RODO w Call Center

21 września 2021

Co znajdziesz w tym artykule:

Telemarketing to działanie, bez którego część firm nie wyobraża sobie swojego funkcjonowania. Jednym z jego praktycznych wymiarów jest funkcjonowanie call center – własnych lub zewnętrznych. Różne podejście do zagadnienia zgodności z przepisami, różne interpretacje przepisów rodzą problemy po stronie podmiotów stosujących telemarketing. Pojawiają się wątpliwości i pytania o zgodność prowadzonej działalności z przepisami.

Istnieją 2 podstawy dla przetwarzania danych osobowych w celach marketingu bezpośredniego (czyli zasadniczo promuję samego siebie):
1. własny interes administratora danych
(art. 6 ust. 1 pkt f) w zw. z motywem 47 RODO);
2. zgoda osoby, której dane dotyczą
(art. 6 ust. 1 pkt a) RODO).

Gdzie szukać regulacji?

Regulacje dotyczące telemarketingu to nie tylko RODO. Trzeba sięgnąć do regulacji zawartych w prawie telekomunikacyjnym i ustawie o świadczeniu usług drogą elektroniczną.
Art.172 ustawy – Prawo telekomunikacyjne zakazuje wykonywać połączeń telemarketingowych bez odrębnej zgody
Art.10 ustawy o świadczeniu usług drogą elektroniczną zakazuje przesyłania niezamówionej informacji handlowej drogą elektroniczną.

Ochrona danych osobowych a zgoda na telemarketing

W kontekście zgody na telemarketing warto zwrócić uwagę na przepisy art. 172, 174 prawa telekomunikacyjnego, oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną, wspomniane już wcześniej, ale tutaj przytoczone w całości.

Art. 172. [Używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego]
1. Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
2. Przepis ust. 1 nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw.
3. Używanie środków, o których mowa w ust. 1, dla celów marketingu bezpośredniego nie może odbywać się na koszt konsumenta.

Art. 174. [Zgoda abonenta lub użytkownika końcowego]
Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.

Art. 10. [Niezamówiona informacja handlowa]
1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
3. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1.

Co to znaczy zgoda na przetwarzanie danych osobowych i kiedy ją pobrać?

„Zgoda” osoby, której dane dotyczą̨ oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą̨, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Czy będzie to mail, zaznaczone okienko na checkliście, czy możliwość rozłączenia się jeśli osoba – Klient, nie wyraża zgody to już kwestia do rozstrzygnięcia w zależności od potrzeb i możliwości techniczno-organizacyjnych jednostki. Ważne by istniał dowód potwierdzający zgodę na przetwarzanie danych osobowych, zgodnie z zasadą rozliczalności. Poniżej przykładowy zestaw zgód spółki jaki pozyskuje się od podmiotu, którego dane przetwarzamy.

Wyrażam zgodę̨ na przetwarzanie przez Firmę Sp. z o.o. z siedzibą w ……………………………….. moich danych osobowych, również̇ w sposób zautomatyzowany, w tym w formie profilowania, w celu prowadzenia marketingu bezpośredniego produktów i usług Spółki.

Wyrażam zgodę̨ na przesyłanie przez Firmę Sp. z o.o. z siedzibą w ………………………odpowiadającej powyższym celom informacji handlowej na podstawie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną za pomocą̨ środków komunikacji elektronicznej, w tym także na wskazany adres poczty elektronicznej lub numer telefonu komórkowego.

Wyrażam zgodę̨ na otrzymywanie telefonicznych połączeń́ przychodzących inicjowanych przez Firmę Sp. z o.o. z siedzibą w ……………………………. w celu prowadzenia marketingu bezpośredniego produktów i usług Spółki zgodnie z art. 172 ustawy prawo telekomunikacyjne.

Podstawowe informacje w relacji call center a Klient (odbiorca telefonu)

Osobie, która odbiera telefon od telemarketera, przysługują pewne prawa, w tym prawo do informacji. Jego najbardziej popularnym przejawem są różnego rodzaju klauzule informacyjne wyskakujące w pop upach na stronach internetowych albo których pisemne wersje widać jako kolejny załącznik do podpisywanej umowy. Osobie, z którą kontaktuje się telemarketer powinna na wstępie przekazana zostać informacja kto się kontaktuje, po co i dlaczego. Tak naprawdę jest to po części zbieżne z treścią z tzw. klauzuli informacyjnej wymaganej przez RODO.

Poniżej fragment klauzuli informacyjnej dotyczącej przetwarzania danych osobowych przez spółkę w celach marketingowych.

  1. Administratorem podanych przez Pana/-ią danych osobowych będzie Firma Sp. z o.o. z siedzibą w ………………………..;
  2. Podane przez Pana/-ią dane osobowe będą przetwarzane na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tj. udzielonej przez Pana/-ią zgody, w zależności od zakresu udzielonej zgody, w celu prowadzenia marketingu bezpośredniego produktów i usług Spółki;
  3. Podane przez Pana/-ią dane osobowe będą powierzane w celu ich dalszego przetwarzania podmiotom współpracującym ze Spółką, w szczególności podmiotom świadczącym usługi informatyczne, hostingowe, e-mail marketingu, prawne.

Na co jeszcze warto zwrócić uwagę w ochronie danych osobowych w telemarketingu?

Uprawnienia osoby, do której dzwoni telemarketer

Jednym z praw przysługujących osobie, której dane są przetwarzane to prawo do informacji kto przetwarza jej dane i w jakim celu. Kolejne prawo to prawo do cofnięcia zgody na przetwarzanie danych osobowych. Prawo do wniesienia sprzeciwu, aktualizacji danych czy przeniesienia do innego administratora lub do bycia zapomnianym to kolejne uprawnienia przysługujące osobie, której dane są przetwarzane.

