Brak wyników

Zarządzanie sprzedażą

14 października 2018

NR 3 (Wrzesień 2018)

RODO w dziale sprzedaży. Dlaczego to szansa, a nie kłopot?

414

„Rozporządzenie ogólne o Ochronie Danych Osobowych (RODO)” to ciągle jeden z najgorętszych tematów. Szczególnie dlatego, że na pierwszy rzut oka przepisy RODO wydają się rygorystyczne i trudne do wdrożenia. Jednak konieczność wdrożenia RODO to nie tylko przykry obowiązek, ale także szansa na to, aby przyjrzeć się procesom w organizacji i dokonać ich optymalizacji tak, aby zwiększyć produktywność firmy. 

W niniejszym artykule podzielę się z tobą moim doświadczeniem z wdrażania rozporządzenia RODO w dziale sprzedaży oraz pokażę ci, co możesz zrobić, aby zwiększyć jego efektywność i skuteczność. Część przepisów ilustruję przykładami. Muszę jednak zaznaczyć, że zamieszczone informacje nie mogą zostać uznane za poradę prawną. 

Jakie nowe wymagania wprowadza RODO?

Co właściwie zmienia RODO w stosunku do obecnie obowiązujących przepisów?

Rozporządzenie RODO to przede wszystkim nowa filozofia podejścia do przetwarzania i ochrony danych osobowych. RODO nie jest bowiem zbiorem gotowych rozwiązań konkretnych problemów. Nakłada na organizacje obowiązki, nie określając dokładnej ścieżki postępowania. Jest jak drogowskaz wskazujący kierunek, mówiąc – jeśli prowadzisz działalność, która wymaga przetwarzania danych osobowych, to musisz we własnym zakresie określić poziom ryzyka z tym związany oraz dobrać adekwatne środki zabezpieczające. Gdy jednak nie wywiążesz się z tego obowiązku, może spotkać cię dotkliwa kara.

Innymi słowy, rozporządzenie RODO wprowadza otwarty model ochrony danych. To organizacja musi samodzielnie dobierać odpowiednie metody zabezpieczania przetwarzanych danych osobowych stosownie do charakteru swojej działalności oraz dostosowywać je do zmian na rynku.

Po 25 maja 2018 r. zniknął obowiązek rejestracji i aktualizacji zbiorów danych osobowych w GIODO. Zamiast tego firmy zatrudniające więcej niż 250 osób muszą prowadzić rejestr czynności przetwarzania danych osobowych (rejestr RCP), w którym udokumentowane będą m.in. obszary w organizacji, w których występuje gromadzenie i przetwarzanie danych osobowych oraz opisane będą metody, które mają zabezpieczać te dane w czasie ich przetwarzania.

Główne zmiany, które RODO wprowadza w stosunku do starych przepisów to:

  • przekazanie osobom fizycznym większej kontroli nad swoimi danymi osobowymi,
  • przyznanie krajowym organom regulacyjnym nowych uprawnień w zakresie kontroli i nakładania kar na organizacje, które łamią nowe rozporządzenie,
  • ograniczenie prawa do profilowania danych osobowych,
  • ujednolicenie prawa w zakresie ochrony i przetwarzania danych osobowych w UE.

Zgodnie z RODO przetwarzanie danych to wykonywanie takich operacji, jak:

  • zbieranie danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

Jakie nowe prawa zyskują konsumenci w ramach RODO?

Zasadniczy cel wprowadzenia rozporządzenia RODO to wzmocnienie prawa osób fizycznych do prywatności. W tym celu w rozporządzeniu RODO uściślone zostało pojęcie danych osobowych.

Według RODO samo imię i nazwisko to nie dane osobowe. Dopiero powiązanie imienia i nazwiska z innymi danymi, które jednoznacznie pozwalają zidentyfikować daną osobę, uznaje się za dane osobowe. W szczególności może to być zestawienie imienia i nazwiska z nazwą firmy, w której dana osoba pracuje lub z jej adresem. 

Tak samo będzie, gdy powiążemy imię i nazwisko z danymi z poniższej listy:

  • NIP,
  • PESEL,
  • pseudonim,
  • numer telefonu,
  • adres e-mail,
  • adres IP,
  • identyfikator plików cookie,
  • zdjęcie,
  • historia zakupowa,

bądź co najmniej z jednym z czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Jako konsumenci dzięki RODO zyskujemy:

  • prawo do informacji — kto, w jakim celu i jak długo będzie przetwarzał nasze dane oraz do kogo mogą one trafić,
  • prawo do bycia zapomnianym, czyli prawo do całkowitego usunięcia naszych danych na nasze żądanie,
  • prawo do poprawiania błędów w naszych danych oraz zmiany zakresu udzielonych zgód,
  • prawo do przekazania naszych danych wskazanej przez nas organizacji,
  • prawo do odmowy lub ograniczenia przetwarzania naszych danych.

Jak przygotować dział sprzedaży do RODO?

