GDPR – egy rövid, de sokakban félelmet és fenntartást keltő négy betűs rövidítés, mellyel ma már minden fórumon és médiában találkozunk. Még ma is annak lázában égünk, hogyan is fog vállalatunk megfelelni a törvény előírásainak munkaügyi, szerződéses és marketing aktivitás szempontjából. De vajon hány olyan cég van, aki elgondolkodott azon, hogy telefonos ügyfélszolgálata megfelel-e ennek az előírásnak?
„Üdvözöljük a MinervaTel ügyfélszolgálatán. Tájékoztatjuk, hogy hívását minőségbiztosítási okokból rögzítjük.”
Ehhez hasonló dallamos és kedves hangon bemondott telefonos üdvözlőszöveggel találkozhatunk ma már szinte minden telefonos ügyfélszolgálatot tárcsázva, hiszen nem sok olyan vállalat van ma Magyarországon, aki ne alkalmazna valamilyen üdvözlő szöveget a kapcsolattartásra megadott telefonszámoknál. Nem is az üdvözlésben magában van a lényeg, hanem abban, hogy a hívás rögzítésre kerül és általában (kivéve telefonszám kijelzés titkosítása esetén) a telefonszám is átkerül a hívott céghez vagy/és esetleg annak a cégnek egy alvállalkozójához.
De mi minősül egy ilyen hívás során a személyes adatnak?
Ha telefonon kommunikálunk, várhatóan ismert lesz egy telefonszám. De mikor is személyes adat egy telefonszám? Ha a hívó telefonszáma mellé tároljuk az ügyfél nevét vagy ha rögzítjük a hívást és a hívó bemutatkozik. Tehát ha nem rögzítjük a hívást vagy anonim a hívó (nem mutatkozik be), akkor nem keletkezik személyes adat? Erről megoszlanak a jogi vélemények, mert egyes álláspontok azt mondják, hogy a telefonszám, ha ahhoz nyilvános adatbázisból (pl. publikus telefonkönyvből vagy online tudakozóból) személyes adat rendelhető hozzá, akkor az személyes adattá válik. Azonban nem feltétlenül érdemes azon elmélkedni, hogy személyes adat vagy sem és hogyan kezeljünk egy anonim hívást, hiszen már az iskolában is azt tanították nekünk, hogy illik bemutatkozni, így valószínűleg nem nagyon lesz olyan hívás, ahol nem keletkezik személyes adat.
Miért is fontos ez telefonos rendszerre, ügyfélszolgálatra lefordítva? Azért, mert a GDPR szerint a vállalkozás felel azért, hogy megfelelően adminisztrálva és dokumentálva, illetve követve (naplózás) legyenek az ügyfélszolgálaton történt események, ügyfél-kommunikáció, továbbá megfelelően kell adminisztrálni és kezelni a telefonon „begyűjtött” ügyféladatokat.
Először gondoljuk végig, hogyan is működik telefonos ügyfélszolgálatunk, kapcsolattartási pontunk, mit és hogyan, hová gyűjtünk.
Induló vállalkozásként vagy egy-személyes vállalkozásként (pl: mosógép szerelő egyéni vállalkozó) azt gondolhatnánk, hogy nem gyűjtünk személyes adatot, mivel csak egy telefonszámot használnunk (mondjuk egy mobil számot) kapcsolattartásra, azon hív az érdeklődő. Nincs telefonközpont, call center megoldás, nincs hívásrögzítés, nincs összekapcsolva a telefonszám semmilyen ügyfélkezelő szoftverrel. Call center megoldás szempontjából valóban nincs, azonban ha a hívó adatait feljegyezzük akár csak egy jegyzettömbbe, vagy excelbe (pl. hová és kihez kell menni mosógépet szerelni holnap után), így máris személyes adatokat kezelünk. Azt pedig, hogy mit kezdünk a feljegyzett személyes adattal (név, telefonszám, cím), az Adatvédelmi Szabályzatunkba – mely kitér az ügyfélszolgálat/kapcsolattartási telefonszám működésére is – foglaltaknak megfelelően kell megtennünk.
Valljuk be őszintén az e-kereskedelemmel foglalkozó cégeknél nem a fenti gyakorlat a jellemző, hiszen egy online kereskedelmet folytató cég általában rendelkezik ügyfélszolgálati telefonos rendszerrel, több ügyfélszolgálati ügyintézővel dolgozik, rendeléseket kezel, futárszolgálatot vesz igénybe és sorolhatnánk. Minden munkafolyamat esetében van személyes adatkezelés, de most csak foglalkozzunk a telefonos ügyfélszolgálati megoldással és annak részleteivel!
Ki az adatfeldolgozó és a ki az adatkezelő? Kivel találkozik először az ügyfél?
Amennyiben a telefonos megoldásunk szoftveres hátterét, technikai megoldását vizsgáljuk két lehetőség adott. Azt egyik, hogy vállalaton belüli megoldást használnak (saját üzemeltetés, fejlesztés, házon belüli szerverek alkalmazása, stb.) így a vállalat lesz az Adatkezelő és Adatfeldolgozó is. Azonban megváltozik a helyzet, ha a cég valamilyen külső alvállalkozót von be ebbe a folyamatba. Itt szétválhat az Adatkezelő és Adatfeldolgozó személye, így gondolhatnánk, hogy a lenti ábrán szereplő folyamattal találkozunk.
Azonban ez nem így van. A folyamat ebben az esetben megfordul, és az Adatfeldolgozóhoz érkeznek be a hívások, ott rögzül a telefonszám először és aztán kerül az Adatkezelőhöz.
