Większość Instytucji w szczególności dużych podmiotów gospodarczych i instytucji państwowych, używa narzędzi umożliwiających nagrywanie prowadzonych rozmów telefonicznych. Działanie to w zakresie przekazywanych przez telefonującą osobę informacji oraz ich utrwalania przez Administratora Danych Osobowych jest obszarem, który podlega regulacjom nałożonym przez Unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. U. E. L 119/1 z 4 maja 2016 r.), zwane popularnie RODO oraz Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Tj. Dz. U. z 2019 r., poz. 1781 z późn. zm.). Obszar ten to niestety częsty przypadek, niespełnienia przez Administratora Danych Osobowych uwarunkowań zawartych w powyższych normach prawnych, w szczególności spełnieniu obowiązku informacyjnego oraz podstawy prawnej przetwarzanych w ten sposób danych. Jak zatem właściwie przetwarzać dane związane z nagrywaniem rozmów zgodnie z RODO, na czym oprzeć ich podstawę i jakich błędów unikać ? Zagadnienia te poruszam w niniejszym artykule.
Podstawą spełnienia obowiązku informacyjnego wobec osoby dzwoniącej do instytucji lub firmy, a także firmy lub instytucji wykonującej połączenie do innego przedsiębiorcy lub osoby prywatnej, jest przekazanie odpowiedniej informacji właściwej dla rozmowy stronie. W praktyce Firma lub instytucja, która prowadzi rejestrację odbieranych rozmów odtwarza automatycznie prawidłową zapowiedź przed właściwym już połączeniem. Natomiast w zakresie wykonywanych przez Firmę lub instytucję połączeń informacja o prowadzonej rejestracji rozmowy, przekazywana tuż po przedstawieniu się osoby wykonującej połączenie. Oba działania powinny zawierać informację dotyczącą tożsamości Administratora Danych Osobowych, wyrażenia zgody na nagrywanie rozmowy przez drugą stronę, konsekwencje jej niewyrażenia oraz tzw. warstwowanie informacji, czyli odesłanie do miejsca gdzie sam zainteresowany może zapoznać się z polityką przetwarzania danych Administratora Danych Osobowych. Poniżej dwa przykłady takich zapowiedzi.
Dzień dobry,
Witamy w ………………………………………. Informujemy, iż Administratorem Państwa Danych Osobowych jest ……………………………, ul. ……………………. xx-xx …………… Szczegóły oraz zasady przetwarzania danych znajdziecie Państwo na naszej stronie internetowej www…………………………… w zakładce polityka prywatności.
Informujemy, iż rozmowa jest rejestrowana, i kontynuowanie połączenia jest równoznaczne z wyrażeniem zgody w tym zakresie. Jeśli nie wyrażają Państwo zgody na nagrywanie, prosimy o rozłączenie się i osobistą w wizytę w naszej Instytucji.
Dziękujemy.
Dzień dobry,
Nazywam się ……………………………. i dzwonię z ………………………………………………………………………w sprawie………. Informuję, iż nasza rozmowa jest rejestrowana. Czy wyraża Pan(ni) zgodę na nagrywanie rozmowy ?
Powyższe przykłady odnoszą się do wyrażania zgody na narywanie rozmowy, które następuje poprzez jej kontynuację lub wyrażenia zgody wprost. Warto zauważyć iż w pierwszym z przypadków odniesienie do polityki prywatności zawarto jako informację, można także rozbudować o potwierdzenie zapoznania się z nią na zasadzie tonowego wyboru wskazanej liczby. Nie jest to błędem ale także nie jest wymogiem, ważne aby wskazać miejsce i możliwość zapoznania się z informacjmi spełniajac w ten sposób obowiązek informacyjny. W drugim z przypadku osoba dzwoniąca powinna orientować się gdzie odesłać rozmówcę jeśli spyta o wymagane informacje lub jeśli sobie tego zażyczy odczytać właściwą dla kontekstu klauzlę informacyjną. W praktyce mało kto odsłuchuje lub pyta o takie informacje, a jeszcze częściej kończy połączenie jeśli jest zmuszony do odsłuchania całości informacji.
Niestety w zakresie nagrywania rozmów nadal wiele firm i instytucji, będących Administratorami Danych Osobowych popełnia błędy. Najczęstsze z nich to:
- Brak informacji o nagrywaniu rozmowy – jej brak przy jednoczesnym jej prowadzeniu – czyli przetwarzanie danych bez podstawy prawnej.
- Niespójna informacja np. informujemy, iż rozmowa może być nagrywana. Użyty zwrot “może” rodzi pytanie – czy rozmowa jest nagrywana czy nie ? Administrator Danych Osobowych ma obowiązek określić to działanie wprost.
- Brak informacji o innej niż rozmowa możliwości kontaktu z firmą / instytucją ,czyli Administratorem Danych Osobowych.
Co jeszcze należy zrobić i jaką dokumentację posiadać w przypadku nagrywania rozmów telefonicznych ? Przede wszystkim rozpoczynając proces nagrywania rozmów Administrator Danych Osobowych powinien:
1. Dokonać aktualizacji polityki prywatności o zakres przetwarzanych na podstawie zgody danych osobowych.
2. Dokonać aktualizacji rejestru czynności o dane związane z nagrywaniem rozmów, który ma obowiązek prowadzić zgodnie z Art 30 RODO.
3. Upoważnić właściwych pracowników do przetwarzania danych zawartych w nagraniach lub nawiązać umowę powierzenia przetwarzania danych jeśli obsługą nagrań zajmuje się podmiot zewnętrzny.
Zapraszam do konsultacji prowadzonych przez nasze biuro, gdzie mogą Państwo rozwiać wszelkie nurtujące wątpliwości – szczegóły konsultacji TUTAJ. Zapraszam również do tematycznych publikacji: Jak właściwie wdrożyć RODO w Twojej firmie dowiesz się z artykułu – Tutaj, a jakich błędów unikać przeczytasz – Tutaj.
Zapraszam Cię również do naszego bezpłatnego newslettera – Poradnika Pracodawcy – w którym omawiamy zagadnienia z zakresu bezpieczeństwa i higieny pracy, ochrony przeciwpożarowej, pierwszej pomocy, ochrony danych osobowych i kadr. Zapisać się do newslettera możesz TUTAJ. Jeżeli sam planujesz dystrybucję własnego newslettera, polecamy polskiego dostawcę, z którego usług sami korzystamy – Getresponse – zapewniającego nie tylko świetne narzędzie, ale także perfekcyjną obsługę klienta.
Opracowanie / Marek Mróz
Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych
Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczamy ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych. Dokonując z nich zakupu, wesprzesz rozwój naszego poradnika. Dziękujemy.
Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,
Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,
Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,
Informatyka Śledcza – kupisz tutaj,
Profesjonalne testy penetracyjne – kupisz tutaj.
