Tradiciškai elektroninių ryšių (pvz., telefono, interneto naršymo, el. pašto, internetinių pokalbių, kai žinutės perduodamos realiu laiku, IP telefonijos ir kt.) sekimas yra laikomas viena pagrindinių grėsmių asmens privatumui. Pokalbių metu asmenys atskleidžia įvairiausią informaciją – nuo tapatybę identifikuojančių duomenų iki informacijos apie sveikatą ar finansinę būklę. Taigi ką reikėtų daryti, kad telefoninių pokalbių įrašymas būtų teisėtas ir atitiktų Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus?
Poveikio duomenų apsaugai vertinimas
Jei ketinate įrašyti pokalbius telefonu, pirmiausia turite atlikti poveikio duomenų apsaugai vertinimą. Ši procedūra yra privaloma.
Atlikę poveikio duomenų apsaugai vertinimą ir parengę ataskaitą (Valstybinė duomenų apsaugos inspekcija yra patvirtinusi rekomenduojamas naudoti formas), galėsite įvertinti visas galimas rizikas asmenų teisėms ir laisvėms, taikomas duomenų saugumo priemones, rizikos šalinimo būdus ir kita. O jei pokalbius telefonu jau įrašinėjate, bet dar nesate atlikę poveikio duomenų apsaugai vertinimo, neužmirškite, kad pareiga atlikti šią procedūrą niekur nedingsta.
Aiški įrašinėjimo tvarka
Tam, kad pokalbių įrašymas organizacijoje vyktų sklandžiai, būtina parengti aiškią tvarką, kuri reglamentuotų, kaip toks procesas vyksta. Taip pat svarbu sudaryti visų šalių, kurioms turi būti taikoma skambučių įrašymo politika, sąrašą. Nepamirškime, kad už tinkamą pokalbių įrašymą yra atsakingi ne tik jūsų įmonės darbuotojai, bet ir trečiosios šalys, vykdančios pokalbių įrašymą jūsų vardu, pvz., telekomunikacijų bendrovės. Su trečiosiomis šalimis būtina pasirašyti duomenų tvarkymo sutartį, jei duomenis jie tvarkys jūsų pavedimu.
Veiksminga telefoninių pokalbių įrašymo tvarka numato, kaip bus saugomi ir naikinami įrašai. Tai itin svarbu, kadangi leidžia užtikrinti, kad įrašai būtų sukurti, tvarkomi ir sunaikinami laikantis atitinkamų reglamentuojamų saugojimo laikotarpių ir verslo poreikių. Be to, įrašų saugojimas ilgiau, nei reikia, gali būti traktuojamas kaip neproporcingas ir pažeidžiantis BDAR. Nustatant duomenų saugojimo terminą, būtina atsižvelgti į aplinkybes, kurios gali būti reikšmingos saugoti pokalbio įrašą, pavyzdžiui, per kokį terminą klientas gali užginčyti sandorį, pateikti skundą ar pretenziją.
Įrašus, kai dėl sutarties sudarymo, keitimo sąlygų yra sutariama telefonu, Valstybinė duomenų apsaugos inspekcija rekomenduoja saugoti, pavyzdžiui, tol, kol galioja sutartis su klientu. Telefoninių pokalbių įrašai, daromi siekiant gerinti aptarnavimo kokybę, galėtų būti saugomi, pavyzdžiui, 6 mėnesius ar 1 metus. Taigi, rengiant skambučių įrašymo tvarką, svarbu nepamiršti sureguliuoti ne tik patį pokalbių įrašymo procesą, bet ir būsimus veiksmus, kurie bus atliekami, padarius įrašą.
Teisinis pagrindas įrašinėti telefoninius pokalbius
Pokalbius įrašinėjančios įmonės turi pagrįsti įrašinėjimo teisėtumą, patvirtindamos, kad telefoninių pokalbių įrašymas atitinka vieną iš BDAR 6 straipsnyje įtvirtintų teisėtumo sąlygų: i) įrašymas yra būtinas sutarčiai, kurios šalimi yra pokalbio dalyvis, vykdyti; ii) įrašas yra būtinas teisiniam įsipareigojimui, kuris taikomas įrašinėjančiai pusei, vykdyti; iii) įrašas yra būtinas vieno ar daugiau dalyvių gyvybiniams interesams apsaugoti; iv) pokalbis įrašomas dėl viešojo intereso arba vykdant įrašinėtojui suteiktus oficialius įgaliojimus; v) yra gautas sutikimas, kad pokalbis būtų įrašomas; arba vi) įrašymas atitinka teisėtus įrašinėtojo interesus, išskyrus atvejus, kai šie interesai yra svarbesni už pokalbio dalyvių interesus, dėl kurių reikia apsaugoti asmens duomenis.
Yra nemažai situacijų, kai pokalbių įrašymas yra akivaizdžiai pateisinamas, pavyzdžiui, siekiant apsaugoti visuomenės interesą, pvz., pagalbos tarnybų skambučių įrašymas. Vis dėlto dažniausiai pokalbiai yra įrašomi tam, kad būtų užtikrinta klientų aptarnavimo kokybė arba apsaugoti verslo interesai, todėl organizacijoms tenka sunkesnė užduotis, siekiant nustatyti, koks turėtų būti tinkamas teisinis pagrindas tvarkyti asmens duomenis šiuo tikslu.
