:
- Funktionen Prenumerationshantering gör det enkelt att begränsa utskicken av antingen all e-post eller vissa typer av oönskat innehåll till en specifik kontakt.
- SuperOffice SAINT kan användas för att definiera visuella aviseringar i systemet varje gång en kontakt begär att inte bli behandlad. Du kan exempelvis definiera ett fält (en kryssruta) som startar SAINT varje gång den aktiveras (kryssas för). Då får CRM-användaren besked om att kontakten har begärt att bli satt ”i väntläge”. Det gör det också enklare att se till att inga kontakter med sådana ”begränsningar” inkluderas i utskick eller andra externa kommunikationsaktiviteter.
Denna rättighet kallas även rätten till manuell behandling. Avsikten är att skydda personer mot potentiellt skadliga beslut som tas utan mänsklig inblandning.
Det kan låta komplicerat, men vi ska försöka förklara vad det innebär: De personer vars uppgifter du sparar har rätt att välja att inte bli föremål för beslut som baseras på automatiska processer. Detta gäller i synnerhet om besluten har juridiska konsekvenser för personerna. Det betyder att de kan begära att deras uppgifter ska behandlas manuellt av människor, för att undvika att drabbas av potentiellt negativa effekter av automatiserat beslutsfattande.
Så istället för att låta algoritmer fatta beslut om en person ska det vara människor som gör det.
Denna rättighet definierar även profilering som automatiserad behandling av personuppgifter för att utvärdera vissa saker om en individ. Det innebär att profilering kan betraktas som en automatiserad beslutsprocess och därmed omfattas av denna GDPR-rättighet.
Hur kan SuperOffice CRM hjälpa dig att uppfylla detta?
GDPR-artiklar: 12, 22
Definition: En registrerad har rätt att begära mänsklig behandling istället för viktiga beslut ska fattas av en algoritm eller andra automatiserade processer.
SuperOffice-funktionalitet
Därför finns det heller ingen specifik funktion i SuperOffice CRM som direkt stöder denna rättighet, utöver möjligheten att upprätta en delad inkorg i SuperOffice Service som centraliserar hanteringen av begäranden om manuell behandling.
SuperOffice som ett GDPR-redo CRM-system
Det vi har beskrivit i den här artikeln är bara en sammanfattning av hur du kan använda SuperOffice för att uppfylla GDPR-kraven i ditt företag.
Tänk på att informationen i artikeln inte ska betraktas som juridisk rådgivning. Det är inte heller någon uttömmande lista över alla möjliga sätt att använda SuperOffice i affärsprocesserna.
SuperOffice CRM är ett flexibelt system, och det finns många sätt att implementera och använda dess funktioner. Hur du väljer att använda dem beror helt och hållet på ditt företags affärsprocesser.
Avsikten med den här artikeln är att ge dig några praktiska tips om hur SuperOffice CRM kan hjälpa dig att hantera dina kunders integritet och skydda deras uppgifter i enlighet med förordningen. Vi ville också visa hur de GDPR-relaterade funktionerna fungerar.
Vi bad den internationella juristbyrån DLA Piper, som har spetskompetens inom GDPR, att utvärdera hur SuperOffice CRM stöder den nya EU-förordningen.
Vi kan stolt meddela att de konstaterar att SuperOffice CRM är en GDPR-kompatibel lösning. De drog slutsatsen att företag som använder SuperOffice CRM får god hjälp att uppfylla GDPR-kraven. Du kan läsa hela rapporten här.
Vad är nästa steg?
Ditt nästa steg beror på hur långt du har kommit i arbetet med att bli GDPR-redo.
Du kan alltid förlita dig på det innehåll vi har skapat om GDPR: artiklar, checklistor, tips och videor.
För att få tillgång till de senaste GDPR-funktionerna måste du uppgradera till den senaste versionen av SuperOffice CRM. Kontakta din SuperOffice-representant för att få veta mer om hur du kan få tillgång till de senaste funktionerna.
Ansvarsfriskrivning: Innehållet i denna artikel ska inte betraktas som juridisk rådgivning och är endast avsedd för informationsändamål.