Praca na bazach danych

Każdy podmiot posiadający bazy danych (szczególnie danych osobowych) musi mieć świadomość, że aby móc przetwarzać dane osobowe powinien legitymować się jedną z przesłanek wskazanych w RODO. W aspekcie działań call center będą to zazwyczaj:

  • zgoda;
  • realizacja umowy lub rozpoczęcie jej negocjacji;
  • prawnie uzasadniony interes.

Mając powyższe na uwadze warto dbać o właściwość procesu gromadzenia danych i korzystać ze źródeł, które zapewniają odpowiednią gwarancję legalności zgromadzonej bazy – dzięki temu istotnie minimalizujemy ryzyko niezadowolenia odbiorcy bądź i zarzutów pod kątem braku legalności działań telemarketingowych.

Wskazane wcześniej wnioski wynikają między innymi z decyzji UOKIK w sprawie Netii, którą można znaleźć tutaj: https://www.google.com/search?client=safari&rls=en&q=decyzja+UOKIK+w+sprawie+danych+osobowych&ie=UTF-8&oe=UTF-8

Techniczne i organizacyjne zabezpieczenie przetwarzania danych osobowych

Odpowiedź na to pytanie pozostawiono administratorowi. Ocena tych ryzyk obejmuje szerokie spektrum obowiązków od regulaminu pracy, stosowania żaluzji antywłamaniowych, sposobu konstruowania hasła do stacji roboczej, umieszczenia zraszaczy, położenia budynku call centre, dostępności do poszczególnych pomieszczeń.

Co grozi jak nie będę zgodny z RODO?

Jeśli działania telemarketingowe nie są zgodne z RODO to przede wszystkim osoba ma prawo do zgłoszenia skargi do UODO (Urzędu Ochrony Danych Osobowych). Skarga oznacza postępowanie wyjaśniające, z ryzykiem kary administracyjnej. Jak to wyglądać może niech świadczy poniższy przykład niemieckiej spółki 1&1 Telecom.

W grudniu 2019 roku niemiecki federalny komisarz ds. ochrony danych i wolności informacji (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – BfDI) ukarał niemiecką spółkę kwotą aż 9 600 000 euro (przeszło 43 000 000 złotych). Wówczas była to druga najwyższa kara nałożona w Niemczech na administratora za naruszenie przepisów RODO.

Regulator zarzucił 1 & 1 Telecom, że ten nie wdrożył odpowiednich i wystarczających środków technicznych i organizacyjnych mających na celu ochronę danych osobowych klientów spółki, które były przetwarzane w jej call center. Organ nadzorczy ustalił w toku postępowania, że każda osoba kontaktująca się z call center ukaranego administratora mogła pozyskać informacje o dowolnym kliencie, podając jedynie jego imię, nazwisko oraz datę urodzenia. Spółka nie zapewniła zatem – w ocenie BfDI – wystarczającego poziomu uwierzytelnienia swoich klientów, a w efekcie nie zagwarantowała – w świetle przepisów RODO – odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych.

Spółka odwołała się do sądu. Sąd odwoławczy orzekł w swoim wyroku, że wina ukaranego administratora jest – w kontekście naruszenia ochrony danych osobowych – niewielka, co uzasadnia obniżenie wymiaru kary z 9 600 000 do 900 000 euro (z przeszło 43 000 000 na ok. 4 000 000 złotych). Jednocześnie wskazał, że brak jest informacji o dalszych naruszeniach związanych z systemem uwierzytelniania klientów spółki funkcjonującym w jej call center. Warto jednak zauważyć, że sąd nie zanegował samego faktu stwierdzonego przez regulatora naruszenia ochrony danych osobowych, co może być dobrą wskazówką dla innych administratorów stosujących różne metody weryfikacji dzwoniących klientów.

Przedstawiciele 1 & 1 Telecom poinformowali po ogłoszeniu wyroku, że spółka z zadowoleniem przyjęła informację o znacznym obniżeniu wymiaru kary finansowej. Zauważyli oni jednak, że znacznie zredukowana kara wciąż stanowi znaczną kwotę. Spółka aktualnie analizuje wyrok niemieckiego sądu apelacyjnego i nie wyklucza podjęcia dalszych kroków procesowych.

Niemiecki federalny organ nadzorczy poinformował natomiast, że sąd w swoim orzeczeniu potwierdził wszystkie ustalenia poczynione w toku postepowania kontrolnego prowadzonego przez BfDI. Sąd orzekł bowiem, że ukarana spółka naruszyła – wynikające z RODO – zasady przetwarzania danych osobowych poprzez niezapewnienie wystarczających środków bezpieczeństwa w swoim call center. Regulator zauważył również, że wyrok sądu w tej sprawie powinien uświadomić innym administratorom, że żadne naruszenia ochrony danych osobowych nie zostaną pozostawione bez konsekwencji.

Pomimo, że sąd znacznie zmniejszył wymiar kary nałożonej przez niemieckiego federalnego regulatora na 1 & 1 Telecom, sprawa ta może dać do myślenia innym administratorom. Sąd potwierdził ustalenia organu nadzorczego dokonane w toku postępowania kontrolnego w kontekście samego zdarzenia. Wydaje się, że do złagodzenia kary w znacznym stopniu przyczyniła się szybka reakcja spółki po dostrzeżeniu naruszenia, w tym jego zbadanie, ocena i zastosowanie odpowiednich działań naprawczych, a następnie rzetelne udokumentowanie podjętych czynności.

Źródło: https://www.bankinfosecurity.com/german-court-slashes-11s-gdpr-privacy-fine-by-90-a-15359

Przewiń do góry Skip to content