Az ügyfélszolgálatokon naponta rengeteg személyes adat keletkezik, amelyek kezelését, tárolását az új európai általános adatvédelmi rendelet (GDPR) alapján már szigorúan ellenőrzik. Egy telefonhívásnál azonban nincs mód arra, hogy az ügyfelek egy rubrikába kattintott X-szel jelöljék az adatkezeléshez való hozzájárulásukat. Hogyan válhatnak GDPR-kompatibilissé az ügyfélszolgálatok? A call centereket üzemeltető Arenim Technologies szakértői az első ellenőrzések tapasztalatai alapján összeszedték, mire érdemes figyelniük a vállalatoknak.

A GDPR moratóriumának 2018. májusi lejáratát követően a magyar adatvédelmi hatóság már megkezdte az első ellenőrzéseket, amelyek több nagy adatkezelőt, köztük több ügyfélszolgálatot működtető nagyvállalatot is érintettek. A kiemelt figyelem érthető: egy ügyfélszolgálataton naponta hatalmas mennyiségű személyes adat gyülemlik fel, amelyeknek a rendeletnek megfelelő kezelése, tárolása nem kis kihívás elé állította a call centereket működtető vállalatokat. Az első hónapok tapasztalatai alapján Kun Szabolcs, a stockholmi központú, budapesti fejlesztőközponttal működő Arenim Technologies ügyvezetője négy kérdéskörre mutatott rá, amelyek rendszerint előkerülnek az ellenőrzések során.

1. Szabályozza-e a vállalat adatkezelési szabályzata a call center működését?

Az adatkezelési szabályzatnak ki kell terjednie a call centerre is. A legtöbb vállalat már május előtt is rendelkezett adatkezelési szabályzattal, azonban sok esetben ez nem volt kiterjesztve specifikusan az ügyfélszolgálat működésére, ezért vagy a már meglévő dokumentumot szükséges kibővíteni, vagy egy különálló, kifejezetten a call centert szabályozó dokumentumot kell megalkotni.

„Jó hír az ügyfélszolgálatokat működtető vállalatoknak, hogy tapasztalataink szerint aki a 2011-es Infotörvénynek megfelelt, az a GDPR-nak akár 80-90 %-os mértékben automatikusan megfelel” – mondta el ezzel kapcsolatban Kun Szabolcs. Hozzátette: „Ettől függetlenül minden cégnek szükséges meggyőződnie arról, hogy a saját üzleti szférájában van-e olyan szabályozás, amely esetenként felülírhatja a GDPR rendelkezéseit! Illetve mindezekkel együtt figyelni kell az „Adatleltár” call centerre történő kiterjesztéséről, valamint hogy a szabályzatban leírtak és a gyakorlat tökéletesen megfeleljenek egymásnak.”

2. Gyűjtenek-e különleges adatnak minősülő információt a vállalatok?

A cégeknek meg kell bizonyosodniuk arról, hogy működésük során birtokukba kerül-e különleges adatnak minősülő információ, ugyanis ezekre további szigorított szabályozások vonatkoznak.

3. Szabályozva van-e házon belül az adatkikérés és adattörlés folyamata?

A vállalatoknak ki kell dolgozniuk folyamatokat az ügyfelek adatkikérési, illetve adattörlési igényük esetére. Ezeknek az igénylési eljárásoknak a pontos menetét is érdemes belefoglalni az adatkezelési szabályzatba.

4. Hogyan értesül az ügyfél az adatkezelés tényéről?

Már a telefonos hangmenü rendszerben, pontosabban az úgynevezett IVR-ban (Interactive Voice Response), az ügyfélszolgálat az automata hangbemondó rendszerében tájékoztatni kell az ügyfelet arról, hogy adatkezelés történik, valamint hogy hol érhető el az adatkezelési szabályzat.

„A nagy kérdés az, hogy a vállalat rögzítheti-e a személyes adatnak minősülő telefonbeszélgetést még azelőtt, hogy az adatkezelés tényéről a gépi hang értesítené az ügyfelet. Egy lehetséges megoldás erre a hangsávok szétválasztása, vagyis hogy csak onnantól kezdve rögzítik az ügyfél által mondottakat, miután az adatvédelmi tájékoztatás elhangzott” – mutatott rá Kun Szabolcs.

+1 A túlbiztosításból nem lehet baj!

Az Arenim Technologies szakértői szerint érdemes mindig a lehető legmagasabb védettségi szintű adatként kezelni a megszerzett információkat, mert így gyakorlatilag kizárható, hogy adatvédelmi bírságot rónak ki az ügyfélszolgálatot működtető vállalatokra.