Telefonközponttól a Call Centeriga GDPR árnyékában
Megfelelési nehézségek és kihívások
Magabiztos call center szolgáltató vagyunk, de…
Disclaimer – IT cég vagyunk!DISCLAIMER
A MinervaTel csapata nagy figyelmet fordít a jogszabályoknak való megfelelésre, deinformatikai szolgáltató cég vagyunk és nem jogi iroda.
Az előadásunkban elhangzó és látható bármely információ, észrevétel, megjegyzésvagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és azüzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nemminősülnek jogi tanácsnak vagy véleménynek! Ezekre cégünk nem hitelesített ésnem is jogosult.
Mivel egy jövőben alkalmazandó rendeletről van szó, senkinek sem lehettapasztalata a rendelet gyakorlati alkalmazásáról, a hatóság majdani ellenőrzésitevékenységéről, az esetleges megállapításairól, illetve ezek jogkövetkezményeiről.
Az előadásunkban található adatokat a legjobb tudásunk szerint megbízhatóforrásokból szereztük, de csak tájékoztató információként kezelendőek. Azelőadásunkra való hivatkozás nem lehet alap egy esetleges hatósági, ellenőrzési,törvényességi eljárásban.
PBX / Call center relációk GDPR (jogi) szempontból
Call center szolgáltató, mint „Adatfeldolgozó”
Érdeklődő / Ügyfél
ÜFSZ üzemeltetője, mint „Adatkezelő”
Az adatkezelő feladatai
Alapvető feladata „Az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek
jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik.”
Az adatkezelési tevékenységek nyilvántartása Minden adatkezelő … a felelősségébe tartozóan végzett adatkezelési tevékenységekről
nyilvántartást vezet.
Call centerre hogyan lehet ezt lefordítani??? Megfelelően adminisztrálnia és dokumentálnia, illetve követnie kell (naplózás) az
ügyfélszolgálaton történt eseményeket, ügyfél-kommunikációt
Megfelelően adminisztrálnia kell a call centerben „begyűjtött” ügyféladatokat
Az adatkezelés jogszerűsége (6. cikk)
Az adatkezelés jogalapja lehet
Hozzájárulás Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő
kezeléséhez.
Szerződéses jogviszony Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a
szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
Call centerre hogyan lehet ezt lefordítani??? Tudnunk kell, hogy a telefon végén az érintett már ügyfelünk-e és mit engedett meg nekünk
Ha még nem ügyfelünk, akkor tájékoztatnunk kell, hogy hogyan kezeljük az adatait
A call center használatát szabályoznunk kell és pl. IVR-ban bemondani az ügyfélnek, hogy hol találja a vonatkozó adatkezelési szabályzatot
Mi számít személyes adatnak egy call centerben?
Telefonszám? Ha a hívó telefonszáma mellé letárolom a nevét
Ha rögzítem a hívást és a hívó bemutatkozik
Ha csak telefonszámot tárolsz és nevet hozzá nem, de a név pl. kikereshető a szám alapján publikus telefonkönyvből, akkor igen?!?!
Rögzített hívások tartalma
Céges telefonon szereplő magánszemély adatok szabályzási kérdés
Kérdőíveken begyűjtött adatok – script eredményeinek rögzítése ügyfélhez
Hangposta üzenetek tartalma
Az ügyfelek jogainak kezelése az ügyfélszolgálaton
Javasolt külön adatkezelési szabályzat az ügyfélszolgálathoz (benne, többek között): Azzal, hogy az érdeklődő/ügyfél az ÜFSZ-t igénybe veszi, elfogadja annak adatkezelési feltételeit
és meghatalmaz minket, hogy pl. rögzítsük és tároljuk a hívásait
Ez publikálnunk célszerű a weblapunkon
Ezt érdemes bemondani az IVR-ban és hivatkozni, hogy hol érhető el
ÜFSZ adatkezelési szabályzatában érdemes rögzítenünk, hogy: Rögzítjük-e a hívást
A rögzített hívást meddig, hol és hogyan tároljuk
„Feliratozzuk-e” a hívásait és az abból kinyerhető adatokat hogyan használjuk fel
Tájékoztatás és kiszolgálás nyelve
Hogyan kérheti a rögzített hívásai törlését – elfelejtéshez való jog
Nyilatkozzunk az ÜFSZ nyelvéről – pl. csak magyar és angol nyelv elfogadott
Hogyan is néz ki, akkor a GDPR kompatibilis telefonrendszer vagy ügyfélszolgálat?
