Dňa 25. 5. 2018 nadobudlo účinnosť nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. 4. 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „nariadenie GDPR“).
- Vzor
Pravidlá v spracúvaní osobných údajov, ktoré prinieslo nariadenie GDPR, platia aj pre prevádzkovateľov, ktorí sa rozhodnú nahrávať telefonáty. Osobným údajom sa, v súlade s nariadením GDPR, rozumejú akékoľvek informácie o identifikovanej alebo identifikovateľnej fyzickej osobe. Identifikovateľnou fyzickou osobou je fyzická osoba, ktorú možno priamo, či nepriamo identifikovať, napr. odkazom na určitý identifikátor, napr. meno, identifikačné číslo, lokalizačné údaje, sieťový identifikátor, a pod. Aj telefonát je možné považovať za osobný údaj, lebo hlas patrí určitej osobe a navyše v rámci telefonátu – teda jeho obsahu, telefonujúci zvykne identifikovať seba (predstaví sa), alebo rieši nejakú službu, na základe ktorej je o možné identifikovať.
Takmer každý z nás sa už stretol s takými poskytovateľmi služieb, ktorý za účelom skvalitňovania svojich služieb nahrávali telefónne rozhovory. Typickým príkladom sú banky, či mobilný operátori. Výsledkom takého telefonátu je spravidla objednanie nejakej služby, zmena údajov telefonujúceho, zmena/úprava zmluvy a objednaných služieb a pod. V akom postavení je ale telefonujúci zákazník, a to z hľadiska ochrany osobných údajov?
Jednou z najdôležitejších zásad ochrany osobných údajov je zákonnosť. Táto zásada vyjadruje a obsahuje podmienku, že spracúvanie osobných údajov je zákonné iba vtedy a iba v tom rozsahu, ak je splnená aspoň jedna z podmienok stanovených v ustanovení čl. 6 ods. 1 nariadenia GDPR.
Tento článok poukazuje na niektoré povinnosti prevádzkovateľov, ktorí sa rozhodli nahrávať telefonáty pri spracúvaní týchto telefonátov ako osobných údajov podľa nariadenia GDPR.
Právne základy spracúvania osobných údajov v rámci nahrávania telefonátov
Prevádzkovateľ musí na každý účel spracúvania osobných údajov disponovať primeraným právnym základom v súlade s čl. 6 ods. 1 nariadenia GDPR. Pod pojmom právny základ rozumieme dôvod, ktorý umožňuje prevádzkovateľovi vykonávať jednotlivé spracovateľské operácie s osobnými údajmi dotknutých osôb. Prevádzkovateľ je povinný určiť právny základ spracúvania osobných údajov ešte pred samotným začatím ich spracúvania.
V rámci nahrávania telefonátov dochádza k spracúvaniu osobných údajov zamestnancov prevádzkovateľa, ale aj telefonujúcich, ktorí môžu byť v rôznom postavení. Môže ísť napr. o klienta, potenciálneho klienta a pod. Pri nahrávaní telefonátov sa v praxi spravidla využívajú tieto právne základy:
• predzmluvné vzťahy, ktoré smerujú k uzavretiu zmluvy s dotknutou osobou podľa čl. 6 ods. 1 písm. b) nariadenia GDPR. Spracúvanie osobných údajov zákazníka v tomto prípade prebieha bez potreby súhlasu zákazníka, nakoľko právnym základom spracúvania jeho osobných údajov je práve predzmluvný vzťah, ktorý smeruje k objednaniu služby/tovaru.
• zmluvné vzťahy podľa čl. 6 ods. 1 písm. b) nariadenia GDPR, kde dotknutá osoba vystupuje ako zmluvná strana. Spracúvanie osobných údajov zákazníka v tomto prípade prebieha bez potreby súhlasu zákazníka, nakoľko právnym základom spracúvania jeho osobných údajov je práve zmluvný vzťah a veci s tým súvisiace (napr. podanie reklamácie, dodanie tovaru/služby...).
• zlepšovanie služieb prevádzkovateľa – tu prevádzkovatelia využívajú dva druhy právnych základov, a to:
a) súhlas volajúceho podľa čl. 6 ods. 1 písm. a) nariadenia GDPR alebo
b) oprávnený záujem prevádzkovateľa podľa čl. 6 ods. 1 písm. f) nariadenia GDPR.
Oprávnený záujem spočíva napríklad v zlepšovaní služieb prevádzkovateľa.
Využitie tohto právneho základu vyžaduje vykonanie testu proporcionality, a to ešte pred samotným začatím spracúvania osobných údajov. Ide o trojkrokový test, ktorý predpokladá kumulatívne splnenie podmienok, a to po prvé sledovanie legitímneho záujmu prevádzkovateľa alebo tretej strany, po druhé nevyhnutnosť spracúvania osobných údajov na realizáciu sledovaného legitímneho záujmu a po tretie podmienku, že neprevažujú základné práva a slobody osoby, ktorej sa ochrana údajov týka nad záujmom prevádzkovateľa alebo tretej strany.
