Zoho CRM一直遵守GDPR合规性

仅仅保护客户的个人数据是不够的。GDPR 要求您在处理个人数据时保持透明性和安全性。使用 Zoho CRM 让您的数据收集和数据处理符合 GDPR。

以下是我们可以为您提供的帮助

  • 追踪数据源并确保双重选择性加入
  • 获取并管理同意书
  • 加密和保护个人数据
  • 轻松处理数据主体请求
  • 控制共享给其它应用的信息
功能
  • 功能
  • 常见问题

数据收集

在开始处理客户信息之前,先追踪您客户数据的来源,并同时确认客户对您服务的兴趣度。

数据源追踪

通过多个客户数据来源(Web 表单、导入、手动创建、API 或第三方集成),在客户的详细记录信息下跟踪所有的数据。对于 Web 表单,将捕获表单名称和 IP 地址等其它详细信息。

双重选择性加入

数据处理

确保合法、安全地处理客户的个人数据。通过记录对客户数据所做的处理活动来对其负责。

数据处理基础

根据数据处理的六个法律依据(合法权益、同意书、合同履行、法律义务、切身利益或公共利益)之一来识别、分类和标记客户。

同意书

基于客户类型和正在处理的个人信息,您必须征得他们的同意。您可以将自定义的同意书邮件发送给您的客户,轻松获得他们的同意。

标记个人字段

标记包含个人信息的字段,并确定信息是否敏感。根据“合规性设置”下的首选项,您可以在导出、API 和连接服务期间限制对这些字段信息的处理。

静态加密 (EAR)

Zoho CRM 使用最强大、最可靠的加密方法之一 AES(高级加密标准)来加密您的敏感数据。除了在传输过程中保护数据之外,Zoho CRM 还使用 AES-256 加密标准来保护存储在服务器中的数据,确保客户信息的匿名化,以防泄露。

审计日志

使用审计日志监控团队的活动,以便追踪谁在何时做了什么。例如,审计您的用户针对记录删除和修改所做的所有操作。

数据主体权益

客户可随时行使其在GDPR下享有的各种权利。跟踪这些请求并及时处理。

访问(访问权)

让您的客户通过客户门户访问他们的数据。或者通过在模板中插入所需的合并字段来创建并发送邮件给客户,以提供访问给他们。

纠正(纠正权)

轻松导出客户信息,发送给他们进行纠正,并在 CRM 中进行更新。如果客户有权访问客户门户,则他们可以在那里查看他们的信息,并在必要时自行更新。

导出(数据迁移权)

将客户信息导出为 CSV 文件,该文件直接附加到电子邮件中,然后发送给客户。此导出可确保不会有任何的信息存储在外部设备上。

停止处理(限制处理权)

行使此权利后,客户的记录会被自动锁定,以防止对这些信息的进一步处理。

删除(被遗忘权)

