System Call Center
Jak już wcześniej ustaliliśmy, prowadząc telemarketing trudno ustrzec się przetwarzania danych osobowych. Praktycznie każde call center podlega przepisom RODO i musi wypełniać związane z tym obowiązki. Jednym z nich jest obowiązek informacyjny, który został dość szczegółowo określony w RODO.
Przejrzyjmy w takim razie jakie formułki musi wyrecytować konsultant klientowi w przypadku przetwarzania jego danych.
Zrzucanie odpowiedzialności za pogarszającą się sytuację w firmie na współpracowników oraz bezproduktywna analiza negatywnych skutków – brzmi znajomo? Walka z problemami wcale nie musi tak wyglądać! Każdy z nas popełnia w swojej pracy błędy – czasem mniejsze a czasem większe. Czy zgodzisz się z twierdzeniem, że dążenie do zmniejszenia ich ilości jest ważniejsze niż przypisywanie winom twarzy?
Jak więc zmniejszyć ilość potknięć w pracy? Z pewnością kluczowe jest zrozumienie z czego problem wynika.
Temat, który dość często pojawia się w pytaniach na temat przetwarzania danych osobowych w call center – czy prowadząc akcje telemarketingowe tylko w kanale B2B, Call Center podlega RODO?
To zależy. Czyli odpowiedź jak zwykle nie jest jednoznaczna, ponieważ wymaga analizy pewnych faktów związanych z formą prowadzenia firmy, i zakresem przetwarzanych informacji.
W pierwszej kolejności należy sprawdzić formę prawną firmy, z którą mamy zamiar nawiązać kontakt telemarketingowy.
Analizując temat danych osobowych możemy spotkać się z rozgraniczeniem na dane osobowe (w domyśle dane osobowe zwykłe) i dane szczególne, zwane inaczej danymi wrażliwymi.
Zgodnie z definicją RODO dowiadujemy się, że „dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
Dotychczas kontrolę nad danymi osobowymi w przedsiębiorstwie sprawował Administrator Bezpieczeństwa Informacji (ABI), natomiast w nowych przepisach unijnych została zdefiniowana na to miejsce rola Inspektora Ochrony Danych (IOD). RODO dość szczegółowo precyzuje role i obowiązki IODa. Rozważania na temat Inspektora warto zacząć od odpowiedzenia na pytanie, czy w naszym przypadku RODO nakłada obowiązek powołania takiego stanowiska w przedsiębiorstwie.
W Artykule 37 RODO możemy przeczytać, że:
Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
Jak zwykle, analizując poszczególne zakresy zagadnień RODO, warto zacząć od oficjalnej definicji. I tak, w unijnym rozporządzeniu możemy przeczytać że:
Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Najprościej rzecz ujmując, Administratorem Danych Osobowych (inaczej ADO) jest właściciel danych. Jak tylko zaczynasz przetwarzać dane osobowe, z automatu stajesz się ADO. Sytuacja oczywiście dotyczy firm i działalności gospodarczych, w ramach prowadzenia działań zarobkowych, ponieważ przetwarzając dane osobowe na użytek osobisty RODO nas nie dotyczy.
Po wprowadzeniu RODO pojawiły się od razu pomysły typu „Usunę z systemu call center wszystkie dane, załaduje tylko numery telefonów, a podczas rozmowy nie będę pytać o dane osobowe, tylko będziemy się posługiwać identyfikatorem….” Wraz z pomysłem zrodziły się jednak wątpliwości, czy jednak numer telefonu to aby nie są już dane osobowe podlegające RODO?
Abstrahując od pytania z tytułu, rozważanie zacznijmy od tego, że ustawa z 5 grudnia 2014 roku o prawach konsumenta, z założenia zakazuje kontaktów telemarketingowych
Wielokrotnie spotkaliśmy się już z opiniami przedsiębiorców typu, „przecież ja trzymam w systemie call center / CRMie / pliku excela tylko dane na temat moich klientów, ja wcale tych danych nie przetwarzam” albo „nie prowadzę przecież call center, to że wyślę do moich klientów mailing z nową ofertą nie oznacza przecież, że przetwarzam w jakiś sposób ich dane – przecież to moi klienci.”
Otóż z przetwarzaniem danych osobowych nie jest tak, jak z domowymi przetworami na zimę. Przetwarzając truskawki na dżem truskawkowy faktycznie mówimy o fizycznym przetwarzaniu, natomiast w kwestii danych osobowych wystarczy, że trzymasz truskawki poukładane w koszyku i to już kwalifikuje się już pod ich przetwarzanie.
Zacznijmy od, zdaje się, najprostszego zagadnienia – określenia, co to są dane osobowe i czy w naszym przypadku możemy w ogóle mówić, że przetwarzamy dane osobowe. Najlepiej odnieść się do definicji danych osobowych, zarówno zawartej w ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 r. jak i RODO.
RODO definiuje, że „dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować,
W branży call center czas liczony jest kolejnymi restrykcjami dotyczącymi ochrony danych osobowych. To coś jak kolejne ery w historii świata.
Czas przed 1997 rokiem to era, kiedy prawodawstwo dotyczące ochrony danych osobowych było uregulowane Powszechną Deklaracją Praw Człowieka i prawami zawartymi w konstytucji, wymagającymi poszanowania godności i wolności ludzkiej. Do czasu wprowadzenia szczegółowego prawa dotyczącego danych osobowych, każdy rodzaj posługiwania się informacją o konkretnym człowieku, mógł być postrzegany w świetle prawa jako wkroczenie w sferę prywatności, aczkolwiek w tamtych czasach zazwyczaj nikt nie przywiązał do tego większej wagi. Co więcej, czasy socjalizmu w Polsce przyzwyczaiły społeczeństwo do systemowych ograniczeń w strefie prywatności.