GDPR a CRM systém: Na co si dát pozor při správě zákaznických dat v ČR

Od května 2018, kdy vstoupilo GDPR v účinnost, je každý správce osobních údajů v EU povinen dodržovat přísnější pravidla pro zpracování dat. V České republice toto nařízení doplňuje zákon č. 110/2019 Sb. o zpracování osobních údajů. Pro podnikatele, kteří používají CRM systém, to má přímý praktický dopad. Zákaznická databáze v CRM je ze své podstaty sbírkou osobních údajů. Pokud není správně zabezpečena a spravována, hrozí vám nejen pokuta, ale i ztráta důvěry zákazníků.

Co GDPR říká o zákaznických datech v CRM

Základní princip GDPR je jednoduchý: osobní údaje (jméno, e-mail, telefon, adresa, IP adresa) smíte zpracovávat pouze tehdy, pokud k tomu máte právní základ. V kontextu CRM existují tři nejčastější právní základy: plnění smlouvy (zákazník od vás kupuje, takže evidujete jeho data proto, abyste mu mohli dodat zboží nebo službu), oprávněný zájem (obchodní komunikace s existujícím zákazníkem, zlepšování produktu) a souhlas (marketingové e-maily, newsletter, remarketing).

Povinnosti správce osobních údajů

• Informační povinnost: zákazník musí vědět, kdo jeho data zpracovává, za jakým účelem a jak dlouho.
• Minimalizace dat: shromažďujte pouze ta data, která skutečně potřebujete. Nepotřebujete datum narození, pokud prodáváte software.
• Omezení účelu: data použitá k uzavření smlouvy nesmíte automaticky použít k marketingu.
• Přesnost: zastaralá nebo nesprávná data musíte opravit nebo smazat.
• Práva subjektů: zákazník může požádat o přístup, opravu, výmaz nebo přenositelnost svých dat.
• Zabezpečení: musíte přijmout technická a organizační opatření proti úniku dat.

Jak CRM systém pomáhá s GDPR compliance

Kvalitní CRM systém má GDPR compliance zabudovanou do svých funkcí. Nejde tedy o komplikaci, naopak, CRM vám GDPR usnadňuje. Záznamy souhlasů: CRM uchovává informaci o tom, kdo a kdy udělil souhlas k marketingové komunikaci. To je klíčové pro prokázání souladu při případné kontrole. Právo na výmaz: jedním kliknutím anonymizujete nebo vymažete všechna data konkrétního zákazníka, který o to požádá. Přenositelnost dat: export zákaznických dat do CSV nebo JSON pro zákazníka, který chce svá data přenést jinam. Přístupová práva: CRM zajišťuje, že k datům zákazníků mají přístup pouze oprávněné osoby.

GDPR checklist pro uživatele CRM v ČR

1. 1Zkontrolujte, zda váš CRM poskytovatel ukládá data v EU, ideálně na serverech v ČR nebo Německu.
2. 2Zjistěte, zda poskytovatel je GDPR compliant a ukládá data výhradně v EU.
3. 3Nastavte v CRM doby uchování dat: po uplynutí doby data automaticky archivujte nebo smažte.
4. 4Definujte právní základ pro každou kategorii kontaktů v CRM.
5. 5Zaznamenejte souhlasy s marketingovou komunikací a jejich datum.
6. 6Aktualizujte zásady ochrany osobních údajů na vašem webu.
7. 7Informujte zákazníky o zpracování dat při sběru kontaktů (formulář, registrace).
8. 8Proveďte interní školení týmu: každý, kdo pracuje s CRM, by měl znát základy GDPR.

Co hrozí při porušení GDPR

Úřad pro ochranu osobních údajů (ÚOOÚ) aktivně prověřuje stížnosti a provádí vlastní inspekce. V roce 2024 vydal ÚOOÚ pokuty v celkové výši přes 15 milionů korun. Nejčastěji sankcionované přestupky: neoprávněné zasílání marketingových e-mailů bez souhlasu, nedostatečné zabezpečení zákaznické databáze, neposkytnutí informací zákazníkovi na jeho žádost. Pro malou firmu je i malá pokuta výrazným finančním i reputačním zásahem.

MujCRM a GDPR: Co vám garantujeme

MujCRM je navržen s ohledem na GDPR od základu. Data jsou uložena výhradně na serverech v EU (Frankfurt), šifrována při přenosu (TLS 1.3) i při uložení (AES-256). Systém obsahuje nástroje pro správu souhlasů, export dat a smazání konkrétního zákazníka. Bezpečnost vašich zákaznických dat je naší prioritou, protože je to zároveň zákonná povinnost i základ důvěry.