当请求行使“被遗忘权”时,您可以轻松从 Zoho CRM 删除客户信息。一旦删除,记录将被移动到阻止列表,以便在同一记录被再次推送到系统时警告用户。

常见问题解答

1. GDPR 是什么,它将如何影响机构?
《通用数据保护条例》(GDPR) 是欧盟 (EU) 的一项新规,涉及个人数据的保护和自由移动以及包括儿童在内的个人权利。它是将取代现有数据保护指令(指令 95/46/EC)的一套规则,并将在整个欧盟范围内实施。GDPR 将支持欧盟居民直接控制自己数据的处理方式,从而保护他们的数据隐私。
2. GDPR 的适用对象有哪些?
GDPR 将适用于位于欧盟的公司,以及与欧盟居民开展业务的公司,无论公司位于何处。
3. GDPR 适用于哪种数据?
GDPR 仅适用于个人数据。个人数据的定义是“与一个确定的或可识别的人或数据主体相关的任何信息”。这包括数据主体(客户)的姓名、电子邮件地址、位置和其它在线标识符,例如 IP 地址、社交媒体资料信息和网站 Cookie 的类型。
4. GDPR 合规性是否适用于 Zoho CRM 中的所有模块?
GDPR 合规性仅适用于机构中与人员相关的模块。在 Zoho CRM 中,GDPR 适用于线索、联系人、供应商和自定义模块。
5. GDPR 中的关键利益相关者有哪些?
  • 数据主体 - 您收集或处理其个人数据的任何人。
  • 数据控制者 - 确定处理数据的目的和方法的人。
  • 联合控制者 - 两个或多个共同确定处理数据的目的和方法的控制者。
  • 数据处理者 - 代表控制者处理数据的个人或公司。
  • 数据子处理者 - 为其他公司执行数据处理而且需为数据处理负责的第三方个人或企业。
  • 监管机构 - 监督 GDPR 应用情况的公共机构。
6. 数据控制者可以用来处理客户数据的合法依据是什么?
数据控制者可以从 6 个数据处理基础中进行选择。这些依据包括:
  • 1. 合同 - 这适用于您需要处理客户的个人数据以履行您的合同义务或根据客户要求采取某些措施(例如发送报价或账单)的情况。
  • 2. 法律义务 - 这适用于您必须遵守任何适用法律下的义务(例如,按当局的调查等有效请求提供信息)的情况。
  • 3. 切身利益 - 这适用于生死攸关的紧急事件,尤其是在健康数据方面。
  • 4. 公共任务 - 这适用于公共机构的活动。
  • 5. 合法利益 - 合法利益可以包括商业利益,如直接营销、个人利益或更广泛的社会利益。控制者必须以合法权益评估的形式记录和保存合法权益决策记录。
  • 6. 同意书 - 同意书也是处理数据的合法性依据。所谓数据主体的同意是指“通过声明或明确的肯定行动,任何自由提供、具体、明确的数据主体意愿的表示,表明他或她同意处理与他或她有关的个人数据。”
7. LIA 是什么?
LIA 代表合法权益评估。它指定了机构想要处理客户个人数据的原因。该机构还必须进行 LIA ,以证明处理是必要的。
  • 对合法权益是否存在的评估。
  • 确立处理的必要性。
  • 平衡测试的表现。
8. DPO 是谁/是什么?
数据保护官 (DPO) 帮助您监控内部合规性,向您提供有关数据保护义务的信息和建议,以及有关数据保护影响评估 (DPIA) 的建议,并充当数据主体和监管机构之间的联系点。
DPO 还可作为公司与监督数据处理相关活动的任何监管机构 (SA) 之间的联系点。建议每个机构都要设置 DPO。
9. 如何为现有客户启用 GDPR?
您可以为现有客户启用 GDPR,方法是单击“设置”>“用户及控制”>“合规性设置”,启用合规性设置以及选择适用合规性的模块。
10. GDPR 生效后,我在 Zoho CRM 中的现有数据会怎样?
GDPR 于 5 月 25 日生效后,您的 Zoho CRM 帐户中的所有现有记录都需要在适当的合法处理依据下进行标记。您可以通过以下方式来完成:
  • “概览”页面
  • 相关模块的列表视图
  • 个人记录
11. Zoho CRM 如何帮助您完成 GDPR 合规之旅?
以下是 Zoho CRM 帮助您实现 GDPR 合规性的方式。

数据源跟踪 - Zoho CRM 会记录数据的来源(Web 表单等直接来源和 UI、导入、API 和其它第三方集成等间接来源),以及记录详细信息页面中的其它详细信息(如URL、IP 地址等,如有)。这些详细信息可根据要求与客户共享。

