Czy można przekazywać dane osobowe przez telefon? #RODOFAQ

Rozmowa telefoniczna to jedna z najszybszych metod załatwiania wielu spraw (np. u operatora komórkowego czy w celu zapisania się na wizytę u lekarza). Komunikacja telefoniczna ma swoje plusy, ale niesie ze sobą również ryzyka.

Jakie zatem wyzwania stoją przed administratorem danych, który komunikuje się z klientami przez telefon? Jakie wymogi nakłada na niego RODO? W jakim sposób możemy zidentyfikować kim jest nasz rozmówca? I czy na pewno jest tym, za kogo się podaje?

Przyjrzyjmy się temu zagadnieniu bliżej.

RODO w trakcie rozmowy telefonicznej

Czy RODO pozwala na podawanie danych osobowych przez telefon? Słyszymy to pytanie od wielu naszych klientów. RODO nie reguluje wprost kwestii przekazywania danych osobowych przez telefon. Należy zatem spełniać ogólne wymogi przetwarzania danych osobowych. Na początek, rozwieję ewentualne wątpliwości. Przekazywanie danych osobowych przez telefon jest dopuszczalne i RODO nie zabrania takich operacji.

Można przyjąć, że zbieranie danych osobowych od osoby, której dane dotyczą jest najczęściej spotykaną metodą pozyskiwania danych przez administratorów. Taka sytuacja będzie miała miejsce wtedy, kiedy osoba dobrowolnie przekazuje nam swoje dane osobowe, poprzez podanie danych w trakcie rozmowy telefonicznej (np. z konsultantem).

Każdy administrator danych musi wdrożyć odpowiednie środki techniczne i organizacyjne, by w odpowiedni sposób przetwarzać dane osobowe. Przede wszystkim musi zapewnić, że dane osobowe, które są przekazywane w każdej formie, a w szczególności w trakcie rozmowy telefonicznej, będą w odpowiedni sposób przetwarzane i zabezpieczone i żadna postronna osoba nie uzyska do nich dostępu.

Nagrywanie i obowiązek informacyjny

Jeśli obsługujemy infolinię lub udostępniamy numer kontaktowy dla naszych klientów, to o czym powinniśmy pamiętać?

Obecnie prawie wszystkie firmy nagrywają rozmowy klientów z konsultantami – ważne jest by administrator poinformował dzwoniącego:

  • po pierwsze – o fakcie nagrywania tej rozmowy
  • po drugie – o celu takiego nagrania

Ponadto, administrator danych osobowych, zgodnie z treścią artykułu 13 RODO, jest zobligowany do dopełnienia tzw. „obowiązku informacyjnego”.

Aktualnie widzimy kilka modeli dopełniania takiego obowiązku:

  • w trakcie rozmowy telefonicznej z konsultantem, gdzie to konsultant odczytuje komunikat dotyczący przetwarzania danych,
  • przed połączeniem z konsultantem, gdzie zanim to połączenie nastąpi, musimy za każdym razem przez kilkanaście sekund wysłuchać komunikatu.

W każdym z powyżej opisanych modeli nie musimy oczywiście stosować pełnego komunikatu i raczyć naszego rozmówcę w skrajnych przypadkach nawet kilkunastominutowym nagraniem lub odczytem.

Możemy skorzystać z tzw. „warstwowego obowiązku informacyjnego”, czyli przekazywać rozmówcy najważniejsze informacje dotyczące administratora i celu przetwarzania oraz przysługujących prawach i odesłać go do pełnej treści klauzuli informacyjnej, która jest dostępna np. poprzez wybranie odpowiedniej cyfry.

O tym co to jest obowiązek informacyjny, jak i kiedy go dopełnić dowiesz się, czytając nasz poradnik.

Nie zapomnijmy o przeszkoleniu naszych pracowników – konsultantów, z zakresu prawidłowego przetwarzania danych osobowych.

Identyfikacja rozmówcy

Wiemy już, że administrator danych musi spełnić kilka wymogów dotyczących przetwarzania danych osobowych. Dotyczy to nie tylko sytuacji prowadzenia infolinii, ale każdej, w której klient kontaktuje się z administratorem, który posiada jego dane.

