Καταγραφή κλήσεων. Επιτρέπεται ή όχι;

Ενημερώθηκε: 7 Αυγ 2019


Είναι συχνό φαινόμενο να καταγράφονται από τις εταιρείες οι τηλεφωνικές συνομιλίες ώστε να διευκολύνεται η επίλυση διαφόρων ζητημάτων. Πράγματι, η καταγραφή κλήσεων είναι μια συνήθης πρακτική με πολλά οφέλη, όμως σύμφωνα με την ισχύουσα νομοθεσία (Ν. 2472/1997) και την Ευρωπαϊκή Οδηγία 95/46ΕΚ , η καταγραφή κλήσεων συνιστά επεξεργασία προσωπικών δεδομένων.


Πράγματι η καταγραφή των κλήσεων συχνά περιέχει προσωπικές πληροφορίες (όπως το όνομα του καλούντος, τη διεύθυνση ή τις οικονομικές πληροφορίες) και με βάση τα παραπάνω , εμπίπτει στους νέους κανόνες που καλύπτονται από το νέο νομοθετικό πλαίσιο του Γενικού Κανονισμού 2016/679 της ΕΕ περί Προστασίας Προσωπικών Δεδομένων , γνωστού ως GDPR.


Συνεπώς, με την εφαρμογή του Γενικού Κανονισμού από τις 25 Μαίου 2018, πρέπει να ακολουθούνται οι κανόνες του GDPR για την καταγραφή κλήσεων και ιδιαίτερη προσοχή πρέπει να δοθεί από τις εταιρείες ή τους οργανισμούς που τη χρησιμοποιούν όσον αφορά το χειρισμό, την επεξεργασία και τη διατήρηση των καταγεγραμμένων συνομιλιών.

Ο κύριος στόχος του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων είναι να ενισχύσει την προστασία των δεδομένων σε ολόκληρη την ΕΕ, δίνοντας παράλληλα στους ανθρώπους μεγαλύτερο έλεγχο στον τρόπο με τον οποίο οι οργανισμοί μπορούν να χρησιμοποιήσουν τα προσωπικά τους δεδομένα.


Ο Κανονισμός κατά συνέπεια προσφέρει αυστηρές οδηγίες σχετικά με το πότε μπορεί να υπάρξει καταγραφή κλήσεων και τον τρόπο αντιμετώπισης τους.


Η νόμιμη συγκατάθεση


Η καταγραφή τηλεφωνικής συνομιλίας μπορεί μεν να συνεχιστεί στο πλαίσιο του GDPR, καθώς δεν απαγορεύεται, αλλά υπάρχουν πλέον πρόσθετες απαιτήσεις για την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων στα οποία αναφέρονται τα δεδομένα προσωπικού χαρακτήρα.


Όπως και με αρκετές μορφές συλλογής προσωπικών δεδομένων, η καταγραφή μπορεί να πραγματοποιηθεί μόνο με τη νόμιμη συγκατάθεση του προσώπου, τηρουμένων των προϋποθέσεων λήψης της (άρθρο 7 του Kανονισμού). Η γραμμή για έγκυρη συγκατάθεση έχει αυξηθεί σημαντικά μετά από τον GDPR. Η συγκατάθεση πρέπει να παρέχεται με σαφή θετική ενέργεια, να είναι συγκεκριμένη, ρητή, σαφής και εν πλήρει επίγνωση ένδειξης της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν. Η σιωπηρή συγκατάθεση δεν είναι πλέον αρκετή και τα άτομα θα πρέπει να συμφωνήσουν ρητά να καταγραφεί η κλήση τους.


Συνεπώς το μέχρι σήμερα «σας ενημερώνουμε ότι για λόγους ασφαλείας η κλήση σας καταγράφεται» δεν αποτελεί νόμιμη & ρητή συγκατάθεση του υποκειμένου. Η ρητή συγκατάθεση μπορεί να αποκτηθεί μετά από ερώτηση «Συμφωνείτε να καταγραφεί η συνομιλία μας?»


