Praktiline juhend Euroopa Liidu isikuandmete kaitse üldmäärusele

Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR) rakendub kõigile ettevõtetele: suurtest hulgimüüjatest väikeste kodurestoranideni. Antud teemal on palju kirjutatud, kuid sageli on artiklid väga mahukad või ei anna küsimustele vastuseid.
Käesolevas postituses selgitame, milliseid päringuid võite oodata oma klientidelt ja kuidas kaitsta klientide infot Erply-s. Siin on meie eelnev ülevaade GDPR-ist.

GDPRi eesmärgid

Määrus on kehtestatud järgmistel eesmärkidel:

• Infosüsteemides talletada vähem isikuandmeid.
• Muuta andmete töötlemine läbipaistvaks, kontrollitavaks ja turvaliseks.
• Kaitsta andmeid väärkasutuse ja rikkumiste eest.

Määruse reguleerimisala

GDPR kehtib igas suuruses ettevõtetele, kellel on Euroopa Liidus kliente või töötajaid.
GDPR annab võrdsed õigused kõigile teie klientidele, sealhulgas ka klientidele väljastpoolt ELi.

Mis on isikuandmete töötlemine?

Absoluutselt kõik.
Andmetöötlus algab kliendi andmete sisestamisega Erply-sse ja lõpeb kliendi andmete kustutamisega. Sealhulgas loetakse andmetöötluseks andmete vaatamist, lisamist, muutmist ja kustutamist, müügitehingut või tellimuse vastuvõtmist.

Kuidas kliendinõusolekuid koguda? Kuidas teavitada kliente andmetöötlusest?

Määrus sätestab kaks olulist nõuet, millega seoses peate uuendama ka oma püsikliendi liitumisvorme (paberkandjal või elektroonilisi) ja teenusetingimusi:

• Klient peab olema temaga seonduvast andmetöötlusest teavitatud.
  
  Enne isikuandmete kogumist peate kliendile selgitama, millistel eesmärkidel nende andmeid kasutama hakatakse. See on ühtlasi ka võimalus klientidele selgitada, mis moel nemad andmetöötlusest kasu saavad.
  
  Samuti peate koostama nimekirja kõigist kaastöötlejatest ja volitatud töötlejatest: ettevõtetest, kellega klientide andmeid jagatakse. Klientidel on õigus seda infot teada. Loomulikult on volitatud töötlejate hulgas ka Erply, aga kui teil on veebipood või mõni muu integratsioon, siis võib osapooli olla rohkem.
  
  Selgitage, kes vastutab kliendi andmete eest ja mis turvameetmeid kasutatakse andmete hoiustamiseks.
  
  Teavituskohustuse üksikasjad on loetletud GDPR artiklis 13.

• Klient peab andma nõusoleku igaks andmetöötluseks.
  
  Loetlege oma andmetöötluse eesmärgid. Need on tõenäoliselt igal ettevõttel erinevad. On oluline, et need eesmärgid oleks kirjeldatud lihtsas ja mõistetavas keeles — kliendid ei peaks teie andmetöötluseesmärkide mõistmiseks vajama juristi abi.
  
  Teie ettevõte peab säilitama saadud nõusolekute pabervormid või elektrooniliselt esitatud andmed, et neile hiljem vajadusel viidata.
  
  Erply ei paku andmevälju klientide nõusolekute salvestamiseks, ainuke sellekohane väli kliendikaardil on "Klient ei soovi saada e-posti". Andmetöötluse eesmärgid on iga ettevõtte jaoks individuaalsed ja seetõttu ei saa meie neid reguleerida.

Mis õigused klientidel veel on?

Turvateadlikud kliendid ei jäta kindlasti uusi võimalusi kasutamata, seega olge valmis vastama järgnevatele küsimustele:
Märkus: Alati nõudke kliendilt isikut tõendavat dokumenti. Vale isiku teabe töötlemine on tõsine õigusrikkumine.

• Mis informatsiooni minu kohta hoitakse?
  
  Kogu kliendi kohta käivat informatsiooni hoitakse Erply laopoolel (n-ö halduris) kliendikaardil. Vajadusel kontrollige see üle:

• Ma soovin koopiat andmetest, mida minu kohta hoitakse.
  
  GDPR võimaldab isikutel taotleda oma kliendikaardi ja tehingute ajaloo koopiat. Lähiajal saab seda infot elektroonilisel kujul välja võtta halduris kliendikaardilt:

• Ma ei soovi, et minu andmeid töödeldakse … eesmärgil.Nõusolek ei ole jäädav. Alati lubage klientidel oma nõusolek tagasi võtta.
• Ma soovin uuendada või kustutada mind puudutavat informatsiooni.Uuendage või kustutage kliendi palvel tema andmeid.
  
  Kliendi andmete kustutamise eelduseks on maksmata arvete puudumine. Kliendikaardi võib kustutada täielikult, aga võib ka tühjendada vaid vastavad väljad, milleks klient on soovi avaldanud.
  
  Andmete haldamine võiks olla järjepidev protsess; kassapidajad võiks näiteks korra aastas paluda kliendil oma telefoninumbri ja e-postiaadressi üle kinnitada.

Millist isiklikku informatsiooni hoitakse Erply’s?

Isikuandmed, mida olete Erply’sse salvestanud, võivad olla järgmised:

• Nimi, sugu, sünnikuupäev
• Kontaktinfo: e-posti aadress, telefoninumber, Skype kasutajanimi jne.
• Aadress
• Kontaktisikute andmed
• Kliendigrupp
• Kliendikaardi number
• E-poe kasutajanimi ja parool
• Tööandja nimi
• Igasugune lisainformatsioon, mida hoitakse näiteks atribuutides, märkustes või klientide tellimustel.

GDPR-i puhul kehtivad kolm olulist reeglit:
 

• Olge ettevaatlikud isikliku info hoiustamisel märkuste lahtris või atribuutides. See puudutab ka muid dokumente, näiteks lahtrit "Märkused" tellimuse vormil. Seda infot on hiljem raske leida ning kui klient nõuab, et tema isikuandmed teie süsteemist eemaldataks, osutub see väga keeruliseks.
• ÄRGE koguge alla 16-aastaste isikuandmeid; laste isikuandmete töötlemiseks on vajalik vanema või hooldaja nõusolek.
• ÄRGE hoidke tundlikke isikuandmeid Erply-s. See on seadusega keelatud.

Tundlikeks isikuandmeteks loetakse:

• • Rassiline kuuluvus või etniline päritolu;
  • Poliitiline kuuluvus ja vaated;
  • Religioossed või filosoofilised uskumused;
  • Ametiühingu liikmelisus;
  • Geneetilised või biomeetrilised andmed;
  • Tervislik seisund;
  • Seksuaalelu ja -sättumus.

Vaadake üle ning minimeerige oma ettevõttes salvestatud andmete hulka

Esmalt tehke ülevaade kõigist teie poolt hoitavatest isikuandmetest. Selle käigus tasub küsida järgmisi küsimusi:

• Mille jaoks me andmeid hoiame?
• Kuidas me need saime?
• Mille jaoks need algselt koguti?
• Kui kaua neid säilitame?
• Kas me jagame andmeid kolmandate osapooltega või salvestame neid teistes volitatud töötlejate süsteemides?

Salvestatud isikuandmete kogus peaks olema minimaalne. Hoidke alles ainult need andmed, mida tegelikult vajate (ja olete seaduslikult omandanud) ning kustutage ülejäänud.
Nõuanne: Äriklientide puhul võite kliendikaardile kontaktisikutesse märkida ametinimetuse, mitte töötaja nime. Sel moel ei saa Erply´s talletatud telefoninumbreid ning meiliaadresse kasutada üksikisiku tuvastamiseks ning seega pole tegemist ka isikuandmetega.
 


 

Kliendiandmete anonümiseerimine

Anonümiseeritud kliendikaart on selline, mis ei sisalda isikut tuvastavat teavet:
 


 
Kuna klienti saab tuvastada kliendikaardi numbri järgi, ei ole kliendi nime või meiliaadressi salvestamiseks tegelikult tarvidust.
Sel moel saab klient soovi korral olla anonüümne, aga säilitab samas ka boonuspunktid, personaalsed kupongid, püsikliendi hinnad ning muud hüved. Teil aga säilib kliendi detailne ostuajalugu.

Kas Erply logib andmetöötlustoiminguid?

Jah ja ei.
Jah — me logime kõiki Erplys tehtud tegevusi, vastavalt määruse nõuetele.
Kuid väljaspool Erplyt toimunud kliendiandmete töötlemist me ei näe ning logida ei saa.
Väljaspool Erplyt tehtud tegevuste jaoks peate:

1. Pidama eraldi logi mujal, või
2. Salvestama tehtud tegevused Erply logidesse, kasutades selleks Erply API päringut.

See puudutab:

• Kliendiandmete eksportimist Erplyst
• Kliendiandmete sünkroniseerimist üle API teise süsteemi.

Kasutades mõnda järgnevatest teenusepakkujatest, on hea uurida, kas nad pakuvad vajalikku logimist. Kui mitte, siis tuleb teil endal leida logimiseks lahendus.

