Προϋποθέσεις για την νομιμη καταγραφή τηλεφωνικής συνομιλίας
Σύμφωνα με το άρθρο 2 στοιχ. α΄ του Ν. 2472/1997 και τις αιτιολογικές σκέψεις 14-17 στο προοίμιο της Οδηγίας 95/46/ΕΚ, τα δεδομένα ήχου και εικόνας, εφόσον αναφέρονται σε πρόσωπα, συνιστούν δεδομένα προσωπικού χαρακτήρα. Πράγματι, η καταγραφή των κλήσεων συχνά περιέχει προσωπικές πληροφορίες (όπως το όνομα του καλούντος, τη διεύθυνση ή τις οικονομικές πληροφορίες).
Ως εκ τούτου, η καταγραφή κλήσεων ταξινομείται ως μια μορφή «επεξεργασίας δεδομένων» και εμπίπτει στους νέους κανόνες που καλύπτονται από το νέο νομοθετικό πλαίσιο περί προστασίας των προσωπικών δεδομένων, δηλαδή τον Γενικό Κανονισμό (ΕΕ) 2016/679 (GDPR).
Ίσως ένας από τους πιο προβληματικούς τομείς του Κανονισμού - ο οποίος προκαλεί πονοκέφαλο σε πολλούς οργανισμούς – είναι ο χειρισμός, η επεξεργασία και η διατήρηση των καταγεγραμμένων κλήσεων. Είναι συχνό φαινόμενο να καταγράφονται από τις εταιρείες οι τηλεφωνικές συνομιλίες ώστε να διευκολύνεται η επίλυση διαφόρων ζητημάτων. Πράγματι, η καταγραφή κλήσεων είναι μια συνήθης πρακτική με πολλά οφέλη, αλλά από τις 25 Μαΐου 2018 πρέπει να ακολουθούνται οι κανόνες του GDPR για την καταγραφή κλήσεων.Ο κύριος στόχος του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων είναι να ενισχύσει την προστασία των δεδομένων σε ολόκληρη την ΕΕ, δίνοντας παράλληλα στους ανθρώπους μεγαλύτερο έλεγχο στον τρόπο με τον οποίο οι οργανισμοί μπορούν να χρησιμοποιήσουν τα προσωπικά τους δεδομένα.
Ο Κανονισμός κατά συνέπεια προσφέρει αυστηρές οδηγίες σχετικά με το πότε μπορεί να υπάρξει καταγραφή κλήσεων και τον τρόπο αντιμετώπισης τους.
Η καταγραφή τηλεφωνικής συνομιλίας μπορεί μεν να συνεχιστεί στο πλαίσιο του GDPR, καθώς δεν απαγορεύονται απλά υπάρχουν πλέον πρόσθετες απαιτήσεις για την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων στα οποία αναφέρονται τα δεδομένα προσωπικού χαρακτήρα.
Όπως και με τη χρήση cookies σε ιστότοπους και άλλες μορφές συλλογής προσωπικών δεδομένων, η καταγραφή μπορεί να πραγματοποιηθεί μόνο με τη νόμιμη συγκατάθεση του προσώπου, τηρουμένων των προϋποθέσεων λήψης της (άρθρο 7 του Kανονισμού). Η γραμμή για έγκυρη συγκατάθεση έχει αυξηθεί σημαντικά μετά από τον GDPR. Η συγκατάθεση πρέπει να παρέχεται με σαφή θετική ενέργεια, να είναι συγκεκριμένη, ρητή, σαφής και εν πλήρει επίγνωση ένδειξης της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν. Η σιωπηρή συγκατάθεση δεν είναι πλέον αρκετή. Συνεπώς, τα άτομα θα πρέπει να συμφωνήσουν ρητά να καταγραφεί η κλήση τους.
Πέρα από τη λήψη της συγκατάθεσης, οι οργανισμοί που καταγράφουν συνομιλίες θα πρέπει να δικαιολογούν ενεργά τη νομιμότητα της καταγραφής, αποδεικνύοντας ότι ο σκοπός πληροί μία από τις ακόλουθες προϋποθέσεις του άρθρου 6 του Κανονισμού:
- η καταγραφή να είναι αναγκαία για την εκπλήρωση συμβατικής υποχρέωσης, στην οποία συμμετέχει ο συμμετέχων στην κλήση,
- η καταγραφή να είναι αναγκαία για την εκπλήρωση νομικής υποχρέωσης, στην οποία υπόκειται ο καταγραφέας,
- η καταγραφή να είναι αναγκαία για την προστασία έννομων συμφερόντων ενός ή και περισσοτέρων συμμετεχόντων στην συνομιλία, ή
- η καταγραφή να είναι αναγκαία προς το δημόσιο συμφέρον
Περαιτέρω, οι οργανισμοί που επιθυμούν να καταγράφουν τηλεφωνικές συνομιλίες πρέπει επίσης να συμμορφώνονται με τις πρόσθετες απαιτήσεις που επιβάλλει ο Κανονισμός σε σχέση με:
- την αρχή της διαφάνειας (άρθρο 5 παρ. 1 στοιχείο α) του Κανονισμού),
- την αρχή της λογοδοσίας (άρθρο 5 παρ. 2 του Κανονισμού) και
- την ασφαλή διατήρηση των δεδομένων.