Jeśli przyrównamy twoją organizację do organizmu, to dział sprzedaży i marketingu pełni w nim rolę serca, które tłoczy życiodajną krew – gotówkę – i nie będzie przesadą, gdy napiszę, że wdrożenie RODO można porównać do operacji na otwartym sercu. To bowiem w tym dziale zbierane i przetwarzane są informacje o klientach. To pracownicy tego działu już od 25 maja 2018 r. muszą działać zgodnie z przepisami RODO. To oni są źródłem twojego wzrostu, ale także to oni mogą być źródłem twoich kłopotów. Dlatego muszą być regularnie szkoleni w tym zakresie. Szkolenia takie powinny być odnotowanie w rejestrze RCP.

Ważne

W razie „wycieku” danych osobowych lub innych nieprawidłowości w zakresie RODO inspektor urzędu ochrony danych osobowych w pierwszej kolejności będzie sprawdzał, jak w firmie zorganizowany jest proces kontrolowania i przetwarzania danych oraz czy i jak realizowane są szkolenia pracowników z procedur postępowania z danymi. Nie od dziś wiadomo bowiem, że świadomi pracownicy to najlepszy gwarant bezpieczeństwa danych.

Zasada minimalizacji zbieranych i przetwarzanych danych

Najwięcej zmian w dotychczasowym sposobie pracy działu sprzedaży i marketingu wprowadza zasada minimalizacji zbieranych i przetwarzanych danych. W tym zakresie przepisy RODO nie zostawiają miejsca na żadną domyślność.

Jako przedsiębiorca masz prawo do zbierania i przetwarzania danych osobowych klientów tylko w takim zakresie, jaki jest niezbędny do prowadzenia twojego biznesu. Przekładając ten wymóg na codzienną praktykę działania działu sprzedaży, należy dokonać selekcji danych i wybrać tylko taką ich ilość oraz rodzaj, jakie są konieczne do efektywnego prowadzenia sprzedaży. Dodatkowo trzeba określić, w jakim celu dane te będą przetwarzane i jak długo przechowywane.

Jeśli zarządzasz działem sprzedaży, ten obowiązek selekcji danych ciąży na tobie, a nie dziale IT czy administratorze bezpieczeństwa informacji. To ty musisz opracować i wdrożyć procedury gwarantujące, że handlowcy będą zbierać tylko dane niezbędne do realizacji strategii sprzedaży organizacji oraz zdefiniowanych w niej celów.

Przykład

Jako szef sprzedaży musisz wprowadzić nowe zasady i regulaminy w zakresie:

  • pozyskiwania zgód na przetwarzanie danych osobowych na potrzeby działań marketingowych w tym newslettera, kampanii SMS, kampanii mailingowych,
  • budowania baz danych klientów na podstawie danych pozyskanych z plików cookie, wiadomości z serwisów społecznościowych, czatów, kontaktów telefonicznych,
  • korzystania z zewnętrznych baz w celach sprzedażowych oraz promocyjnych,
  • sprzedawania przez call center lub korzystania z outsourcingu,
  • wykorzystania plików cookie.

Istotnym wymaganiem RODO jest to, że jeśli dane zbierane są w kilku celach, to na każdy z nich klient powinien udzielić odrębnej zgody. Poniżej znajdziesz dodatkowe przykłady ilustrujące sytuacje, z którymi możesz się zetknąć (nie wyczerpują one oczywiście wszystkich możliwych przypadków), oraz które powinny być opisane w stosownych procedurach:

Przykład

Jeśli chcesz udostępniać w internecie materiały, np. poradniki, aby wypromować swoją usługę, to wolno ci, w zamian za poradnik, zbierać adresy e-mail osób, które chcą go pobrać – pod warunkiem, że poinformujesz klientów o tym, że planujesz publikować dodatkowe materiały lub nowe wersje poradnika, oraz automatycznie będziesz im je wysyłał. 

Przykład

Gdy będziesz chciał zbierać dodatkowe informacje, takie jak płeć i imiona osób zainteresowanych twoim poradnikiem, to musisz określić, jak zamierzasz wykorzystywać te dane, a w rejestrze RCP opisać stosowne procedury. Przykładowy cel to – wysyłka spersonalizowanych informacji i materiałów. W czasie kontroli będziesz musiał udowodnić, że rzeczywiście tak postępujesz.

Przykład

Jeśli dodatkowo będziesz chciał gromadzić adresy pocztowe osób zainteresowanych poradnikiem, celem może być chęć udostępnienia klientom jego wersji papierowej.

Ważne

W podanych przykładach prośbę o dane osobowe musisz uzupełnić formułą wyjaśniającą jej cel, np.: Informujemy, że Administratorem danych osobowych jest Higea Sp. z o.o., 02-787 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach, a także wysyłki, zamówionych wcześniej papierowych wersji poradników. Państwa dane adresowe będą udostępnione firmie kurierskiej w celu dystrybucji papierowych wersji poradników. Bez Państwa wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych, ich aktualizacji oraz zażądania usunięcia poprzez kontakt: blog@higea-daneosobowe.pl

Przykład

Handlowiec, wysyłając e-mail do klienta „A”, przez pomyłkę zamieścił w nim dane osobowe klienta „B”....

Dalsza część jest dostępna dla użytkowników z wykupionym planem

Przypisy