RODO: Prawo do bycia zapomnianym

RODO: prawo do bycia zapomnianym

Na podstawie rozporządzenia RODO, każdy ma prawo do bycia zapomnianym w bazach danych systemów informatycznych. Realizacja tego uprawnienia w systemie CRM jest szczególnym wyzwaniem, gdyż programy tego typu i dane osobowe klientów są ze sobą wręcz nierozerwalne.

W artykule prezentujemy wspomniane prawo w praktyce, na przykładzie rozwiązania zastosowanego w CRM bs4 ultra.

Kasowanie danych osobowych

 

Prawo do bycia zapomnianym jest realizowane przez opcję usunięcia osoby z bazy, z poziomu kartoteki osoby. Podstawowe dane - imię, nazwisko, dane kontaktowe - są definitywnie usuwane z systemu.

  • Jeżeli ta osoba jest samodzielnym kontrahentem w bazie CRM (bo obsługujemy osoby prywatne – B2C, a nie firmy), to użytkownik systemu CRM powinien kasować całego kontrahenta, łącznie z jego adresem.
  • Jeżeli ta osoba jest jednym z pracowników kontrahenta (B2B), to jej usunięcie nie kasuje automatycznie powiązanego kontrahenta ani powiązanego z tą osobą adresu siedziby, gdyż ten adres może być wskazywany również dla innych osób.
 

Kasowanie informacji powiązanych z daną osobą

 

W systemie CRM jest potencjalnie duża ilość informacji powiązanych z osobami, w innych tabelach bazy danych. Program bs4 ultra daje możliwość szczegółowego ustawienia czy podczas kasowania mają zostać usunięte tylko powiązania do „zapominanej” osoby, czy powiązane informacje mają być kasowane w całości.

Domyślnie przyjęliśmy szereg pewnych ustawień. Przykładowa realizacja prawa do bycia zapomnianym w praktyce może wyglądać następująco:

1. Gdy kasujemy osobę to system usuwa w całości:

  • zdarzenia i zadania powiązane z tą osobą
  • otrzymane i wysłane maile tej osoby
  • udzielone zgody i odwołania zgód na przetwarzanie danych osobowych

2. Gdy kasujemy osobę, system w wielu rekordach zapomina o powiązaniu do tej osoby:

  • jeżeli ta osoba była wskazana jako osoba kontaktowa w transakcjach (tematach handlowych), zleceniach (np. serwisowych), wysyłkach, to od tego momentu nikt nie jest już tam wskazany jako osoba kontaktowa, jednak powiązanie z kontrahentem pozostaje bez zmian (w przypadku B2B).
 

Problemy z RODO? Skontaktuj się z nami!

Kasowanie informacji z notatek

 

Jeżeli użytkownik programu wymienił imię i nazwisko lub inne dane osobowe w treści np. zdarzeń, zadań, komunikatów, maili niepowiązanych bezpośrednio z daną osobą (przykładowo pisał do firmy trzeciej lub w komunikacie do współpracownika o tej osobie), wtedy program nie jest w stanie tego automatycznie wykasować. Nie może określić, że w kontekście rozmowy chodzi o tego konkretnego Kowalskiego, który chce być zapomnianym.

Dlatego w ramach przygotowań do RODO, warto edukować pracowników o prawie do bycia zapomnianym w praktyce:

  • dane osobowe należy zawsze wpisywać w miejscach do tego przeznaczonych,
  • wszystkie treści związane z konkretnymi osobami powinny być powiązane z kartoteką danej osoby, aby program mógł je znaleźć i skasować.
 

Repozytorium usuniętych danych

 

Program bs4 ultra zapisuje wszystkie kasowane dane do bazy buforowej. W ten sposób można odzyskać informacje przypadkowo lub błędnie usunięte przez użytkowników. W programie można ustalić częstotliwość czyszczenia bazy buforowej. W obliczu wymagań RODO nie można wyłączyć kasowania bazy buforowej, a usuwane dane osobowe nie powinny pozostawać w niej zbyt długo. Dokładnie ten czas powinien określić administrator systemu.

 

Prawo do bycia zapomnianym a kopie zapasowe

 

Backupy wykonane przed usunięciem konkretnych danych osobowych nadal je zawierają. Program bs4 ultra standardowo wykonuje backupy co noc – maksymalnie do 7 kopii w kolejnych dniach tygodnia. To oznacza, że backup zawierający dane osobowe usuniętej osoby zostanie definitywnie nadpisany nowszym backupem (który nie zawiera już takich danych) w ciągu maksymalnie 7 dób – i tym samym wymóg ustawy dotyczący prawa do bycia zapomnianym zostanie spełniony.

Ważne! Jeżeli informatyk właściciela programu kopiuje backupy na inne nośniki i dłużej je przechowuje, powinien rozważyć wdrożenie na własną rękę mechanizmów, które będą usuwać dane osób „zapomnianych” ze „starych” backupów.

 

Masz pytania?

Skontaktuj się z nami!

Zgodnie z art. 13 ust. 1 i ust. 2 Ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informujemy, że administratorem danych osobowych jest firma bs4 business solutions sp. z o.o. z siedzibą przy ul. Słowackiego 35/5 w Poznaniu (bs4@bs4.pl).


* - zgody wymagane

Sprawdź szczegóły w naszej polityce prywatności.