Bezpłatna konsultacja
· 7 min czytania RODOCRMcompliancedane osobowebezpieczeństwo

RODO a CRM — jak wybrać system zgodny z polskim prawem

Jak wybrać CRM zgodny z RODO? Co sprawdzić przed podpisaniem umowy z dostawcą SaaS. Dane osobowe klientów, transfer do USA, umowy powierzenia. Praktyczny przewodnik.

CRM to system, w którym przechowujesz dane osobowe Twoich klientów — imiona, numery telefonów, adresy mailowe, historię zakupów, notatki ze spotkań. Z perspektywy RODO to przetwarzanie danych osobowych i pełna odpowiedzialność po Twojej stronie.

Wybór dostawcy CRM to wybór podmiotu przetwarzającego. A nie każdy dostawca SaaS jest zgodny z tym, czego RODO wymaga od polskich firm.

Co mówi RODO o wyborze systemu CRM

Rozporządzenie RODO (GDPR) nakłada na administratora danych (Twoją firmę) kilka kluczowych obowiązków przy wyborze systemu IT:

1. Umowa powierzenia przetwarzania danych
Każdy zewnętrzny dostawca, który ma dostęp do danych osobowych, musi podpisać z Tobą umowę powierzenia (art. 28 RODO). Dotyczy to dostawców CRM, hostingu, email marketingu.

2. Transfer danych poza EOG
Jeśli Twój dostawca przechowuje dane na serwerach poza Europejskim Obszarem Gospodarczym (np. w USA), muszą istnieć odpowiednie zabezpieczenia — Standardowe Klauzule Umowne (SCC) lub inne mechanizmy transferu.

3. Prawo do usunięcia i przenoszenia danych
Musisz być w stanie odpowiedzieć na żądanie klienta dotyczące usunięcia jego danych z CRM lub ich przeniesienia do innego systemu.

4. Rejestr czynności przetwarzania
CRM musi pojawić się w Twoim rejestrze jako czynność przetwarzania z określoną podstawą prawną i czasem retencji.

Ryzyko z popularnymi CRM w chmurze

HubSpot

HubSpot Inc. to spółka amerykańska. Dane domyślnie przechowywane są w USA (Virginia, na serwerach AWS).

Co to oznacza:

  • Transfer danych do USA wymaga SCC lub innych mechanizmów
  • Po wyroku Schrems II (2020) i decyzji o adekwatności EU-US Data Privacy Framework (2023) sytuacja jest formalnie uregulowana, ale prawnie niepewna
  • HubSpot oferuje opcję przechowywania danych w EU (UE Data Hosting) — ale to płatny addon dostępny od planu Professional Enterprise

Umowa powierzenia: HubSpot udostępnia DPA (Data Processing Addendum) — musisz go aktywować samodzielnie. Nie dzieje się automatycznie.

Salesforce

Podobna sytuacja — spółka amerykańska, serwery globalnie. EU Data Residency dostępna od planu Professional (i droga).

Pipedrive

Pipedrive zarejestrowany jest w Estonii (EU), ale infrastruktura na AWS. Dane mogą być replikowane poza EU.

Jak sprawdzić zgodność CRM z RODO — checklista

Przed wyborem systemu CRM zadaj dostawcy te pytania:

  • Gdzie fizycznie przechowywane są dane? W jakich krajach?
  • Czy dostępna jest umowa powierzenia (DPA/UMPP)? W jakiej formie?
  • Czy możliwy jest eksport wszystkich danych (w tym historii aktywności)?
  • Jak wygląda procedura usunięcia danych na żądanie klienta?
  • Jakie certyfikaty bezpieczeństwa ma dostawca? (ISO 27001, SOC 2)
  • Czy subprocesorzy (np. dostawcy hostingu) też mają siedzibę w EU?
  • Jak długo dane są przechowywane po zakończeniu umowy?

Self-hosted CRM a RODO

Self-hosted CRM (jak Twenty CRM) rozwiązuje większość problemów z RODO strukturalnie:

Dane na Twoich serwerach (lub serwerach w EU pod Twoją kontrolą)
Nie ma transferu do USA. Dane nie opuszczają EU. Nie piszesz SCC, bo nie potrzebujesz.

Pełna kontrola nad retencją i usuwaniem
Jesteś administratorem bazy danych. Żądanie usunięcia danych? Wykonujesz je bezpośrednio w bazie PostgreSQL — nie czekasz na procedurę dostawcy.

Eksport zawsze możliwy
SQL dump lub CSV eksport całej bazy — bez pytania kogokolwiek o zgodę.

Umowa powierzenia — tylko z dostawcą hostingu
Zamiast pisać umowę z HubSpotem, Salesforcem i wszystkimi ich subprocesorami — podpisujesz jedną umowę z dostawcą hostingu (np. Railway lub innym EU-based providerem).

Co robimy w FreeStack

Każda wdrożona instancja Twenty CRM:

  • Hostowana wyłącznie na serwerach w EU (Railway, infrastruktura Hetzner EU)
  • Każdy klient ma własną, izolowaną instancję — dane jednego klienta nie mieszają się z danymi innego
  • Standardowa baza PostgreSQL — pełny export dostępny w dowolnym momencie
  • Podpisujemy umowę powierzenia przetwarzania danych (UMPP) z każdym klientem
  • Po zakończeniu współpracy: pełny SQL dump do klienta, następnie usunięcie danych z serwera

Kiedy RODO nie jest decydującym czynnikiem

Jeśli Twoja firma:

  • Pracuje wyłącznie z klientami firmowymi (B2B, dane firmowe nie są danymi osobowymi w rozumieniu RODO)
  • Ma mały team i korzysta z HubSpota Starter (niskie koszty, akceptowalne ryzyko)
  • Ma dedykowany dział prawny, który już obsłużył kwestię DPA z HubSpotem

— to RODO samo w sobie może nie być wystarczającym powodem do migracji. Wtedy kluczowym argumentem są koszty.

Podsumowanie

RODO nie zakazuje korzystania z HubSpota ani Salesforce’a. Wymaga jednak konkretnych działań: aktywnego DPA, świadomości gdzie leżą dane, procedur obsługi żądań klientów.

Self-hosted CRM upraszcza to wszystko architektonicznie — zamiast wypełniać checklisty, po prostu nie przenosisz danych poza EU.

Jeśli chcesz sprawdzić jak wyglądałoby wdrożenie w Twojej firmie — umów bezpłatną konsultację. Szczegóły techniczne i pakiety cenowe znajdziesz na stronie z pakietami.

Sprawdź, ile Twoja firma może zaoszczędzić

Skorzystaj z kalkulatora ROI lub umów bezpłatną konsultację — wyliczamy oszczędności w 30 minut.

Kalkulator ROI → Bezpłatna konsultacja

Przeczytaj też

· 8 min czytania

Self-hosted CRM na własnym serwerze — wymagania techniczne i infrastruktura

Czytaj →
· 12 min czytania

Jak wybrać CRM dla firmy B2B — kompletny przewodnik (2025)

Czytaj →
· 7 min czytania

AI w CRM — co rzeczywiście działa, a co to marketing?

Czytaj →