Turbūt ne kartą esate girdėję frazę „Siekiant užtikrinti pokalbio kokybę, jūsų pokalbis bus įrašomas, jeigu sutinkate, prašome palaukti“. Tai yra standartinis sutikimo konkliudentiniais veiksmais pavyzdys, kai asmuo ne žodžiu ar raštu, o tam tikru numanomu elgesiu išreiškia sutikimą. Visgi tam, kad sutikimas galiotų, itin svarbu prisiminti BDAR sutikimui keliamus reikalavimus. BDAR numato, kad sutikimas yra bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais.
Įrašant pokalbius itin svarbu prisiminti, kad neužtenka vien tik informuoti duomenų subjektą apie tai, kad pokalbis yra įrašomas, duomenų subjektas turi turėti galimybę nesutikti su asmens duomenų tvarkymu. Taip pat nepamirškite, kad, siekiant užtikrinti sutikimo savanoriškumą, asmeniui turi būti sudaryta galimybė gauti pageidaujamą informaciją, net jei pokalbis nebūtų įrašomas. Jei to neįgyvendinsite, nebus laikoma, kad sutikimas buvo duotas laisva valia ir toks sutikimas negalios.
Būtina žinoti ir tai, kad, jeigu vykdote pokalbių su savo darbuotojais įrašymą, negalite remtis jų sutikimu, kaip teisiniu pagrindu, tvarkyti darbuotojų asmens duomenis. Dėl darbdavio ir darbuotojo santykių pobūdžio daugumos duomenų tvarkymo darbe atvejų teisinis pagrindas negali būti ir neturėtų būti darbuotojų sutikimas. Šioje vietoje „įsijungia“ darbdavio teisėti interesai, pagal kuriuos prieš pradedant darbuotojų telefoninių pokalbių įrašymą turi būti atliekamas teisėtų interesų vertinimo testas ir darbuotojai turi būti pasirašytinai supažindinami su telefoninių pokalbių įrašymo tvarka.
Įrašų tikslas
Vienas iš kertinių BDAR principų yra tikslo apribojimo principas, kuris numato, kad asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tuo nesuderinamu būdu. Šis principas aiškiai nurodo, kad abstraktus tikslas, pavyzdžiui, aptarnavimo kokybės gerinimas, jeigu nėra aišku, kaip konkrečiai pokalbių įrašymas gerins aptarnavimo kokybę, pažeidžia tikslo apribojimo principą.
Be to, svarbu nepamiršti, kad tvarkomi asmens duomenys turi būti tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti. Taigi tvarkomi asmens duomenys turi būti adekvatūs ir proporcingi siekiamiems tikslams, t. y. duomenys turi būti tvarkomi tik tokie ir tik tuo atveju, jei kitos priemonės yra nepakankamos ir (arba) netinkamos siekiant teisėtų tikslų. Dėl to prieš nusprendžiant įrašyti telefono pokalbius, svarbu įvertinti ir kitas priemones, kurios galėtų mažiau pažeisti asmens privatumą.
Teisė susipažinti su telefoninio pokalbio įrašu
Tam tikrais atvejais, pavyzdžiui, kilus konfliktui pokalbio metu ar dėl tam tikrų aplinkybių susipainiojus, siekiant išsiaiškinti pokalbio metu sutartas sutarties sąlygas, asmuo gali pareikalauti pateikti telefoninio pokalbio įrašą. Pagal BDAR asmuo tokią teisę turi ir gali ja pasinaudoti, jei tai neprieštarauja trečiųjų asmenų interesams (pavyzdžiui, nėra grėsmės, kad bus nutekinta konfidenciali informacija ir pan.). Organizacija, prieš leisdama susipažinti su pokalbio metu užfiksuotais duomenimis ar gauti jų kopiją, turėtų apgalvoti, ar teisės įgyvendinimas neturės neigiamų padarinių trečiosioms šalis. Vis dėlto net jei neigiamų padarinių rizika egzistuotų, tai neturėtų būti traktuojama kaip absoliutus atsisakymo įgyvendinti duomenų subjekto teises pagrindas.
Tais atvejais, kai pokalbio įrašas negali būti pateikiamas visas, galima pateikti įrašo kopiją su „iškirptais“ kito pokalbyje dalyvaujančio asmens kalbėjimo epizodais (jei nėra galimybių užtikrinti kitų asmenų teisių ir laisvių) arba pateikti dialogo stenogramą (jei yra būtina užtikrinti kitų asmenų teises ir laisves).
Jei asmeniui suteiksite tik galimybę perklausyti visą pokalbio įrašą, bet nepateiksite jo kopijos, tai taip pat bus traktuojama kaip BDAR pažeidimas, kadangi tokiu atveju būtų paneigta duomenų subjekto teisė gauti savo asmens duomenų kopiją (išskyrus, jei pats duomenų subjektas aiškiai nurodo, kad būtent taip pageidauja susipažinti su savo asmens duomenimis).
Taigi, jei vykdote ar ketinate vykdyti pokalbių įrašymą, užtikrinkite, kad:
- atliktas poveikio duomenų apsaugai vertinimas;
- atliktas teisėtų interesų vertinimo testas;
- egzistuoja tinkamas teisinis pagrindas vykdyti telefoninių pokalbių įrašymą;
- esate parengę aiškią pokalbių įrašymo politiką, kuri numato, kaip bus įgyvendinamos duomenų subjektų teisės ir kaip organizacija užtikrins BDAR reikalavimų laikymąsi;
- kas kartą prieš pradėdami įrašinėti pokalbį informuosite duomenų subjektus ir gausite jų sutikimą.
Laikydamiesi šių esminių reikalavimų ne tik išvengsite Valstybinės duomenų apsaugos inspekcijos sankcijų, bet ir parodysite savo būsimiems ir esamiems klientams, kad jų teisės duomenų apsaugos srityje jums rūpi.