Éppen ezért elengedhetetlenül fontos, hogy olyan alvállalkozóval szerződjünk, aki a személyes adatok kezelésével kapcsolatosan „GDPR kompatibilis” és ezért jogi és anyagi felelősséget is hajlandó vállalni. Betartja a GDPR előírásokat, hiszen munkájáért ugyanúgy felelősségre vonhatók vagyunk, mint ha mi végeztük volna azt!
A GDPR nem megtiltja a személyes adatok rögzítését ás tárolását, hanem átláthatóvá teszi az azzal kapcsolatos folyamatokat, szabályozza annak módját és kereteit a fogyasztók/vásárlók védelmében. A szabály pedig az, hogy az érintettnek valamilyen jogalappal hozzájárulását kell adnia személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Mi is lehet ez a jogalap? Egy szerződéses jogviszony vagy egy igazolható hozzájárulás, mely lehet egy rendelés közben bepipálható hozzájárulás vagy egy adott szerződés adatkezelési pontja.
De mit tehetünk abban az esetben, ha még nem meglévő ügyféllel történik telefonon kommunikáció? Hívjuk fel a figyelmét arra, hogy hívását rögzítjük, adatait pedig az adatkezelési szabályzatunkban foglaknak megfelelően kezeljük és azt hol találja. Valahogy így:
„Üdvözöljük a MinervaTel ügyfélszolgálatán. Tájékoztatjuk, hogy hívását minőségbiztosítási okokból rögzítjük és személyes adatait adatkezelési szabályzatunkban foglaltak szerint kezeljük. Adatkezelési szabályzatunkat szolgáltatásunk weblapján érheti el.”
A jogszerűen „beszerzett” személyes adatokat kezelve mindent meg kell tenni ezen adatok védelme érdekében. A GDPR 25. cikkelye alapján beépített és alapértelmezett adatvédelemnek szükséges megvalósulnia. Be kell tartani az adatvédelmi elveket (adattakarékosság hatékony megvalósítása és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába, stb.) és biztosítanunk kell, hogy kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek.
Az adatkezelés biztonságával külön cikkely foglalkozik (32.), mely alapján megfelelő technikai és szervezési intézkedéseket szükséges végrehajtani annak érdekében, hogy az adatbiztonságot garantáljuk. Ennek hogyan is lehet megfelelni?
- A személyes adatok álnevesítésével és titkosításával.
- A használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosításával.
- Az adatokhoz való hozzáférés és az adatok rendelkezés állásának visszaállítási képességével.
- Az intézkedések rendszeres tesztelésével, felmérésével és értékelésével.
Amennyiben az adatokat harmadik országban tároljuk térjünk ki erre a tényre is az Adatkezelési Szabályzatunkban. Ebben az esetben azonban figyelni kell arra, hogy GDRP szempontjából létezik „fekete” lista, mely a GDPR szempontjából magasabb kockázati szintű országokat sorolja fel.
Ha pedig mindent megtettünk a személyes adatok védelmében és mégis valamilyen incidens során ezek az adatok kikerülnek, ne felejtsük el jelenteni azt a hatóságnak. Vegyük figyelembe, hogyha az adat titkosítva volt, akkor az jelentősen csökkenti a kockázatot.
Amennyiben megteszünk mindent annak érdekében, hogy a személyes adatokat megfelelően kezeljük és használjuk nem kell félelmet éreznünk a GDPR-ral kapcsolatosan. Törekedjünk arra, hogy minden szempontból megfeleljünk az előírásoknak saját fejlesztéssel vagy megfelelő call center megoldás kiválasztásával.
Tippek és mire figyeljünk, hogy megfelelő legyen a telefonközpont megoldásunk GDPR szempontból!
- Válasszunk körültekintően call center megoldást nyújtó szolgáltatót!
- Legyen Adatkezelési Szabályzatunk!
- Az Adatkezelési Szabályzatban legyen külön telefonos ügyfélszolgálatokról szóló rész is, mely rögzíti a valós folyamatokat. Térjünk ki ebben a hívásrögzítésre, archiválás időintervallumára, módjára. Nyilatkozzunk az ügyfélszolgálat nyelvére és az elfejtéshez való jogról és annak módjáról.
- Hangrögzítés esetén tudjuk igazolni, hogy tájékoztattuk az ügyfelet az adatkezelés módjáról és tudjuk igazolni, hogy azt elfogadta a telefonáló!
- Gondoljuk végig, milyen hívásokat rögzítünk! Ne feledkezzünk el arról sem, ha például van üzenetrögzítő megoldásunk.
- Rögzítsük, hogyan töröljük a személyes adatokat. Ne feledkezzünk el a biztonsági mentések törléséről sem.
- Amennyiben a hívás hanganyagát szöveges formátummá alakítjuk és azt tároljunk, ennek módját is határozzuk meg.
- Mindent titkosítva tároljunk és határozzuk meg azokat a személyeket, akik hozzáférhetnek a személyes adatokhoz, azokkal feladatot végezhetnek (törlés, panaszkezelés, stb.).
- Emailen ne küldjünk hangfile-okat és egyéb személyes adatokat!
- GDPR szempontjából megfelelő országokban tároljuk adatokat!
- Tájékozódjunk az üzletünkre vonatkozó GDPR-t felülíró jogszabályokról, és építsük be azokat Adatkezelési Szabályzatunkba!
- Dolgozzunk ki folyamatot az ügyfelek kéréseinek kezelésére és tájékoztassuk az ügyfélszolgálatunkon dolgozó kollégáinkat, mikor mi a teendő!