GDPR a CRM-ben: ügyféladatok kezelése KKV-knak
KKV-knek való Dr.CRM — Gyors útmutató a választáshoz
Gyors útmutató, hogyan dönts, illik-e a Dr.CRM KKV-dhoz: integrált CRM, számlázás, feladatkezelés, több cég kezelése és gyors bevezetés.
Feb 13, 2026
CRM
GDPR, adatvédelem, CRM, KKV, DPA, megőrzési idők, jogosultság, számlázás, feladatmenedzsment, Dr.CRM
Egy CRM-ben jellemzően a vállalkozás legértékesebb adatai élnek: kapcsolattartók, árajánlatok, szerződéses információk, számlázási adatok, jegyzetek, kommunikációs előzmények. Pont ezért a GDPR nem „adminisztrációs teher” a CRM körül, hanem üzleti kockázatkezelés: ha rossz helyre kerülnek az ügyféladatok, az nemcsak bírság, hanem bizalomvesztés és bevételkiesés is.
Ez a cikk KKV-knak segít átlátni, mitől lesz egy CRM-használat GDPR-kompatibilis, milyen beállítások és folyamatok kellenek hozzá, és hol szoktak a leggyakoribb hibák előjönni a mindennapi működésben.
Miért kiemelten kockázatos a CRM adatvédelmi szempontból?
A CRM-ekben gyakran nem csak „név és e-mail” szerepel. Sok cég rögzít:
kapcsolattartók beosztását, döntési szerepét
ügyfélpanaszokat, preferenciákat, tárgyalási jegyzeteket
e-mail váltásokat, hívásösszefoglalókat
ajánlatok értékét, fizetési fegyelmet
feladatokat, belső megjegyzéseket (amelyek könnyen túl személyesek lehetnek)
Ezek együtt már könnyen profilalkotásnak minősülhetnek, vagy legalábbis olyan adatkezelésnek, amihez tudatos jogalap-választás, átlátható tájékoztatás és szigorú hozzáférés-kezelés szükséges.
Alapfogalmak: adatkezelő, adatfeldolgozó, közös adatkezelés
KKV-knál tipikus felállás, hogy a vállalkozás az adatkezelő, a CRM szolgáltató pedig adatfeldolgozó (SaaS szolgáltatás esetén gyakori). Ez nem puszta jogi címke: ettől függ, milyen szerződéseket, belső szabályokat és ellenőrzéseket kell bevezetni.
Szerep | Mit jelent a gyakorlatban? | Tipikus példa CRM esetén |
Adatkezelő | Meghatározza a célokat és eszközöket (miért és hogyan kezel adatot) | A KKV eldönti, milyen mezőket kér, mennyi ideig tárol, kinek ad hozzáférést |
Adatfeldolgozó | Az adatkezelő nevében, utasításai szerint kezel adatot | A CRM szolgáltató üzemelteti a rendszert, tárol, ment, technikailag feldolgoz |
Közös adatkezelők | Ketten együtt döntik el a célokat és eszközöket | Ritkább KKV-nál, de előfordulhat közös értékesítési programoknál |
A GDPR hivatalos szövegét érdemes a csapat kulcsembereivel is átfutni, legalább a fogalmi részeket és a 28. cikket (adatfeldolgozó). Elérhető az EUR-Lexen.
Jogalapok a CRM-ben: mi mehet „automatikusan”, és mihez kell extra figyelem?
A KKV-k leggyakoribb hibája, hogy „mindent hozzájárulásra” próbálnak építeni, vagy épp ellenkezőleg, semmit nem dokumentálnak. CRM-ben általában ez a józan megközelítés:
Szerződés teljesítése (vagy szerződés előkészítése)
Ha az ügyfél ajánlatot kér, egyeztettek, szerződtök, teljesítetek, akkor a CRM-ben kezelt kapcsolattartási és ügyintézési adatok nagy része jellemzően ide támasztható. Fontos, hogy a rögzített mezők arányosak legyenek a céllal.
Jogi kötelezettség
Számlázási és számviteli kötelezettségek miatt bizonyos adatok megőrzése kötelező lehet. Magyarországon például a számviteli bizonylatok megőrzésére vonatkozó előírások hosszabb időt is meghatároznak (a részletszabályokat a számviteli jogszabályok rögzítik).
Jogos érdek
B2B értékesítésben, ügyfélkapcsolat fenntartásban gyakori, de nem „varázskártya”. Akkor működik jól, ha:
tényleg szükséges az üzleti célhoz (például meglévő ügyfél kapcsolattartása)
elvégzitek az érdekmérlegelést
lehetőséget adtok tiltakozásra (különösen marketing jellegű megkereséseknél)
Hozzájárulás
Tipikusan hírlevél, kifejezett marketing feliratkozás, vagy olyan csatornák, ahol ez elvárt. CRM-ben a hozzájárulás nem csak egy checkbox: bizonyíthatónak kell lennie (mikor, hogyan, mire).
