GDPR och dess effekt på CRM

Om du precis har hört talas om GDPR, om du vill ta reda på mer, eller om du är på jakt efter CRM-programvara som följer GDPR för ditt säljteam har du hittat helt rätt. På den här sidan får du information som hjälper dig med:

 

Informationen på denna sida är endast avsedd i informationssyfte och bör ej tolkas som officiell rättslig rådgivning. För specifik information om GDPR och dess effekter på din verksamhet rekommenderar vi att du söker juridisk rådgivning.

Vad är dataskyddsförordningen GDPR?

Dataskyddsförordningens namn GDPR är en förkortning av General Data Protection Regulation. Det är ett relativt nytt ramverk med riktlinjer för insamling och behandling av personuppgifter för personer inom EU. GDPR anger principer för datahantering och individens rättigheter samt vilka (oftast intäktsbaserade) böter som gäller vid överträdelser.

Den 25 maj 2018 trädde en ny lag i kraft inom hela Europeiska unionen (EU). Lagen kallas för GDPR, eller dataskyddsförordningen. Alla företag som bedriver verksamhet inom EU måste följa GDPR.

I ett nötskal kräver GDPR att företag erbjuder insyn gällande vilka uppgifter de samlar in och lagrar för en person, hur dessa uppgifter används samt hur dess syfte uppfylls. GDPR ger även personer vars uppgifter samlas in rätten att motsätta sig lagring eller behandling av sina uppgifter samt rätten att be om en kopia av uppgifterna eller att be att uppgifterna raderas.

GDPR gäller för alla individer och organisationer (oberoende av ursprungsland) som samlar in och/eller behandlar personuppgifter som rör personer inom EU.

Fördelarna med GDPR

Rätten till skydd

Stärker individens rätt att skydda sina personuppgifter.

Säkerhet

Håller jämna steg med teknikens utveckling och förbättrar skyddet mot oönskad användning av personuppgifter.

Enade regler

Harmoniserar dataskyddslagar inom och utanför Europeiska unionen.

Grundläggande GDPR-principer

Alla personuppgifter som samlas in eller kontrolleras måste uppfylla följande krav. Annars måste uppgifterna raderas.

Uppgifterna ska behandlas lagligt, rättvist och med insyn för individen.

Detta innebär i grunden att du måste vara ärlig om hur du använder individens personuppgifter, att du ska använda dem på ett lagligt sätt och att du ska meddela hur och varför du ämnar använda uppgifterna.

Uppgifterna ska samlas in för specifika, legitima syften och ska inte behandlas vidare på ett sätt som inte är förenligt med de specifika syftena.

När du har visar hur och varför individens personuppgifter används får du inte använda uppgifterna för några andra syften än vad som angetts.

Uppgifterna ska samlas in på ett adekvat och relevant sätt som är begränsat till syftet med insamlingen.

Du får inte samla in uppgifter utan syfte. Till exempel behöver du inte uppgifter om personens längd, ålder, religion eller annan personlig information om detta inte är relevant för din verksamhet.

Uppgifterna ska vara korrekta och aktuella.

Du måste vidta lämpliga åtgärder för att säkerställa att felaktiga personuppgifter rättas utan onödig försening.

Uppgifterna ska lagras i ett format som ej tillåter identifiering av den registrerade personen under en längre period än vad som är nödvändigt.

Det finns vissa undantag till denna regel, till exempel fall då personuppgifter lagras av samhällsintresse.

Uppgifterna ska behandlas på ett sätt som säkerställer lämpligt skydd.
Personuppgifter som samlas in måste alltid skyddas mot otillåten eller olaglig behandling, oavsiktlig förlust, radering eller skada. Lämpliga åtgärder ska vidtas för att uppfylla detta krav.

 

Grunder för behandling av personuppgifter

Grattis! Om du uppfyller dessa första krav är det dags att se vilken grund du har för att behandla personuppgifter. Denna grund kan vara en eller flera av följande: medgivande, för att uppfylla ett kontrakt, för att följa rättsliga skyldigheter, för att skydda den registrerade personens eller andra personers intressen, för att utföra en uppgift av samhällsintresse eller för organisationens legitima intresse.

