GDPR

General Data Protection Regulation (GDPR) je obecné nařízení na ochranu osobních údajů. Nařízení GDPR se dotkne každé společnosti, která spravuje nebo zpracovává osobní údaje. GDPR začne v celé EU platit jednotně od 25. května 2018. Cílem této stránky je zodpovědět a vyjasnit nejčastější dotazy, se kterými se na nás naši zákazníci obracejí.


Obecné informace

Jak implementovat GDPR ve Vaší společnosti

Jednoznačný postup, který by se dal použít pro každou firmu, při implementaci změn pro GDPR neexistuje. Pokud nevíte jak na to, nechte si vypracovat posudek, jak GDPR ve Vaši společnosti implementovat. Na základě posudku si pak můžete stanovit změny v interních procesech a postupech, pomocí kterých GDPR naplníte. Pro implementaci některých procesů pak můžete použít Daktelu.

Jaké osobní údaje můžete v Daktele zpracovávat

V Daktele můžete mít celou řadu dat, které je možné z pohledu GDPR považovat za osobní údaje. Jedná se zejména o:

  • Nahrávky hovorů
  • CRM kontakt
  • Helpdeskový ticket
  • Kampaňový záznam s formulářem
  • Informace o operátorech
  • Emailová, webchatová, SMS nebo jiná komunikace

Jaká je pozice Daktely vzhledem k datům, které v ní máte uloženy

Daktela je u svých zákazníků v pozici technické servisní organizace, tj. zpracovatelem osobních údajů. Vy jste v pozici správce osobních údajů. V rámci činnosti pro správce může Daktela provádět jen takové zpracovatelské operace, kterými ji správce pověří a nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen – a to na základě smluv, které mezi sebou máme uzavřeny. Data v Daktele (nahrávky hovorů, záznamy v CRM, kampaňové záznamy, přílohy tiketů apod.), se kterými Daktela jako zpracovatel pracuje, nebo přijde při plnění svých smluvních závazků do styku, jsou stále ve vlastnictví správce údajů (zákazníka). Daktela neodpovídá za soulad těchto dat (osobních údajů) s GDPR. Daktela zajišťuje pouze nezbytný technický servis pro správce osobních údajů dle jejich pokynů a v souladu s uzavřenými smlouvami a platnou legislativou.

Jak dlouho data Daktela uchovává

Předem je třeba zdůraznit, že data jsou po celou dobu ve vlastnictví našich zákazníků (správců dat) a  jsou uchována pouze po sjednanou dobu. Tato doba je sjednána předem ve smlouvě. Po ukončení spolupráce je zákazníkovi umožněno si data stáhnout a případně přenést k jinému poskytovateli. Následně se data smažou. Daktela není oprávněna tato data nikomu poskytovat či přeposílat.

Kde jsou data fyzicky uloženy

Data a servery, které Daktela provozuje za účelem poskytování služby virtuální ústředny a kontaktního centra, jsou uloženy v hostingových centrech:

  1. TTC Teleport s.r.o., Tiskařská 257/10, Praha 10, 108 00, Česká republika
  2. DC Nagano, U nákladového nádraží 3153/8, Praha 3, 130 00, Česká republika
  3. DC Benestra, Údernicka 15, Bratislava, 851 01, Slovensko

Všechny datacentra disponují nepřetržitou 24 hodinovou ostrahou. Fyzický přístup k Daktela serverům mají jen oprávnění a proškolení zaměstnanci. Veškeré přístupy jsou auditovány a monitorovány.

Jak jsou data zabezpečena

Z důvodu maximální ochrany dat je veškerý internetový provoz na virtuálních serverech zákazníků realizován přes standardní zabezpečené a šifrované protokoly (HTTPS, SSL/TLS). Veškerá komunikace je navíc směrována přes centrální firewall, který dělá realtime inspekční analýzu komunikace. V případě, že firewall na základě inspekčních pravidel vyhodnotí provoz jako podezřelý, je zdrojová IP adresa automaticky blokována.