Van mire odafigyelni…
A megfelelő call center (szolgáltató), mint adatfeldolgozó
2018 Május 25.-től nem használhatsz akármilyen szoftvert vagy dolgozhatsz akárkivel Amibe betöltöd az ügyfeled személyes adatait vagy amivel gyűjtöd azokat, vagy
Akinek kiadod az ügyfeleid adatait, arra szigorú szabályok vonatkoznak
Csak olyan rendszert használhatsz vagy olyan alvállalkozót vonhatsz be az adatkezelésbe, mint adatfeldolgozó, aki GDPR kompatibilis megfelelő garanciákat nyújtanak a GDPR vonatkozó rendeletének való megfeleléséhez
Képes biztosítani az érintettek jogainak megfelelő védelmét
Megfelelő technikai lehetőségei vannak – megfelelő technológiákat használ
Beépített adatvédelem és adatkezelés bizt. CC-ben?
Megfelelő rendszereket kell választanunk – privacy by design Call center szoftver
Skriptkezelő
CRM
ERP
Stb…
Meddig tárolunk és mit? – automata folyamatok „elévülő” adatokra -> kisöprés
Adatokhoz való hozzáférés management és jogosultságkezelés
Minden adatot titkosítva tároljunk
A személyes adatok álnevesítése
MinervaTel mint adatfeldolgozó – sok macera…
Jogi felkészültség Minden szerződésünket fölülvizsgáltattuk inc. előfizetői, alvállalkozói, munkavállalói, szerver
szolgáltató, ill. minden szolgáltatást nyújtó fél szerződését
Munkaköri leírások, adat hozzáférés szabályzás és meghatalmazások rendbetétele
Technikai felkészültség IT securityban és adatkezelésben jók voltunk, de szükség volt fejlesztésre – pl. log analízis
Új funkciók fejlesztésére volt szükség a call center szoftverünkben – pl.: Hívó összes hívásának törlése a felejtés joga miatt – lekérdezett hívások tömeges törlése
Nem küldünk ki MP3-ban semmilyen rögzített hangfájlt (pl. hangposta, rögzített support hívás) – csak link
Missed call notification: e-mailbe nem lehet benne a hívó száma és neve – portálra be kell lépni hozzá
Minden adat az EU-ban tárolt: Amazonon történő historikus tárolás EU-n belülre kényszerítése
Szervezeti fejlettség Minden fejlesztést házon belül végzünk – nincs alvállalkozó, csak alkalmazott
Személyes adatot még supportra sem adunk ki
Figyeljetek továbbá oda… [1]
Különleges adatok kezelése – az ügyfélszolgálatodon van-e ilyen? „A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy
szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.”
Adathordozhatósághoz való jog (géppel olvasható formátumú adataink tekintetében) – lehet e-kereskedő CC-nél ilyen? Van erre jogalapja?
Adatok megtartása Ha az adatkezelés jogalapja hozzájárulás volt, akkor kérheti akár minden adatának törlését inc.
metaadat, de ha jogszabályi , akkor a jogszabályban leírtak a mérvadóak (akkor is kérheti, csak jogszabályilag nem biztos, hogy tudjuk teljesíteni).
Erre rendelkezned kell megfelelő funkciókkal a call centeredben is
Bizalmassági jelleg: Hozzáférési jogosultságok ki kell legyenek alakítva. Csak az férjen hozzá és ahhoz, amihez hozzá kell
férnie - munkaszerződésben és/vagy jogosultságkezelési szabályzatban szabályozni ki mihez férhet hozzá
Korlátozott tárolhatóság: Úgy kell megkössük a szerződést a vevőinkkel, hogy addig tároljuk az adatokat, ameddig ő vissza
nem vonja (kivéve, ha jogszabályok másként rendelkeznek)
Ha visszavonja, akkor törölni kell - valóban törölni kell? Pszeudonimizálás lehetséges?