 

Straff vid brott mot bestämmelserna

Brott mot bestämmelserna tas på största allvar. Du kan få böter på upp till 4 % av din årliga globala omsättning eller 20 miljoner euro om du bryter mot GDPR. Dessa är de största böterna för allvarliga brott mot reglerna, såsom om du inte har tillräckligt medgivande från kunder för att behandla deras uppgifter. Dock finns det olika nivåer av böter. Till exempel kan du få böter på 2 % för överträdelser såsom att inte utföra en konsekvensanalys eller att inte meddela en tillsynsmyndighet om personuppgiftsincidenter.

Hur kan min CRM-lösning hjälpa mig med GDPR-efterlevnad?

Din CRM-lösning är ett viktigt verktyg för att uppnå och bibehålla GDPR-efterlevnad.

Tänk dig en situation där dina policyer tydligt anger att du endast behöver samla in namn, adress och e-post för att erbjuda dina kunder den aktuella tjänsten. Då måste ditt CRM-system vara konfigurerat så att det endast samlar in och lagrar dessa uppgifter. Ditt CRM-system bör alltså inte tillåta att användare anger andra personuppgifter såsom ålder, civilstånd och så vidare.

Alla säljare som använder ditt CRM-system måste informeras om och utbildas för att hantera GDPR-kraven. Eftersom ditt CRM-system innehåller information om individer du säljer tjänster eller produkter till är det viktigt att kunna identifiera var, när och hur registren skapades i systemet. I Freshworks CRM uppfylls denna funktion av ”källfältet” för varje kontakt.

Massutskick och ”kall” e-postmarknadsföring

Om du använder Freshworks CRM-funktionerna för massutskick eller e-postsekvenser måste du enligt GDPR ha en process där användarna kan välja att ta emot meddelanden. Då måste det framgå när du registrerade e-postadressen och vad du ämnar göra med den. Till exempel: du driver ett företag som säljer två produkter. Vi kallar produkterna för A och B. Om du får in en persons uppgifter genom försäljning av produkt A och sedan börjar mejla dem om produkt B kan detta var ett brott mot GDPR. Du kan undvika att bryta mot reglerna genom att använda flera olika villkor som låter användare ge sitt medgivande.

Telefonsamtal/”kalla” samtal:

GDPR förhindrar EJ för närvarande att du ringer samtal till potentiella kunder. Dock måste du kunna redogöra för när du ringde samtalet och hur långt samtalet var. Den inbyggda telefonkanalen i Freshworks CRM låter dig logga samtal och skriva anteckningar. Nu kan du även aktivera eller stänga av samtalsinspelning för att passa dina behov.

Hur länge får ett CRM-system lagra personuppgifter?

Dataskyddsförordningen GDPR har ett antal regler för hur länge personuppgifter får lagras. Därför varierar svaret på frågan på uppgifterna och hur länge det är rimligt att lagra dem baserat på dina specifika affärsmässiga behov. Till exempel anger förordningen att det inte finns ett rimligt affärsmässigt behov för företaget att lagra individens personuppgifter utöver produktens garantiperiod. Freshworks CRM har en raderingsfunktion som låter dig helt radera kontaktuppgifter från Freshworks. Detta kan även användas för säkerhetskopiering och arkivering.

Individens rättigheter och förfrågningar:

Enligt dataskyddsförordningen kan en individ be om att uppdatera sina uppgifter, be om en rapport som visar vilka uppgifter du har om dem och utöva sin rättighet att ”glömmas bort”. När dessa förfrågningar görs är det mycket enklare att hantera dem med hjälp av ett bra CRM-system med robust registerhantering. På så sätt kan du enkelt identifiera rätt person och se till att de endast är registrerade en gång i systemet. Freshworks gör det även lätt att visa, exportera och radera register på ett enkelt klick!

Användaråtkomst:

För att följa GDPR bör du se över ditt team och dess struktur samt hur de använder CRM-systemet och registren i systemet. Många CRM-lösningar låter dig ange vem som ska ha åtkomst till vilka uppgifter. Du bör även kunna ange vilka användare som ska kunna visa, ändra eller radera uppgifterna.

