Οι προϋποθέσεις νόμιμης καταγραφής συνομιλιών μετά τον GDPR
Της Πηνελόπης Ι. Παπαθανασίου,
LLM Διεθνές και Ευρωπαϊκό Οικονομικό Δίκαιο, Δικηγόρου, Υπεύθυνης της ΧΕΝ Βόλου
Σύμφωνα με το άρθρ. 2 στοιχ. α’ του Ν. 24721997, τα δεδομένα ήχου και εικόνας, εφόσον αναφέρονται σε πρόσωπα, συνιστούν δεδομένα προσωπικού χαρακτήρα. Η καταγραφή των κλήσεων συχνά περιέχει προσωπικές πληροφορίες, όπως το όνομα του καλούντος, τη διεύθυνση ή οικονομικά στοιχεία.
Έτσι η καταγραφή κλήσεων αποτελεί μια μορφή «επεξεργασίας δεδομένων» και εμπίπτει στους νέους κανόνες που καλύπτονται από τον Γενικό Κανονισμού (ΕΕ) 201679 (GDPR).
Ίσως ένας από τους πιο προβληματικούς τομείς του Κανονισμού είναι ο χειρισμός, η επεξεργασία και η διατήρηση των καταγεγραμμένων κλήσεων. Είναι συχνό φαινόμενο να καταγράφονται από τις εταιρείες τηλεφωνικές συνομιλίες, ώστε να διευκολύνεται η επίλυση διαφόρων ζητημάτων. Πράγματι, η καταγραφή αυτή είναι μια συνήθης πρακτική με πολλά οφέλη, αλλά από τις 25 Μαΐου 2018 πρέπει να ακολουθούνται οι κανόνες του εν λόγω Κανονισμού.
Ο κύριος στόχος του Κανονισμού Προστασίας Προσωπικών Δεδομένων είναι να ενισχύσει την προστασία των δεδομένων σε ολόκληρη την ΕΕ, δίνοντας παράλληλα στους ανθρώπους μεγαλύτερο έλεγχο στον τρόπο με τον οποίο οι οργανισμοί μπορούν να χρησιμοποιήσουν τα προσωπικά τους δεδομένα.
Η καταγραφή τηλεφωνικής συνομιλίας μπορεί μεν να συνεχιστεί στο πλαίσιο του GDPR, καθώς δεν απαγορεύεται αλλά υπάρχουν πλέον πρόσθετες απαιτήσεις για την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων.
Έτσι και με τη χρήση cookies σε ιστότοπους και άλλες μορφές συλλογής προσωπικών δεδομένων, η καταγραφή μπορεί να πραγματοποιηθεί μόνο με τη νόμιμη συγκατάθεση του προσώπου, τηρουμένων των προϋποθέσεων λήψης της. Η γραμμή για έγκυρη συγκατάθεση έχει αυξηθεί σημαντικά μετά από τον GDPR. Η συγκατάθεση πρέπει να παρέχεται με σαφή θετική ενέργεια, να είναι συγκεκριμένη, ρητή, σαφής και εν πλήρη επίγνωση ένδειξης της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν. Η σιωπηρή συγκατάθεση δεν είναι πλέον αρκετή. Συνεπώς, τα άτομα θα πρέπει να συμφωνήσουν ρητά να καταγραφεί η κλήση τους.
Πέρα από τη λήψη της συγκατάθεσης, οι οργανισμοί που καταγράφουν συνομιλίες θα πρέπει να δικαιολογούν ενεργά τη νομιμότητα της καταγραφής, αποδεικνύοντας ότι ο σκοπός πληροί μία από τις ακόλουθες προϋποθέσεις του άρθρ. 6 του Κανονισμού:
- η καταγραφή να είναι αναγκαία για την εκπλήρωση συμβατικής υποχρέωσης, στην οποία συμμετέχει ο συμμετέχων στην κλήση,
- η καταγραφή να είναι αναγκαία για την εκπλήρωση νομικής υποχρέωσης, στην οποία υπόκειται ο καταγραφέας,
- η καταγραφή να είναι αναγκαία για την προστασία έννομων συμφερόντων ενός ή και περισσοτέρων συμμετεχόντων στην συνομιλία, ή
- η καταγραφή να είναι αναγκαία προς το δημόσιο συμφέρον
Περαιτέρω, οι οργανισμοί που επιθυμούν να καταγράφουν τηλεφωνικές συνομιλίες πρέπει επίσης να συμμορφώνονται με τις πρόσθετες απαιτήσεις που επιβάλλει ο Κανονισμός σε σχέση με:
- την αρχή της διαφάνειας,
- την αρχή της λογοδοσίας και
- την ασφαλή διατήρηση των δεδομένων.