Z výsledku vykonaného testu proporcionality vyplynie, či oprávnený záujem prevádzkovateľa prevyšuje nad právami a slobodami dotknutých osôb, a či je možné z neho vychádzať ako z právneho základu pre spracúvanie.
Získané osobné údaje môže prevádzkovateľ spracúvať len na konkrétne vymedzený a výslovne uvedený legitímny účel. Spracúvanie osobných údajov spôsobom, ktorý je nezlučiteľný s takýmto účelom, je vylúčené. Vyplýva to zo zásady obmedzenia účelu.
Hlasová biometria
Na trhu existujú subjekty, ktoré v rámci poskytovania služieb umožňujú riešiť požiadavky klientov na zákazníckych linkách bez potreby overovania ich údajov. Stačí iba klientov hlas. V tomto prípade ide o tzv. hlasovú biometriu.
Podľa čl. 4 ods. 14 nariadenia GDPR sú biometrickými údajmi osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre, daktyloskopické údaje, hlasová biometria a pod.
Ak prevádzkovateľ disponuje databázou hlasových, ich komparáciou vie selektovať a identifikovať pravosť danej osoby – hovoríme o hlasovej biometrii. Tá sa používa najmä v bankovníctve, či v telekomunikáciách.
Výhodou je, že klient nepotrebuje k prístupu k službám žiadne kódy, ani heslá, lebo tieto služby umožňujú prístup k službám na základe hlasu klienta.
V prípade, že prevádzkovateľ spracúva údaje v rámci telefonátov aj v rámci hlasovej biometrie, musí okrem právneho základu podľa čl. 6 nariadenia GDPR disponovať aj právnym základom podľa čl. 9 nariadenia GDPR.
Informačná povinnosť prevádzkovateľa, ktorý nahráva telefonáty
Prevádzkovateľ je povinný informovať dotknuté osoby o spracúvaní ich osobných údajov. K splneniu informačnej povinnosti musí dôjsť najneskôr v okamihu získania osobných údajov. Prevádzkovateľ je povinný informačnú povinnosť plniť iniciatívne, nie až na žiadosť dotknutej osoby, pričom dotknutej osobe poskytuje informácie ustanovené v čl. 13 ods. 1 až 3 nariadenia GDPR.
Zoznam informácií, ktoré sa majú poskytnúť, ak sú osobné údaje získané priamo od dotknutej osoby (čl. 13 nariadenia GDPR):
|
Informácie podľa čl. 13 nariadenia GDPR: |
|
– identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený, |
|
– účel spracúvania osobných údajov, |
|
– právny základ spracúvania osobných údajov, |
|
– oprávnené záujmy prevádzkovateľa, ak sa osobné údaje spracúvajú na tomto právnom základe, |
|
– kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený, |
|
– kontaktné údaje zodpovednej osoby, ak je určená, |
|
– identifikácia príjemcu alebo kategórie príjemcu, |
|
– zamýšľaný prenos osobných údajov do zahraničia a identifikácie primeraných záruk, |
|
ďalšie doplňujúce informácie: |
|
– doba uchovávania osobných údajov/kritériá na jej určenie, |
|
– právo požadovať od prevádzkovateľa prístup k jej osobným údajom, |
|
– právo na opravu osobných údajov, |
|
– právo na vymazanie osobných údajov a právo na obmedzenie osobných údajov, |
|
– právo namietať spracúvanie osobných údajov, |
|
– právo na prenosnosť osobných údajov, |
|
– právo kedykoľvek svoj súhlas odvolať, |
|
– právo podať návrh na začatie konania na úrad, |
|
– informácie o tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, a informácie o tom, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov, |
|
– o existencii automatizovaného individuálneho rozhodovania vrátane profilovania – informácie o použitom postupe, význame a dôsledkoch takého spracúvania pre dotknutú osobu. |
Informácie musia byť poskytnuté v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, musia byť formulované jasne a jednoducho. Informovať možno rôznymi spôsobmi (nie je vylúčená kombinácia viacerých možností).
Prevádzkovateľ informuje dotknuté osoby o ich právach podľa čl. 15 až čl. 22 nariadenia GDPR, najmä o práve namietať voči spracúvaniu osobných údajov, či o práve odvolať súhlas, ak sú údaje spracúvané na základe súhlasu dotknutej osoby.
Ak sa spracúvanie osobných údajov zakladá na oprávnenom záujme prevádzkovateľa, prevádzkovateľ informuje dotknutú osobu o tom, ktoré oprávnené záujmy sleduje. V tomto prípade je prevádzkovateľ tiež povinný vykonať test proporcionality.