Adatminimalizálás a CRM mezőiben: a „mindent felírunk” csapdája
A GDPR egyik legpraktikusabb elve a mindennapokban az adatminimalizálás. CRM-ben ez különösen fontos, mert a rendszer könnyen „jegyzetfüzetté” válik.
Jó gyakorlatok KKV-knak:
Csak olyan mező legyen kötelező, ami tényleg kell a folyamathoz.
A szabad szöveges jegyzeteket korlátozzátok belső irányelvvel (például egészségügyi adat, családi helyzet, érzékeny információk tiltása).
A CRM testreszabása előtt mindig legyen egy rövid adatvédelmi egyeztetés: „Mi a cél, mi a jogalap, mennyi ideig tároljuk, ki fér hozzá?”
Ha olyan rendszert használtok, ami jól testreszabható, az előny, de csak akkor, ha közben van fegyelem is. (A Dr.CRM például kifejezetten az egyedi igényekhez való alakíthatóságot és a több modul egyben szemléletet hangsúlyozza, ami segíthet abban, hogy kevesebb különálló eszközben szóródjanak az adatok.)
Megőrzési idők és törlés: hogyan lesz belőle működő szabály, nem csak dokumentum?
KKV-knál a megőrzési idő gyakran kimondatlanul „végtelen”, mert „hátha jó lesz még”. Ez GDPR-kockázat.
Érdemes adatfajtánként gondolkodni:
Adattípus a CRM-ben | Tipikus üzleti ok | Javasolt megközelítés |
Lead (nem lett ügyfél) | későbbi visszakeresés, újranyitás | rövid, előre rögzített retention (például 6-18 hónap), utána törlés vagy anonimizálás |
Aktív ügyfél | teljesítés, kapcsolattartás | szerződéses kapcsolat ideje alatt + indokolt ideig |
Számlázási adatok | számviteli kötelezettség | jogszabály szerinti megőrzés, elkülönített hozzáféréssel |
Ügyfélszolgálati jegyzetek | minőségbiztosítás, vitakezelés | célhoz kötött, lehetőleg strukturált, érzékeny adatok nélkül |
A lényeg: legyen belőle folyamat. Például havi vagy negyedéves „adat-higiénia” feladat (felelős, határidő, ellenőrzés), és legyen egyértelmű, hogy a törlés hol történik meg (CRM, levelezés, fájltár, számlázó, mentések).
Hozzáférések és jogosultságok: „mindenki mindent lát” helyett minimáljog
A legtöbb adatvédelmi incidens nem hackelésből indul, hanem rossz jogosultságokból vagy emberi hibából.
KKV-knak működő alapelv: mindenki csak azt lássa, ami a munkájához kell.
Értékesítő: saját pipeline, saját ügyfelek, limitált export.
Pénzügy: számlázás és fizetések, de ne feltétlenül minden értékesítési jegyzet.
Ügyfélszolgálat: esetek, státuszok, előzmények, de ne feltétlen teljes árpolitika.
Több cég vagy több üzletág esetén a szétválasztás még fontosabb. Ha egy csoport több vállalkozást kezel egy CRM-en belül, érdemes olyan modellt választani, ahol az adatok és jogosultságok valóban elkülöníthetők. Ehhez kapcsolódóan hasznos lehet a Dr.CRM tudásanyagában a többcég-kezelésről szóló cikk: adatok szétválasztása okosan.
Technikai és szervezési intézkedések: mire kérdezz rá a CRM szolgáltatónál?
A GDPR nem mondja meg, hogy „kell-e X funkció”, hanem kockázatarányos védelmet vár el. KKV-ként akkor jártok el jól, ha a szolgáltatótól és a belső csapattól is megkövetelitek az alapokat.
Ellenőrzési pontok, amik CRM-nél tipikusan relevánsak:
Erős hitelesítés (legalább erős jelszópolicy, ahol lehet többfaktoros védelem)
Jogosultságkezelés szerepkörök szerint
Naplózás (ki, mikor, mit nézett meg vagy módosított)
Biztonsági mentések és visszaállítási eljárás
Adat-exportok kontrollja (ki exportálhat tömegesen)
Integrációk felügyelete (milyen külső rendszerek kapnak adatot)
Ha van IT-partneretek, vonjátok be: egy rövid „CRM security review” sokkal olcsóbb, mint egy incidens utáni tűzoltás.
Automatizált folyamatok a CRM-ben: kényelmes, de legyen átlátható
A CRM automatizmusai (például feladatkiosztás, e-mail sablonok, státuszváltások, riportok) KKV-knál óriási hatékonyságot hoznak, viszont adatvédelmi oldalon két dologra kell figyelni:
Célhoz kötöttség: az automatizmus ne használjon több adatot, mint kell.
Átláthatóság: ha ügyfélfelé automatizált üzenetek mennek, az legyen követhető (mikor, mire, milyen jogalappal).
Külön téma az „automatizált döntéshozatal” GDPR szerinti értelmezése. Sok KKV nem jut el ide, de ha pontozás, kockázati besorolás, automatikus elutasítás történik, érdemes szakértővel átnézetni.