Η αναγκαιότητα της επεξεργασίας


Πέρα από τη λήψη της συγκατάθεσης, οι εταιρείες που καταγράφουν συνομιλίες θα πρέπει να δικαιολογούν ενεργά τη νομιμότητα της καταγραφής, αποδεικνύοντας ότι ο σκοπός πληροί μία από τις ακόλουθες προϋποθέσεις του άρθρου 6 του Κανονισμού:

§ η καταγραφή να είναι αναγκαία για την εκπλήρωση συμβατικής υποχρέωσης, στην οποία συμμετέχει ο συμμετέχων στην κλήση,

§ η καταγραφή να είναι αναγκαία για την εκπλήρωση νομικής υποχρέωσης, στην οποία υπόκειται ο καταγραφέας,

§ η καταγραφή να είναι αναγκαία για την προστασία έννομων συμφερόντων ενός ή και περισσοτέρων συμμετεχόντων στην συνομιλία, ή

§ η καταγραφή να είναι αναγκαία προς το δημόσιο συμφέρον


Περαιτέρω, οι οργανισμοί που επιθυμούν να καταγράφουν τηλεφωνικές συνομιλίες πρέπει επίσης να συμμορφώνονται με τις πρόσθετες απαιτήσεις που επιβάλλει ο Κανονισμός σε σχέση με:


§ την αρχή της διαφάνειας (άρθρο 5 παρ. 1 στοιχείο α) του Κανονισμού),

§ την αρχή της λογοδοσίας (άρθρο 5 παρ. 2 του Κανονισμού) και

§ την ασφαλή διατήρηση των δεδομένων.


Ενημέρωση των υποκειμένων


Το άρθρο 13 του Κανονισμού απαιτεί από τους οργανισμούς ή τις εταιρείες που λαμβάνουν δεδομένα προσωπικού χαρακτήρα να παράσχουν πληροφορίες στα υποκείμενα των δεδομένων για το πώς και γιατί θα τύχουν επεξεργασίας τα προσωπικά τους δεδομένα, μεταξύ άλλων όσον αφορά τις δραστηριότητες καταγραφής κλήσεων. Οι εν λόγω πληροφορίες περιλαμβάνουν τον σκοπό της καταγραφής, τη νομική της βάση και τα κυριότερα δικαιώματα των υποκειμένων των δεδομένων βάσει του GDPR, καθώς και το πώς αυτά μπορούν να ασκηθούν. Όλες οι πληροφορίες που ορίζει το άρθρο 13 του Κανονισμού θα πρέπει να περιλαμβάνονται στην Πολιτική Προστασίας Προσωπικών Δεδομένων του οργανισμού ή της εταιρείας, για την οποία θα πρέπει να ενημερώνονται και οι υπάλληλοι του οργανισμού. Αυτό μπορεί για παράδειγμα να γίνει με τη συμπερίληψη των λεπτομερειών στις πολιτικές προσωπικού που αναρτώνται σε ένα εσωτερικό έγγραφο.


Οι καταγεγραμμένες κλήσεις πρέπει να αποθηκεύονται με ασφάλεια και να εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα για να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση – τόσο εσωτερικά από υπαλλήλους, όσο και εξωτερικά από κακόβουλους τρίτους. Ο αριθμός των υπαλλήλων που είναι εξουσιοδοτημένοι να έχουν πρόσβαση στις καταγεγραμμένες κλήσεις θα πρέπει να διατηρηθεί στο ελάχιστο. Επιπλέον, οι υπάλληλοι θα πρέπει να έχουν δεσμευτεί με σύμβαση εχεμύθειας & εμπιστευτικότητας προκειμένου να εξασφαλιστεί ότι θα χειριστούν κατάλληλα τις καταγραφές.


Η Εκτίμηση Αντικτύπου ως απόδειξη συμμόρφωσης


Σύμφωνα με τις απαιτήσεις του Γενικού Κανονισμού και όσον αφορά την επεξεργασία προσωπικών δεδομένων από την καταγραφή τηλεφωνικών κλήσεων , η εκτίμηση αντικτύπου είναι μια διαδικασία που έχει σχεδιαστεί για να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και την αναλογικότητά της και να συνδράμει στη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που συνεπάγεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, με την αξιολόγησή τους και τον καθορισμό μέτρων για την αντιμετώπισή τους.


Η Εκτίμηση Αντικτύπου (DPIA) αποτελεί σημαντικό εργαλείο για την πλήρωση της υποχρέωσης λογοδοσίας, καθώς παρέχει συνδρομή στους υπεύθυνους επεξεργασίας όχι μόνον προκειμένου να συμμορφώνονται με τις προδιαγραφές του Γενικού Κανονισμού, αλλά και για να αποδεικνύουν ότι έχουν ληφθεί τα ενδεδειγμένα μέτρα για τη διασφάλιση της συμμόρφωσης προς τον κανονισμό .


