General Data Protection Regulation (GDPR) je obecné nařízení na ochranu osobních údajů. Nařízení GDPR se dotkne každé společnosti, která spravuje nebo zpracovává osobní údaje. GDPR začne v celé EU platit jednotně od 25. května 2018. Cílem této stránky je zodpovědět a vyjasnit nejčastější dotazy, se kterými se na nás naši zákazníci obracejí.
Obsah
Jednoznačný postup, který by se dal použít pro každou firmu, při implementaci změn pro GDPR neexistuje. Pokud nevíte jak na to, nechte si vypracovat posudek, jak GDPR ve Vaši společnosti implementovat. Na základě posudku si pak můžete stanovit změny v interních procesech a postupech, pomocí kterých GDPR naplníte. Pro implementaci některých procesů pak můžete použít Daktelu.
V Daktele můžete mít celou řadu dat, které je možné z pohledu GDPR považovat za osobní údaje. Jedná se zejména o:
Daktela je u svých zákazníků v pozici technické servisní organizace, tj. zpracovatelem osobních údajů. Vy jste v pozici správce osobních údajů. V rámci činnosti pro správce může Daktela provádět jen takové zpracovatelské operace, kterými ji správce pověří a nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen – a to na základě smluv, které mezi sebou máme uzavřeny. Data v Daktele (nahrávky hovorů, záznamy v CRM, kampaňové záznamy, přílohy tiketů apod.), se kterými Daktela jako zpracovatel pracuje, nebo přijde při plnění svých smluvních závazků do styku, jsou stále ve vlastnictví správce údajů (zákazníka). Daktela neodpovídá za soulad těchto dat (osobních údajů) s GDPR. Daktela zajišťuje pouze nezbytný technický servis pro správce osobních údajů dle jejich pokynů a v souladu s uzavřenými smlouvami a platnou legislativou.
Předem je třeba zdůraznit, že data jsou po celou dobu ve vlastnictví našich zákazníků (správců dat) a jsou uchována pouze po sjednanou dobu. Tato doba je sjednána předem ve smlouvě. Po ukončení spolupráce je zákazníkovi umožněno si data stáhnout a případně přenést k jinému poskytovateli. Následně se data smažou. Daktela není oprávněna tato data nikomu poskytovat či přeposílat.
Data a servery, které Daktela provozuje za účelem poskytování služby virtuální ústředny a kontaktního centra, jsou uloženy v hostingových centrech:
Všechny datacentra disponují nepřetržitou 24 hodinovou ostrahou. Fyzický přístup k Daktela serverům mají jen oprávnění a proškolení zaměstnanci. Veškeré přístupy jsou auditovány a monitorovány.
Z důvodu maximální ochrany dat je veškerý internetový provoz na virtuálních serverech zákazníků realizován přes standardní zabezpečené a šifrované protokoly (HTTPS, SSL/TLS). Veškerá komunikace je navíc směrována přes centrální firewall, který dělá realtime inspekční analýzu komunikace. V případě, že firewall na základě inspekčních pravidel vyhodnotí provoz jako podezřelý, je zdrojová IP adresa automaticky blokována.
Data jsou pravidelně zálohována a umístěna z důvodu geo redundance ve výše uvedených datacentrech.
K datům poskytnutých od zákazníků pro plnění účelu uzavřené smlouvy mají nezbytný přístup pouze proškolení zaměstnanci, kteří přistupují přes zabezpečený komunikační kanál a jsou autentifikováni uživatelským jménem a heslem. Daktela má nastaveny interní procesy a postupy na ochranu těchto přístupů. Přístup je nutný z důvodu poskytnutí technické podpory, požadovaného zásahu nebo upgradu na základě zadaných požadavků zákazníka.
Pro naprostou většinu zákazníků jsou stávající uzavřené smlouvy dostačující a není třeba dělat žádné další úpravy. Oblast správy a ochrany osobních údajů vymezují Všeobecné obchodní podmínky v kapitole 18. Chápeme, že mohou existovat společnosti, které budou potřebovat individuální úpravy smluv. V těchto případech je nutné kontaktovat naši zodpovědnou osobu na adrese dpo@daktela.com.
V Daktele je každý uživatel autentizován svým uživatelským jménem a heslem. Podporována je lokální autentizace heslem nebo je možné využít externích adresářových služeb jako je OpenLDAP nebo Active Directory. V globálním nastavení ústředny je možné nastavení časové expirace hesla pro uživatele a nastavení síly hesla. Správci tak mohou vynutit použití složitějších hesel pro uživatele a jejich délku platnosti.
Veškerá komunikace s uživatelským PC a Daktelou je vedena přes standardizované šifrované komunikační protokoly.
V Daktele má každý uživatelský učet nastavená práva a přístupy. Přístupy určují, co může uživatel vidět v rámci povolených modulů, případně jaké operace může v povolených modulech provádět. Práva určují, jaká data uživatel v rámci daného modulu uvidí – např. jaké jiné uživatele, příslušnost do front a kampaní, apod. Za pomocí těchto nástrojů je možné v Daktele vytvořit předem definované uživatelské role, které se pak jednotlivým uživatelům přiřazují – např. operátor, teamleader, administrátor.
Zde najdete dokumentaci k nastavení práv a přístupů.
V Daktele je od verze 6.0 k dispozici auditní systém, který loguje veškeré změnové operace s objekty v Daktele. Každý záznam v auditním logu obsahuje časovou značku, uživatele, objekt (model), typ operace a raw API call, který operaci vyvolal včetně zdrojové IP adresy. V auditním logu tak kupříkladu najdete hromadné operace s daty (export, import), změny na ticketech, CRM kontaktech, kampaňových záznamech apod.
Od verze 6.15 bude auditní log rozšířen o logování operací jako anonymizace CRM kontaktu, mazání nahrávky, mazání webového chatu, Facebook messengeru nebo SMS chatu.
V Daktele je možné hromadně exportovat data, která mohou obsahovat osobní údaje zákazníků. Jedná se zejména o:
Pomocí nastavení přístupů můžete umožnit export jen oprávněným uživatelům.
Jedním z požadavků naplnění GDPR je umožnit správcům dat dělat úpravy osobních dat. V Daktele je možné veškeré objekty, které mohou obsahovat osobní data, upravovat. Jedná se např. CRM kontakty, kampaňové záznamy, profily operátorů apod.
Pomocí nastavení práv můžete umožnit změnu těchto dat pouze oprávněným uživatelům.
Pokud budete potřebovat přenést data v Daktele k jinému poskytovateli máte k dispozici hromadné exporty nebo můžete použít programové API rozhraní. Dokumentace k API je k dispozici zde.
Pokud pomine účel, za kterým jsou osobní údaje shromážděny, je nutné umožnit správcům dat umožnit vymazat osobní údaje zákazníka. V Daktele má oprávněný uživatel právo smazat potřebné údaje kliknutím na tlačítko Smazat. Takto je možné smazat CRM kontakt, helpdeskový ticket včetně příloh nebo kampaňový záznam.
Od verze 6.15 je k dispozici nové právo DPO, které umožní smazat nahrávku hovoru, webový chat, SMS chat, Facebook Messenger komunikaci nebo email a přibude nová funkce Anonymizace při mazání CRM kontaktu. Tato funkce umožní automatickou anonymizaci všech osobních údajů daného CRM kontaktu – anonymizace aktivit, helpdeskových ticketů a kampaňových záznamů. Veškeré tyto aktivity budou auditovány v auditním logu.
Pro Daktela verze V4 bude k dispozici nový nástroj, který bude umožňovat vyhledání všech typů aktivit – hovor, email, webový chat – a umožní jejich manuální smazání.
Všechny verze Daktely umožňují nastavit globální hodnotu pro automatickou retenci (odmazávání starších nahrávek) uložených nahrávek hovorů. Pokud je nahrávka starší než je nastavená retence, systém ji automaticky smaže. Hodnota délky retence nahrávek je stanovena ve smlouvě a je nastavena při instalaci ústředny automaticky. Tuto hodnotu je možné měnit pouze kontaktováním technické podpory.
Od verze 6.15 jsou možnosti mazání nahrávek hovorů dále rozšířené o:
Pro Daktela verze V4 bude k dispozici nový nástroj, který bude umožňovat individuální mazání nahrávek hovorů.
V některých případech je nutné evidovat souhlas zákazníka se zpracováním osobních údajů. V Daktele máte možnost vlastní definice struktury CRM kontaktu, kampaňového záznamu nebo hlavičky ticketu. Můžete si snadno přidat novou položku na požadovaný objekt, kde budete tento souhlas evidovat. Operátoři mohou pak tuto položku snadno vyplňovat nebo měnit. Následně můžete upravit svoje interní procesy podle toho, jestli souhlas s evidencí máte nebo ne.
V mnoha případech je před spustěním webového chatu od zákazníka vyžadováno zadání jména a emailové adresy. V konfiguraci webchatové fronty je možné nastavit, aby byl před spuštěním webového chatu zákaznik vyzván k souhlasu se zpracovním osobních údajů. Je možné nastavit vlastní znění souhlasu se zpracovním. Zákazník nebude moci zahájit webchat bez zaškrtnutí souhlasu.
Tato funkce je k dispozici ve verzi 4.50 (V4) i 6.15 (V6).
Ve všech verzích Daktely je možné helpdeskový ticket smazat. Uživatel musí mít právo na mazání ticketu. Smazáním ticketu nejsou smazány aktivity v ticketu – tedy ve výpisu např. emailů nebo hovorů budou aktivity stále viditelné, jen budou svázány se smazaných ticketem. Od verze 6.15 bude možnost smazání ticketu rozšířena o funkci Anonymizace aktivity ticketu, která všechny aktivity svázané s ticketem anonymizuje. Uživatel bude muset disponovat právem DPO a tato operace bude auditována v auditním logu.
Pokud potřebujete smazat konkrétní přílohu u helpdeskového ticketu můžete od Daktela verze 6.15 ve výpisu emailů najít konkrétní email s přílohou a smazat celý email. Ke smazání emailu bude potřeba, aby uživatel měl oprávnění DPO. Operace mazaní emailu bude auditována do logu.
V Daktele není možnost nastavovat přístupy na CRM kontakt jen specifickým uživatelům. Je možné povolit nebo zakázat přístup kompletně do celého CRM adresáře. Je možné zakázat exporty všech CRM kontaktů a povolit je jen pro specifické uživatele.
| GDPR funkcionalita | Daktela V4 | Daktela V6 |
|---|---|---|
| Individuální smazání nahrávky | Ano. Umožněno uživateli s právem DPO. | Ano. Umožněno uživateli s právem DPO. |
| Retence nahrávek | Ano, globálním nastavením počtu měsíců pro retenci přes všechny fronty a kampaně. | Ano. Možnost globálního nastavení i nastavení retence pro každou volací frontu zvlášť. Pokud není na frontě nastaveno, použije se globální nastavení. |
| Auditované operace | Omezené. Auditovány jsou do systémového logu jen nekteré operace. | Kompletní audit, který přístupný z webového rozhraní. |
| Hromadný export dat (CRM, kampaně, nahrávky). Přenositelnost k jinému zpracovateli. | Ano, přes API nebo manuální exporty dat. | Ano, přes API nebo manuální exporty dat. |
| Implementace práva být zapomenut | Nekompletní. Lze pouze manuálně smazat CRM kontakt, kampaňový záznam, ticket nebo nahrávku. | Plná implementace. Při mazání CRM kontaktu je možné nechat anonymizovat veškeré typy aktivit, nahrávky nebo tickety, které byly s daným kontaktem uskutečněny. |
| Individuální smazání každého typu aktivity (hovor, webový chat, facebook chat, ticket, ...) | Nekompletní. Lze smazat pouze ticket (aktivity v rámci ticketu budou viditelné), nebo nahrávku hovoru. | Ano, plná implementace. Uživatel s právem DPO má možnost smazat (anonymizovat) libovolnou aktivitu. |
| API pro smazání nahrávky nebo emailových attachmentů | Ne. | Ano. |
| Smazání CRM kontaktu | Ano, ale aktivity, které byly s kontaktem uskutečněny budou stále dohledatelné. | Ano, přes API nebo manuálně. Možnost kompletní anonymizace aktivit, které byly s kontaktem uskutečněny. |
| Smazání ticketu | Ano, ale aktivity, které byly v rámci ticketu uskutečněny budou stále dohledatelné. | Ano, přes API nebo manuálně. Možnost kompletní anonymizace aktivit, které byly v rámci ticketu uskutečněny. |
| Webový chat s GDPR souhlasem | Ano, je možné u webchatové fronty zapnout a nakonfigurovat vlastní textaci souhlasu. | Ano, je možné u webchatové fronty zapnout a nakonfigurovat vlastní textaci souhlasu. |
Na základě nařízení GDPR je povinností správce či zpracovatele stanovit ve společnosti roli pověřence pro ochranu osobních údajů. Mezi povinnosti této role patří zajištění souladu interních podnikových procesů s nařízením GDPR, komunikace s úřady a případná eskalace výkonu jednotlivých procesů souvisejících s ochranou osobních údajů.
Našeho pověřence můžete kontaktovat na adrese dpo@daktela.com
Pokud potřebujete zodpovědět další dotazy nebo máte další požadavky ohledně toho, jak vám Daktela může pomoci s implementací GDPR, můžete poslat email na zodpovědnou osobu na adrese dpo@daktela.com