Miesięcznik Benefit – miesięcznik kadrowych, kierowników i dyrektorów HR

Strona główna » Praca » Prawo

RODO. Nowa rzeczywistość dla operatorów call center?

RODO. Nowa rzeczywistość dla operatorów call center?
fot. istockphoto
Nowe przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej jako „RODO”) wymuszą zmiany w całej branży call center, której działalność opiera się głównie na danych osobowych. Wielość sposobów nawiązywania kontaktów z klientem, pozyskiwanie kontaktów z różnych źródeł, ulokowanie danych osobowych w wielu obszarach i działach firmy, a jednocześnie braku ustaleń jakimi zasobami firma dysponuje i jakie procesy przetwarzania danych osobowych mają miejsce, mogą stać się powodem problemów i wysokich kar administracyjnych dla administratora danych osobowych, w wysokości nawet do 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa.

Telefony od telemarketerów do przypadkowych osób z baz danych oraz maile z ofertami handlowymi i newsletterami to ciemna strona branży call center. Wkrótce będzie się to musiało jednak zmienić, gdyż nowe przepisy data protection wprowadzają obostrzenia w zakresie przetwarzania danych osobowych, w tym dotyczących konieczności wykazania przez administratora danych osobowych, że takie przetwarzanie jest zgodne z prawem. Firmy call center nierzadko nie mają świadomości i kontroli nad tym, czy posiadane przez nie bazy danych są oparte na pozyskanych zgodach, czy też innych podstawach przetwarzania; często nie mają również kontroli nad tym, czy żądania cofnięcia zgody na przetwarzanie danych osobowych były respektowane i faktycznie takie dane były usuwane z baz w odpowiednim czasie. Co za tym idzie, dostosowanie do nowych regulacji może okazać się w niektórych przypadkach czasochłonne oraz wymagające znacznego zaangażowania sił i środków.

PODSTAWA PRZETWARZANIA DANYCH OSOBOWYCH
Co do zasady operatorzy call center nie mają prawa kontaktować się z klientem bez wyraźnie wyrażonej zgody. Wyjątkiem od powyższego jest jedynie sytuacja, w której z osobą kontaktuje się przedstawiciel firmy, z którą klient posiada jakąś umowę, a dany kontakt odbywa się w zakresie przedstawienia innej oferty tej firmy (tzw. cross- -selling). Marketing bezpośredni własnych produktów lub usług administratora danych jest bowiem jednym z przypadków, gdy przetwarzanie danych osobowych odbywa się na podstawie prawnie usprawiedliwionego celu administratora, który stanowi samoistną podstawę przetwarzania. W praktyce oznacza to tyle, że firma może kontaktować się ze swoimi klientami w celu promowania towarów i usług bez konieczności pozyskiwania zgody. Wyjątkiem jest sytuacja, kiedy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (oraz oczywiście przy założeniu, że klient nie wyraził sprzeciwu co do kontaktowania się z nim w celach marketingowych). W przypadku złożenia takiego sprzeciwu dalsze wykorzystywanie danych osobowych jest bezprawne. Podobnie jest w sytuacji, gdy umowa łącząca strony wygasa lub zostaje rozwiązana (znów z wyjątkiem sytuacji, w której klient wyraził zgodę na dalsze wykorzystywanie danych w celach marketingowych).
Co jednak w przypadku, gdy firma chce nawiązać kontakt z nowym, potencjalnym klientem? W takiej sytuacji należy spełnić wszystkie wymogi, które są nałożone na podmiot, w tym wymóg informacyjny, oraz pozyskać zgodę na przetwarzanie danych osobowych we wskazanym przez administratora celu. Zgoda na przetwarzanie danych osobowych jest również niezbędna, jeśli planowane jest przekazanie danych osobowych podmiotowi trzeciemu na użytek prowadzonych przez niego działań marketingowych.

BAZY DANYCH A LEGALNOŚĆ PRZETWARZANIA
Największym problemem operatorów call center może okazać się konieczność weryfikacji posiadanych baz danych wykorzystywanych w celach marketingowych. Aby można było je dalej wykorzystywać, niezbędne będzie wykazanie przez administratora, iż posiada on ważne zgody na przetwarzanie tych danych w celach marketingowych, co nierzadko będzie trudne (o ile nie niemożliwe), w sytuacji gdy zgody były zbierane dawno lub zostały zakupione z niepewnego źródła. W praktyce konieczne będzie więc zweryfikowanie całości posiadanych baz danych pod kątem legalności przetwarzania danych osobowych, w tym udokumentowania pozyskania zgód na przetwarzanie danych. To po stronie administratora będzie leżał obowiązek wykazania, że przetwarzanie danych osobowych odbywa się zgodnie z prawem (zgodnie z zasadą rozliczalności). Jeśli bazy kontaktów oparte są na pozyskanych zgodach, to analiza takich baz powinna uwzględniać m.in. to, czy zebrane dotychczas zgody opatrzone były wyraźnym wskazaniem administratora danych i określeniem celu przetwarzania danych, czy nie były dorozumiane z oświadczeń innej treści, milczące (niepodjęcie działań nie może oznaczać zgody) lub polegające na domyślnym zaznaczeniu okienek przez usługodawcę.