Data jsou pravidelně zálohována a umístěna z důvodu geo redundance ve výše uvedených datacentrech.

K datům poskytnutých od zákazníků pro plnění účelu uzavřené smlouvy mají nezbytný přístup pouze proškolení zaměstnanci, kteří přistupují přes zabezpečený komunikační kanál a jsou autentifikováni uživatelským jménem a heslem. Daktela má nastaveny interní procesy a postupy na ochranu těchto přístupů. Přístup je nutný z důvodu poskytnutí technické podpory, požadovaného zásahu nebo upgradu na základě zadaných požadavků zákazníka.

Je nutná úprava stávající smluvní dokumentace

Pro naprostou většinu zákazníků jsou stávající uzavřené smlouvy dostačující a není třeba dělat žádné další úpravy. Oblast správy a ochrany osobních údajů vymezují Všeobecné obchodní podmínky v kapitole 18. Chápeme, že mohou existovat společnosti, které budou potřebovat individuální úpravy smluv. V těchto případech je nutné kontaktovat naši zodpovědnou osobu na adrese dpo@daktela.com.

Jak může Daktela konkrétně pomoci s GDPR

Autentizace uživatelů

V Daktele je každý uživatel autentizován svým uživatelským jménem a heslem. Podporována je lokální autentizace heslem nebo je možné využít externích adresářových služeb jako je OpenLDAP nebo Active Directory. V globálním nastavení ústředny je možné nastavení časové expirace hesla pro uživatele a nastavení síly hesla. Správci tak mohou vynutit použití složitějších hesel pro uživatele a jejich délku platnosti.

Veškerá komunikace s uživatelským PC a Daktelou je vedena přes standardizované šifrované komunikační protokoly.

Nastavení přístupů a práv uživatelů

V Daktele má každý uživatelský učet nastavená práva a přístupy. Přístupy určují, co může uživatel vidět v rámci povolených modulů, případně jaké operace může v povolených modulech provádět. Práva určují, jaká data uživatel v rámci daného modulu uvidí – např. jaké jiné uživatele, příslušnost do front a kampaní, apod. Za pomocí těchto nástrojů je možné v Daktele vytvořit předem definované uživatelské role, které se pak jednotlivým uživatelům přiřazují – např. operátor, teamleader, administrátor.

Zde najdete dokumentaci k nastavení práv a přístupů.

Auditní systém přístupů a změn

V Daktele je od verze 6.0 k dispozici auditní systém, který loguje veškeré změnové operace s objekty v Daktele. Každý záznam v auditním logu obsahuje časovou značku, uživatele, objekt (model), typ operace a raw API call, který operaci vyvolal včetně zdrojové IP adresy. V auditním logu tak kupříkladu najdete hromadné operace s daty (export, import), změny na ticketech, CRM kontaktech, kampaňových záznamech apod.

Od verze 6.15 bude auditní log rozšířen o logování operací jako anonymizace CRM kontaktu, mazání nahrávky, mazání webového chatu, Facebook messengeru nebo SMS chatu.

Hromadný export dat

V Daktele je možné hromadně exportovat data, která mohou obsahovat osobní údaje zákazníků. Jedná se zejména o:

  • export nahrávek
  • export CRM kontaktů a společností
  • export kampaňových záznamů
  • export ticketů
  • export výpisu dalších komunikačních kanálů – webchat, SMS chat, emailů, Facebook Messenger apod.

Pomocí nastavení přístupů můžete umožnit export jen oprávněným uživatelům.

Úprava osobních údajů v Daktele

Jedním z požadavků naplnění GDPR je umožnit správcům dat dělat úpravy osobních dat. V Daktele je možné veškeré objekty, které mohou obsahovat osobní data, upravovat. Jedná se např. CRM kontakty, kampaňové záznamy, profily operátorů apod.

Pomocí nastavení práv můžete umožnit změnu těchto dat pouze oprávněným uživatelům.