Klienci chcieliby porozmawiać o nowej ofercie z operatorem telekomunikacyjnym czy też zgłosić brak działania internetu i telewizji, a może chcieliby umówić się na wizytę lekarską bądź poprosić o wystawienie recepty? Nic prostszego! Klient wybiera numer telefonu i czeka na połączenie. Jest to przecież m.in. działanie oparte na podstawie łączącej strony umowie czy w związku z chęcią komunikacji się między osobami kontaktowymi.

Konsultant odbiera słuchawkę i przechodzimy do procesu identyfikacji rozmówcy.

Kluczowe opracowanie skutecznej procedury

To najważniejszy moment dla obu stron – administratora danych, ale też jego rozmówcy. Jeśli dojdzie do nieprawidłowej bądź niewystarczającej identyfikacji, może okazać się, że osoba nieuprawniona zyska dostęp do danych.  A to już jest naruszenie przetwarzania danych osobowych.

Przypomnijmy, że dane osobowe to zgodnie z definicją zawartą w art. 4 RODO wszelkie informacje identyfikujące konkretną osobę fizyczną poprzez imię, nazwisko, numer identyfikacyjny, identyfikator internetowy lub jedna bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

A zatem konsultant może prosić o podanie imienia i nazwiska, być może kodu abonenckiego, numeru klienta czy fragmentu identyfikatora PESEL albo wysokości kwoty ostatniej faktury. Istota takiej weryfikacji ma dać nam pewność, że jako administrator rozpoznaliśmy naszego klienta w sposób jednoznaczny.  Z pewnością ważne jest to, że w celu identyfikacji nie powinniśmy wymagać wyłącznie danych teleadresowych widocznych np. w jawnych rejestrach (np. CEIDG) albo takich, które można w łatwy sposób zdobyć.

Dobrze przemyślana i ułożona procedura identyfikacji, to co najmniej połowa sukcesu i warunek zgodności z RODO.

A co jeśli procedura identyfikacji okaże się nieskuteczna?

W przypadku nieprawidłowo przygotowanych procedur identyfikacji rozmówcy może dojść do „podszycia się” pod klienta. Taka sytuacja miała miejsce np. u operatora komunikacyjnego T-Mobile, gdzie dzwoniąc na infolinię można było wyrobić duplikat karty SIM. Wystarczył numer PESEL, nie była potrzebna wizyta w salonie w celu przeprowadzenie dodatkowej weryfikacji, ani inna dodatkowa dana osobowa. Na szczęście ta podatność została już zniwelowana. O sprawie możecie przeczytać tutaj.

Jak wiecie, wyrobienie karty SIM może umożliwić dostęp do różnego rodzaju usług i być podstawą np. do wyłudzania bankowych kodów autoryzacyjnych.

Powyższa sprawa pokazuje, jak ważne są odpowiednie wieloetapowe mechanizmy weryfikacji klienta, który zwraca się do nas drogą telefoniczną, ale także każdą inną drogą.

Nawet bezpieczny i dobrze przemyślany system weryfikacji tożsamości da się złamać. Pamiętajmy więc o procedurach działania w sytuacjach awaryjnych, jeśli do takiego złamania już dojdzie. W szczególności o zgłoszeniu naruszenia do UODO oraz poinformowaniu osoby, której dane dotyczą.

klauzule informacyjne

Klauzule informacyjne oraz klauzule zgód

Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.

Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.

Sprawdź

Podsumowanie

Czy w związku z tym można przekazywać dane osobowe przez telefon? Odpowiedź brzmi „tak”, ale z zachowaniem szczególnej ostrożności.

Z punktu widzenia administratora danych, musimy pamiętać o obowiązujących zasadach RODO, m.in. o tym, żeby wdrożyć taką procedurę, która pozwoli nam w sposób wieloetapowy zidentyfikować osobę. Ponadto, nie zapomnijmy o spełnieniu wymogów z art. 13 RODO czyli obowiązku informacyjnego.

W przypadku, gdy komunikacja odbywa się przez telefon i rozmowy są rejestrowane, administrator musi zadbać o to by poinformować o celu i fakcie nagrywania, a także wprowadzić takie zabezpieczenia, by nikt nieuprawniony nie zyskał do takich rozmów dostępu.

Jeśli zastosujemy odpowiednie środki zabezpieczające, możemy spokojnie czekać na telefon od naszego klienta.

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?
Praca zdalna a RODO – co na to nowelizacja kodeksu pracy?

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO