telefonközponttól a call centerig a gdpr árnyékában · minden adatot titkosítva tároljunk a...

20
Telefonközponttól a Call Centerig a GDPR árnyékában Megfelelési nehézségek és kihívások

Upload: others

Post on 15-Oct-2020

0 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Telefonközponttól a Call Centeriga GDPR árnyékában

Megfelelési nehézségek és kihívások

Page 2: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Magabiztos call center szolgáltató vagyunk, de…

Page 3: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Disclaimer – IT cég vagyunk!DISCLAIMER

A MinervaTel csapata nagy figyelmet fordít a jogszabályoknak való megfelelésre, deinformatikai szolgáltató cég vagyunk és nem jogi iroda.

Az előadásunkban elhangzó és látható bármely információ, észrevétel, megjegyzésvagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és azüzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nemminősülnek jogi tanácsnak vagy véleménynek! Ezekre cégünk nem hitelesített ésnem is jogosult.

Mivel egy jövőben alkalmazandó rendeletről van szó, senkinek sem lehettapasztalata a rendelet gyakorlati alkalmazásáról, a hatóság majdani ellenőrzésitevékenységéről, az esetleges megállapításairól, illetve ezek jogkövetkezményeiről.

Az előadásunkban található adatokat a legjobb tudásunk szerint megbízhatóforrásokból szereztük, de csak tájékoztató információként kezelendőek. Azelőadásunkra való hivatkozás nem lehet alap egy esetleges hatósági, ellenőrzési,törvényességi eljárásban.

Page 4: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

PBX / Call center relációk GDPR (jogi) szempontból

Call center szolgáltató, mint „Adatfeldolgozó”

Érdeklődő / Ügyfél

ÜFSZ üzemeltetője, mint „Adatkezelő”

Page 5: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Az adatkezelő feladatai

Alapvető feladata „Az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek

jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik.”

Az adatkezelési tevékenységek nyilvántartása Minden adatkezelő … a felelősségébe tartozóan végzett adatkezelési tevékenységekről

nyilvántartást vezet.

Call centerre hogyan lehet ezt lefordítani??? Megfelelően adminisztrálnia és dokumentálnia, illetve követnie kell (naplózás) az

ügyfélszolgálaton történt eseményeket, ügyfél-kommunikációt

Megfelelően adminisztrálnia kell a call centerben „begyűjtött” ügyféladatokat

Page 6: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Az adatkezelés jogszerűsége (6. cikk)

Az adatkezelés jogalapja lehet

Hozzájárulás Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő

kezeléséhez.

Szerződéses jogviszony Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a

szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

Call centerre hogyan lehet ezt lefordítani??? Tudnunk kell, hogy a telefon végén az érintett már ügyfelünk-e és mit engedett meg nekünk

Ha még nem ügyfelünk, akkor tájékoztatnunk kell, hogy hogyan kezeljük az adatait

A call center használatát szabályoznunk kell és pl. IVR-ban bemondani az ügyfélnek, hogy hol találja a vonatkozó adatkezelési szabályzatot

Page 7: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Mi számít személyes adatnak egy call centerben?

Telefonszám? Ha a hívó telefonszáma mellé letárolom a nevét

Ha rögzítem a hívást és a hívó bemutatkozik

Ha csak telefonszámot tárolsz és nevet hozzá nem, de a név pl. kikereshető a szám alapján publikus telefonkönyvből, akkor igen?!?!

Rögzített hívások tartalma

Céges telefonon szereplő magánszemély adatok szabályzási kérdés

Kérdőíveken begyűjtött adatok – script eredményeinek rögzítése ügyfélhez

Hangposta üzenetek tartalma

Page 8: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Az ügyfelek jogainak kezelése az ügyfélszolgálaton

Javasolt külön adatkezelési szabályzat az ügyfélszolgálathoz (benne, többek között): Azzal, hogy az érdeklődő/ügyfél az ÜFSZ-t igénybe veszi, elfogadja annak adatkezelési feltételeit

és meghatalmaz minket, hogy pl. rögzítsük és tároljuk a hívásait

Ez publikálnunk célszerű a weblapunkon

Ezt érdemes bemondani az IVR-ban és hivatkozni, hogy hol érhető el

ÜFSZ adatkezelési szabályzatában érdemes rögzítenünk, hogy: Rögzítjük-e a hívást

A rögzített hívást meddig, hol és hogyan tároljuk

„Feliratozzuk-e” a hívásait és az abból kinyerhető adatokat hogyan használjuk fel

Tájékoztatás és kiszolgálás nyelve

Hogyan kérheti a rögzített hívásai törlését – elfelejtéshez való jog

Nyilatkozzunk az ÜFSZ nyelvéről – pl. csak magyar és angol nyelv elfogadott

Page 9: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Hogyan is néz ki, akkor a GDPR kompatibilis telefonrendszer vagy ügyfélszolgálat?

Van mire odafigyelni…

Page 10: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

A megfelelő call center (szolgáltató), mint adatfeldolgozó

2018 Május 25.-től nem használhatsz akármilyen szoftvert vagy dolgozhatsz akárkivel Amibe betöltöd az ügyfeled személyes adatait vagy amivel gyűjtöd azokat, vagy

Akinek kiadod az ügyfeleid adatait, arra szigorú szabályok vonatkoznak

Csak olyan rendszert használhatsz vagy olyan alvállalkozót vonhatsz be az adatkezelésbe, mint adatfeldolgozó, aki GDPR kompatibilis megfelelő garanciákat nyújtanak a GDPR vonatkozó rendeletének való megfeleléséhez

Képes biztosítani az érintettek jogainak megfelelő védelmét

Megfelelő technikai lehetőségei vannak – megfelelő technológiákat használ

Page 11: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Beépített adatvédelem és adatkezelés bizt. CC-ben?

Megfelelő rendszereket kell választanunk – privacy by design Call center szoftver

Skriptkezelő

CRM

ERP

Stb…

Meddig tárolunk és mit? – automata folyamatok „elévülő” adatokra -> kisöprés

Adatokhoz való hozzáférés management és jogosultságkezelés

Minden adatot titkosítva tároljunk

A személyes adatok álnevesítése

Page 12: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

MinervaTel mint adatfeldolgozó – sok macera…

Jogi felkészültség Minden szerződésünket fölülvizsgáltattuk inc. előfizetői, alvállalkozói, munkavállalói, szerver

szolgáltató, ill. minden szolgáltatást nyújtó fél szerződését

Munkaköri leírások, adat hozzáférés szabályzás és meghatalmazások rendbetétele

Technikai felkészültség IT securityban és adatkezelésben jók voltunk, de szükség volt fejlesztésre – pl. log analízis

Új funkciók fejlesztésére volt szükség a call center szoftverünkben – pl.: Hívó összes hívásának törlése a felejtés joga miatt – lekérdezett hívások tömeges törlése

Nem küldünk ki MP3-ban semmilyen rögzített hangfájlt (pl. hangposta, rögzített support hívás) – csak link

Missed call notification: e-mailbe nem lehet benne a hívó száma és neve – portálra be kell lépni hozzá

Minden adat az EU-ban tárolt: Amazonon történő historikus tárolás EU-n belülre kényszerítése

Szervezeti fejlettség Minden fejlesztést házon belül végzünk – nincs alvállalkozó, csak alkalmazott

Személyes adatot még supportra sem adunk ki

Page 13: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Figyeljetek továbbá oda… [1]

Különleges adatok kezelése – az ügyfélszolgálatodon van-e ilyen? „A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy

szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.”

Adathordozhatósághoz való jog (géppel olvasható formátumú adataink tekintetében) – lehet e-kereskedő CC-nél ilyen? Van erre jogalapja?

Adatok megtartása Ha az adatkezelés jogalapja hozzájárulás volt, akkor kérheti akár minden adatának törlését inc.

metaadat, de ha jogszabályi , akkor a jogszabályban leírtak a mérvadóak (akkor is kérheti, csak jogszabályilag nem biztos, hogy tudjuk teljesíteni).

Erre rendelkezned kell megfelelő funkciókkal a call centeredben is

Page 14: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Bizalmassági jelleg: Hozzáférési jogosultságok ki kell legyenek alakítva. Csak az férjen hozzá és ahhoz, amihez hozzá kell

férnie - munkaszerződésben és/vagy jogosultságkezelési szabályzatban szabályozni ki mihez férhet hozzá

Korlátozott tárolhatóság: Úgy kell megkössük a szerződést a vevőinkkel, hogy addig tároljuk az adatokat, ameddig ő vissza

nem vonja (kivéve, ha jogszabályok másként rendelkeznek)

Ha visszavonja, akkor törölni kell - valóban törölni kell? Pszeudonimizálás lehetséges?

