Euroopa Liidu isikuandmete kaitse üldmäärus (GDPR) rakendub kõigile ettevõtetele: suurtest hulgimüüjatest väikeste kodurestoranideni. Antud teemal on palju kirjutatud, kuid sageli on artiklid väga mahukad või ei anna küsimustele vastuseid.
Käesolevas postituses selgitame, milliseid päringuid võite oodata oma klientidelt ja kuidas kaitsta klientide infot Erply-s. Siin on meie eelnev ülevaade GDPR-ist.

GDPRi eesmärgid

Määrus on kehtestatud järgmistel eesmärkidel:

Määruse reguleerimisala

GDPR kehtib igas suuruses ettevõtetele, kellel on Euroopa Liidus kliente või töötajaid.
GDPR annab võrdsed õigused kõigile teie klientidele, sealhulgas ka klientidele väljastpoolt ELi.

Mis on isikuandmete töötlemine?

Absoluutselt kõik.
Andmetöötlus algab kliendi andmete sisestamisega Erply-sse ja lõpeb kliendi andmete kustutamisega. Sealhulgas loetakse andmetöötluseks andmete vaatamist, lisamist, muutmist ja kustutamist, müügitehingut või tellimuse vastuvõtmist.

Kuidas kliendinõusolekuid koguda? Kuidas teavitada kliente andmetöötlusest?

Määrus sätestab kaks olulist nõuet, millega seoses peate uuendama ka oma püsikliendi liitumisvorme (paberkandjal või elektroonilisi) ja teenusetingimusi:

Mis õigused klientidel veel on?

Turvateadlikud kliendid ei jäta kindlasti uusi võimalusi kasutamata, seega olge valmis vastama järgnevatele küsimustele:
Märkus: Alati nõudke kliendilt isikut tõendavat dokumenti. Vale isiku teabe töötlemine on tõsine õigusrikkumine.

 


 

 


 
 

Millist isiklikku informatsiooni hoitakse Erply’s?

Isikuandmed, mida olete Erply’sse salvestanud, võivad olla järgmised:

GDPR-i puhul kehtivad kolm olulist reeglit:
 

Tundlikeks isikuandmeteks loetakse:

 

Vaadake üle ning minimeerige oma ettevõttes salvestatud andmete hulka

Esmalt tehke ülevaade kõigist teie poolt hoitavatest isikuandmetest. Selle käigus tasub küsida järgmisi küsimusi:

Salvestatud isikuandmete kogus peaks olema minimaalne. Hoidke alles ainult need andmed, mida tegelikult vajate (ja olete seaduslikult omandanud) ning kustutage ülejäänud.
Nõuanne: Äriklientide puhul võite kliendikaardile kontaktisikutesse märkida ametinimetuse, mitte töötaja nime. Sel moel ei saa Erply´s talletatud telefoninumbreid ning meiliaadresse kasutada üksikisiku tuvastamiseks ning seega pole tegemist ka isikuandmetega.
 


 

Kliendiandmete anonümiseerimine

Anonümiseeritud kliendikaart on selline, mis ei sisalda isikut tuvastavat teavet:
 


 
Kuna klienti saab tuvastada kliendikaardi numbri järgi, ei ole kliendi nime või meiliaadressi salvestamiseks tegelikult tarvidust.
Sel moel saab klient soovi korral olla anonüümne, aga säilitab samas ka boonuspunktid, personaalsed kupongid, püsikliendi hinnad ning muud hüved. Teil aga säilib kliendi detailne ostuajalugu.

Kas Erply logib andmetöötlustoiminguid?

Jah ja ei.
Jah — me logime kõiki Erplys tehtud tegevusi, vastavalt määruse nõuetele.
Kuid väljaspool Erplyt toimunud kliendiandmete töötlemist me ei näe ning logida ei saa.
Väljaspool Erplyt tehtud tegevuste jaoks peate:

  1. Pidama eraldi logi mujal, või
  2. Salvestama tehtud tegevused Erply logidesse, kasutades selleks Erply API päringut.

See puudutab:

Kasutades mõnda järgnevatest teenusepakkujatest, on hea uurida, kas nad pakuvad vajalikku logimist. Kui mitte, siis tuleb teil endal leida logimiseks lahendus.