Μέσω της εκτίμησης αντικτύπου και όσον αφορά την επεξεργασία δεδομένων από τα συστήματα καταγραφής κλήσεων, αναλύονται πλήρως τα δεδομένα που συλλέγονται , οι κίνδυνοι που υπάρχουν από τυχαία ή παράνομη αλλοίωση ή παραβίαση στα δεδομένα (ηχητικά αρχεία) καθώς επίσης και τα τεχνικά και οργανωτικά μέτρα που έχουν ληφθεί με σκοπό την νόμιμη και ασφαλή χρήση του συστήματος καταγραφής κλήσεων


Με άλλα λόγια, η Εκτίμηση Αντικτύπου είναι μια διαδικασία εμπέδωσης και απόδειξης της συμμόρφωσης.


Χρονική Περίοδος Διατήρησης των Δεδομένων


Το άρθρο 5 στοιχείο ε) του Κανονισμού ορίζει ότι τα δεδομένα μπορούν να διατηρηθούν μόνο για το χρονικό διάστημα που απαιτείται για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν. Όταν οι καταγραφές κλήσεων δεν απαιτούνται πλέον, θα πρέπει να καταστρέφονται με ασφάλεια. Τα δεδομένα μπορούν να τηρηθούν για μεγαλύτερο χρονικό διάστημα μόνο εφόσον τυγχάνουν επεξεργασίας για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή στο πλαίσιο νομοθετικών και κανονιστικών υποχρεώσεων. Πέραν των αμέσως παραπάνω αναφερόμενων περιπτώσεων, ο κάθε οργανισμός θα πρέπει να διατηρεί τις καταγεγραμμένες κλήσεις για συγκεκριμένη χρονική περίοδο. Αυτή δεν πρέπει να υπερβαίνει το αναγκαίο για τις νόμιμες επιχειρηματικές ανάγκες του οργανισμού χρονικό διάστημα. Ενδέχεται διαφορετικές κατηγορίες κλήσεων να έχουν διαφορετικές περιόδους διατήρησης. Συνεπώς. ο κάθε οργανισμός θα πρέπει να καθορίσει την περίοδο (ή τις περιόδους) διατήρησης. Κάθε οργανισμός μπορεί να ορίσει ένα πρόσθετο εύλογο χρονικό διάστημα με σκοπό τη διαφύλαξη των έννομων συμφερόντων του. Πρέπει να σημειωθεί ότι το δικαίωμα στη λήθη του Κανονισμού (άρθρο 17) δεν λειτουργεί όσον αφορά τη διαγραφή καταγεγραμμένων εγγραφών εάν ο εν λόγω οργανισμός έχει νομική υποχρέωση να τα διατηρήσει.


Αρθρογραφία: Πάνος Παλάγκος (Υπεύθυνος Προστασίας Προσωπικών Δεδομένων)



Χρήσιμοι σύνδεσμοι

Η GDPR Experts Team είναι μια σύγχρονη ομάδα , η οποία δημιουργήθηκε από τη BML Security με στόχο την εξειδίκευση και τη σωστή συμμόρφωση των επιχειρήσεων με τις απαιτήσεις του Γενικού Κανονισμού 2016/679 της ΕΕ περί Προστασίας Προσωπικών Δεδομένων, γνωστού ως GDPR που εφαρμόζεται και στη χώρα μας από τις 25 Μαϊου 2018. Την ομάδα μας απαρτίζουν άνθρωποι με γνώση και εξειδίκευση στα θέματα και τις απαιτήσεις που οριοθετεί ο Γενικός Κανονισμός, καθώς επίσης και γνώσεις νομικής φύσεως και πληροφοριακών συστημάτων. Διαθέτει Πιστοποιημένους Υπεύθυνους Προστασίας Δεδομένων (DPO) για την παροχή των υπηρεσιών DPO σε μικρές και μεγάλες επιχειρήσεις. Παρέχει ολοκληρωμένες λύσεις συμμόρφωσης με τις απαιτήσεις του Γενικού Κανονισμού για μία επιχείρηση βάση των πραγματικών αναγκών της .

© 2019 by BML Security  |  Πολιτική Απορρήτου

Επικοινωνία

2109427757

  • Grey Facebook Icon
  • Grey Twitter Icon
  • Grey G+ Icon
  • Grey Instagram Icon