• MailChimp
• FreshMail
• SendInBlue
• ShopRoller
• Shopify
• Magento
• jne.

Vahemärkus. Kliendil endal pole õigust taotleda koopiat oma logidest. Logisid hoitakse ainult nendeks puhkudeks, kui klient peaks esitama kaebuse, mille peale Andmekaitseinspektsioon algatab uurimise ning palub teie ettevõttel esitada vastavad logid. Erply saab teid sel juhul aidata.

Olulised turvalisusmeetmed, mida tuleks rakendada

Meie soovitused klientide andmete turvalisuse säilitamiseks:
 

• Ärge hoidke kliendiandmeid oma arvutis.
  Kui on tarvis klientide andmeid eksportida, siis tuleb need kindlasti pärast töötlemist arvutist ära kustutada.

1. Ärge kasutage töö tegemisel isiklikke arvuteid või muid seadmeid.
   Töötajaid tuleb juhendada, et nad ei kasutaks töötamiseks oma isiklikke seadmeid ning ei logiks nende kaudu Erplysse või muusse teenusesse, kus te klientide andmeid säilitate. Veenduge, et kontori arvutid on turvaliselt konfigureeritud ning neis pole viiruseid ja muud pahavara.
2. Kasutage tugevaid paroole.
   Teie klientide andmeid kaitseb parool, mida kasutate Erplysse sisselogimiseks. Rikkumise korral on teie ettevõte vastutav. Parool peaks olema piisavalt pikk ja sisaldama juhuslikke tähemärke, numbreid ning erisümboleid.
3. Kui klient esitab taotluse oma andmetele, siis tuleb küsida isikut tõendavat dokumenti.
   Veenduge, et olete kliendi tuvastanud enne, kui avaldate neile mis tahes isikuandmeid. Andmed väljastage vaid siis, kui olete kindel, et saaja on see, kes väidab end olevat.
4. Kaardistage oma sisemised protsessid.
   Andmekaitsemeetmeid on lihtsam rakendada, kui vastate järgnevatele küsimustele:
   - Millistes teie firma protsessides kasutatakse klientide andmeid?
   - Milliseid töötajaid see puudutab?
   - Millistele andmetele pääsetakse ligi?
   - Milline on andmetöötluse eesmärk?
   - Kus me klientide andmeid säilitame (milliste töötlejate käes) ja milline on meie õiguslik alus andmete säilitamiseks?
5. Koolitage oma töötajaid.
   Jagage seda artiklit kõikide oma töötajate või kolleegidega. Allpool pakume välja ka lahenduse, kuidas tagada, et ükski töötaja ei saaks kliendiandmete ligipääsu enne, kui ta on läbinud vastava instruktaaži.
6. Andmete lekkimisest tuleb teavitada.
   Ettevõttel on kohustus andmete lekkimise või volitamata juurdepääsu korral teavitada Andmekaitseinspektsiooni 72 tunni jooksul pärast rikkumise tuvastamist. Lisaks on kohustus teavitada ka kõiki juhtumit puudutavaid osapooli, sealhulgas kliente, kelle andmed olid ohtu sattunud.  
7. Vaadake üle oma volitatud töötlejad.
   Veenduge, et ettevõtted, kellele te isikuandmeid edastate, on vastavuses GDPR-ga. Seaduse mõistes on teie ettevõte vastutav töötleja, kellel lasub ainuisikuliselt kohustus hinnata volitatud töötlejate adekvaatsust.

Uue töötaja koolitamine

Uute töötajate puhul tuleb veenduda, et nad saavad nõuetekohase väljaõppe ning ülevaate andmekaitse põhimõtetest, enne kui neile antakse juurdepääs kliendiandmetele. Selleks soovitame üles seada uute töötajate juurutusprotsessi.
Erplys peagi saadaval olev lahendus on järgmine:

1. Paluge Erply kasutajatoel lisada oma kontole isikuandmete kaitse moodul.
   
   Erply isikuandmete kaitse moodul kuvab igale kasutajale hüpikakent ning küsib enne jätkamist kinnitust:

 


 
Töötajate kinnitused saab käsitsi lisada ka otse töötaja kaardil.
     2. Kinnitage töötajale antav ligipääs:
 


 
     3. Kui kõik töötajad on koolitatud, aktiveerige piirangud “Seaded” → “Üldseadistused” all:

 


 

Lõpetuseks

Loodame, et antud soovitused olid kasulikud ning aitavad teil end vastavusse viia GDPRi nõuetega.
Plaanime Erplysse veel lisada mõningaid GDPR-ga seotud funktsionaalsusi. Jääge ootele!