Práva telefonujúceho ako dotknutej osoby
Dotknutá osoba (osoba, ktorej údaje sú spracúvané) má podľa nariadenia GDPR určité práva, ktoré si môže voči prevádzkovateľovi kedykoľvek uplatniť. Dotknutá osoba disponuje nasledovnými právami:
• Právo na prístup k údajom – Toto právo obsahuje v sebe právo dotknutej osoby získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje. Ak áno, tak dotknutá osoba má právo získať prístup k týmto údajom.
• Právo na opravu – V súlade s týmto právom má dotknutá osoba právo na to, aby prevádzkovateľ opravil nesprávne údaje dotknutej osoby ale dotknutá osoba má aj právo na doplnenie neúplných osobných údajov.
• Právo na výmaz – Ak osobné údaje už nie sú potrebné na účel, na ktorý sa získali, tak má dotknutá osoba právo na ich vymazanie. To isté platí, ak dotknutá osoba odvolá súhlas so spracúvaním osobných údajov a neexistuje iný právny základ pre ďalšie spracúvanie.
• Právo na obmedzenie spracúvania – Obmedzenie spracúvania osobných údajov v zásade znamená, že prevádzkovateľ pozastavuje ďalšie spracovateľské operácie s osobnými údajmi a údaje len uchováva.
• Právo na prenosnosť (portabilitu) – Toto právo umožňuje dotknutej osobe získanie jej osobných údajov, ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, pričom cieľom tohto práva je premiestniť osobné údaje z jedného informačného systému do druhého, prípadne aj k inému prevádzkovateľovi, ak je to technicky možné.
• Právo namietať – Ak sa spracúvanie osobných údajov dotknutej osoby uskutočňuje na základe oprávneného záujmu prevádzkovateľa (napr. na účely zlepšovania služieb), má dotknutá osoba právo kedykoľvek namietať proti takémuto spracúvaniu jeho osobných údajov. Na toto právo musí byť dotknutá osoba výslovne upozornená najneskôr pri prvej komunikácii s ňou a toto právo musí byť prezentované jasne a oddelene od akýchkoľvek iných informácií.
• Právo odvolať súhlas – V prípade, ak sa spracúvanie uskutočňuje na základe súhlasu, môže dotknutá osoba kedykoľvek svoj súhlas so spracúvaním odvolať a prevádzkovateľ je povinný ukončiť spracúvanie osobných údajov, ktoré boli spracúvané na základe súhlasu. Ak sa spracúvanie uskutočňuje na základe súhlasu, je prevádzkovateľ povinný, podľa čl. 13 ods. 2 písm. c) nariadenia GDPR, vopred dotknutú osobu informovať o jej práve tento súhlas kedykoľvek odvolať.
V súlade s nariadením GDPR je prevádzkovateľ povinný žiadosť dotknutej osoby vybaviť do jedného mesiaca od jej doručenia. V prípade potreby môže prevádzkovateľ predĺžiť vybavovanie žiadosti o ďalšie dva mesiace, ale o predĺžení lehoty je povinný dotknutú osobu upovedomiť. Informácie a oznámenia by sa mali spravidla poskytovať rovnakým spôsobom, akým si dotknutá osoba uplatní svoje právo, ak nepožiada o iný spôsob.
Bezpečnosť spracúvania osobných údajov
Podľa čl. 24 ods. 1 nariadenia: „S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.“
Podľa článku 32 ods. 1 nariadenia: „Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:
a) pseudonymizáciu a šifrovanie osobných údajov;
b) schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
c) schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;
d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.“
Z citovaných ustanovení nariadenia GDPR, ale aj zo zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon o ochrane osobných údajov“) vyplýva povinnosť prevádzkovateľa posúdiť bezpečnostné riziká a primerane tomu zvoliť technické, ale aj organizačné opatrenia.
Je potrebné poukázať na to, že ak prevádzkovateľ spracúva aj tzv. hlasovú biometriu, je povinný pri nastavení ochrany bezpečnosti osobných údajov brať zreteľ aj na to, že ide o osobitnú (citlivú) kategóriu osobných údajov a podľa toho prijať bezpečnostné opatrenia.
Opatrenia na elimináciu rizík pre práva dotknutých osôb sú dôslednejšie vymenované v prílohe č. 1 vyhlášky č. 158/2018 Z. z. Úradu na ochranu osobných údajov Slovenskej republiky o postupe pri posudzovaní vplyvu na ochranu osobných údajov.
Posúdenie by nemalo byť jednorazovou záležitosťou, ale pravidelným procesom vyhodnocovania interných a externých okolností, ktoré môžu mať vplyv na spracúvanie osobných údajov. V prípade zmeny rizika alebo procesu spracúvania osobných údajov je totiž nevyhnutné zrevidovať a prípadne prijať nové bezpečnostné opatrenia.