Přenos osobních dat k jinému zpracovateli

Pokud budete potřebovat přenést data v Daktele k jinému poskytovateli máte k dispozici hromadné exporty nebo můžete použít programové API rozhraní. Dokumentace k API je k dispozici zde.

Implementace práva na zapomenutí

Pokud pomine účel, za kterým jsou osobní údaje shromážděny, je nutné umožnit správcům dat umožnit vymazat osobní údaje zákazníka. V Daktele má oprávněný uživatel právo smazat potřebné údaje kliknutím na tlačítko Smazat. Takto je možné smazat CRM kontakt, helpdeskový ticket včetně příloh nebo kampaňový záznam.

Od verze 6.15 je k dispozici nové právo DPO, které umožní smazat nahrávku hovoru, webový chat, SMS chat, Facebook Messenger komunikaci nebo email a přibude nová funkce Anonymizace při mazání CRM kontaktu. Tato funkce umožní automatickou anonymizaci všech osobních údajů daného CRM kontaktu – anonymizace aktivit, helpdeskových ticketů a kampaňových záznamů. Veškeré tyto aktivity budou auditovány v auditním logu.

Pro Daktela verze V4 bude k dispozici nový nástroj, který bude umožňovat vyhledání všech typů aktivit – hovor, email, webový chat – a umožní jejich manuální smazání.

Mazání nahrávek hovorů

Všechny verze Daktely umožňují nastavit globální hodnotu pro automatickou retenci (odmazávání starších nahrávek) uložených nahrávek hovorů. Pokud je nahrávka starší než je nastavená retence, systém ji automaticky smaže. Hodnota délky retence nahrávek je stanovena ve smlouvě a je nastavena při instalaci ústředny automaticky. Tuto hodnotu je možné měnit pouze kontaktováním technické podpory.

Od verze 6.15 jsou možnosti mazání nahrávek hovorů dále rozšířené o:

  • možnost individuálního smazání nahrávky uživatelem, který disponuje právem DPO
  • možnost nastavit retenci nahrávek pro každou volací frontu zvlášť v nastavení fronty
  • možnost mazat nahrávku přes API

Pro Daktela verze V4 bude k dispozici nový nástroj, který bude umožňovat individuální mazání nahrávek hovorů.

Evidence souhlasu se zpracováním osobních údajů

V některých případech je nutné evidovat souhlas zákazníka se zpracováním osobních údajů. V Daktele máte možnost vlastní definice struktury CRM kontaktu, kampaňového záznamu nebo hlavičky ticketu. Můžete si snadno přidat novou položku na požadovaný objekt, kde budete tento souhlas evidovat. Operátoři mohou pak tuto položku snadno vyplňovat nebo měnit. Následně můžete upravit svoje interní procesy podle toho, jestli souhlas s evidencí máte nebo ne.

Souhlas se zpracováním osobních údajů ve webovém chatu

V mnoha případech je před spustěním webového chatu od zákazníka vyžadováno zadání jména a emailové adresy. V konfiguraci webchatové fronty je možné nastavit, aby byl před spuštěním webového chatu zákaznik vyzván k souhlasu se zpracovním osobních údajů. Je možné nastavit vlastní znění souhlasu se zpracovním. Zákazník nebude moci zahájit webchat bez zaškrtnutí souhlasu.

Tato funkce je k dispozici ve verzi 4.50 (V4) i 6.15 (V6).

Smazání helpdeskového ticketu

Ve všech verzích Daktely je možné helpdeskový ticket smazat. Uživatel musí mít právo na mazání ticketu. Smazáním ticketu nejsou smazány aktivity v ticketu – tedy ve výpisu např. emailů nebo hovorů budou aktivity stále viditelné, jen budou svázány se smazaných ticketem. Od verze 6.15 bude možnost smazání ticketu rozšířena o funkci Anonymizace aktivity ticketu, která všechny aktivity svázané s ticketem anonymizuje. Uživatel bude muset disponovat právem DPO a tato operace bude auditována v auditním logu.