1) την παροχή πληροφοριών στα υποκείμενα των δεδομένων σχετικά με τη σύννομη επεξεργασία των δεδομένων τους,
2) τον τρόπο με τον οποίο οι υπεύθυνοι επεξεργασίας δεδομένων επικοινωνούν με τα υποκείμενα των δεδομένων σχετικά με τα δικαιώματά τους βάσει του GDPR, και
3) τον τρόπο με τον οποίο οι υπεύθυνοι επεξεργασίας διευκολύνουν την άσκηση των δικαιωμάτων από τα υποκείμενα των δεδομένων.
Το άρθρο 13 του Κανονισμού απαιτεί από τους οργανισμούς που λαμβάνουν δεδομένα προσωπικού χαρακτήρα να παράσχουν πληροφορίες στα υποκείμενα των δεδομένων για το πώς και γιατί θα τύχουν επεξεργασίας τα προσωπικά τους δεδομένα, μεταξύ άλλων όσον αφορά τις δραστηριότητες καταγραφής κλήσεων. Οι εν λόγω πληροφορίες περιλαμβάνουν τον σκοπό της καταγραφής, τη νομική της βάση και τα κυριότερα δικαιώματα των υποκειμένων των δεδομένων βάσει του GDPR, καθώς και το πώς αυτά μπορούν να ασκηθούν. Όλες οι πληροφορίες που ορίζει το άρθρο 13 του Κανονισμού θα πρέπει να περιλαμβάνονται στην πολιτική καταγραφήςτου οργανισμού, για την οποία θα πρέπει να ενημερώνονται οι υπάλληλοι του οργανισμού. Αυτό μπορεί για παράδειγμα να γίνει με τη συμπερίληψη των λεπτομερειών στις πολιτικές προσωπικού που αναρτώνται σε ένα εσωτερικό intranet.
Οι οργανισμοί πρέπει να είναι ικανοί να αποδείξουν τη συμμόρφωσή τους με τις βασικές αρχές προστασίας των προσωπικών δεδομένων όταν πραγματοποιούν καταγραφή κλήσεων.
Οι καταγεγραμμένες κλήσεις πρέπει να αποθηκεύονται με ασφάλεια και να εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα για να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση – τόσο εσωτερικά από υπαλλήλους, όσο και εξωτερικά από κακόβουλους τρίτους. Ο αριθμός των υπαλλήλων που είναι εξουσιοδοτημένοι να έχουν πρόσβαση στις καταγεγραμμένες κλήσεις θα πρέπει να διατηρηθεί στο ελάχιστο. Επιπλέον, οι υπάλληλοι θα πρέπει να έχουν δεσμευτεί με σύμφωνο εμπιστευτικότητας προκειμένου να εξασφαλιστεί ότι θα χειριστούν κατάλληλα τις καταγραφές.
Χρονική Περίοδος Διατήρησης των Δεδομένων: Το άρθρο 5 στοιχείο ε) του Κανονισμού ορίζει ότι τα δεδομένα μπορούν να διατηρηθούν μόνο για το χρονικό διάστημα που απαιτείται για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν. Όταν οι καταγραφές κλήσεων δεν απαιτούνται πλέον, θα πρέπει να καταστρέφονται με ασφάλεια. Τα δεδομένα μπορούν να τηρηθούν για μεγαλύτερο χρονικό διάστημα μόνο εφόσον τυγχάνουν επεξεργασίας για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή στο πλαίσιο νομοθετικών και κανονιστικών υποχρεώσεων.Πέραν των αμέσως παραπάνω αναφερόμενων περιπτώσεων, ο κάθε οργανισμός θα πρέπει να διατηρεί τις καταγεγραμμένες κλήσεις για συγκεκριμένη χρονική περίοδο. Αυτή δεν πρέπει να υπερβαίνει το αναγκαίο για τις νόμιμες επιχειρηματικές ανάγκες του οργανισμού χρονικό διάστημα. Ενδέχεται διαφορετικές κατηγορίες κλήσεων να έχουν διαφορετικές περιόδους διατήρησης. Συνεπώς. ο κάθε οργανισμός θα πρέπει να καθορίσει την περίοδο (ή τις περιόδους) διατήρησης. Κάθε οργανισμός μπορεί να ορίσει ένα πρόσθετο εύλογο χρονικό διάστημα με σκοπό τη διαφύλαξη των έννομων συμφερόντων του. Πρέπει να σημειωθεί ότι το δικαίωμα στη λήθη του Κανονισμού (άρθρο 17) δεν λειτουργεί όσον αφορά τη διαγραφή καταγεγραμμένων εγγραφών εάν ο εν λόγω οργανισμός έχει νομική υποχρέωση να τα διατηρήσει.
Konstantinos Paterakis
(I write about tech, cyber & finance)
Insurance Risk Management Analyst, CyRM
Co-Founder & Μέλος Δ.Σ. cluster Panormos
view in Linkedin
Σχόλια
Δημοσίευση σχολίου