Článok 32 ods. 1 nariadenia ako aj § 39 ods. 1 zákona o ochrane osobných údajov demonštratívne vymenúva technické a organizačné opatrenia, ktoré by mal prevádzkovateľ prijať.
Pseudonymizácia a šifrovanie
V súlade s čl. 4 ods. 5 nariadenia je pseudonymizácia „spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe“.
Pri pseudonymizácii ide o také spracúvanie osobných údajov, ktoré vedie k tomu, že údaje následne nemožno priradiť k ich subjektom bez použitia dodatočných informácií, ktoré sú spravidla uchovávané zvlášť (osobitne) a zabezpečené pomocou organizačných alebo technických opatrení. Rozdiel medzi pseudonymizáciou a anonymizáciou spočíva v nenávratnosti procesu anonymizácie. Z anonymizovaných údajov nemožno (ani v kombinácii s ďalšími údajmi) spätne zistiť informácie vzťahujúce sa na konkrétnu osobu.
Pseudonymizácia je v zásade bezpečnostné opatrenie, pri ktorom dochádza k oddeleniu priamych identifikátorov fyzických osôb od ostatných údajov. V prípade bezpečnostného incidentu pri pseudonymizácii neoprávnená osoba nebude schopná zistiť, ktorých osôb sa údaje týkajú (nebude ich schopná priradiť).
Pojmom šifrovanie možno rozumieť taký proces spracúvania osobných údajov, kde dochádza k prevodu osobných údajov do podoby, ktorá nie je čitateľná bez znalosti šifrovacieho kľúča.
Schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb
Opatrenia na zabezpečenie dôvernosti
Medzi tieto opatrenia patria najmä spomínaná pseudonymizácia a šifrovanie, ale patria sem aj rôzne autorizácie a autentizácie. Prístupy jednotlivých oprávnených osôb k informačným systémom by mal zodpovedať rozsahu potrebnom na plnenie pracovných povinností, resp. vzhľadom na funkciu, ktorú oprávnená osoba zastáva. Prevádzkovateľ by mal teda zaviesť systém úrovne oprávnení.
Opatrenia na zaistenie integrity
Integritu spravidla zabezpečujú také opatrenia ako monitorovanie prístupu oprávnených osôb k osobným údajom, obmedzenie prístupu oprávnených osôb na nevyhnutný rozsah, zálohovanie dát, kontrola prípadných rozdielov v dátach a pod.
Opatrenia na zaistenie dostupnosti
Cieľom týchto opatrení je zabezpečiť dostupnosť, t. j. stálu funkcionalitu určitých systémov napr. prostredníctvom záložného zdroja, záložného servera a pod.
Opatrenia na zaistenie odolnosti
Tieto opatrenia úzko súvisia s opatreniami smerujúcimi k zaisteniu dostupnosti, keďže odolnosťou sa rozumie schopnosť odolávať rôznym zlyhaniam funkcionality alebo bezpečnosti.
Schopnosť včas obnoviť dostupnosť osobných údajov
Dané opatrenia smerujú k tomu, aby v prípade bezpečnostného incidentu došlo k obnoveniu dostupnosti osobných údajov. Spravidla ide o pohotovostné plány a postupy pri incidentoch.
Testovanie, posudzovanie a hodnotenie účinnosti technických a organizačných opatrení
V priebehu spracúvania osobných údajov sa môže zmeniť riziko, ktoré predmetné spracúvanie predstavuje. Môže sa tak stať napr. po prijatí nových technológií, postupov, pri vzniku/zmene/zániku informačného systému u prevádzkovateľa a pod.
V rámci pravidelného testovania, monitorovania stavu spracúvania osobných údajov by mali byť vyhodnocované aj už prijaté opatrenia a ich účinnosť. Spravidla ide také opatrenia ako napr. preverovanie softvérov, penetračné testy, simulácie bezpečnostných incidentov, audity a pod.
Záver
Jednotlivé povinnosti prevádzkovateľov pri spracúvaní osobných údajov z nahrávaných telefonátov sa môžu meniť s prihliadnutím na konkrétne formy spracúvania.
Ak prevádzkovatelia využívajú aj hlasovú biometriu, musia viac dbať na bezpečnosť spracúvania citlivých biometrických údajov. Hlasová biometria je v praxi čoraz viac využívaná, nakoľko pomáha jednoznačne identifikovať fyzickú osobu, umožňuje plnohodnotne sprístupniť väčšinu produktov a služieb prevádzkovateľa, a to bez nutnosti osobnej návštevy pobočky prevádzkovateľa a v neposlednom rade zjednodušuje komunikáciu so zákazníkmi.