DZIAŁALNOŚĆ CALL CENTER PROWADZONA PRZEZ PODMIOT ZEWNĘTRZNY
Są różne sposoby prowadzenia działalności telemarketingowej. W niektórych firmach są wewnętrzne działy call center, w innych taka działalność jest zlecana podmiotom zewnętrznym. W przypadku zlecenia telemarketingu firmie zewnętrznej operator call center może mieć każdorazowo odmienną rolę w takim przetwarzaniu.
Operator call center, który prowadzi akcję na rzecz klienta i w oparciu o bazę przekazaną przez swojego klienta, nie będzie administratorem danych, a podmiotem przetwarzającym (procesorem). W takim wypadku konieczne będzie sporządzenie umowy powierzenia danych osobowych, która będzie określała nie tylko cel i zakres przetwarzania, lecz także rodzaj danych (dane zwykłe lub wrażliwe), kategorie osób, czas przetwarzania, obowiązki i prawa administratora, jak również obowiązki i prawa podmiotu przetwarzającego. Dodatkowo RODO nakłada na administratora danych obowiązek sprawdzenia podmiotu, któremu mają zostać powierzone dane, gdyż administrator powinien korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. W przypadku braku wprowadzenia odpowiednich zapisów do umów powierzenia pełną odpowiedzialność za działanie podmiotu przetwarzającego ponosić będzie administrator danych. Sytuacja będzie się kształtować inaczej, gdy dane osobowe są zbierane przez operatora call center i są wykorzystywane na rzecz innych podmiotów. W takim przypadku konieczne będzie zaistnienie podstawy przetwarzania, którą to najczęściej będzie zgoda osoby, której dane dotyczą. W takiej sytuacji zmieni się również charakter call center, które pozyskując dane samodzielnie, nie będzie przetwarzać ich jedynie na rzecz klienta (jako procesor), ale również będzie je przetwarzać we własnym zakresie (jako administrator). Jeszcze inaczej wygląda sytuacja, w której działania są podejmowane na podstawie baz danych zakupionych od podmiotu trzeciego. Wtedy to po stronie administratora powstanie obowiązek informacyjny, zgodnie z którym administrator powinien poinformować osobę, której dane dotyczą, m.in. o tożsamości, celu i podstawie prawnej przetwarzania, kategoriach danych osobowych lub kategoriach odbiorców. Dodatkowo administrator powinien poinformować o okresie, w jakim dane będą przechowywane, prawach (w tym prawie do żądania usunięcia danych) oraz o źródle pozyskania. Jednocześnie taki obowiązek informacyjny powinien być zrealizowany w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od pozyskania danych, a jeśli dane osobowe mają być stosowane do komunikacji – najpóźniej przy pierwszym kontakcie. Podobnie się dzieje w przypadku, gdy podmiot pozyskał dane ze źródeł ogólnie dostępnych (np. z internetu). Wypełnienie obowiązku informacyjnego ma istotne znaczenie z uwagi na to, że pozwala osobom, których dane dotyczą, na reakcję i świadome korzystanie z przysługujących im praw, np. co do żądania zaprzestania przetwarzania danych lub prawa do złożenia sprzeciwu.
Na koniec należy wskazać, iż brak wdrożenia RODO i niestosowanie się do wprowadzonych przepisów może oznaczać dla przedsiębiorców nie tylko odpowiedzialność finansową w postaci kar administracyjnych w wysokości do 20 mln euro bądź do 4 proc. całkowitego rocznego obrotu z poprzedniego roku obrotowego, lecz także możliwość dochodzenia roszczeń na drodze cywilnej w związku z naruszeniem nowych przepisów.

ANNA ZEJDLER-WINIARSKA 
adwokat,
KPRF Law Office

2018-04-24 21:10 Opublikował: Benefit

Reklama:

tel. kom: 508-548-308

Redakcja:

Newsletter


Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingowo-promocyjnych oraz na otrzymywanie od Spółki oraz podmiotów wchodzących w skład Grupy Kapitałowej Benefit Systems S.A. za pomocą środków komunikacji elektronicznej
... Rozwiń
Wyrażam zgodę na przetwarzanie moich danych osobowych przez Spółkę, zgodnie z ustawą z dn. 29.08.1997r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002r. Nr 101 poz. 926, ze zm.) w celach marketingowo-promocyjnych oraz wyrażam zgodę na otrzymywanie od Spółki i informacji handlowych za pomocą środków komunikacji elektronicznej, zgodnie z ustawą z dn. 18.07.2002r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.). Jednocześnie wyrażam zgodę na przekazanie moich danych osobowych przez Spółkę podmiotom z Grupy Kapitałowej Benefit Systems S.A. w celach marketingowo promocyjnych związanych z promocją lub reklamą produktów i usług oferowanych przez te podmioty jak również wyrażdam zgodę na otrzymywanie od tych podmiotów informacji handlowych za pomocą środków komunikacji elektronicznej, zgodnie z ustawą z dn. 18.07.2002r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.) Zgody mogą być odwołane w każdym czasie. Administratorem danych osobowych jest Benefit IP Spółka z ograniczoną odpowiedzialnością spółka komandytowa ul. Canaletta 4, 00-099 Warszawa. Dane osobowe będą przetwarzane w celach marketingowych i nie będą udostępniane innym odbiorcom. Ich podanie jest dobrowolne, a każda osoba ma prawo dostępu do treści swoich danych, ich poprawiania oraz wyrażenia sprzeciwu wobec ich przetwarzania.