标记个人字段 - 用户可以选择标记包含个人数据的字段,也可以标记敏感字段。

数据主体的权利 - 您的客户还有权要求访问、纠正、删除、导出和限制正处理的数据。作为数据控制者,您需要执行这些操作。
12. Zoho CRM 中数据主体在 GDPR 下有哪些权利?
在 Zoho CRM 中,数据主体将拥有 GDPR 下八项基本权利中的五项:
  • 访问权 - 客户有权确切知道保留了他们的哪些信息以及这些信息的处理方式。(GDPR 第 15 条)
  • 纠正权 - 个人/客户有权纠正其个人数据,以防其不准确或不完整。(第 16 条)
  • 迁移权 - 可以导出客户的特定信息并将其附加到电子邮件中,然后以机器可读格式 (CSV) 发送给客户,而无需下载到您的设备(第 20 条)。
  • 限制处理权 - 个人有权限制控制者处理其数据的目的。(第 18 条)
  • 删除权 - 也被称为“被遗忘权”,个人有权随时删除或移除他们的个人数据。(第 17 条)
13. 您可以通过哪些不同的方式获得客户的同意?
您可以通过电子邮件(内联电子邮件或电子邮件所附的同意书)、门户或通过电话以口头方式获得客户的同意。
14. 如果机构不遵守 GDPR,会发生什么情况?
对于最严重的数据泄露或侵权行为,包括没有获得客户充分同意处理数据或故意违反隐私核心内容,机构可能会被处以高达其年度全球营业额 4% 或 2000 万欧元(以较高者为准)的罚款。
如果他们没有整理好他们的记录,没有通知监管机构和客户相关违规行为,或者没有正确执行 LIA,则可能被处于年度全球营业额 2% 或 1000 万欧元(以较高者为准)的罚款。
15. 我的业务不在欧盟。我也没有来自欧盟的客户。我还需要遵守 GDPR 吗?
如果您在欧盟没有业务或没有与欧盟居民做生意,则 GDPR 不是强制性的。但是,如果您希望确保更好的安全性和客户数据的隐私性,建议遵守 GDPR。您可以通过单击“设置”>“用户及控制”>“合规性设置”并启用该选项来完成此操作。
16. GDPR 是否强制加密数据?
不,GDPR 不强制要求加密客户的数据。但是,Zoho CRM 允许您在字段的属性页面中手动加密字段。
17. 我可以在 Web 表单中使用加密字段吗?
可以,您可以在 Web 表单中使用加密字段。
18. 我禁用了合规性。这将会对我的记录的现有数据处理基础造成如何的影响?
当您转到合规性设置页面并禁用合规性时,您之前对数据主体数据执行的处理活动将变得无效,并且数据将在没有任何依据的情况下进行处理。
19. 客户可以从 Zoho CRM 删除或移除他们的数据吗?
客户可以行使删除权(也称为“被遗忘权”)(第 17 条),以请求从 CRM 删除或移除其个人数据。作为数据控制者,如果客户要求,您将不得不删除数据,除非您有保留数据的法律义务(参见欧盟 GDPR 第 17 条)。
20. 数据控制者如何跟踪 Zoho CRM 中发生的各种数据处理活动?
数据控制者可以转到 Zoho CRM 中的现有时间轴视图,并跟踪对各个记录的数据处理活动所做的更新和更改。
21. 双重选择性加入对数据处理是否是强制性的?
不是,双重选择性加入对数据处理不是强制性的。但是,建议采用双重选择性加入,以确保客户对产品真正感兴趣。在双重选择性加入下,一旦客户通过 Web 表单注册,客户将收到一封额外的电子邮件以确认其身份。
22. 如果客户在特定时间段内未回复同意电子邮件,数据会发生什么变化?
如果客户未回复同意电子邮件,则数据控制者可以决定他们对于回复的等待期。一旦超过该时间段,记录的状态将为“未响应”,并且数据不会得到处理。
23. 数据控制者如何对 Zoho CRM 中的字段进行分类?
数据控制者可以选择在 Zoho CRM 中将用户字段标记为个人字段和敏感字段。控制者还可以限制 Zoho CRM 的导出、API 和其它连接服务(诸如Campaigns )等活动对这些字段进行处理。
24. 我可以根据数据处理基础筛选线索和联系人吗?
是的,您可以根据数据处理基础来筛选线索和联系人。
25. 在同意授权给数据控制者之前,数据主体是否可以编辑或删除自己的数据?
是的,数据主体可以通过纠正权(第 16 条)和删除权(第 17 条)来编辑和更新其个人数据。
26. 谁可以访问 Zoho CRM 中的合规性设置?
管理员角色的用户可以访问 Zoho CRM 中的合规性设置。
27. 我多久可以审查一次处理数据的合法性依据?
作为数据控制者,您应该定期审查处理数据的合法性依据。这是因为您最初处理个人数据的合法依据和数据收集的目的可能会随着时间的推移而发生改变。
28. 我的数据目前驻留在美国数据中心。如何将此数据迁移到欧盟数据中心以达到 GDPR 合规性?
GDPR 并未强制要求数据应仅驻留在欧盟境内。它实际上也为欧盟以外国家数据自由流进和流出提供了很好的传输机制。

其中一些传输机制是具有约束力的公司规则(第 47 条)、隐私保护和示范合同条款等。因此,如果您的数据在美国 (zoho.com) 并签署了数据处理附录 (DPA),那么您的数据是安全的。