Το άρθρ. 13 του Κανονισμού απαιτεί από τους οργανισμούς που λαμβάνουν δεδομένα προσωπικού χαρακτήρα, να παράσχουν πληροφορίες στα υποκείμενα των δεδομένων για το πώς και γιατί θα τύχουν επεξεργασίας αυτά. Οι εν λόγω πληροφορίες περιλαμβάνουν τον σκοπό της καταγραφής, τη νομική της βάση και τα κυριότερα δικαιώματα των υποκειμένων των δεδομένων καθώς και το πώς αυτά μπορούν να ασκηθούν
Οι οργανισμοί πρέπει να είναι ικανοί να αποδείξουν τη συμμόρφωσή τους με τις βασικές αρχές προστασίας των προσωπικών δεδομένων όταν πραγματοποιούν καταγραφή κλήσεων.
Οι καταγεγραμμένες κλήσεις πρέπει να αποθηκεύονται με ασφάλεια και να εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα για να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση – τόσο εσωτερικά από υπαλλήλους, όσο και εξωτερικά από κακόβουλους τρίτους. Ο αριθμός των υπαλλήλων που είναι εξουσιοδοτημένοι να έχουν πρόσβαση στις καταγεγραμμένες κλήσεις θα πρέπει να διατηρηθεί στο ελάχιστο. Επιπλέον, οι υπάλληλοι θα πρέπει να έχουν δεσμευτεί με σύμφωνο εμπιστευτικότητας προκειμένου να εξασφαλιστεί ότι θα χειριστούν κατάλληλα τις καταγραφές.
Επίσης το άρθρ. 5 του Κανονισμού ορίζει «ότι τα δεδομένα μπορούν να διατηρηθούν μόνο για το χρονικό διάστημα που απαιτείται για την εκπλήρωση του σκοπού για τον οποίο συλλέχθηκαν». Όταν οι καταγραφές κλήσεων δεν απαιτούνται πλέον, θα πρέπει να καταστρέφονται με ασφάλεια. Τα δεδομένα μπορούν να τηρηθούν για μεγαλύτερο χρονικό διάστημα μόνο εφόσον τυγχάνουν επεξεργασίας για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή στο πλαίσιο νομοθετικών και κανονιστικών υποχρεώσεων. Πέραν των αμέσως παραπάνω αναφερόμενων περιπτώσεων, ο κάθε οργανισμός θα πρέπει να διατηρεί τις καταγεγραμμένες κλήσεις για συγκεκριμένη χρονική περίοδο. Αυτή δεν πρέπει να υπερβαίνει το αναγκαίο για τις νόμιμες επιχειρηματικές ανάγκες του οργανισμού χρονικό διάστημα. Ενδέχεται διαφορετικές κατηγορίες κλήσεων να έχουν διαφορετικές περιόδους διατήρησης. Συνεπώς ο κάθε οργανισμός θα πρέπει να καθορίσει την περίοδο ή τις περιόδους διατήρησης. Κάθε οργανισμός μπορεί να ορίσει ένα πρόσθετο εύλογο χρονικό διάστημα με σκοπό τη διαφύλαξη των έννομων συμφερόντων του. Πρέπει να σημειωθεί ότι το δικαίωμα στη λήθη του Κανονισμού δεν λειτουργεί όσον αφορά τη διαγραφή καταγεγραμμένων εγγραφών, εάν ο εν λόγω οργανισμός έχει νομική υποχρέωση να τα διατηρήσει.