Az adatkezeléssel kapcsolatos hozzájárulást tudni kell később ellenőrzés esetén igazolni!!! El kell hosszú távon tárolni, hogy megnyomta az 1.-est a jóváhagyáshoz – ezt meg tudni oldani

konkrét célként, illetve célonként külön-külön

Adatkezelés korlátozásához való jog – fél év múlva marketing akció… Ha „on the record” bemondja, hogy később ajánlattal nem kereshetjük meg, akkor a CC agentnek

ezt az ügyfél neve mellé be kell írni

Figyeljetek továbbá oda… [2]

Page 15: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Törekedjetek arra, hogy egyirányú legyen a személyes adatok mozgása A call center szolgáltatásban begyűjtésre kerülő adatok mehetnek hozzád

Te mint e-kereskedő a lehető legkevesebb személyes adatot küldj a CC szolgáltató felé

Nem jó, ha pl. egy kampánykezeléshez be kell a felhívandó ügyfelek adatait tölteni a CC szoftverbe!

Értesítések elveszített hívásokról, hangpostáról, rögzített hívásokról E-mailben ne kerüljön csatolásra semmilyen rögzített hang file (pl. support vagy hangposta)

Misedd call notificationben ne legyen benne a személyes adat (hívó neve + telefonszáma)

E-mailben csak URL-el legyenek, amivel belépve a CC szoftver felületére elérhetőek megfelelő azonosítást követően jogosultsági szintnek megfelelően a szükséges adatok, fájlok.

Figyeljetek továbbá oda… [3]

Page 16: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Hangfájl letöltés tiltása – call centre operátor rögzített beszélgetéseket, hangposta üzeneteket ne tudjon letölteni! Csak a CC szoftver kezelőfelületén érhesse el azokat azonosítást követően

! NEM TUDJA AZOKAT LETÖLTENI ! -> csak megfelelő jogosultságú supervisor tehessen ilyet

Olyan rendszert használj, ahol az operátoraid lejátszási jogosultsága beállítható

A rendszerből lehetőleg semmilyen adatot se lehessen továbbítható formátumban titkosítatlanul kiszedni.

Dashboard, mint az extrém eset GDPR szempontból idegen ne mehessen be abba a helységbe, ahol a dashboard adatok ki vannak téve

a saját agentjeinek munkaszerződésébe bele kell tenni, hogy hozzáférhet az ott megjelenő adatokhoz

Valóban ilyen komolyan kell ezt venni?

Figyeljetek továbbá oda… [4]

Page 17: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Webes képernyő-tükrözés (cobrowsing) vs. GDPR?

VásárlóÜgyfélszolgálatos

Page 18: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

GDPR elvárások co-browsing sessionnél

Érzékeny adatok legyenek

„pszeudonimizálva” – részben vagy

egészben takarjuk ki azokat

Az agent gépére semmi ne kerüljön

lementésre, kiírásra és ne

legyen screencapture!

Megfelelő jóváhagyási

folyamat szükséges erősen naplózva!

Adatkezelési nyilatkozatba

betenni!

Minden legyen end-to-end

titkosított és azonosított!

Csak az adott session legyen

látható!

Page 19: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Először telefonál be az új érdeklődő (még nem ügyfél! nem írt alá semmilyen nyilatkozatot!) ez is személyes adatkezelés, de még nem nyilatkozott róla, hogy pl. az általa hagyott

hangpostát e-mailben kiküldjük a recepciósoknak

ha X időn belül nem létesített jogviszonyt a szolgáltatóval, akkor törölni kell a beszélgetését

Az ügyfélszolgálat használati feltételeiben definiálni és IVR-ba bemondani, hogy ha még nem ügyfél és továbblép, akkor elfogadja a ÜFSZ adatkezelési szabályzatát

Tájékoztatás hívásrögzítésről Inbound: IVR-ban be kell mondani (korábbi szabály)

Ha nem járul hozzá hagyhatjuk, hogy pl. „1-es gomb megnyomásával jelezze”

Outbound: operátornak tájékoztatást kötelező adnia (korábbi szabály)

Figyeljetek továbbá oda… [5]

Page 20: Telefonközponttól a Call Centerig a GDPR árnyékában · Minden adatot titkosítva tároljunk A személyes adatok álnevesítése MinervaTel mint adatfeldolgozó –sok macera…

Kun SzabolcsMinerva-Soft [email protected]