Freshworks GDPR-löfte

Innan du börjar rekommenderar vi att du läser Freshworks uttalande om dataskydd och GDPR-efterlevnad här.

Vi har en dubbelriktad GDPR-plan.

Rättslig grund för behandling

Dataskyddsförordningen GDPR anger att en organisation måste ha en rättslig grund för att samla in och behandla personuppgifter. Den rättsliga grunden kan vara medgivande (godkännande eller prenumeration, till exempel), utförande av ett kontrakt (att skicka en faktura till en av organisationens kunder) och så vidare.

Vi gör förbättringar i våra webbformulär och e-postmeddelanden för att göra det enklare för dig att registrera medgivande.

Webbformulär

Webbformulären har en valmöjlighet som låter dig inkludera rutor att bocka i som registrerar medgivande samt en textruta som kan redigeras för att ange syftet med insamlingen av uppgifterna.

E-post

E-postmeddelanden i Freshworks CRM har en funktion för medgivande eller prenumeration. Om du har kontakter som inte har gett sitt medgivande kan du använda funktionen för att skicka ett e-postmeddelande och registrera deras medgivande.

Inbyggd telefoni

Freshworks CRM-lösningen med inbyggd telefoni låter dig aktivera eller stänga av samtalsinspelning under aktiva samtal. På så sätt kan du be om uttryckligt medgivande innan du påbörjar inspelningen.

Individens rättigheter enligt GDPR

GDPR ger EU-medborgare ytterligare rättigheter som gäller användning av deras personuppgifter. Nedan kan du läsa de individuella rättigheterna såsom de relaterar till Freshworks CRM och hur du uppfyller dem.

Rätten att glömmas bort

En EU-medborgare kan när som helst be att du raderar deras personuppgifter. Vi har introducerat en funktion för detta (”Glöm bort”/”Forget”) som helt raderar kontakten från Freshworks CRM.

Rätten till dataportabilitet

En EU-medborgare kan be om en kopia av deras data för egen användning. Vi introducerar därför en exporteringsfunktion på individuell kontaktnivå. Funktionen låter dig tillhandahålla kompletta data för en individuell kontakt i Freshworks CRM på ett klick.

Rättigheter som gäller automatiskt beslutsfattande, inklusive profilering

Enligt GDPR är det ej tillåtet att behandla personuppgifter som del av automatiskt beslutsfattande eller profilering utan rättslig bas (såsom medgivande). Med detta i åtanke låter Freshworks CRM dig stänga av funktionen för automatisk berikning.

 

Ytterligare funktioner

Du kan begränsa utskick av e-post till kontakter som inte gett sitt medgivande:

Begränsad export av kontaktdata

Måste jag följa GDPR?

I ett nötskal: ja. Du måste följa GDPR. Om du befinner dig inom EU, eller har kunder inom EU, måste du enligt lagen följa GDPR. Detta eftersom GDPR strömlinjeformar hur data hanteras.

Internet har förändrat hur vi lever och arbetar. Vi söker efter allt möjligt på nätet; vi läser nyheter och tittar på underhållning, delar åsikter och meddelanden och köper allt mellan himmel och jord. Genom denna process samlar många företag in våra uppgifter, lagrar dem och handlar ofta med dem på sätt som vi inte kan kontrollera. Dessa uppgifter kan på så sätt tappas bort eller missbrukas. GDPR ser till att organisationer har en standardiserad nivå av säkerhet för att säkerställa att deras uppgifter om individer lagras och behandlas tryggt vid varje stadie samt att de inte tappas bort eller missbrukas. Med det i åtanke är det möjligt att GDPR endast är den första lagen av sin typ och att den kan följas av fler regler och bestämmelser i framtiden.

Det är upp till dig att se till att dina policyer, din praxis och dina processer följer GDPR. Vi på Freshworks CRM rekommenderar att du läser hela GDPR-texten (ja, alla 99 paragrafer) för att bekanta dig med lagen och se till att du vidtar nödvändiga åtgärder för din GDPR-efterlevnad.

Läs mer