Az adatkezeléssel kapcsolatos hozzájárulást tudni kell később ellenőrzés esetén igazolni!!! El kell hosszú távon tárolni, hogy megnyomta az 1.-est a jóváhagyáshoz – ezt meg tudni oldani
konkrét célként, illetve célonként külön-külön
Adatkezelés korlátozásához való jog – fél év múlva marketing akció… Ha „on the record” bemondja, hogy később ajánlattal nem kereshetjük meg, akkor a CC agentnek
ezt az ügyfél neve mellé be kell írni
Figyeljetek továbbá oda… [2]
Törekedjetek arra, hogy egyirányú legyen a személyes adatok mozgása A call center szolgáltatásban begyűjtésre kerülő adatok mehetnek hozzád
Te mint e-kereskedő a lehető legkevesebb személyes adatot küldj a CC szolgáltató felé
Nem jó, ha pl. egy kampánykezeléshez be kell a felhívandó ügyfelek adatait tölteni a CC szoftverbe!
Értesítések elveszített hívásokról, hangpostáról, rögzített hívásokról E-mailben ne kerüljön csatolásra semmilyen rögzített hang file (pl. support vagy hangposta)
Misedd call notificationben ne legyen benne a személyes adat (hívó neve + telefonszáma)
E-mailben csak URL-el legyenek, amivel belépve a CC szoftver felületére elérhetőek megfelelő azonosítást követően jogosultsági szintnek megfelelően a szükséges adatok, fájlok.
Figyeljetek továbbá oda… [3]
Hangfájl letöltés tiltása – call centre operátor rögzített beszélgetéseket, hangposta üzeneteket ne tudjon letölteni! Csak a CC szoftver kezelőfelületén érhesse el azokat azonosítást követően
! NEM TUDJA AZOKAT LETÖLTENI ! -> csak megfelelő jogosultságú supervisor tehessen ilyet
Olyan rendszert használj, ahol az operátoraid lejátszási jogosultsága beállítható
A rendszerből lehetőleg semmilyen adatot se lehessen továbbítható formátumban titkosítatlanul kiszedni.
Dashboard, mint az extrém eset GDPR szempontból idegen ne mehessen be abba a helységbe, ahol a dashboard adatok ki vannak téve
a saját agentjeinek munkaszerződésébe bele kell tenni, hogy hozzáférhet az ott megjelenő adatokhoz
Valóban ilyen komolyan kell ezt venni?
Figyeljetek továbbá oda… [4]
Webes képernyő-tükrözés (cobrowsing) vs. GDPR?
VásárlóÜgyfélszolgálatos
GDPR elvárások co-browsing sessionnél
Érzékeny adatok legyenek
„pszeudonimizálva” – részben vagy
egészben takarjuk ki azokat
Az agent gépére semmi ne kerüljön
lementésre, kiírásra és ne
legyen screencapture!
Megfelelő jóváhagyási
folyamat szükséges erősen naplózva!
Adatkezelési nyilatkozatba
betenni!
Minden legyen end-to-end
titkosított és azonosított!
Csak az adott session legyen
látható!
Először telefonál be az új érdeklődő (még nem ügyfél! nem írt alá semmilyen nyilatkozatot!) ez is személyes adatkezelés, de még nem nyilatkozott róla, hogy pl. az általa hagyott
hangpostát e-mailben kiküldjük a recepciósoknak
ha X időn belül nem létesített jogviszonyt a szolgáltatóval, akkor törölni kell a beszélgetését
Az ügyfélszolgálat használati feltételeiben definiálni és IVR-ba bemondani, hogy ha még nem ügyfél és továbblép, akkor elfogadja a ÜFSZ adatkezelési szabályzatát
Tájékoztatás hívásrögzítésről Inbound: IVR-ban be kell mondani (korábbi szabály)
Ha nem járul hozzá hagyhatjuk, hogy pl. „1-es gomb megnyomásával jelezze”
Outbound: operátornak tájékoztatást kötelező adnia (korábbi szabály)
Figyeljetek továbbá oda… [5]
Kun SzabolcsMinerva-Soft [email protected]