Vahemärkus. Kliendil endal pole õigust taotleda koopiat oma logidest. Logisid hoitakse ainult nendeks puhkudeks, kui klient peaks esitama kaebuse, mille peale Andmekaitseinspektsioon algatab uurimise ning palub teie ettevõttel esitada vastavad logid. Erply saab teid sel juhul aidata.

Olulised turvalisusmeetmed, mida tuleks rakendada

Meie soovitused klientide andmete turvalisuse säilitamiseks:
 

 

  1. Ärge kasutage töö tegemisel isiklikke arvuteid või muid seadmeid.
    Töötajaid tuleb juhendada, et nad ei kasutaks töötamiseks oma isiklikke seadmeid ning ei logiks nende kaudu Erplysse või muusse teenusesse, kus te klientide andmeid säilitate. Veenduge, et kontori arvutid on turvaliselt konfigureeritud ning neis pole viiruseid ja muud pahavara.
  2. Kasutage tugevaid paroole.
    Teie klientide andmeid kaitseb parool, mida kasutate Erplysse sisselogimiseks. Rikkumise korral on teie ettevõte vastutav. Parool peaks olema piisavalt pikk ja sisaldama juhuslikke tähemärke, numbreid ning erisümboleid.
  3. Kui klient esitab taotluse oma andmetele, siis tuleb küsida isikut tõendavat dokumenti.
    Veenduge, et olete kliendi tuvastanud enne, kui avaldate neile mis tahes isikuandmeid. Andmed väljastage vaid siis, kui olete kindel, et saaja on see, kes väidab end olevat.
  4. Kaardistage oma sisemised protsessid.
    Andmekaitsemeetmeid on lihtsam rakendada, kui vastate järgnevatele küsimustele:
    - Millistes teie firma protsessides kasutatakse klientide andmeid?
    - Milliseid töötajaid see puudutab?
    - Millistele andmetele pääsetakse ligi?
    - Milline on andmetöötluse eesmärk?
    - Kus me klientide andmeid säilitame (milliste töötlejate käes) ja milline on meie õiguslik alus andmete säilitamiseks?
  5. Koolitage oma töötajaid.
    Jagage seda artiklit kõikide oma töötajate või kolleegidega. Allpool pakume välja ka lahenduse, kuidas tagada, et ükski töötaja ei saaks kliendiandmete ligipääsu enne, kui ta on läbinud vastava instruktaaži.
  6. Andmete lekkimisest tuleb teavitada.
    Ettevõttel on kohustus andmete lekkimise või volitamata juurdepääsu korral teavitada Andmekaitseinspektsiooni 72 tunni jooksul pärast rikkumise tuvastamist. Lisaks on kohustus teavitada ka kõiki juhtumit puudutavaid osapooli, sealhulgas kliente, kelle andmed olid ohtu sattunud.  
  7. Vaadake üle oma volitatud töötlejad.
    Veenduge, et ettevõtted, kellele te isikuandmeid edastate, on vastavuses GDPR-ga. Seaduse mõistes on teie ettevõte vastutav töötleja, kellel lasub ainuisikuliselt kohustus hinnata volitatud töötlejate adekvaatsust.

Uue töötaja koolitamine

Uute töötajate puhul tuleb veenduda, et nad saavad nõuetekohase väljaõppe ning ülevaate andmekaitse põhimõtetest, enne kui neile antakse juurdepääs kliendiandmetele. Selleks soovitame üles seada uute töötajate juurutusprotsessi.
Erplys peagi saadaval olev lahendus on järgmine:

  1. Paluge Erply kasutajatoel lisada oma kontole isikuandmete kaitse moodul.

    Erply isikuandmete kaitse moodul kuvab igale kasutajale hüpikakent ning küsib enne jätkamist kinnitust:

 


 
Töötajate kinnitused saab käsitsi lisada ka otse töötaja kaardil.
     2. Kinnitage töötajale antav ligipääs:
 


 
     3. Kui kõik töötajad on koolitatud, aktiveerige piirangud “Seaded” → “Üldseadistused” all:

 


 

Lõpetuseks

Loodame, et antud soovitused olid kasulikud ning aitavad teil end vastavusse viia GDPRi nõuetega.
Plaanime Erplysse veel lisada mõningaid GDPR-ga seotud funktsionaalsusi. Jääge ootele!