Adatfeldolgozói szerződés (DPA) és a beszállítói lánc: ne maradjon papír nélkül
Ha a CRM szolgáltató adatfeldolgozó, a GDPR alapján általában szükség van adatfeldolgozói szerződésre (DPA). KKV-ként érdemes ezt nem „letudni”, hanem tényleg elolvasni, főleg ezeket a részeket:
milyen adatokat kezel a szolgáltató, milyen célból
igénybe vesz-e további alvállalkozókat (al-adatfeldolgozók)
hol történik az adattárolás (EU-n belül, EU-n kívül)
incidenskezelés: hogyan és mennyi időn belül értesít
Különösen szolgáltató cégeknél (helyszíni munkavégzés, címek, bejutási információk, időpontok) a CRM „terepnapló” is lehet. Ilyen működésre jó példa egy klasszikus, időpontokra és címekre építő szerviz, mint a kanadai TapTech plumbing and drain cleaning services (itt is látszik, mennyi személyes adat kapcsolódik egy egyszerű kiszálláshoz). A tanulság KKV-ként: a CRM-ben tárolt cím, kapukód, megjegyzés ugyanúgy védendő adat, mint az e-mail cím.
Érintetti jogok kezelése: legyen rá „kattintható” belső menet
A GDPR szerinti kérelmek (hozzáférés, helyesbítés, törlés, korlátozás, tiltakozás, adathordozhatóság) KKV-knál ritkák, de amikor jönnek, akkor gyorsan kell reagálni és nyomot hagyni.
Praktikus belső folyamat:
Egy csatorna a kérelmekre (például dedikált e-mail cím).
Egy felelős (adatvédelmi felelős hiányában is legyen kijelölt kolléga).
CRM-ben feladat létrehozása a kérelemre, határidővel.
Ellenőrző lista: mely rendszerekben van adat (CRM, számlázás, levelezés, fájlok).
Válasz sablonok jogi kontrollal.
Ha az adatok importálásnál kerültek be több forrásból, az érintetti kérések kezelése is nehezebb. Ilyenkor hasznos lehet egy strukturált adatleltár és egy tiszta migrációs gyakorlat. Ehhez kapcsolódóan: CRM adatimport KKV-knak.
Adatvédelmi incidens a CRM-ben: a 72 óra akkor is gyors, ha kicsi a cég
Incidens lehet például:
rossz címzettnek kiküldött export
túl széles hozzáférés miatt illetéktelen megtekintés
ellopott jelszóval történt belépés
integráció rossz beállítása miatti adatátadás
A GDPR bizonyos esetekben 72 órás bejelentési kötelezettséget ír elő a felügyeleti hatóság felé. Akkor lesz kezelhető, ha előre megvan:
ki dönt az incidens súlyosságáról
ki gyűjti az információkat (mi történt, hány érintett, milyen adatok)
hogyan zárjátok el a további adatvesztést
hogyan dokumentáltok
Magyar kontextusban érdemes ismerni a NAIH tájékoztatóit és állásfoglalásait is, mert gyakorlati példákat adnak.
Rövid önellenőrző lista KKV-knak: GDPR a CRM-ben
Van naprakész adatkezelési tájékoztatótok, ami lefedi a CRM-ben történő adatkezeléseket is.
Minden fő adatkezelési célhoz van jogalap (értékesítés, ügyfélszolgálat, marketing, számlázás).
A CRM mezői és jegyzetelési szokások adatminimalizáltak.
Szerepköralapú hozzáférések működnek, a kilépő kollégák hozzáférése azonnal megszűnik.
Van megőrzési és törlési rend (leadekre, ügyfelekre, számlázásra külön).
A CRM szolgáltatóval megvan a DPA, és tiszták az alvállalkozók és adattárolási helyek.
Tudjátok kezelni az érintetti kérelmeket (ki, hogyan, mely rendszerekben).
Van incidens-forgatókönyv és felelős.
Hogyan segíthet egy „minden egyben” platform a GDPR-kockázatok csökkentésében?
A GDPR-megfelelés egyik rejtett ellensége az adatszóródás: külön CRM, külön számlázó, külön feladatkezelő, külön táblázatok. Minél több a rendszer és az export, annál több a jogosultsági rés és a nyomon követhetetlen másolat.
Egy olyan KKV-ra szabott, egyben kezelt megoldás, mint a Dr.CRM (CRM, számlázás, feladatmenedzsment és riportok egy rendszerben, több cég kezelésének lehetőségével) jellemzően abban tud erős lenni, hogy egységesebb adatkezelési folyamatokat alakíts ki, és kevesebb helyen kelljen ugyanazt az ügyféladatot tárolni és védeni.
A jó CRM nem „GDPR-pajzs” önmagában, de ha a rendszer és a belső működés össze van hangolva, az adatvédelem nem fék lesz, hanem rendezett, skálázható ügyfélkezelés.
