RODO
Informacje na temat zarządzania danymi w call center
Numer telefonu a dane osobowe RODO
W związku z ogromna ilością zapytań, dotyczących wątpliwości, czy numer telefonu należy uznać za dane osobowe, wracamy do tematu poruszonego w artykule Rodo w call center. Czy numer telefonu to dane osobowe. W artykule tym rozważaliśmy kwestie, kiedy numer telefonu jest daną osobową, a kiedy jest nic nie znaczącym ciągiem cyfr.
Niejednoznaczność interpretacji zapisów rozporządzenia unijnego powoduje, że nawet sądy w podobnych sprawach wydają rozbieżne decyzje. Z doświadczenia zauważamy, że w większości przypadków przetwarzanie samej listy numerów (w postaci jej przechowywania, utrwalania itp) nie jest uznawane za przetwarzanie danych osobowych, natomiast prowadzenie celowych działań telemarketingowych z wykorzystaniem tej samej listy, może już spowodować kwalifikację naszych działań jako przetwarzanie danych osobowych.
Trzymając się sztywno przepisów, za dane osobowe musimy uznać ten zbiór informacji, który umożliwia jednoznaczne (bezpośrednie lub pośrednie) zidentyfikowanie fizycznej osoby. A więc czy lista numerów telefonów którą masz zamiar obdzwonić może zostać uznana za zbiór danych osobowych?
RODO w call center – co grozi za nieprzestrzeganie przepisów RODO
Przepisy RODO w kwestii maksymalnych sankcji są dość precyzyjne, a mianowicie 20 milionów euro lub do 4% wartości rocznego obrotu firmy.
Wielkości kar robią wrażenie, natomiast czy przeciętny przedsiębiorca powinien się ich obawiać?
RODO w call center - Powierzenie danych osobowych do przetwarzania
Prowadzenie działań telemarketingowych w modelu outsourcingu wiąże się zazwyczaj z powierzeniem danych osobowych do przetwarzania. Podmiotem powierzającym dane osobowe do przetwarzania jest ich administrator, natomiast podmiotem przetwarzającym jest call center.
W przeciwieństwie do wielu niejednoznacznych zapisów RODO, tutaj sytuacja jasna i klarowna. Zgodnie z RODO:
RODO w call center - polityka bezpieczeństwa informacji
Jak to zwykle z RODO bywa, również w kwestii polityki bezpieczeństwa informacji zapisy są niedosłowne i pozwalają na dużą dozę własnej interpretacji. Co prawda w dokumentacji RODO pojawiają się kilkukrotnie pojęcia „polityki bezpieczeństwa” ale jednocześnie na administratora nie jest nakładany obowiązek jej prowadzenia.
W artykule 78 RODO możemy przeczytać, że „aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych”, jednocześnie w innych artykułach RODO możemy znaleźć zapisy mówiące że administrator może przygotować odpowiednie polityki, gdy jest to proporcjonalne w stosunku do czynności przetwarzania.
RODO w call center - obowiązki informacyjne
Jak już wcześniej ustaliliśmy, prowadząc telemarketing trudno ustrzec się przetwarzania danych osobowych. Praktycznie każde call center podlega przepisom RODO i musi wypełniać związane z tym obowiązki. Jednym z nich jest obowiązek informacyjny, który został dość szczegółowo określony w RODO.
Przejrzyjmy w takim razie jakie formułki musi wyrecytować konsultant klientowi w przypadku przetwarzania jego danych.
RODO a dzwonienie do firm
Temat, który dość często pojawia się w pytaniach na temat przetwarzania danych osobowych w call center – czy prowadząc akcje telemarketingowe tylko w kanale B2B, Call Center podlega RODO?
To zależy. Czyli odpowiedź jak zwykle nie jest jednoznaczna, ponieważ wymaga analizy pewnych faktów związanych z formą prowadzenia firmy, i zakresem przetwarzanych informacji.
W pierwszej kolejności należy sprawdzić formę prawną firmy, z którą mamy zamiar nawiązać kontakt telemarketingowy.
RODO w call center - co to są dane szczególne
Analizując temat danych osobowych możemy spotkać się z rozgraniczeniem na dane osobowe (w domyśle dane osobowe zwykłe) i dane szczególne, zwane inaczej danymi wrażliwymi.
Zgodnie z definicją RODO dowiadujemy się, że „dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
RODO w call center - kim jest Inspektor Ochrony Danych (IOD)
Dotychczas kontrolę nad danymi osobowymi w przedsiębiorstwie sprawował Administrator Bezpieczeństwa Informacji (ABI), natomiast w nowych przepisach unijnych została zdefiniowana na to miejsce rola Inspektora Ochrony Danych (IOD). RODO dość szczegółowo precyzuje role i obowiązki IODa. Rozważania na temat Inspektora warto zacząć od odpowiedzenia na pytanie, czy w naszym przypadku RODO nakłada obowiązek powołania takiego stanowiska w przedsiębiorstwie.
W Artykule 37 RODO możemy przeczytać, że:
Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
RODO w call center - administrator danych osobowych
Jak zwykle, analizując poszczególne zakresy zagadnień RODO, warto zacząć od oficjalnej definicji. I tak, w unijnym rozporządzeniu możemy przeczytać że:
Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Najprościej rzecz ujmując, Administratorem Danych Osobowych (inaczej ADO) jest właściciel danych. Jak tylko zaczynasz przetwarzać dane osobowe, z automatu stajesz się ADO. Sytuacja oczywiście dotyczy firm i działalności gospodarczych, w ramach prowadzenia działań zarobkowych, ponieważ przetwarzając dane osobowe na użytek osobisty RODO nas nie dotyczy.
RODO w call center - czy numer telefonu to dane osobowe?
Po wprowadzeniu RODO pojawiły się od razu pomysły typu „Usunę z systemu call center wszystkie dane, załaduje tylko numery telefonów, a podczas rozmowy nie będę pytać o dane osobowe, tylko będziemy się posługiwać identyfikatorem….” Wraz z pomysłem zrodziły się jednak wątpliwości, czy jednak numer telefonu to aby nie są już dane osobowe podlegające RODO?
Abstrahując od pytania z tytułu, rozważanie zacznijmy od tego, że ustawa z 5 grudnia 2014 roku o prawach konsumenta, z założenia zakazuje kontaktów telemarketingowych