参考欧盟示范合同条款而制定的 DPA 仍将有助于从非欧盟国家传输数据。如果您希望我们向您发送更新的 DPA,请发送电子邮件至 gdpr-compliance@zohocorp.com,并清楚说明您是否注册了 zoho.comzoho.eu

。但是,如果您确实需要将数据迁移到 EU 数据中心,则可以发送电子邮件至 security@zohocorp.com,并指出您使用的所有服务。此电子邮件将转发给相关产品团队。
29. 我在哪里可以找到关于 GDPR 的补充资源?
下面是一些您可以参考的关于 GDPR 补充资料的链接
注意:Zoho Corporation 不对这些页面中的内容负责,也不认可这些链接。
30. 我可以将我的数据标记为个人数据吗?
可以,您可以将您的数据标记为个人数据。一旦您这样做,您还可以选择要标记为正常的字段以及要标记为敏感的字段。
31. 我可以将多少个字段标记为个人字段?
您可以将每个模块中最多 30 个字段标记为个人字段。
32. 哪些字段类型可以标记为个人字段?
除“查找”、“用户查找”、“公式”和“自动编号”字段外,所有字段都可以标记为个人字段。
33. 如何将我的数据标记为个人数据?
将您的数据标记为个人数据:
  • 转到“设置”>“自定义”>“模块和字段”
  • 将鼠标指针悬停在具有数据主体个人信息的模块上。
  • 单击下拉列表中的管理个人字段
  • 管理个人字段部分中,单击标记个人字段
  • 选择数据类型为正常敏感
  • 单击完成。
34. 一旦我将数据标记为个人数据,它将如何影响数据处理?
当您将数据标记为个人数据时,Zoho CRM 的导出、API 和其它连接服务(Books、Finance、Campaigns 等)等活动将无法处理这些数据。
35. 子表单中的字段是否也可以标记为个人字段?
是的,您也可以将子表单中支持处理的字段标记为个人字段。
36. 如何为我的 Web 表单启用双重选择性加入?
启用双重选择性加入:
  • 转到“设置”>“开发人员空间”>“Web 表单”>“创建 Web 表单”。
  • 在 Web 表单中拖放所需的字段。
  • 单击“下一步”。表单详细信息页面中,输入相关表单详细信息。
  • 管理个人字段部分中,单击标记个人字段
  • 选择启用双重选择性加入滑块并保存更改。
37. 我可以限制 Zoho CRM 外部对个人数据的访问吗?
是的,您可以限制从 Zoho CRM 外部对数据主体的个人数据的访问。一旦您将数据标记为正常和敏感,您就可以
  • 限制数据传输到 Zoho 应用/集成
  • 限制通过 API 访问数据
  • 限制数据导出
  • 限制对第三方应用的数据访问
38. 如何限制个人数据的共享?
限制个人数据的共享:
  • 转到“设置”>“用户及控制”>“合规性设置”
  • 点击“首选项”选项卡。
  • 限制个人数据处理下,选择您要限制数据传输的位置(Zoho 应用、第三方应用、API、导出)
39. 我在哪里可以更新数据处理基础?
您可以在记录详细信息页面中更新客户的数据处理基础。单击“数据隐私”选项卡,选择或编辑数据处理基础。您还可以从模块的列表视图中选择记录并更新数据处理基础。执行此操作的第三种方式是通过“同意”概览仪表板。转到“设置”>“合规性设置”,单击“概览”选项卡,选择记录并更新数据处理基础。
40. 什么是等待期?
它是您希望等待同意邮件回复的时间。机构可以设置此等待期。一旦超过此等待期,与记录相关的所有处理活动都将停止。
41. 我可以将阻止列表里的记录添加回 CRM 吗?
是的,阻止列表里的记录可以再次添加为 CRM 的新记录。在添加记录之前,您将收到一条警告,说明它之前被阻止过。
42. 数据主体是否可以使用门户更新他/她的同意?
可以,您可以通过门户获得客户的同意。
43. 数据主体的权利可以通过门户提升吗?
可以,数据主体的权利可以通过门户提升。
  • Privacy Shield

免责声明:此处提供的信息不应被视为法律建议。我们建议您寻求法律建议,了解您需要做什么以符合 GDPR 的要求。