1) Nėra aiškios įrašinėjimo tvarkos ir teisinio pagrindo
Daugelis klaidų kyla dėl to, kad paprasčiausiai nėra aiškaus ir sistemingo telefoninių pokalbių įrašymo reglamentavimo. Dar prieš pradėdami įrašyti pokalbius, verslai turėtų pagrįsti tokių įrašų kūrimo teisinį pagrindą. Teisėtumo sąlygos apibrėžtos BDAR 6-ame straipsnyje. Sąlygos apima įvairius aspektus, pavyzdžiui, įmonės teisinių įsipareigojimų vykdymą, pokalbio metu sudaromas sutartis, aiškų pašnekovo sutikimą ir kt. Jeigu esate verslo atstovas ir negalite įvardinti teisinio pagrindo kurti įrašus (jis turėtų atitikti bent vieną iš BDAR teisinio pagrindo sąlygų) – to ir negalite daryti. Apskritai, visas procesas nuo duomenų subjekto sutikimo gavimo iki įrašo kūrimo, naudojimo, saugojimo ir pašalinimo – turi būti reglamentuotas skambučių įrašymo tvarkoje.
2) Neatliekamas poveikio duomenų apsaugai vertinimas
Poveikio duomenų apsaugai vertinimą būtina atlikti kai yra atliekamas telefoninių pokalbių įrašymas. Šis vertinimas įrodo, kad verslo kuriami įrašai (visi su sukūrimu, saugojimu, tvarkymu ar perdavimu susiję procesai) atitinka BDAR. Dokumentu įmonės apibrėžia, kaip vyks procesai, patvirtina jų būtinumą, identifikuoja galimai subjektų teisėms ir laisvėms kylančias grėsmes ir būtinai – kaip jų bus siekiama išvengti. Jeigu įrašo kūrimo teisinis pagrindimas yra teisėtas interesas – papildomai turite atlikti ir teisėto intereso vertinimo testą (kodėl įmonės interesas kurti įrašus, pavyzdžiui, dėl sukčiavimo prevencijos ir pan. yra viršesnis nei duomenų subjekto).
Poveikio duomenų apsaugai vertinimą bei teisėto intereso vertinimo testą atlieka ir daug naudingos informacijos apie verslo procesų atitiktį BDAR savo interneto svetainėje pateikia „Motieka ir Audzevičius“ – advokatų kontora Vilniuje.
3) Klaidinga pašnekovo sutikimo bei reikalingos informacijos pateikimo interpretacija
Viena iš BDAR 6-ame straipsnyje įvardintų teisinio pagrindo sąlygų: pašnekovas aiškiai sutinka, kad pokalbis būtų įrašomas. Kaip turėtų atrodyti sutikimas? Sutikimas turi būti duotas laisva valia, konkretus, informuotas ir nedviprasmiškas. Įmonės prieš kiekvieną pokalbį turėtų informuoti asmenis, kad pokalbis bus įrašinėjamas. Tam, kad sutaupytų laiko, įmonės dažniausiai apie pokalbio įrašymą užsimena pokalbio pradžioje paminėdamos, kad laukiant atsiliepiančio įmonės atstovo yra priimama, jog sutikimas įrašyti yra duotas. Tačiau to nepakanka.
Pirmiausia, verslai turėtų aiškiai įvardinti – kas renka duomenis ir koks yra pokalbio įrašo kūrimo pagrindas, kokiu tikslu bus naudojama surinkta informacija. Šis tikslas jokiu būdu negali būti abstraktus – pavyzdžiui, jei turite verslą ir įrašote telefoninius pokalbius siekdami pagerinti kokybę, tai ir turite aiškiai pasakyti, kaip telefoniniai įrašai gerins kokybę. Kitas svarbus momentas yra paminėti, kokiu veiksmu asmuo išreiškia sutikimą įrašyti pokalbį ir kur gali rasti likusią informaciją apie telefoninių pokalbių įrašymą.
O jei nesutinka? Šiuolaikinėje verslo aplinkoje tai nutinka gana retai, tačiau jei taip nutiktų – svarbu pateikti informaciją, kokiais kitais būdais skambinantysis gali kreiptis į įmonę.
4) Per ilgas duomenų saugojimo laikas
Pagal BDAR reikalaujama, kad asmens duomenys nebūtų saugomi ilgiau, nei būtina nurodytam tikslui pasiekti. Kai kurios įmonės daro klaidą ir šios dalies neįtraukia į įmonės politiką – taigi, galima manyti, kad įrašytus telefoninius pokalbius saugo neribotą laiką. Labai svarbu nustatyti aiškią duomenų saugojimo politiką ir reguliariai peržiūrėti bei ištrinti nebereikalingus įrašus. Jeigu pokalbis kuriamas tik dėl kokybės gerinimo, jo saugoti ilgiau nei pusmetį tikriausiai nėra pagrindo. Tačiau visai kita situacija, jeigu įrašas kuriamas dėl įmonės interesų apsaugos, pavyzdžiui, telefonu aptariant sutarties sąlygas ir jas patvirtinant. Tuomet įrašus logiška saugoti tol, kol sutartis galioja.
5) Neapgalvotas scenarijus: duomenų subjekto prašymas pateikti įrašo kopiją
Beje, kuriant įmonės telefoninių pokalbių įrašymo politiką, svarbu apgalvoti visus scenarijus, pavyzdžiui – kaip bus sprendžiami atvejai, kai duomenų subjektas paprašys gauti įrašo kopiją. Bendrasis duomenų apsaugos reglamentas nurodo, kad duomenų subjektas turi teisę susipažinti su savo asmens duomenimis. Tad esant aiškiam pagrindui, įmonė turi pateikti įrašo – asmens duomenų – kopiją.
Taigi, dar viena dažna klaida – neapgalvotas scenarijus, kai duomenų subjektas reikalauja gauti įrašyto telefoninio pokalbio kopiją. Daugiausia nesusipratimų kyla tuomet, kai tokios situacijos nėra iš anksto apgalvotos, ir ypač tais atvejais, kai viso įrašo kopijos perdavimas pažeidžia pačios įmonės interesus, konfidencialumą. Jeigu yra pagrindas prašyti įrašo kopijos, į šią duomenų subjekto teisę turi būti atsižvelgta, net jei yra iššūkių (tokiais atvejais teisininkai neretai rekomenduoja pateikti tik tam tikras įrašo ištraukas arba dialogo stenogramą).
Tai tik keli dažni atvejai, tačiau šį sąrašą būtų galima pratęsti dar keletu punktų. Reikia apgalvoti viską – teisinį pagrindą, kiek laiko saugosite pokalbius, parengti pokalbių įrašymo politiką. Galiausiai, juk pokalbyje yra ir daugiau dalyvaujančių šalių – darbuotojai ar už pokalbių įrašymą atsakingos kitos įmonės. Norint apsaugoti savo ir kitų interesus, reikėtų apgalvoti kiekvieną detalę, sudaryti sutartis. Tai nėra paprasta užduotis, todėl neturint pakankamo žinių ir patirties bagažo, verta pasikonsultuoti su duomenų apsaugos srityje besispecializuojančiais teisininkais.
Šaltinis: https://sc.bns.lt/view/item/467026