Mazání konkrétní přílohy u helpdeskového ticketu

Pokud potřebujete smazat konkrétní přílohu u helpdeskového ticketu můžete od Daktela verze 6.15 ve výpisu emailů najít konkrétní email s přílohou a smazat celý email. Ke smazání emailu bude potřeba, aby uživatel měl oprávnění DPO. Operace mazaní emailu bude auditována do logu.

Práva na viditelnost CRM kontaktů jen pro specifické uživatele

V Daktele není možnost nastavovat přístupy na CRM kontakt jen specifickým uživatelům. Je možné povolit nebo zakázat přístup kompletně do celého CRM adresáře. Je možné zakázat exporty všech CRM kontaktů a povolit je jen pro specifické uživatele.

Tabulkový přehled rozdílu funkcionalit ve verzi V4 a V6

GDPR funkcionalitaDaktela V4Daktela V6
Individuální smazání nahrávkyAno. Umožněno uživateli s právem DPO.Ano. Umožněno uživateli s právem DPO.
Retence nahrávekAno, globálním nastavením počtu měsíců pro retenci přes všechny fronty a kampaně.Ano. Možnost globálního nastavení i nastavení retence pro každou volací frontu zvlášť. Pokud není na frontě nastaveno, použije se globální nastavení.
Auditované operaceOmezené. Auditovány jsou do systémového logu jen nekteré operace.Kompletní audit, který přístupný z webového rozhraní.
Hromadný export dat (CRM, kampaně, nahrávky). Přenositelnost k jinému zpracovateli.Ano, přes API nebo manuální exporty dat.Ano, přes API nebo manuální exporty dat.
Implementace práva být zapomenutNekompletní. Lze pouze manuálně smazat CRM kontakt, kampaňový záznam, ticket nebo nahrávku.Plná implementace. Při mazání CRM kontaktu je možné nechat anonymizovat veškeré typy aktivit, nahrávky nebo tickety, které byly s daným kontaktem uskutečněny.
Individuální smazání každého typu aktivity (hovor, webový chat, facebook chat, ticket, ...) Nekompletní. Lze smazat pouze ticket (aktivity v rámci ticketu budou viditelné), nebo nahrávku hovoru.Ano, plná implementace. Uživatel s právem DPO má možnost smazat (anonymizovat) libovolnou aktivitu.
API pro smazání nahrávky nebo emailových attachmentůNe.Ano.
Smazání CRM kontaktuAno, ale aktivity, které byly s kontaktem uskutečněny budou stále dohledatelné.Ano, přes API nebo manuálně. Možnost kompletní anonymizace aktivit, které byly s kontaktem uskutečněny.
Smazání ticketuAno, ale aktivity, které byly v rámci ticketu uskutečněny budou stále dohledatelné.Ano, přes API nebo manuálně. Možnost kompletní anonymizace aktivit, které byly v rámci ticketu uskutečněny.
Webový chat s GDPR souhlasemAno, je možné u webchatové fronty zapnout a nakonfigurovat vlastní textaci souhlasu.Ano, je možné u webchatové fronty zapnout a nakonfigurovat vlastní textaci souhlasu.

Kontakty

Pověřenec pro ochranu osobních údajů

Na základě nařízení GDPR je povinností správce či zpracovatele stanovit ve společnosti roli pověřence pro ochranu osobních údajů. Mezi povinnosti této role patří zajištění souladu interních podnikových procesů s nařízením GDPR, komunikace s úřady a případná eskalace výkonu jednotlivých procesů souvisejících s ochranou osobních údajů.

Našeho pověřence můžete kontaktovat na adrese dpo@daktela.com

Potřebujete více informací

Pokud potřebujete zodpovědět další dotazy nebo máte další požadavky ohledně toho, jak vám Daktela může pomoci s implementací GDPR, můžete poslat email na zodpovědnou osobu na adrese dpo@daktela.com